新酒入舊瓶：企業數據保護的商業秘密路徑*

崔國斌

（清華大學法學院，北京 100084）

一、引 言

企業數據保護是近幾年中國法學界的熱點問題。筆者于本文中所稱的企業數據是相對于個人信息和公共數據而言的寬泛概念，大體是指企業在生產經營過程中收集的源于自身或他人的具有一定規模的各類數據信息的集合，比如，電商平臺收集的用戶交易數據集合、社交媒體收集的用戶個人信息集合、地圖網站收集的地理信息集合、航空公司的航班信息集合、期刊網收集的論文電子版文檔集合，等等。它與傳統的商業秘密類信息（如技術方案、程序代碼、客戶名單、招投標定價信息、經營企劃方案等技術或經營信息）相比，主要區別在于內容性質、產生過程和數據規模。我國企業數據集合產權保護領域的最新且最重要的政策進展是中共中央和國務院2022 年底發布的《關于構建數據基礎制度更好發揮數據要素作用的意見》（以下簡稱：《數據二十條》），其第三條提出所謂“三權分置”思路：“根據數據來源和數據生成特征，分別界定數據生產、流通、使用過程中各參與方享有的合法權利，建立數據資源持有權、數據加工使用權、數據產品經營權等分置的產權運行機制?！?/p>

從表面上看，商業秘密保護法〔1〕本文中的“商業秘密保護法”或“商業秘密法”并非特指現有專門立法，而是指商業秘密保護的相關法律制度。在現階段的中國其主要指《反不正當競爭法》中商業秘密保護規則，將來則應該是指商業秘密保護方面的專門立法。似乎是企業數據產權保護立法無法繞過的關鍵制度。首先，從現行法對于商業秘密的定義看，它覆蓋范圍極其寬泛，根據《中華人民共和國反不正當競爭法》（2019年修訂，以下簡稱：《反不正當競爭法》）第九條第四款，商業秘密是指任何“不為公眾所知悉、具有商業價值并經權利人采取相應保密措施的技術信息、經營信息等商業信息”。企業數據大多為非公開數據，通常具有一定的商業價值，為保密措施所覆蓋，因此很容易就落入所謂“商業信息”的字面意思所指涉的范圍。2020 年《最高人民法院關于審理侵犯商業秘密民事案件適用法律若干問題的規定》（以下簡稱：《侵犯商業秘密規定》）第一條也已經確認，企業數據可以構成商業秘密。因此，在企業數據產權保護中，商業秘密保護法很可能要扮演重要甚至核心角色?！?〕有學者持相反意見，認為“商業秘密制度只能對大數據中的秘密數據提供‘有限保護’，且是以私力保密措施為基礎的‘防御性保護’，難以承載數據產權保護的制度功能”。吳漢東：《數據財產賦權的立法選擇》，載《法律科學》 2023 年第4 期。這一意見忽略了絕大多數企業數據其實處在秘密狀態的事實，也低估了企業對于“私力保密措施”的信任和依賴。多數私下的數據使用行為很難追蹤，多數企業不會因信任法律保護而公開自己的核心數據。沿著這一思路，《數據二十條》的“三權分置”結構就會被重新解構：它所列舉的數據資源或數據產品，在公開之前，很可能構成企業的商業秘密；“數據資源持有權”則對應于企業對自己生產或收集的數據所享有的商業秘密權；〔3〕依據《反不正當競爭法》第九條第一款，數據資源生產者（持有人）可以禁止任何人以盜竊、電子侵入等不正當手段獲取該數據內容，禁止任何人披露、使用或者允許他人使用以前項手段獲取的數據內容，也可以禁止任何人違反保密義務或違反權利人保密要求，披露、使用或允許他人使用其掌握的數據內容。學術界對于商業秘密法所保護的究竟是一種財產性權利，還是合同權益，抑或是反不正當競爭法上的利益，尚存在學術爭議。參見Mark Lemley, The Surprising Virtues of Treating Trade Secret Rights as IP Rights, 61 Stanford Law Review 311, 319-329 （2008）；唐海濱、孫才森、梁彥、王莉萍：《有關商業秘密立法的重點難點問題》，載《中國法學》1999 年第4 期。限于本文寫作目的，筆者無意卷入這一差不多已綿延一個世紀的理論爭議，而是使用“商業秘密權”或“商業秘密所有權”的表述單純指代商業秘密法所保護的原始數據的收集者所享有的權益?！皵祿庸な褂脵唷睂跀祿庸ふ邚臄祿a或收集者那里獲得的商業秘密許可使用權； “數據產品經營權”應該是指數據加工者在商業秘密許可范圍內生產數據衍生產品的權利以及對衍生產品重新主張的商業秘密權或其他知識產權?！?〕在許可的范圍內，數據加工者可以自由使用、許可第三方使用或對外披露自己的“數據衍生產品”。如果加工者實質改變數據內容后，通常也能對數據衍生產品主張新的知識產權保護。在此基礎上，《數據二十條》第七條希望健全的“數據相關財產性權益”的流轉機制，自然就對應于商業秘密的轉讓和許可機制。顯然，在這一思路下，絕大部分秘密的企業數據都被商業秘密法有效覆蓋，不再需要統一的數據產權立法。剩下的是一小部分公開的企業數據，可以通過《反不正當競爭法》的原則條款獲得保護，或者將來通過專門立法獲得更精細的保護。

不過，遺憾的是，《數據二十條》規劃的體系并沒有商業秘密保護法的位置。該文件雖然在“總體要求”部分提到數據產權制度建設以“保護個人信息和商業秘密為前提”，但是在后面的具體制度建議中再也沒有提及商業秘密。因此，在《數據二十條》所描繪的“三權分置”的框架下，現有的商業秘密保護法扮演何種角色，并不清楚。這給未來數據產權制度建設帶來巨大的挑戰：如果大部分企業數據構成商業秘密，那還需要統一的數據產權立法嗎？如果一定要有統一立法，那會取代商業秘密保護法嗎？如果不取代商業秘密保護法，那么擬議的統一立法如何與商業秘密保護法協調？

上述分析表明，如何看待企業數據商業秘密保護的可能性，對決策者后續落實《數據二十條》，完善我國數據產權保護制度的思路會有重要影響。如果決策者承認商業秘密保護法的關鍵作用，數據產權立法的首要工作就將是完善現有商業秘密保護法，附帶考慮次要的公開數據保護立法的問題。在現有制度可堪大用的情況下，立法者并沒有必要疊床架屋去引入全新的統一立法，同時又制造出更多的、更復雜的新舊制度協調問題。

依據現有主要的我國商業秘密保護法即《反不正當競爭法》，一項信息要滿足以下條件才構成商業秘密：（1）構成所謂“商業信息”（客體審查要件）；〔5〕這一客體審查要件常常被人們忽略。比如，純粹的文學藝術作品就很可能就因為不符合這一暗含條件而被排除出商業秘密的范圍。關于這一客體審查要件的重要性，可以參見Eric E.Johnson, Trade Secret Subject Matter, 33 Hamline Law Review 545, 577 （2010）。（2）具有秘密性（不為公眾所知悉）；（3）具有商業價值；（4）權利人采取了合理的保密措施。表面看來，將這些要件套用至企業數據集合，似乎順理成章，但實際上并非如此簡單。源于機械時代的商業秘密制度所保護的“商業信息”，過去更多的是產品配方、工藝流程、客戶信息、合同報價之類的傳統商業秘密的客體。這些大多是企業從無到有創造出來的、體現個性化勞動、規模較小的數據信息。網絡時代的企業收集完成數據集合，其數據常常來源于第三方或公共領域，處于原始未經深度加工的狀態，也未體現企業的個性化勞動，具有遠超傳統商業秘密的信息規模，等等。兩相對照，非傳統的“企業數據集合”是否應當被視為商業秘密保護法意義上的“商業信息”類型，是否具有秘密性，很容易受到質疑。比如，常見的期刊論文數據庫、法律法規案例數據庫、社交媒體用戶生成內容數據集合，其數據條目既非技術信息，也非傳統的經營信息（客戶名單、合同報價與商業計劃書等），而是通常不受商業秘密法保護的文學藝術作品，這些作品數字化文檔的“集合”是否屬于商業秘密法意圖保護的“經營信息”類型？很多企業數據集合整體上不對外公開，但是其中的數據條目常常源自公開渠道或處在公開狀態，這是否妨礙該數據集合整體的“秘密性”？企業在收集數據時付出了實質性的勞動或投資，但并未付出個性化或創造性勞動，這是否會影響該數據集合的客體屬性或“秘密性”？

對于這些問題，國內很多司法判決和學術研究成果都給出否定性答案?！?〕參見梅夏英：《企業數據權益原論：從財產到控制》，載《中外法學》2021 年第5 期。這導致很多企業以為無法利用商業秘密法來保護自己的數據集合，轉而尋求《反不正當競爭法》的原則條款的保護。本文第二部分從商業秘密保護法下經營信息的多樣性入手，突破傳統認識誤區，分析將典型的企業數據集合歸入“經營信息”類別的合理性。本文第三部分關注商業秘密的秘密性要件，分別探討了“數據條目來源于公共領域”“收集工作體現了實質投入但無創造性”“整體保密但部分條目對外提供”等三種典型企業數據集合的秘密性。與社會上普遍存在的誤解不同，筆者認為它們依然具備商業秘密的“秘密性”。本文第四部分對商業秘密保護之外的替代性立法思路做出回應，認為日韓式的“限定提供數據”平行立法，制造的問題比解決的問題還多，不值得效仿；不區分公開與秘密數據的統一數據產權立法，無法真正取代商業秘密保護機制。筆者最后的結論是，沿用現有的商業秘密保護機制就能夠有效應對數據產權保護的主要挑戰，沒有必要進行顛覆性的法律制度變革。

二、企業數據集合的經營信息屬性

在傳統商業秘密法的框架下，一項信息是否落入受保護“經營信息”的范圍，較少受到關注。過去，關于商業秘密客體審查的學術討論主要集中在具有技術和作品雙重屬性的計算機程序上，即它作為版權保護客體的同時，是否也可以成為商業秘密法的保護客體?！?〕See Peter A.Luccarelli Jr., The Supremacy of Federal Copyright Law over State Trade Secret Law for Copyrightable Computer Programs Marked with a Copyright Notice, 3 Computer Law Journal 19 （1981-1982）.除此之外，美國還有關于劇本創意是否落入商業秘密法下 “商業信息”范圍的學術爭議?！?〕See Charles Tait Graves, California’s Film Script Cases & Trade Secret Law, 44 Columbia Journal of Law & Arts 21, 64 （2020）.該學者仔細研究電影行業的劇本交易后認為，沒有理由排除劇本、故事情節等要素的商業秘密屬性?，F在，企業數據集合可能是新的需要認真考慮其商業秘密客體屬性的對象。

