环亚集团ag女郎|首页

谨慎划定数据保护的边界——兼及数据利用秩序的制度供给和适用 –刘维

2017-11-02


一、问题的提出
近一段时间以来,我国产生了多例因数据处理而引发的纠纷,并引起热议。有些纠纷与个人数据有关,有些则与个人数据无关,但都涉及数据主体、数据控制者、数据处理者三方主体之间的法律关系,目前《网络安全法》等有关个人信息保护的法律条款无法为解决上述纠纷提供直接的法律依据。司法裁判对这些纠纷的解读局限在反不正当竞争法的传统适用框架内,在数据利用秩序的规范层面以及适用反不正当竞争法的批判性解读层面,还很少看到学术界和实务界的声音。
大数据时代数据利用规范的建构需要有新思维,目前我国以《网络安全法》相关条款为代表的数据法律规范侧重于个人数据的保护,个人数据的利用、非个人数据的保护利用等方面的法律规范仍显不足。在当下的服务模式中,数据处理者在提供数据处理服务时会在与用户之间的服务条款中明确个人数据与非个人数据的内涵,并以“特定服务的提供行为”换取用户对其数据被获取和使用的同意,如果用户不同意其数据被获取和使用,则无法使用数据处理者提供的硬件或软件服务。不仅如此,随着数据时代分工的精细化,数据处理行为往往涉及到数据控制者或者第三方平台记录信息,数据处理者在与用户之间的服务协议中会将“从数据控制者获取信息”纳入用户同意的范围。比如脉脉案中, 《脉脉服务协议》规定:“用户一旦注册、登录、使用脉脉服务将视为用户完全了解、同意并接受淘友公司通过包括但不限于收集、统计、分析、使用等方式使用用户信息。”“用户通过新浪微博账号、QQ账号等第三方平台账号注册、登录、使用脉脉服务的,将被视为用户完全了解、同意并接受淘友公司已包括但不限于收集、统计、分析等方式使用其在新浪微博、QQ等第三方平台上填写、登记、公布、记录的全部信息。用户一旦使用第三方平台账号注册、登录、使用脉脉服务,淘友公司对该等第三方平台记录的信息的任何使用,均将被视为已经获得了用户本人的完全同意并接受。”
在这种服务模式中,纠纷往往发生在作为数据控制者的第三方信息平台与作为数据处理者的软硬件公司之间,数据处理者对用户数据(很多时候并非个人数据)的利用是否还要特别征得数据控制者的同意?如果没有征得数据控制者的同意,是否意味着数据处理者以不正当手段从事竞争行为?也就是说,我国现有法律制度大多是对数据主体个人数据保护的规范,对数据控制者和数据处理者之间数据利用行为的规范供给严重不足。当然,可能有观点认为只要数据控制者与数据处理者之间通过协议约定,就可以规范数据处理行为,比如数据控制者往往利用其数据控制地位通过格式条款约定他人数据处理的事先授权机制,“未经微博平台事先书面许可,用户不得自行授权第三方使用微博内容” 、“所有未经用户和微博平台共同同意,擅自直接抓取用户已经在微博平台上发布的内容的行为均属于不正当竞争” ,但是,一方面并非所有的数据处理者都与数据控制者之间会成立上述合同关系,一方面这种格式条款会不会涉及不合理的限制他人访问数据、为己方增加权利等条款效力问题,也值得进一步研究, 至少表明存在一定的法律风险。因此,这块领域完全留给契约自由或行为自治,可能未必合理。下文对数据控制者与数据处理者之间因数据利用产生的法律关系进行研究,主要涉及数据访问权机制、以及通过反不正当竞争法评价数据利用行为的理念问题,不涉及对构成作品的数据的抓取利用行为,这些行为可以在现行《着作权法》框架下解决,而只讨论不构成作品的个人数据以及其他数据的利用所产生的规范问题。

二、作为数据利用规范的访问权机制
(一)数据保护与数据利用之间的平衡
