引言

在数字经济时代，数据已经成为和土地、劳动力等传统的生产要素一样，具有经济与战略意义的新的生产要素，得到了越来越多国家和企业的重视。习近平总书记提出“数据是新的生产要素，要构建以数据为关键要素的数字经济”，既反映了我国对于数据的重视程度，也表明数据已经成为与劳动力、土地等生产资源一样，对经济发展有巨大经济与战略意义的新的生产要素。

一、研究背景与意义

（一）研究背景

在如今这个数字时代，数据收集、处理和分析能力的高低已经逐渐成为企业竞争优势的关键。无论是电商平台消费数据，还是制造业供应链数据，都在企业资源调配和商业决策中扮演着核心角色。而随着数据经济的发展，还引发了数据确权、数据滥用等问题。从“华为诉腾讯数据争端案”到“百度诉抖音非法抓取案”，其争端核心都是企业对数据的合法权利。

同时，域外许多国家已开始探索数据的法律保护路径，例如，新加坡采用数据治理体系与法律平衡数据保护与数据流通；欧盟通过《通用数据保护条例》（GDPR）完善数据保护体系。这些国家和地区的制度与经验，对于我国制定合理的企业数据法律保护体系有着重要的借鉴意义。而我国现有的《反不正当竞争法》《数据安全法》等仅能保护一部分数据，并且对数据的整体保护仍然不全面，例如，对数据的法律属性认定、数据确权流通平衡、数据侵权和不正当竞争等问题都还存在争议。

（二）研究意义

对企业数据的保护不只关系到企业的利益，还关系到国家的数据治理能力和数字经济发展水平。2022年出台的《中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》（以下简称“《数据二十条》”）提出构建以“数据确权、流通、交易、安全”为核心的数据基础制度，将为企业数据保护提供政策制度依托，也标志着对企业数据的保护提升到国家战略层面。

企业数据的法律属性从理论上来说必然属于法学研究的范畴，研究企业数据的法律属性，可以为数据法学的理论完善和我国数据立法提供学理支持。现实生活中，数字经济背景下企业数据屡屡出现被盗窃、滥用等不正当竞争行为，导致企业利益受损及公平竞争市场被破坏。对企业数据保护路径的研究，不仅可以为相关司法实践提供裁判思路，同时也能进一步促进数据要素市场的流通，推动数据市场安全，为《数据安全法》《个人信息保护法》等相关立法建议，进一步健全我国数据治理体系，提高治理水平。

二、企业数据的法律属性与保护需求

（一）企业数据的定义与特征

企业数据是企业在提供生产服务过程中产生、收集、处理的各种数据的合集，包括但不限于用户数据、运营数据、交易数据和供应链数据。从法律性质上看，企业数据集财产性和信息性于一身，而以往的法律却忽视了这一特殊性。

企业数据具备以下特点：首先，无形性。企业数据不是以物理形态存在的，数据以电子形态存在的符号和代码存储在硬盘或者服务器中。这也意味着对企业数据的保护要突破以往财产权的保护模式，要赋予数据独立的法律主体地位的法律原则。其次，动态性。数据的产生和使用是在不断变化中的。例如，电商平台的用户消费数据和物流企业的物流数据在运营过程中会不断变化和扩展，这就要求法律对数据的动态性给予及时的保护。再次，易复制性。数据的易复制性极易导致数据泄露。例如，利用网络爬虫技术非法获取他人平台数据已经成为一种十分普遍的数据窃取方式。这就需要法律重点关注非法获得数据的情况。最后，经济价值性。企业数据具有极高的经济价值。譬如，用户数据能让企业精准营销，供应链数据能提高资源效率，这也进一步说明对企业数据立法的重要性。

（二）企业数据的法律属性

企业数据作为新型财产，企业数据的法律客体地位并未在我国现行法中得到确认，对其保护主要依据《反不正当竞争法》《数据安全法》等进行保护，但数据属于信息还是财产仍存在较大争议。数据二十条中所提及的“三权分置”模型，将数据资源持有权、数据加工使用权、数据产品经营权进行了区分，但并未明确其法律属性。数据的法律属性兼具财产权利与信息权益的特点，数据中蕴含着大量的信息，因而具有信息权益属性，同时，数据中包含的经济价值，使得数据具有财产权属性。数据的双重属性造成司法实践中的适用混乱。对商业秘密的保护范围认定与数据公开性界定是企业数据保护中的核心问题。

