本文作者:陳宇
新修訂《反不正當競爭法》第13條第3款已經正式把“不正當獲取、使用其他經營者合法持有的數據”納入獨立規制范圍;這意味著企業過去習慣由產品、技術、增長團隊自行決定的爬蟲、API調用、第三方數據采購、AI訓練數據接入、平臺賬號關聯、公共數據商業化使用、行業數據產品開發,已經轉化為法務、合規、董事會和投融資盡調都必須介入的經營風險。重點不是“數據到底歸誰所有”,而是四個更現實的問題:數據來源能否證明合法,獲取方式是否繞開技術或管理措施,使用結果是否實質性替代他人產品或服務,企業能否留下足夠證據證明有限、合理、轉換性使用。新規已生效,最高人民法院也已發布數據權益司法保護專題指導性案例;企業現在應完成數據資產與數據來源盤點,更新爬蟲/API/第三方數據采購和AI訓練數據合規流程,補強合同保證、審計、賠償、刪除和證據保存條款,并將重大數據產品、數據交易、模型訓練和并購投資項目納入GC、CIO、CISO、產品負責人和投資團隊共同審批。
一、新規不是“數據所有權法”,而是“數據競爭行為法”
2025年修訂后的《反不正當競爭法》第13條第3款規定,經營者不得以欺詐、脅迫、避開或者破壞技術管理措施等不正當方式,獲取、使用其他經營者合法持有的數據,并以“損害其他經營者合法權益、擾亂市場競爭秩序”作為結果要件;違反該款的,監管部門可以責令停止違法行為,并處10萬元以上100萬元以下罰款,情節嚴重的處100萬元以上500萬元以下罰款。該法同時賦予監管部門查詢、復制資料、查封扣押、查詢銀行賬戶等調查權,并規定行政處罰可記入信用記錄。
企業應避免三個誤判:
第一,公開可見的數據,不等于可以整庫搬運。最高人民法院指導性案例262號已經明確,網絡平臺經營者對數據集合形成的經營性利益受到侵害時,可以請求保護;未經許可獲取并向公眾提供相關數據,若實質性替代原平臺產品或服務、擾亂競爭秩序,可以構成不正當競爭。
第二,沒有設置強反爬,不等于放棄數據權益。最終法律刪除了“采取相應技術管理措施”作為數據受保護范圍的一般前提,技術管理措施不是保護門檻,但“避開或者破壞技術管理措施”本身會成為高度危險的違法方式。
第三,用戶授權也不是萬能免責,但確實可能構成正當性基礎。指導性案例263號確認,經用戶授權轉移其在關聯網絡平臺獲取的數據,為用戶在合理范圍內處理數據提供便利,未擾亂市場競爭秩序的,不構成不正當競爭。關鍵是用戶是否真實主動,使用是否限于用戶自身賬號或合理范圍,是否侵害數據安全、個人信息和公共利益,是否形成平臺級替代。
二、不是互聯網公司才有風險
2025年,全國年度數據生產總量達52.26 ZB,同比增長27.28%;企業成為數據生產主力,數據生產增量約九成來自企業數據。企業數據產品和服務數量同比增長29.29%,交易額同比增長39.8%;用于人工智能訓練和推理的數據總量達199.48 EB,同比增長42.86%。這說明數據糾紛不再是少數平臺之間的“爬蟲案”,而會進入工業制造、交通物流、金融、軟件服務、AI、低空經濟、具身智能、招聘、營銷、征信、價格指數、公共數據運營等行業。
![]()
![]()
![]()
三、這次修法真正改變了什么
![]()
![]()
![]()
四、“合法持有”不是一句聲明
新規保護的是“其他經營者合法持有的數據”,而不是抽象的數據所有權。“合法持有”的來源可概括為三類:法律依據、合同依據、事實依據;其內在要求是經營者對數據形成投入勞動、資本、技術等實質性資源,并形成穩定控制狀態和正當利益期待。
這套思路與“數據二十條”的政策方向一致:我國數據基礎制度強調數據資源持有權、數據加工使用權、數據產品經營權的結構性分置;對企業在生產經營活動中采集加工、不涉及個人信息和公共利益的數據,保障其依法依規持有、使用、獲取收益的權益,并保障其勞動和其他要素貢獻獲得合理回報。
企業應建立的“合法持有證明包”
1.來源合法文件
