下载掌阅APP,畅读海量书库
立即打开
大数据的经济价值激发了企业数据应用需求。从利益角度出发,平台希望单独且尽可能多地控制数据权益,从而为企业的数据处理活动赢得法律支持,最大限度地减少来自外界的干预。但同时,没有一个平台能够获得所有的数据,更没有力量能够对所有的数据进行开发利用。因此,数据的流通是必要的,无论是平台还是第三方机构都希望能够获取他人已收集和开发的个人数据,从而节省资金、技术以及时间成本。从美国与欧盟近年来的规制趋势来看,二者都在逐步推动数据的共享与流通,以促进本土互联网企业和经济的大发展,增强国际博弈能力。在美国的相关案例中
,法官正是通过用户设置其内容可被公众查看,分析得出用户期望公开的资料被搜索、挖掘、汇总、分析,进而认为如果授予私人实体全面的权力,使其可以基于任何理由阻止查看者获取其网站的公开信息并以CFAA的制裁作为支持,这可能会对公众言论以及互联网承诺的信息自由流动产生严重威胁。最后,在个人数据流通利用链条中最重要但最弱势的用户群体权益不可忽视,其人格权益须充分保障,个人隐私得到严格保护。在这一点上,欧盟的做法值得部分借鉴,如《一般数据保护条例》(GDPR)所规定的数据可携带权,其对个人数据所承载人格权益的保护达到了极致,但也给平台企业课以了沉重的义务与责任,这种较为极端的做法应加以取舍地吸收借鉴。
从平衡创业创新和权益保护出发,一方面,用户数据的共享、交易行为应当得到用户的知情同意和授权,平台和第三方机构所拥有的整体数据资源应当享有竞争权益,得到反不正当竞争法的合理保护;另一方面,要促进和保障个人数据的流通共享,针对公开数据和单一的用户数据,应审慎地予以具体分析,避免课以过重的限制条件而阻碍数据价值的挖掘,在合理利用的前提下平衡各方权益。
我国当前的立法未设立数据权,也未对个人数据的财产性权益归属做出明确规定,学术界对于是否设权保护数据也尚无定论。因而,法院多根据反不正当竞争法的原则性条款进行网络开放平台数据利益归属的分析判断。
但是,个人数据的流通与利用须放到具体的场景之中,其权益归属的判断也需要根据不同的数据性质、利用方式、协议条款以及实质损害等因素具体决定,不能所有案件套用一套标准解决,这正是场景化构建的价值所在。如在此前的司法案例
中确立的三重授权原则,系针对第三方应用通过开放平台获取用户信息时应遵循的原则,该规则的适用须限定在网络开放平台(Open API)
获取数据的情形下,而不扩展适用于任何数据爬取情形。反观现实中,很多法院皆以此为标杆,在未具体分析场景和技术的情况下就简单地套用三重授权原则,可能会给产业的发展造成不利影响。
因此,三重授权原则在脱离了特定案件之后是否具有普适性是值得质疑的,该原则要求数据接收者在接收数据时既要获得数据提供方企业的同意,同时也要获得用户的同意,这种宽泛的“三种授权”原则,未妥善考虑到已经取得用户同意,将个人数据从网络开放平台迁移到第三方平台的行为是否需要取得企业的许可,为数据控制者和接收者施加过多的负担,不利于数据的自由流通及数据价值的发掘,因此在理论界颇有争议。
正如前文所述社交平台场景,用户之所以同意和授权其个人数据向第三方机构迁移,是为了获得更加便利的服务,从而节省自身的时间和精力等资源,但如果这一操作的完成与否还要取决于网络平台的限制,有违公平原则。因为法律对自然人的个人信息予以保护,本质上是保护其人格利益,包括人的尊严和自由,保护的是自然人对自己的个人信息进行支配的权益,不应该受到网络开放平台的限制。
