大数据下金融交易商业秘密的保护：困境与对策

2020-01-09聂洪涛

科技与法律 2020年1期

聂洪涛，李宁

（西安财经大学法学院，西安710061）

引言

随着“互联网+”和信息技术的发展，以电子式存储的大数据凭借着完整性、全面性和相关性的特点，大数据技术已经广泛应用到各个行业和领域当中，已经成为我国互联网经济增长的重要支撑要素，我国互联网领域已经进入一个信息爆发的大数据时代。互联网大数据时代，金融机构之间的竞争已经从传统业务技巧转换到金融数据信息方面。但是，随着大数据技术在互联网金融行业间的应用，侵犯他人金融交易秘密的行为愈发严重，也使得金融消费者和金融机构感觉在互联网金融交易中如履薄冰，已经阻碍我国互联网金融行业的发展，对于大数据下金融交易商业秘密的保护问题亟待解决。

一、大数据与金融交易商业秘密的联系

（一）大数据概述及发展趋势

“大数据”一词并非我国汉语独创词汇，最早是由美国学者阿尔温：托夫勒提出，在其著写的《第三次浪潮》中首次运用了“Big data”的概念，汉语“大数据”是从英文直接翻译过来的舶来品[1]。大数据的核心技术是通过对非结构化数据的收集、统计、分析[2]，再挖掘其潜在价值，将原本价值密度较低的分散信息集中起来组成一个有机的价值成指数倍增长的新数据，其能够根据不同行业、不同主体的需求有辨识地提供最为贴近其需求的信息。

大数据技术从诞生到具体广泛应用，标志着我们已经进入一个数据信息指数喷发的全新信息时代，成为市场经营主体及政府行政管理的重要辅助工具，为它们日常管理和决策提供科学遵循，大数据交易规模也呈倍数增长。根据2016年乌镇举行的第三届互联网大会发布的报告预测，随着大数据技术的日益成熟和大数据市场规模的日益壮大，全球大数据规模将在未来几年迎来一个倍数增长期，预计2020年大数据市场规模将增长至1.03万亿美元①。我国工信部通过对我国大数据发展现状及和其他产业领域的结合情况，拟定了我国《大数据产业发展规划（2016-2020年）》，该规划拟定我国大数据市场规模的发展目标到2020年突破1万亿②。根据国际大数据预测机构（IDC）2017年发布的全球大数据预测白皮书，随着大数据技术的广泛应用，预计全球大数据规模到2025年增长至163ZB，该体量将是2016年全球大数据体量的10倍。

（二）金融交易商业秘密概述

商业秘密是指不为公众所知悉、具有商业经济价值的并经权利人采取相应保密措施的技术信息和经营信息。我国对商业秘密的保护模式采用的是分散式保护模式，并未对商业秘密的保护采用专门立法的形式，而是根据民事、行政、刑事责任承担的方式和民事、行政、刑事制裁方式的不同，将商业秘密的保护规定分布在《反不正当竞争法》《刑法》等法律法规之中[3]。商业秘密之所以受到我国民事、行政、刑事三种保护方式结合的强保护模式，根本原因是其所具有的财产属性，其所包含的经营秘密和技术秘密都是一种具有较大经济价值的无形财产，是一种特殊的知识产权[4]。金融交易商业秘密是金融机构在市场交易过程中产生的金融秘密，分为金融客户资料秘密和交易数据秘密，二者均属于商业秘密经营秘密的范畴，是金融交易机构专有和专享的具有巨大经济价值的信息财产。

金融客户商业秘密是金融消费者的在交易过程中留下的个人信息及产品选择和其他浏览、消费痕迹，当然，这其中包括的金融消费者的电话、身份证号、家庭住址、单位等信息还要受到金融消费者隐私权的保护，但并不妨碍属于金融交易商业秘密规制的范畴。金融交易数据秘密更是金融交易机构自己占有、自己使用的专有信息财产，完全属于商业秘密保护的范畴。

（三）大数据在互联网金融交易中的应用

大数据具有的传统数据分析无法进行的对非结构化数据进行分析进而提取二次经济价值的能力，使得其在当下金融业竞争激烈的背景下，金融机构精准对位客户、研判对手的重要辅助工具。金融机构之间的竞争已经从传统的广撒网、宽泛式宣传转化为大数据分析战略的比拼。银行业中的应用：各类银行通过对潜在客户信息全方位的掌握和分析，确定其融资产品购买倾向和购买力，为其量身打造融资产品，通过大数据分析，也为银行分辨信贷用户的偿还能力和破产风险进行量化评估，从而极大降低呆账、坏账率；保险业中的应用：以精算为业务核心的保险行业完全依赖各种数据，通过大数据的应用保险公司能够分析得知投保人的风险发生概率，从而更加精确地确定保率；证券业中的应用：大数据技术在证券行业应用最为广泛，通过大数据分析，研判行情走向至关重要；基金业中的应用：基金投资公司运用大数据技术从海量的数据中挖掘具有经济价值的信息，从而找到合适的投资对象。