（一）數據集合內容的多樣性

從美國法的歷史看，商業秘密法的保護客體最初主要是技術方案，〔9〕Robert G.Bone, A New Look at Trade Secret Law: Doctrine in Search of Justification, 86 California Law Review 241, 248（1998）.然后逐步擴展到各種形式的商業信息?！?0〕Amy Kapczynski, The Public History of Trade Secrets, 55 UC davis Law Review 1367, 1391 （2022）.現在，從商業秘密定義和國內外立法、司法解釋的示例看，商業秘密客體的保護范圍很廣?！?1〕有相反意見強調商業秘密條款中的示例實際上起到限制商業秘密范圍的作用，因而商業秘密客體的范圍可能比想象的要窄很多。See Eric E.Johnson, Trade Secret Subject Matter, 33 Hamline Law Review 563 （2010）.不過，這似乎并未成為美國學者的主流意見。比如，2016 年，美國聯邦層級的《保護商業秘密法》將商業秘密定義為任何形式和類型的財務、商業、科學、技術、經濟或工程信息?！?2〕See 18 U.S.C.§ 1836（The defend Trade Secrets Act）。該條還列舉了一些具體的例子，包括模式（pattern）、計劃（plans）、信息匯編（compilations）、程序裝置（program devices）、配方（formulas）、原型（prototypes）、方法、技巧（techniques）、過程（processes）、流程（procedures）、程序（programs）或代碼（codes）。美國有學者感嘆，現在不經過復雜訴訟，被告很難證明企業所持有的任何信息不構成商業秘密?！?3〕Amy Kapczynski, The Public History of Trade Secrets, 55 UC davis Law Review 408 （2022）.中國現行法所確定的商業秘密范圍也很寬泛，從2019 年修訂的《反不正當競爭法》第九條第四款的字面看，商業秘密涵蓋任何具有商業價值的商業信息（技術信息和經營信息）。其中，技術信息的含義比較明確，經營信息的含義則相對模糊。依據2020 年《侵犯商業秘密規定》第一條第二款，經營信息包括“與經營活動有關的創意、管理、銷售、財務、計劃、樣本、招投標材料、客戶信息、數據等信息”。這里提到了“數據”，但沒有明確其具體含義。最高人民法院的參與起草者后來解讀這一司法解釋的文章也沒有將這一點作為要點進行解釋?！?4〕林廣海等：《〈最高人民法院關于審理侵犯商業秘密民事案件適用法律若干問題的規定〉的理解與適用》，載《法律適用》2021 年第4 期。

企業收集的數據集合是否落入商業秘密客體的范圍，與數據條目的內容有直接的關系。如果數據條目是《侵犯商業秘密規定》第一條第一款所稱的“技術信息”，則數據集合無論是劃入“技術信息”或“經營信息”類別，都可以獲得商業秘密法的保護，對此應該沒有什么爭議。如果數據條目并非技術信息，則大多落入“經營信息”范圍，也可以輕松納入商業秘密的保護范圍。比如，網絡平臺收集的用戶注冊信息集合，其數據條目包含用戶Id、密碼、頭像、教育經歷、聯系方法等內容。此類數據條目與傳統的客戶信息類商業秘密可以直接類比，構成商業秘密，應該不成問題?！?5〕正如2020 年《最高人民法院關于審理侵犯商業秘密民事案件適用法律若干問題的規定》第一條第三款所說，“客戶信息，包括客戶的名稱、地址、聯系方式以及交易習慣、意向、內容等信息”。新浪訴脈脈案的訴爭數據集合是這一方面的典型代表?！?6〕參見北京微夢創科網絡技術有限公司訴北京淘友天下技術有限公司等不正當競爭糾紛案，北京知識產權法院（2016）京73 民終588 號民事判決書。再如，電商平臺、證券機構收集的用戶交易數據，醫療機構積累的病人醫療記錄數據，〔17〕Marc A.Rodwin, Patient data: Property, Privacy & the Public Interest, 36 American Journal of Law & Medicine 586, 588 （2010）.產品售后的用戶信息反饋數據等，也都直接與司法解釋中所列舉的“銷售”、“財務”和“管理”經營活動相關，顯然也是典型的商業秘密保護客體。淘寶訴美景案是涉及此類數據的典型案例。此外，企業物聯網收集的設備運行數據、地圖導航數據、公共車的時刻信息，也都落入“經營信息”的范圍。深圳公交公司案是典型案例，但法院并沒有按照商業秘密的思路來處理，十分遺憾?！?8〕參見深圳市谷米科技有限公司訴武漢元光科技有限公司等不正當競爭糾紛案，廣東省深圳市中級人民法院（2017）粵03 民初822號民事判決書。

雖然商業秘密法列舉的“經營信息”極其寬泛，覆蓋了絕大多數企業的數據集合，但是還是留下了一項重要的空白——文學藝術作品。從中外的立法或司法解釋看，文學藝術作品從未被商業秘密立法作為可能的保護客體直接加以列舉。比如，美國的商業秘密聯邦立法雖然不厭其煩地羅列了多種商業秘密的客體，卻并未提及普遍存在的文學藝術作品。在中國，最高人民法院的商業秘密司法所詳細列舉的典型“經營信息”示例中，盡管很多也可能構成作品，比如記錄經營創意、管理方法、銷售計劃、財務報表的文字作品、招投標文字作品、呈現樣本的美術或攝影作品等，但法院并沒有直接提到“文學藝術作品”。最高人民法院應該是認為，內容與經營活動無關的單純文學藝術作品，比如小說、劇本、視聽作品、書法或繪畫等作品本身，并不構成這里所述的“經營信息”，不能以商業秘密獲得保護。

既然文學藝術作品被排除出商業秘密客體的范圍，那么由文學藝術作品條目組成的數據集合，是否也因此被排除出商業秘密法的保護范圍呢？前面提到的期刊網論文數據庫、法規案例數據庫、社交媒體用戶內容集合、圖片庫中攝影作品集合、大眾點評類用戶評價數據集合，〔19〕參見上海漢濤信息咨詢有限公司訴北京百度網訊科技有限公司等不正當競爭糾紛案，上海知識產權法院（2016）滬73 民終第242號民事判決書。就是這方面的典型例子。顯然，這一類數據集合很有代表性，并具有重要的經濟價值。企業耗費實質成本收集了這樣的作品集合后，很可能會采取保密措施阻止競爭對手接觸和利用該數據集合。如果競爭對手刻意規避保密措施，盜取并利用該數據集合，則會引發商業秘密保護法是否適用的問題。因此，我們有必要深入探討此類重要的數據集合的商業秘密客體屬性。

（二）排斥文學藝術作品的原因

中外商業秘密法排斥文學藝術作品，表面的原因是，單純文學藝術作品并不屬于與經營活動有關的信息。不過，這一解釋并未觸及底層的政策性考慮。畢竟，利用商業秘密法保護未發表的文學藝術作品，原本并不產生操作層面的困難。比如，計算機程序代碼就獲得著作權法和商業秘密法的雙重保護。此外，“與經營活動相關”的信息，原本就有很大的解釋空間。對于專業的創作者或制片公司而言，文學藝術工作者創作文學藝術作品與軟件開發者編寫軟件代碼并無本質差別，很難說與經營活動無關。法律上厚此薄彼，需要更底層的政策性解釋。在筆者看來，底層的原因可能有多個方面。

其一，在著作權法自動保護文學藝術作品的背景下，作品發表前提供商業秘密的重疊保護通常是多余的。對于作品中的獨創性表達，著作權法禁止他人未經許可對它的發表、復制、演繹和傳播，提供了充分的激勵機制。潛在的商業秘密保護雖然并不完全與著作權保護重疊，但沒有實質超出這一范圍?！?0〕商業秘密法限制對商業秘密的“使用”，包括功能性使用或私人使用。這可能超出了著作權法的保護范圍。不過，對于權利人而言，這類使用的負面影響很小。因此，商業秘密法的補充保護沒有特別的意義。對于作品中記載的不受版權保護的技術方案、實驗數據、地理信息、客戶信息（客戶名單）、交易信息或經營計劃（思想）等內容，如果構成“技術信息”或“經營信息”，則依然能夠獲得商業秘密法的補充保護。當然，前提是它們還要符合商業秘密保護的秘密性、保密性和價值性等要件。

由此看來，文學藝術作品中真正處在空白地帶，既不受著作權法也不受商業秘密法保護的內容，其實相當有限，可能僅僅是非常抽象的作品創意、藝術風格、故事情節之類的內容。它們既非商業秘密法上的“經營信息”，又非著作權法意義上的“表達”。即便立法者愿意對這部分抽象思想提供商業秘密法的補充保護，也很可能會因為這些內容本身過于抽象或邊界過于模糊，難以確定客體邊界，而無法在操作層面落實該保護?！?1〕參見英國案例 de Maudsley v.Palumbo ［1996］ FSR 447。該案中，關于新舞廳的布局和經營思路被認為過于模糊，無法獲得商業秘密保護。比如，在具體的侵權個案中，如果抄襲的部分過于抽象，被控侵權者是否侵害了權利人的“商業秘密”就很難判斷。因此，在文學藝術作品的著作權保護的基礎上，提供商業秘密的重疊保護，沒有太大的意義。

其二，商業秘密法原本就無法有效保護文學藝術作品的表達。商業秘密法只能在作品發表前提供有限的保護，而大部分文學藝術作品要實現自身的商業價值，都要對外公開發表并傳播。這與商業秘密法的保密要求天然矛盾——一旦作品公開發表，商業秘密保護就失去用武之地。因此，沒有必要將文學藝術作品視為典型的商業秘密法保護客體。

其三，商業秘密法對單純文學藝術作品提供重疊保護，可能會在一定程度上影響著作權法激勵機制的運作。對文學藝術作品提供商業秘密的替代性保護，有可能降低部分著作權人公開發表作品的意愿，轉而更多地選擇利用商業秘密許可機制控制作品的傳播，從而將保護延伸至事實消息、技術方案、實驗數據等不受版權保護的客體內容，也可能延伸至著作權法原本并不限制的功能性使用行為。正是基于商業秘密保護可能妨礙版權法立法目的這一原因，美國聯邦版權法就不許可權利人依據州法對受聯邦版權法保護的內容提出平行的商業秘密保護主張，此即所謂的先占或排斥（Preemption）學說?！?2〕17 U.S.C.§ 301（a）。法院判斷商業秘密保護主張是否被聯邦版權法先占時，考慮下面兩項要件：主張保護的客體是否落入版權客體的范圍；所要保護的權利是否等同于版權法賦予的排他權?！?3〕Spear Mktg., Inc.v.Bancorpsouth Bank, 844 F.3d 464 （5th Cir.2016）; Globe Ranger Corp.v.Software AG U.S., Inc., 836 F.3d 477 （5th Cir.2016）.

