网上商业数据保护立法研究

王林+杨坚争

[摘 要] 网上商业数据的泄露和不正当使用已经严重的扰乱社会秩序，影响到国家的战略安全和百姓的生活。文章分析了中国网上商业数据存在的问题，明确了数据保护坚持的原则，提出了网上商业数据保护的基本思路：从数据收集和整理、数据使用、数据存储和维护等方面提出切实可行的实施细则。

[关键词]数据保护；机制研究；电子商务

[中图分类号]F490.6；D912.8 [文献标识码]A [文章编号]1673-0461（2014）07-0032-06

一、前 言

截至2013年12月，中国网民规模达6.18亿，全年共计新增网民5 358万人；互联网普及率为45.8%，比2012年增加3.7个百分点；手机网民规模达5亿，全年共计新增8 009万人；网民中使用手机上网的人群占比提升至81.0%。商务类应用继续保持较高的发展速度，其中网络购物以及团购尤为明显。2013年中国网络购物用户规模达到3.02亿人，同比增长24.7%；网购使用率达到48.9%，相比2012年增长6.0个百分点；团购用户规模达1.41亿人，团购的使用率为22.8%，相比2012年增长了8.0个百分点，用户规模年增长68.9%，是增长最快的商务类应用[1]。电子商务作为战略性新兴产业，在转变经济增长方式、推动产业转型升级，促进流通现代化中发挥着重要作用，其发展的巨大潜力已引起越来越多的部门和企业重视。网络交易中产生了大量网上商业数据；企业传统的经营数据也在不断转变成为网上商业数据，进而形成新的信息形式或权利形态[2]。由于我国对网上商业数据缺乏管理规范和标准，违约和侵权纠纷日益增多，主要表现在：利用网络不正当或非法采集商业数据、不正当使用网上商业数据、数据挖掘使个人隐私暴露、侵犯数据权利人利益等。

网上商业数据是企业权益在网络中表现的基本元素，也是目前国际商务法律保护的前沿领域和空白地带。在我国，通过立法保护网上商业数据不仅有利于在网络上保护企业和个人的各项权利，也有助于在电子签名法确认数据电文的基本法律地位后将数据电文的保护在商务领域延伸。本项目通过对网上商业数据保护的系统研究，形成了基本的保护思路，并通过本项目的研究，规范网上商业数据的收集、存储、整理、使用和维护行为，保护相关利益方的合法权益，促进电子商务的健康发展。

二、网络环境下商业数据保护面临的主要问题

根据Netcraft调查，截至2013年12月底，在侦测时共收到全球665 916 461个站点的反馈信息。其中，活跃网站数量约2亿个[3]。从20世纪90年代末开始，全球互联网站一直保持快速发展的势头。2000年以来，网站数量的增加速度更是越来越快，对全球经济的影响也越来越大，截至2013年12月30日，全球互联网络使用人数达到24.05亿人，已经占到世界人口的34.3%（参见表1）[4]。 技术条件的显著改善支持了电子商务的快速发展。

2013年，中国电子商务交易总额突破10万亿元，达到107 066.41亿元，相比2012年的81 091亿元（修正值）增长32%，电子商务已经成为中国在国际市场上具有较强竞争力的领域。图1显示了中国电子商务交易总额近年来持续增长的强劲势头[5]。

2013年7月17日上午， CNNIC（中国互联网信息中心）发布第32次调查报告，报告显示，截至2013年6月底，我国网民规模达5.91亿，其中手机网民规模达4.64亿，较2012年底增加4 379万人，网民中使用手机上网的人群占比提升至78.5%。在2013年上半年的新增网民中70.0%使用手机上网，手机成新增网民第一来源。

