加强数据权益司法保护

2025年第05期    作者:文字整理：许倩    阅读 23 次

主持人：黄培明 上海律协对外宣传与联络委员会委员、公司与商事专业委员会委员，上海市金石律师事务所合伙人

嘉宾：叶娟 上海兰迪律师事务所律师

陈沛文 上海律协数据合规与网络安全专业委员会委员，上海靖霖律师事务所合伙人

文字整理：许倩

黄培明： 大家好，欢迎来到《上海律师》2025年第五期“法律咖吧”，我是本期咖吧的主持人黄培明，嘉宾分别是叶娟律师、陈沛文律师。8月28日，最高人民法院首次发布数据权益司法保护专题指导性案例。该批指导性案例共六件，积极回应数据权属认定、数据产品利用、个人信息保护、网络平台账号交付等社会高度关注的问题，统一类案裁判尺度。首批数据权益司法保护专题指导性案例有哪些鲜明特征？能否为数据权属这一立法空白提供可预期的裁判规则？基于最新司法实践，企业在数据收集、处理、使用和交易等各环节应重点关注哪些合规问题？首先请叶律师谈谈看法。

 

叶娟：本批的六件指导性案例在同一问题上选择了原告胜诉和败诉的不同案例，从正反两面统一裁判尺度，体现了最高院在目前法律框架下解决数据权益问题的三大核心思路：一是确权，即“谁投入、谁贡献、谁受益”；二是流通，即通过用户授权打破数据壁垒，防止平台“圈地为王”；三是保护与执行，即界定个人信息收集的“必需性”场景化标准，加强个人信息保护，必要时通过执行程序依法实质性维护当事人的胜诉权益。

基于案例指引，企业应重点关注以下问题：

第一，间接收集场景下的数据来源合法性问题——数据是通过公开渠道合法采集，还是未经许可进行爬取？是否对原平台构成实质性替代？

第二，直接收集场景下的用户授权问题——APP/网站是否存在“一揽子授权”或强制收集非必要信息？用户点击“同意”并不等同于合法授权；

第三，数据保护问题——企业采取反爬虫技术是否有效？出现争议时，企业能否证明自身为数据集合付出了实质性投入？

另外，基于我们的项目服务经验，还有一点提示：在数据交易环节关注对涉数供应商的管理，从在合同中加入特定的数据保护条款，到事前尽调、事后问询，以及内部管理制度的建立，在不同交易合作场景下确保数据流通中的安全合规。

陈沛文：首批数据权益司法保护专题指导性案例的鲜明特征可概括为类型全面、规则务实、效力突出三个核心方面。案例覆盖的都是数据纠纷的高频场景，精准回应了数据权属认定、数据产品利用、网络账号交付等司法实务堵点和社会热点问题，形成了全产业链条的司法指引。对于《数据安全法》《个人信息保护法》等法律规范中的原则性条款给出了具体的适用标准，明确了数据权益保护的权力边界、个人信息授权最小必要原则的界定等一系列实践中的争议问题，切实统一了类案裁判尺度，也为未来的数据立法积累了实践经验。

该批案例在区分信息权属与数据权属的不同属性适用不同保护规则的基础上，进一步确认了数据法益的分层保护逻辑，摒弃了单一的权属思维，形成了以权益保护边界为核心的裁判准则。从数据的获取、处理、储存、使用、共享、消灭的全生命周期出发，有针对性地在各个有争议性的核心节点上设置了切实可行的裁判标准。

对于数据企业而言，这批指导性案例带来的最大指引就是要建立数据收集、处理、使用及盈利的边界感。企业需要进一步规范数据采集的行为边界，明确公开数据采集的范围与限制，履行个人信息等敏感数据采集最小必要原则的实践要求。在数据使用与收益的过程中，严格遵循“谁投入、谁贡献、谁受益”的核心原则，完善数据授权链路的合规管理。

 

黄培明：新修订的《反不正当竞争法》于2025年10月15日起正式施行，首次将数据爬取、流量造假等数字乱象纳入规制，特别是第十三条新增了数据条款。该批指导性案例中，262号“某科技有限公司诉某文化传媒有限公司不正当竞争纠纷案”、263号“某网络信息技术有限公司诉某信息科技有限公司不正当竞争纠纷案”为不正当竞争纠纷案例。在《反不正当竞争法》修订的背景下，这两件案例有何指导意义？

 

