一、典型案例案情与数据资产属性界定
在数字经济快速发展的背景下,数据资产的法律属性界定成为司法实践中的焦点问题。数据作为新型生产要素,其权属认定及侵权责任的厘清,直接关系到企业利益保护与市场秩序维护。本文结合典型案例,探讨数据资产的分类逻辑及其刑法属性,旨在为司法裁判和企业合规提供理论支撑。
(一)典型案例中的数据类型与定性分歧
- 虚拟财产的双重属性争议(案例一)
沈某利用游戏公司后台管理权限,擅自修改数据为玩家账户添加虚拟货币“元宝”,非法获利15万元。初审法院以“非法获取计算机信息系统数据罪”定罪,二审则改判为“职务侵占罪”。分歧的核心在于对游戏币属性的认定:若视为系统功能性数据,其修改可能构成破坏计算机信息系统罪;若认定为具有独立财产价值的虚拟财产,则符合财产犯罪的构成要件。二审采纳后者观点,强调沈某滥用职务便利侵占公司财产,故构成职务侵占罪。 - 技术手段对行为定性的影响(案例二)
顾某开发外挂程序,通过修改游戏本地内存实现“透视”“自动瞄准”等功能。技术鉴定认为外挂具备一定“破坏性”,但法院判定外挂未导致系统无法运行,区别于刑法中要求的“破坏性程序”标准。此案体现了技术鉴定与法律定性之间的差异,技术上的“干扰”不必然等同于法律上的“破坏”。
(二)数据资源持有权的刑法映射
依据《关于构建数据基础制度更好发挥数据要素作用的意见》(“数据二十条”),数据资源持有权旨在保障数据流通秩序,其刑法保护应区分两种支配形态:
- 事实支配:直接控制数据载体或数字密钥,如比特币私钥;
- 规范支配:基于合同或协议间接管理数据,如云服务商对客户数据的管理权限。
下表归纳了数据资产类型与对应刑法罪名的关系:
| 数据分类 | 典型场景 | 侵害行为 | 刑法罪名 |
|---|---|---|---|
| 功能性数据 | 系统配置文件、API密钥 | 删除或修改导致系统瘫痪 | 破坏计算机信息系统罪(刑法第286条) |
| 独立数据(财产性) | 游戏币、虚拟道具 | 非法转移、复制 | 盗窃罪/职务侵占罪(刑法第264/271条) |
| 身份认证数据 | 账号密码、生物信息 | 非法获取、出售 | 侵犯公民个人信息罪(刑法第253条) |
flowchart TD
A[数据资产] --> B{是否影响系统功能?}
B -->|是| C[功能性数据] --> D[破坏计算机信息系统罪]
B -->|否| E{是否具财产价值?}
E -->|是| F[独立数据] --> G[财产犯罪]
E -->|否| H{是否含身份信息?}
H -->|是| I[身份认证数据] --> J[侵犯公民个人信息罪](三)司法裁判的逻辑重构
现有判例表明,数据资产的定性应遵循三重检验机制:
- 技术层面:判断数据修改是否实质性破坏系统运行;
- 法益层面:明确侵害对象是系统安全、财产权还是个人信息;
- 权限层面:确认行为人是否超越了其规范支配权限。
未来立法应明确数据持有权保护标准,建议增设“非法持有敏感数据罪”,以填补对非流通性数据(如国家核心数据)保护的空白。
小结
数据资产的刑法属性界定需结合数据类型、技术影响及权属权限,避免简单机械定性。通过三重检验框架,司法实践可更精准地识别侵权行为性质,为数据资产保护提供坚实法理基础。
二、权属认定与侵权构成的裁判分歧
数据资产侵权案件中,权属认定与侵权构成的争议主要源于法律对数据资源权属的模糊界定。现行法律如《民法典》第127条仅作原则性规定,未明确数据权益的产权属性,导致司法实践多依赖知识产权法、商业秘密法或反不正当竞争法进行保护。然而,数据的无形性、易复制性及多方参与特性,使得法院在个案审理中普遍采用“侵权式审理思路”,即先确认原告权益,再判断被告行为是否构成侵权。此模式虽具操作性,但因权属边界不清、损害因果关系难以证实,导致裁判结果不一。
以下从三个方面分析分歧根源及优化方向。
(一)侵权式审理思路的固有偏差