随着电子商务的快速发展，网上商业数据安全也面临极大威胁，以上海市为例，2013年8月，光大乌龙事件，“上证综指瞬间上涨5.96%，主要原因是光大证券自营账户大额买入。”严重影响了证券行业的经济秩序，2012年5月，1号店90万会员信息资料泄露，导致部分用户账户内的资金丢失；2011年上海市网站网页篡改的安全事件占全市安全事件总数的60%以上，数据丢失的发生率日益上升；2012年，上海共清理网络诈骗、网络贩卖公民个人信息等违法有害信息11万余条，侦破涉网违法犯罪案件954起，抓获犯罪嫌疑人1 788名，整治了一批问题突出的网站和网络服务商。上述状况严重干扰了网络商业活动，甚至影响到网上经济秩序。加强网上商业数据保护的研究，尽快完善网上商业数据保护的法律法规，已经成为一项非常紧迫的任务[6]。

计算机和网络技术为人们获取、传递、复制信息提供了方便，但网络的开放性和互动性又给商业数据的保护带来麻烦。在线消费（购物或接受信息服务）均需要将个人资料传送给银行和商家，而对这些信息的再利用成为网络时代普遍现象。如何规范银行和商家的利用行为，保护商业数据和消费者的隐私权成为一个新的棘手问题。此外，商业信息涉及跨境传输时的保护问题也不可忽视[7]。由于我国在网上商业数据的采集、生成、整理、传输、使用、交换、修改和处理等方面缺乏基本的规范和标准，因此产生的违约和侵权纠纷日益增多，这种状况十分不利于网络商业活动的正常进行，网上商业数据保护面临的问题集中表现在以下几个方面：

1. 利用网络非法采集和整理商业数据

为了产品在销售中占据有利地位，利用网络不正当或非法采集和整理商业数据，在企业间的竞争中，有的公司通过网络获取其他公司的信息，掌握其他公司在某一地区的销售情况；在顾客发展活动中，不正当的收集顾客的个人信息。

2. 不正当的使用网上商业数据

虚拟市场的形成，消费者在网上交易、电子支付等日常活动中所填写的客户信息很容易被企业所掌握。这些信息经过数据挖掘，成为具有商业价值的数据。一些企业在使用这些信息时不注意保密，以致这些信息通过各种渠道被披露；有的甚至出售消费者的个人信息而导致隐私权被侵犯的现象发生。endprint

3. 大数据的发展使个人商业数据储存者面临挑战

电子商务的发展使大数据分析成为创新的前沿。一方面，领先的软件企业正在争抢布局大数据的分析业务，且经营者也正在扩大个人数据的收集范围。如亚马逊网站在2014年4月份最新修改的隐私通知中将用户的移动终端数据纳入数据搜集的范围，Google也在2013年3月更新了隐私政策，表示将收集手机使用的日志信息。但另一方面，大数据搜集者频频遭黑客袭击。如2012年初，当当网用户的用户名及密码信息被公开贴在互联网上，有些用户甚至还丢失了购物抵用券及账户余额；2012年5月份，1号店90万名用户信息泄露，信息资料被出售。

4. 云计算和大数据使传统法律管辖权面临挑战

在中国境内实施商业行为的相关外资和合资企业，其服务器的地址不公开，很多服务器地址不在中国境内的，难以接受中国法律的管辖，尤其是无机构的高风险互联网运作方式，以比特币为例，比特币（BitCoin）是一种P2P形式的数字代码，其不依靠特定货币机构发行，它依据特定算法，通过大量的计算产生，比特币经济使用整个P2P网络中众多节点构成的分布式数据库来确认并记录所有的交易行为。P2P的去中心化特性与算法本身可以确保无法通过大量制造比特币来人为操控币值。这种无组织无国界的货币形式，对监管提出了严重的挑战[8]。

5. 侵犯网上商业数据权利人的利益

尤以侵犯顾客信息、商业秘密、著作权为突出，顾客信息的商业价值在于它能吸引顾客群，没有顾客，企业就无法生存。权利主体一旦泄露顾客信息便可能导致自己的顾客群流失；而合法转让则可能为受让者创造新的顾客群，因此，顾客信息成为企业网络营销竞争的重要客体。侵犯商业秘密则表现为利用黑客手段窃取企业情报；游戏外挂则是侵犯网络著作权最典型的案件。

