数据保护的三重进路
——评新浪微博诉脉脉不正当竞争案
2017-12-07许可
许 可
(中国人民大学 法学院,北京 100082)
数据保护的三重进路
——评新浪微博诉脉脉不正当竞争案
许 可
(中国人民大学 法学院,北京 100082)
尽管《中华人民共和国民法总则》已将“数据”纳入“民事权利”一章,但其法律定位和保护方式远未明确。中国数据不正当竞争第一案——新浪微博诉脉脉不正当竞争案展示出两造及法院对于用户数据的不同理解。在商业秘密、反不正当竞争法一般条款和数据财产化的三重数据保护进路中,数据权的设计不但能为数据提供最佳保障,而且通过与个人信息权的折冲与调和,最终促成一套可预期性和灵活性兼备的数据保护制度。
商业秘密;个人信息;数据权;反不正当法;一般条款
刚刚颁布的《中华人民共和国民法总则》(下称《民法总则》)首次将“个人信息”“数据”和“网络虚拟财产”纳入其中,希冀以此回应网络时代的挑战。但令人遗憾的是,受制于广泛的争议,法律并没有明确数据的法律定位及其保护方式。*《民法总则》第127条规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”正是在这样的背景下,2016年末宣判的中国数据不正当竞争第一案——新浪微博诉脉脉不正当竞争案(下称“脉脉案”)才显得饶有趣味。*参见《北京知识产权法院民事判决书(2016)京73民终588号》。与立法者不同,司法者负有不得拒绝裁判的义务,必须直面任何疑难问题。立法的保守和司法的创新,使得“脉脉案”足以成为促进法律发长的良机。有鉴于此,本文试图通过对基本案情、当事人主张和法院论述的梳理,发现潜藏的脉络,并探索我国数据保护的可能路径。
一、“脉脉案”回顾
(一)双方的经营及合作
新浪微博是中国重要的社交媒体平台,截至2013年12月,微博的月活跃用户数达到1.291亿,平均日活跃用户数达到6 140万。用户使用手机号或电子邮箱注册新浪微博账号,需要验证手机号,用户可以选择手机号向不特定人群公开,用户头像、名称(昵称)、性别、个人简介向所有人公开。用户可以设置其他个人信息公开的范围,职业信息、教育信息默认向所有人公开,互为好友的新浪微博用户能看到对方的职业信息、教育信息。北京微梦创科网络技术有限公司(下称“微梦公司”)是新浪微博的经营人。脉脉软件和网站是一款基于移动端的人脉社交应用,具有职场动态分享、人脉管理、人脉招聘、匿名职场八卦等功能。截至2013年12月,累计有400亿条人脉关系,2亿张个人名片,80万职场圈子。北京淘友天下技术有限公司、北京淘友天下科技发展有限公司(合称“淘友公司”)是脉脉软件及网站的共同经营人。
根据新浪微博开放平台的《开发者协议》,微梦公司和淘友公司通过微博平台Open API进行合作。Open API,即开放应用编程接口,是服务型网站常见的一种应用。简言之,网站的服务商将自己的网站服务封装成一系列API开放出去,供第三方开发者使用。作为互联网新的应用开发模式,Open API能够更好地发挥数据资源价值,实现开放平台方和第三方应用方之间的合作共赢。Open API的权限由微梦公司通过技术手段来控制,淘友公司必须在满足相应权限的前提下才能访问相关资源。
(二)用户的登录及使用
基于新浪微博和脉脉的合作,用户可以使用手机号和新浪微博账号注册脉脉。在注册时,用户需要上传个人手机通讯录联系人。在如此操作后,用户可以查看由脉脉自动生成的一度人脉和二度人脉。其中,一度人脉来自脉脉用户的手机通讯录联系人、新浪微博好友以及留存该用户手机号码的任何人。二度人脉来自一度人脉用户的手机通讯录联系人和新浪微博好友。在一度人脉和二度人脉中,尽管相关联系人或好友并未注册成脉脉用户,但通过关联关系,其在新浪微博上的头像、名称、工作单位等信息均可向相关注册用户显示。
(三)关于数据的特别约定
