随着互联网产业和技术的新一轮变革，“数据”日益成为现代新兴产业中具有巨大价值的竞争资源。各种基于数据的产品开发和商业模式创新，在不断便利公众生活的同时，亦为相关经营者创造了巨大利益。由此，有关数据权益与相关保护的议题在学界、实务界掀起了广泛而深入的讨论。

数字经济时代，数据保护问题既关涉公民个人的信息安全，又影响企业数据权益的实现。尽管我国立法从隐私权、知识产权、反不正当竞争、反垄断等多重视角为数据保护提供了最大可能性，司法实践亦通过对法律的解释适用为数据保护开辟了多重进路，却仍旧无法满足现实需求。当务之急在于，总结实务经验、深化理论研究，界定数据性质、明确数据权属，制定数据专项法律规范、弥补制度供给的不足，以实现对多方利益的合理均衡，充分回应社会期待。

一般认为，数据是以适合于沟通、解释或处理的形式化方式重新解释信息的表达，其依赖于特定的载体而存在，在计算机中以二进制的形式存储和显示。[1]数据不同于信息，其外延小于后者，只是信息的一种表现形式，在数字经济背景下，其主要是指以电子化方式存储的信息。[2]并且，当数据以独立而分散的个体形式或简单的数据集合形式存在时，其往往不具有经济价值，只有当大量数据被通过技术手段加以获取、处理、提炼、存储及持续管理而形成“大数据”后，才成为真正意义上的现代经济的“石油”。在识别标准上，“大数据”具有典型的“5V”特征，即Volume（大量化）、Velocity（快速化）、Variety（多样化）、Value（价值化）、Veracity（真实性）。由于大数据本身既包含网络空间中的初始信息、原始数据，亦包含经信息分析技术加工处理后的商业附加值，而超出了简单的个人意志表达之集合的范畴，成为兼具人格属性、财产属性的存在，因此，各界在大数据的性质、权属以及保护方式的界定上始终未有定论。[3]

目前，我国以《民法典》《数据安全法》《网络安全法》《个人信息保护法》以及知识产权和竞争法等相关法律为基础，试图从隐私权、知识产权、反不正当竞争（包括商业秘密保护条款、“互联网专条”及一般条款）和反垄断等多重视角，为公民个人数据、非个人数据（主要是企业数据或平台数据），构建规范框架，提供尽可能周全的保护。尽管上述法律法规没有从根本上回答数据性质和权属，但至少在当前的法治环境下，数据保护有所依托且可以实现。

对于“能够单独或者与其他信息结合识别自然人个人身份”的数据信息，一般采取隐私的保护路径，在强化保护个人敏感信息和对个人一般信息之利用的同时，追求公民对个人信息保护的利益、信息业者对个人信息数据利用的利益以及国家实施社会管理的公共利益之间的平衡。[4]

《民法典》第111条[5]及第四编第六章“隐私权和个人信息保护”，针对个人信息的收集、处理、存储、使用和提供等作出了原则性规定。2021年8月颁布的《个人信息保护法》全面围绕“保护个人信息权益、规范个人信息处理活动、促进个人信息合理利用”而展开。2021年9月施行的《数据安全法》第7、8、32条，以及2017年6月施行的《网络安全法》第40-45条，亦为个人信息安全与保护确立了行为准则。行政法规层面则划分管理类别，针对行业、群体特征等作出更为细致的规定，如《电信和互联网用户个人信息保护规定》（2013年）、《儿童个人信息网络保护规定》（2019年）等。

在江苏省消费者权益保护委员会诉百度案[6]中，原告诉称被告开发运营的“手机百度”“百度浏览器”两款App在安装前未告知用户其所获取的各种权限及获取信息的目的、方式、范围，未取得用户同意即访问电话状态、定位、通讯录、短信等内容以及修改手机系统设置，并利用上述权限违法获取用户个人信息。该案正式立案后，百度公司积极对其所有产品进行整改和升级，尽管原告最终撤诉，但作为我国首例个人信息保护民事公益诉讼，该案为互联网企业合法获取和合理使用公民个人信息、尊重和保护用户个人隐私敲响了警钟。

不过，在互联网技术几乎全面覆盖公众日常生活的当下，也须谨防对公民个人信息数据的过度保护。如在朱烨诉百度案[7]中，法院即认为：网络精准广告中使用cookie技术收集、利用的匿名网络偏好信息虽具有隐私属性，但不能与网络用户个人身份形成识别对应，该行为不构成侵犯隐私权；个性化推荐服务客观上具有帮助网络用户过滤海量信息的便捷功能，网络用户在免费享受该服务便利性的同时，亦应对其不便性葆有一定的宽容度，况且百度公司在提供个性化推荐服务时，已明示告知用户可以自行选择清除cookie数据及禁用推荐功能等，并未侵犯网络用户的知情权和选择权。