6. 网上商业数据权利人忽视对自身权利的保障意识

缺乏对网上商业数据的安全保障措施[9]。目前，网络安全保障仍然比较脆弱。网络营销的运行必须依靠互联网，但网上传递的信息很容易成为众多黑客截获与攻击的目标。根据国家互联网应急中心（CNCERT）的调查，2014年4月，我国有1 957个网站被篡改，境内约166万个IP地址对应的主机被木马或僵尸程序控制，信息系统安全漏洞有495个 。造成这种状况的原因，很大程度上是由于网络安全意识的缺乏和网上商业数据的保障措施的不完善。

三、网上商业数据保护研究的重要性

网上商业数据是网上商业行为的基础与核心，是企业权益在网络中表现的基本元素，也是目前国际法律保护的前沿领域和空白地带。在我国，通过立法保护网络商业数据不仅有利于切实在网络上保护企业的各项权利，有助于电子商务、企业信息化、电子支付、电子政务、电子社区的发展，也是电子签名法确认数据电文的基本法律地位后数据电文在商务领域保护的自然延伸，是未来进行电子交易行为规范的基础之一[10]。

随着电子商务与信息化的快速发展，一方面，企业在参与电子商务活动中产生了大量的网络商业数据，以各种形态存在于网络空间；而另一方面，大量的企业商业数据同时也在不断地数字化、网络化，转变成为网络商业数据。

随着微博、飞信、社交网络、基于位置的服务LBS等新型信息发布方式在电子商务中的普及，以及云计算、物联网等技术的在电子商务中应用的兴起，网上商业数据正以前所未有的速度在不断地增长和累积[11]。

商业数据的大量出现，使数据量大幅度增加，由TB 级上升至PB 级， 并仍在持续爆炸式增长的态势。根据WinterCorp的调查显示， 最大的数据仓库中的数据量， 每两年增加3倍[12]（年均增长率为173%），其增长速度远超摩尔定律增长速度，照此增长速度计算， 2015 年最大数据仓库中的数据量将逼近100PB。

商业数据的大量增加，引起了各方面的高度的关注度。2013年1月，在达沃斯世界经济论坛上，商业数据的应用是其中的主题之一。该次会议还特别针对大数据发布了报告，“Big data， big impact： New possibilities for international develop-ment”，探讨了新的数据产生方式下，如何更好地利用数据来产生良好的社会效益。该报告重点关注了个人产生的移动数据与其他数据的融合与利用。2014年3月，美国奥巴马政府发布了“大数据研究和发展倡议”（Big data research and development initiative），投资2亿美元，正式启动“大数据发展计划”。计划在科学研究、环境、生物医学、商业等领域利用大数据技术进行突破。奥巴马政府的这一计划被视为美国政府继信息高速公路（Information Highway）计划之后在信息科学领域的又一重大举措。

大量商业数据在网络中数字化以后，在四通八达的互联网空间被不断地以各种方式为各种主体所利用，被融合进电子商务、企业信息化、电子支付、电子政务、电子社区，进而形成新的信息形式或权利形态。

网上商业数据保护的立法与政务信息公开与利用、个人数据保护等立法相呼应，可以形成信息社会对于信息基本权益立法保护的完整体系。这是信息社会深化与发展对法制建设的必然要求，也是推动在电子商务立法逐渐深入的必然趋势：从电子签名立法向信息安全立法、商业数据保护方面推进。唯其如此，才能从根本上保护各个主体在网络空间的各项基本权益，规范各类交易和行为，促进网络经济和信息化社会的发展。

四、网上商业数据保护机制设计

1. 网上商业数据保护的原则

网上商业数据的收集、整理、传输、使用和存储应遵守事前提示、合理使用、安全谨慎的原则。依法生成或者收集的网上商业数据受法律保护，违法数据以及有悖于社会公共道德的不良信息不受法律保护。商业数据中含有隐私等个人信息的，应当遵守相关法律法规的规定。endprint

2. 网上商业数据的法律保护

网上商业数据的使用过程一般包括两个阶段：数据收集和整理阶段、数据使用阶段、数据存储与维护阶段。网上商业数据保护基本上是围绕这三个阶段展开的。

（1）数据收集和整理阶段的保护。在数据收集和整理阶段，数据收集人可以收集与自身商业活动相关的数据。数据收集人在收集数据时应告知被收集人收集数据的目的和用途，被收集人有权决定是否提供数据以及数据提供的范围。

