大數據下金融交易商業秘密的保護：困境與對策

聶洪濤，李 寧

（西安財經大學法學院，西安710061）

引 言

隨著“互聯網+”和信息技術的發展，以電子式存儲的大數據憑借著完整性、全面性和相關性的特點，大數據技術已經廣泛應用到各個行業和領域當中，已經成為我國互聯網經濟增長的重要支撐要素，我國互聯網領域已經進入一個信息爆發的大數據時代。互聯網大數據時代，金融機構之間的競爭已經從傳統業務技巧轉換到金融數據信息方面。但是，隨著大數據技術在互聯網金融行業間的應用，侵犯他人金融交易秘密的行為愈發嚴重，也使得金融消費者和金融機構感覺在互聯網金融交易中如履薄冰，已經阻礙我國互聯網金融行業的發展，對于大數據下金融交易商業秘密的保護問題亟待解決。

一、大數據與金融交易商業秘密的聯系

（一）大數據概述及發展趨勢

“大數據”一詞并非我國漢語獨創詞匯，最早是由美國學者阿爾溫：托夫勒提出，在其著寫的《第三次浪潮》中首次運用了“Big data”的概念，漢語“大數據”是從英文直接翻譯過來的舶來品[1]。大數據的核心技術是通過對非結構化數據的收集、統計、分析[2]，再挖掘其潛在價值，將原本價值密度較低的分散信息集中起來組成一個有機的價值成指數倍增長的新數據，其能夠根據不同行業、不同主體的需求有辨識地提供最為貼近其需求的信息。

大數據技術從誕生到具體廣泛應用，標志著我們已經進入一個數據信息指數噴發的全新信息時代，成為市場經營主體及政府行政管理的重要輔助工具，為它們日常管理和決策提供科學遵循，大數據交易規模也呈倍數增長。根據2016年烏鎮舉行的第三屆互聯網大會發布的報告預測，隨著大數據技術的日益成熟和大數據市場規模的日益壯大，全球大數據規模將在未來幾年迎來一個倍數增長期，預計2020年大數據市場規模將增長至1.03萬億美元①。我國工信部通過對我國大數據發展現狀及和其他產業領域的結合情況，擬定了我國《大數據產業發展規劃（2016-2020年）》，該規劃擬定我國大數據市場規模的發展目標到2020年突破1萬億②。根據國際大數據預測機構（IDC）2017年發布的全球大數據預測白皮書，隨著大數據技術的廣泛應用，預計全球大數據規模到2025年增長至163ZB，該體量將是2016年全球大數據體量的10倍。

（二）金融交易商業秘密概述

商業秘密是指不為公眾所知悉、具有商業經濟價值的并經權利人采取相應保密措施的技術信息和經營信息。我國對商業秘密的保護模式采用的是分散式保護模式，并未對商業秘密的保護采用專門立法的形式，而是根據民事、行政、刑事責任承擔的方式和民事、行政、刑事制裁方式的不同，將商業秘密的保護規定分布在《反不正當競爭法》《刑法》等法律法規之中[3]。商業秘密之所以受到我國民事、行政、刑事三種保護方式結合的強保護模式，根本原因是其所具有的財產屬性，其所包含的經營秘密和技術秘密都是一種具有較大經濟價值的無形財產，是一種特殊的知識產權[4]。金融交易商業秘密是金融機構在市場交易過程中產生的金融秘密，分為金融客戶資料秘密和交易數據秘密，二者均屬于商業秘密經營秘密的范疇，是金融交易機構專有和專享的具有巨大經濟價值的信息財產。

金融客戶商業秘密是金融消費者的在交易過程中留下的個人信息及產品選擇和其他瀏覽、消費痕跡，當然，這其中包括的金融消費者的電話、身份證號、家庭住址、單位等信息還要受到金融消費者隱私權的保護，但并不妨礙屬于金融交易商業秘密規制的范疇。金融交易數據秘密更是金融交易機構自己占有、自己使用的專有信息財產，完全屬于商業秘密保護的范疇。