平衡数据保护与数据利用之间的关系,合理建构数据主体、数据控制者、数据处理者之间的权利义务,是考虑数据利用秩序的法律供给问题中的关键一环。数据控制者对数据的形成和存储具有特定利益,是控制数据格式的第一载体,具有处理数据的优先利益,且事实上对这种格式的数据具有控制地位,实际控制可以产生实际的排他权并作为有效的议价和定价基础, 在法律上赋予其“控制”数据利用的地位应该是合理的,他人对数据的处理行为应当以数据控制者的同意为前提,比如脉脉案二审法院明确指出:由于第三方通过OpenAPI获取用户信息时应坚持“用户授权”+“平台授权”+“用户授权”的三重授权原则;“第三方应用未经新浪微博用户及新浪微博的同意,不得使用新浪微博的用户信息。” 但为了避免数据垄断、造成市场失灵以及鼓励数据处理市场的竞争、数据的自由流通,又必须同时对数据控制者控制数据的地位施加一定限制,这种限制应当与《反不正当竞争法》、《反垄断法》中的相关理念和规则结合起来考虑,概言之,如果这种数据是商业秘密或者已经被采取保护措施或声明的数据,则应当同时经过用户授权和平台授权,否则数据处理者的行为可能构成不正当竞争;如果是公开的数据,则应当允许数据处理者自由抓取,否则数据控制者的行为可能面临反竞争的指控。这样既能肯定数据控制者的数据控制地位、允许维护其核心竞争资源,又能在一定程度上限制其数据控制地位、鼓励数据自由流通。
最近在美国发生的hiQ与领英之间的数据争议,也许可以用来说明这一问题。前者是一家为客户提供雇员评估服务的公司,其服务基础是对市场上公开获取的数据进行统计分析,主要依托于职业社交网站领英的公开数据。领英则允许其用户创建用户资料并与其他用户建立联系,用户在注册信息的时候可以选择不同类型的隐私保护方案,比如可以选择其资料完全处于隐私状态,也可以选择完全公开,还可以选择介于两者之间的方案。如果用户选择完全公开,则无论是否领英会员都可在线看到用户资料,搜索引擎还可访问这些公开资料。在容忍了对方数年地对其数据进行获取利用之后,2017年5月,领英要求hiQ停止非授权性抓取数据并通过技术手段阻止hiQ抓取领英官网上可公开获取的用户资料。hiQ认为领英构成不正当商业行为、不正当干扰合同关系、禁反言等并请求法院发布临时禁令。法院在平衡双方当事人困境之后认为hiQ的困境明显更为严峻(作为临时禁令的四个条件之一),由于hiQ的商业模式完全依赖领英的数据,如果不发布临时禁令,hiQ将遭受不可挽回的损害。领英主张对方的数据收集行为威胁到用户的隐私利益,因为即便是用户的公开数据,用户也有权控制其数据的使用和访问,比如用户常使用“禁止广告”功能避免在其数据更新时通知其他用户,用户已经删除的数据却仍然可以在第三方网站公开访问。法院认为这些主张不是没有道理,但是过于薄弱和不确定,这只是用户对领英隐私保护和信任的期待,特别是hiQ对领英公开数据的获取利用时间已经长达五年的情况下,领英显然没有提交任何源于该行为的经济或其他损害的证据。领英请求适用《计算机欺诈和滥用法案》(未经授权故意访问计算机系统,或者超出授权访问并因此从受保护的计算机获取信息)以禁止对方获取公开数据,法院认为该法案不能被宽泛解释,否则将深远地影响互联网的自由访问,这显然并非国会在三十多年以前制定该法案时的本意。与此同时,hiQ主张领英禁止其访问公开数据的行为限制竞争并违反州法。法院认为现有证据表明领英正试图进入数据分析市场,可以认定其滥用市场地位,不正当地将其在“职业社交网络服务市场”的市场力量,传导到“数据分析市场”,以获得在数据分析市场上不正当的竞争优势,而《谢尔曼法》正是要禁止企业通过传导其垄断力量的方式“封锁竞争或获得竞争优势,或者摧毁竞争对手。”由于领英的用户数据仍然向第三方开放,因此其关于为了保护用户隐私的抗辩不能成立。
(二)访问权和可携权的制度管道