被收集人有正当理由的，有权要求数据收集人修改、删除已提供的数据。该数据被修改、删除后，数据收集者不得再使用被收集人提供的原数据。数据收集人应当允许注册用户能够按照注册时原途径或更为便捷的途径注销账户数据，当事人另有约定的除外。

数据收集人不得以盗窃、欺诈、胁迫、非法访问或其他不正当手段获取商业数据。数据收集人在整理数据时不得恶意修改被收集者的数据。数据收集人通过对非商业机构的数据库进行复制，整理生成商业数据的，应当取得该机构的同意。对违法或可能侵害他人权益的，有关部门可以禁止利用此类数据。

（2）数据使用阶段的保护。在数据使用阶段，数据收集人应按照被收集人同意的使用目的、范围和用途使用商业数据。未经被收集人同意，数据收集人不得将被收集人的数据公开或转让。当数据收集人向数据使用人提供或转让数据时，双方可以另行约定合法的使用目的和范围。数据使用人向他人再行转让时，需要重新约定使用目的和范围。国家鼓励对网上商业数据进行数据挖掘并在商业活动中使用。数据收集人和使用人经过数据挖掘而形成的数据受法律保护。商业数据使用中禁止下列行为：未经数据所有人允许使用、修改、删除商业数据； 据收集者将收集到的数据用于被收集者同意以外的用途；数据使用过程中违反约定，对外披露和传播。

因科学研究或个人学习目的可以无偿使用公开的商业数据，但应当注明出处。但国家机关及其授权组织非因执行公务使用商业数据例外。网上商业数据符合企业商业秘密条件的，企业可以根据相关法律法规以保护，并要求接触该商业数据的相关工作人员履行保密义务。

（3）数据存储与维护阶段的保护。在数据存储与维护阶段，从事网上交易的企业应根据商业数据的重要性，对商业数据进行有效备份。提供网络物理接入的企业和提供网络数据服务的企业，应当按照信息产业部门的规定或者行业惯例，设置数据备份，建立存储制度，确保数据运行安全。提供信息技术服务的专业机构有义务提示或协助服务对象进行数据备份，因未提示或协助而造成数据丢失的，应当依法承担责任。提供数据备份、数据处理服务的企业，应当建立数据保护制度，并采取技术手段，确保非经权利人许可的个人或组织无法接触数据内容。鼓励企业和行业协会建立数据备份和处理中心。鼓励跨国企业在中华人民共和国境内建立数据处理中心。网上商业数据服务提供者应在服务协议中明确告知用户允许账户休眠的期限。未告知的，服务商对休眠不满两年的账户不得注销。提供网络数据服务的企业应当制定数据销毁制度。对于敏感数据、保密数据或没有使用价值的数据，数据收集人或使用人应按规定程序销毁。

（4）数据保护职责。互联单位、接入单位及使用网上商业数据的个人、法人和其他组织应当履行下列数据保护职责：按照信息产业部制定的技术标准建设网上商业数据服务系统，实现数据库和数据库之间的有效对接，鼓励建立全国统一的数据库标准；加强网上商业数据的安全管理，建立健全数据保护管理措施；保障本网络的运行安全和数据安全；在设备维修、存储、更新数据等系统维护时，应及时备份数据。

因特网服务提供者和联网使用单位不得实施下列破坏网上商业数据的非法行为：窃取信息：窃听、截取网上商业数据；篡改信息：入侵者通过各种技术手段和方法，将网络上商业数据修改，然后再发向目的地；假冒信息：攻击者冒充合法用户发送假冒的信息，或者主动获取信息而远端用户难以分辨；恶意破坏信息：攻击者对网上商业数据进行修改，掌握网上的机要信息，甚至潜入网络内部；制作或者故意传播计算机病毒以及其他破坏性程序，导致数据主体利益受损；法律、行政法规禁止的其他行为等。