保留用戶協議、隱私政策、用戶授權記錄、API協議、數據采購合同、公共數據授權文件、合作方授權鏈、發票、交付單、驗收單、數據目錄。
2.處理合法文件
保存數據分類分級、個人信息處理規則、匿名化或去標識化方案、重要數據識別記錄、數據安全評估、權限審批、操作日志。
《數據安全法》將數據定義為任何以電子或者其他方式對信息的記錄,并將收集、存儲、使用、加工、傳輸、提供、公開納入數據處理;同時要求以合法、正當方式收集數據,不得竊取或者以其他非法方式獲取數據。
3.投入貢獻文件
留存研發成本、服務器成本、人工清洗成本、數據標注成本、運營推廣成本、數據質量治理記錄、產品迭代記錄、客戶合同、收入流水、市場推廣材料。
4.控制邊界文件
保存Robots協議、API調用規則、開發者協議、賬號權限規則、驗證碼策略、IP限頻策略、反爬策略、數據水印、數據指紋、異常訪問告警。
5.委托處理與外包文件
《網絡數據安全管理條例》要求,網絡數據處理者向其他處理者提供、委托處理個人信息和重要數據時,應通過合同約定處理目的、方式、范圍及安全保護義務,并將處理情況記錄至少保存3年。
6.個人信息邊界文件
單個用戶姓名、聯系方式等通常首先落入個人信息保護法框架;經匿名化處理且無法識別特定自然人、不能復原的信息,不屬于《個人信息保護法》意義上的個人信息,但這不意味著可以任意搬運他人匿名化數據集合。
五、判斷數據使用是否正當:四因素測試
對數據使用行為正當性的判斷,應結合使用目的和性質、數據性質與投入、使用數量和程度、使用范圍與影響四個維度,并遵循比例原則,綜合判斷是否符合商業道德、行業習慣,是否損害競爭秩序,是否有利于技術進步、消費者權益和社會總體福祉。
1.使用目的:轉換性使用更安全,替代性使用最危險
低風險:為用戶提供賬號遷移、數據備份、內部分析、兼容服務、數據糾錯、反欺詐、網絡安全、合規審計。
中風險:用外部數據訓練模型、生成行業報告、制作排行榜、搭建價格指數、構建客戶畫像,但不直接替代原平臺服務。
高風險:把他人平臺內容、評論、商品、簡歷、視頻、價格、圖片、點評、路線、交易信息整庫搬運到自有產品中,使用戶不再需要訪問原平臺。
指導性案例262號中,被告抓取搬運大量短視頻、用戶信息和評論,導致乙APP與甲APP內容高度同質化,用戶不使用甲APP也可觀看相同內容,構成實質性替代。
2.數據性質:事實性越強,使用空間越大;投入越高,保護越強
更容易被允許:單一事實、公開事實、低投入采集、行業通用信息、用戶自主控制并授權轉移的數據。
更容易被保護:高投入形成的數據集合、衍生數據、清洗標注數據、長期運營積累的數據產品、平臺用戶交互形成的規模化數據。
指導性案例264號確認,數據處理者依法采集企業數據,經符合有關標準的方法加工形成數據產品并合理利用,未對企業權益造成損害的,相關企業要求其承擔侵權責任不予支持。
3.使用數量:少量、克制、必要,比全量復制更可辯護
低風險:抽樣、索引、摘要、統計、非還原性分析、必要接口調用。
高風險:全量抓取、持續同步、批量下載、繞過限頻、復制數據庫核心字段、生成與原產品高度同質的替代品。
4.使用影響:看原告主營業務市場,而不是只看被告賺了多少錢
企業評估風險時,不應只問“我們有沒有獲利”,還要問:
是否導致他人平臺流量、會員、廣告、訂閱、數據許可收入下降;
是否削弱他人繼續投入數據采集、清洗、維護的動力;
是否造成服務器負擔、數據泄露、個人信息風險;
是否影響潛在許可市場;
是否導致消費者誤認為數據來自原平臺或經原平臺授權。
六、數據條款不再是隱私政策附件
1.數據采購合同:供應商不能只承諾“合法合規”
建議加入以下條款要點:
來源保證:供應商保證數據來源合法,未通過欺詐、脅迫、電子侵入、繞開或破壞技術管理措施、違反平臺規則、違反API協議、違反Robots協議等方式獲取。
授權鏈披露:供應商應披露數據來源類別、授權主體、授權范圍、處理目的、是否含個人信息、是否含重要數據、是否來自公共數據授權運營。