叶娟：在指导性案例262号中，某文化公司运营的乙APP未经许可，抓取、搬运某科技公司运营的甲APP内的大量短视频、用户信息及评论，导致乙APP与甲APP内容高度同质化，实质性替代了甲APP的产品和服务。该案的争议焦点在于：某科技公司对汇聚短视频、用户评论、用户信息形成的数据集合享有何种权益？某文化公司获取、使用案涉数据的行为是否构成不正当竞争行为？

法院审理认为，案涉数据集合包含短视频、用户注册信息及评论等，系某科技公司采集、汇聚而成。某科技公司为数据集合的形成和积累投入了大量人力、物力、财力，通过经营吸引大量用户流量，使数据集合产生独立于单一短视频的经济价值，因此其持有、使用、经营该数据集合产生的经营性利益应受法律保护。某文化公司未经许可获取并向公众提供相关数据，足以实质性替代某科技公司提供的产品和服务，依法构成不正当竞争行为。该案例为企业数据竞争划定了红线，禁止实质性替代式的恶意数据爬取，体现了“谁投入、谁贡献、谁受益”的原则，有助于推动数据要素收益向数据价值创造者的合理倾斜。

 

陈沛文：此前涉及数据的不正当竞争纠纷多依赖《反不正当竞争法》第二条的原则性条款进行裁判，而新修订的《反不正当竞争法》第十三条第三款首次对侵害数据权益的不正当竞争行为作出专门规定。指导性案例262号针对爬取搬运数据、实质性替代平台服务的行为，明确“平台对数据集合的经营性利益受保护”；指导性案例263号针对关联账号数据转移的行为，明确“用户授权+不扰乱竞争秩序即合法”。这两类场景正是新法重点规制的核心情形。两起案例中提炼的“是否损害数据集合的经营性利益”“是否经用户合法授权”“是否扰乱市场竞争秩序”等裁判要素，可直接作为适用新法第十三条第三款的关键判断标准，避免法律修订后司法适用出现空窗期，确保新旧法律适用的平稳衔接。

指导性案例262号明确了数据集合经营性利益的保护边界——对于平台投入人力、物力形成的具有商业价值的数据集合，他人未经许可，不得通过爬取、搬运形成实质性替代。明确禁止无投入却通过爬取、搬运窃取他人数据成果的行为，警示平台不得通过“搭便车”方式损害竞争对手的经营性利益。

指导性案例263号则划定了合法数据转移的范围——经用户主动授权，在不同平台间转移用户自有数据且未侵害第三方权益的，不构成不正当竞争。肯定了用户授权下的数据跨平台转移的正当性，鼓励平台通过优化服务提升用户体验，而非通过“数据壁垒”限制竞争。

两个案例形成了鲜明的对比，清晰界定了合法与违法的边界，既保护数据权益，又促进数据合理流通；既符合新修订的《反不正当竞争法》“保护经营者与消费者权益、维护公平竞争”的立法目的，也与“数据二十条”中“促进数据自由流动、激活数据要素潜能”的要求相契合。

 

黄培明：网络不正当竞争案件存在电子证据易篡改、侵权行为隐蔽等特点，律师如何构建有效的证据保全与举证体系？

 

陈沛文：从电子数据取证和运用的角度来讲，有两方面需要关注：一是证据保全体系，二是有效举证体系。

应对网络不正当竞争案件中电子证据易篡改、侵权行为隐蔽的痛点，证据保全的核心在于构建“技术固化+司法背书+全程留痕”的立体防护体系，确保证据从获取到提交的真实性与完整性。

证据保全体系需把握即时性保全原则，抓住侵权证据未被销毁的黄金窗口期。网络数据存在定期清理、服务器日志覆盖等特性，一旦发现侵权迹象，应第一时间通过技术手段固定原始载体信息——对于网页、APP界面等线上内容，可采用“录屏+源代码提取”同步操作，并利用不可逆时间戳工具强化证据的真实性，避免仅截取静态图导致的内容残缺；对于社交平台聊天、邮件等通信记录，需优先提取原始设备中的完整数据，而非依赖转发或截图，并通过哈希值校验技术记录数据的初始状态，为后续验证该数据未被篡改提供依据。同时，在取证的过程中，可结合区块链存证等技术手段，将取证过程、数据内容实时上链。利用区块链不可篡改、全程可追溯的特性，解决传统公证在跨地域、高频次取证中的效率不足问题，形成“公证+区块链”双重效力背书的证据保全体系。