（三）大數據在互聯網金融交易中的應用

大數據具有的傳統數據分析無法進行的對非結構化數據進行分析進而提取二次經濟價值的能力，使得其在當下金融業競爭激烈的背景下，金融機構精準對位客戶、研判對手的重要輔助工具。金融機構之間的競爭已經從傳統的廣撒網、寬泛式宣傳轉化為大數據分析戰略的比拼。銀行業中的應用：各類銀行通過對潛在客戶信息全方位的掌握和分析，確定其融資產品購買傾向和購買力，為其量身打造融資產品，通過大數據分析，也為銀行分辨信貸用戶的償還能力和破產風險進行量化評估，從而極大降低呆賬、壞賬率；保險業中的應用：以精算為業務核心的保險行業完全依賴各種數據，通過大數據的應用保險公司能夠分析得知投保人的風險發生概率，從而更加精確地確定保率；證券業中的應用：大數據技術在證券行業應用最為廣泛，通過大數據分析，研判行情走向至關重要；基金業中的應用：基金投資公司運用大數據技術從海量的數據中挖掘具有經濟價值的信息，從而找到合適的投資對象。

在金融領域，運用大數據分析客戶資料已經從簡單的個人資料轉變為對個人全面信息的分析，通過對海量相關性數據的分析，也對對手交易有了較為精確的研判。在大數據廣泛運用在金融領域的同時，其弊端也逐漸顯現，金融交易商業秘密的侵權問題顯得尤為嚴重[5]。

二、大數據下金融交易商業秘密保護的困境

（一）非結構化數據難已構成“秘密性”

商業秘密是一種信息財產權，是一種具有潛在經濟價值的無形財產，只有滿足商業秘密的構成要件，才能夠落入商業秘密的保護范圍。世界各國對于商業秘密的規定不盡相同，商業秘密的構成和保護條件也頗具爭議，未形成統一意見。按照《知識產權協定》對商業秘密構成的規定，要想構成商業秘密，不僅要滿足保密性、秘密性，而且還應當具有商業價值，并采取了保密措施[6]。德國將商業秘密的構成要件確定為秘密性、具有保密意思和保密利益[7]。日本則以非公知性、管理性及有用性作為商業秘密保護的構成要件[8]。美國商業秘密學者達林·斯奈德（Darin W.Sny?der）和戴維·阿爾莫林（David S.Almeling）的觀點有所不同，認為商業秘密構成要件應當包括四個組成部分：任何信息、采取了合理措施、秘密性、具有經濟價值[9]。我國知識產權學者吳漢東教授認為商業秘密的構成要件應當包括四個方面即信息性、保密性、未公開性、實用性等四個方面[10]。從上述不同觀點和規定來看，商業秘密的構成要件應當至少包括秘密性、價值性、保密性三個方面。

“秘密性”是商業秘密最為重要的構成要件，是商業秘密相關法律保護的前提條件[11]。考量時候構成“秘密性”，關鍵是是否為公眾所知悉。但是，大數據主要應用就是對價值密度低非結構化數據進行分析，從而提煉出二次高價值。金融交易中，金融消費者的瀏覽痕跡、經常訪問網站、點開的鏈接信息等很難直接認定為具有“秘密性”，因為他們的瀏覽痕跡、瀏覽網頁都是公開，為公眾所知悉的，出現了大數據的“寬”與商業秘密保護的“窄”之間的矛盾，使得運用商業秘密保護金融交易秘密的范圍有限。

