图片来源@视觉中国

文 | InternetLawReview，作者 | 范凯、冯蜀兰、巫培石

中国数据交易市场正在蓬勃发展。上海数据交易所发布的《2023年中国数据交易市场研究分析报告》显示，至2025年，中国数据交易市场规模有望增至2046亿元。

数据是数字经济时代的核心资产。研究分析数据开放流通中的竞争风险及合规应对，是确保数据要素市场活动有序进行的基础，也是前提条件。《互联网法律评论》今日刊发特约专家、卓纬律师事务所竞争与反垄断部负责合伙人范凯律师及其团队成员撰写的文章，就当前数据开放流通中的法律风险风险进行分析，并给出应对建议。

引言

数据是数字经济时代的关键生产要素。对于以互联网企业为代表的数据市场主体而言，数据是其核心资产。而在市场竞争的过程中，对于这种无形资产的争夺也逐渐成为当下竞争的重点趋势。如大家所熟知的2016年“新浪诉脉脉案”、2017年“顺丰菜鸟之争”、2021年抖音诉腾讯滥用市场支配地位等都是典型的对数据无序竞争的体现。

该等案例究其实质都是基于数据未开放共享引起的纠纷。事实上，相比于其他财产而言，数据具有独特的非排他性和非竞争性。一般情况下，数据作为一种资源要素，不同企业都可同时对其进行采集和开发利用，同一数据被多个主体同时使用并不会降低数据的价值。因此，数据开放共享不仅不会带来数据使用价值的下降，反而会促进数据开发利用总价值的提高，创造更大的社会价值。¹

数据分类及数据开放流通的可行性

国家层面也注意到互联网时代数据要素的重要性以及数据竞争过程中的一些乱象，对数据制度建设做出了一定规制。

2021年11月14日，国家网信办发布《网络数据安全管理条例（征求意见稿）》，第七条规定“国家推动公共数据开放、共享，促进数据开发利用，并依法对公共数据实施监督管理。国家建立健全数据交易管理制度，明确数据交易机构设立、运行标准，规范数据流通交易行为，确保数据依法有序流通”。

该条例明确个人可以向数据处理者请求转移信息，请求转移个人信息次数明显超出合理范围的，数据处理者可以收取合理费用；并规定数据处理者可以对重要数据进行共享、交易、委托处理，但应当征得设区的市级及以上主管部门同意（主管部门不明确的，应当征得设区的市级及以上网信部门同意）；并厘清了公共数据的定义，指出公共数据是指“国家机关和法律、行政法规授权的具有管理公共事务职能的组织履行公共管理职责或者提供公共服务过程中收集、产生的各类数据，以及其他组织在提供公共服务中收集、产生的涉及公共利益的各类数据”，明确规定互联网平台运营者在为国家机关提供服务，参与公共基础设施、公共服务系统建设运维管理，利用公共资源提供服务过程中收集、产生的数据不得用于其他用途，而且国务院有关部门有权在履行法定职责范围内调取或者访问互联网平台运营者掌握的公共数据、公共信息。

与该条例精神相同，2022年12月2日，中共中央、国务院发布《关于构建数据基础制度更好发挥数据要素作用的意见》，《意见》里提出要“探索建立数据产权制度，推动数据产权结构性分置和有序流通”，并将数据分为公共数据、企业数据、个人数据三类，分别提出了相应数据确权授权机制的要求：

（1）公共数据：要加强汇聚共享和开放开发，强化统筹授权使用和管理，推进互联互通：推动用于公共治理、公益事业的公共数据有条件无偿使用，探索用于产业发展、行业发展的公共数据有条件有偿使用；

（2）企业数据：市场主体享有依法依规持有、使用、获取收益的权益，鼓励探索企业数据授权使用新模式，发挥国有企业带头作用，引导行业龙头企业、互联网平台企业发挥带动作用，促进与中小微企业双向公平授权，共同合理使用数据，赋能中小微企业数字化转型；