法院惯用的“确认原告权益—评价被告行为—认定损害因果关系”三步审理模式,难以适应数据权属的多元性。数据生成涉及采集、存储、共享等多环节,权属主体多样,难以单一归属。例如,酷讯公司案中客户订单数据被认定为商业秘密,但若数据源自公开渠道,则缺乏保密性,不能受保护。侵权式思路简化权属认定,往往仅凭数据控制状态或成本投入推定原告权益,忽视数据流动的增值特性。数据的价值在于流通,市场竞争本质上存在利益消长,单纯因一方受损而否定另一方行为,可能抑制创新。反不正当竞争法虽弥补部分滞后性,但过度依赖自由裁量易导致权利滥用,违背谦抑原则。优化应转向“正当性判断范式”,以比例原则平衡经营者、消费者及竞争秩序利益,避免个案强赋权。
(二)权利归属不确定性的司法应对
数据权属认定的分歧反映了主体多元与法律真空的矛盾。民法典第127条作为框架条款,因缺乏配套细则难以直接援引;网络安全法、数据安全法侧重安全管理,未解决权属问题。司法实践中,法院多以控制事实推定权益,但用户多平台授权冲突暴露风险。对此,“数据二十条”倡导淡化所有权,强调使用权,需结合分类分级细化保护:
- 个人可识别数据:以隐私授权为核心,强调主体知情同意;
- 企业非公开数据:优先适用商业秘密保护,兼顾公共利益;
- 公开或半公开数据:侧重流通效率,允许有限提取。
分类应结合应用场景,避免“所有权化”倾向。市场主体可凭合法来源证明及实质投入推定权益,但必须保障个人信息安全。
(三)竞争损害考量的泛化与纠偏
侵权构成中的损害评估因互联网生态动态性而复杂,法院多因素综合酌定赔偿,但未明确优先序列,导致边界模糊。例如,滴滴滥用市场支配地位案中损害量化依赖多因素,因果关系薄弱。反不正当竞争法覆盖广泛,但赔偿应坚持“填平损失”原则:
- 实际损失为首要依据,如流量下降、运维成本增加;
- 被告获利为次要依据,按贡献度比例计算,非全额收入;
- 公共利益作为行为正当性参考,不计入赔偿。
优化应统一标准,以正当性范式综合评估行为目的、技术创新及成本投入,确保裁判的可预期性。
小结
权属认定与侵权构成的司法分歧根源在于法律规范缺位和传统侵权思路局限。通过转向正当性判断范式,结合数据分类分级和比例原则,司法可实现数据流通与权益保护的平衡,促进数据要素市场的健康发展。
三、数据权益保护路径的法律论证框架
当前数据权益纠纷的核心矛盾在于权益边界模糊与法律规范缺失。基于“数据二十条”提出的“三权分置”框架,即数据资源持有权、数据加工使用权和数据产品经营权,结合司法实践与数据特性,构建“权利构成—行为不法—责任认定”三阶梯论证模式,有助于实现权益保护与数据流通的协调统一。
(一)权利构成:以“三权分置”明确权益基础
“三权”并非孤立权利,而是数据价值链中的动态环节:
- 数据资源持有权
事实要件:实际控制数据访问权限;
正当性要件:数据来源合法,无需全链条权属无瑕疵。
案例支持:腾讯诉祺韵案中,法院认定对用户账号数据的控制构成持有权基础。 - 数据加工使用权
核心法益:数据利用价值,强调接触权限;
行权限制:禁止实质替代原平台功能的使用。 - 数据产品经营权
关键条件:实质性投入及合规流通;
数据佐证:样本案件中约15%涉及数据产品权益主张。
(二)行为不法性:以“多元利益平衡”替代传统侵权范式
司法实践过度依赖《反不正当竞争法》第2条,需重构行为评价标准:
- 竞争关系重定位
淡化行业边界,聚焦行为性质,如爬虫技术是否破坏数据安全。 - 正当性四维检验
| 检验维度 | 关键指标 | 案例体现 |
|---|---|---|
| 行业道德 | 是否符合技术中立原则 | Robots黑名单设置未被认定违法 |
| 技术创新 | 是否降低社会成本 | 数据聚合工具促进信息整合 |
| 消费者福利 | 是否提升服务效率或选择自由度 | 公开数据爬取争议 |
| 原告成果利用比例 | 是否实质性替代原产品功能 | 大众点评诉爱帮案 |
- 因果关系转向“相关关系”
大数据时代关注行为与损害的概率关联,如爬虫频率与服务器成本的量化关系。
(三)责任认定:要素式量化赔偿模型