（二）大數據侵權行為具有隱蔽性造成舉證困難

我國商業秘密的舉證原則是原國家工商行政管理局于1995年制定的《關于禁止侵犯商業秘密行為的若干規定》確定的實質性相似+接觸+合法性來源的認定標準，該標準原則沿用至今，仍然是我國司法實務界審理商業秘密侵權案件審判中的舉證原則[12]。該標準原則要求，如果被訴方與他人掌握的商業秘密實質性相似，則只要起訴方舉證被訴方接觸過該商業秘密，且由被訴方證明該信息的合法來源。按照該原則，起訴方應當證明被訴人曾經接觸過自己掌握并采取保密措施的商業秘密。接觸的認定在傳統環境下可以很好分配原被告雙方之間的舉證責任，但是在互聯網信息爆炸的新時代，大數據環境下，侵權行為人很容易運用技術手段，使得數據收集行為根本不會留下痕跡，被侵權者根本難以證明侵權行為人曾經接觸過自己掌握的金融交易數據。大數據下，數據收集往往由專業化的數據收集分析機構完成，大數據分析機構收集、分析完畢再將分析后的數據結果與金融機構進行交易，市場中已經呈現一種收集和使用分離的模式，我國大數據交易市場也初具規模[13]。這些專業的大數據收集分析機構往往通過后臺操作技術，隱蔽的收集各種分散的點式金融數據，不僅收集過程隱蔽難以發現，甚至被收集者都不會意識到自己數據被收集，更不會意識到自己的商業秘密權被侵犯。侵權行為的隱蔽性和侵權結果的隱蔽性，導致被侵權金融機構難以舉證接觸行為的存在。

（三）互聯網下金融交易商業秘密侵權損害后果嚴重

金融交易本身具有交易價值大、影響范圍廣等特點，金融交易往往在大規模金融機構之間進行，所設標的價值往往巨大，交易不僅涉及雙方交易主體的利益，對整個金融交易市場甚至是我國金融穩定性具有重大影響。因此，金融交易商業秘密一旦泄露，不僅造成被泄露方財產利益損失，甚至會給整個金融市場產生不利影響。

互聯網下金融交易是金融機構與互聯網企業約定，運用互聯網平臺，完成資金融通、支付、投資、信用服務等交易行為。互聯網本身具有網絡傳播的不確定性和不可控性，其與大數據的結合，使得金融商業秘密的損害后果不同于傳統金融交易商業秘密泄露。傳統金融交易商業秘密侵權，競爭對手最多只會獲得某項或某幾項交易的數據，其損害結果不僅可以控制在這幾項交易的財產收入內，更不會對金融交易機構其他交易和接下來的交易走向產生影響，影響后果完全處于可控范圍。但是，在互聯網領域，運用大數據分析技術，競爭對手不僅能夠知悉某項交易數據，更是能夠通過對海量相關性信息數據的分析，科學推算出金融交易機構未來交易行為和交易趨勢，這種不正當的預先探取他人金融商業秘密的大數據侵權行為，勢必會造成金融交易市場的動蕩。

三、域外發達國家應對經驗考察

發達國家是信息革命的領導者，也同樣引領著大數據產業的發展，在大數據商業秘密保護方面已經取得了一定成果。其中，美國、歐盟、日本等代表性國家對于大數據下金融商業秘密保護問題已經展開了多方面立法探索。

（一）歐盟堅持個人金融數據使用“告知與許可原則”

在傳統法上，歐盟堅持強有力的個人隱私保護制度，在個人信息保護制度上，歐盟一直堅持“告知與許可”的原則[14]，禁止他人在未告知和未取得許可的前提下擅自收集他人信息。歐盟為了加強對個人數據信息的保護，不僅成立了專門個人數據監管機構，還早在1995年便通過了《個人數據保護指令》，該指令確立了一系列原則，旨在實現對個人數據信息的全方位保護。

在當下信息爆炸的大數據時代，對于個人金融數據信息，歐盟延用了傳統法上的“告知與許可”原則，采取了更為嚴格的授權制度，在大數據下，更加強化對個人金融數據的保護，這在歐盟相關立法上尤為體現。歐盟在2016年通過了《一般數據保護條例》，該法于2018年5月25日生效，明確企業獲取個人數據，應當取得個人的同意。自然個人金融數據屬于個人數據的范疇，受到該法的調整，這也回應了大數據下，對個人金融數據的保護問題。歐盟的個人金融數據的強保護原則，自然也一定程度上限制了金融領域大數據技術的應用。個人金融數據的過分保護，不利于數據價值的二次轉化，更不利于大數據產業的發展，歐盟在立法價值取向上偏重于個人權利保護，卻也難免存在負面效應[15]。