在公民个人信息数据之外，近年来引发争议更多的是互联网领域的数据纠纷，表现为持有海量数据资源及依赖于大数据维持运营和服务的各大互联网公司之间，围绕企业或平台的数据权属、流量利益等展开的较量。《民法典》第127条虽有“法律对数据、网络虚拟财产的保护有规定的，依照其规定”之表述，但该项指示性规定尚未得到立法的有效回应。面对法律制度供给明显不足的现状，法理研究和司法实务中，主要从知识产权法项下的著作权视角、竞争法项下的反不正当竞争和反垄断视角，对数据保护问题加以分析评判。

我国《著作权法》第15条[8]作为关于数据汇编作品的规定，在实践中有时会被企业援引作为其数据集合著作权的依据。但由于企业持有的数据集合在独创性、期限性、法定性等方面的认定存在困难，[9]且著作权保护本身并不能有效阻止数据信息被复制，在特定情形中还须让位于合理使用，[10]故而该条规定在实际适用中存在较大局限性，实务案例中鲜有涉及。

相较之下，通过《反不正当竞争法》为企业数据提供保护，是司法实践更为青睐的一种路径。并且，根据涉案数据的公开性——包括不公开、半公开和完全公开，即学者建议的“类型化或场景化思维”[11]，可分别采取商业秘密、“互联网专条”及一般条款的保护方式。

第一种，商业秘密的保护方式。

对于企业的非公开数据，上海地区的法院在给予其商业秘密保护方面走在了国内前列，并重点判断被申请保护数据的保密性、新颖性和价值性。[12]早在2011年发生的衢州万联公司诉周惠民等侵犯商业秘密纠纷案中，上海市高级人民法院便肯定了将网站注册用户信息数据库作为商业秘密进行保护的做法。[13]在2017-2020年发生的前锦公司与上海逸橙公司系列不正当竞争纠纷案中，上海知识产权法院亦认为存储于前程无忧网站以及前锦公司企业账户内的用户简历信息构成商业秘密。[14]

不过，商业秘密的保护路径毕竟只能提供竞争法上的利益保护，其重在维持市场经济秩序，而不能赋予数据持有者对数据的独占、排他效力。有学者认为，对数据的商业秘密定位与我国的立法意旨不符，[15]将数据纳入商业秘密将直接导致《民法典》第123条[16]与第127条的冲突，使后者的规定显得多余且混乱。[17]

第二种，互联网专条的保护方式。

对于企业半公开或完全公开的数据，有法院选择解释适用《反不正当竞争法》第12条（即“互联网专条”）[18]的兜底条款为其提供保护。如在“微博诉饭友案”中，法院认为，新浪微博与饭友应用在提供网络社交服务方面存在此消彼长的竞争利益，微博的用户数据具有较高的商业价值，系微梦公司通过长期经营而积累的竞争优势，饭友未经许可抓取微博数据并加以使用，对后者构成实质性替代，妨碍、破坏了后者的正常运营并侵犯其合法权益，违反了《反不正当竞争法》第12条第2款第4项，构成不正当竞争。

但有观点认为，“互联网专条”采取“总括+示例+兜底条款”的立法模式，示例类型十分局限，兜底条款仅以“妨碍、破坏其他经营者的正常经营活动”为标准，要素过简、含义过宽，容易导致过度扩大适用，故而在司法实践中须对“互联网专条”进行目的性限缩解释。[19]从另一个角度——互联网的开放性，也可以解释为什么“互联网专条”的适用会陷入窘境。互联网技术发展至今，开放系统和软件的广泛应用，使得经营者完全可以在不妨碍、不破坏其他经营者正常运行的同时——而构成妨碍或破坏恰恰是“互联网专条”适用的前提——向消费者推荐自己的产品或服务，[20]即使其在客观上的确部分依赖于擅自使用其他经营者所合法控制的数据。

第三种，一般条款的保护方式。

当法官在个案中发现利用新型技术手段实施的多样化数据竞争行为不符合“互联网专条”的要件时，往往会回溯到《反不正当竞争法》第2条[21]即一般条款对纠纷进行判定。如在“微博诉脉脉案”中，法官判定淘友公司非法抓取新浪微博用户的数据信息，并利用脉脉用户的通讯录联系人与微博用户之间的对应关系，违背了第三方通过Open API获取微博用户数据信息时应遵守的“三重授权”原则，有违诚信原则和商业道德，构成一般条款所指的不正当竞争行为。[22]在此后发生的“大众点评诉百度地图案”[23]“酷米客诉车来了案”[24]“淘宝诉美景案”[25]等不正当竞争纠纷中，法院皆延续了适用一般条款的裁判思路。

然而，一般条款虽然为司法实践中回应数据保护需求提供了相当的灵活度，但究其根本，仍属法律上的原则性规定，具有很高的抽象性和模糊性。个案中的相关说理易被弱化，而缺乏深入的实质性论证，裁判结果的不确定性增加，进而将削弱司法的正当性和法律的安定性。[26]因此，一般条款的保护方式也只是立法上的次优选择，其所表征的行为规制模式回避了对用户数据的法律定位，并未真正回应《民法典》第127条。[27]