在金融领域，运用大数据分析客户资料已经从简单的个人资料转变为对个人全面信息的分析，通过对海量相关性数据的分析，也对对手交易有了较为精确的研判。在大数据广泛运用在金融领域的同时，其弊端也逐渐显现，金融交易商业秘密的侵权问题显得尤为严重[5]。

二、大数据下金融交易商业秘密保护的困境

（一）非结构化数据难已构成“秘密性”

商业秘密是一种信息财产权，是一种具有潜在经济价值的无形财产，只有满足商业秘密的构成要件，才能够落入商业秘密的保护范围。世界各国对于商业秘密的规定不尽相同，商业秘密的构成和保护条件也颇具争议，未形成统一意见。按照《知识产权协定》对商业秘密构成的规定，要想构成商业秘密，不仅要满足保密性、秘密性，而且还应当具有商业价值，并采取了保密措施[6]。德国将商业秘密的构成要件确定为秘密性、具有保密意思和保密利益[7]。日本则以非公知性、管理性及有用性作为商业秘密保护的构成要件[8]。美国商业秘密学者达林·斯奈德（Darin W.Sny⁃der）和戴维·阿尔莫林（David S.Almeling）的观点有所不同，认为商业秘密构成要件应当包括四个组成部分：任何信息、采取了合理措施、秘密性、具有经济价值[9]。我国知识产权学者吴汉东教授认为商业秘密的构成要件应当包括四个方面即信息性、保密性、未公开性、实用性等四个方面[10]。从上述不同观点和规定来看，商业秘密的构成要件应当至少包括秘密性、价值性、保密性三个方面。

“秘密性”是商业秘密最为重要的构成要件，是商业秘密相关法律保护的前提条件[11]。考量时候构成“秘密性”，关键是是否为公众所知悉。但是，大数据主要应用就是对价值密度低非结构化数据进行分析，从而提炼出二次高价值。金融交易中，金融消费者的浏览痕迹、经常访问网站、点开的链接信息等很难直接认定为具有“秘密性”，因为他们的浏览痕迹、浏览网页都是公开，为公众所知悉的，出现了大数据的“宽”与商业秘密保护的“窄”之间的矛盾，使得运用商业秘密保护金融交易秘密的范围有限。

（二）大数据侵权行为具有隐蔽性造成举证困难

我国商业秘密的举证原则是原国家工商行政管理局于1995年制定的《关于禁止侵犯商业秘密行为的若干规定》确定的实质性相似+接触+合法性来源的认定标准，该标准原则沿用至今，仍然是我国司法实务界审理商业秘密侵权案件审判中的举证原则[12]。该标准原则要求，如果被诉方与他人掌握的商业秘密实质性相似，则只要起诉方举证被诉方接触过该商业秘密，且由被诉方证明该信息的合法来源。按照该原则，起诉方应当证明被诉人曾经接触过自己掌握并采取保密措施的商业秘密。接触的认定在传统环境下可以很好分配原被告双方之间的举证责任，但是在互联网信息爆炸的新时代，大数据环境下，侵权行为人很容易运用技术手段，使得数据收集行为根本不会留下痕迹，被侵权者根本难以证明侵权行为人曾经接触过自己掌握的金融交易数据。大数据下，数据收集往往由专业化的数据收集分析机构完成，大数据分析机构收集、分析完毕再将分析后的数据结果与金融机构进行交易，市场中已经呈现一种收集和使用分离的模式，我国大数据交易市场也初具规模[13]。这些专业的大数据收集分析机构往往通过后台操作技术，隐蔽的收集各种分散的点式金融数据，不仅收集过程隐蔽难以发现，甚至被收集者都不会意识到自己数据被收集，更不会意识到自己的商业秘密权被侵犯。侵权行为的隐蔽性和侵权结果的隐蔽性，导致被侵权金融机构难以举证接触行为的存在。