3. 网上商业数据的法律保护的设计

以前的立法机制，主要是针对商业秘密、数据库、隐私权、个人数据的保护，而不是对网上商业数据的保护。本机制调整的对象是网上商业数据，其具有两个显著特征，一个是网络化，这一特性决定了它特殊的存在方式：网络存储、在线维护、安全风险大；二是具有生命周期，这一特性决定了它的基本运作环节：收集→使用→存储→维护→销毁；数据的生命周期要求调整各环节的机制关系，规范特殊的使用、存储、维护行为。因此，网上商业数据保护应当以数据为中心，以其流转程序为主线，以各环节为切入点，分析和分解各环节法律关系，规范各参与主体的权利义务；整个过程应把握网上商业数据的特点，针对特点制定特别的规范，将整个流程分为数据收集和整理、数据使用、数据存储和维护、数据保护4个阶段和12个具体环节，构思了网上商业数据保护机制的基本思路（参见图2）。

根据图2，本项目有针对性地提出了网上商业数据保护的具体条款，所形成的机制分为七章：总则、数据收集和整理、数据使用、数据存储与维护、数据保护、法律责任和附则。

在数据收集和整理阶段，数据收集人可以收集与自身商业活动相关的数据。数据收集人在收集数据时应告知被收集人收集数据的目的和用途，被收集人有权决定是否提供数据以及数据提供的范围。

在数据使用阶段，数据收集人应按照被收集人同意的使用目的、范围和用途使用商业数据。未经被收集人同意，数据收集人不得将被收集人的数据公开或转让。

在数据存储与维护阶段，从事网上交易的企业应根据商业数据的重要性，对商业数据进行有效备份。提供网络物理接入的企业和提供网络数据服务的企业，应当按照信息产业部门的规定或者行业惯例，设置数据备份，建立存储制度，确保数据运行安全。

在整个过程中都落实数据保护职责。互联单位、接入单位及使用网上商业数据的个人、法人和其他组织都应明确并严格履行自己的数据保护职责，职责明确，权责分明。

五、小 结

网上商业数据保护机制与政务信息公开与利用、个人数据保护等立法相呼应，可以形成信息社会对于信息基本权益立法保护的完整体系。这是信息社会深化与发展对法制建设的必然要求，也是推动在电子商务立法逐渐深入的必然趋势：从电子签名立法向信息安全立法、商业数据保护方面推进。只有这样才能从根本上保护各个主体在网络空间的各项基本权益，规范各类交易和行为，促进网络经济和信息化社会的发展。endprint

2. 网上商业数据的法律保护

网上商业数据的使用过程一般包括两个阶段：数据收集和整理阶段、数据使用阶段、数据存储与维护阶段。网上商业数据保护基本上是围绕这三个阶段展开的。

（1）数据收集和整理阶段的保护。在数据收集和整理阶段，数据收集人可以收集与自身商业活动相关的数据。数据收集人在收集数据时应告知被收集人收集数据的目的和用途，被收集人有权决定是否提供数据以及数据提供的范围。

被收集人有正当理由的，有权要求数据收集人修改、删除已提供的数据。该数据被修改、删除后，数据收集者不得再使用被收集人提供的原数据。数据收集人应当允许注册用户能够按照注册时原途径或更为便捷的途径注销账户数据，当事人另有约定的除外。

数据收集人不得以盗窃、欺诈、胁迫、非法访问或其他不正当手段获取商业数据。数据收集人在整理数据时不得恶意修改被收集者的数据。数据收集人通过对非商业机构的数据库进行复制，整理生成商业数据的，应当取得该机构的同意。对违法或可能侵害他人权益的，有关部门可以禁止利用此类数据。

（2）数据使用阶段的保护。在数据使用阶段，数据收集人应按照被收集人同意的使用目的、范围和用途使用商业数据。未经被收集人同意，数据收集人不得将被收集人的数据公开或转让。当数据收集人向数据使用人提供或转让数据时，双方可以另行约定合法的使用目的和范围。数据使用人向他人再行转让时，需要重新约定使用目的和范围。国家鼓励对网上商业数据进行数据挖掘并在商业活动中使用。数据收集人和使用人经过数据挖掘而形成的数据受法律保护。商业数据使用中禁止下列行为：未经数据所有人允许使用、修改、删除商业数据； 据收集者将收集到的数据用于被收集者同意以外的用途；数据使用过程中违反约定，对外披露和传播。