上述前兩項理由只是說明，商業秘密的重疊保護沒有太大意義，但也沒有實質危害；而第三項理由涉及重疊保護對著作權激勵機制的負面影響，值得更認真地對待。不過，這種負面影響同樣很有限。首先，與技術方案不同，文學藝術作品的表達有充分的可替代性，部分作者選擇商業秘密路徑保護作品，對社會的負面影響微乎其微。其次，商業秘密法對未發表的文學藝術作品提供補充保護，不影響公眾在公共領域的行動自由。最后，商業秘密保護對于著作權人發表作品的積極性的影響也幾乎可以忽略不計。過去，人們對商業秘密法保護技術秘密是否會影響發明人申請專利積極性存在類似的擔心。美國聯邦最高法院認為，技術方案的商業秘密保護并不實質影響專利法激勵披露的公共政策，〔24〕Kewanee Oil Co.v.Bicron Corp., 416 U.S.470，491 （1974）.這也是世界各國立法者的共識——否則就不會出現商業秘密法與專利法在各國共存的局面。著作權法原本就有禁止未經許可公開發表他人作品的保護機制，同時，絕大部分作品的著作權人通過作品的公開傳播才能獲得實質性的回報。在此基礎上，有理由相信，即便單純文學藝術作品獲得商業秘密的重疊保護，也不會對著作權人發表作品的積極性產生實質影響。

正因為商業秘密的重疊保護沒有實質性的危害，美國法院在適用聯邦版權法的先占規則時，并不絕對排除各州商業秘密法的重疊保護。如果被告除了接觸和利用相關版權客體內容，還額外地違反了保密義務，則州法關于商業秘密保護的規則不被排除?！?5〕Computer Assoc.Int’l v.Altai, Inc., 982 F.2d 693, 716 （2d Cir.1992）.這大大限制了聯邦版權先占規則的適用范圍，使很多州法上的商業秘密的補充保護主張得到支持。顯然，法院更看重商業背信行為的可譴責性，從而更多地選擇無視重疊保護的微不足道的負面影響。此外，值得一提的是，自從美國2016 年通過聯邦層級的《商業秘密保護法》（defend Trade Secrets Act）之后，依據該法提出的商業秘密主張就不再被聯邦版權法先占或排除了，因為《商業秘密保護法》本身也是聯邦法律，不存在被聯邦法先占的問題?！?6〕John M.Williamson, The defend Trade Secrets Act and Copyright Preemption, https://www.finnegan.com/en/insights/articles/the-defendtrade-secrets-act-and-copyright-preemption.html, 2023 年8 月8 日訪問。因此，美國法下版權與商業秘密的重疊保護的可能性進一步增加。

綜上，商業秘密法排斥文學藝術作品，實現的公共政策收益有限。許可重疊保護，負面影響也同樣有限。在可預見的未來，這一結論都不會有太大的變化。因此，社會沒有放棄或改革這一傳統的迫切需要，商業秘密法很可能會繼續延續其排斥文學藝術作品的習慣做法。

（三）數據條目與數據集合客體屬性的區分

如前所述，商業秘密法排斥文學藝術作品表達，并非出于重要的著作權法公共政策的考慮。即便商業秘密法重疊保護作品表達，也不會帶來實質的負面影響。在此基礎上，商業秘密法保護由眾多作品條目組成的數據集合，損害著作權法公共政策的可能性就更小。原因很簡單，多數情況下，數據集合只有其中作品條目達到一定數量并且整體上具有秘密性之后，才能作為商業秘密客體獲得保護；該保護也僅僅限制公眾獲取和利用數據集合整體或實質部分，并不延及單個或有限數量的作品條目。因此，公眾對數據集合中公開的單個或有限數量的作品條目，及其中不受保護的事實或思想的自由利用，通常不受數據集合的商業秘密保護的影響。

當然，將文學藝術作品的集合視為商業秘密保護客體，負面影響很小，這還只能說明決策者可以對它提供商業秘密保護。更重要的問題是，是否有必要提供此類保護？答案是肯定的。當數據條目與數據集合在觀念上可以相互區分時，通常意味著二者體現了不同主體的勞動、資本投入或人格利益，法律需要分別向二者的創作者或投資人提供各自的保護路徑。比如，如果企業數據集合的數據條目是用戶或第三方創作的文學藝術作品，該用戶或第三方可以通過數據條目的著作權來保護自己的投入，而企業作為數據條目的收集者，并不能直接依據數據條目的著作權來保護自己的投入，因此需要平行的制度安排來保護該投入。商業秘密保護剛好可以填補這一制度空白。在這一保護機制下，數據集合的收集者能且僅能阻止別人通過不當手段從它那里獲取數據集合本身，而不能阻止別人對單個或有限數量的不滿足秘密性要求的數據條目的利用。因此，商業秘密法保護數據集合，僅僅保護收集者在數據收集過程中的勞動或投入，而不涉及該集合中的單個或有限數量的作品本身所耗費的勞動和投入?！?7〕關于生產數據條目的成本與數據集合的收集成本的區分及其法律意義的深入探討，參見崔國斌：《公開數據集合法律保護的客體要件》，載《知識產權》2022 年第4 期。后者由著作權法或其他相關法律提供保護，與商業秘密法無關。

其實，在觀念上區分作品表達與其中包含的商業秘密，分別提供著作權和商業秘密權保護，已經是很成熟的做法。如前所述，商業秘密法所保護的“經營信息”，很多都蘊含于作品（含單純的文學藝術作品）之中。比如，商業秘密法所保護的經營創意、管理方法、銷售計劃、財務報表、招標策略、產品樣品、地理信息等“經營信息”，大多記錄在文字作品、美術作品、攝影作品、衛星照片甚至是視聽作品中。記錄這些經營信息的媒介呈現出文學藝術作品的外觀，但這并不妨礙商業秘密法對它們所記錄的“經營信息”內容進行保護。沿著同樣的思路可知：文學藝術作品條目雖非商業秘密保護客體，但這不妨礙網絡平臺為經營目的收集的含有作品條目的信息集合在整體上構成商業秘密法的保護客體。

在處理由個人信息的數據條目組成的數據集合的商業秘密客體屬性時，法院實際上已經習慣這一思路。個人信息條目并非商業秘密客體，但這并不妨礙網絡平臺收集的個人信息集合整體上構成商業秘密客體?！?8〕比如，在衢州萬聯網絡技術有限公司與周慧民等侵害商業秘密糾紛上訴案中，原告的網站經過三年的經營，在2006 年時具有55 萬注冊用戶。法院認為，“55 萬注冊用戶的用戶信息（包括用戶名字段、注冊密碼字段和注冊時間字段等信息）是無法從公開的渠道或采取簡單的編排手段輕易獲取的”，因此構成商業秘密。上海高級人民法院（2011）滬高民三（知）終字第100 號民事判決書。含有作品條目的數據集合與含有用戶交易信息或用戶個人信息的數據集合，從信息匯編的角度看，表現形式并無本質區別；收集者投入的勞動的性質和數量，并無明顯的區別；兩類數據集合的應用場景和所要滿足的經營目的，也無本質差別。因此，無論是出于保護投資、制裁背信行為，還是為了避免自助措施導致的社會資源浪費，〔29〕關于商業秘密保護的目的，可以參考david d.Friedman, William M.Landes & Richard A.Ponser, Some Economics of Trade Secret Law, 5 Journal of Economic Perspectives 61 （1991）; Mark Lemley, The Surprising Virtues of Treating Trade Secret Rights as IP Rights,61 Stanford Law Review 311, 319-329 （2008）; Robert G.Bone, A New Look at Trade Secret Law: Doctrine in Search of Justification, 86 California Law Review 241, 248 （1998）。商業秘密法都沒有明顯的理由區分含有作品條目的數據集合與含有用戶交易信息或用戶個人信息的數據集合，拒絕保護前者卻保護后者。

在觀念上接受數據條目與數據集合二分的思路后，如何處理數據收集者的商業秘密權和數據條目所體現的在先權利人的利益的沖突，就成了數據商業秘密權屬方面的重要問題。這里所說的數據條目所體現的在先權益，可能包含用戶的隱私、個人信息、肖像、作品、商業秘密等。在現有的關于數據產權的討論中，很多學者因為數據條目中在先權益的存在，而無法接受或理解數據收集者對數據集合享有商業秘密權的觀念。比如，在數據條目的內容為個人信息時，很多學者可能就無法理解，為什么在無數用戶的個人信息權利之上，數據收集者可以對用戶個人信息的集合享有數據財產權（商業秘密權）?！?0〕比如，有學者認為匿名化的個人信息集合可能構成商業秘密，但是非匿名化的個人信息集合很可能不是收集者的商業秘密。Gintar? Surblyt?, data Mobility at the Intersection of data, Trade Secret Protection and the Mobility of Employees in the digital Economy, Max Planck Institute for Innovation and Competition Research Paper No.16-03（2016）, p.18, http://papers.ssrn.com/sol3/papers.cfm? abstract_id=2752989, 2023 年8 月28 日訪問。國內也有學者認為，源于個人的數據難以構成商業秘密。參見申衛星：《論數據用益權》，載《中國社會科學》2020 年第11 期。

其實，接受數據條目與數據集合相區分的觀念后，從法律上協調數據收集者與數據條目所涉第三方的利益關系變得很簡單。數據集合商業秘密權像傳統的知識產權一樣，也是一種消極權利，〔31〕WTO Report of the Panel dS 290: European Communities-Protection of Trademarks and Geographical Indications for Agricultural Products and Foodstuffs, WT/dS290/R, p.67, para.7.246.該裁決明確指出《與貿易有關的知識產權協議》（TRIPS 協議）所要求保護的知識產權只是消極的排他權利，而非權利人自己積極實施的權利。僅能夠保證權利人對自己收集并控制的秘密信息的控制，即排除他人未經許可的接觸、使用和披露該數據集合，并不能保證權利人自己可以主動使用和披露相關的數據條目信息。如果數據條目涉及第三方在先權益，則數據收集者利用和傳播數據集合的內容，需要獲得第三方的授權。比如，數據本身體現了自然人的個人信息，數據收集者在收集、處理和利用個人信息時，應當依據《中華人民共和國個人信息保護法》獲得授權。法律在處理數據收集者的商業秘密權與他人隱私、著作權、國家秘密等沖突時，基本思路是一致的?？傊?，數據收集者對數據集合整體所享有的商業秘密權與數據條目中第三方的在先權益，在觀念上相互獨立，相互牽制，并非單純地相互排斥。

三、企業數據集合的秘密性

秘密性是商業秘密獲得保護的最重要的要件之一。依據《侵犯商業秘密規定》第三條，秘密性是指有關信息“不為所屬領域的相關人員普遍知悉和容易獲得”。這里對秘密性作出了雙重的要求，其一，它事實上處于相對秘密狀態（“不普遍知悉”）；其二，“不容易獲得”，即從其他渠道“獲得該項信息要有一定的難度”?！?2〕蔣志培、孔祥俊、王永昌：《〈關于審理不正當競爭民事案件應用法律若干問題的解釋〉的理解與適用》，載《法律適用》 2007年第3期。其中，“不普遍知悉”要求，確保公眾在公共領域的行動自由不受影響；“不容易獲得”要求則進一步提高門檻，只有不當獲取商業秘密通過合法途徑難以獲得因而能夠給權利人帶來實質性的競爭優勢時，該商業秘密才能獲得保護。依照這一雙重標準，如果公眾無需實質投入（無需付出一定的代價）就能夠通過第三方公開渠道或反向工程而獲得該信息，則該信息處在“容易獲得”狀態，〔33〕Robert G.Bone, A New Look at Trade Secret Law: Doctrine in Search of Justification, 86 California Law Review 241, 249（1998）.不具備秘密性。

將上述秘密性標準應用于企業數據集合，可能存在以下幾方面的疑問：其一，很多數據集合的條目原本處在公開狀態，這是否會影響數據集合本身的秘密性？其二，企業雖然有實質投入，但并未作出創造性貢獻，這一事實是否足以認定該數據集合“不容易獲得”，因而具有秘密性？其三，網絡平臺對外提供服務，許可用戶獲取數據條目，但對數據集合整體加密，這是否影響數據集合的秘密性？