针对多数案件缺乏损失证据的困境,采用阶梯式赔偿认定:
- 权重分配(参考韦晓云模型):权利基础审查(30%)、行为性质(30%)、赔偿因素(30%)、阻却事由(10%);
- 赔偿优先级:实际损失优先,其次侵权获利,最后法定赔偿,排除公共利益损害补偿。
典型案例中,赔偿金额因未区分损害类型而引发争议,显示量化模型的必要性。
小结
“三权分置”框架通过解构数据价值链,为司法裁判提供动态权益映射模型。未来应完善数据权益登记、公示制度,建立分级分类保护标准,推动要素式裁判,压缩自由裁量空间,促进数据要素市场的高效安全运行。
四、企业数据合规与司法裁判趋势启示
数据已成为企业核心竞争力,伴随高德诉万得案、腾讯诉字节案等标志性判例,司法裁判正重塑数据合规边界。本文基于最新司法实践,分析裁判趋势对企业合规的启示,助力企业规避民事、行政及刑事风险。
(一)司法裁判趋势:从技术中立到实质性损害评估
司法实践逐步从单纯审视技术手段转向综合评估行为后果。高德诉万得案中,被告通过伪造IP抓取数据并商业化使用,法院认定违反诚实信用原则,构成不正当竞争,判赔1250万元。腾讯诉字节案中,虽未认定单纯抓取违法,但因移除广告导致腾讯收益损失,认定构成实质性替代。此类判例体现《网络反不正当竞争暂行规定》第19条的实施,非法获取数据门槛降低,监管趋严。
裁判不再孤立看待技术合法性,而是综合考虑数据价值、手段正当性及损害程度,形成多维度评估框架。企业应警醒,技术中立不等于免责,合理性取决于对市场生态的整体影响。
(二)刑事风险升级:合规不起诉的警示与机遇
数据类刑事案件数量激增,刑事责任成为企业“终极风险”。刑法修正案(九)扩大犯罪主体范围,任何单位或个人均可能因数据滥用被追责。2019年深圳某公司因爬虫技术导致系统瘫痪,构成破坏计算机信息系统罪,核心人员入刑,公司经营陷入停滞。
首例数据合规不起诉案(Z公司案)为企业提供转机:通过事前合规评估、整改商业模式(如避免绕开身份验证),可争取不起诉。刑事合规贯穿企业生命周期:
- 事前合规:识别风险,评估爬虫技术合法性;
- 事中合规:定期审计数据资产,落实整改措施;
- 事后合规:积极配合司法机关,争取宽大处理。
(三)数据权益边界:协议约定与源头合规
司法虽未明确数据绝对所有权,但通过竞争法保护企业权益。衍生数据合法性依赖原生数据“源头清洁”。外包服务商采集数据时,需确保授权明确,否则购买方可能承担连带责任。微梦诉云智联案强调,即使公开数据,若破坏展示规则且规模庞大,亦属不正当竞争。
企业可通过协议灵活界定权益:
- 内部数据隔离:集团企业应分立数据平台,避免原生数据混淆影响衍生数据合法性;
- 外部合作管控:与供应商签订数据处理协议,要求数据溯源及脱敏,降低风险。
下表总结关键合规要素:
| 合规维度 | 风险点 | 司法裁判依据 | 企业应对策略 |
|---|---|---|---|
| 数据抓取手段 | 绕开IP限制、伪造Cookie | 高德案、腾讯案 | 遵守Robots协议,限制爬取频率 |
| 数据使用效果 | 实质性替代原产品 | 《反不正当竞争法》第二条 | 遵循最小必要原则,避免替代效应 |
| 数据来源合法性 | 未获授权或供应商瑕疵 | 个人信息保护法第69条 | 签订授权协议,实施分类分级 |
| 刑事边界 | 技术滥用导致系统瘫痪 | 刑法第285-286条 | 建立应急机制,定期员工培训 |
(四)企业合规策略:体系化与动态化
司法趋势要求企业构建全生命周期合规体系。依《数据安全法》第27条设立数据安全管理机构,避免决策“一言堂”。应用数据分类分级和个人信息保护影响评估(PIA),建立可追溯留痕机制。强化第三方审核,实施供应商白名单制度,合同中嵌入数据保护条款,防范“数据黑市”风险。
未来立法或侧重竞争法与知识产权保护,非绝对权属界定。企业应前置合规,将合规转化为竞争优势。
小结
