时间:2023-01-16 06:12:32来源:法律常识
来源:浙江高院课题组
转自:人民司法
特别提示:凡本号注明“来源”或“转自”的作品均转载自媒体,版权归原作者及原出处所有。所分享内容为作者个人观点,仅供读者学习参考,不代表本号观点
2022年第13期策划
构建数据权益保护规则研究
编者按:在互联网和大数据时代,数据与土地、劳动力、资本和技术并列为五大要素市场。随着数据产业和交易的不断发展,市场主体因数据收集、处理、利用而产生的纠纷日益频发,如何保护市场主体的数据财产权益,成为亟需研究解决的重要问题。2022年《最高人民法院工作报告》指出,维护市场公平竞争,探索数据权利保护规则,服务数字经济,促进电子商务发展。当前,我国关于数据保护的民事立法尚付阙如,各地法院通过审理大量涉数据纠纷案件对数据保护规则进行探索,为我国将来建立数据产权制度打下了坚实的基础。值2022年第22个世界知识产权日到来之际,本刊特邀在数据保护方面有司法实践经验和研究能力的法官及学者,采用理论联系实践的方法,对数据保护问题展开深入研讨,以期为数据纠纷案件的裁判和相关立法提供借鉴与参考。
关于企业数据权益知识产权保护的调研报告
文/浙江省高级人民法院联合课题组
课题组成员:许惠春、何琼、陈为、曾梦倩、傅枫雅、洪婧、阮梦凡、余廉、郎梦佳、叶胜男、沈妮、周烨阳。
2020年3月30日,中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》,首次将数据与土地、劳动力、资本、技术并列为五大要素,提出要加快培育数据要素市场,推进政府数据开放共享,提升社会数据资源价值,加强数据资源整合和安全保护。在互联网和大数据时代,数据已经成为一种重要的生产资料,蕴藏其中的巨大经济价值不断凸显。随着数据产业与数据交易的发展,企业之间因数据收集、处理、利用而产生的法律纠纷也日益涌现。在此背景下,划清竞争行为边界,制止数据侵权行为,成为市场主体迫切的现实需求,只有在法律上明确企业数据权益的保护模式与路径,才能为数据生产和商业模式创新提供有效激励,使数据要素发挥出最大的生产效能。
一
数据权益知识产权保护的司法实践
// (一)数据权益知识产权司法保护现状
在数据成为新经济生产要素的大背景下,数据权益的争夺与摩擦日益加剧,人民法院受理的涉数据案件持续增多。2016年至2021年上半年,从中国裁判文书网检索到的相关民事裁判文书有150余份,2018年以来案件数量快速递增,2021年上半年涉数据案件已超过2020年全年的总和。从地域上看,案件主要集中于北京、上海、广东、浙江、江苏等经济较为发达的地区。2016年至2021年上半年,浙江法院共受理涉数据权益知识产权民事一审案件21件,其中2016年至2019年每年2件,2020年增幅明显,共受理8件,2021年上半年受理5件。案件类型主要集中在大型互联网平台因他人获取、使用其数据而提起诉讼。
从刑事案件来看,中国裁判文书网检索结果显示,近5年来,浙江法院审理的涉数据权益刑事案件裁判文书共708份,其中非法侵入计算机信息系统罪8份,非法获取计算机信息系统数据罪137份,破坏计算机信息系统罪87份,侵犯公民个人信息罪464份,侵犯著作权罪8份,侵犯商业秘密罪4份,侵犯知识产权罪的裁判文书仅占1.69%。
涉数据权益知识产权民事案件主要呈现出以下特点:
第一,案由主要为不正当竞争纠纷和著作权侵权纠纷。其中,浙江法院受理的相关案件案由均为不正当竞争纠纷。被诉不正当竞争行为主要表现为以下两种类型:一是数据爬取,即互联网企业利用网络数据爬虫等技术手段获取其他企业收集积累的数据资源用于自身经营;二是数据污染,如通过刷单、炒信等方式虚构交易记录、用户评价等数据,扰乱正常的市场竞争秩序。本调研报告不涉及此类纠纷。
第二,原告多为大型互联网公司。近年来典型的数据权益知识产权案例,如奇虎诉百度robots协议案、新浪微博诉脉脉案、新浪微博诉超级星饭团案、大众点评诉百度地图案、酷米客诉车来了案、淘宝诉美景案、同花顺诉灯塔案、蚂蚁金服诉朗动案,均系国内知名的大型互联网公司提起的数据权益诉讼。由此也导致案件集中在互联网行业发达地区,如浙江近5年受理的相关案件全部集中在杭州地区,受理法院包括杭州互联网法院、杭州市中级人民法院、杭州市余杭区人民法院和西湖区人民法院。