而这在实践中往往会产生许多问题：一是数据权属的不明确，如平台的与用户的数据权属问题在现实中就较为突出；二是数据共享与竞争的关系，一方面数据需要共享才能流通，但另一方面各企业又有不愿意共享的动机；三是传统理论适用的不足，如若适用绝对权则无法适应数据共享和流通的需求，但不适用完全产权（数据加工使用权）则会使问题变得繁琐，适用难度增加。

（三）法律保护的必要性与现存问题

在当前数字时代背景下，数据逐渐成为商业斗争的关键。保护企业数据，不仅可以保护企业的合法权益，还可以维护数字时代下的市场秩序，实现公平竞争。

但依据我国的立法和司法实践，对于企业数据的保护仍不够全面。在立法方面，虽然目前可以通过《反不正当竞争法》和《数据安全法》解决部分的问题和冲突，但仍无法使企业数据得到全面的保护；而在司法方面，不同的法院在企业数据的侵权认定问题上存在较大争议，有的法院倾向于将企业数据认定为商业秘密，而有的法院仅将其视为信息权益。从国际实践看，欧盟GDPR制定的严监管和高处罚的标准以及新加坡平衡开放与安全的灵活治理，对我国在制定保护企业数据有关的法律制度时，有极大的借鉴意义，我们必须平衡好数据安全与数据流通之间的关系。

三、企业数据的法律保护路径

我国理论界和实务界对于企业数据的法律保护主要从赋权路径、行为规制路径以及商业秘密路径展开，不同的路径各具特点，而且在具体适用中又相互存在一定程度的互补关系。接下来就逐一对其进行分析，并指出不同路径在适用中可能存在的不足。

（一）赋权路径

赋权路径主要通过明确数据的财产权，而使企业数据得到系统全面的法律保护，其以构建“数据财产权”为核心，旨明确数据权益的主体权限、权限内容及客体范围等。如在《数据二十条》中所提出的“三权分置”理论，即数据资源持有权、数据加工使用权、数据产品经营权，这种分权理论可以明晰不同主体在不同阶段所享有的数据权益。而因为知识产权还有无形性等特征，赋权路径也借鉴了知识产权的相关理论，但数据权益与知识产权仍有不同之处，如数据与著作权的作品、专利权的发明等类型化的知识不同，其与不受保护的数据的差异点并不是著作权法中的“独创性”或专利法中的“三性”，而往往是依其权利编纂的独特性或价值性来认定。

相应地，赋权的优势也是显而易见的。第一，通过立法确权，往往可以减少数据权属纠纷，提升交易透明度；第二，赋权也可以为数据流通提供法律保障，减少交易主体在数据交易过程中的争议，促进数据流通；第三，数据赋权也必然会设定一个确权标准，这也有助于激励企业增加对数据资源的投入，从而整理出更高质量的数据，推动数据交易行业的健康发展。

而赋权路径的问题也十分明显，第一，确权难度大，企业数据往往涉及多个主体，如用户的数据权益应归属于公司还是用户，此问题若是无法解决，则必然无法明确最终的权属；第二，极易造成垄断，赋权路径赋予数据主体的排他权很可能会造成数据资源的垄断，特别是在传统互联网领域有垄断地位的企业很可能会将其影响力延展至数据市场，从而导致数据市场的畸形发展。

（二）行为规制路径

行为规制路径其实质就是通过规制不正当竞争行为和侵权行为来保护企业数据，是依赖于法律制度的，具有现实可行性。行为规制路径主要通过《反不正当竞争法》来规制不正当获取、使用、传播企业数据的行为，是具有可操作性的。以《反不正当竞争法》为主要规制手段，通过规制不正当竞争来实现对企业数据的保护。例如，《反不正当竞争法》第2条、第9条对商业数据范畴进行了界定，即“经营者依法收集的具有商业价值并且进行了技术处理的数据”。

这是行为规制路径的优越性所在，不需创设专门数据产权法，仅需通过修订现行法律规定即可；同时，行为规制路径适用于企业数据保护时，能够有效应对复杂的市场环境，如网络爬虫技术被滥用等。

而行为规制路径也存在两个不足：其一是行为规制路径的保护范围有限，只能规制特定的不正当行为，无法涵盖企业数据的所有权益；其二是行为规制模式需要等到数据权益被侵害后才启动，无法主动保护企业数据。