同时,不同的个案中用户所授权使用的数据不尽相同,被爬取平台的参与程度也不尽相同,这将极大地影响第三方机构获取数据的正当性。用户将数据提供给平台是为了获取一定的服务,并不代表允许其对自己的数据加以挖掘和利用,更不一定意味着允许平台获得对自身数据的控制权。如果平台对用户提供的数据未做任何处理而仅仅进行了存储,在此基础上设置完全的排他性,拒绝提供给其他平台,则显然不符合反不正当竞争法的精神;如果平台在用户的授权范围内对数据进行了加工处理,且该处理行为由平台付出了一定对价并具有创新性,则三重授权具备了合理的基础。
此外,对于公开数据是否需要三重授权才可以被合法使用,在美国的相关案件中也得到了不同的回答。法院更加强调公共利益,如果计算机未施加访问限制,人人得以访问,那么访问者并不需要许可或验证,最终法院做出了有利于爬取方的判决。
对于公开数据而言,如果获取后并未公开使用,并不存在对数据持有方平台的实质性替代的可能性,因而不会导致市场激励机制的失灵。且当前阶段,数据作为发展的关键性因素之一,其如能在本产业不同主体之间流动,必然有助于提升整个产业发展水准与良性生态,从整体经济和社会效益的角度来说,未采取技术措施保护的公开数据可以不受限制地进行获取,并用于内部分析和指导决策,方可实现整体经济社会效益的最大化。
个人数据的流通利用过程中所涉及的利益包括四个方面:用户利益、平台利益、第三方机构利益以及社会公共利益。互联网产业发展固然需要信息共享和互联互通,但也要兼顾各方的利益。如何在司法实践层面上平衡各主体数据权益之间的关系,已成为当下审理网络不正当竞争纠纷案件的突出问题。
用户是个人数据的生产者,其上附着的不仅仅是数据的财产性权益,更为重要的是用户的人格性权益,数据主体之所以希望控制自身个人数据的流向和用途,首先是为了保护自身人格利益不受侵犯。随着互联网技术的发展,因收集、处理、使用个人数据而侵犯数据主体私生活秘密,或侵扰数据主体私生活安宁的威胁大大增强,数据主体的隐私保护需求更加强烈。在社交场景下的个人数据权益纠纷中,法院一般认为,第三方应用开发者在与原平台的合作结束后,未经用户同意而继续获取并使用用户头像、名称、教育信息、职业信息、标签信息等数据,侵犯了用户的隐私权、知情权和选择权。
个人数据只有形成海量的数据库和数据束才能真正发挥大数据的价值和作用,这一汇聚集合的过程往往由平台或第三方机构来完成。网络开放平台通过先占优势,在行业发展的初期利用技术和服务锁定了大量的用户,沉淀了海量的数据,支付了高额的对价。同时,对数据的挖掘和分析往往意味着平台投入了大量的创新因素,如分析技术的提升、市场调查的开展、商业模式的颠覆等,经处理后的数据不仅附着了平台的资金投入,更蕴含了大量的无形资产,因而数据已经成为企业的竞争优势和核心资产。
在另一起平台间的不正当竞争纠纷
中,二审法院认为,该第三方平台通过搜索技术抓取并大量而全面地展示来自原数据平台的信息已经超过必要的限度,因为这种行为已经实质替代了原数据平台的相关服务,它欲实现的积极效果与原数据平台所受的损失并不符合利益平衡的原则。在某电商公司诉某数据分析公司案
中,法院认可了该电商公司对其数据分析产品享有的财产性权益,即认为该数据产品中的数据内容虽来源于原始用户的数据信息,但经该电商公司深度开发后,其上承载的价值早已不可同日而语。
如果第三方平台对于网络开放平台中的数据进行创新性的利用,使数据产生了新的功能和效果,创造出新的数据利用模式和商业模式,对于数据抓取行为的正当性可以持较为宽容的态度。
如果一味地维护被抓取方的数据权益,则很容易扼杀第三方平台的创新积极性,也会进一步加固被抓取方的数据城墙,阻碍数据的流通共享,使其形成封闭产业生态,造成数据垄断和一家独大的现象,扼制中小平台的发展。长远来看,此类现象必将不利于市场竞争的繁荣,进而影响整体产业的发展,减少社会公众的选择机会,减损社会公共利益。