用途限制:數據僅限合同目的使用,未經書面同意不得用于訓練通用模型、構建競品數據庫、向第三方提供、公開展示或二次銷售。
審計權:采購方有權審計供應商的數據來源證明、授權文件、采集日志、處理記錄。
賠償與解除:因數據來源或使用違法引發投訴、監管調查、訴訟、禁令、罰款、客戶索賠、模型下架、產品整改的,供應商承擔賠償、協助抗辯、刪除替換數據和費用補償責任。
證據保全:供應商應保留數據來源、處理、交付記錄至少覆蓋合同期及爭議期;涉及個人信息和重要數據提供、委托處理的,處理記錄至少保存3年。
2.API、開發者協議和平臺規則
平臺企業應更新:
API調用頻率、字段范圍、緩存期限;
禁止繞開身份認證、驗證碼、限頻、加密、訪問控制;
禁止將數據用于競品服務、模型訓練、數據庫重建、批量導出;
明確開發者異常訪問、超范圍使用、賬號共享、轉售數據的違約責任;
設置暫停接口、刪除數據、審計、通知、賠償、禁令協助條款;
保留平臺發現不正當競爭行為后采取必要處置措施和保存記錄的權利。
3.委托開發、外包、SaaS合同:重點管住“受托方復用數據”
數據處理者委托他人處理數據時,受托方雖可能有合同依據和實質投入,但基于委托目的對原始數據、過程數據、結果數據一般不享有持有、使用、經營權益,除非合同另有約定。
因此,合同中應明確:
原始數據歸委托方控制;
過程數據、清洗數據、標注數據、結果數據、模型輸出是否可復用;
受托方不得使用客戶數據訓練通用模型,除非取得單獨書面授權;
項目終止后返還、刪除、銷毀數據;
禁止將客戶數據用于服務其他客戶或開發競品;
約定審計、日志、隔離、加密、訪問權限和違約賠償。
4.并購、投資和上市披露:數據收入越高,盡調越要深入
投資人和收購方應把以下問題列為紅旗:
標的主要數據產品是否依賴爬蟲;
是否存在繞過驗證碼、登錄認證、反爬、API限頻、Robots協議的技術方案;
歷史訓練數據、語料庫、標注數據是否有授權鏈;
第三方數據供應商是否可追溯;
是否收到平臺律師函、投訴、監管問詢或訴訟;
數據產品是否實質性替代他人產品;
是否使用公共數據,授權運營文件是否完整;
是否向客戶承諾數據“自有”但實際來源不清;
是否存在個人信息、重要數據、跨境數據處理問題;
是否將客戶委托數據復用于通用產品或模型。
交易文件中應加入特別賠償條款、數據合規陳述保證、交割前整改條件、數據來源披露附件、專項賠償上限豁免、監管調查協助義務。
七、訴訟與監管應對
1.數據持有人準備起訴或投訴時,應先補齊五類證據
第一,證明自己合法持有。包括用戶協議、隱私政策、授權記錄、平臺規則、數據采集日志、數據處理流程、公共數據授權文件、第三方許可合同。
第二,證明自己有實質性投入。包括研發成本、運營成本、服務器成本、內容審核成本、數據治理成本、用戶增長成本、產品收入、客戶合同。
第三,證明被告獲取或使用。包括公證截圖、抓包記錄、訪問日志、異常IP、賬號軌跡、數據水印、專有代碼、字段錯誤、評論順序、數據指紋、技術鑒定報告。
第四,證明行為不正當。包括繞開驗證碼、模擬登錄、突破限頻、違反API協議、違反Robots、使用批量賬號、隱藏真實身份、超范圍調用接口。
第五,證明損害與替代。包括流量下滑、用戶流失、會員收入下降、廣告收入下降、數據許可報價、服務器成本增加、投訴記錄、競品同質化頁面、客戶誤認證據。
2.數據使用方抗辯時,應重點證明四件事
第一,來源合法。數據來自用戶主動授權、合法采購、公開渠道合理采集、公共數據合法開放、合同許可或自有經營活動。
第二,使用有限。沒有全量復制,沒有持續同步,沒有對外公開原始數據,沒有讓第三方任意檢索,沒有復刻原產品。
第三,使用有轉換性。數據用于分析、索引、驗證、風控、兼容、遷移、模型訓練、內部決策或新產品開發,而非替代原平臺。
第四,影響可控。未造成原平臺服務器負擔、數據安全風險、個人信息泄露、消費者混淆、市場替代或競爭秩序損害。
八、十問十答
Q1:我們還能做爬蟲嗎?