（3）个人数据：推动数据处理者按照个人授权范围依法依规采集、持有、托管和使用数据，规范对个人信息的处理活动，不得采取“一揽子授权”、强制同意等方式过度收集个人信息，促进个人信息合理利用。探索由受托者代表个人利益，监督市场主体对个人信息数据进行采集、加工、使用的机制。

该《意见》充分体现了市场化配置的原则，对如何开展数据确权、交易、利用提供了政策指引。

有学者认为《意见》将“公共数据”与“企业数据”作为两种独立的数据类型，匹配不同的制度予以调整，这表明国家政策层面已经意识到，这两类数据具有不同属性不能混为一谈，但也需要强调“公共数据”的概念不应该过分扩张，具有公共属性的数据，既包括公共数据，也包括非公共数据。例如，在网约车行业，平台企业在提供服务过程中，积累了有关交通路况、司机资质、乘客出行轨迹与偏好等数据信息，此类数据显然具有公共属性，但并非公共数据。企业在激烈的市场竞争中，投入大量资金、技术等成本而获得的数据，是企业的核心竞争资源。一味将具有公共属性的数据都纳入公共数据可能会引起“公地悲剧”。²

对此，我们也期待最终落地的《网络数据安全管理条例》能够从部门规章层面给出解答。但无论最终答案如何，国家层面都赋予了数据开放流通的制度保障。

数据开放流通的限制竞争行为分析

鉴于前述分析，数据开放流通有其必要性和可行性，但基于数据的安全需求，数据访问控制本身是法律法规明确许可的范畴。2019年3月15日，国家市场监督管理总局正式发布《信息安全技术网络安全等级保护基本要求》(GB/ T22239-2019)，该标准于2019年12月1日正式实施，其中将网络安全等级保护按照保护对象在国家安全、经济建设、社会生活中的重要程度, 遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等, 由低到高划分为五个安全保护等级并分别提出了不同的数据访问控制要求。针对企业数据而言，国家层面也只是鼓励数据流通，并不强制。

因此，若企业对其他主体访问自身的企业数据进行限制的，是否构成违法还是需要结合相关法律规定来判断，商业实务中，较为常见的数据限制竞争行为主要是数据拒绝交易和数据限定交易。目前我国法律能够将前述行为纳入规制范畴的主要是《反垄断法》。

（一）数据拒绝交易行为分析

我国《反垄断法》第22条第1款第3项规定，禁止具有市场支配地位的经营者“没有正当理由，拒绝与交易相对人进行交易”。对于数据访问限制如何构成拒绝交易，今年被监管部门叫停的森浦和上海国利之间的排他性合作一案或许可以提供参考。

该案中，上海国利货币经纪有限公司（以下简称“上海国利”）系原中国银行业监督管理委员会批准设立的第一家货币经纪公司，是我国批准设立的六家货币经纪公司之一，国利公司掌握着大量的外汇市场、货币市场、债券市场和衍生产品经纪行业实时交易数据资源。近年来，国利公司以相关业务行情数据已经独占许可给宁波森浦信息技术有限公司为由拒绝向其他数据服务商开放数据。而按照银行采购金融数据服务的管理要求，金融数据服务商需要完全提交五家货币经纪公司的交易数据，因此银行最终均以单一来源采购的方式选择了宁波森浦信息公司。最终，该等行为被举报至市场监管部门。因反垄断调查，森浦信息研发的QB报价平台在长达半年的时间里都没有向用户提供债市数据报价服务，直到近期才陆续恢复。