在用户注册新浪微博账号时,微梦公司与微博用户达成的《微博服务使用协议》第6.2条约定:“保护用户隐私和其他个人信息是微梦公司的一项基本政策,微梦公司保证不会将单个用户的注册资料及用户在使用微博服务时存储在微梦公司的非公开内容用于任何非法的用途,且保证将单个用户的注册资料进行商业上的利用时应事先获得用户的同意,但下列情况除外:……6.2.4用户自行在网络上公开的信息或其他已合法公开的个人信息。”此外,《微博个人信息保护政策》载明:“未经您本人允许,微博不会向任何第三方披露您的个人信息,下列情形除外:1)微博已经取得您或您监护人的授权;……4)根据您与微博相关服务条款、应用许可使用协议的约定。”据此,对于用户公开的个人信息,微梦公司在商业使用并向第三方披露时,无需征得用户另行同意。
针对新浪微博的数据使用问题,《开发者协议》专门作出约定。第1.6条约定:“用户数据指用户通过微博平台提交的或因用户访问微博平台而生成的数据。用户数据是微博的商业秘密。”第2.5.1条约定:“开发者应用或服务需要收集用户数据的,必须事先获得用户的同意,仅应当收集为应用程序运行及功能实现目的而必要的用户数据和用户在授权网站或开发者应用生成的数据或信息。开发者应当告知用户相关数据收集的目的、范围及使用方式,以保障用户的知情权。”第2.5.5条约定:“未经用户同意,开发者不得收集用户的隐私信息数据及其他微梦公司认为属于敏感信息范畴的数据,开发者不得收集或要求用户提供任何微博账号、密码,开发者不得收集或要求用户提供用户关系链、好友列表数据等。”第2.5.15条约定:“一旦开发者停止使用开放平台或微梦公司基于任何原因终止对开发者在微博开放平台的服务,开发者必须立即删除全部从微博开放平台中获得的数据。”
(四)纠纷的产生及判决
2014年8月,微梦公司发现淘友公司在新浪微博开设的“脉脉”和“淘友网”两个账号在7月、8月数据调用异常,分别达到月1.6万和9千左右,远高于平常调用量。微梦公司进一步发现,淘友公司在其开放授权的微博客户头像、名称、标签之外,还抓取、使用了教育信息和职业信息。微梦公司因而停止了与淘友公司的合作。然而,在合作终止后,淘友公司并未及时删除双方合作期间获取的新浪微博用户信息。不仅如此,在脉脉软件中出现如下声明:“各位脉脉的用户:我们最近接到新浪微博的通知,要求将脉脉用户的资料和关系导出给微博投资的某招聘产品使用,否则关闭微博登录权限。面对某友商的胁迫,我们决定:为保护每一个用户的隐私,放弃使用微博接入,只使用手机号登录脉脉,对给您造成的不便深表歉意。”
出于上述情况,微梦公司向北京市海淀区人民法院提起诉讼,主张淘友公司实施了如下四项不正当竞争行为:一是非法抓取、使用新浪微博的用户信息;二是非法获取并使用脉脉用户手机通讯录联系人与新浪微博用户的对应关系;三是模仿新浪微博加V认证机制及展现方式;四是发表网络言论对其构成商业诋毁。经审理,海淀法院作出的一审判决,判令淘友公司停止涉案不正当竞争行为,同时在脉脉网站及其首页连续48小时刊登声明,为微梦公司消除影响;赔偿微梦公司经济损失200万元及合理费用208 998元。淘友公司不服一审判决,向北京知识产权法院提起上诉,2016年12月30日,二审法院终审判决:驳回上诉,维持原判。
(五)主要争议点
正如二审法院在判决书中再三强调的,在数据资源日益成为重要生产要素和社会财富的背景下,如何从法律层面上保护数据是本案的关键所在。但与企业的业务数据不同,本案的数据源于个人信息。“用户数据”一词鲜明地反映了个人与企业、信息与数据的复杂纠葛。如何在法律层面上厘清个人信息和企业数据之间的关系,不仅直接影响本案的妥当处理,更关系到如何在《民法总则》《网络安全法》《反不正当竞争法》《消费者权益保护法》框架下建构个人信息和数据的法律保障体系,其意义可谓重大。
二、商业秘密:法益保护的路径
在起诉书中,微梦公司以用户数据系商业秘密为由,主张淘友公司对用户数据的抓取和使用侵犯了其商业秘密,理应承担责任。然而,除一审法院在事实描述时对此有所提及外,两级法院就淘友公司是否构成《反不正当竞争法》第10条项下“侵犯商业秘密的不正当竞争行为”均未置可否,而是大费周章地回到《反不正当竞争法》第2条“一般条款”加以论述。其背后的理由何在?或许可从如下几方面逐一探讨。