因科学研究或个人学习目的可以无偿使用公开的商业数据，但应当注明出处。但国家机关及其授权组织非因执行公务使用商业数据例外。网上商业数据符合企业商业秘密条件的，企业可以根据相关法律法规以保护，并要求接触该商业数据的相关工作人员履行保密义务。

（3）数据存储与维护阶段的保护。在数据存储与维护阶段，从事网上交易的企业应根据商业数据的重要性，对商业数据进行有效备份。提供网络物理接入的企业和提供网络数据服务的企业，应当按照信息产业部门的规定或者行业惯例，设置数据备份，建立存储制度，确保数据运行安全。提供信息技术服务的专业机构有义务提示或协助服务对象进行数据备份，因未提示或协助而造成数据丢失的，应当依法承担责任。提供数据备份、数据处理服务的企业，应当建立数据保护制度，并采取技术手段，确保非经权利人许可的个人或组织无法接触数据内容。鼓励企业和行业协会建立数据备份和处理中心。鼓励跨国企业在中华人民共和国境内建立数据处理中心。网上商业数据服务提供者应在服务协议中明确告知用户允许账户休眠的期限。未告知的，服务商对休眠不满两年的账户不得注销。提供网络数据服务的企业应当制定数据销毁制度。对于敏感数据、保密数据或没有使用价值的数据，数据收集人或使用人应按规定程序销毁。

（4）数据保护职责。互联单位、接入单位及使用网上商业数据的个人、法人和其他组织应当履行下列数据保护职责：按照信息产业部制定的技术标准建设网上商业数据服务系统，实现数据库和数据库之间的有效对接，鼓励建立全国统一的数据库标准；加强网上商业数据的安全管理，建立健全数据保护管理措施；保障本网络的运行安全和数据安全；在设备维修、存储、更新数据等系统维护时，应及时备份数据。

因特网服务提供者和联网使用单位不得实施下列破坏网上商业数据的非法行为：窃取信息：窃听、截取网上商业数据；篡改信息：入侵者通过各种技术手段和方法，将网络上商业数据修改，然后再发向目的地；假冒信息：攻击者冒充合法用户发送假冒的信息，或者主动获取信息而远端用户难以分辨；恶意破坏信息：攻击者对网上商业数据进行修改，掌握网上的机要信息，甚至潜入网络内部；制作或者故意传播计算机病毒以及其他破坏性程序，导致数据主体利益受损；法律、行政法规禁止的其他行为等。

3. 网上商业数据的法律保护的设计

以前的立法机制，主要是针对商业秘密、数据库、隐私权、个人数据的保护，而不是对网上商业数据的保护。本机制调整的对象是网上商业数据，其具有两个显著特征，一个是网络化，这一特性决定了它特殊的存在方式：网络存储、在线维护、安全风险大；二是具有生命周期，这一特性决定了它的基本运作环节：收集→使用→存储→维护→销毁；数据的生命周期要求调整各环节的机制关系，规范特殊的使用、存储、维护行为。因此，网上商业数据保护应当以数据为中心，以其流转程序为主线，以各环节为切入点，分析和分解各环节法律关系，规范各参与主体的权利义务；整个过程应把握网上商业数据的特点，针对特点制定特别的规范，将整个流程分为数据收集和整理、数据使用、数据存储和维护、数据保护4个阶段和12个具体环节，构思了网上商业数据保护机制的基本思路（参见图2）。

根据图2，本项目有针对性地提出了网上商业数据保护的具体条款，所形成的机制分为七章：总则、数据收集和整理、数据使用、数据存储与维护、数据保护、法律责任和附则。

在数据收集和整理阶段，数据收集人可以收集与自身商业活动相关的数据。数据收集人在收集数据时应告知被收集人收集数据的目的和用途，被收集人有权决定是否提供数据以及数据提供的范围。