可以,但必須經過審查。低頻、有限、公開、非替代、非繞開技術措施、非個人信息非法處理的采集,風險較低;批量、持續、繞過驗證、復刻競品數據庫、替代對方產品的采集,屬于紅色風險。
Q2:Robots協議只是行業規則,違反一定違法嗎?
不宜機械判斷。Robots、用戶協議、開發者協議、API規則、驗證碼、限頻等都可能成為數據持有人宣示管理邊界的證據。違反后是否違法,還要看獲取方式、數量、用途、影響和競爭秩序損害。
Q3:公開網頁數據可以直接訓練大模型嗎?
不能一概而論。需要審查來源、授權、個人信息、著作權、商業秘密、反不正當競爭、網站規則、是否大規模復制、是否生成替代產品、是否可追溯刪除。高質量數據集已經成為AI競爭核心資產,訓練數據來源會成為監管、訴訟和投資盡調重點。
Q4:匿名化數據是不是就沒有風險?
不是。匿名化后可能不再屬于個人信息,但仍可能構成他人投入形成的數據集合或數據產品;未經許可大規模搬運并替代原產品,仍可能觸發反不正當競爭風險。
Q5:用戶授權我們遷移數據,平臺能告我們嗎?
可能會告,但并非當然成立。指導性案例263號對用戶授權、合理范圍內處理、未擾亂競爭秩序的關聯賬號服務給予正向評價。關鍵是避免把用戶授權變成平臺級數據匯聚和對外檢索。
Q6:我們自己的平臺數據被抓,應先發律師函還是直接起訴?
先固證。沒有日志、公證、數據指紋、訪問軌跡、替代影響和投入證明,律師函效果有限。對嚴重爬取、持續替代、數據泄露風險,應同步考慮訴前禁令、監管投訴和民事訴訟。
Q7:買第三方數據,供應商承諾合法就夠了嗎?
不夠。必須要求披露來源類別、授權鏈、采集方式、是否繞過技術措施、是否含個人信息或重要數據,并設置審計、賠償、刪除和監管協助條款。
Q8:我們沒有和對方直接競爭,也會構成不正當競爭嗎?
有可能。數據糾紛越來越關注競爭秩序、經營性利益、潛在市場和實質性替代,不以傳統直接競爭關系為唯一前提。
Q9:數據被屏蔽后,我們能否反訴對方不正當競爭?
難度較高。數據持有人原則上有經營自主權。只有在其具有市場支配地位、拒絕開放嚴重排除限制競爭等特殊場景下,才更可能進入反壟斷法或特殊監管框架。
Q10:最大的賠償風險是什么?
