时间:2022-12-30 10:38:47来源:法律常识
作者:上海锦天城(重庆)律师事务所李章虎、陈琳静、李俊霖
前言
大数据之所以被政府、投行等各方关注,从业务角度出发,现阶段其核心价值主要有(1)数据辅助决策:即为企业提供基础的数据统计报表分析服务;(2)数据驱动业务:通过数据产品、数据挖掘模型实现企业产品和运营的智能化,从而提高企业的整体效能产出;(3)数据对外变现:通过对数据积累与挖掘,对外提供数据工具有偿服务。据2019年9月11日发布的《2019年中国大数据产业发展白皮书》显示,与数字经济相关的概念正逐年增多,“数字经济”、“数字中国”、“数字丝绸之路”等已经成为指导中国推进经济社会高质量发展的重要力量。中国大数据产业规模持续增长,2018年中国大数据产业规模达4384.5亿元,同比增长23.5%,预计2021年产业规模将超过8000亿元。
数据产业的发展突飞猛进,然而相关法律的缺位和可观的利润使得数据行业的竞争乱象丛生,围绕大数据财产的竞争纠纷案件也不断出现,例如2008年的大众点评诉爱帮网不正当竞争案,2013年的百度诉360违反robots协议案,2015年的新浪诉脉脉非法抓取微博用户数据案,2016年的大众点评诉百度抓取用户点评信息案,以及2017年的顺丰与菜鸟切断数据接口纠纷等。
大数据财产的保护已经成为学界和业界共同关注的焦点。本文主要从大数据财产角度,阐述其基本理论,梳理相关法律文件,从司法判例入手,归纳大数据竞争当中的法律风险,并提出风险防范建议,以飨读者。
一、何为大数据?
关于大数据的定义,学界和业界并未达成共识。国务院2015年发布的《促进大数据发展行动纲要》(国发〔2015〕50 号)将大数据定义为“大数据是以容量大、类型多、存取速度快、应用价值高为主要特征的数据集合,正快速发展为对数量巨大、来源分散、格式多样的数据进行采集、存储和关联分析,从中发现新知识、创造新价值、提升新能力的新一代信息技术和服务业态。”该定义反映了大数据的“4V标准”特征:数量(Volume),即数据巨大,从TB级别跃升到PB级别;多样性(Variety),即数据类型繁多,不仅包括传统的格式化数据,还包括来自互联网的网络日志、视频、图片、地理位置信息等;速度(Velocity),即处理速度快;真实性 (Veracity),即追求高质量的数据。
关于大数据的分类,目前学界主要存在两种分类方式:一是依照产生主体的不同进行划分,即将数据分成个人数据、企业数据以及政府数据;二是以数据内容的产生方式进行划分,把数据分为原始数据和衍生数据。衍生数据是在收集、存储海量原始数据的基础上,经过算法清洗、脱敏、加工、计算、聚合等技术处理而形成的系统的、可读取的、有价值的结构化数据。
二、我国与大数据相关法律法规梳理
互联网时代下,大数据作为数字经济中的“石油”,其权益应当受到法律的保护已普遍达成共识。目前,中央政府和各地方政府(含省、市、区县等)已形成多层次协同推进的大数据发展政策环境。2016—2019年四年间,中央政府和各地方政府相继出台了一批文件,如《大数据产业发展规划(2016—2020年)》《国务院办公厅关于运用大数据加强对市场主体服务和监管的若干意见》和《国家发改委办公厅关于组织实施促进大数据发展重大工程的通知》等。2020年5月28日颁布的《民法典》对数据的保护也提供了明确的依据,在第一编总则中第一百二十七条规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”
2020年7月20日,最高法和发改委发布的《关于为新时代加快完善社会主义市场经济体制提供司法服务和保障的意见》明确指出,“加强数据权利和个人信息安全保护。尊重社会主义市场经济规律及数据相关产业发展实践,依法保护数据收集、使用、交易以及由此产生的智力成果,完善数据保护法律制度,妥善审理与数据有关的各类纠纷案件,促进大数据与其他新技术、新领域、新业态深度融合,服务数据要素市场创新发展。”
我国当下没有对于大数据财产权益的专门立法,立法层面对于大数据财产的保护,主要分布于《著作权法》、《反不正当竞争法》、《刑法》以及《网络安全法》的个别条款当中,这些不同的部门法为大数据权益的保护提供了多种路径选择。