因此,应始终坚持审慎包容的态度,以促进创新竞争和有利于消费者的长远利益为指引,在网络平台、数据用户和同行业竞争者之间予以利益平衡。在给予网络平台方权益保护的同时,也对其权益范围加以必要限制,以防止其滥用私权力限制用户信息权益,形成数据垄断。
首先,对于网络平台中的单个原始数据,如用户发布的内容数据、用户的头像昵称等,该部分数据只是平台的原始数据,并非其所产生的衍生数据。由于网络资源具有“共享”的特质,单一用户数据权益的归属并非谁控制、谁享有,应突出强调用户信息提供者的控制权与使用许可权,不应过分维护网络平台方的控制权。从数据创立主体考量,原始数据只是用户信息转换为电子符号的外在形式,数据采集主体在此过程中虽付出了一定的劳动,但并未提供创造性劳动成果,过分强调网络平台方对于原始数据的控制权,不仅会阻碍网络用户信息权益的实现,造成相关主体间权利义务关系的失衡,同时易形成数据垄断,阻碍数据信息的流通。故数据采集、控制主体只能依其与用户的约定享有原始数据的有限使用权,使用他人控制的用户数据只要不违反“合法、正当、必要、不过度、征得用户同意”的原则,一般不应被认定为侵权行为。擅自使用他人控制的数据是否构成侵权,重点在于审查其是否征得了用户同意,数据控制者不能仅因其他网络经营者擅自使用了其控制的数据,径行主张求偿权。
其次,对于网络平台方的整体数据权益,应突出强调对数据资源竞争性权益的保护。巨量单个原始数据聚合在一起所形成的一定规模的数据资源,能够给大数据分析提供必要的样本,给网络平台经营者带来开发数据衍生产品获取增值利润的机会空间。网络平台享有数据权益的基础不在于其对数据的采集而在于数据资源的汇聚与应用。如果第三方平台对于网络开放平台数据的抓取行为给网络开放平台带来了不合理的市场替代效果,以至于影响了投资积极性,那么用户和第三方平台应向其支付公平对价。
最后,擅自使用他人控制的数据资源是否构成不正当竞争,应重点考察是否属于破坏性利用。网络经济是共生经济,网络平台所掌握的数据资源更多地具有开放性与共享性,如果其他经营者“搭便车”式地利用了网络企业所掌握的数据资源开展经营活动,只要不是对他人数据资源破坏性利用或有违法律规定,且能够给消费者带来全新的体验,一般不应被认定为不正当竞争。但如果其行为导致平台核心数据泄露,损害平台商业利益,严重影响平台正常运营的,即应界定为严重损害竞争秩序和平台权益的不正当竞争行为。
法律保护的客体除权益外,还有未经法律确认、但经社会公序良俗及诚实信用原则认可的法益,竞争法律制度确立的最初目的就在于保护民事主体的合法权益不因其他竞争者违反商业道德和诚实信用的行为而受到侵害。我国反不正当竞争法第二条第一款规定,经营者在生产经营活动中,应当遵循自愿、平等、公平、诚信的原则,遵守法律和商业道德。经营者在市场交易活动中应保持善意、诚实、恪守信用,在市场经营活动中任何企图不通过自己的诚实劳动,而是采取不正当的手段获得他人创造的有利条件的行为,都是与反不正当竞争法规定的诚实信用原则相悖的不正当的市场交易行为。在个案中,法院常依据反不正当竞争法第二条对那些未被具体列举、但又对竞争秩序有着极大破坏力的行为进行调整,这一原则性条款在司法实践中被广泛应用,围绕个人数据展开的市场竞争行为有可能会因为违反商业道德或诚信原则而落入反不正当竞争法第二条的规制范围,对平台之间个人数据权益纠纷的解决具有现实指导意义。例如,在社交场景下对用户头像、名称、教育信息、职业信息、标签信息等数据流通利用,第三方平台通过网络开放平台(Open API)合作开发模式获取并使用用户数据应当充分尊重用户的隐私权、知情权和选择权,应当诚实守信,遵守《开发者协议》约定的内容,在运用技术获取数据信息时应以诚信为本。在此前的司法案例