代表全球数据最新立法的《欧盟通用数据保护条例》对数据处理原则做出了规定,根据该条例第6条,只有在下列情形中数据处理行为才具有合法性:第一,数据主体就特定处理目的已经给出处理其个人数据的同意;第二,处理行为乃基于履行数据主体作为一方当事人的合同之必要,或者在订立合同之前基于数据主体的要求而采取的措施;第三,处理行为乃数据控制者为遵从法律义务所必要;第四,处理行为乃为保护数据主体或其他自然人的核心利益所必须;第五,处理行为是出于公共利益的目的而执行的任务,或者行使数据控制者被赋予的官方权力所必须;第六,处理行为是数据控制者或第三方为追求合法利益目的所必须,侵害数据主体的基本权利和自由的除外。上述第一种情形是否意味着只要经过数据主体的同意即可正当化数据处理者的数据利用行为?在该条例背景下,必须结合数据主体的访问权和可携权才能给出答案。
对数据控制者控制数据的地位施加一定限制,最好通过制度设计的方式完成,以便在数据控制者和数据处理者之间形成最有效率的安排。欧盟委员会与德国马克斯?普朗克创新与竞争研究所均倡议,在当下工业生产的数字转型进程中,应以提升数据访问作为建设欧洲数据经济体之重点举措的政策目标,与数据访问(data access)有关的制度设计,将成为建设欧洲数据经济的关键。 数据访问权的具体设计至关重要,这将决定大数据时代一切数据利用行为的规范,现在是软硬件生产商之间的数据利用问题,很快还会出现传感器的广泛运用带来的设备生产商、传感器生产商以及设备使用者之间的数据利用问题。德国马克斯?普朗克创新与竞争研究所分析了“数据再利用的许可权分配交给各方当事人协商确定”、“运用非强制性的合同规则与不公平合同条款控制规则相结合”、“将设备的制造商与使用者作为数据共同所有人”、“认可使用者作为数据生产者享有一项排他权”等方案之后,认为更好的解决方法是确认一个有针对性的、不可放弃的数据访问权,享有权利者应是对数据访问具有合法利益之人,访问的利益也决定了保护的范围。 这种避免数据市场垄断以及设定灵活的数据访问权的目标实际上在数据可携权的框架下即可实现,依据后者能够促使数据主体的数据在不同数据控制者和数据处理者之间自由流通。与数据同意原则侧重对数据主体个人数据的保护不同,数据访问权和可携权虽然也是基于数据主体的自决理念而创设,但侧重数据流通和利用。《欧盟通用数据保护条例》第15条是数据访问权的规定,数据控制者应当为用户实现该权利提供相应的流程,如果该请求是以电子形式提出的,则也应当以电子形式将数据提供给个人。第20条规定的可携权是指用户可以无障碍的将其个人数据从一个信息服务提供者处转移至另一个信息服务提供者。在这种机制下,如果数据处理者想要获取利用数据控制者控制的数据,他只要与数据主体协商请求数据主体行使数据可携权,数据主体基于该项权利即可将数据控制者控制的其个人数据转移至数据处理者。可见,在访问权和可携权的制度框架下,获取“数据主体的同意”即可解决数据控制者与数据处理者之间的数据利用问题。在缺乏数据访问权和数据可携权的制度管道的情形下,如何在允许数据控制者维护其核心竞争资源的同时,又限制数据控制者的数据控制地位,则仍然是一个问题,还引发了《反不正当竞争法》的适用难题。

三、适用《反不正当竞争法》的批判性思路
(一)《反不正当竞争法》对数据设定的保护条件
反不正当竞争法早期又被称为商业侵权法, 如有学者总结:“尽管反不正当竞争法的范围不止传统商标侵权,但却并未超出‘准商标之诉’(trademark-like claims)的范围……本书中被称为‘不正当竞争’的诉讼实际上是根据《兰哈姆法》第43(a)条提起的未注册商标侵权之诉;它们总是被称为‘不正当竞争’或‘未注册商标侵权’或‘普通法商业侵权’。” 反不正当竞争法是保护商业利益的法律,但为避免过分介入商事竞争,该法着眼于不正当竞争手段的规范,且侧重于通过利益平衡的思维矫正不正当的竞争手段。