(一)用户数据是否符合商业秘密的法定条件
并非所有的技术信息和经营信息都能作为商业秘密,只有符合法定条件的企业信息才能获得保护。依据《反不正当竞争法》,该等条件系“不为公众所知悉、能为权利人带来经济利益、具有实用性并经权利人采取保密措施”。
第一,用户数据是否为公众所知悉?顾名思义,“秘密性”是商业秘密的首要属性。根据WIPO国际局在《关于反不正当竞争保护的示范性规定注释》,这里的“秘密性”是指“不为通常涉及该信息的同行业者所普遍了解或容易获得”。这包含双重含义:一是不为相关技术或经营领域内的人员普遍知悉;二是同行业者如欲获得相关信息,必须付出创造性劳动,而非轻易搜集。在此意义上,用户数据并不欠缺秘密性。
尽管单个新浪微博用户的信息可能是公共信息,但对于数量众多的用户信息汇聚的结果,绝非其他互联网企业所能知悉,或者如淘友公司所言,即便可得知悉,也必须通过复杂的“协同过滤算法”才可获得。更重要的是,世界上很少有新的东西,绝大部分都是旧东西的新组合而已。因此,无论其来源是否发端于公开信息,只要相关信息的搜集、加工、筛选和组合的结构本身是无法轻易获得的,即具有未公开性。*Harvey Barnett Inc. v. Shidler,338 F. 3d 1125(10th Cir. 2003).例如在青年旅行社诉中国旅行社商业秘密纠纷案中,青年旅行社有关客户的单位名称、地址、电话和联系人都可以从公开渠道查询到,但这些客户作为一个有机组合和精确配置的整体,则并未为同行周知,该客户名单并不丧失秘密性。
第二,用户数据是否具有经济利益和实用性?根据最高人民法院《关于审理不正当竞争民事案件应用法律若干问题的解释》(以下简称《解释》),商业秘密必须具有现实的或者潜在的商业价值,能为权利人带来竞争优势,这又被称为商业秘密的“价值要件”。
在信息时代,大数据技术的发展激发了商业模式创新,不断催生新业态,已成为互联网等新兴领域提升企业核心价值的重要驱动力。一方面,就用户数据而言,其规模及质量反映了网络平台用户的活跃度,影响到互联网企业的吸引力。掌握的用户数据越多,越有可能拥有更大的用户规模,显然,只有维持已有用户并不断吸引新用户,才能推进企业经营发展。另一方面,用户数据是网络经营者分析整理用户需求,开发特色产品和服务,提升用户体验的重要来源。故而,用户数据不但是新浪微博的竞争力,也是其生产力,当然具有非凡价值。
第三,微梦公司是否对用户数据采取保密措施?商业秘密因特定信息的出现而自动生成,企业必须以独特的方式表明对商业秘密的占有、支配和控制,这就是商业秘密的“合理保护措施”要求,或者说“外观要件”。[1]所谓“合理”,意思是在综合考量所涉信息的商业价值、载体特性、保密意愿、保密措施的可识别程度、他人通过正当方式获得的难易程度等因素后,达到足以防止信息泄露的程度。作为一个不确定概念,合理措施无法一概而论,只能个案认定。为避免实践中认定过于严苛,《解释》第11条对可以认为是合理保密措施的具体情形进行了列举。
就用户数据而言,必须区分单个微博用户的数据和众多用户的数据集合,前者在新浪微博系统内的公开,并不意味着后者的普遍公开,因为只有汇聚大量信息的数据,才是具有经济价值的商业秘密。从此出发,微梦公司对用户数据的保护措施可分为三个层面:其一,微梦公司在与淘友公司达成的《开发者协议》中已经申明用户数据属于商业秘密,并有权要求其遵守用户数据的管理规则,有权限制或阻止其获取用户数据。《开发者协议》第2.5.6条明确约定:“开发者不得以任何方式将用户数据给第三人……不得以任何方式将收集到的用户数据转移或使用在该特定应用或服务之外。”相关条款构成了《解释》第11条下“签署保密协议”的实质内容。其二,微梦公司通过0pen API控制第三方获取用户数据。根据0pen API的运作原理,无论是授权有效期、调用频次,还是接口调用高级权限,均需要由合作方单独申请,由微梦公司批准。