（三）商业秘密路径

商业秘密路径是企业数据保护的传统路径，即通过商业秘密法保护经营中具有秘密性、价值性且对此进行保密措施的数据。根据《反不正当竞争法》第9条第4款，商业秘密包括技术秘密和经营秘密，而绝大多数的企业数据属于经营秘密。例如，用户购买记录、市场分析数据等均可成为商业秘密。实践中，商业秘密路径有其较强的适用性。例如，在部分侵犯商业秘密的案件中，法院就认定企业后台中储存的用户的行为数据构成的商业秘密在符合保密要件的情况下可以认定为商业秘密。又如，网络平台的数据集合条目，即便在公开领域，由于企业采取了保密措施，数据整体可以认定为商业秘密。

而通过商业秘密路径来对企业数据进行保护也存在缺点。首先是商业秘密路径只能适用于未公开的数据，对于一些已经公开的数据无法采取商业秘密路径进行保护。其次，商业秘密路径需要高昂的费用。在实际的企业运营中，要投入大量的人力和财力进行数据保密管理，实际加大了商业秘密路径的成本。

四、企业数据法律保护的体系化建议

在综合评估赋权路径、行为规制路径、商业秘密路径的优劣后，可以发现单一法律保护模式不足以因应全面保护企业数据这一现实需求，需要立足体系化视角，在参考域外经验并结合本土实际的基础上，提出多元且彼此协调的法律保护路径。

（一）建立统一的企业数据法律保护框架

从立法层面而言，现有的法律制度呈现出一定的零散化状况，例如《数据安全法》侧重于国家安全和数据流通，《反不正当竞争法》主要规制商业数据的不正当使用行为，二者在企业数据保护的范围和适用条件上并不相同。因此，笔者认为，应当制定《企业数据保护法》，主要对以下内容予以规制：第一，明确企业数据的概念和范围，应当综合数据的新鲜性和无形性，确定哪些类型的数据能够引起法律的保护。第二，理顺权属认定和确权规则，制定合理且有效的确权规则并明确企业和用户、企业和企业之间的数据权属关系，以实现数据流通的法律稳定性。第三，明确侵权责任和法律后果，细化数据侵权行为的认定标准，明确不正当竞争和合同违约以及数据滥用的法律后果。

从司法方面来说，统一后的法律同时能更好地解决司法裁判尺度不一的问题。例如，在有的案件中，法院采用商业秘密法保护企业数据，而在有的案件中，法院采用反不正当竞争法保护企业数据，适用标准的不一致造成了数据权益保护效果的不一致。

（二）完善数据交易与流通规则

首先，需要建立一个国家级的数据交易平台，数据交易的标准化是保证企业数据价值最大化的关键。数据交易平台需要具备三个主要的基本功能。第一是数据登记备案，通过数据登记明确数据权属，减少交易过程的纠纷。第二是数据定价与评价功能，制定数据定价规则，结合数据的使用价值、稀缺性和市场需求来确定价格。第三是交易过程的法律化，平台应该对交易的数据合法性进行审查，防止非法数据进入市场。

其次，由于数据流通已经成为伴随全球化发展的企业数据使用场景，在《企业数据保护法》中应当增设专章规定跨境数据流通，并结合《数据安全法》《个人信息保护法》相关规定，主要是对企业进行数据跨境流通时的许可与审批程序进行明确，即要求企业在进行数据跨境流通时应当履行合规审核、国际数据合作与协定，通过参考欧盟GDPR的方式与主要贸易伙伴国家签署数据保护与流通协定，来保证数据跨境流通的相关规则具有可操作性。

（三）强化数据安全与隐私保护

完善企业数据安全保障机制企业数据安全的法律保护是建立在企业数据安全的技术保护基础之上的，要做好两个方面，一方面，要建立相应的技术保护措施，企业对数据采取加密、分级分类存储等技术保护措施，使数据完整、机密；另一方面，也要建立相应的风险评估制度，对数据的安全风险进行定期评估，对高风险数据建立起特殊保护机制。

除了保护企业数据安全，也要保护个人数据，而如何权衡个人数据与企业数据成为法律保护中的关键问题。例如，用户行为数据既可能属于个人隐私，也可能成为企业数据的重要内容。要做好数据脱敏匿名化处理要求企业使用用户数据必须进行脱敏匿名化处理，保证用户的隐私安全。赋予用户数据访问与控制权，允许用户对个人数据进行访问和删除确保个人隐私安全。