除了行政罰款,更現實的是禁令、產品下架、模型重訓、數據刪除、客戶違約、融資估值下調、并購賠償、上市問詢和商譽損害。第13條數據案件的損失證明會高度依賴許可費、替代流量、研發投入、服務器成本、獲利、客戶流失等證據。
九、未來最可能爆發爭議的六個方向
1.AI訓練數據訴訟會明顯增加。
訓練語料、圖片、視頻、評論、問答、代碼、簡歷、行業報告、企業信息、醫療文本、金融數據都可能成為爭議對象。未來案件不會只問“是否爬取”,還會問“模型是否吸收了他人數據產品的核心價值”“是否可刪除”“是否替代原數據服務”。
2.公共數據授權運營會產生新型邊界爭議。
“數據二十條”明確公共數據、企業數據、個人數據分類分級確權授權,并推動公共數據在保護個人隱私和公共安全前提下通過模型、核驗等產品和服務向社會提供。公共數據授權運營平臺、數據產品經營者之間,將圍繞授權范圍、二次開發、轉授權、收益分配和不正當競爭產生爭議。
3.平臺開放與平臺封閉會同時被挑戰。
平臺一方面會主張他人爬取不正當競爭,另一方面也可能因過度封閉、歧視性開放、選擇性授權、拒絕互操作被投訴。數據專款與反壟斷法、平臺規則監管會交叉適用。
4.數據合同會從“合規附件”變成交易主合同核心。
未來數據采購、AI合作、SaaS服務、營銷投放、聯合建模、公共數據運營、產業互聯網合作中,數據條款將直接影響定價、交割、驗收、違約、賠償和退出。
5.賠償計算會成為訴訟勝負的第二戰場。
數據權益案件常見難點是損失難證。企業應提前準備許可費參考、客戶合同、研發投入、服務器成本、數據產品收入、流量轉化、替代影響、模型重訓成本等證據。沒有這些證據,即使勝訴,賠償也可能低于商業預期。
6.董事會和投融資責任會被放大。
數據收入占比高、AI估值依賴訓練數據、數據產品作為核心資產的企業,應在融資、并購、上市、重大合同簽署前完成數據來源和數據競爭風險審查。未披露重大數據合規缺陷,可能引發投資人索賠、交易價格調整、業績承諾爭議和信息披露責任。
新法釋放的信號很清楚:法律不會鼓勵平臺借數據形成絕對封閉,也不會允許后來者用低成本搬運摧毀他人的數據投入。數據可以流動,可以復用,可以創新,但必須證明來源合法、方式正當、使用克制、結果不替代、不擾亂。
對GC而言,最穩妥的是凡是外部數據進入公司,必須先過來源審查;凡是技術團隊要抓取、同步、調用、訓練、展示他人數據,必須先過用途審查;凡是數據成為收入、估值或產品核心,必須建立合法持有證明包;凡是數據來自供應商、客戶委托或公共授權,必須把授權、用途、審計、賠償、刪除和爭議協助寫進合同。這不是一次單點合規整改,而是企業數據經營方式的底層重構。
![]()
陳宇,北京市京都律師事務所律師,中國政法大學民商法學碩士、法學學士,專注于民商事訴訟與仲裁領域,深耕重大、疑難、復雜商事爭議解決,代理了最高人民法院一審終審的一系列重大案件,并取得有利結果。在金融與資管爭議領域,陳宇律師曾代理多起標的額巨大、法律關系復雜的案件,包括證券質押式回購、信托與資管糾紛、保證合同及債權轉讓爭議等,案件標的總額達百億元,并在多起案件中實現勝訴、改判或通過和解方式達成客戶商業目標;在股權投資與公司治理領域,成功處理股權轉讓、增資擴股及控制權爭奪等系列糾紛,具備從交易結構到訴訟攻防的全鏈條爭議解決能力;在房地產及建設工程領域,代理多起合作開發、商品房預售及租賃合同糾紛案件,具備復雜項目風險拆解與爭點聚焦能力;在跨境交易及商事合同領域亦積累了豐富經驗,能夠應對多法域背景下的爭議解決需求。此外,陳宇律師兼任民革北京市委經濟工作委員會委員、北京東城統戰智庫專家等社會職務,多篇論文在國家級及省市級專業評選中獲獎,具有較強的理論研究與實務結合能力。
![]()
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.