1.《著作权法》保护路径
我国《著作权法》第十四条规定:“汇编若干作品、作品的片段或者不构成作品的数据或者其他材料,对其内容的选择或者编排体现独创性的作品,为汇编作品,其著作权由汇编人享有,但行使著作权时,不得侵犯原作品的著作权”。鉴于具有价值的衍生大数据多是经过算法筛选、加工、分类、编排、聚合而成的系统的、可读取、有使用价值的数据,从而得以更有针对性地运用,例如购物偏好数据。若权利人的大数据经过个性化的选择或者编排能够体现独创性,那么其可以诉诸《著作权法》对汇编作品的保护。
2.《反不正当竞争法》保护路径
从实务中涉及大数据的案例来看,不正当竞争纠纷占比较大,且权利人多从商业秘密的角度寻求保护 。《反不正当竞争法》第九条:“本法所称的商业秘密,是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。”从商业秘密不为公众所知悉、具有商业价值、具有保密性的三个要件来看,大数据易符合商业秘密的构成要件。首先,大数据的形成过程及产出结果具有秘密性,在数据收集以及数据转化使用的过程当中,市场机构会遵从与用户签订的隐私保护政策而对数据进行去识别化处理,为了维护数据结果所带来的竞争优势,市场机构往往会将大数据视为秘密;其次,大数据能够为市场机构带来竞争优势从而具有商业价值,大数据往往是市场机构经过长期经营,投入大量人力、物力和财力并积累形成的,能够帮助市场机构提升经营水平,获取竞争优势;最后,大数据的产生、存储和利用皆借助计算机完成,在计算机上采用技术措施进行加密是常用的措施,只要权利人尽到了合理的保密义务,即可以视为该大数据具有保密性。因此,将大数据作为商业秘密进行法律保护成为市场机构通常的选择。
此外,通过《反不正当竞争法》第二条的原则条款进行定性判断和调整,评判某行为是否违反诚实信用原则、是否违反公认的商业道德的规定,也为大数据财产提供了一定保护空间,对某些攫取数据等不正当竞争行为予以制止,保护权利人的数据权益。
3.《网络安全法》保护路径
我国《网络安全法》的内容多涉及公民数据安全权益与网络服务提供者的安全维护义务,在大数据的收集获取阶段强调个人信息的保护,诸如第二十一条、二十二条、四十一条、四十二条、四十三条、四十四条等。已经形成的大数据成果的保护,主要依靠《网络安全法》第二十七条:“任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。”该法第六十三条还对窃取网络数据的行为规定了相应的拘留、罚款等行政责任。
4.大数据权益的刑法保护
当前我国刑法理论学界和司法实践中对于如何对窃取大数据财产的行为进行定性和判罚存在较大的争议。不过,如果刑法要保护大数据,首先要识别两层含义:一是数据所承载的利益是否上升为法益,二是数据利益体现的是何种法益。第一层法益识别问题,笔者认为并不是所有的大数据都可上升为可保护法益,前提条件至少包括该大数据具有排他性,可转让性、价值性等可交换利益;第二层何种法益问题,数据利益既可以体现为计算机信息系统的功能,也可以体现为公民个人的隐私或者公司的商业秘密,还可以体现为虚拟财产权或者著作权等。相应地,侵犯不同数据的行为就分别构成破坏计算机信息系统罪、侵犯公民个人信息罪、盗窃罪、侵犯商业秘密罪、侵犯著作权罪等不同犯罪,以下作简要分析:
第一,我国《刑法》第二百八十五条第二款和第三款规定了侵犯计算机信息系统类犯罪,对违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,或者提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,处以有期徒刑、拘役或者罚金等刑罚。2011年最高人民法院、最高人民检察院发布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第一、二、三条对《刑法》第二百八十五条的犯罪情形作出明确的说明。