（四）借鉴国际经验与本土化适应

欧盟的GDPR作为全球数据治理领域的立法标杆，通过明确数据主体权利、强化数据控制着义务、构建分层监管体系，既保障了个人数据的合法权益，又为数据的市场化流通奠定了规则基础。而新加坡的数据治理实践则展现了另一种平衡路径，其通过灵活的数据跨境流动政策和多主体协同治理模式，成功塑造了一个安全开放的数据治理模式。这些经验为我国平衡个人数据保护与数据要素流通方面提供了立法典范，对我国有着巨大的借鉴意义。我国必须在充分借鉴国外经验的基础上，结合我国国情制定本土化的数据保护制度，加大对中小企业数据权益保护的同时，提升数据要素在交易市场的流通效率。

五、结语

企业数据作为数字经济时代的核心生产要素，其法律保护面临理论与实践的双重困境。从前文对赋权路径、行为规制路径以及商业秘密路径的分析可知，企业数据的法律保护存在多元化需求，企业数据的保护需要兼顾确权、使用、流通与安全，单一化的法律保护路径无法全面兼顾数据权益保护的全部需求。而当前我国现行法律亦存在局限性，我国现有的法律工具以《数据安全法》《反不正当竞争法》为主，但是这些法律并未形成企业数据保护的系统化框架，导致在司法适用层面的不稳定性。但欧盟GDPR的高标准数据保护制度设计及新加坡多主体协同共治实践，为我国提供了立法参考，结合本土化的需求，建立企业数据保护法律保护是兼顾数据权益保护与经济赋能的关键。

因此，未来针对企业数据保护的法律需求，不仅需要继续完善数据立法的周延性和一致性。在立法层面，我国应当尽早制订统一的《企业数据保护法》，对企业数据的法律地位、确权规则、使用限制和侵权责任作出明确规定，并协调与《数据安全法》《个人信息保护法》等相关法律的关系，使企业数据立法形成体系。在司法层面，应当出台具体的企业数据侵权认定和赔偿标准，提高司法保护的操作性。在数据侵权纠纷中，可考虑建立专门的数据保护法庭或仲裁庭，专门解决数据权益救济问题，处理复杂的数据保护纠纷。另一方面，需要加强数据确权与交易的机制设计。确权是进行数据保护的核心步骤，可以考虑根据数据的动态性和伴随产生性，为数据立法设计一个灵活的权利归属确认机制。并构建国家级企业数据交易平台，规范企业数据交易行为，促进数据在合法保护范围内高效流通。同时，在全球化大背景下，数据流通已经突破国界线，未来我国应当积极参与国际数据治理规则的制定，并在跨境数据保护和交易中加强法律合作和政策衔接。

虽然本文对企业数据的法律保护方式进行了较为全面的论述，但企业数据仍存在许多问题需要解决，如数据确权后的权益分配机制，数据垄断的法律规则问题等，仍需学界进一步的讨论解决。

参考文献：

1. [1] 王永强,邓淑元.企业数据保护反不正当竞争法路径的展开[J].中南民族大学学报(人文社会科学版),2024,44(08):134-141 186-187.
2. [2] 叶明,朱佳佳.公共数据“三权分置”路径的理论证成与具体展开[J].中国海商法研究,2025,36(01):43-55.
3. [3] 崔国斌.新酒入旧瓶：企业数据保护的商业秘密路径[J].政治与法律,2023(11):2-23..
4. [4] 管荣齐.论数据保护的法律边界[J].知识产权,2023(11):23-41.
5. [5] 侯玲玲.人工智能时代劳动者隐私权的侵害风险及其保护路径[J].法学,2025(04):176-192.
6. [6] 周文泓.新加坡数据治理体系研究及其启示[J/OL].现代情报,1-16[2024-12-11].http://kns.cnki.net/kcms/detail/22.1182.G3.20240924.0903.002.html.
7. [7] 北京互联网法院课题组.数据权益知识产权司法保护的体系协调与规则创新[J].法律适用,2024(04):102-119.
8. [8] 王叶刚.侵害企业数据权益的民事责任[J/OL].中国法学，2024(06):127-147[2024-12-11].https://doi.org/10.14111/j.cnki.zgfx.2024.06.004.
9. [9] 马更新.电子商务平台经营者的数据保护义务[J/OL].陕西师范大学学报(哲学社会科学版),1-15[2025-04-23].https://doi.org/10.15983/j.cnki.sxss.2025.0315.
10. [10] 徐超.欧盟数据保护法的域外效力分析及对我国的镜鉴[J].中国政法大学学报,2025(02):247-259.