第三,案件调撤率较低,主要以判决方式结案。近5年浙江法院审结的14件数据权益知识产权案件中,判决结案10件,占比71.43%,其中判决认定构成不正当竞争的9件,胜诉率90%;调撤率仅为28.57%,远低于其他知识产权民事案件。从原告方的原因分析,大型互联网公司希望法院通过判决方式明晰竞争行为规则的意愿较为强烈;从被告方的原因分析,在法律没有明确规定数据侵权要件的情况下,被告对于其行为是否侵权缺乏预期,也希望法院以判决的方式予以明确。
// (二)数据权益知识产权司法保护存在的问题
目前,司法实践中的数据权益保护存在以下主要难点问题:
第一,数据权益归属主体错综复杂。数据权益的归属问题既关乎诉讼中原告的适格性认定,也关乎行为正当性判断时所涉及的主体范围,尤其是涉及个人信息集合的数据权益归属问题在学理上最具争议,存在公民个人权益说、网络平台权益说以及综合权益说3种观点,三者分别主张将该权益赋予公民个人、网络平台抑或其两者。数据权属问题的症结在于数据所含信息内容的复杂性,导致难以在现有的财产权法律框架内予以妥当解决。在数据新业态不断涌现的情况下,这一问题将会长期困扰司法实践。
第二,数据权益难以通过知识产权专门法获得充分保护。数据权益与知识产权专门法的客体具有相通之处,但是,仅有部分数据符合受专门法保护的要件。如从专利权保护角度而言,大部分数据缺乏授予专利所应具备的新颖性和创造性;而从著作权保护角度而言,一方面,大部分单条数据不具有作为作品的独创性,另一方面,大部分数据集合尤其是原始数据都是未经整理的非格式化信息,也不符合汇编作品的保护条件。
第三,数据抓取行为的不正当性判定标准不一。在数据不正当竞争案件中需要判断数据抓取、使用行为是否正当,但不同判决在针对个案从不同角度论述行为正当与否时,所持标准并不明晰、一致。如对于数据行业商业道德的理解,有的从促进数据流通的角度解读,有的从促进数据创新的角度理解。数据产业作为新兴产业,该领域内的相关商业规则整体上还处于探索当中,市场主体的权益边界尚不清晰,对某一行为的外部性认识还不全面,诸多新型的竞争行为是否违反公认商业道德,在市场共同体中并没有形成共识。
第四,审判协调机制不够完善。近年来,随着知识产权“三合一”审判机制的建立健全,知识产权民事、行政、刑事整体司法保护水平显著提升。但就涉数据权益案件而言,知识产权刑事案件由法院知识产权审判庭审理,而非法获取计算机信息系统数据罪等扰乱公共秩序罪仍由法院刑庭审理,知识产权“三合一”审判工作机制无法发挥其作用,知识产权刑事案件的专门审理可能因涉数据权益刑事罪名的认定不同而造成分案混乱。
二
数据权益知识产权保护的中国路径
数据权益与知识产权的调整对象相似,两者的客体均无法像实体财产一样确定权利内容和边界。两者的制度目的也相似,为数据确立相关权利或权益也不仅仅是为了保护数据主体,更是在寻求数据主体、数据处理者和社会整体利益之间的平衡。从国内外实践看,各国对数据的保护,虽然大多没有专门立法,对建立数据产权制度也有一定争议,但都高度重视数据权益的研究。在目前我国的法律框架下,适用知识产权专门法和反不正当竞争法保护数据权益是比较现实的路径和模式。
// (一)著作权法保护——汇编作品
汇编作品是指汇编若干作品、作品的片段或者不构成作品的数据或者其他材料,对其内容的选择或者编排体现独创性的作品。构成汇编作品需满足以下要件:第一,汇编的对象是作品、作品的片段或者不构成作品的数据或者其他材料。第二,对汇编对象进行了汇编活动,即对汇编对象进行了选择、整理、编排,使汇编对象以一定的方式呈现。第三,在对汇编对象的选择和编排上具有一定的独创性。对于企业收集的数据集合而言,与之最接近的作品类型就是汇编作品,运用汇编作品对数据库进行保护也是大部分涉数据著作权案件原告的选择。如在白兔诉鼎容数据库侵权案中,白兔公司利用原国家商标总局的商标公告资料建立了一个商标信息数据库。法院认为,白兔公司对公开资料中的商标信息进行提取、分类和整理,对后续变更情况进行汇总,并加入自定义的字段信息等,其对商标数据的编排和整理体现出独创性,涉案数据库构成汇编作品。
但以汇编作品保护数据权益也具有很大的局限性,尤其是对于独创性要件,很多数据集合并不具备。例如,在上证所信息网络公司诉新华富时指数公司案中,法院未认定上证所提供的实时股票行情数据库构成汇编作品。理由在于:股票行情数据库系其通过对原始交易数据选择和编排,然后经交易系统软件处理后的劳动成果,但该数据库只是运用一定的计算规则而产生的结果,运用该规则处理相同股票行情数据的结果必然具有唯一性,故该计算结果不具有独创性,并非汇编作品。