司法裁判通过典型案例细化数据合规标准,强调实质性损害评估与刑事风险防控。企业须依托协议明确数据权益,构建动态合规体系,方能在日趋严格的监管环境中稳健运营,避免高额赔偿及经营风险。
总结
数据资产侵权的核心挑战在于权属界定模糊与法律规范缺失。现有《民法典》第127条的原则性规定难以覆盖数据流动的复杂性。借助“数据二十条”提出的三权分置框架,司法裁判应摒弃传统侵权式思路,转向正当性判断范式,结合技术层、法益层和权限层的三重检验,区分功能性数据、独立财产性数据及身份认证数据,运用比例原则平衡数据流通与权益保护。企业则需构建全生命周期合规体系,涵盖事前风险评估、事中审计及事后司法合作,积极防范刑事风险。未来立法应明确数据资源持有权标准,推动要素式裁判,压缩自由裁量空间,促进数据要素市场的高效安全协同发展。
参考文献
[1] 上海一中院. 计算机信息系统类刑事案件的审理思路和裁判要点. 澎湃新闻. https://www.thepaper.cn/newsDetail_forward_24871651
[2] 赵拥军. 论数据资源持有权的刑法面相. 澎湃新闻. http://www.thepaper.cn/newsDetail_forward_25569655
[3] 汉涛公司与爱帮公司著作权侵权纠纷案, (2010)海民初字第4253号民事判决书.
[4] 美团用户服务协议等平台条款, 引自数据权益案例.
[5] 梅斯公司与科睿公司侵害作品信息网络传播权纠纷案, (2020)沪73民终531号民事判决书.
[6] 商建刚、马忠法, 《数据权益的实现:从保护到运用》, 社会科学辑刊, 2023年03期.
[7] 酷讯公司与郑某侵害商业秘密纠纷案, (2019)京0105民初57993号民事判决书.
[8] 赵某与智源公司等侵害商业秘密纠纷案, (2020)京73民终2581号民事判决书.
[9] 《中华人民共和国民法典》第一百二十七条.
[10] 孔祥俊, 《反不正当竞争法分论》, 法律出版社, 2019.
[11] 浙江省高级人民法院联合课题组, 《关于企业数据权益知识产权保护的调研报告》, 人民司法, 2022年第5期.
[12] 韦晓云. “三权分置”框架下数据权益民事纠纷审理的逻辑证成与路径建构. 澎湃新闻. http://www.thepaper.cn/newsDetail_forward_31130135
[13] 韦晓云, 林新宇. 数据权益司法保护路径的完善. 中国知识产权杂志. https://mp.weixin.qq.com/s?__biz=MzIyOTc3MjY5Mg==&mid=2247508622&idx=1&sn=9ecb63f002d788147ac5897ce8a0c04e
[14] 姜超夫. 数据权益纠纷裁判路径的体系化重构. https://mp.weixin.qq.com/s?__biz=MzA4MTU1MTQyMw==&mid=2650453383&idx=1&sn=5db989e09decbd8eca883b6ee6a17b8b
[15] 泰和泰律师事务所. 高德、腾讯等司法判例启示录:数据抓取合规性新风险与企业应对策略. https://www.tahota.com/CN/article.aspx?mdid=C2AA4F0BDF0169E5&KeyID=514ecf70207a77d1
[16] 金代文、赵越. 数据安全⑧数据权益有边界:企业收集和使用如何做到合规. https://m.thepaper.cn/newsDetail_forward_15349203
[17] 蔡鹏等. 当数据合规遇见刑事追诉——首例数据合规不起诉案件所带来的分析和启示(下). https://www.zhonglun.com/research/articles/9143.html
[18] 数据权益司法保护路径的完善. 中国知识产权律师网. https://www.ciplawyer.cn/articles/153707.html
作者:柯劲恒