（一）數據條目與數據集合秘密性的區分

與客體審查環節類似，在判斷數據集合的秘密性時，我們也要區分數據條目與數據集合本身的秘密性。如果數據條目具有秘密性，則通常包含該數據條目的數據集合本身也具有秘密性?！氨热?，物聯網上私人設備產生的單個用戶數據、醫院的個人病歷數據、電子商務平臺后臺生成的單個用戶的交易數據、物流和航空公司用戶的個人行程數據等，都因為收集者采取了保密措施而使公眾無法通過公開渠道獲得。數據收集者之間的數據交換通常都是通過保密渠道進行的。單個用戶的數據具有秘密性，這些數據的集合自然也具有秘密性?！薄?4〕崔國斌：《大數據有限排他權的基礎理論》，載《法學研究》2019 年第5 期。

值得一提的是，關于私人設備收集信息的秘密性，德國的德萊克瑟（drexl）教授似乎有不同的意見。他認為工廠內的機器產生的信息有秘密性，而在開放道路上行駛的汽車所收集的信息不具有秘密性，因為其他汽車廠商也可以自由收集相同的信息?！?5〕Josef drexl, designing Competitive Markets for Industrial data Between Propertisation and Access, Max Planck Institute for Innovation and Competition Research Paper No.16-13 （2016）, https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2862975, p.23, last visited on Aug.28, 2023.國內也有學者認為，公共場所的傳感器收集的數據不具有秘密性?！?6〕參見申衛星：《論數據用益權》，載《中國社會科學》2020 年第11 期。與德國的德萊克瑟教授一樣，申衛星教授似乎因為場所本身的公開性而否認特定收集者本身所得信息的秘密性。這并非商業秘密法判斷秘密性的思路。耗費實質資源對公開售賣的商品進行反向工程所獲得的技術信息，依然有可能成為該收集者的商業秘密。其實，這里的關鍵不是其他產商可不可以在相同場所自由收集——商業秘密法原本就不禁止他人獨立收集或對公開渠道的產品進行反向工程。我們關注的不是街道場景的開放性，而是記錄在載體上的數據集合本身的秘密性?！?7〕Tommaso Fia, Resisting IP Overexpansion: The Case of Trade Secret Protection of Non-Personal data, 53 International Review of Intellectual Property and Competition Law 917, 926 （2022）.如果數據條目的收集需要實質投入，則意味著“不容易獲得”，從而滿足秘密性要求。不只如此，如果企業對其中原本就具有秘密性的數據條目進一步選擇、加工和編排，則會進一步增加數據集合本身的秘密性。比如，醫療機構通常會對醫療數據進行加工并作匿名化處理，使得數據集合中數據條目信息的存在狀態與原始數據的形態有很大差別，這些新形態的數據條目的結合就更可以被視為秘密信息了?！?8〕Marc A.Rodwin, Patient data: Propert, Privacy & the Public Interest, 36 American Journal of Law & Medicine 586, 588 （2010）.

實踐中，大多數企業的數據集合從數據條目到數據集合整體都不曾對外公開，或者部分數據條目公開而部分條目不公開。依據上述標準，這些數據集合大多應該能輕松滿足秘密性要求?！?9〕類似結論參見Tommaso Fia, Resisting IP Overexpansion: The Case of Trade Secret Protection of Non-Personal data, 53 International Review of Intellectual Property and Competition Law 917, 927（2022）。不過，作者認為這是知識產權過度擴張的表現，建議依靠知識產權法定原則等將這些未經加工的原始數據集合排除出商業秘密的保護范圍。真正引發爭議并且需要認真對待的是，所有數據條目通過前臺公開可得，而數據集合整體存儲在后臺，并不對外公開的情形。國外有學者認為，即便付出了很多時間、金錢和精力對公開的信息進行匯編，該匯編結果也不構成商業秘密。在這一意見的秉持者看來，即便該匯編結果具備了獨創性，也無法構成商業秘密，因為該數據條目可以從公開渠道獲得?！?0〕Sharon K.Sandeen, A Contract by Any Other Name is Still a Contract: Examining the Effectiveness of Trade Secret Clauses to Protect databases, 45 IdEA-the Law Review of the Franklin Pierce Center for Intellectual Property 119, 134 （2005）.國內也有類似意見認為：“對于現實中大多數的數據信息而言，信息制作者采集的信息本身大多來自公有領域，是任何人均可以從公開渠道直接獲取的，顯然，將各地為公眾所知的信息匯編之后形成的成果認定為具有秘密性是荒謬的?！薄?1〕芮文彪、李國泉、楊馥宇：《數據信息的知識產權保護模式探析》，載《電子知識產權》2015 年第4 期。這些意見實際上忽略了數據集合與它所包含的數據條目的秘密性的差別。數據集合整體的“普遍知悉”或“容易獲得”，應該是指公眾“普遍知悉”或“容易獲得”數據集合的整體，而不是單個條目的“普遍知悉”或“容易獲得”。單個數據條目處在公共領域，并不當然意味著數據集合整體就很“容易獲得”。如果數據條目分散在公共領域，而公眾將這些數據條目收集起來需要耗費實質的勞動和投入，則意味著該數據集合作為一個整體，不為公眾所普遍知悉，也不容易獲得，因此依然具有秘密性。當然，如果將公開的數據條目收集起來放在一起是很容易的事情，則收集者所得到的數據集合并不具備秘密性。

雖然筆者主張利用商業秘密法保護整體上依然具有秘密性的數據集合，但并不反對通過專門立法保護整體公開的數據集合。如果收集者對外公開的數據條目達到實質數量并耗費收集者實質投入，則有可能、有必要給予有限的排他權（比如公開傳播權），以阻止部分不正當競爭行為?！?2〕進一步的討論超出本文的范圍，可參考崔國斌：《大數據有限排他權的基礎理論》，載《法學研究》2019 年第5 期。專門立法對公開數據集合的有限保護，應該遠比商業秘密法對未公開數據集合的保護力度要弱。它不是要取代商業秘密法，而是與之配套或銜接，彌補商業秘密法不保護公開數據的不足。

（二）無創造性但有實質投入的數據集合

在數據條目本身沒有秘密性的情況下，如果收集者對數據條目進行了選擇、編排和加工，體現了個人的創造性的勞動，則一般認為這些數據集合整體在公共領域并不存在（“不普遍知悉”），且“不容易獲得”，具備秘密性。如果收集者單純付出了實質性的收集成本但未付出創造性勞動，則數據集合的秘密性可能存在爭議。比如，網絡平臺將源自用戶或物聯網設備的數據條目匯總在一起形成的數據集合，類似中國期刊網或Google 圖書館項目制作的數字化的作品數據集合等。部分意見傾向于在秘密性審查環節引入創造性的要求，即強調此類數據集合缺乏收集者的創造性勞動，雖然不被普遍知悉，但不滿足“不容易獲得”的要求。

表面上，商業秘密的構成要件中并沒有直接的創造性的要求。但如果愿意，法院的確有可能通過解釋秘密性要件中的“不容易獲得”要求，使之涵蓋創造性的要求?！安蝗菀撰@得”，既可被解釋為需要耗費實質性投入，所以不容易獲得，也可被解釋為需要付出創造性勞動，所以不容易獲得。法院如果強調后者，則相當于在秘密性標準中變相地引入創造性的要求，對數據集合的秘密性認定有重大影響。

從商業秘密保護的司法實踐看，各國法院在“創造性”問題上常常含糊其辭，缺乏明確論述。美國法上，信息匯編類（compilations）商業秘密案件容易涉及這一問題。傳統意義上的信息匯編，通常是指企業在經營過程中編制的體現客戶偏好或個性需求的客戶信息?！?3〕Sea Coast Fire, Inc.v.Triangle Fire, Inc., 170 So.3d 804 （Fla.3d dCA 2014）；PSC, S.A.v.PriceSmart, Inc., 07-21383-CIV, 2007 WL 2781021 （S.d.Fla.Sept.19, 2007）.匯編結果體現了匯編人員直接的主觀判斷和選擇。部分法院因此強調，數據收集者增加了他大腦里的東西（things from his head），使得信息匯編具有了價值；〔44〕Airfacts, Inc.v.de Amezaga, 909 F.3d 84，96 （4th Cir.2018）.或者，商業秘密中融入了個人的分析判斷?！?5〕Motor City Bagels, L.L.C.v.Am.Bagel Co., 50 F.Supp.2d 460, 473–79（d.Md.1999）.但是，很少見到法院明確宣稱，信息匯編人員的主觀分析判斷和選擇編排是此類信息匯編具有秘密性的前提條件。

英國法院在信息匯編類商業秘密案件中也強調個人判斷力，并接近引入創造性要求。在de Maudsley v.Palumbo 案中，英國法院指出，將單個不具有新穎性的特征組合在一起，并不當然使得匯編結果具有新穎性（novel）?！?6〕de Maudsley v.Palumbo ［1996］ FSR 447, 459.這里所說的新穎性應該是指商業秘密法意義上的秘密性。英國著名法官拉迪（Laddie）認為，數據收集者如果只是付出機械勞動，可能并不足以使得數據集合具有秘密性（confidentiality），該匯編行為應是人腦思維技巧的產物（the product of the skill of the human brain）。僅將公開可得的信息不加選擇地編在一起，即使耗費一定的時間和精力，該信息集合也不應被視為具有秘密性（confidential），因為沒有應用相關的技巧（relevant skill）?！?7〕英國的拉迪（Laddie）法官持此類意見。Ocular Science v Aspect Vision, ［1997］ RPC 289, 374-375.該法官認為，如果承認這類信息集合具有秘密性，就將導致他人可以自由獲取信息條目，卻不能將它們集中起來使用?！?8〕Ocular Science v Aspect Vision，［1997］ RPC 289, 374-375.這一擔心表明，該法院似乎誤解了商業秘密保護的本質。實際上，商業秘密法保護數據集合整體，只是禁止公眾違反保密義務或者通過不當手段利用從權利人那里獲得的數據集合的整體或實質部分，并不妨礙公眾獨立收集和利用具有相同內容的數據條目和數據集合。在權利人對數據集合整體采取保密措施但通過前臺以受控方式對外公開提供有限數據條目的情況下，公眾從前臺合法獲得數據條目形成數據集合后，利用該數據集合，一般也不受商業秘密保護的影響。進一步討論可以參考本文第三部分第三小節。

在我國，最高人民法院并未在司法解釋中明確“不容易獲得”是否包含創造性的要求?！肚址干虡I秘密規定》第四條列舉了“有關信息為公眾所知悉”的諸多示例，從該條的文字表述中看不出有創造性的要求。過去最高人民法院法官在解釋秘密標準時，認為“那些相關人員不需要創造性勞動，僅僅是經過一定的聯想即能獲得的信息，就是容易獲得的信息”?！?9〕蔣志培、孔祥俊、王永昌：《〈關于審理不正當競爭民事案件應用法律若干問題的解釋〉的理解與適用》，載《法律適用》2007 年第3 期。這里似乎暗含某種創造性要求。地方法院在個別案例中對商業秘密提出創造性的要求，馮勇訴微軟公司案就是一例。在該案中，馮勇通過比對微軟拼音輸入法中的漢字注音與公開出版物上的標準注音，發現了微軟拼音輸入法的諸多錯誤，并整理出校正清單。關于該校正清單是否屬于商業秘密，法院認為：“馮勇對拼音輸入法中字的注音羅列后與公開出版物上字的注音進行對比后，從而發現其中部分注音不當，這種校正工作雖然工作量較大，但屬簡單的智力活動，不包含任何創造性智力勞動。不為公眾所知悉是指商業秘密應具有一定新穎性和創造性，即已經達到一定的技術水平，商業秘密與已有智力成果相比，必須具有一定的進步性，亦即該項技術秘密是創造性勞動的結果，而非本專業的一般技術人員不經研究就能夠得出，也不是借助簡單的推理和實驗即可必然獲得?！薄?0〕馮勇訴微軟（中國）有限公司案，湖北省武漢市中級人民院（2003）武知初字第70 號民事判決書。