这与《解释》第11条项下“限定涉密信息的知悉范围,只对必须知悉的相关人员告知其内容”的要求相符。其三,微梦公司采取Robots协议禁止第三方通过网络爬虫(Spider)程序进行用户数据抓取。有别于数据获取,“数据抓取”是在未经数据控制者授权的情况下,由爬虫程序根据预先设定的策略路径,对网页数据进行访问和抓取,将主要信息存储于本地服务器中,并进行分析整理。Robots协议,又称“网络爬虫排除标准”,表现为存放于网站程序根目录下的文本文件,它是爬虫访问网站内容之前必须访问的第一个文件,旨在公示本网站允许哪些爬虫对哪些内容进行抓取。作为被普遍接受的商业道德和行业惯例,Robots协议具有软法的效力。中国互联网协会发布的《互联网搜索引擎服务自律公约》第7条亦对此予以确认。考虑到数据自身特性,Robots协议可视为《解释》第11条所述“在涉密信息的载体上标有保密标志”。基于上述,可以认定微梦公司就用户数据采取了合适的保密措施。
从商业秘密的法定条件观察,用户数据似乎业已具备《反不正当竞争法》三项要件,但法院却没有据此立论,这并非思虑不及,而是别有隐衷。
(二)数据的商业秘密定位与我国立法意旨不符
自20世纪60年代以来,商业秘密一般作为可获保护的无形财产,被纳入知识产权法的保护体系之中。美国的《侵权法重述》及相关判例,均承认商业秘密是受到宪法保护的财产,“应视为除土地和有形财产以外和发明概念相一致的无形财产”。*Ruckelshaus v. Monsanto Co., 463 U.S. 1315 (1983).1994年《与贸易有关的知识产权协议》(TRIPs)在国际条约的层面上,首次赋予商业秘密以财产属性,使之成为知识产权的独立类别。我国《民法总则》亦延续这一做法,将商业秘密与作品、发明、实用新型、外观设计、地理标志、集成电路布图设计、植物新品种并列。
与之相反,《民法总则》却将数据排除在知识产权之外。2016年7月5日公布的《民法总则(一审稿草案)》中,“数据信息”曾作为一种知识产权被加以保护。但在后续讨论中,有人主张数据是对事物属性的描述和记录,而知识产权的核心是人的智慧成果。为了避免扩大知识产权保护范围引发的体系混乱风险,在《民法总则》的最终稿中将之删除,而另辟第127条,作为数据保护的指引性规则。[2]根据这一立法的历史解释,一旦将用户数据归入商业秘密,将不得不面临与《民法总则》对数据定位的冲突。
(三)数据的商业秘密定位可能导致保护不足
除了与我国《民法总则》相抵牾外,将数据定位于商业秘密,还可能无法为数据控制者提供充分且有效的保护。
首先,尽管商业秘密被归入到知识产权中,但它并非是一项“权利”,而是一种法益。[3]无论是美国的《侵权法重述》《法律重述(第三版):反不正当竞争法》,还是德国的《反不正当竞争法》,均拒绝将“商业秘密”权利化。即便是对商业秘密明确保护的TRIPs,也没有使用任何“权利”(right)用语,从而与专利、商标等其余保护对象中“权利人”(right holder)或“权利”(right)的措辞迥异。究其实质,商业秘密制度旨在维护自由而正当的交易秩序,并非赋予其专属权利,以排除他人参与竞争。
较诸法律积极承认的权利,未上升为权利的法益一般只能获得相对薄弱的保护,[4]体现为权益区分的立法梯次保护、以司法救济为主的消极保护以及法律解释上的缩限保护倾向。[5]据此,作为一项法益的商业秘密,在动静两面均存在保护不足:就动态而言,由于法益仅以事实状态获得保护,一旦脱离支配或占有,就丧失了保护基础,这有碍于商业秘密的转让和权能分离的多重利用;就静态而言,鉴于法益缺乏社会典型公开性,对它的保护以事先确定类型的法定义务违反为前提。例如,对于非绝对权的法益,德国民法只在违反保护性法律和故意违反善良风俗时,才承担侵权责任。我国《反不正当竞争法》第10条亦通过列举方式,规定了侵犯商业秘密的三种行为,以此作为保护前提。