结合反垄断法的相关规定可以看出，上海国利将数据独占许可给宁波森浦，而其他数据商与宁波森浦为竞争关系，因为该独占许可，导致其他数据商无法从上海国利处购买数据，该行为的本质就是上海国利对其他数据服务商的拒绝交易，当然，该行为触发反垄断法规制的前提仍然是需要先界定“数据提供企业是否具有市场支配地位”、“拒绝数据交易是否构成滥用”等问题。尽管该案举报到现在没有下文，但结合2023年8月30日国家金融监督管理总局、人民银行、证监会等五部委发布的《关于规范货币经纪公司数据服务有关事项的通知》可以管窥蠡测，该通知中明确强调“货币经纪公司不得滥用自身特殊地位，从事数据垄断行为或与第三方达成排他性数据合作”，尽管其未使用“支配地位”一词，但该等措辞可以看出监管部门对货币经纪公司不得排他性交易数据的态度。

除却前述案例中的独占许可使用外，数据交易中更为常见的访问控制是数据提供商拒绝向数据需求方开放接口。此前，抖音诉腾讯滥用市场支配地位一案即是如此。

2021年2月2日，抖音宣布向北京知识产权法院正式提交诉状起诉腾讯涉嫌垄断。抖音主张，自2018年4月起，腾讯旗下产品微信、QQ以“短视频整治”为由，开始了对抖音等产品长达3年的持续封禁和分享限制，限制用户分享来自抖音的内容，腾讯以“短视频整治”为由封禁抖音，自己却推出大量短视频产品，系滥用市场支配地位排除、限制竞争；另一方面，腾讯将用户数据作为自己的“私产”要求其他产品在腾讯的同意下才能使用，既侵害了用户本人的权利，也严重影响行业的发展。而腾讯对此回应称该等封禁是因抖音通过各种不正当竞争方式违规获取微信用户个人信息，破坏平台规则，已被法院多个禁令要求立即停止侵权，还存在诸多侵害平台生态和用户权益的违法违规行为。

综观双方的主张，该诉讼的争议焦点仍然是腾讯是否滥用市场支配地位、拒绝接入抖音是否具有正当理由。该案截至目前没有公开的进展，今年4月份，抖音和腾讯双方分别发表声明表示将与对方围绕长短视频展开合作。这场“世纪大和解”是否也意味着前述诉讼不了了之仍不得而知，但截至本文发表日，抖音在微信分享的链接仍然无法直接跳转，需要复制链接后返回抖音才可以打开。若前述诉讼仍然在进行中，我们期待最终的判决书能够为类似的案例树立一定借鉴意义。

如前分析，数据访问限制行为较为常见，且将成为数据竞争中的主要手段，对其进行规制具有必要性和紧迫性，但目前适用反垄断法进行规制的门槛较高。对此，有观点提出可以考虑以“必要设施”代替市场支配地位作为反垄断法规制数据访问限制行为的构成要件：若某类数据由某个网络平台经营者独控，其他任何网络平台经营者无法开发、复制或者通过交易获得且该类数据没有替代品，涉及到行业内除掌控该类数据的经营者外其他所有经营者的生死存亡，掌控该类数据的网络平台经营者提供数据具有技术上的可行性，那么在这种情况下，该经营者的拒绝交易行为应当被认定为垄断行为。当然，存在两种除外情形：请求访问数据者提出的对价不合理；数据本身不适宜开放。³

该等观点在今年3月发布的《禁止滥用市场支配地位规定》第16条中有所体现，该条第一款第五项禁止具有市场支配地位的经营者“拒绝交易相对人在生产经营活动中，以合理条件使用其必需设施”，第二款规定“在依据前款第五项认定经营者滥用市场支配地位时，应当综合考虑以合理的投入另行投资建设或者另行开发建造该设施的可行性、交易相对人有效开展生产经营活动对该设施的依赖程度、该经营者提供该设施的可能性以及对自身生产经营活动造成的影响等因素”。可见，尽管拒绝交易必要设施仍然需要以具有支配地位为前提，但在认定支配地位时不再局限于市场份额，而是需要综合考虑交易相对人对该设施的依赖程度以及经营者提供该设施对自身的影响。

该条还规定“与交易相对人进行交易将使经营者利益发生不当减损”可以成为拒绝交易的正当理由。因此，若数据需求方与数据提供方事实上属于竞争者，对其开放数据会导致经营者利益受损的，该经营者可以拒绝向其提供数据。