数据是信息时代的“石油”,对数据市场的经营者而言是一种重要的财产利益,《反不正当竞争法》当然并不排除对数据提供保护。比如商业秘密就是一种典型的企业数据(非个人数据),但《反不正当竞争法》对商业秘密设定了具体保护要件,展现出立法者对企业数据保护的刻意和非任意性。根据《反不正当竞争法》第10条以及《最高人民法院关于审理不正当竞争民事案件应用法律若干问题的解释》相关条文的规定,只有符合“秘密性”、“保密性”和“价值性”要件的企业数据才能成为商业秘密并享受商业秘密的保护。“价值性”并非商业秘密的特质,“秘密性”和“保密性”才规定了商业秘密的特征,强调获得商业秘密的有关数据必须在客观上付出一定代价,以及请求人在主观上将这种数据作为商业秘密保护的意愿。
对于不满足秘密性和保密性要件的数据,在他人发生盗取行为的情形下能否由反不正当竞争法提供保护?如果提供保护,是否与商业秘密的保护制度相冲突?这涉及一般条款与具体条款的关系问题。具体条款已经针对某种利益设定了具体保护要件,如果在不满足这些具体保护条件情况下转而由一般条款加以保护,就会使具体条款成为“具文”,与具体条款的立法目的相抵触。比如,不能基于无法满足未注册商标的知名度要件(无法适用第5条)就转而寻求一般条款的保护(请求适用第2条),否则将导致立法者为未注册商标设置特定构成要件的目的落空。同样的道理,如果请求人在客观上并没有对有关数据采取技术措施、在主观上也没有保护这种数据的意愿,那么反不正当竞争法就应该坚守自由竞争的理念允许数据处理市场的自由利用。相反,如果此时由反不正当竞争法一般条款加以评价,那些不满足商业秘密保护要件的数据就会额外受到保护,这将突破商业秘密的保护底线,使“保密性”和“秘密性”的要求成为“具文”。从这个角度看,只要数据控制者并未采取保护措施或做出不允许抓取利用数据的声明,则应当允许数据处理者自由抓取利用这些数据。
(二)脉脉案的遗憾及大众点评案的不足
脉脉案中,AppKey是微梦创科(下称“原告”)为了控制用户数据而为第三方应用接入微博平台设置的凭证,同时根据不同性质的数据设定了不同等级的接口,开发者必须事先获得用户的同意,仅应当收集为应用程序运行及功能实现目的而必要的用户数据和用户在授权网站或开发者应用生成的数据或信息。从这些事实可见,原告就新浪微博的用户数据采取了一定的保护措施,主观上将其作为核心竞争资源,法院将其认定为一种商业秘密。二审法院认为:“在互联网中涉及对用户信息的获取并使用的不正当竞争行为认定时,是否取得用户同意以及是否保障用户的自由选择是公认的商业道德。”“未经用户同意且未经被上诉人微梦公司授权,获取新浪微博用户的相关信息并展示在脉脉应用的人脉详情中,侵害了被上诉人微梦公司的商业资源,不正当的获取竞争优势,这种竞争行为已经超出了法律所保护的正当竞争行为。”
在数据盗取纠纷的主流裁判中,中国法院在传统上运用“榨取劳动成果的裁判模式”,说理套路如下,首先需要明确原告是否享有受法律保护的利益。此类案件的保护对象并非具有识别性的商业标识,而是具有财产价值的利益,它们或者是原告开发的商业模式,或者是原告制作搜集的网页信息,或者是原告开发的游戏规则,或者是原告独家转播权益等等,这些是原告投入时间、精力、金钱而开发出来的劳动成果。其次需要调查被告的行为是否违背诚实信用原则、商业伦理道德。在上述案件中,主要是看被告是否“不劳而获”,目前的判决基本上将“不劳而获”等同于违背商业伦理道德,即不是通过自己的劳动、而是通过免费利用他人的竞争优势或免费坐享他人开发的成果从事竞争。同时,法院还常通过这一行为推导出经营者具有搭便车的主观恶意。此外,有些案件的裁判中还阐述涉案行为对原告的经营市场产生“实质性替代”的损害后果。