其次,商业秘密系不具排他效力的法益。商业秘密不能被公之于众,因此它不可能产生对世的排他权,而只能是秘密保有和使用。严格地说,侵犯商业秘密表现为“窃取”(misappropriation),而非“侵害”(infringement)。[6]这一区分说明,商业秘密保护的核心在于“过错”(wrong),即不当获得或使用了他人的私有信息。因此,若他人使用正当程序,如独立研发、自行搜集或反向工程等方式获得信息,商业秘密持有人无权干预。商业秘密的这一特征,令持有人不得不承担更重的举证责任,进一步弱化了保护力度。*将来,随着《反不正当竞争法》的修改,这种情况可能会改观。2016年2月15日《反不正当竞争法(修改草案送审稿)》第22条第2款特别明确了举证责任倒置,即由被告承担其使用信息具有合法来源的举证责任。实际上,在脉脉案中,面对通过爬虫抓取数据和利用协同过滤算法实现数据匹配这两种相互对立的主张,正是因为法院无法查明事实,故而难以直接判定淘友公司侵犯微梦公司的商业秘密。
总之,虽然用户数据的商业秘密定位符合数据控制者的预期,并能以简洁明了的方式提供保护,但由于立法和司法上的双重窒碍,法院最终舍弃了这一路径,转向了《反不正当竞争法》的一般条款。
三、反不正当竞争法一般条款:行为保护的进路
(一)反不正当竞争法的一般条款
在本案中,法院依据《反不正当竞争法》第2条,即“经营者在市场交易中,应当遵循自愿、平等、公平、诚实信用的原则,遵守公认的商业道德。本法所称的不正当竞争,是指经营者违反本法规定,损害其他经营者合法权益,扰乱社会经济秩序的行为”,来作出判决,这一被称为“反不正当竞争法”的“一般条款”,意蕴丰富且具有开放性,亟待辨明。
反不正当竞争法之一般条款是各国普遍采用的立法例:德国1909年《反不正当竞争法》第1条、《法国民法典》第1382条和1383条、《意大利民法典》第2598条、瑞士1986年《联邦反不正当竞争法》第1和第2条、澳大利亚1974年《商业行为法》第52条、美国《联邦贸易委员会法》第5条、欧盟2005年《公平交易行为指令》第5(2)条均是适例。一般条款之所以成为各国的普遍选择,实因不正当竞争行为纷繁芜杂,难以穷尽,故而通过兜底规范,在法律规定的具体事实构成不敷适用的地方,发挥查缺补漏的作用。
鉴于内在的模糊性和开放性,一般条款在成为“整个竞争法领域之帝王规范”的同时,也是一份给予司法机关的授权书。[7]12-13通过此项授权,法院依据“诚实信用”和“商业道德”将一切有害于市场竞争的行为囊括其中,从而克服了成文法的不周延性和滞后性。正因如此,如欲把握《反不正当竞争法》第2条,必须从我国司法实践出发,探明其真意。
在涉及第2条的大量纠纷中,“山东省食品进出口公司等诉青岛圣克达诚贸易有限公司等不正当竞争纠纷再审案”(下文简称“海带配额案”)具有里程碑式的意义。在该案中,最高法院以再审方式第一次确立了独立适用第2条的“三要件”,即:(1)法律对该种竞争行为未作出特别规定;(2)其他经营者的合法权益确因该竞争行为而受到实际损害;(3)该种竞争行为因确属违反诚实信用原则和公认的商业道德而具有不正当性或者说可责性。尽管“海带配额案”为后续审判提供了操作性指引,但在互联网行业的语境中,为保障新技术和市场竞争模式的发展空间,其适用性还有待进一步具体化。在“北京奇虎科技有限公司等与腾讯科技(深圳)有限公司等不正当竞争纠纷上诉案”(下文简称“扣扣保镖案”)和“奇虎公司与百度网讯公司、百度在线公司不正当竞争纠纷案”(下文简称“百度插标案”)中,法院分别增加了“正当商业模式”条件和“非公益必要不干涉原则”的限制。质言之,前者意味着互联网企业对营业模式的创新构成了“合法权益”,后者意味着除非为了公共利益,互联网产品或服务之间不得相互干扰。《不正当竞争法》第2条的既有司法实践构成了本案审理的基础。
(二)反不正当竞争法一般条款在本案中的运用