在数字经济时代,数据收集者一般不需要以某种体现独创性的方式对数据进行深加工就可以直接向用户提供数据,数据检索技术的进步使得很多信息的个性化整理、分类和编排变得不再重要。用户可以方便地在非结构化的数据集合中找到自己所需的具体信息,对于用户而言,重要的是数据本身,而非收集者本身的独创性贡献。而对于选择和编排需具有一定独创性的要求,不符合现有数据行业的实际,也无法保护数据收集者的投资积极性。在独创性的要求下,用汇编作品保护数据信息常常会陷入商业价值和可保护性的两难境地,即数据信息搜集越是全面,在内容选择和排列上就越缺乏独创性,越难受到著作权法的保护,而数据信息内容的全面性正是其商业价值之所在。因此,数据收集者希望数据权益保护的是其对数据收集的巨大投入,这从近年来大多案件原告系从反不正当竞争法角度主张权益保护、而非主张汇编作品保护的司法实践中也可以得到证实。
// (二)商业秘密保护
商业秘密相关条款本属于反不正当竞争法范畴,但在数据权益司法保护问题上,二者在行为正当性认定方法层面存在巨大差异,故笔者将此作为单独的保护路径予以论述。
商业秘密是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。通过商业秘密条款保护数据权益的前提要件是:数据不为其所属领域的相关人员普遍知悉和容易获得、采取了合理的保密措施以及能为权利人带来竞争优势。在嗨狗公司诉汪某侵害商业秘密纠纷案中,法院认为,原告主张的后台中奖实时数据和通过中奖数据得出的中奖概率信息符合商业秘密要件,被告通过查询后台数据并推算中奖概率,关联多项账号,择机打赏以获得平台高额奖金,侵害了原告的商业秘密,损害了平台的经营秩序和竞争优势。
由于商业秘密需要符合秘密性、保密性和价值性3个要件,而大量数据系公开或者半公开信息,不符合秘密性要件,无法被作为商业秘密受到保护,因此适用商业秘密条款保护数据权益同样具有很大的局限性。数据保护不能完全适用商业秘密条款的深层次原因在于二者立法目的的差异:数据保护立法强调的是数据的流通和利用,因此数据往往处于公开或半公开状态;而商业秘密试图保护信息的独家占有和垄断,以形成信息不对称的竞争优势,要求商业信息处于完全封闭的状态。信息所处状态的不一致决定了二者适用规则的不匹配,故而商业秘密条款在数据权益保护实践中并不具备很大的适用空间。
// (三)反不正当竞争法一般条款的保护
在数据权益领域适用一般条款时,需要充分衡量竞争与创新、竞争与效率、竞争与共享这些价值取向间的关系。如何以合理的制度规则促进有效率的数据竞争,需要在法律与经济两个维度之间找到准确的坐标点。对于法官而言,寻找这样的坐标点需要在不正当竞争法的分析框架下进行,从一般条款的适用要件入手,综合分析数据类型、对数据持有方的损害程度、获取和使用方式是否违背商业道德以及个人信息保护等因素,判断竞争秩序是否受到损害、被诉行为是否构成不正当竞争。
1.原告数据权益的合法性及受保护程度
(1)判断原告权益的合法性
在数据涉及个人信息的情况下,企业在收集此类信息时应当遵循法律法规对个人信息的特有保护规定,因此在个案中,被告很可能对原告是否享有合法数据权益提出质疑。例如,在淘宝诉美景案中,被告认为淘宝未经商户和消费者同意,以营利为目的,私自抓取、采集和出售商户和消费者享有财产权的相关信息,侵犯了商户的经营秘密和用户的财产权、个人隐私,具有违法性。此时,法院有必要对原告主张的权益是否合法进行审查。如果原告实质性地违反了个人信息保护或其他法律的相关规定,根据“不洁之手原则”,就不能因此享有受法律保护的竞争性权益。
(2)判断数据权益应受保护的程度
首先,从数据的可及性来说,可以将数据分为公开数据、部分公开的数据、完全公开的数据。非公开的数据很可能落入商业秘密的范畴,给予这类数据强保护,一般不会与互联网领域所强调的信息互联互通原则发生冲突,不当获取这些数据,不仅损害到数据的竞争性权益,而且使数据安全中的保密性法益遭到了损害。部分公开的数据是指仅为部分公众所见的数据,例如需要通过购买或者达到一定权限才能获得的数据,不当获取此类数据,也会对数据持有方的经济利益造成较大损害。完全公开的数据是指所有公众均可获得的数据,与前两类数据相比,此类数据权益的可保护性最弱。