中,第三方公司在未付出劳动和资金成本的情况下爬取原数据平台的数据资源,反而挤占了原数据平台产品的市场,违背了约定俗成的商业道德,属于“搭便车”的不正当竞争行为,违反了诚实信用原则和遵守商业道德原则。
我国反不正当竞争法实施时间较早,已经在实践中积累了丰富的经验,在没有其他法律法规能够对数据权益纠纷进行合理解决的空白期,诚实信用原则和商业道德原则能够对数据权益这一新兴法律问题在现有的法律框架内进行较为完善的说理论证并提供较为及时合理的法律保护。但应引起我们足够重视的是,诚实信用原则和商业道德原则终究只是反不正当竞争法中的原则性条款,在个人数据权益纠纷中也只能在明确的条款与规则缺位的情况下作为基本原则使用。作为基本原则,其适用范围和判断标准并不明确,在实践中存在较大的裁量空间,需要法官在充分了解掌握案情的基础上做出合理抉择。此外,诚实信用原则与商业道德原则多适用于平台之间,用以规制具有法人资格的市场主体,而作为数据生产者的用户为自然人,在实践中则较少采用反不正当竞争的原则和条款予以规制。
平台经济若要获得可持续的繁荣发展,既要鼓励个人数据应用方面的创新,又要注重个人数据的合理保护。在个人数据的流通利用方面,网络平台的合规运营不仅需要各平台之间的开放共享与合法授权,更需要保障用户的知情权、选择权和隐私权,在个人数据主体权益与数据开发者权益的动态平衡中实现个人数据保护与流通利用。
目前,我国消费者权益保护法、网络安全法等法律法规都对网络用户等消费者个人信息保护提出了明确的要求。国家标准化委员会于2013年开始实施《信息安全技术 公共及商用服务信息系统个人信息保护指南》。该指南针对个人数据的处理规定了目的明确、个人同意、公开告知、最少够用、安全保障、质量保证、诚信履行和责任明确八项原则。《信息安全技术 个人信息安全规范》规定了目的明确原则、权责一致原则、选择同意原则、公开透明原则、最小必要原则、确保安全原则、主体参与原则七项原则。其中,知情同意是个人数据流通利用过程中最重要的原则之一,任何一项权利的行使和维权都离不开主体的参与,作为个人数据的产生者,数据主体参与个人数据的处理是理所当然的,它是产业链条得以合理合法运行的逻辑起点,是对个人数据进行一切处理的正当性基础。
随着公众对个人数据保护意识的提高以及相关法规的完善,网络平台普遍建立了个人数据收集使用的事前征询机制,用户在使用某项服务时可以选择是否接受平台对其个人数据的收集处理。但是,从实践情况来看,目前的“知情同意”机制还仅仅停留在“同意”层面,在“知情”层面收效甚微。平台提供的协议条款冗长,用词专业且晦涩,用户难以完整且清晰地阅读,对其约定的权利义务更是不知所云。同时,大部分平台的知情同意协议是在用户注册或首次登录时弹出,仅具有一次选择的权利而非分步骤分环节的征询,给用户的“知情”带来了巨大的难度。此外,从实践来看,一旦用户不同意该协议条款,平台即不提供相应的服务,这使得用户只能被迫“同意”。换言之,即使能够实现用户个人同意,但很多时候在获取同意的过程中并没有充分披露使用的目的和后续的处理原则,用户只能“知情同意”平台对个人数据的收集环节,而对平台加工处理个人数据的过程和行为一无所知,更遑论同意。
在知情同意原则的完善上,首先,在收集环节应探索更加合理有效的通知方式,最小化收集个人数据,如收集不同的数据时分别单独询问,并尽量通过浅显易懂的方式向用户进行说明;