在數據集合的商業秘密保護成為熱點問題之前，對于秘密性標準中是否應包含創造性要求，深入的學術研究并不多見。英國權威教科書的作者感嘆，將公開信息轉化為商業秘密法保護的信息集合，究竟需要何種類型和程度的勞動，是一個困難的問題，沒有引起學術界足夠的關注?！?1〕Lionel Bently, Brad Sherman, dev Gangjee & Phillip Johnson, Intellectual Property Law, Oxford University Press, 2018, p.1232.他們傾向于認為，數據集合的秘密性的門檻應該比較低，僅僅需要體現一定程度的技巧、勞動或判斷（some degree of skill，labour or judgement）?！?2〕Lionel Bently, Brad Sherman, dev Gangjee & Phillip Johnson, Intellectual Property Law, Oxford University Press, 2018, p.1232.這一意見與英國法院的立場有明顯的差異，似乎降低了對思維技巧或個人判斷力的要求。在這一意義上，它優于上述拉迪法官的意見。

不過，筆者認為，我們應當比上述英國教科書的意見走得更遠，徹底擁抱“實質性投入”標準，即商業秘密的秘密性標準中不應包含創造性的要求。只要數據收集者付出“實質性投入”，就滿足了“不為公眾所知”的秘密性標準。這里的“實質性投入”應當作相對寬泛的理解，既可能是量上的資本或勞動投入，也可能是質上的勞動投入，即體現了收集者的創造性勞動。

在認定商業秘密是否“容易獲得”時，采用“實質性投入”標準符合商業秘密法設置秘密性要件的初衷。如前所述，商業秘密法設置秘密性要件的目的在于維護公共領域的行動自由，確保受保護的商業秘密能夠為經營者帶來競爭優勢。為了實現上述立法目的，商業秘密法并沒有必要刻意區分機械勞動（或單純資本投入）和創造性勞動。只要數據集合需要耗費收集者實質性的機械勞動或單純的資本投入，那就意味著公共領域并不存在現成的數據集合。對它進行保護，并不妨礙公眾在公共領域的行動自由。同時，耗費了實質性投入通常意味著數據集合能夠為經營者帶來實質性的競爭優勢。如果商業秘密法不保護這一類耗費實質性投入的勞動成果，就會使商業秘密法的立法目的受挫：縱容背信等違反商業道德的行為，增加企業間數據交易的成本，使得數據行業陷入叢林法則，刺激企業私下耗費更多資源于保密措施，造成社會資源的浪費?！?3〕Mark Lemley, The Surprising Virtues of Treating Trade Secret Rights as IP Rights, 61 Stanford Law Review 311, 333-334 （2008）.最終，這會影響企業在數據服務領域的投資積極性。這原本正是商業秘密法所力圖避免的結果。

實際上，傳統商業秘密所保護的諸多秘密信息內容，很可能也只是持續努力經營過程中偶然原因成就，而未必一定體現最低限度的創造性。比如，客戶信息、〔54〕法院在判斷客戶信息的秘密性時，關注的核心要素就是原告“為客戶信息形成所付出的勞動、金錢和努力”。參見江蘇省高級人民法院《侵犯商業秘密民事糾紛案件審理指南》（2021 年）第2.5.3 節。合同報價、核心原材料來源信息等等就都是如此。在具體個案中，是否有創造性貢獻也是法院很難事后查證的事實。因此，沒有特別的理由要在數據集合的秘密性判斷中引入創造性要求。在一些信息匯編類商業秘密案例中，中外部分法院強調信息匯編者的創造性勞動或個人判斷力，在特定的時代背景下有一定的合理性。眾所周知，傳統的信息匯編類數據集合的規模比較小，數據的數量通常有限，僅僅依據數據規模這一事實常常不足以證明收集者付出了實質性的投入。比如，典型商業秘密案件中的客戶信息的數據條目不過數條或數十條?！?5〕在Art & Cook, Inc.v.Haber 案中，訴爭的客戶信息只有70 條。Art & Cook, Inc.v.Haberm, 416 F.Supp.3d 191 （E.d.N.Y.2017）.法院在判斷秘密性時，強調匯編類商業秘密應體現個人的創造性勞動或判斷力（質量），〔56〕Sea Coast Fire, Inc.v.Triangle Fire, Inc., 170 So.3d 804,808 （Fla.3d dCA 2014）; Kavanaugh v.Stump, 592 So.2d 1231, 1232（Fla.5th dCA 1992）; E.Colonial Refuse Serv., Inc.v.Velocci,416 So.2d 1276, 1278 （Fla.5th dCA 1982）.而不是強調數據收集的規模和匯總數據的行為本身的成本，是完全可以理解的。這大概也是在“以質取勝”的傳統時代的合理選擇。

不過，在面對更大規模的數據集合時，上述“以質取勝”的思路就顯得不合時宜，應該代之以“質量并舉”的思路。在二三十年前，移動存儲設備的容量還相當有限，數據尚未像今天這樣被大規模數字化。大規模的數據集合原本就不多，侵權也不容易。在依靠存儲量只有2M 的軟盤交換數據，同時又沒有有效分析工具的年代，大規模數據集合的商業秘密保護，并無現實需求?！?7〕有學者將網絡或電子數據集合類比為“現實生活中廣泛存在的排斥他人訪問的藏書館、資料庫等”，認為“相關機構對其所控制的整體信息從未產生類似商業秘密保護的問題”。因此，企業數據集合并不適宜定性為商業秘密。參見梅夏英：《企業數據權益原論：從財產到控制》，載《中外法學》2021 年第5 期。其實，對于非電子化的資料庫或藏書館，未經許可侵入館內不當獲取實質數量的圖書資料的情形，幾乎不可能發生，即便發生也需要耗費入侵者實質性的復制成本，并且，收集者基于物理場所或圖書財產的實際控制，也能獲得救濟。這應該是這一領域沒有產生商業秘密保護問題的原因。如果技術進步到入侵者一夜之間可以合法地以極低成本物理復制一座藏書館或資料庫，然后與該藏書館和資料庫競爭客戶，法律的應對就可想而知了，而這正是今天網絡環境下數據收集者所面對的挑戰。因此，過去的商業秘密法沒有經歷太多的侵害大規模數據集合商業秘密的案件，〔58〕到目前為止，在美國和歐洲，真正處理大規模數據集合商業秘密爭議的案件并不多見。參見Tommaso Fia, Resisting IP Overexpansion: The Case of Trade Secret Protection of Non-Personal data, 53 International Review of Intellectual Property and Competition Law 917, 923（2022）。中國雖然涉及數據集合的爭議較多，但這些爭議也極少被視為商業秘密爭議。傳統信息匯編類案件的判決思路還在頑強地發揮影響力?，F在，網絡數據行業發生了天翻地覆的變化。數據的大規模存儲、自動整理加工、網絡檢索等技術飛速發展?！昂Ａ繑祿氖占ぷ鞅旧沓３：馁Y巨大，同時，數據收集者不再需要以某種體現獨創性的方式對數據進行深加工，就可以直接向用戶提供數據。這是因為數據檢索技術的進步使得很多信息的個性化整理、分類和編排變得不再重要。用戶可以方便地在非結構化的數據集合中找到自己所需的具體信息。對于用戶而言，重要的是數據本身，而非收集者本身的獨創性貢獻?！薄?9〕崔國斌：《大數據有限排他權的基礎理論》，載《法學研究》2019 年第5 期。在新的技術條件下，如果商業秘密法固步自封，繼續強調收集者對數據選擇和編排過程中的創造性勞動或個人判斷力，就會導致比傳統信息挖掘或匯編耗費更高成本也更有商業價值的數據集合反而無法得到商業秘密保護的尷尬局面。這明顯違背了商業秘密法的立法目的。

美國有學者認為，在匯編作品上，著作權法放棄了“額頭出汗”標準，商業秘密法應該與著作權法在這一問題上保持一致，也就是說，在考慮數據集合是否應該獲得商業秘密保護時，數據收集過程中的實質投入是一個無關的因素?！?0〕Sharon K.Sandeen, A Contract by Any Other Name is Still a Contract: Examining the Effectiveness of Trade Secret Clauses to Protect databases, 45 the Law Review of the Franklin Pierce Center for Intellectual Property 119, 137（2005）.這一意見忽略了著作權法與商業秘密法的重要差別。著作權法沒有將“實質性投入”作為獨創性的替代標準，是因為立法者認為在絕大多數情況下，著作權法保護作品中的獨創性表達就可以為作者提供足夠的激勵，而無須進一步將保護延伸到不具有獨創性的事實或抽象思想。從公眾的角度看，這導致部分沒有獨創性但依然需要激勵的“作品”（比如沒有獨創性的數據集合）無法獲得著作權保護，需要在著作權法之外尋求補充性的保護。商業秘密保護正是在著作權法之外的補充保護選項。

將“實質性投入”標準應用到數據收集領域，絕大部分達到商業規模的數據集合，其收集過程都需要耗費實質性的成本，能夠輕松滿足這一標準。比如，網絡平臺利用平臺系統自動收集的百萬或千萬用戶的個人信息、交易數據、用戶創作內容的集合，網絡導航系統人工或自動收集的海量的地址信息、交通路線信息集合，網絡搜索引擎利用網絡爬蟲收集的關于成千上萬的網絡站點內容的數據集合，輕易就能耗費收集者上百萬元甚至更高的成本。因此，只要這類數據集合的文件包或其實質部分，并未被收集者完整對外提供，則此類數據集合應該能夠輕松滿足秘密性要求，即該數據集合整體上并“不容易獲得”。當然，在具體個案中，我們依賴法院結合相關行業實踐來確定訴爭數據集合是否滿足“不容易獲得”標準所需要的實質性投入或數據規模?！?1〕具體可以參考公開數據集合保護所需要的實質投入標準并作適當變通。限于篇幅，筆者于本文中不作深入討論。參見崔國斌 ：《公開數據集合法律保護的客體要件》，載《知識產權》2022 年第4 期。有人可能會擔心這一標準過于模糊，使得數據集合的客體邊界不夠明確。其實這是所有類型商業秘密保護都要面對的難題，并非數據集合所特有。想象一下，最為典型的技術信息和客戶信息，關于它們是否“不容易獲得”的判斷，可能遠比大規模數據集合要復雜?！?2〕以客戶信息為例，法院判斷客戶信息的秘密性時要考慮諸多不確定的因素，包括原告“為客戶信息形成所付出的勞動、金錢和努力”。參見江蘇省高級人民法院《侵犯商業秘密民事糾紛案件審理指南》（2021 年）第2.5.3 節。我們并沒有因此對商業秘密保護制度失去信心。