有效举证体系的搭建则需围绕“侵权行为认定—竞争关系界定—损失后果量化”的核心逻辑，通过“直接证据锚定核心事实、辅助证据形成闭环、专业意见强化说服力”的分层举证策略，破解侵权行为隐蔽性带来的举证难题。

在侵权行为举证层面，需实现从单一证据到多维印证的升级，针对不同侵权类型精准匹配证据组合。如主张数据爬取构成不正当竞争的案件，在提交证据时需要注重三重核心证据：技术层面的爬取痕迹证明，如侵权方服务器IP与爬取IP的对应记录、专家对爬取代码的分析报告；内容层面的数据实质性相似证明，如第三方审计机构出具的原被告平台数据重合度报告；行为层面的主观故意证明，如侵权方内部关于快速复制竞品数据的邮件记录等，形成一个举证闭环。

在损失后果与因果关系举证层面，需突破“量化难”瓶颈，采用“客观数据+合理推定”的证明路径。可引入第三方机构的专业数据支持，如通过市场调研公司出具的“侵权前后市场份额变化报告”，将抽象损失转化为具体数值。

 

黄培明：除了不正当竞争纠纷，指导性案例265号“罗某诉某科技有限公司隐私权、个人信息保护纠纷案”、指导性案例266号“黄某欢诉某信用管理有限公司个人信息保护纠纷案”为个人信息保护纠纷案例，这两件案例在加强个人信息保护方面有何指导意义？

 

叶娟：指导性案例265号聚焦非必要信息强制收集问题。某科技公司运营的某英语学习网站及APP收集了用户罗某较多的个人信息，且上述过程中并无“跳过”“拒绝”等选项，亦无授权同意收集个人信息的提示。法院从必要性的角度认为，该APP的基本功能服务为提供在线课程视频流和相关图文、视频等信息，目前收集的用户信息并非其基本功能服务所必需；从合法性的角度认为，某科技公司在不具有取得个人同意的法定例外事由的情况下，未经同意收集罗某用户画像信息的行为，侵害了罗某的个人信息权益。

从司法审判角度，处理个人信息侵权案件时，必要性判断是很大的难点，这两个案例则给出了参照准则；从企业数据合规角度，必要性判断也是一个难点。常见的场景是产品/业务部门倾向于多收集信息，既有利于产品的精细化迭代升级，也有利于业务场景的开发或者数据的准确性，而法务部门需要把关相关信息收集是否必要。虽然在APP信息收集范围上已有可参照的规定，但大部分企业的场景都比规范中的基本场景复杂，这就需要灵活且准确把握必要性的判断标准；有时也要结合监管政策的动态，从监管部门公布的违法违规案例中作总结。我在企业里既做过法总，也带过产品研发团队，肩负不同职能的时候，我发现自己对合规标准的理解也有所不同。

 

陈沛文：从司法实践与企业合规的双重维度看，这两件案例均为个人信息保护提供了极具操作性的规则指引，既填补了《个人信息保护法》中最小必要原则的适用空白，也为用户维权、企业合规划出了清晰的边界。

在指导性案例265号中，法院明确最小必要原则必须以“履行合同所必需”为前提，需满足规范对照和功能测试的双重要求：一方面参照《常见类型移动互联网应用程序必要个人信息范围规定》，直接界定学习教育类APP的必要个人信息仅为“注册用户手机号码”，否定了某科技公司将职业、学习目的等画像信息纳入“必需”的主张；另一方面通过功能测试指出，案涉APP的基本功能是“在线辅导、网络课堂等”，缺少画像信息并不会导致课程服务无法提供，故自动化决策推送不属于“履行合同所必需”的功能。这一规则直接打击了企业“以个性化服务为名，行强制收集之实”的常见操作，明确“必需性”需以基本功能实现为核心，而非企业单方宣称的商业需求。

指导性案例266号则从正面给出“必需性”的适用场景：“先享后付”功能涉及第三方垫资，信用服务商需通过收集用户信用信息评估履约风险，否则无法实现“先乘车、后付款”的合同目的，故此类信息收集属于“履行合同所必需”。同时，法院进一步限定最小必要原则，明确服务商仅需向公交公司提供“准入与否”的结论性信息，无需过度收集详细信用数据，既保障了服务正常开展，又避免了个人信息的不必要暴露。