第二,我国《刑法》第二百五十三条之一【侵犯公民个人信息罪】违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。根据法释〔2017〕10号《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条之规定,刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。因此,在实务中,个人信息也是大数据时代企业的重要资源,侵犯客体为公民个人信息的大数据,可能构成本罪。
第三,理论和实务界有观点认为,我国《刑法》第二百六十四条的盗窃罪的规定,对大数据权益也能在某种层面提供保护的可能, “盗窃公私财物,数额较大的,或者多次盗窃、入户盗窃、携带凶器盗窃、扒窃的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金……”。 关于大数据能否成为盗窃罪的犯罪对象,从我国的相关修法历程和司法解释来看,盗窃罪的犯罪客体从有体物向无体物在一步步扩展。尽管目前司法主流观点认为,虚拟财产不属于刑法意义上的财物,盗窃虚拟财产不构成盗窃罪,但是笔者认为,衍生大数据与网络虚拟财产存在一定差别,《民法典》对二者的表述属于并列关系,大数据权益具有现实有用性和价值共通性,具有现实的使用价值且其价值能够被客观衡量,具有法律意义上的财产属性,具有法益可保护性,盗窃大数据达到盗窃罪的构成要件可能认定为盗窃行为,例如,大数据文件存储在本地服务器中,员工在未经公司同意的情况下,进行拷贝窃取并进行获利的行为。当然,该罪名与以下涉知识产权罪侵犯客体可能构成重合,应根据具体案件适用。
第四,如果大数据符合作品、商业秘密等的构成要件,在侵权人的行为达到相应罪名犯罪标准时,可依据《刑法》第二百一十七条的侵犯著作权罪、第二百一十九条的侵犯商业秘密罪能为权利人提供有效保护。2004年最高人民法院、最高人民检察院发布的《关于办理侵犯知识产权刑事案件具体应用法律若干问题的解释》第五条、第七条、第十一条、第十四条,2007年最高人民法院、最高人民检察院发布的《关于办理侵犯知识产权刑事案件具体应用法律若干问题的解释(二)》第一条、第二条,2011年最高法、最高检、公安部《关于办理侵犯知识产权刑事案件适用法律若干问题的意见》第十、第十三,《最高人民检察院、公安部关于公安机关管辖的刑事案件立案追诉标准的规定(一)》第七条、第二十六条以及《最高人民检察院、公安部关于公安机关管辖的刑事案件立案追诉标准的规定(二)》第七十三条对上述两种罪名的犯罪构成进行了详细明确的说明。
三、法律风险分析——以司法判例规则为视角
当前,大数据产业已成为新一轮科技革命和产业变革中一个蓬勃兴起的新产业,互联网市场围绕数据的竞争与争议不断涌现,关于数据交易、用户权益与商业模式的讨论从未停止,引发了各方对数据时代的数据规则的检视与反思。数据商业利用行为的法律风险也日益凸显。
风险一:数据获取及使用的不正当竞争规制
代表性案例一:淘宝(中国)软件有限公司诉安徽美景信息科技有限公司不正当竞争纠纷案 (2018)浙01民终7312号
提示:数据产品经过网络运营者大量的智力劳动投入,经过深度开发与系统整合,已独立于网络用户信息、原始网络数据之外,网络经营者享有自己独立的财产性利益。若拿他人市场成果直接为己所用,从而获取商业利益与竞争优势的行为,则可能被认定为违背商业道德,构成不正当竞争行为。
基本案情:淘宝公司有一款名为“生意参谋”的零售电商数据产品,该产品主要为淘宝及天猫商家店铺运营提供数据化参考服务,提高商家经营水平。而美景公司开发了名为“咕咕互助平台”与“咕咕生意参谋众筹”的软件与平台,让已订购淘宝生意参谋的用户可以通过咕咕互助平台分享、共用其子账户。安徽美景信息科技有限公司(以下简称美景公司)系“咕咕互助平台”的运营商,其以提供远程登录已订购涉案数据产品用户电脑技术服务的方式,招揽、组织、帮助他人获取涉案数据产品中的数据内容,从中牟利。淘宝公司认为,其对数据产品中的原始数据与衍生数据享有财产权,被诉行为恶意破坏其商业模式,构成不正当竞争。