（三）互联网下金融交易商业秘密侵权损害后果严重

金融交易本身具有交易价值大、影响范围广等特点，金融交易往往在大规模金融机构之间进行，所设标的价值往往巨大，交易不仅涉及双方交易主体的利益，对整个金融交易市场甚至是我国金融稳定性具有重大影响。因此，金融交易商业秘密一旦泄露，不仅造成被泄露方财产利益损失，甚至会给整个金融市场产生不利影响。

互联网下金融交易是金融机构与互联网企业约定，运用互联网平台，完成资金融通、支付、投资、信用服务等交易行为。互联网本身具有网络传播的不确定性和不可控性，其与大数据的结合，使得金融商业秘密的损害后果不同于传统金融交易商业秘密泄露。传统金融交易商业秘密侵权，竞争对手最多只会获得某项或某几项交易的数据，其损害结果不仅可以控制在这几项交易的财产收入内，更不会对金融交易机构其他交易和接下来的交易走向产生影响，影响后果完全处于可控范围。但是，在互联网领域，运用大数据分析技术，竞争对手不仅能够知悉某项交易数据，更是能够通过对海量相关性信息数据的分析，科学推算出金融交易机构未来交易行为和交易趋势，这种不正当的预先探取他人金融商业秘密的大数据侵权行为，势必会造成金融交易市场的动荡。

三、域外发达国家应对经验考察

发达国家是信息革命的领导者，也同样引领着大数据产业的发展，在大数据商业秘密保护方面已经取得了一定成果。其中，美国、欧盟、日本等代表性国家对于大数据下金融商业秘密保护问题已经展开了多方面立法探索。

（一）欧盟坚持个人金融数据使用“告知与许可原则”

在传统法上，欧盟坚持强有力的个人隐私保护制度，在个人信息保护制度上，欧盟一直坚持“告知与许可”的原则[14]，禁止他人在未告知和未取得许可的前提下擅自收集他人信息。欧盟为了加强对个人数据信息的保护，不仅成立了专门个人数据监管机构，还早在1995年便通过了《个人数据保护指令》，该指令确立了一系列原则，旨在实现对个人数据信息的全方位保护。

在当下信息爆炸的大数据时代，对于个人金融数据信息，欧盟延用了传统法上的“告知与许可”原则，采取了更为严格的授权制度，在大数据下，更加强化对个人金融数据的保护，这在欧盟相关立法上尤为体现。欧盟在2016年通过了《一般数据保护条例》，该法于2018年5月25日生效，明确企业获取个人数据，应当取得个人的同意。自然个人金融数据属于个人数据的范畴，受到该法的调整，这也回应了大数据下，对个人金融数据的保护问题。欧盟的个人金融数据的强保护原则，自然也一定程度上限制了金融领域大数据技术的应用。个人金融数据的过分保护，不利于数据价值的二次转化，更不利于大数据产业的发展，欧盟在立法价值取向上偏重于个人权利保护，却也难免存在负面效应[15]。

（二）美国注重互联网大数据下个人数据权利与市场数据流通的平衡

美国和欧盟一样，在对金融交易商业秘密保护方面，注重对金融消费者个人金融数据的保护。美国和欧盟在传统个人信息保护方面采取的立法态度一致，历来重视对个人隐私的保护，坚持告知与许可原则，视个人隐私权为一种财产权[16]。美国于1994年通过颁布了《金融隐私权力法》，将个人隐私保护具体到金融领域，规定了披露金融信息时的具体程序。1999年美国又通过了《金融服务现代化法》，该法却不同于美国传统法对于个人隐私的强保护，而采取了“未明确反对即为同意”。

随着大数据技术的发展，美国政府意识到传统的告知与统一原则过度保护了个人的金融数据信息权力，传统的告知与同意原则已经不再适应互联网领域的大数据发展。美国为了保持在瞬息变化的大数据互联网信息新时代保持国际领先地位，为了充分利用大数据技术促进相关经济产业发展，美国改变传统法上对个人隐私采取强保护制度，开始倾向于在保证个人金融数据隐私的同时，鼓励大数据技术在产业中的运用。美国在金融交易个人数据方面，强调在坚持保护个人数据隐私的前提下，允许金融数据拥有机构对个人金融数据的挖掘，以应对大数据下金融数据保护与使用问题[17]。

（三）《日本反不正当竞争法》中增设“限定提供数据”条款

日本作为发达国家，在互联网大数据的新时代，为了应对大数据带来的挑战，也已经开始着手制定相关法律法规以规制大数据技术的应用。日本并不同于欧盟和美国所采取的立法模式，并没有采用单独法的立法模式，而是在现有法律框架内，通过对现有法律的修改，以达到在现行法律框架内达到对大数据技术的规制。