（二）美國注重互聯網大數據下個人數據權利與市場數據流通的平衡

美國和歐盟一樣，在對金融交易商業秘密保護方面，注重對金融消費者個人金融數據的保護。美國和歐盟在傳統個人信息保護方面采取的立法態度一致，歷來重視對個人隱私的保護，堅持告知與許可原則，視個人隱私權為一種財產權[16]。美國于1994年通過頒布了《金融隱私權力法》，將個人隱私保護具體到金融領域，規定了披露金融信息時的具體程序。1999年美國又通過了《金融服務現代化法》，該法卻不同于美國傳統法對于個人隱私的強保護，而采取了“未明確反對即為同意”。

隨著大數據技術的發展，美國政府意識到傳統的告知與統一原則過度保護了個人的金融數據信息權力，傳統的告知與同意原則已經不再適應互聯網領域的大數據發展。美國為了保持在瞬息變化的大數據互聯網信息新時代保持國際領先地位，為了充分利用大數據技術促進相關經濟產業發展，美國改變傳統法上對個人隱私采取強保護制度，開始傾向于在保證個人金融數據隱私的同時，鼓勵大數據技術在產業中的運用。美國在金融交易個人數據方面，強調在堅持保護個人數據隱私的前提下，允許金融數據擁有機構對個人金融數據的挖掘，以應對大數據下金融數據保護與使用問題[17]。

（三）《日本反不正當競爭法》中增設“限定提供數據”條款

日本作為發達國家，在互聯網大數據的新時代，為了應對大數據帶來的挑戰，也已經開始著手制定相關法律法規以規制大數據技術的應用。日本并不同于歐盟和美國所采取的立法模式，并沒有采用單獨法的立法模式，而是在現有法律框架內，通過對現有法律的修改，以達到在現行法律框架內達到對大數據技術的規制。

在大數據應用的開始，日本就已經意識到大數據技術法律規制的重要性，如美國一樣，旨在保護數據所有者和數據市場正常流通之間實現平衡。日本最初設想是通過法律解釋的方式，在法律解釋的層面以實現對大數據技術的規制，但日本發現，通過法律解釋的方式，并不能實現對大數據的有效規制，仍然無法達到市場均衡的目的。因此在2017年，日本國內便開始著手對大數據立法工作的籌備工作，開始討論是否制定新的法律條款以及如何制定新條款來應對數字經濟中這一重大課題。日本最終抉擇采取通過《日本反不正當競爭法》的修訂，增加“限制提供數據”條款，運用反不正當競爭法律制度實現對大數據挖掘、分析、運用的規制[18]。

四、大數據下金融交易商業秘密保護建議

（一）對商業秘密“秘密性”構成要件做擴張解釋

按照我國傳統法上對商業秘密保護制度的規定，分散性、點分式的非結構性大數據無法構成商業秘密“秘密性”的構成要件，自然也無法受到商業秘密的規制，在“數據權”尚存爭議、尚未確權的當下，對非結構性大數據的應用及保護處于法律空白期。互聯網當下，信息傳播速度以及傳播范圍，都是傳統法律所無法預料的，特別是大數據技術應用被廣泛應用后，其網絡數據的廣、散、全更使得傳統法上從客觀層面認定商業秘密的“秘密性”已經無法操作。要使得金融交易數據能夠完全落入商業秘密規制的范圍內，對傳統法上商業秘密“秘密性”的構成要件，應當做出擴張性解釋，不能單從客觀層面認定是否構成“秘密性”，在堅持“秘密性”為商業秘密構成要件的基礎上，將“客觀認定標準”轉換為“主觀認定標準”，即只要數據所有人主觀上或社會一般人認為該數據是自己不想被公開或被收集的數據，便構成“秘密性”的標準。