（二）数据限定交易行为

除却较为常见的数据访问限制以外，数据领域还可能出现的垄断行为主要是数据限定交易。我国《反垄断法》第22条第1款第4项规定，禁止具有市场支配地位的经营者“没有正当理由，限定交易相对人只能与其进行交易或者只能与其指定的经营者进行交易”。其中，可能出现的形式为，大数据公司要求数据的使用者与其签订独家合作协议，该数据的使用者不得再使用其他数据公司提供的数据服务，从而使得该大数据处理公司获取垄断利益。

目前，我国暂无数据企业因实施了数据排他性交易行为而被处罚的案例，主要原因可能在于：

一方面，对于数据需求方而言，数据的全面性和及时性至关重要，若数据提供方限定需求方只能与其交易，而不得与其他数据提供方交易，会导致需求方无法接受，因此，这种交易条件在商业实践中较为少见。

另一方面，数据型企业的市场支配地位界定困难。市场支配地位的认定，是判定行为主体滥用市场支配地位的基础工作。但对于数据垄断行为而言，实施行为的主体为互联网企业，而这类企业的市场份额的评估要素较为复杂，不能仅从单一的营业收入、用户规模等来确定，即使互联网企业营业收入或利润在相关市场内较低，也无法推定其一定不具备市场支配地位。由于数字经济的竞争激烈，互联网企业往往通过低价或补贴等手段抢占用户市场，增加用户黏性，在用户消费习惯养成后，再提高服务价格来获取利润。此外，市场份额也并不能完全反映这类企业在同类市场中的控制力，过度依赖市场份额指标往往无法衡量互联网企业的垄断优势。且即使互联网企业短期占据大量市场份额，但如果该市场份额不具有持续性，也难以认定其拥有市场支配地位。这就导致即使存在大数据公司涉嫌实施了数据排他性交易行为，司法实践也难以认定，最终造成相关案例的缺失。

但案例的缺乏并不代表该等行为不值得关注，若具有市场支配地位的数据企业实施限定交易的行为，仍然会触发反垄断法的规制。

数据开放流通中的非法抓取等不正当竞争行为

除前述数据限定交易和拒绝交易以外，数据竞争中较为常见的不正当竞争行为为非法抓取行为。目前，我国法律中仅刑法规定了“非法获取计算机信息系统数据罪”，但该罪名要求“违反国家规定”且“情节严重”，对于情节不足以构成刑事犯罪的数据抓取行为如何定性，法律法规并无明确具体的规定。

司法层面，我国非法抓取数据行为的典型案例为新浪诉脉脉案。该案中原告新浪微博与被告脉脉公司通过微博平台Open API（开放应用编程接口）进行合作，双方曾签署《开发者协议》，新浪微博授权脉脉公司获取微博平台上包括用户名称、性别、头像、标签等相关用户信息。但是在2014年，新浪微博发现脉脉公司的后台调用数据异常，脉脉在授权范围之外，还抓取、使用了新浪微博用户的教育信息和职业信息，因此，新浪微博向法院提起不正当竞争之诉。审理过程中，一审法院仅以脉脉公司违反诚信原则的概括性条款，认为其构成不正当竞争。后续二审法院指出数据获取企业在通过开放平台数据获取协议模式获取个人数据时，应当获得“三重授权”⁴，并据此认定脉脉公司在授权范围外进行数据抓取行为并未获得平台和用户授权，脉脉公司的行为达到了非法抓取数据行为的认定标准。

该案被列为2016年北京市法院知识产权司法保护十大典型案例，原因在于法院提出了“三重授权原则”，成为后续企业数据获取民事纠纷审判的重要依据，该原则系对《个人信息保护法》第23条⁵规定的具体应用，也是企业在获取其他企业控制的个人数据时应当遵守的准则。