（三）數據條目受控開放的數據集合

筆者在前一節中關注的是，分散在公共領域或處在公開狀態的數據條目，被集中起來形成數據集合后，該數據集合的秘密性。假定收集者在獲得數據集合后，不再對外提供該數據集合的數據條目，因此，分析的重心就放在收集前數據條目的存在狀態以及收集工作耗費的成本上，由此得出結論也很清楚，即這類數據集合通常能夠滿足秘密性的要求。

在本節中，筆者準備再往前邁一步，假定企業在收集完成數據集合后，因為自己商業模式的需要向公眾公開提供數據條目。典型的做法是：企業將數據集合整體存儲在網絡服務器后臺并采取訪問口令或類似保密措施，未經特別許可，公眾無法訪問該后臺數據集合；同時，收集者通過前臺用戶端界面，許可公眾（用戶）通過前臺渠道獲取一部分數據條目。比如，公交信息服務平臺在對外提供公共汽車的行駛路線和時刻信息查詢服務時，僅僅在前臺向單一用戶提供其查詢的特定目標路線的相關公交信息，而不提供后臺存儲的實質量的公交數據信息。在提供此類信息時，平臺會采用技術措施，限制公眾繞過前臺渠道直接訪問后臺存儲的與本次查詢服務無關的公交信息?！?3〕參見深圳市谷米科技有限公司訴武漢元光科技有限公司等不正當競爭糾紛案，廣東省深圳市中級人民法院（2017）粵03 民初822號民事判決書。又如，著名的社交網站LinkedIn 許可注冊用戶人工瀏覽其他用戶公開發布的內容，但是在網站的用戶協議中禁止用戶使用自動工具從其服務器下載數據或規避訪問限制措施?！?4〕Article 8.2 of the LinkedIn User Agreement of 2022, https://www.linkedin.com/legal/user-agreement, 2023 年8 月28 日訪問。同時，它也實際采取技術措施阻止用戶利用網絡爬蟲工具?！?5〕LinkedIn, Prohibited Software and Extensions, https://www.linkedin.com/help/linkedin/answer/a1341387/prohibited-software-andextensions?src=re-other&veh=www.natlawreview.com，2023 年8 月28 日訪問。多數面向公眾的數據服務大多采用類似模式，比如，地圖導航服務、搜索引擎服務、期刊全文數據庫服務、股市信息服務、天氣預報服務，等等。這些服務商許可用戶獲得公開的碎片化的數量有限的數據條目信息，但是并不許可用戶直接訪問或下載后臺存儲的完整的數據集合。這一做法與上一節所假設的公開數據條目匯集成數據集合后被完全封閉起來的情形有重要的差別。完全封閉的數據集合容易滿足秘密性要件，爭議較小。企業通過前臺限制性地提供數據條目，是否影響后臺存儲的數據集合的秘密性，則是一個充滿爭議的問題，值得深入探討。

在探討這一問題之前，有必要在此先回應部分人可能會有的另一疑惑：既然企業通過前臺對外公開數據條目，那為什么還需要關注此類數據集合的秘密性問題呢？這是因為企業僅僅許可用戶通過前臺獲取公開的數據條目，而不希望用戶或競爭對手破壞它的后臺的控制措施，直接下載后臺存儲的數據集合本身?？墒?，總是有部分用戶或競爭對手試圖突破這一限制，破解后臺訪問口令之類的加密措施，直接下載包含數據集合整體內容的文件包。這時，企業如果針對該非法獲取后臺數據集合的行為提起商業秘密侵權之訴，后臺存儲的數據集合是否具有秘密性，就成為這一爭議中的關鍵問題。前述深圳公交汽車信息案就是這方面的典型案例。該案中，公眾不能夠獲取原告存儲在服務器后臺關于公交實時情況的數據集合。被告采用黑客手段破解了原告客戶端安裝包的加密算法獲得密鑰，將自己的程序偽裝成原告授權客戶端，然后利用爬蟲工具下載原告服務器后臺數據，日均獲得300 萬至400 萬條實時數據?！?6〕參見深圳市谷米科技有限公司訴武漢元光科技有限公司等不正當競爭糾紛案，廣東省深圳市中級人民法院（2017）粵03 民初822號民事判決書。再如，在湖南蟻坊案中，被告通過技術手段破壞或者繞開新浪微博所作的技術限制，獲取新浪服務器后臺存儲的用戶登錄后都難以看到的數據?！?7〕參見湖南蟻坊軟件股份有限公司與北京微夢創科網絡技術有限公司不正當競爭糾紛案，北京市高級人民法院（2019）京73 民終3789 號民事判決書?！拔艄菊J為直接攻擊微博平臺服務器是蟻坊公司抓取微博平臺后端數據最為可能采用的方式?！毕伔还驹诙徶性噲D提交證據證明，自己為政府提供輿情監測服務，取得了新浪微博運營方的同意通過五個數據接口賬號獲取和使用新浪微博的高權限數據。但該案中法院并未最終查明這一事實。即便后一說法屬實，這也是違反了協議目的保留并使用微博后臺數據。

在上述爭議中，應當從觀念上區分后臺存儲的數據集合和前臺公開的數據條目。從商業秘密保護的角度看，二者可以是相互獨立的客體。對于后臺存儲的數據集合，網絡平臺通常會采取有效的技術措施阻止公眾未經許可訪問。比如，設置API 接口的訪問密碼；對數據包本身加密，避免泄露后被識別，等等。此類API 接口或文件加密措施完全禁止用戶未經許可以人工方式或通過自動工具訪問數據集合?！?8〕比如，Google 公司就建議，如果不希望爬蟲訪問隱私文件，應采用文件加密方式加以控制。Google 搜索中心：《robots.txt 簡介》，https://developers.google.com/search/docs/crawling-indexing/robots/intro?hl=zh-cn，2022 年12 月1 日訪問。未經特別授權，公眾無法通過該接口獲取該數據集合的任何內容；即便數據不慎泄露，公眾通常也很難破解該加密措施而讀出數據具體內容。因此，從商業秘密法的角度看，這類保密措施的合理性通常不會受到質疑。如果第三方違反許可協議，〔69〕比如，北京微夢創科網絡技術有限公司訴北京淘友天下技術有限公司等不正當競爭糾紛案，北京知識產權法院（2016）京73 民終588 號民事判決書。在本案中，被告獲得許可利用不對外開放的API 接口獲取微博的秘密的用戶數據集合，但被告超出許可范圍爬取更多的數據。這應該可以按照商業秘密許可爭議來處理，但是法院并沒有這么做?；蛘咂茐木W絡平臺的后臺保密措施，直接從后臺下載存儲了數據集合整體或實質部分的文件包，甚至破解平臺針對該文件包采取的加密措施，則這一行為侵害了平臺就該數據集合整體所享有的商業秘密。

對于網絡平臺通過前臺客戶端許可公眾訪問的數據條目，即便平臺利用用戶協議和反爬蟲措施限制用戶獲得過多的數據條目，也不影響所有通過前臺能訪問的處在分散狀態的數據條目本身被視為公開信息。理由是，網絡平臺雖然采取了反爬蟲措施限制單個用戶獲得數據條目的數量，但是，只要任意一條數據條目處于可以通過人工瀏覽的方式獲取的狀態，則該數據條目本身就不再具有秘密性。用戶規避反爬蟲措施，或者違反禁止使用爬蟲工具的約定，利用爬蟲工具替代人工從前臺渠道收集這些公開的數據條目，是否應當承擔違約責任或其他法律責任，如侵權法、網絡安全法、反不正當競爭法（包括專門的公開數據集合的保護立法）、反壟斷法上的法律責任，已經超出本文關注的范圍。即便用戶依據這些法律需要承擔法律責任，那也不是因為它侵害了商業秘密。以商業秘密保護的名義來制止用戶使用爬蟲工具獲取原本公開的數據條目，不符合商業秘密法的內在邏輯。

接下來的問題是，平臺通過前臺向用戶公開提供數據條目時，后臺存儲的數據集合整體的秘密性是否因此而受到影響呢？如前所述，這里假定網絡平臺雖然許可公眾通過網頁瀏覽或客戶端界面獲取數據集合中任意數據條目，但并不許可它們直接訪問后臺存儲的數據集合整體（文件包）。從秘密性判斷的角度看，后臺存儲的數據集合文件包是否具有秘密性，不只取決于平臺是否直接針對數據集合采取有效保密措施（比如訪問口令限制與數據包加密），還取決于公眾通過前臺爬取該數據條目并重新匯總的難度或成本大小，或者公眾通過第三方公開渠道收集數據匯總后形成相同數據包的難度或成本大小?，F實中，平臺大多會采取直接的后臺保密措施，同時也會在前臺采用有效技術措施對抗網絡爬蟲。網絡平臺利用技術手段偵測到用戶使用爬蟲后，會立即停止向用戶提供數據服務或采取其他限制措施。這導致公眾通過前臺爬取服務器數據的成本急劇上升，不再能輕易獲得數據集合的實質內容或整體。公眾要像收集者那樣從其他公開渠道重新收集所有的數據條目，通常更加困難，耗費甚至超出原始的收集者。因此，雖然網絡平臺許可用戶通過前臺以受控制的方式獲取有限的數據條目，可是用戶要獲取該數據集合整體或實質部分并不容易。此時，從法律上我們不應將前臺界面上任意數據條目的公開性，解釋為后來存儲的數據集合整體的“普遍知悉”或“容易獲得”，否則商業秘密法對于數據條目與數據集合秘密性的區分就會失去意義。

上述分析思路的假設前提是，網絡平臺采取有效的反爬蟲措施，導致用戶很難通過爬蟲工具在極短的時間里以很低成本收集前臺的數據條目，并將它們匯總起來形成新的數據集合。此時，反爬蟲技術措施之于數據集合，類似于程序代碼加密之于軟件源代碼。只要反爬蟲措施達到合理的“強度”，能有效阻止絕大部分專業用戶獲得后臺服務器中存儲的實質數量的數據條目，就能夠保證用戶通過前臺重新收集數據集合的內容變得“不容易”。換言之，前臺零散的數據條目的公開，并不當然導致后臺存儲的數據集合本身失去秘密性。

如果平臺采取有效反爬蟲措施這一假設前提不存在，即用戶很容易利用爬蟲工具從前臺獲得與網絡平臺后臺存儲的數據集合內容大致相同的新的數據集合，則意味著后臺存儲的秘密信息實際上處在“容易獲得”的狀態，從而失去了秘密性。其中的道理就像企業采取保密措施保護自己存儲在電腦里的產品設計方案，同時又公開出售自己的產品，公眾很容易通過觀察或測量該產品而獲得該設計方案內容。這時候，即便第三方不當獲取了企業存儲在電腦里的設計方案，也未必侵害企業的商業秘密，原因是該設計方案事實上已經處在“容易獲得”狀態而被認為不具秘密性。

美國的CompuLife v.Newman 案很好地說明了這一點。在該案中，CompuLife 通過公開網絡渠道收集了大量的保險公司的人身保險種類、服務條款和費率等信息，整理后存儲在自己服務器上的數據庫里，對外提供查詢服務。保險公司更新數據后，CompuLife 也會及時更新自己的數據庫。用戶通過網頁遞交查詢關鍵詞后，CompuLife 通過網頁反饋給用戶查詢結果，即用戶所希望了解的保險服務的可能保險費率等信息。CompuLife 利用技術措施將數據庫保護起來，公眾不能直接接觸服務器上存儲的該數據庫集合本身。被告利用原告客戶的賬號訪問其數據庫，在很短時間里發出80 萬份“查詢請求”（get commands）。每份“查詢請求”模擬一個用戶場景，原告服務器提供50 家左右保險公司的服務條款。面對上述“查詢請求”，原告的服務器提供了大約4350 萬份查詢結果。這些結果信息被存入被告的服務器，然后對外提供跟原告相同的服務。原告在自己的信息中添加了水印，從而發現被告這一行為。原告得知上述行為后，并沒有馬上關閉服務器對“查詢請求”的響應功能。原因是，其他程序員還是依賴這一簡單的功能來獲得信息。后來，原告添加了一項新的功能（degrade function），可以有效阻止此類數據抓取行為（scraping）。當然，在權利人對公眾開放查詢服務的情況下，絕對禁止任何數據抓取行為并不現實。此外，原告事后還添加了用戶協議，對數據抓取行為進行約束。不過，在本案被告借用用戶賬號抓取數據時，該用戶其實并不受用戶協議的約束?！?0〕CompuLife Software, Inc.v.Newman, Case No.9:16-CV-81942-Rosenberg/Brannon, at 3-8 （S.d Fla.Jun.12, 2017）.