从数据加工的程度来说,可以分为原始数据与衍生数据。对于衍生数据的抓取使用行为,法院更易因数据持有方的巨大投入而判定获取者不正当竞争成立。如淘宝诉美景案中,法院认为美景公司通过向他人提供登陆淘宝公司“生意参谋”账号的方式抓取该软件中的相关数据信息,侵害了淘宝公司对衍生数据享有的相关权益。
2.被诉行为系竞争行为
在反不正当竞争法已发生利益保护多元和公共利益(竞争序秩序)保护优位的重大变革之背景下,权利侵害式保护和相对竞争的损害已非现代反不正当竞争法规制的应有思路,新的证成起点应当是竞争行为而非竞争关系。数据竞争不正当行为的证成,同样应从竞争关系向竞争行为的起点转变。从反不正当竞争法的规制对象看,是通过对竞争行为的规制实现对竞争机制和竞争秩序的维护,因此本身并未预设竞争关系的限制,判断一项行为是否构成不正当竞争,并不以原、被告之间具有竞争关系为必要,而应根据被告的竞争行为是否违反竞争原则或者其他具体法律标准进行认定。当然,笔者并非认为分析竞争关系毫无意义,竞争关系是判断原告是否因不正当竞争行为遭受损失以及损失程度的重要考量因素。
3.被诉行为对原告造成了实质损害
数据权益受到损害,可以体现为不同的表现形态。如上所述,竞争关系是帮助简化损害判断的一个信息中介。首先,当竞争关系非常直接时,我们不需要进一步特别仔细地去确定原告的损害是什么,在责任成立阶段就比较容易推定原告受到了损害。在数据权益领域,十分典型且严重的损害形态是被告的产品或服务对原告的产品或服务产生了实质性替代。例如在同花顺诉灯塔案中,双方提供的都是具有互动功能的互联网股票信息咨询平台,灯塔公司将同花顺公司用户对股票的评论信息照搬发布在自己的网站上,形成了对后者的实质性替代。其次,如果原告和被告的业务范围领域和模式相差很远,直接的损害并不是特别明显,那么在责任成立阶段可能还需要更加仔细地去判断是不是真的存在损害。例如被告获取并使用原告数据后产出的是完全异质化的产品和服务,或者被告使用原告数据的体量不大,尚未产生实质性替代的损害后果,此时需要从不当获取他人竞争资源、导致他人竞争优势丧失的角度,审查是否对原告造成了实质损害。最后,还有一种常见的损害形态,是被告的过度抓取导致原告网站负担过重甚至无法进行正常经营活动。早在2019年发布的《数据安全管理办法》(征求意见稿)中,曾明确自动化访问收集流量超过网站日均流量1/3属于严重影响网站运行的情形。如果确实存在过度抓取的情况,由于符合妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的要件,因此可以适用反不正当竞争法第十二条第二款第(四)项(即互联网专条兜底条款)予以规制。
由此可见,在个案中,要论证原告受损并不困难,但需要注意的是,在反不正当竞争法保护中,法益受损害问题往往不是一个重要和突出的问题。这是因为,竞争本身就是以损害他人利益为常态,但损害的法益是中性的,即仅损害本身尚不足以作构成违法或者不正当行为的推定。在适用反不正当竞争法一般条款时,即使原告的数据权益因被告的竞争行为受到不利影响,尤其是上述第二种损害形态,被诉行为是否违法也仍处于悬而未决的状态,法院还需要结合具体案情进一步分析该行为是否正当,才能最终认定是否构成不正当竞争。
4.被诉行为具有不正当性
(1)以损害竞争秩序作为最根本的判断标准
行为是否符合商业道德,一直是司法实践中认定竞争行为正当与否的重要标准,很多数据权益类案件的判决都是从是否符合商业道德的角度来进行论证说理。但是,在一些新兴的或快速迭代更新的网络领域,行业秩序尚未成形,并不存在已被广泛认可的商业道德,此时只能由法官来创设和定义所谓的商业道德。那么对于法官而言,又应当依据何种标准进行创设呢?保障竞争机制正常有效运行是反不正当竞争法的首要目的,从反不正当竞争法的立法目的出发,最根本的不正当性判断标准在于被诉行为是否有损竞争机制或者竞争秩序,是否产生了扭曲竞争的后果。