金融交易數據商業秘密更是如此，互聯網領域下，金融交易完全處于一個公開或半公開狀態，交易中的個人信息及金融交易本身的數據都是很容易被知悉和獲取的。如前所述，在金融交易中的數據，作為數據所有人的金融交易機構不想被收集的數據都應認定為具有“秘密性”，符合商業秘密的構成要件，如此，才能夠落入商業秘密保護制度的規制范疇。

（二）借鑒著作權互聯網領域的技術措施保護方式

在信息互聯網高速發展的新時代，知識產權領域中最受沖擊和挑戰便是著作權的保護。著作權客體、著作權權力類型、著作權使用方式以及鄰接權問題都在互聯網發展下得到了擴充，這也體現在我國《著作權法》的數次修改上。為了應對互聯網的沖擊，著作權也發展出許多新的保護方式，如技術措施保護制度，技術措施是指著作權人或相關權人為保護其作品或者錄音錄像制品不受非法復制、利用等而采取的加密或其他版權客體控制技術[19]。著作權技術措施就是為了應對網路環境下，著作權侵權行為隱秘、難以發現而采取的預先保護措施，其相當于在作品客體外設置了一個保護罩，即使未對客體進行侵犯，只要避開或故意破壞該技術措施便構成著作權侵權[20]。

網絡環境下金融交易數據被收集和利用的商業秘密侵權行為往往是專業數據機構所為，其掌握著成熟的技術和后臺操作程序，金融交易機構作為數據所有人，無法舉證和發現該侵權行為的存在。借鑒著作權技術措施保護制度，在互聯網下金融商業秘密的外圍設置一層“保護罩”即預保護措施，在數據收集者未接觸和利用該數據時的避開或破壞技術措施的行為也認定侵犯金融商業秘密，將商業秘密保護的范圍向外擴大一層，在源頭上解決互聯網下金融商業秘密侵權行為隱蔽性的問題。

（三）改變商業秘密舉證責任的分配

我國傳統法上實質性相似+接觸+合法性來源的商業秘密侵權認定原則已然不再適應大數據互聯網時代的發展，由金融機構舉證數據收集人“接觸”過自己金融掌握的金融交易數據在當下大數據收集技術如此發達的網絡時代已然不太可能。

在我國民事訴訟制度中，為了解決在一般性舉證原則即誰主張誰舉證原則下權利人舉證不能的問題，延伸出了“舉證倒置原則”，如我國為了解決環境污染侵權中受害人舉證困難的問題，將因果關系的舉證責任倒置，由侵權人舉證證明不具有因果關系[21]。在互聯網領域，金融交易機構相對于大數據收集和分析機構來說處于相對弱勢地位，大數據金融機構往往掌握著金融交易機構所無法掌握的先進技術，再按照傳統法上的一般性舉證責任分配原則來分配金融交易機構與大數據公司之間的舉證責任違背我國民法平等原則的要求。在互聯網大數據時代，應當轉變按照一般性舉證責任原則認定的金融機構對“接觸”行為的舉證責任，不再由金融交易機構對大數據公司“接觸”過自己掌握的數據承擔舉證責任，而是由大數據公司承擔自己未接觸過該金融數據的舉證責任，即按照“舉證責任倒置”原則來公平分配金融交易機構與大數據公司之間的舉證責任，以解決互聯網領域金融交易數據商業秘密侵權行為舉證難的問題。

（四）增大互聯網大數據下侵犯商業秘密的懲罰力度

對于商業秘密侵權行為的制裁，我國采用民事制裁、行政制裁及刑事制裁多種制裁方式結合的手段，但是，即使采取三種制裁模式，仍不能有效遏制商業秘密的侵權行為，尤其是互聯網領域下，商業秘密侵權更為簡單、普遍的情況下，增大商業秘密懲罰性力度對于遏制互聯網領域大數據下商業秘密侵權行為的發生顯得尤為重要。