法院认为:法院从三个方面对美景公司是否构成不正当竞争行为进行论证。第一,淘宝隐私权政策所宣示的用户信息收集、使用规则在形式上符合“合法、正当、必要”的原则要求,涉案数据产品中可能涉及的用户信息种类均在淘宝隐私权政策已宣示的信息收集、使用范围之内。故淘宝公司收集、使用网络用户信息,开发涉案数据产品的行为符合网络用户信息安全保护的要求,具有正当性。第二,网络数据产品不同于网络原始数据,数据内容经过网络运营者大量的智力劳动成果投入,通过深度开发与系统整合,最终呈现给消费者的是与网络用户信息、网络原始数据无直接对应关系的独立的衍生数据,可以为运营者所实际控制和使用,并带来经济利益。网络运营者对于其开发的数据产品享有独立的财产性权益。第三,美景公司未经授权亦未付出新的劳动创造,直接将涉案数据产品作为自己获取商业利益的工具,明显有悖公认的商业道德,如不加禁止将挫伤数据产品开发者的创造积极性,阻碍数据产业的发展,进而影响到广大消费者福祉的改善。被诉行为实质性替代了涉案数据产品,破坏了淘宝公司的商业模式与竞争优势,已构成不正当竞争。
代表案例二: 上海汉涛信息咨询有限公司诉北京百度网讯科技有限公司、上海杰图软件技术有限公司不正当竞争纠纷一案 (2016)沪73民终242号
提示:在互联互通、信息共享的互联网环境中,网络平台在使用其他平台数据时,应当遵循“最少、必要”的原则,若超过必要限度,则可能被认定为不正当竞争。
基本案情:汉涛公司是大众点评网(网址:www.dianping.com)的经营者。大众点评网为网络用户提供商户信息、消费评价、优惠信息、团购等服务。商户信息通常包括联系电话、地址、图片等信息。公司发现,自2012年以来,百度公司未经许可在百度地图、百度知道中大量抄袭、复制大众点评网的用户点评信息,直接替代大众点评网向用户提供内容。汉涛公司认为,此举让百度公司迅速获得用户和流量,给自己造成巨大损失。其行为违背公认的商业道德和诚实信用原则,构成不正当竞争。
一审法院观点:汉涛公司为运营大众点评网付出了巨额成本,网站上的点评信息是其长期经营的成果。大众点评网的点评信息由网络用户发布,网络用户自愿在大众点评网发布点评信息,汉涛公司获取、持有、使用上述信息未违反法律禁止性规定,也不违背公认的商业道德。百度公司大量、全文使用涉案点评信息实质替代大众点评网向用户提供信息,对汉涛公司造成损害。百度的行为违反了公认的商业道德和诚实信用原则,具有不正当性,构成不正当竞争。本案中,百度公司的搜索引擎抓取涉案信息并不违反Robots协议,但这并不意味着百度公司可以任意使用上述信息,百度公司应当本着诚实信用的原则和公认的商业道德,合理控制来源于其他网站信息的使用范围和方式。
二审法院认为:汉涛公司的大众点评网站通过长期经营,其网站上积累了大量的用户点评信息,这些点评信息可以为其网站带来流量,同时这些信息对于消费者的交易决定有着一定的影响,本身具有较高的经济价值,这些信息是汉涛公司的劳动成果。百度公司在百度地图和百度知道产品中大量使用来自大众点评网用户的评论信息,已对大众点评网构成实质性替代,这种替代必然会使汉涛公司的利益受到损害。百度公司未经汉涛公司的许可,在其百度地图和百度知道产品中进行大量使用,这种行为本质上属于“未经许可使用他人劳动成果”。百度公司使用涉案信息的方式和范围已明显超出了提供网络搜索服务的范围,其以垂直搜索技术决定了信息使用方式而可免责的抗辩意见,不予采纳。
代表案例三:北京淘友天下技术有限公司等与北京微梦创科网络技术有限公司不正当竞争纠纷上诉案 (2016)京73民终588号
提示:第三方获得微博用户数据以及微博信息内容,需要获得微博平台授权,否则可能被视为不正当竞争。
基本案情:微梦公司是新浪微博的经营人,新浪微博是一款基于用户关系的社交媒体平台,也是向第三方应用软件提供接口的开放平台。淘友技术公司、淘友科技公司共同经营脉脉软件及脉脉网站,脉脉是中国最大的职场实名交友平台。新浪微博与脉脉曾有过合作,即新浪微博与脉脉签订《开发者协议》,脉脉获得新浪授权,其用户可通过新浪微博账户注册脉脉,同时脉脉可获得微博用户的部分信息。在合作期间,新浪微博发现脉脉获取了其认为超过约定部分的数据,并由此认定该部分数据为非法获取,故中断合作。在合作终止后,新浪微博认为脉脉仍非法抓取、使用新浪微博用户信息,非法获得和使用用户手机通讯录中的联系人与微博用户的对应关系等,构成不正当竞争。