在数据使用阶段，数据收集人应按照被收集人同意的使用目的、范围和用途使用商业数据。未经被收集人同意，数据收集人不得将被收集人的数据公开或转让。

在数据存储与维护阶段，从事网上交易的企业应根据商业数据的重要性，对商业数据进行有效备份。提供网络物理接入的企业和提供网络数据服务的企业，应当按照信息产业部门的规定或者行业惯例，设置数据备份，建立存储制度，确保数据运行安全。

在整个过程中都落实数据保护职责。互联单位、接入单位及使用网上商业数据的个人、法人和其他组织都应明确并严格履行自己的数据保护职责，职责明确，权责分明。

五、小 结

网上商业数据保护机制与政务信息公开与利用、个人数据保护等立法相呼应，可以形成信息社会对于信息基本权益立法保护的完整体系。这是信息社会深化与发展对法制建设的必然要求，也是推动在电子商务立法逐渐深入的必然趋势：从电子签名立法向信息安全立法、商业数据保护方面推进。只有这样才能从根本上保护各个主体在网络空间的各项基本权益，规范各类交易和行为，促进网络经济和信息化社会的发展。endprint

2. 网上商业数据的法律保护

网上商业数据的使用过程一般包括两个阶段：数据收集和整理阶段、数据使用阶段、数据存储与维护阶段。网上商业数据保护基本上是围绕这三个阶段展开的。

（1）数据收集和整理阶段的保护。在数据收集和整理阶段，数据收集人可以收集与自身商业活动相关的数据。数据收集人在收集数据时应告知被收集人收集数据的目的和用途，被收集人有权决定是否提供数据以及数据提供的范围。

被收集人有正当理由的，有权要求数据收集人修改、删除已提供的数据。该数据被修改、删除后，数据收集者不得再使用被收集人提供的原数据。数据收集人应当允许注册用户能够按照注册时原途径或更为便捷的途径注销账户数据，当事人另有约定的除外。

数据收集人不得以盗窃、欺诈、胁迫、非法访问或其他不正当手段获取商业数据。数据收集人在整理数据时不得恶意修改被收集者的数据。数据收集人通过对非商业机构的数据库进行复制，整理生成商业数据的，应当取得该机构的同意。对违法或可能侵害他人权益的，有关部门可以禁止利用此类数据。

（2）数据使用阶段的保护。在数据使用阶段，数据收集人应按照被收集人同意的使用目的、范围和用途使用商业数据。未经被收集人同意，数据收集人不得将被收集人的数据公开或转让。当数据收集人向数据使用人提供或转让数据时，双方可以另行约定合法的使用目的和范围。数据使用人向他人再行转让时，需要重新约定使用目的和范围。国家鼓励对网上商业数据进行数据挖掘并在商业活动中使用。数据收集人和使用人经过数据挖掘而形成的数据受法律保护。商业数据使用中禁止下列行为：未经数据所有人允许使用、修改、删除商业数据； 据收集者将收集到的数据用于被收集者同意以外的用途；数据使用过程中违反约定，对外披露和传播。

因科学研究或个人学习目的可以无偿使用公开的商业数据，但应当注明出处。但国家机关及其授权组织非因执行公务使用商业数据例外。网上商业数据符合企业商业秘密条件的，企业可以根据相关法律法规以保护，并要求接触该商业数据的相关工作人员履行保密义务。

（3）数据存储与维护阶段的保护。在数据存储与维护阶段，从事网上交易的企业应根据商业数据的重要性，对商业数据进行有效备份。提供网络物理接入的企业和提供网络数据服务的企业，应当按照信息产业部门的规定或者行业惯例，设置数据备份，建立存储制度，确保数据运行安全。提供信息技术服务的专业机构有义务提示或协助服务对象进行数据备份，因未提示或协助而造成数据丢失的，应当依法承担责任。提供数据备份、数据处理服务的企业，应当建立数据保护制度，并采取技术手段，确保非经权利人许可的个人或组织无法接触数据内容。鼓励企业和行业协会建立数据备份和处理中心。鼓励跨国企业在中华人民共和国境内建立数据处理中心。网上商业数据服务提供者应在服务协议中明确告知用户允许账户休眠的期限。未告知的，服务商对休眠不满两年的账户不得注销。提供网络数据服务的企业应当制定数据销毁制度。对于敏感数据、保密数据或没有使用价值的数据，数据收集人或使用人应按规定程序销毁。