被诉行为对竞争机制的影响较为抽象,但是一旦竞争机制受到损害,竞争机制内相关主体的利益必然也会受到影响,所以,分析被诉行为对经营者利益、消费者利益以及社会公共利益的影响,成为一种更具象化的评价方法。这种利益衡量的论证思路也已经体现在多个数据权益类案件中。例如在大众点评诉百度地图案中,法院认为,对于擅自使用他人收集信息的行为是否违反公认商业道德的判断上,一方面,需要考虑产业发展和互联网环境所具有的信息共享、互联互通的特点,另一方面,要兼顾信息获取者、信息使用者和社会公众三方的利益,既要考虑信息获取者的财产投入,又要考虑信息使用者自由竞争的权利,以及公众自由获取信息的利益,在利益平衡的基础上划定行为的边界。在此基础上,法院认为被诉行为虽然在商业模式上进行了一定程度的创新,但仍然会产生替代性后果,而且百度本可以以对大众点评损害更小的方式达到其创新目的,却未采取,因此,其使用方式已超过必要的限度,构成不正当竞争。
当然,不管是从商业道德角度,还是用利益衡量的方法来判断行为的正当性,两种分析方法之间并不冲突,可以综合运用、相互修正,增强说服力。在数据权益领域,还可以在总结典型案例的基础上,细化不正当性的考虑因素,对案件进行类型化总结,以统一裁判标准,为市场主体提供稳定的行为预期。
(2)数据获取行为及其限制措施
数据不正当竞争行为可以分为两大类:数据获取行为和数据使用行为。虽然两者之间存在紧密关联,但在认定其不正当性时所考量的因素并不完全相同。
在评价数据获取行为的正当性时,离不开对具体获取方式的分析。从当前数据自动化、规模化获取的技术途径看,主要有网络爬虫和Open-API接口两大类。从针对获取数据行为所采取的限制措施来看,可以分为以下几种情形:
第一,破坏技术措施。拥有大量数据资源的平台往往会采用一些技术措施防止他人获取自身数据,但是这些技术措施的强度和有效性不同,破坏不同技术措施的不正当性程度也不相同。例如,通过破坏用户身份认证系统,比如“账号+密码”、数字签名、指纹识别等保护措施获取他人数据,通常会被认为具有很强的不正当性,甚至很可能进入刑法规制的领域,因为“借助用户身份认证系统,网站主体可以在互联网中划分出明确的两个区域,开放空间和非开放空间” 。而破坏这种技术保护措施,不仅涉及数据财产性权益的减损,而且直接对计算机系统安全和数据安全造成了损害。在女装网诉中服网案中,被告通过撞库方式破解原告女装网付费会员的账户、密码后,登录该网站获取涉案经销商数据库信息为己所用,显然违背了公认的社会道德,构成不正当竞争行为。
除了上述技术措施以外,在数据权益类案件中更为常见的是反爬虫技术,比如通过检测UA来控制访问、限制IP及访问次数、设置验证码或滑动条等。对于数据持有方而言,投入多少成本、设置何种强度的反爬虫措施,系其根据自身经营情况和公开意愿作出的选择。数据持有方通过技术措施对数据抓取行为作出限制,体现了其积极保护自身权益的诉求和努力,也体现了私法自治和自决权的珍贵价值,因此破解、规避、绕开反爬虫技术的限制抓取数据,是评价竞争行为是否具有不正当性的重要因素。
第二,违反双方约定。例如在新浪微博诉脉脉案中,在双方合作期间,被告确实是通过原告提供的Open-API接口获取数据,但是根据开发者协议及法院查明的相关事实,被告仅有读取用户头像、昵称等信息的普通接口权限,在未经特别申请并取得授权的情况下,其无权获取用户的职业、教育信息,而被告却无视开发者协议的具体内容直接对此类信息进行了获取,并且这种获取也没有经过用户的同意,这一事实成为法院认定其行为不正当性的重要理由。
需要注意的是,反不正当竞争法的使命在于规制不正当的竞争行为,而不是保障合同条款的实施,因此必须站在市场竞争是否受到扭曲这一层面上来考虑问题。虽然违反合同约定是缺乏诚信的一种表现,可以作为判断竞争行为不正当性的一个因素,但还不是证成竞争机制受到损害的充分条件。在守约方能够通过合同条款获得充分救济的情况下,仅仅是违反合同条款并不足以将一个商业行为评估为不正当竞争,有时违约反而在经济上更有效率;况且面对持有海量数据资源的一方,中小企业在签订开发者协议时并不具备谈判能力,协议内容多为格式条款。
第三,违反Robots协议。遵守Robots协议能够大大降低数据提供者和数据获取者之间的沟通成本,促进社会总福利的提升,但是,Robots协议作为数据提供者单方意愿的体现,与整体公平竞争秩序的构建未必相符,在有的情况下会被企业用来作为不合理限制竞争对手发展的手段。奇虎诉百度案就是因为百度对robots协议的歧视性设置方式导致360搜索引擎无法抓取其相关网页内容所引起的纠纷,法院认为,robots协议的初衷是为了指引搜索引擎的网络机器人更有效地抓取对网络用户有用的信息,从而更好地促进信息共享,而不应将robots协议作为限制信息流通的工具。百度在缺乏合理、正当理由的情况下,以对网络搜索引擎经营主体区别对待的方式,限制奇虎抓取其相关网站网页内容,影响该通用搜索引擎的正常运行,构成不正当竞争。