在該案中，美國第十一巡回上訴法院認為，盡管原告數據庫中保險公司的單條報價信息是公開的，但是這并不意味著包含這些報價信息的數據庫作為一個整體，不是商業秘密。被告從數據庫中直接獲取數據，到一定程度后就會侵害原告的商業秘密，否則法律明確規定的信息匯編（compilations）的商業秘密保護就失去意義。在確認數據集合（數據庫）構成商業秘密的基礎上，法院認為原告預期自己用戶通過人工瀏覽網頁并檢索的方式獲得相關信息，而被告借用原告客戶賬戶并利用黑客手段（爬蟲技術）大量獲取數據的方式，構成商業秘密法意義上的不當獲取行為（misapproriation）?！?1〕Compulife Software Inc.v.Newman, 959 F.3d 1288, 1314 （11th Cir.2020）.

筆者認同美國法院關于數據條目來源于公開領域，并不妨礙該數據集合本身獲得秘密性的論述；也支持法院關于原告許可用戶通過網頁檢索界面獲取任意數據條目并不當然妨礙該數據集合繼續具備秘密性的暗示結論。但是，筆者并不認為原告對外提供數據服務時，有效控制了用戶的瀏覽或檢索行為。相反，用戶在法律上并未受到保密協議約束（沒有簽署用戶協議），在技術上也沒有受到有效的反爬蟲措施的制約，可以相對輕松地從原告的服務器上收集公開的數據條目，進而獲取數據集合的實質部分內容?！?2〕CompuLife Software, Inc.v.Newman, Case No.9:16-CV-81942-Rosenberg/Brannon, at 3-8 （S.d Fla.Jun.12, 2017）.從法院判決所披露的獲取過程看，難謂“不容易獲得”。因此，筆者傾向于認為，原告在提供數據服務時，該數據集合內容并不處于“不容易獲得”的狀態，因此不滿足秘密性的要求。

四、商業秘密之外的替代選擇

與筆者于本文中堅持盡量依靠商業秘密法保護企業數據集合的主張不同，很多意見主張在商業秘密法的框架外解決企業數據集合的產權保護問題。比如，日本和韓國的立法者就沒有選擇重新解釋現有的商業秘密制度，使之能夠覆蓋大部分企業數據集合，而是選擇在商業秘密之外，通過平行立法來保護部分企業數據集合。中國也有學者主張借鑒這一立法思路?！?3〕孔祥?。骸墩摲床徽敻偁幏ā吧虡I數據專條”的建構——落實中央關于數據產權制度頂層設計的一種方案》，載《東方法學》2022年第5 期。2022 年11 月國家市場監管總局公布的《中華人民共和國反不正當競爭法（修訂草案征求意見稿）》第十八條關于商業數據的規定也明顯受日韓立法思路的影響。此外，還有很多具備民法或網絡法背景的學者在商業秘密法之外，支持統一的數據產權立法，賦予企業寬泛的數據權利?！?4〕參見申衛星：《論數據用益權》，載《中國社會科學》2020 年第11 期；王利明：《數據何以確權》，載《法學研究》 2023 年第4 期；張新寶：《產權結構性分置下的數據權利配置》，載《環球法律評論》2023 年第4 期。接下來，筆者將逐一簡要反駁這兩類主張。

（一）變相的“限定提供數據”立法

依據日本《不正當競爭防止法》第二條第七款，如果權利人收集了合理數量的以電磁形式存儲的技術或商業信息，僅僅向特定用戶附條件持續提供，并施加了技術管理措施，則此類數據集合受到保護。這里數據集合被稱作“限定提供數據”（shared data with limited access）。為了避免這一定義涵蓋商業秘密，日本《不正當競爭防止法》第二條第一款第六項和第九項還明確規定，商業秘密被排除出“限定提供數據”的范圍之外。依據日本的上述立法，他人不得通過盜竊、欺詐、脅迫或其他不當方式獲取該數據集合或使用和披露前述不當獲取的數據集合；也不得違反“管理條件”（the duties regarding the management）使用和披露受保護的數據集合。2021 年，韓國《反不正當競爭和商業秘密保護法》第二條第一款第k 項也引入類似的數據保護條款。

日本政府起草的《“限定提供數據”指南》（Guidelines on Shared data With Limited Access）仔細說明了“限定提供數據”與商業秘密的關鍵差別是權利人是否有“保密”（keep confidential）意圖。在該指南看來，企業和雇員簽署協議，要求雇員不得對外提供秘密信息，這里有明顯的“保密意圖”。對于“限定提供數據”，權利人采取電磁管理措施限制第三方接觸，只是為了確保自己營利目的得以實現而非為了“保密”，因為任何第三方只要符合權利人的營利目的就會被許可接觸該數據?！?5〕Japanese Ministry of Economy, Trade and Industry, Guidelines on Shared data With Limited Access, Jan.21, 2019, p.11.該指南對于商業秘密的權利人的“保密”目的的理解，多少有些讓人費解。商業秘密權利人向任何接觸者或使用者發放許可，也都是因為該許可符合自身的營利目的。就許可目的而言，商業秘密許可與“限定提供數據”許可無法有效區分。從該指南關于商業秘密和非商業秘密信息的對比舉例看，〔76〕Japanese Ministry of Economy, Trade and Industry, Guidelines on Shared data With Limited Access, Jan.21, 2019, p.12.日本決策者似乎相信，商業秘密權利人采取保密措施后，只能非常謹慎地授權為數不多的用戶接觸該商業秘密。這大概是該指南認為雇員保密協議體現雇主“保密”意圖的原因。如果獲得授權持續接觸數據的人員過多，則不再有所謂的“保密意圖”，只能視為“限定提供數據”而不是“商業秘密”了。其實，僅僅依據接觸者人數的多寡來區分商業秘密與非商業秘密（“限定提供數據”），并非合理的選擇。

近一百年前，美國最高法院在Board of Trade 案中就考慮過類似的商業秘密許可人數過多的問題。在該案中，權利人收集了谷物交易市場上的實時價格信息，然后通過電報傳送到全國各地眾多的客戶辦公室。法院認為，即便很多人和收集者簽署合同而接觸了此類秘密信息，只要每一個接觸者都簽署了保密協議，就不妨礙法院認定其為商業秘密?！?7〕Board of Trade v.Christie Grain & Stock Co., 198 U.S.236, 250-251 （1905）.不過，筆者認為，這里法院還是要考慮數據的數量和性質，以及公眾接觸的程度。在某些情況下，數據收集者向太多人提供數據，即便所有接觸者都簽署保密協議，收集者也很難有效監督他們以保證保密協議得到有效執行，法院亦有可能認定該數據事實上喪失秘密性?！?8〕Kristen Osenga, Information May Want to Be Free, But Information Products do Not: Protecting and Facilitating Transactions in Information Products, 30 Cardozo Law Reviwe 2099, 2117 （2009）; Jacqueline Lipton, Balancing Private Rights and Public Policies:Reconceptualizing Property in databases, 18 Berkeley Technology Law Journal 773, 818 （2003）.在商業秘密是相對簡短的信息時尤其如此。比如，對于產品的配方、加工工藝中的關鍵參數等，如果權利人授權業內成千上萬的自然人接觸該配方或了解該關鍵參數，則即便這些人都聲明承擔保密義務，也很難在事實上阻止該工藝參數在相關行業變成眾所周知的事實。在眾多被許可人事實上隨意傳播相關信息的情況下，商業秘密法許可權利人事后選擇性地追究責任，會使得被告在競爭中處于不利地位——相關信息事實上已經公開，自己卻要將它視為商業秘密。不只如此，這還會導致很多人無意中陷入各種糾紛鏈條，面對不確定的法律風險。這實際上損害了公眾在公共領域的行動自由。因此，這時候，法院認定此類接觸者眾多的信息不再具有秘密性，或者認定單純的保密協議并非合理的保密措施，是可以理解的。

不過，大規模的數據集合與產品配方或制作工藝方面的秘密信息有巨大區別，數據集合的數據條目的接觸者增多，并不當然導致公眾更容易獲得該數據集合的實質部分。如果平臺采用技術措施，僅許可用戶從前臺獲取數據集合的有限條目，禁止從后臺獲得數據集合的實質內容，則即便通過前臺接觸數據的用戶眾多，也不妨礙該后臺存儲的數據集合本身的秘密性。比如，在淘寶訴美景案中，淘寶的“生意參謀”數據集合包含淘寶平臺海量商品的銷售情況和店鋪的經營情況，數據量巨大。普通用戶通過許可的用戶界面檢索和瀏覽，并不能使用爬蟲工具，根本不可能獲得數據集合的實質內容。同時，淘寶要求每個用戶都承擔保密義務。因此，即便該產品的授權用戶超過2000 萬，月服務商家超過500 萬，公眾依然無法輕易下載數據集合的整體或實質內容?！?9〕淘寶（中國）軟件有限公司訴安徽美景信息科技有限公司不正當糾紛案，浙江省杭州市中級人民法院（2018）浙01 民終7312 號民事判決書。因此，該數據集合整體依然處在“難以獲得”的狀態，即滿足所謂“秘密性”要求。當然，如果淘寶授權每個用戶獲得完整的數據庫拷貝，則即便每一個用戶都簽署了保密協議，此等規模的許可也的確有可能導致該數據庫喪失商業秘密法上的“秘密性”。由此看來，判斷數據集合是否具有秘密性，關鍵不在于接觸者數量的多少，而在于特定的接觸規模是否事實上導致公眾很容易獲得該數據集合的實質部分。如果技術措施有效阻止第三方公眾獲取數據集合的實質內容，接觸人數多少就不再是問題。另外，按照接觸者的數量來區分商業秘密與“限定提供數據”，還會產生中間界限如何劃分的難題。