（4）数据保护职责。互联单位、接入单位及使用网上商业数据的个人、法人和其他组织应当履行下列数据保护职责：按照信息产业部制定的技术标准建设网上商业数据服务系统，实现数据库和数据库之间的有效对接，鼓励建立全国统一的数据库标准；加强网上商业数据的安全管理，建立健全数据保护管理措施；保障本网络的运行安全和数据安全；在设备维修、存储、更新数据等系统维护时，应及时备份数据。

因特网服务提供者和联网使用单位不得实施下列破坏网上商业数据的非法行为：窃取信息：窃听、截取网上商业数据；篡改信息：入侵者通过各种技术手段和方法，将网络上商业数据修改，然后再发向目的地；假冒信息：攻击者冒充合法用户发送假冒的信息，或者主动获取信息而远端用户难以分辨；恶意破坏信息：攻击者对网上商业数据进行修改，掌握网上的机要信息，甚至潜入网络内部；制作或者故意传播计算机病毒以及其他破坏性程序，导致数据主体利益受损；法律、行政法规禁止的其他行为等。

3. 网上商业数据的法律保护的设计

以前的立法机制，主要是针对商业秘密、数据库、隐私权、个人数据的保护，而不是对网上商业数据的保护。本机制调整的对象是网上商业数据，其具有两个显著特征，一个是网络化，这一特性决定了它特殊的存在方式：网络存储、在线维护、安全风险大；二是具有生命周期，这一特性决定了它的基本运作环节：收集→使用→存储→维护→销毁；数据的生命周期要求调整各环节的机制关系，规范特殊的使用、存储、维护行为。因此，网上商业数据保护应当以数据为中心，以其流转程序为主线，以各环节为切入点，分析和分解各环节法律关系，规范各参与主体的权利义务；整个过程应把握网上商业数据的特点，针对特点制定特别的规范，将整个流程分为数据收集和整理、数据使用、数据存储和维护、数据保护4个阶段和12个具体环节，构思了网上商业数据保护机制的基本思路（参见图2）。

根据图2，本项目有针对性地提出了网上商业数据保护的具体条款，所形成的机制分为七章：总则、数据收集和整理、数据使用、数据存储与维护、数据保护、法律责任和附则。

在数据收集和整理阶段，数据收集人可以收集与自身商业活动相关的数据。数据收集人在收集数据时应告知被收集人收集数据的目的和用途，被收集人有权决定是否提供数据以及数据提供的范围。

在数据使用阶段，数据收集人应按照被收集人同意的使用目的、范围和用途使用商业数据。未经被收集人同意，数据收集人不得将被收集人的数据公开或转让。

在数据存储与维护阶段，从事网上交易的企业应根据商业数据的重要性，对商业数据进行有效备份。提供网络物理接入的企业和提供网络数据服务的企业，应当按照信息产业部门的规定或者行业惯例，设置数据备份，建立存储制度，确保数据运行安全。

在整个过程中都落实数据保护职责。互联单位、接入单位及使用网上商业数据的个人、法人和其他组织都应明确并严格履行自己的数据保护职责，职责明确，权责分明。

五、小 结

网上商业数据保护机制与政务信息公开与利用、个人数据保护等立法相呼应，可以形成信息社会对于信息基本权益立法保护的完整体系。这是信息社会深化与发展对法制建设的必然要求，也是推动在电子商务立法逐渐深入的必然趋势：从电子签名立法向信息安全立法、商业数据保护方面推进。只有这样才能从根本上保护各个主体在网络空间的各项基本权益，规范各类交易和行为，促进网络经济和信息化社会的发展。endprint