正因为设置Robots协议本身不必然具有合理性,因此在判断被诉行为是否因违反Robots协议而具有不正当性时,法院有必要对个案中Robots协议的合理性进行检视。从举证责任来看,违反Robots协议可以初步被认定为违反商业道德,因为就一般情况而言,Robots协议作为能够有效降低网络交互成本的计算机语言,应当得到广泛遵守才能发挥其应有的效用。但是在特殊情况下,确实也存在Robots协议不当设置的情况,此时被告可以提出抗辩并提供相关证据予以证明。
总体而言,数据持有方的上述3种限制措施在保护和对外宣誓自身数据权益的强度上依次递减,突破上述限制措施而实施抓取行为的不当程度也依次递减。如果数据是通过破坏、规避技术措施而获取,尤其是当这种获取方式已经构成非法获取计算机系统数据罪中的非法侵入或与之程度相当的其他技术手段,从逻辑上讲,就应当认定该数据获取行为构成不正当竞争;如果数据是通过突破后两种限制措施获取,虽然构成不正当竞争的可能性较大,但恐怕还不能仅仅据此就作出定论,还需要结合数据类型、被告后续如何使用以及对当事人或消费者和公共利益造成的影响等其他因素,来判断最终是否构成不正当竞争行为。
(3)数据使用行为与数据获取行为的关系
数据抓取和数据利用是一个密不可分的过程:数据利用是数据抓取的目的和结果,数据抓取是数据利用的先决条件。尽管如此,两者却不能完全混为一谈。
当前存在争议的一个问题是:如果被告在获取数据时既未破坏技术措施,也未违反相关约定或Robots协议,即其获取数据行为本身并没有不正当性,在这种情况下,后续的数据使用行为是否就是正当的?数据持有方未设置技术措施或者Robots协议限制他人获取数据,并不意味着就默许他人可以随意使用该数据。因为数据在被获取之后有多种多样的用途,有可能会损害数据持有方的利益,有可能根本不对其产生影响,也有可能达到双方共赢的效果。作为数据持有方,对数据在被他人获取后的使用方式和结果根本无法预测,也不应要求其在事前就武断地采取限制他人获取的措施。如果认为数据持有方不设置限制措施就是允许他人随意使用,那么数据持有方必然会因为担心数据被滥用而广泛设置限制措施,这样反而不利于数据的自由流通共享。
因此,即使数据获取行为未突破数据持有人的限制措施,法院还是应当继续对数据使用行为的正当性进行判断。目前最需要关注的因素是该使用行为是对他人数据的照搬照抄,还是在他人数据基础上的创新。若是前者,往往会产生替代性后果,进而被认定为不正当竞争;若是后者,就需要综合被告使用行为的创新程度、对原告利益的影响及其在促进社会福利提升方面的贡献,以及是否有更好的替代方案等因素,来判断被诉行为的竞争后果。
(4)对个人信息保护的关切
个人信息保护法律制度直接设立的数字经济中最重要的个人数据收集、流转与处理规则,对于划定数字经济中市场经营行为边界的竞争法律制度而言,具有基础性的作用。从价值序列来看,个人信息权益和隐私权属于人身权益,其价值也显然高于数据的财产性权益。违反个人信息保护法、数据安全法等法律规定获取和使用数据的行为,既违反诚信原则,亦有损公共利益。因为即使被违反的法律本身不追求直接与竞争相关的目标,防止为推进竞争而忽略重要的公共利益也是一般条款的目标。新浪微博诉脉脉案就是典型的未经用户授权抓取、使用个人信息数据的案件,法院进而提出了在Open API开发合作模式中,第三方通过Open API获取用户信息时应坚持“用户授权+平台授权+用户授权”的三重授权原则。当然,笔者对于是否适用三重授权原则以无差别地规制各类数据的抓取、使用行为仍存有疑问,限于篇幅,此处不再展开。
5.不正当竞争行为判断的谱系化和类型化
上述具体的考量因素中,包含了对多组不同价值取向的衡量,数据流通的价值、对数据开发行为的激励、对创新的保护,以及系统和数据安全、个人信息保护,最终落脚于维护竞争秩序、提升社会总福利。为了增强判断的可预期性,可以按照上述考量因素的强弱程度,对数据竞争行为不正当性的强弱进行谱系化排序,并进行类型化总结。
