【北京浩略律所、浩略律所、深圳浩略律所、西安浩略律所、法律咨询、律师咨询】
企业数据竞争
合规与正当的平衡之道
作者:金晓萍 李恒
在当今数字化时代,数据被视为企业的“新石油”。且随着数字技术的发展,数据已成为现代企业的核心资产。数据不仅可以帮助企业更好地理解市场趋势,还可以通过精细化管理提高运营效率,甚至直接转化为新的收入来源。因此,在当今的数据驱动经济中,企业之间的竞争不再局限于传统的市场占有率或品牌影响力,而是转向了对数据资源的争夺。然而,在这场数据竞争中,如何确保数据的正当性和合规性成为了企业必须面对的重要挑战。
一、企业之间的数据不正当竞争行为频发
数据的正当性又可称为数据合法性或数据合规性,是指在收集、处理、使用和存储数据的过程中,必须遵循相关法律法规的规定,尊重数据主体的权利,确保数据的获取和使用是公正、透明且有合法依据的。众所周知,数据在企业中的重要性不言而喻,它不仅是企业运营决策的重要依据,而且是实现个性化服务、提升用户体验的关键所在。因此,数据成为了企业之间竞争的焦点之一。然而,随着数据的广泛使用,诸如数据违规爬取、恶意数据不兼容、强制“二选一”等问题频发,引发了对数据不正当竞争行为的关注。这些问题不仅扰乱了正常的市场秩序,还可能严重损害消费者的利益。
近年来,国内外关于数据竞争的事件层出不穷。国内的微博与脉脉、大众点评与爱帮、顺丰与菜鸟、腾讯与华为等数据争端,国外的谷歌、脸书、亚马逊、苹果等互联网巨头面临的反垄断调查,这些事件都反映了数据竞争的复杂性。且数据抓取、"二选一"、"大数据杀熟"以及数据产品的再利用等行为,都在一定程度上处于法律规制的模糊地带。此外,传统竞争法中的一些概念如市场支配地位、相关市场、商业秘密等,在数据领域的应用也存在诸多难题。
二、数据竞争法律体系
针对数据不正当竞争带来的问题,我国已经采取了一系列立法措施以规范数据竞争行为。
2017年修订《反不正当竞争法》时增加了“互联网专条”(第12条),针对互联网环境下的不正当竞争行为作出规定,明确了目标跳转、恶意干扰与恶意不兼容三种网络不正当竞争行为。2018年颁布的《电子商务法》第35条禁止电商平台对商户进行不合理限制、附加不合理条件或收取不合理费用,打击了“二选一”行为。2019年的《反不正当竞争法》修正案则对商业秘密的认定标准及侵权行为的举证责任进行了明确(第32条)。2021年,国务院反垄断委员会发布了《平台反垄断指南》,细化了对平台垄断和不正当竞争行为的规定。同年,市场监管总局发布了《禁止网络不正当竞争行为规定(公开征求意见稿)》,进一步完善相关法律体系。2022年修正的《反垄断法》将利用数据和算法、技术及平台规则对其他经营者设置不合理限制的行为认定为滥用市场支配地位(第22条第2款)。同年,最高人民法院发布的《关于适用〈中华人民共和国反不正当竞争法〉若干问题的解释》,进一步明确了网络不正当竞争行为的具体要素。
相较于其他领域的数据合规要求,当前的数据竞争合规仍然主要依托于传统的反垄断和反不正当竞争法律框架,重点在于明确在网络与数据背景下传统行为要素的评价标准。但实际操作中仍存在适用条件不明确的问题,导致司法实践中的预见性不足。
三、规制数据不正当竞争行为的司法困境
实践中适用的多是反不正当竞争法保护路径,并且多为由数据的商业“搬运”和利用引发的案件,法官在判案时采用《反不正当竞争法》第2条“一般条款”或第9条“商业秘密条款”,抑或第12条“互联网专条”予以规制。虽然这些条款在一定程度上起到了作用,但因适用条件不够明确,导致司法实践中预见性不足。
(一)“一般条款”