當然，從日本法“限定提供數據”定義對于數據規模（“合理數量”）的要求，以及《“限定提供數據”指南》推定它為大數據或類似數據的表述看，〔80〕Japanese Ministry of Economy, Trade and Industry, Guidelines on Shared data With Limited Access, Jan.21, 2019, p.6.日本決策者顯然認為數據規模大，也是“限定提供數據”與傳統商業秘密的一大區別。在筆者看來，數據規模大并非“限定提供數據”與商業秘密的本質區別。相反，數據規模大到一定程度后，反而有利于證明該數據集合耗費實質收集成本，不容易從公共領域獲得，因而整體上更有可能具有“秘密性”。

既然日本法上所謂“限定提供數據”與商業秘密并無本質區別或截然界限，立法者在商業秘密法之外，為“限定提供數據”制定平行的保護規則，則必然會出現浪費資源重復立法的問題。日本《不正當競爭防止法》關于“限定提供數據”的客體定義、權利內容條文，與商業秘密保護條文其實驚人的相似，明顯昭示著立法者在疊床架屋?！?1〕如前所述，2022 年公布的《中華人民共和國反不正當競爭法（修訂草案征求意見稿）》第十八條關于商業數據保護的內容，也受日本立法思路的影響。對照它與該法的商業秘密保護條款，我們也會發現兩者驚人的相似。這里可以從操作層面日本法對所謂“技術管理措施”的要求進一步說明這一問題。依據日本《“限定提供數據”指南》，技術管理措施要能夠阻止任何未經許可的第三方接觸該數據，包括賬戶Id 和密碼控制、限定訪問終端、生物身份認證措施（比如臉部識別與指紋認證）、數據加密等，旨在讓第三方了解權利人的保護意圖和受保護數據的范圍?！?2〕Japanese Ministry of Economy, Trade and Industry, Guidelines on Shared data With Limited Access, Jan.21, 2019, p.8-9.這里所列舉的技術管理措施，與商業秘密法下的保密措施并無本質差別。這些措施使得未經授權的第三方不能獲取“限定提供數據”的集合或局部條目?？梢韵胍?，相當一部分“限定提供數據”事實上處在公眾難以獲取的狀態，整體上將它視為商業秘密保護的客體并無障礙。第三方破壞訪問口令等技術管理措施，直接獲取服務器上存儲數據集合的文件或數據包，按照商業秘密侵權來處理也很順暢。因此，在商業秘密法之外，為整體上并未對外公開的數據集合創設新的特殊保護規則，并無必要。

平行立法的危害并不只限于浪費立法資源，更糟糕的是，它會在兩部法律銜接地帶人為制造模糊性，導致具體個案中出現無謂的法律適用的爭議。如前所述，在日本法下，“限定提供數據”與商業秘密之間的界限并不明確。比如，小規模的客戶信息（客戶名單）、合同報價信息被認為是傳統的商業秘密；而大規模的客戶交易信息集合或用戶個人信息集合就可能被認為是“限定提供數據”。理論上很難說清楚二者之間的界限究竟在哪里。如果考慮到二者的保護力度實際上很接近，就更難理解為什么要在二者之間武斷地劃線。從實用主義的角度看，決策者還不如直接承認，“限定提供數據”中大部分實際上就是商業秘密，合理解釋或完善現有商業秘密法就能解決問題，何苦要重新立法去建立一套不成熟的平行體系呢？當然，對于不符合商業秘密標準的“限定提供數據”即公開的數據集合，有可能需要通過專門立法提供有限的保護。遺憾的是，對于此類數據集合，日本的“限定提供數據”規則又明顯給予過于寬泛的保護，同時提出技術管理措施要求，同樣不是很好的立法例?！?3〕從公開數據集合保護角度對日本立法的批評，參見崔國斌 ：《公開數據集合法律保護的客體要件》，載《知識產權》2022 年第4 期。在筆者看來，日本這一立法處在兩頭不討好的尷尬境地。

（二）無秘密性要求的“統一數據產權”

《中華人民共和國民法典》和《數據二十條》籠統地使用“數據”概念，并未區分秘密與公開數據。很多建議統一數據產權立法的學術意見，也沒有充分考慮現有的二分思路，而是籠統地建議賦予企業對數據的占有（持有）、使用、處分（處置）和收益的權利（或其他類似的權能）?！?4〕龍衛球：《再論企業數據保護的財產權化路徑》，載《東方法學》2018 年第3 期；許可：《數據保護的三重進路——評新浪微博訴脈脈不正當競爭案》，載《上海大學學報（社會科學版）》2017 年第6 期。這給人的印象是，未來的統一數據產權立法可以不區分秘密數據與公開數據。其實，公開數據和秘密數據的保護需求和保護模式存在巨大差異，不加區分地統一立法是不現實的。

對于公開數據集合，企業通常并不需要寬泛的產權保護。在多數情況下，企業只有在自己的商業模式能夠確保它獲得合理的回報時，才會公開數據。對它們而言，法律對公開數據集合的寬泛產權保護是多余的。只有在少數情況下，如數據收集工作耗費企業實質投資，而競爭對手復制并直接與自己競爭時，才可能需要法律提供有限的保護，比如禁止競爭對手以相同方式公開傳播該數據（即賦予有限的公開傳播權）。除此之外，他人通過公開途徑獲取數據以及后續私下利用或非競爭性的二次利用該數據的行為，通常不需要被禁止。比如，在美國有名的LinkedIn 案中，法院就明顯不認為下載社交媒體數據進行二次利用會直接損害社交平臺的利益?！?5〕See hiQ Labs, Inc.v.LinkedIn Corp., 938 F.3d 985 （2019）.再如，企業通過網絡爬蟲從公開途徑收集大量數據后訓練自己的AI 系統，只要不直接公開提供其收集的訓練數據，通常也不會威脅數據源頭企業的利益。從公眾的角度看，如果法律對公開數據集合給予寬泛的產權保護，還會損害公眾利用公共領域數據的自由，增加后續創新成本。這正是著作權法拒絕保護事實或技術類數據的原因所在。數據產權立法背離著作權法的基本原則，保護企業的公開數據集合，則必須對保護客體提出苛刻的入門要件，同時賦予很窄的排他性權利，從而將限制公眾自由的負面影響壓縮到可以接受的范圍內?！?6〕崔國斌：《大數據有限排他權的基礎理論》，載《法學研究》2019 年第5 期。

與公開數據相對的是企業采取保密措施的秘密數據。顯然，企業希望法律能夠幫助維持此類數據的秘密狀態，以獲得合理回報。按照商業秘密保護的正當性理論，如果法律不禁止公眾破壞企業保密的努力，就會導致社會資源的浪費或企業投資積極性受挫：企業要么增加投資以提升自己保密措施的強度；要么因為無法獲得有效保護，而降低收集數據的投資力度。正因為如此，《反不正當競爭法》第九條禁止任何人違反保密義務或破壞保密措施，不正當獲取、披露、使用或允許他人使用該商業秘密。商業秘密法對于秘密數據的保護比未來法律對公開數據的保護要寬泛得多，但并不直接威脅到公共領域的自由。這是因為商業秘密法上的秘密性和保密措施要求，確保它僅僅保護未進入公共領域的數據。因此，雖然商業秘密法所賦予的權能相對寬泛，但公眾依然可以容忍。

既然秘密的和公開的數據集合有不同的保護需求，立法者要維持精細的利益平衡關系，就必然分別設計出不同的保護模式，使得兩者在保護客體要件、權利內容、權利限制等重要方面出現明顯差異。在這一背景下，如果立法者依然要統一數據產權立法，則只能選擇更偏向秘密數據或公開數據持有者的預期，這樣必然會顧此失彼（理論上還存在中間道路，將保護強度設置在商業秘密保護與公開數據保護之間，不過這樣會更糟，兩邊不討好）。

如果統一立法選擇向商業秘密的保護水平看齊，則意味著統一立法放棄保密性或保密措施要求，不論數據公開與否，都賦予“禁止復制、使用或傳播”之類的權利，或者類似民法學者所說的“占有（持有）、使用、處分（處置）和收益”之類的寬泛權能?！?7〕參見崔國斌 ：《公開數據集合法律保護的客體要件》，載《知識產權》2022 年第4 期；張新寶：《產權結構性分置下的數據權利配置》，載《環球法律評論》2023 年第4 期。放棄商業秘密要件后，統一立法大概率需要利用“實質投資”或“實質數量”等模糊標準來界定受保護的客體，〔88〕參見崔國斌 ：《公開數據集合法律保護的客體要件》，載《知識產權》2022 年第4 期。遺憾的是，很多探討統一數據產權立法的論文還沒有考慮如何界定受保護數據集合的客體范圍問題。界定權利邊界的成本急劇增加。同時，失去合理保密措施這道門檻，公開數據的寬泛的權能將大大壓縮公共領域，損害后續創新。到目前為止，寬泛的統一數據產權立法依然是不能想象的。

如果統一立法選擇向公開數據的保護水平看齊，僅僅在數據集合滿足實質投資和實質數量要件時才賦予有限的排他權，比如前述公開傳播權，則統一立法無法滿足那些原本選擇對數據保密的企業的預期。失望的企業肯定會在統一立法之外，繼續謀求商業秘密保護。如果統一立法之外的商業秘密保護主張得不到支持，企業會強化自助措施，這將導致商業秘密法原本要避免的社會資源浪費或投資激勵不足問題“重現江湖”。如果它們的主張得到支持，則會出現低保護水平的統一數據產權立法與商業秘密法并存的局面。這實際上意味著，統一數據產權立法與商業秘密法重疊的部分，不過是一紙空文。這樣的數據產權立法，實際上并未實現統一，而是變相地回歸商業秘密法保護秘密數據而特殊立法保護公開數據集合的二分路徑。

五、結 論

在大數據和人工智能大行其道的網絡時代，企業數據產權保護成為社會關注的焦點。對于企業數據，決策者應堅持公開數據與秘密數據二分的成熟思路，分門別類地進行保護。將企業秘密數據集合納入現有商業秘密法的框架，即“新酒入舊瓶”，就能解決大部分數據產權問題。網絡平臺在生產經營過程中收集的數據集合，無論其所含的數據條目是個人信息、文學藝術作品還是用戶交易數據，均可視為商業秘密法上的“經營信息”。數據集合中的數據條目來源于公共領域，也不妨礙該數據集合整體上獲得秘密性。網絡平臺對后臺存儲的數據集合采用訪問口令和類似有效的加密措施后，只要公眾難以通過網絡爬蟲等工具從整體上獲取和利用該數據集合的實質部分，則該后臺存儲的數據集合依然滿足商業秘密法對秘密性的要求。

當然，現有商業秘密法上的權利歸屬、轉讓、許可使用、權利限制、侵權認定等重要規則尚不夠完善。利用現有商業秘密法來保護企業數據集合，決策者還需要從上述多個方面作適應性的解釋或改革。盡管如此，在商業秘密保護法之外，類似日韓那樣進行所謂“限定提供數據”的平行立法，不過是疊床架屋，沒有必要；忽視公開數據與秘密數據的重要區別，進行統一數據產權立法的思路，更不可行，不值得認真對待?？傊?，決策者只有深入理解商業秘密法的立法邏輯和政策目標，理解它在保護企業數據方面的重要角色，才能避免浪費立法資源去制造新的法律沖突。對于企業數據保護，更合理的選擇依然是回到現有的商業秘密保護法加可能的公開數據特殊保護立法的思路。