在大数据应用的开始，日本就已经意识到大数据技术法律规制的重要性，如美国一样，旨在保护数据所有者和数据市场正常流通之间实现平衡。日本最初设想是通过法律解释的方式，在法律解释的层面以实现对大数据技术的规制，但日本发现，通过法律解释的方式，并不能实现对大数据的有效规制，仍然无法达到市场均衡的目的。因此在2017年，日本国内便开始着手对大数据立法工作的筹备工作，开始讨论是否制定新的法律条款以及如何制定新条款来应对数字经济中这一重大课题。日本最终抉择采取通过《日本反不正当竞争法》的修订，增加“限制提供数据”条款，运用反不正当竞争法律制度实现对大数据挖掘、分析、运用的规制[18]。

四、大数据下金融交易商业秘密保护建议

（一）对商业秘密“秘密性”构成要件做扩张解释

按照我国传统法上对商业秘密保护制度的规定，分散性、点分式的非结构性大数据无法构成商业秘密“秘密性”的构成要件，自然也无法受到商业秘密的规制，在“数据权”尚存争议、尚未确权的当下，对非结构性大数据的应用及保护处于法律空白期。互联网当下，信息传播速度以及传播范围，都是传统法律所无法预料的，特别是大数据技术应用被广泛应用后，其网络数据的广、散、全更使得传统法上从客观层面认定商业秘密的“秘密性”已经无法操作。要使得金融交易数据能够完全落入商业秘密规制的范围内，对传统法上商业秘密“秘密性”的构成要件，应当做出扩张性解释，不能单从客观层面认定是否构成“秘密性”，在坚持“秘密性”为商业秘密构成要件的基础上，将“客观认定标准”转换为“主观认定标准”，即只要数据所有人主观上或社会一般人认为该数据是自己不想被公开或被收集的数据，便构成“秘密性”的标准。

金融交易数据商业秘密更是如此，互联网领域下，金融交易完全处于一个公开或半公开状态，交易中的个人信息及金融交易本身的数据都是很容易被知悉和获取的。如前所述，在金融交易中的数据，作为数据所有人的金融交易机构不想被收集的数据都应认定为具有“秘密性”，符合商业秘密的构成要件，如此，才能够落入商业秘密保护制度的规制范畴。

（二）借鉴著作权互联网领域的技术措施保护方式

在信息互联网高速发展的新时代，知识产权领域中最受冲击和挑战便是著作权的保护。著作权客体、著作权权力类型、著作权使用方式以及邻接权问题都在互联网发展下得到了扩充，这也体现在我国《著作权法》的数次修改上。为了应对互联网的冲击，著作权也发展出许多新的保护方式，如技术措施保护制度，技术措施是指著作权人或相关权人为保护其作品或者录音录像制品不受非法复制、利用等而采取的加密或其他版权客体控制技术[19]。著作权技术措施就是为了应对网路环境下，著作权侵权行为隐秘、难以发现而采取的预先保护措施，其相当于在作品客体外设置了一个保护罩，即使未对客体进行侵犯，只要避开或故意破坏该技术措施便构成著作权侵权[20]。

网络环境下金融交易数据被收集和利用的商业秘密侵权行为往往是专业数据机构所为，其掌握着成熟的技术和后台操作程序，金融交易机构作为数据所有人，无法举证和发现该侵权行为的存在。借鉴著作权技术措施保护制度，在互联网下金融商业秘密的外围设置一层“保护罩”即预保护措施，在数据收集者未接触和利用该数据时的避开或破坏技术措施的行为也认定侵犯金融商业秘密，将商业秘密保护的范围向外扩大一层，在源头上解决互联网下金融商业秘密侵权行为隐蔽性的问题。

（三）改变商业秘密举证责任的分配

我国传统法上实质性相似+接触+合法性来源的商业秘密侵权认定原则已然不再适应大数据互联网时代的发展，由金融机构举证数据收集人“接触”过自己金融掌握的金融交易数据在当下大数据收集技术如此发达的网络时代已然不太可能。