其次,数据主体应充分知晓其数据的去向,了解平台对其个人数据所要采取的加工处理行为,如个人数据收集或处理者的身份、行为方式、行为目的以及权益分配等;再次,个人数据主体有权向数据处理者查询其个人数据处理情况,对涉及个人隐私等数据有权要求查阅;最后,个人数据被收集后,数据主体有权要求数据收集者或者数据处理者对个人数据进行适当的修改、删除。
从域外经验来看,美国与欧盟一直在不断地强化数据主体的知情同意原则,不断提升个人数据处理的透明度标准。欧盟《一般数据保护条例》(GDPR)与美国《消费者隐私权利法案(草案)》同样高度重视用户对其个人信息的控制权利,却运用了迥异的路径。
欧盟在不断提高用户知情同意标准的同时,设立了非可识别个人数据的流通规则,用户的个人数据经过脱敏匿名化处理后即可转换为非可识别个人数据,此类数据在流通规则上较为宽松,保障了数据的有效共享。美国引入了场景理论对数据主体的同意进行宽泛化的处理,降低了数据开发者的成本,其第103条(b)款规定:当个人信息处理行为不合理时,机构需要评估所产生的隐私风险,并采取相应的降低风险手段,包括但不限于提供增强性的披露及用户控制机制,当机构处理行为在相应场景中合理时,无需经过用户同意或满足其他要件而自动获得合法性授权。虽然数据主体可能就某些“合理的情景”的判定与数据开发者产生分歧,但是这在广泛意义上确实减少了很多不必要的成本,总体来看对数据主体及开发者都是有益的。
从欧盟与美国经验来看,在充分保障数据主体知情同意的前提下,为促进数据流通和产业发展,对个人数据进行一定程度的合理使用是必要且合理的。其立法逻辑起点是促进数据产业发展,侧重为数据开发应用提供宽松制度环境,而对个人信息的保护也需考虑技术进步、创新及企业所能承担的责任限度,不应对数据自由流通和利用造成实质性阻碍,因此倾向于“数据流通”模式。
个人数据虽由用户产生,但并不同于个人隐私而具有绝对的排他性。大数据时代下,个人数据作为交流和表达的工具,不再仅限于私益,具有流动和共享属性,还体现了社会公共属性。例如,在社交场景下,姓名和电话号码就属于特殊的个人信息,当数据主体披露其电话号码时,目的是建立社会交往,对其在社会一定范围内的传播和流通具有合理期待。当社交关系的一方选择向社交平台的运营者提供其现实或者在其他虚拟场景下的人际关系以实现社交关系的互联网化时,对于平台而言,其获取该种社交关系即具有合法性、正当性基础,这就使得二者具有社会属性,其控制和占有不应被绝对化。即使上升到通讯录层面,就通讯录的性质而言,通讯录与每个自然人具体的姓名、电话号码不同,体现的是整体的信息,应当作为一个整体来考虑,通讯录中所记载内容的所有权应当属于通讯录所有人,平台只要在符合用户隐私期待的范围内获得充分许可,用户即对此有合理预期,无需取得通讯录所有人以及每一位联系人的双重授权。在电子商务场景下,买家的评论以及订单数据是根据商品信息、卖家磋商以及平台技术而产生和呈现的,而非完全由买家独立完成,因而其控制权应由买卖双方共同所有,平台和卖家为了促进交易的达成和完成对商品的介绍,将部分涉及卖家的个人数据展现在平台之上,则应属于合理使用的范围;在医疗场景下,医疗数据是敏感私密的个人数据,毋庸置疑需要强化对个人医疗数据隐私相关权利的保护,但隐私权的保护不应以抹杀信息价值为代价。
在一些国家和地区的判例中,行政机关虽然未经当事人同意就将个人医疗信息纳入“健康保险研究资料库”,但是法院采信了“收集并利用原告医疗健康信息,是为了改善公共医疗服务”的抗辩理由,支持了行政机关的做法。
在个人数据流通利用的过程中,数据安全是不容忽略的关键问题,系统对接、数据传输、数据存储等环节都极易产生安全风险,