脉脉案判决并没有走反不正当竞争的传统认定思路,而是结合大数据时代个人信息的保护原则——特别是数据同意原则——来认定“商业惯例”从而适用《反不正当竞争法》一般条款,一方面激活了消费者利益反不正当竞争法中的地位,一方面还盘活了反不正当竞争法对数据的保护思路,因此脉脉案判决的认定思路可圈可点。比较遗憾的是,这个判决似乎并未进一步廓清获取利用非个人信息的标尺,换言之,数据同意原则只是个人数据保护利用的基本原则,但是国际上针对非个人数据的保护利用并不适用数据同意原则,对非个人数据的保护利用是否要经过数据控制者同意?两审判决也没有详细阐明数据处理者为什么要经得数据控制者的授权,这恰恰是该案突破现行法律中关于数据同意原则的看点所在,也是所谓“用户授权”+“新浪授权”+“用户授权”的三重授权原则能立足的关键一环。针对这些问题,大众点评案的一审和二审判决给出了明确的肯定性答案,却值得深思。
大众点评案与脉脉案虽然都涉及从数据控制者的平台获取利用数据,法院最终都认定获取利用行为构成不正当竞争,但必须先区分两个案件的不同事实。一方面大众点评案只涉及非个人信息,另一方面大众点评案中的数据控制者并未采取任何数据保护措施或声明,大众点评网的爬虫协议允许百度公司抓取其网站信息。 一审法院认为,“对涉及信息使用的市场竞争行为是否具有不正当性的判断应当综合考虑以下因素:涉案信息是否具有商业价值,能否给经营者带来竞争优势;信息获取的难易程度和成本付出;对信息的获取及利用是否违法、违背商业道德或损害社会公众利益;竞争对手使用信息的方式和范围。……百度公司大量、全文使用涉案点评信息的行为违反了公认的商业道德和诚实信用原则,具有不正当性。” 二审法院则指出,互联网竞争行为虽然损害了其他竞争者的损害,但可能同时产生促进市场竞争、增加消费者福祉的积极效应。百度公司的商业模式创新在一定程度上提升了消费者的用户体验,具有积极效果,但是百度公司对数据的抓取应当遵循“最少、必要”原则,如果存在明显有对大众点评损害方式更小的方式而未采取,或者其欲实现的积极效果会严重损害大众点评利益的情况下,则认定为使用方式超过必要限度、产生了实质替代的效果,并对市场秩序产生一定的负面影响。
大众点评案与美国的领英案在案情上非常类似, 大众点评案的两审法院可谓“苦心孤诣”,一审法院对“榨取劳动成果”的裁判因素做了非常全面的分析,如果囿于现行裁判理念和裁判模式进行评论,这当然是非常好的一个判决,二审法院意识到了模仿自由作为基本公共政策的价值定位,并为谨慎划定自由竞争和法律干预之间的界限而采取积极效果和消极效果相权衡的竞争法评估思路,二审判决对现行裁判思路毫无疑问已经做出了非常大的突破和创新,这是值得肯定的。但是二审法院在阐述数据抓取行为已经超出了必要限度以及会对竞争秩序造成负面影响的问题上,可能过于主观。在竞争自由、激烈的互联网市场,只要请求人没有设定数据保护的“篱笆墙”或者就这种保护做出声明,原则上应该遵循互联互通的原则,显然不能指望着竞争者仍然含情脉脉地进行谨慎的或必要的数据抓取进而利用,或对数据抓取或利用保持克制。从上文提及《反不正当竞争法》一般条款和具体条款的关系看,大众点评网的用户点评数据尽管是该公司的核心竞争资源,但是由于其并未采取任何保密措施、在事实上属于公开数据,而《反不正当竞争法》第10条已经规定了禁止盗用商业秘密的条款,为企业数据的保护设定了保护要件,立法者已经就数据权益的保护和市场要素的流通之间谨慎做出了利益平衡,如果允许不满足第10条保护条件的企业数据继续享受第2条的保护,则必将打破上述平衡从而过度干预市场竞争。