“一般条款”作为《反不正当竞争法》的一个重要组成部分,因其高度的抽象性和灵活性,能够在法律未明确规定的情况下填补空白,对数据不正当竞争行为进行规制。然而,由于其原则性和抽象性特点,使得适用时具有很大的弹性,需要在个案中进行分析和处理。具体表现在:
1.商业道德的认定主观性过强:《最高人民法院关于适用〈中华人民共和国反不正当竞争法〉若干问题的解释》(法释〔2022〕9号)中强调了商业道德在判断市场竞争行为正当性中的作用。但是,商业道德的概念表述抽象、模糊,法官在判定是否违反商业道德时可能受主观性影响较大。由于数字经济领域的技术变化迅速,道德标准尚未有定论。
2.不正当竞争行为定性的泛道德化:司法者在将道德解读应用于竞争行为的正当性评价时,存在“搭便车”、“食人而肥己”、投机取巧或巧取豪夺等动机的考量,这些因素在很大程度上依赖直觉,解决新问题时可能无效,并可能误导司法方向。
3.适用过于宽泛:不正当的数据使用行为多发生在互联网领域,作为新生领域其商业道德具有不确定性和抽象性,实践中司法机关对道德标准的依赖导致“一般条款”被过度适用,甚至有滥用的可能,一定程度上违背了《反不正当竞争法》适用的谦抑性。
(二)“互联网专条”
“互联网专条”(《反不正当竞争法》第12条)的设立旨在回应数字经济时代发展的需要,其采用“概括+列举+兜底”的立法模式,对互联网领域的不正当竞争行为进行分类规制。然而,“互联网专条”的规制作用有限:
1.条文本身规制范围有限:《反不正当竞争法》第12条第2款列举的三种类型难以涵盖大多数的互联网新型案件。近年来,数据商业利用行为的不正当竞争纠纷案件数量不断增长,其中数据爬取是数据利用的流行手段之一,但因该行为的目的在于获取数据,而非简单的流量劫持,导致第12条无法规制该类行为。
2.司法实践规制效果有限:虽然“互联网专条”设有兜底性规定,但兜底条款对数据不正当竞争行为没有适用空间,并未缓解“一般条款”过度适用的情况。单独适用“互联网专条”的数据不正当竞争案件数量偏少,究其原因,“互联网专条”强调利用网络技术,较少关注竞争行为正当性的界定,因此对数据不正当竞争行为的定性仍有赖于“一般条款”的规定。此外,由于缺少认定不正当竞争行为的具体要件,“互联网专条”尚不具备处理数据不正当竞争纠纷所需的客观性与精确性,难以覆盖不断发展变化的数据使用行为方式。
(三)“商业秘密条款”
“商业秘密条款”(《反不正当竞争法》第9条)的修订旨在规范市场竞争秩序,进一步明确了侵犯商业秘密的行为,保护企业商业秘密,规定禁止以电子侵入的方式获取权利人的商业秘密,使商业秘密在数字化时代的保护更具实操性。但是,商业秘密条款在实际应用中存在困难:
1.适用要求过高:数据构成商业秘密须符合三个特性,即价值性、秘密性和保密性。其中最大的难点在于如何认定商业利用中的数据具有秘密性,特别是如何确定在哪个环节产生了秘密点。学术界和实务界尚未达成统一意见,例如,用户在具有社交属性的软件中公开展示的部分个人信息,认定这种已经公开的用户数据具有秘密性无疑难度巨大。
2.取证难度大:由于侵权方通过不正当竞争行为所获不当利益的证据中的绝大部分属于侵权方的核心机密,被侵权方想获得这类证据几乎难以实现。并且,数据可以通过技术手段被清除、消灭,增加了互联网企业搜集证据的难度,数据持有方不得不承担更重的举证责任。
四、企业数据竞争合规之道
企业数据竞争合规,是指企业在数据收集、处理、使用、存储及传输等全过程中,遵循相关法律法规、行业标准及最佳实践,确保数据活动不违反反不正当竞争法、数据保护法等相关规定,维护公平竞争环境,保护用户隐私和数据安全。规制数据不正当竞争行为存在司法困境,为此打铁更需自身硬 ,企业需找寻到企业数据竞争合规之道。
(一)系统梳理与动态更新