首先,不正当性最强一端的数据竞争行为包括:(1)原告主张的数据类型为非公开数据或者衍生数据;(2)产生的损害后果是导致原告网站瘫痪无法经营,或者产生实质性替代原告产品或服务的后果;(3)就被诉数据获取行为而言,系以破坏技术措施的方式进行获取;(4)就被诉数据使用行为而言,未进行任何使用创新,直接照搬照用他人数据;(5)获取或使用行为违反个人信息保护相关法律规定。符合上述全部情形的,必然构成不正当竞争行为,即使仅符合其中一项,也极容易构成不正当竞争行为。
其次,不正当性最弱一端的数据竞争行为包括:(1)原告主张的数据为公开数据;(2)对原告竞争利益虽有一定程度的影响,但未妨碍其自身经营的正常开展,也未产生替代性后果;(3)原告未对数据采取限制抓取的措施;(4)被诉数据使用行为具有创新性,产生了新的数据产品或服务,有利于提升社会福利;(5)获取或使用行为符合个人信息保护相关法律规定。符合上述全部情形的,应认定行为具有正当性。
最后,如果不具有第一大类所列情形,但具有第二大类所列部分情形的,就需要在具体考虑因素中所涉及的不同价值取向之间进行利益衡量。例如原告主张的数据为公开数据,原告也未设置限制抓取的措施,此时就需要考虑被告使用行为是否具有创新价值,是否对原告数据产生了替代性后果。如果被告提供的是具有创新性的数据产品或服务,不会对原告数据产生实质替代后果,那么即使原告经济利益因此遭受损失,也不应认定为不正当竞争行为。
// (四)刑事保护
涉数据知识产权刑事案件主要集中在侵犯著作权罪和侵犯商业秘密罪,在此不再赘述。以数为保护对象的罪名主要还包括非法获取计算机信息系统数据罪和破坏计算机信息系统罪。前者制裁的是非法获取数据的行为,即获取型数据犯罪,后者制裁的是删除、修改、增加数据的行为,即破坏型数据犯罪,两者构成狭义的刑法数据权益保护体系。
1.非法获取计算机信息系统数据罪
刑法第二百八十五条第二款规定,违反国家规定,侵入前款规定(即国家事务、国防建设、尖端科学技术领域)以外的计算机信息系统,或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处3年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处3年以上7年以下有期徒刑,并处罚金。其中,获取该计算机信息系统中存储、处理或者传输的数据情况构成非法获取计算机信息系统数据罪。对行为要件获取的界定主要围绕数据保密性需求以及获取手段的非法性展开。数据保密性需求通常要求权利人主观上对数据具有保密的意思,客观上对数据采取一定的安全控制手段。比如,在北京市海淀区人民法院审理的全国首起爬虫获取数据案中,被告人张某等利用技术手段破解被害单位的防抓取措施,使用软件绕过服务器的身份校验和访问频率限制,并抓取被害单位服务器中存储的视频数据,造成被害单位损失技术服务费2万元。法院认定被告人违反国家规定,采用突破或规避被害单位反爬虫安防措施的技术手段获取非公开信息,构成非法获取计算机信息系统数据罪。而在张某等非法获取计算机信息系统数据罪案中,虽然涉案地理信息数据并不处于绝对保密状态,而是向特定的付费主体公开,但法院认为,被告人在未经被害单位许可的情形下,利用编写的计算机程序,避开被害单位安全技术措施获取并转发地理信息数据牟利,应当认定为采用其他技术手段非法获取数据,且情节严重,构成非法获取计算机信息系统数据罪。
2.破坏计算机信息系统罪
刑法第二百八十六条第二款规定,违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,构成破坏计算机信息系统罪。司法实践中,对删除、修改、增加的解释认定主要围绕数据完整性、可用性需求展开,对于未侵犯数据完整性、可用性的删除、修改、增加行为,一般不认定构成破坏型数据犯罪。需要注意的是,以删除、修改、增加数据的方式构成破坏计算机信息系统罪,并不要求行为影响计算机信息系统正常运行。比如,在湖北省黄冈市罗田县人民法院判决的一起刑事案件中,被告人林某利用斗鱼账号注册机软件程序突破平台基于真实身份认证及拖动拼图验证的安全防护措施,实现在无人工操作的情况下自动批量注册斗鱼账号,被告人的行为虽未影响斗鱼直播平台的正常运行,但增加了斗鱼存储信息系统中的用户数据,对斗鱼用户数据的真实性和完整性造成了破坏,因而法院判定其构成破坏计算机信息系统罪。
3.现行刑法规范保护数据权益的问题与局限