同时，指导性案例265号直指“强制同意”的典型场景：某科技公司在登录界面未设置“跳过”“拒绝”等选项，将填写画像信息作为唯一登录路径，用户为使用服务只能被迫提交信息。法院明确此种“唯一选项即无选项”的设计不符合“同意需自愿、明确”的法定要求，即便用户最终填写信息，也不构成有效同意。这一裁判直接否定了行业内“不授权就不让用”的常见操作，为APP产品设计划定了合规底线——对于非必要信息收集，必须提供不同意仍可使用基础功能的替代方案，不能以服务权限捆绑用户同意。指导性案例266号则从告知义务角度强化同意的有效性：某信用公司在协议中以标蓝、加粗等显著方式提示信息收集条款，明确告知收集信用信息用于风险评估的目的，且用户可自主选择乘车支付方式（现金、实体卡或电子卡），也能便捷注销信用账户。法院认定此种“充分告知+自主选择”的模式符合同意的法定要件，既保障了用户的知情权，又未剥夺其选择权。

两件案例形成了“否定强制同意、肯定合规告知”的导向，让“同意”从形式上的勾选回归到用户真实意愿的表达，有效遏制了“一揽子授权”“默认同意”等损害用户权益的行为。

此外，两件案例还传递出实质合规的信号：企业不能仅在隐私政策中堆砌条款，而需在实际操作中落实最小必要原则和自愿同意原则，通过优化产品设计完善内部审核机制，将合规要求融入数据处理全流程，避免因形式合规而实质侵权的行为发生。

 

黄培明：对于加强数据权益司法保护，企业如何建立内部合规体系？ 

 

陈沛文：结合最高人民法院首批数据权益司法保护指导性案例及《数据安全法》《个人信息保护法》等法律要求，企业建立内部数据合规体系需围绕“组织架构为基、全流程管控为核、风险应对为盾”三个方面展开，重点解决数据收集、处理、使用、交易等各环节的合规痛点，同时衔接司法实践中明确的裁判规则，确保合规体系兼具合法性与实操性。

从组织架构搭建来看，企业需先明确“决策—管理—执行”三级责任体系，避免合规流于形式，形成“决策层定方向、管理层抓落实、执行层做落地”的闭环，避免出现多头管理或无人负责的合规真空。

在数据全生命周期合规管控层面，需结合司法实践明确的规则，针对数据收集、处理、使用、交易等各环节制定细化标准。数据收集环节要严守“合法+授权”底线，避免“强制同意”，提供不同意仍可使用基础功能的替代方案；数据处理与使用环节要落实“分类分级+最小必要”原则；数据交易环节则需建立“来源审查+协议约束”机制，尤其对原始数据的交易需格外审慎，避免涉及未脱敏的个人信息或企业商业秘密的不当流转。

风险应对与持续优化是合规体系的重要支撑，须衔接司法实践中的证据要求与责任认定标准。企业须建立“事前评估—事中监测—事后处置”的风险防控机制，落实企业合规体系的实质有效性，避免“制度上墙但未落地”的不当处置方式。

 

叶娟：做律师之前，我在一家数据智能企业工作。在《数据安全法》《个人信息保护法》正式施行前，我们根据企业业务发展、融资的需要考虑数据合规体系建设；在数据安全三大法都生效之后，企业数据合规体系的建设也更有章可循。企业数据合规体系建设是个大课题，我们团队的数据合规实战营课程中有三小时的主题课程。简单来说，可分为四步：

第一步：数据盘点和尽调。识别企业数据的类型和流向，绘制数据地图，明确数据处理环节，以及企业在不同环节/业务场景下的角色。

第二步：差距分析。基于尽调的结果，对照具体的法律法规，明确企业应当遵守的合规义务，再对照现状明确合规差距。当然，并不是每一项差距都需要去补齐，而是需要结合业务、法务和数据安全三个部门的意见评估各项差距的风险等级，边做边合规，分阶段整改。

第三步：组织和制度建设。具体的组织架构可因企业而不同，通常包含决策、管理、执行等角色；制定数据管理制度，可结合企业现有流程，建立企业内部数据合规的操作规程；设置应急预案相关制度。

第四步：持续运营。对内定期开展合规审计，定期进行合规培训，关注企业随着业务发展在数据收集、应用上的明显变化；对外完善常用的合同模板，及时响应数据主体的请求。

 

黄培明：最高人民法院发布的首批数据权益司法保护专题指导性案例对地方各级人民法院涉数据类案件的审判执行工作具有范例指导意义，为加强数据权益司法保护、推动数字经济高质量发展提供了有力的司法保障。再次感谢两位嘉宾参与本次咖吧讨论及精彩评述。

 

（本文内容根据录音整理，系嘉宾个人观点，整理时间：2025年10月22日）