一审法院认为:本案的争议焦点主要有两项,一是淘友技术公司、淘友科技公司与微梦公司是否存在竞争关系;二是淘友技术公司、淘友科技公司的行为是否对微梦公司构成不正当竞争。一审法院认为,用户信息是互联网经营者重要的经营资源,如何展现这些用户信息也是经营活动的重要内容。同时兼具社交媒体网络平台和向第三方应用软件提供接口的开放平台身份的微梦公司,其在多年经营活动中,已经积累了数以亿计的新浪微博用户,这些用户根据自身需要及微梦公司提供的设置条件,公开、向特定人公开或不公开自己的基本信息、职业、教育、喜好等特色信息。这些用户信息是微梦公司维持并提升用户活跃度、开展正常经营活动、保持竞争优势的必要条件。本案中,淘友技术公司、淘友科技公司的行为违反了诚实信用的原则,违背了公认的商业道德,危害到新浪微博平台用户信息安全,损害了微梦公司的合法竞争利益,对微梦公司构成不正当竞争。同时,法院还认为互联网经营者不仅要合法获取用户信息,也应妥善保护并正当使用用户信息。互联网经营者应当遵循自愿、平等、公平、诚实信用的原则,遵守公认的商业道德,尊重消费者合法权益,才能获得正当合法的竞争优势和竞争利益。
二审法院认为:上诉人淘友技术公司、淘友科技公司并没有基于《开发者协议》在取得用户同意的情况下读取非脉脉用户的新浪微博信息,其获取前述信息的行为没有充分尊重《开发者协议》的内容,未能尊重用户的知情权及自由选择权,一定程度上破坏了OpenAPI合作开发模式。OpenAPI开发合作模式中数据提供方向第三方开放数据的前提是数据提供方取得用户同意,同时,第三方平台在使用用户信息时还应当明确告知用户其使用的目的、方式和范围,再次取得用户的同意。因此,在OpenAPI开发合作模式中,第三方通过OpenAPI获取用户信息时应坚持“用户授权”+“平台授权”+“用户授权”的三重授权原则。上诉人淘友技术公司、淘友科技公司获取新浪微博信息的行为存在主观过错,违背了在OpenAPI开发合作模式中“用户授权”+“平台授权”+“用户授权”的三重授权原则,违反了诚实信用原则和互联网中的商业道德,故,上诉人淘友技术公司、淘友科技公司获取并利用新浪微博用户信息的行为不具有正当性,构成不正当竞争。
风险二:APP违法违规收集个人数据的行政处罚风险
提示:APP在收集信息若对用户数据收集范围、收集用途等未明示或未告知,则可能被处以行政处罚。
代表案例:“猎豹清理大师”APP、“印象笔记”APP、、“好孕帮”APP等10个APP被公安局予以行政处罚。
案情简介:公安网安部门发布专项整治违法违规APP违法收集公民个人信息十大案例,其中猎豹清理大师”APP的隐私协议中对于索取用户通讯录、通话记录等权限的行为没有进行详细说明。北京市公安局朝阳分局已依法责令该公司改正违法行为;“印象笔记”APP的隐私协议中未以显著位置、显著字体申明收集用户信息数据项,未明示各数据项收集用途。北京市公安局朝阳分局已依法责令该公司改正违法行为,并予以警告处罚;“好孕帮”APP在收集信息时未明示并征得用户同意,用户服务协议及隐私声明中未明示申请权限目的,未告知收集用户个人信息的目的及使用方式。北京市公安局西城分局已依法责令该公司改正违法行为,并予以警告处罚。
风险三:采用技术手段抓取他人服务器内储存的数据涉嫌非法获取计算机信息系统罪
代表案例:上海晟品网络科技有限公司、侯明强等非法获取计算机信息系统数据罪案 (2017)京0108刑初2384号
案情简介:被告单位上海晟品网络科技于2016年至2017年间采用技术手段抓取被害单位北京字节跳动服务器中存储的视频数据,并由侯明强指使被告人郭辉破解北京字节跳动网络技术有限公司的防抓取措施,使用“tt_spider”文件实施视频数据抓取行为,并将结果存入到数据库中的逻辑。在数据抓取的过程中使用伪造的device_id绕过服务器的身份校验,使用伪造UA及IP绕过服务器的访问频率限制,恶意破解恶意破解字节跳动的防抓系统,获取字节跳动的商业数据信息,侵害了其商业利益。
法院认为: 被告单位上海晟品网络科技有限公司违反国家规定,采用技术手段获取计算机信息系统中存储的数据,情节严重,其行为已构成非法获取计算机信息系统数据罪,应予惩处;被告人张洪禹、宋健、侯明强作为直接负责的主管人员,被告人郭辉作为其他直接责任人员,亦应惩处。