对原告提供保护还不符合效率原则。事实上,只要大众点评做出哪怕最低程度的保护措施或声明,比如在爬虫协议中发出禁止抓取数据的声明、或者采取互联网公司常用的会员制并采取不同程度的隐私保护措施,那么数据处理者都必须尊重这种保护意愿,之前大众点评诉爱帮网的判决即可说明这一点。 这种成本对大众点评来说并不高,也是大数据时代互联网公司的义务。 在法律依据上,假设大众点评网已经在爬虫协议中禁止被告抓取其数据,被告却违反爬虫协议获取并利用数据,那么可能会被认定为违反商业惯例的不正当竞争行为; 如果大众点评网已经就其用户评论采取了隐私保护措施——哪怕是最低程度的,被告通过技术手段获取并利用数据的行为可能会被认定为违反隐私保护政策或数据利用规则,进而构成不正当竞争。因此,在《反不正当竞争法》保护企业数据的法律框架内,完全未采取保护措施或做出保护声明的公开数据,一般条款不能再次给予保护;但已经采取保护措施或做出保护声明的数据,可能因为违反行业惯例而启动一般条款的保护,这与商业秘密保护机制之间并不冲突。鼓励创新和投资当然是《反不正当竞争法》第10条的立法目的之一,该条至少同等重要地维护竞争伦理,一些国家或地区的商业秘密立法将后者作为唯一目的或主要目的, 对“已经采取保护措施或做出保护声明的数据”,尽管可能未必构成商业秘密,但一方面表明请求人将其纳入保护范围的客观努力和主观意愿,一方面行为人存在违反竞争伦理的情形,对这种情形进行实质利益衡量之后,确实有必要在一般条款框架下禁止不正当的竞争行为,且与商业秘密内在机制的价值衡量具有内在的一致性。正如公开数据也能通过合同机制加以保护一样,不能认为合同机制的保护会与商业秘密的门槛性条件相冲突,甚至使商业秘密法律制度的保护目的落空。

四、结语
大数据时代已经来临,数据是新治理和新经济的关键,数据信息资源已经成为重要的资源,是竞争力也是生产力,更是促进经济发展的重要动力。 反不正当竞争法与数据保护利用原则和规范的结合,使反不正当竞争法在大数据时代必将继续焕发强大生命力,彰显该法的杂烩法或混合法特质。只是需要注意的是,反不正当竞争法在大数据时代的运用将折射出数据保护和数据利用之间的关系,司法者需要谨慎做出平衡。尤其在我国《网络安全法》及相关数据法律法规的立法者更侧重数据保护的当下阶段,更要通过反不正当竞争法的适用(不适用也是一种“适用”)提升数据利用或数据流通的空间价值,扬弃反不正当竞争的适用理念,谨慎通过行“反不正当竞争保护之名”实现“数据保护之实”,从而阻碍数据利用和流通、过分抬高企业合规成本。即便脉脉案两审法院均认定被告的数据利用行为均构成不正当竞争,似乎也不宜将数据利用行为的规范提炼为“用户授权+平台授权+用户授权”的三重授权规则,更不能被相关当事人解读为对所有平台数据的利用规则。
这更体现在有关数据本地化法律规范的制定过程中,《网络安全法》第37条首次确立了对个人信息及重要数据出境的安全评估制度,体现国家网络安全主权。此前,中国一些行政法规、部门规章及其他规范文件对一些特殊领域和行业的数据已经做出本地化存储和使用的要求,比如网约车采集的个人信息和生成的业务数据被在中国内地存储和使用、互联网地图服务单位应当将存放地图数据的服务器设在中华人民共和国境内。国家互联网信息办公室于2017年4月11日公布的《个人信息和重要数据出境安全评估办法(征求意见稿)》,却将数据本地化及安全评估的义务主体从《网络安全法》规定的“关键信息基础设施运营者”扩展到所有的网络运营者,这大大提高了数据本地化的法律要求,背后蕴含的数据保护至上的观念根深蒂固,不仅需要在技术上对相关条款的起草再做修正,更要在理念上做出调整。在当下个人数据保护法律法规的立法进程高歌猛进的同时,立法者和司法者至少应当在同等程度上关注个人数据的利用流通,因为开放、自由才是互联网大数据时代的核心特征,在大数据和云计算的时代,包括个人信息在内的数据,只有充分地流动、共享、交易,才能实现集聚和规模效应,最大程度地发挥价值。

? 2017 Han Yuan & Partners All rights reserved