目前我国刑法涉及数据权益保护的两项主要罪名在体系上隶属于计算机犯罪范畴,构成要件解释始终受制于计算机犯罪,导致数据犯罪保护法益及其规范体系被传统计算机犯罪体系所遮蔽,独立性欠缺。首先,对数据的认定受制于计算机信息系统中储存、处理、传输的数据之构成要件,致使司法实践中围绕是否构成计算机信息系统的讨论挤压了对数据的实体判断;其次,对数据的侵害和对计算机信息系统的侵害难以区分,导致数据犯罪与其他计算机犯罪罪名选择、行为定性有争议;最后,对后果要件的判断受制于计算机信息系统功能是否受到损害,对数据本体受到侵害的情形保护不足。
在入罪标准方面,现有的数额标准与物数标准弱化了后果、情节等与数据安全法益的关联性。事实上,数据犯罪的语境下,恰恰是非法获取或破坏的数据数量、数据类型及数据性质等决定了数据犯罪责任的轻重,因此,数据犯罪的数量标准与情节标准亟待补齐。
此外,由于规范体系的独立性缺乏以及保护法益的不明晰,数据犯罪与利用计算机实施的传统犯罪、侵犯公民个人信息罪、侵犯知识产权犯罪以及其他计算机犯罪之间存在广泛的适用争议。
三
立法建议
// (一)完善反不正当竞争法及相关司法解释
进一步完善互联网专条及原则性条款的司法解释。尽管反不正当竞争法第十二条以类型化方式对互联网不正当竞争行为进行了概括,且以兜底条款留出了列举情形之外的适用空间,但事实上,列举的3种行为已经无法囊括当前复杂多样的互联网不正当竞争类型,特别是涉及数据权益的不正当竞争行为,该条并未涉及。因此,应当明确该条兜底条款的总体判定思路及其他妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的具体适用情形,在已有判例的基础上提炼出适用该条的不正当竞争行为类型。就数据类竞争行为而言,可以将经营者擅自抓取其他经营者持有的数据,导致其服务器过载,无法正常经营的情形纳入第十二条兜底条款中。此外,还可以将以下几种不正当竞争行为作类型化规定:(1)破坏其他经营者设置的技术保护措施,获取、使用其他经营者依法收集的非公开数据;(2)擅自获取、使用其他经营者依法收集的数据,对其他经营者提供的相关产品或者服务构成实质性替代的;(3)违反个人信息保护法的相关规定,未经用户和其他经营者的许可,擅自获取、使用其他经营者依法收集的个人数据。另外,还应当确立一般条款适用的谦抑原则,明确该条的适用场景、具体判断范式以及如何进行三元利益衡量,避免过度适用反不正当竞争法第二条,不当干预市场竞争。
// (二)完善著作权法的合理使用制度
著作权法的合理使用制度与获取和使用数据的合法性存在密切关联,特别是在人工智能场景中,由机器对输入的海量数据进行自我学习,进而模拟人类实施创作等行为时,此种数据获取和使用行为是否侵权,关系到人工智能产业的健康发展。欧盟和日本的立法都已关注到人工智能产业挖掘数据的特性,并调整了合理使用制度的限制。如欧盟数字单一市场版权指令第3条规定了为科学研究目的的文本和数据挖掘例外,第4条规定了一般情形下的文本和数据挖掘例外。在我国修订后的著作权法已经对于合理使用增设了兜底条款的情况下,笔者建议,在著作权法实施条例修订过程中引入数据挖掘的合理使用制度,以促进数字经济环境下人工智能产业等发展过程中对海量数据的挖掘与利用。判断是否构成合理使用的重点在于人工智能生成的内容或数据挖掘的结果是否影响了作品的正常使用、是否不合理地损害了著作权人的合法利益,通过侧重行为整体效果以判断是否构成合理使用,更契合著作权法的制度追求,即在维护权利人激励与保障行为人自由之间划定适当的界限。
// (三)适时出台专门立法强化数据规制
目前,我国立法对数据的相关规定散见于知识产权专门法、反不正当竞争法,以及个人信息保护法、数据安全法等法律,各地也纷纷制订数据条例等地方性法规进行规制。在立法层面,笔者建议加强对数据产权或数据权益制度的研究,整合相关法律法规。总体而言,笔者建议走司法先行、行政跟进、立法总结的路径,通过总结司法经验和行政规制经验,进行数据立法,制定数据产权或数据权益的专门法律。笔者认为,“数据权益”应该是一个集合性的概念,是一项正在发展中的权利,应当参考民法典对知识产权的定义方式,规定一个相对开放的定义,防止对数据权益的发展造成不必要的限制。在进行立法时,要考虑如何对数据进行分类、如何对数据权益进行分类,也要考虑围绕数据权益有哪些行为类型需要规制、如何规制。同时,充分利用现有知识产权民事、行政、刑事“三合一”审判机制,在知识产权法律制度框架下,寻求民事、行政和刑事这3种保护路径的协调衔接。