数据泄露、黑客攻击、过度爬取以及数据黑产现象层出不穷,不仅会严重侵犯个人数据主体的人格性权益,给用户带来极大困扰,更会如同“野蛮人”一样破坏平台生态,损害平台竞争性权益,扰乱市场秩序。
首先,在数据漏洞方面。数据漏洞会造成个人数据的大规模泄露,其原因主要包括两方面,即系统原生漏洞(bug)和黑客攻击,其中黑客攻击是数据泄露的最主要原因。2018年1月,印度存有10亿公民身份的数据库Aadhaar被黑客攻击,公民姓名、电话、邮箱、指纹、虹膜等个人数据被泄露。
显然,由于个人数据中包含大量可识别的个人信息,且即使数据经过匿名化处理,黑客通过相应技术及结合其他数据同样有可能恢复其可识别性,因而用户极易遭到垃圾邮件、网络钓鱼的侵扰。这还仅仅是个人数据泄露所引起的初级后果,如果遭泄露的个人数据被不法分子深度分析挖掘,则会进入数据黑产链条,直至被榨干所有价值。随着数据价值的提升,以数据交易、数据清洗、数据分析为核心的数据黑色产业链逐渐完善,诈骗、骚扰、劫持流量、精准营销、身份认证、盗刷银行卡、非法套现等违法犯罪活动肆意滋生。同时,由于个人数据的大规模泄露,平台将面临舆论压力,丧失用户信任,其产品和市场都将受到严重影响。因此,近年来我国立法逐渐赋予平台以保障数据安全的义务,一旦个人数据泄露造成严重后果,平台将要承担相应的责任,如《中华人民共和国网络安全法》第十条、第二十一条、第二十五条、第三十一条、第四十二条第一款规定了平台负有防止个人数据泄露和网络攻击的义务,第五十九条、第六十条以及第六十四条规定了平台未履行义务所应承担的法律责任。《中华人民共和国数据安全法》第二十一条、第二十九条也对防止数据漏洞的义务与措施作出了规定。
其次,在过度爬取方面。随着以深度学习、神经网络为代表的人工智能技术不断更新迭代,网络爬虫技术突飞猛进,大批量、多线程、低时延的智能爬取已经成为可能,50%以上的互联网流量都由爬虫贡献,某些热门网页的爬虫访问量甚至已经占据了总访问量的90%以上,网络爬虫已经成为平台企业获取个人数据的重要方式之一。
由于网络爬虫的高效性与便捷性,过度爬取现象屡禁不止。为了获取更多的利益,爬取方绕过Robots协议,置被爬取方利益和公共利益于不顾,增加被爬取站点的负荷而使其瘫痪,未经授权获取个人数据而损害平台竞争性权益,未经主体同意处理个人数据而侵犯其人格性权益,这类搭便车的行为严重地破坏了市场秩序,造成了恶性竞争,不利于个人数据权益的合理划分。在某不正当竞争纠纷案中,法院认为:公交实时类信息数据具备无形财产的属性,属于应当受反不正当竞争法保护的法益。未经权利人许可,利用网络爬虫技术进入权利人的服务器后台的方式,非法获取并无偿使用权利人的实时公交信息数据的行为,构成不正当竞争。在司法实践中,法院倾向认为互联网中第三方应用通过开放平台例如Open API模式获取用户信息时,应坚持“用户授权”+“平台授权”+“用户授权”的三重授权原则,未经用户同意和平台授权,获取并使用用户的职业信息、教育信息的行为构成不正当竞争。
综上,无论是平台还是第三方机构,在个人数据流通利用的各个环节中都要始终坚持安全性原则,对于已收集存储的个人数据应做好保护措施,建立完善系统的保护体系,防止个人数据泄露,抵御个人数据被攻击和窃取,在发生安全事故后应及时向主管部门和数据主体披露相关情况,并承担相应的责任;对于网络爬虫等个人数据收集行为,应做好数据性质识别,限定个人数据的利用场景,避免无序利用而侵犯数据主体合法权益。此外,在爬取前应与被爬取方签订相关协议,明确约定爬取的时间、数量、范围、性质以及用途等,保障被爬取方的正当权益。