在我国民事诉讼制度中，为了解决在一般性举证原则即谁主张谁举证原则下权利人举证不能的问题，延伸出了“举证倒置原则”，如我国为了解决环境污染侵权中受害人举证困难的问题，将因果关系的举证责任倒置，由侵权人举证证明不具有因果关系[21]。在互联网领域，金融交易机构相对于大数据收集和分析机构来说处于相对弱势地位，大数据金融机构往往掌握着金融交易机构所无法掌握的先进技术，再按照传统法上的一般性举证责任分配原则来分配金融交易机构与大数据公司之间的举证责任违背我国民法平等原则的要求。在互联网大数据时代，应当转变按照一般性举证责任原则认定的金融机构对“接触”行为的举证责任，不再由金融交易机构对大数据公司“接触”过自己掌握的数据承担举证责任，而是由大数据公司承担自己未接触过该金融数据的举证责任，即按照“举证责任倒置”原则来公平分配金融交易机构与大数据公司之间的举证责任，以解决互联网领域金融交易数据商业秘密侵权行为举证难的问题。

（四）增大互联网大数据下侵犯商业秘密的惩罚力度

对于商业秘密侵权行为的制裁，我国采用民事制裁、行政制裁及刑事制裁多种制裁方式结合的手段，但是，即使采取三种制裁模式，仍不能有效遏制商业秘密的侵权行为，尤其是互联网领域下，商业秘密侵权更为简单、普遍的情况下，增大商业秘密惩罚性力度对于遏制互联网领域大数据下商业秘密侵权行为的发生显得尤为重要。

1.民事制裁下增加互联网领域侵权的惩罚性赔偿

我国《反不正当竞争法》在2019年进行了修改，以适应日益变化的经济市场，其中对商业秘密的民事责任的修改是本次修法的亮点③2019年4月23日第十三届全国代表大会常务委员会第十次会议通过了《反不正当竞争法》的修改案。。新修订的《反不正当竞争法》加重了侵犯商业秘密的民事责任，将惩罚性赔偿幅度增加至最高五倍。对商业秘密惩罚性赔偿的加重，其重要目的是为了遏制当下互联网下商业秘密侵权频发的现象[22]。但是却未对互联网大数据下商业秘密侵权行为做出加重规定，未正面回应互联网大数据下商业秘密侵权行为滋生的问题。在互联网大数据下商业秘密侵权行为认定和举证困难的情况下，该条惩罚性赔偿的威慑力有限，无法真正达到威慑互联网领域大数据侵权者的作用。因此，该条惩罚性赔偿规定，应当增加在互联网利用大数据技术侵权作为加重赔偿的情节，从正面回应互联网大数据下商业秘密侵权责任问题。

2.行政制裁下明确“互联网下利用大数据技术”为侵权严重情节

《反不正当竞争法》不仅规定了商业秘密侵权的民事责任承担，也规定了侵权者应承担的行政责任。民事责任承担是平等主体之间为了维护自己的合法权益，弥补自己遭受的损失，而由权利方自己所主张，往往需要经过冗长的民事诉讼程序，而在日新月异的互联网大数据时代，其损失往往得不到预期弥补。行政制裁行为是行政机关为了维护正常市场秩序，主动使用行政管理权对侵权行为者进行的处罚，具有强制性、高效性等特点[23]。

虽然2019年新修订的《反不正当竞争法》增大了行政处罚力度，但是没有明确情节严重的具体规定，并未将“互联网下大数据技术的应用”明确规定为情节严重的一种。无疑，大数据技术应用的互联网已经成为商业秘密侵权最为严重的领域，《反不正当竞争法》在对情节严重进行规定时，应当明确互联网大数据技术作为情节严重的一种，一是为了使事务中行政处罚保持一致，二是给予互联网大数据商业秘密侵权者直接威慑。

3.刑事制裁下将“利用互联网大数据技术”作为量刑加重情节

我国商业秘密保护制度不仅在民事和行政领域规定了侵权者的责任、制裁方式，我国《刑法》也规定了对应的刑事制裁措施。刑事制裁措施是最为严厉的制裁方式，我国将侵犯商业秘密的行为入刑，是国家对侵犯商业秘密行为的根本否定，也在客观上反映了我国对商业秘密保护的重视。但是，在互联网大数据技术广泛应用的当下，我国刑法领域并未做出积极的反应。

谦抑性和稳定性是刑法的基本价值取向，我们不应当在现有刑事罪名下对互联网大数据下商业秘密的侵权行为另行确定一个新的罪名，也不应当在现有侵犯商业秘密罪的量刑基础上加重刑罚[24]。但是，为了加重对互联网大数据下商业秘密侵权的行为，可以在《刑法》第219条的基础上，增加量刑加重情节，将“利用互联网大数据技术”作为该罪量刑的加重情节，在现有刑罚力度的基础上，增大对利用互联网大数据技术侵犯商业秘密行为的处罚，在客观上给予行为方实质震慑力。