与之形成对比的，是域外2017年的领英诉HiQ案，该案中，双方并未像新浪微博与脉脉公司一样签署协议约定数据使用范围，而是HiQ长期使用“爬虫”软件抓取领英的公开用户数据来提供招聘信息服务。HiQ在产业链上属于领英的下游企业，其提供的招聘信息服务高度依赖于用户信息，因此，在领英采取技术措施限制HiQ爬取其平台上的公开用户数据后，HiQ便针对该项禁令提起了诉讼。

该案在美国法院历经一审、二审、发回重审、再审等程序，最终于2022年底以双方达成和解而告终。值得注意的是，虽然最后的和解结果为HiQ不得再抓取领英的公开用户信息，但是美国法院在一审、二审、再审中均认为从公共利益考虑出发，企业的公开数据被抓取不违反美国任何法律，相反，通过数据共享和利用，可以促进数据经济发展。最终，迫于公司的经营压力，HiQ与领英达成和解，但该“和解判决”不具有判例法效力，关于未经许可抓取公开网络数据是否违法的问题并未得到实质解决。

通过上述国内外案例可以看出，目前对于抓取数据行为，国内外基本都将是否取得“授权”作为判断违法性的实质标准，但二者判断的标准不同。新浪诉脉脉案中，脉脉公司未经平台和用户许可在授权范围外抓取了微博用户的教育信息和职业信息，最终被认为构成不正当竞争。而HiQ诉领英案中，HiQ抓取的数据是领英平台上的公开用户信息，大部分法官认为领英并未与用户签署协议来规定这些数据仅由领英平台加工、使用，因此HiQ的抓取行为不构成违法，法官实际上对用户的公开数据持“未禁止抓取则等同于授权”的态度。造成前述案例差异的原因可能在于该等数据是否公开。

因目前法律的缺失，我国2022年公布的《反不正当竞争法（修订草案征求意见稿）》中第18条新增了对于数据保护的规定，明确“经营者不得实施下列行为，不正当获取或者使用其他经营者的商业数据，损害其他经营者和消费者的合法权益，扰乱市场公平竞争秩序：

（一）以盗窃、胁迫、欺诈、电子侵入等方式，破坏技术管理措施，不正当获取其他经营者的商业数据，不合理地增加其他经营者的运营成本、影响其他经营者的正常经营；

（二）违反约定或者合理、正当的数据抓取协议，获取和使用他人商业数据，并足以实质性替代其他经营者提供的相关产品或者服务；

（三）披露、转让或者使用以不正当手段获取的其他经营者的商业数据，并足以实质性替代其他经营者提供的相关产品或者服务；

（四）以违反诚实信用和商业道德的其他方式不正当获取和使用他人商业数据，严重损害其他经营者和消费者的合法权益，扰乱市场公平竞争秩序。

本法所称商业数据，是指经营者依法收集、具有商业价值并采取相应技术管理措施的数据。

获取、使用或者披露与公众可以无偿利用的信息相同的数据，不属于本条第一款所称不正当获取或者使用其他经营者商业数据。”

该条第1款第2项的规定与前述新浪诉脉脉案的标准相同，要求经营者不得违反约定或数据抓取协议（如robots协议⁶）获取他人商业数据，但也提出了另一个构成要件：需要抓取数据的主体“足以实质性替代”被抓取者的产品或服务。这也意味着，若不处于相同市场，抓取行为可能不构成不正当竞争。若最终该修订稿成为定文，或许能够解决法律层面的缺失问题，统一裁判标准。

四、数据开放流通风险应对及建议

在数字经济时代，数据成为市场经营者的核心资产之一，为了各市场主体能够有序参与数据竞争，结合我国目前法律规定及执法、司法案例，我们认为企业在进行数据开放流通时应当注意如下几点：

（一）重视建立健全数据合规管理组织体系和制度体系。

 企业开展数据处理活动应当依照法律、法规的规定，建立健全数据合规管理组织体系和数据合规管理制度体系。明确数据合规责任主体，组织开展数据合规教育培训，加强人力资源考核与保障，强化数据合规意识。