风险四:非法获取、购买、出售网站中的个人信息数据涉嫌侵犯公民个人信息罪
代表案例:丁亚光侵犯公民个人信息罪案 (2016)浙0382刑初2332号
法院认为:被告人丁亚光非法获取住宿记录等公民个人信息后通过网站提供查询服务牟利,供查询的公民个人信息近二千万条,其行为已经构成侵犯公民个人信息罪,且属于“情节特别严重”。综合考虑退赃等情节,以侵犯公民个人信息罪判处被告人丁亚光有期徒刑三年,并处罚金人民币二万元。
四、风险防范建议
数据经营者或者网络服务提供者在收集、存储、使用、加工、处理数据时,主要面临的风险包括在收集中对个人信息的侵权;在使用或者获取过程中,对他人竞争性利益的侵犯;在存储、处理过程中可能面临数据泄露等数据安全的风险;以及数据获取、交易中可能面临的刑事责任风险。数据经营者或者网络服务提供者在数据处理中要进行数据合规审查,注重对以上风险进行规范:
(一)遵循个人信息收集、处理最基本原则,规避个人信息侵权风险
根据《民法典》、《网络安全法》、《电信和互联网用户个人信息保护规定》、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等相关法律法规以及司法解释中华对个人信息保护的规定,国家明确了收集、处理个人信息应当遵循的原则。处理数据除了应当遵循合法性原则、正当性原则、必要性原则等最基本原则外,还要遵循知情同意原则、透明公开原则、目的明确原则、完整准确原则以及安全原则等原则,否则会面临侵犯个人信息或者个人隐私的风险。
首先,要遵循数据处理合法性、正当性、必要性原则。第一,合法原则要求数据经营者或者网络服务提供者在收集、使用、处理个人数据过程中不仅要遵守法律的相关规定,还要遵守双方的约定,不能超出法定和约定的范围,这是数据处理的最基本原则。第二,正当性原则指数据来源正当,即要求数据经营者或网络服务提供者要通过合法途径收集数据,保证数据来源的正当性。第三,必要性原则又包括目的限定原则、数据最小化原则。目的限定原则要求个人数据的处理和利用,必须要与收集目的一致,不得随意变动收集、使用的目的,必要情况下的目的变更应当有法律规定或取得信息主体的同意或其他正当理由;数据最小化原则也称最少够用原则,要求不得过度收集、使用个人信息,要在授权的最小权限内使用最少的信息。这就要求数据经营者不得采取技术手段对个人信息进行强制采集、捆绑采集以及骚扰采集。
其次,要遵循数据收集知情同意原则、数据处理透明公开原则、目的明确原则、完整准确原则。第一,知情同意原则也称授权同意、选择同意原则,是个人数据处理原则的核心,要求收集信息要获得信息主体的同意授权。实践中要避免违反个人同意原则的情形,比如App首次运行、提示用户阅读隐私政策前就开始收集个人信息;利用用户信息和算法定向推送新闻、广告等,未提供终止定向推送的选项等情形。第二,透明公开原则要求数据经营者或者网络服务提供者要公开收集、使用规则,明示收集、使用信息的目的、方式和范围。在实践中具体体现在制定并公开隐私政策、最大程度公开收集使用规则等操作。第三,目的明确原则要求在收集个人信息时必须有明确的、特定的意图,要将收集、处理数据的目的或者意图以明确的方式呈现出来,且实际使用数据时不得偏离在数据收集时披露的目的。不能采取模糊性的语言表达来描述目的。第四,完整准确原则要求数据经营者或者网络服务提供者要保证信息主体信息的完整性和准确性,积极配合信息主体要求信息业者采取删除、屏蔽、断开链接等措施的要求,及时采取必要措施。
最后,要遵循数据处理安全原则。安全原则要求数据经营者要建立健全用户数据保护制度,确保收集的用户数据及个人信息的安全,防止个人信息的意外丢失、毁损,非法收集、处理、利用,对数据进行本地化储存,个人信息进行去识别化、匿名化处理,降低个人信息处理风险。
(二)正当利用商业化数据,遵守商业秩序,避免不正当竞争行为纠纷风险
首先,数据经营者或者网络服务提供者在数据收集和使用应当遵守现有的商业秩序。目前的法律规定并没有对数据的权属进行的明确规定,在司法实践中,企业之间出现了越来越多的数据之争,这些纠纷均是以不正当竞争纠纷为由向法院起诉。法院在判断数据市场竞争行为是否具有正当性时,主要依据《反不正当竞争法》第二条第三款,通常考虑涉案数据是否具有市场价值,数据积累的难易程度,数据获取的途径是否正当,以及竞争对手使用数据的方式和范围。数据经营者或者网络服务提供者在对商业化数据利用时,正当获取商业化数据,合理使用数据,避免出现不劳而获、搭便车的行为,严格遵守数据产业的商业秩序。