企业需要系统地梳理自身的数据竞争行为,建立健全本企业的数据合规体系,并持续跟踪最新的法律法规和司法判例,形成评价要素集合。
(二)设立监测预警机制
建立专门的人员或机构负责数据竞争合规监测与预警工作,确保能够及时发现并评估合规风险。
(三)风险通报机制
企业内部确定数据合规责任主体,建立有效的风险通报机制,让管理层能够及时参与到风险防控工作中来。
(四)第三方评估
在条件允许的情况下,引入第三方机构对数据竞争行为进行评估,提前预判可能存在的法律风险。
(五)与监管互动
积极与监管部门保持良好沟通,确保能够迅速响应监管要求。
(六)常态化培训
定期对员工进行数据竞争合规培训,尤其是对于一线业务人员和技术开发人员,以增强其合规意识和技术伦理。
数据竞争已成为企业不可回避的问题,而如何在竞争中做到合规经营则是企业需要深思熟虑的方向。通过建立健全的数据竞争合规机制,不仅能帮助企业规避法律风险,还能提升企业的竞争力,最终实现健康可持续的发展。
五、防止竞争对手获取企业数据
在数字化时代,数据已成为企业最重要的资产之一,为此企业不但要建立健全的数据竞争合规机制,还要通过有效的数据合规策略防止竞争对手获取企业数据。然而,数据泄露和竞争对手获取敏感信息的风险还是与日俱增。为此企业应采取以下一些关键策略,不仅能够保护自身数据安全,还能防止竞争对手获取敏感信息。
(一)建立全面的数据合规框架
1.风险评估:首先,企业需进行全面的风险评估,识别和分类敏感数据,了解数据存储位置及访问权限。这一过程有助于明确数据保护的重点领域。
2.数据保护政策:基于风险评估结果,制定强有力的数据保护政策,明确数据收集、存储和处理的标准和流程,以确保合规性并降低数据泄露风险。
3.持续监控与审计:定期审查和监控数据处理活动,确保遵循数据保护政策和相关法律法规。通过内部审计和合规检查,及时发现并修正潜在问题。
(二)实施技术保护措施
1.数据加密:对敏感数据进行加密,确保即使数据被盗取,未经授权的第三方也无法读取信息。加密是防止数据泄露的重要手段。
2.访问控制:实施严格的访问控制策略,确保只有授权用户才能访问敏感数据。采用最小权限原则,限制第三方和内部员工的访问权限,以减少数据泄露的风险。
3.数据丢失防护(DLP):部署DLP解决方案,实时监控和保护敏感数据,防止数据在传输或存储过程中被泄露。
(三)加强员工培训与意识提升
1.员工培训:定期对员工进行数据合规和安全意识培训,使其了解数据保护的重要性和相关法律法规。提高员工对社交工程攻击和钓鱼攻击的警惕性,以减少人为失误导致的数据泄露。
2.创建数据合规文化:在企业内部营造数据合规文化,使每位员工都能意识到保护数据的重要性,并积极参与到数据保护的实践中。
(四)与第三方供应商的合规管理
1.供应商审查:确保所有第三方供应商遵循相同的数据保护标准。定期评估供应商的安全性,并在合同中明确数据保护条款,以维护整个数据供应链的安全。
2.合同管理:定期审查与供应商的合同,确保其符合企业的数据合规要求,并在必要时更换不符合标准的供应商。
综上,企业应根据自身数据体系的情况,结合以上策略,可以最大限度有效防止竞争对手获取敏感数据,还能在合规的基础上提升自身的市场竞争力。企业是能够在保障数据安全和客户隐私的同时,维护公平竞争的,避免因数据处理不当而面临的法律风险和数据损失,而数据竞争合规不仅是法律要求,更是保护企业资产和维护客户信任的重要手段。
参考资料:
陈兵. 规制数据不正当竞争行为的司法实践检视及改进方向 [J]. 知识产权, 2024, (03): 73-87.
裴炜、陈鹏:《数据合规实务全指引:关键场景与典型行业》,法律出版社2023年版,第30页。
律师简介