目前，我国已有上海、深圳等部分地区发布了《数据合规指引》，2022年1月27日，上海市杨浦区人民检察院、上海市杨浦区工商业联合会、上海市信息服务业行业协会，以及上海数据合规与安全产业发展专家工作组联合发布了《企业数据合规指引》，2023年9月11日，深圳市深圳市人民检察院、深圳市互联网信息办公室、深圳市发展和改革委员会、深圳市司法局、深圳数据交易所共同发布了《深圳市企业数据合规指引》，该等指引均详细列举了企业进行数据合规可以参照的标准，各企业应当对此类指引予以关注，用以建立健全自身的数据合规体系。

（二）提供数据服务应当符合国家政策、法律法规和行业规范，避免垄断、不正当竞争等风险

结合前文中共中央、国务院发布的《关于构建数据基础制度更好发挥数据要素作用的意见》，数据开放流通将成为数据经济的主流趋势，企业应当响应国家政策，在提供数据服务时应当尽可能全面地关注有关数据的法律法规，如《反垄断法》、《反不正当竞争法》、《网络安全法》、《电子商务法》、《个人信息保护法》以及在起草过程中的《网络数据安全管理条例》等，注意防范数据的访问限制、限定交易等风险。同时，由于司法机关对数据垄断行为大多采取实质审查模式，数据型企业应当避免机械地适用法条制定合规，避免因不熟悉国家政策、执法司法实践或行业规范而使公司利益受损。

（三）签署数据协议时应当明确授权使用范围，并禁止违约方继续使用数据

互联网企业为了保护自身核心数据不被合作公司私自抓取利用，应当明确核心数据的非公开性，在合作公司签署数据协议时明确对于数据的使用权限，包括数据的使用范围、使用方式、使用期限，以及对方公司违约使用数据所需承担的法律责任，通过合规的方式降低核心数据信息泄露的风险。

（四）签署数据合作协议时尽量避免出现排他性条款

虽然当前数据平台的市场支配地位较难举证证明，但司法机关仍有适用反法的一般条款进行处罚或者采用“必要设施”标准跳过支配地位认定的可能性。因此，数据平台在签署数据合作协议时，应当避免出现含有排他性描述的条款。对于条件完全相同的交易者，不得无正当理由只接受其中一者而拒绝另一者，同时也不能限制数据的使用者/提供者选取其他数据合作伙伴的权利。

脚注：

1. 唐要家、唐春晖：《“数据垄断”的反垄断监管政策》，《经济纵横》2022年第5期，第31-38页。

2. 王锡锌、王融：《公共数据概念的扩张及其检讨》，《华东政法大学学报》2023年第4期；

3. 李世佳：《数据访问限制行为的拒绝交易认定——以必要设施取代市场支配地位作为规制的前端要件》，《科技与法律(中英文)》2021年第2期，第22-31页。

4. 第一重授权：数据主体授权数据持有企业（例如新浪微博）共享其数据；第二重授权：数据持有企业授权数据获取企业（例如脉脉）获取数据；第三重授权：数据主体对数据获取企业的授权，允许其处理、控制和使用其数据。

5.《个人信息保护法》第23条：“个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。”

6.2012年11月1日，中国互联网协会在北京举行《互联网搜索引擎服务自律公约》(以下简称“公约”)签约仪式，百度、360等12家搜索引擎服务企业现场签署了公约。公约规定，各签约方遵循robots协议。该公约第7条规定“遵循国际通行的行业惯例与商业规则，遵守机器人协议(robots协议)。机器人协议(robots协议)是指互联网站所有者使用robots.txt文件，向网络机器人(Web robots)给出网站指令的协议。网络机器人(Web robots也叫网络游客、爬虫程序、蜘蛛程序)，是自动爬行网络的程序。搜索引擎利用这些程序索引网站内容，垃圾邮件发送者使用网络机器人扫描获取电子邮件地址，网络机器人还有很多其他用途。”