1.民事制裁下增加互聯網領域侵權的懲罰性賠償

我國《反不正當競爭法》在2019年進行了修改，以適應日益變化的經濟市場，其中對商業秘密的民事責任的修改是本次修法的亮點③2019年4月23日第十三屆全國代表大會常務委員會第十次會議通過了《反不正當競爭法》的修改案。。新修訂的《反不正當競爭法》加重了侵犯商業秘密的民事責任，將懲罰性賠償幅度增加至最高五倍。對商業秘密懲罰性賠償的加重，其重要目的是為了遏制當下互聯網下商業秘密侵權頻發的現象[22]。但是卻未對互聯網大數據下商業秘密侵權行為做出加重規定，未正面回應互聯網大數據下商業秘密侵權行為滋生的問題。在互聯網大數據下商業秘密侵權行為認定和舉證困難的情況下，該條懲罰性賠償的威懾力有限，無法真正達到威懾互聯網領域大數據侵權者的作用。因此，該條懲罰性賠償規定，應當增加在互聯網利用大數據技術侵權作為加重賠償的情節，從正面回應互聯網大數據下商業秘密侵權責任問題。

2.行政制裁下明確“互聯網下利用大數據技術”為侵權嚴重情節

《反不正當競爭法》不僅規定了商業秘密侵權的民事責任承擔，也規定了侵權者應承擔的行政責任。民事責任承擔是平等主體之間為了維護自己的合法權益，彌補自己遭受的損失，而由權利方自己所主張，往往需要經過冗長的民事訴訟程序，而在日新月異的互聯網大數據時代，其損失往往得不到預期彌補。行政制裁行為是行政機關為了維護正常市場秩序，主動使用行政管理權對侵權行為者進行的處罰，具有強制性、高效性等特點[23]。

雖然2019年新修訂的《反不正當競爭法》增大了行政處罰力度，但是沒有明確情節嚴重的具體規定，并未將“互聯網下大數據技術的應用”明確規定為情節嚴重的一種。無疑，大數據技術應用的互聯網已經成為商業秘密侵權最為嚴重的領域，《反不正當競爭法》在對情節嚴重進行規定時，應當明確互聯網大數據技術作為情節嚴重的一種，一是為了使事務中行政處罰保持一致，二是給予互聯網大數據商業秘密侵權者直接威懾。

3.刑事制裁下將“利用互聯網大數據技術”作為量刑加重情節

我國商業秘密保護制度不僅在民事和行政領域規定了侵權者的責任、制裁方式，我國《刑法》也規定了對應的刑事制裁措施。刑事制裁措施是最為嚴厲的制裁方式，我國將侵犯商業秘密的行為入刑，是國家對侵犯商業秘密行為的根本否定，也在客觀上反映了我國對商業秘密保護的重視。但是，在互聯網大數據技術廣泛應用的當下，我國刑法領域并未做出積極的反應。

謙抑性和穩定性是刑法的基本價值取向，我們不應當在現有刑事罪名下對互聯網大數據下商業秘密的侵權行為另行確定一個新的罪名，也不應當在現有侵犯商業秘密罪的量刑基礎上加重刑罰[24]。但是，為了加重對互聯網大數據下商業秘密侵權的行為，可以在《刑法》第219條的基礎上，增加量刑加重情節，將“利用互聯網大數據技術”作為該罪量刑的加重情節，在現有刑罰力度的基礎上，增大對利用互聯網大數據技術侵犯商業秘密行為的處罰，在客觀上給予行為方實質震懾力。

結 語

互聯網領域大數據技術的應用已經對現有商業秘密保護制度產生了極大的挑戰壓力，尤其是對依托現代互聯網發展的互聯網金融交易的商業秘密，這就使得傳統商業秘密保護制度應當積極做出調整，積極借鑒國外發達國家的先進經驗，制定出符合互聯網大數據背景下的商業秘密保護新制度。