其次,数据经营者或者网络服务提供者在数据收集和使用应当充分尊重平台及他人的数据权益。根据三重授权原则的要求,数据经营者或者网络服务平台在商业利用开发时应当获得数据平台的授权以及用户的授权,尊重数据平台已经形成的有市场价值的数据。
最后,数据经营者或者网路服务提供者通过技术手段在对数据收集和使用时,要遵守行业规范,清楚的认识到搜索引擎当中的垂直搜索、爬虫技术等技术特征,正确的看待技术中了的特性,在法律层面寻找数据合规的规制路径。应当诚实守信,遵守《开发者协议》约定的内容,在运用技术获取数据信息时应以诚信为本。
(三)建立数据安全管理制度,规避数据泄露等安全风险
数据经营者或网络服务提供者在数据储存、处理时,要保证数据安全,防止数据泄露、窃取、篡改及毁损等安全风险。首先,制定内部数据信息安全管理制度和操作规程,确定网络安全负责人,落实网络数据信息安全保护责任。其次,采取防范计算机病毒和网络攻击、网络侵入等危害网络数据信息安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志;采取数据分类、重要数据备份和加密等措施。最后,制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。
(四)合法收集、获取、使用商业性数据以及个人数据,遵守网络安全秩序,防范非法获取计算机信息系统数据、侵犯个人信息等违法犯罪活动
在前文对大数据财产相关法律法规的梳理中已经提到刑法对数据活动行为的规制包括侵犯计算机信息系统类犯罪,侵犯财产罪和侵犯知识产权罪三种模式。在司法实践中,对数据获取、交易、提供等处理过程中还可能涉及到对用户数据等个人数据的侵犯。《中华人民共和国刑法》第二百五十三条之一规定了侵犯公民个人信息罪,包括违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的行为;违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的行为;以及窃取或者以其他方法非法获取公民个人信息的行为。技术的发展逐渐在模糊法律的边界,增大了网络犯罪法律边界的不确定性,在利用商业性数据和用户个人数据时,要在法律所规定的合法范围内进行数据活动,避免越过法律边界。
综上,以互联网为代表的数据驱动型竞争日益加剧,数据已经成为新的生产要素、新的竞争资源。对数据资源的整合以及数据的商业化利用已然成为数据产业甚至互联网产业的常态,但海量的数据利用、处理等活动也引发了互联网领域越来越多的涉数据竞争纠纷、个人用户数据获取的侵权纠纷等法律风险。因此,数据经营者或者网络服务提供者既要促进数据利用和数据流通,也要在在法律规范、裁判案例、行业规范等指引下做好数据合规工作,妥善处置法律风险。
注释:
1.俞风雷,张阁:《大数据知识产权法保护路径研究——以商业秘密为视角》,《广西社会科学》2020年第1期,99-104页。
2.项定宜,毕莹:《大数据时代数据的类型化保护研究》,《重庆理工大学学报(社会科学)》2020年第6期,94-101页。
3.杨立新,陈小江:《衍生数据是数据专有权的客体》,《中国社会科学报》,2016年7月13日。
4.参见《盗窃网络虚拟财产的罪名认定》,作者:臧德胜、付想兵,《人民司法·应用》2017年第7期,《司法研究与指导》总第2辑,张军主编,最高人民法院研究室编著,人民法院出版社2012年出版。
5.陈沛:《数据流通与利用中的“三重授权”原则——再评大数据引发不正当竞争第一案》,《上海市经济管理干部学院学报》2020年第1期,57-64页。
6.刁云芸:《涉数据不正当竞争行为的法律规制》,《知识产权》2019年12期,36-44页。
7.参见中国知识产权审判:《中国知识产权审判年度典型案例评析(2018年卷)》,中国法制出版社,2018年4月出版,161-168页。