在本案中,二审法院在援引“海带配额案”后特别指出:互联网行业中的技术形态、市场竞争模式与传统行业存在显著差别,因而对《反不正当竞争法》第2条更应秉持谦抑的司法态度。质言之,对不正当竞争行为的认定在基本“三要件”外,还需满足“额外三要件”,即:(1)该种竞争行为所采用的技术手段确实损害了消费者的利益;(2)该种竞争行为破坏了互联网环境中的公开、公平、公正的市场竞争秩序,从而引发恶性竞争或者具备这样的可能性;(3)对于互联网中利用新技术手段或新商业模式的竞争行为,应首先推定具有正当性,不正当性需要证据加以证明。可见,要件(2)映射了“百度插标案”的“非公益必要不干涉原则”,要件(3)类似于“扣扣保镖案”的“正当商业模式”,至于要件(1)则突出了对消费者的保护,顺应了一般条款二元结构的世界潮流,[8]亦符合《反不正当竞争法(修订草案送审稿)》第2条将“损害消费者的合法权益”纳入不正当竞争行为的立法趋势。基于上述,我们可以对淘友公司的数据获取行为加以剖析。
其一,微梦公司是否因淘友公司的数据获取而受损?在起诉状中,微梦公司主张,淘友公司的行为“造成新浪微博开放平台计划运营受阻,微博用户误认为我公司措施不当导致信息泄露,致使用户流失、活跃度下降,损害我公司声誉,直接影响我公司运营收入”。但微梦公司就该等损失却没有提交任何证据。对此,二审法院并未展开论述,仅简单认定:“诚实遵守《开发者协议》的其他经营者及作为数据开放平台的微梦公司的合法权益确因该竞争行为而受到了实际损害。”
其二,淘友公司是否违反了商业道德?商业上的诚信是最大的商业道德。在判断商业交易中的诚信时,需要综合考虑经营者、消费者和社会公众的不同利益。法院认为,本案中的商业道德有两层含义:一是Open API相关《开发者协议》所要求的平等互利、诚实信用的基本原则;二是在采集和利用用户个人信息时,互联网企业必须以取得用户同意为基本要求。淘友公司的数据获取行为同时违反了这两种道德要求。
其三,淘友公司是否损害了消费者权益?互联网用户即消费者,对用户合法利益的保护是每一个互联网企业的责任。法院指出,淘友公司在未取得用户同意的情况下读取非脉脉用户的新浪微博信息,未能尊重用户的知情权及自由选择权,违反了《消费者权益保护法》第29条对消费者个人信息保护的规定。
其四,淘友公司是否破坏了竞争秩序?当前,数据资源已经成为互联网企业重要的竞争优势。新浪微博是我国主流社交媒体,庞大的用户信息是微梦公司重要的商业资源。法院判定,作为一款基于移动端的人脉社交应用,其经营者淘友公司通过对新浪微博用户数据的获取,不正当地取得了竞争优势,破坏了互联网行业的竞争秩序。
其五,淘友公司的商业模式和技术是否正当?互联网行业中新的商业模式和技术手段层出不穷,其正当性并非建立在创新性和进步性上,而应揆诸是否符合公共利益,亦即是否符合消费者的一般利益和社会大多数人的利益。在本案中,无论淘友公司是否通过协同过滤算法获得相关信息,均应以保护用户的利益为优先选择,而不是任凭技术的能力不正当地取得竞争优势。
综上所述,二审法院最终判定:淘友公司获取新浪微博信息的行为存在主观过错,违背了第三方通过0pen API获取用户信息时应坚持“用户授权”+“平台授权”+“用户授权”的三重授权原则,违反了诚实信用原则和互联网中的商业道德,故其行为构成《反不正当竞争法》第2条下的不正当竞争行为。
(三)对反不正当竞争法一般条款保护的反思
通过使用反不正当竞争法的一般条款,法院不但回应了微梦公司的诉求,而且确立了数据获取的授权原则,值得称道。不过,这并非意味着这一路径就完美无缺,事实上,它仍存在难以消弭的弱点。
首先,一般条款的保护方式是立法上的次优选择。任何成文法均试图建构出一套体系完备、逻辑严密的法律规则,将纷繁芜杂的世间万物囊括其中。然而,哥德尔定理业已证明:一个复杂到一定程度的系统,其无矛盾性与完备性不可兼得。因此,任何既定的法律体系如果是完备的,就一定有矛盾;反之,如果它是无矛盾的,则必然不完备。为了化解这种悖论,立法者不得不在明确的法律规则之外,引入抽象的法律原则与不确定的法律概念,就此而言,一般条款实系被迫为之的选择。因而在立法技术上,《反不正当竞争法》对竞争行为的指引、评价、预测、教育和强制作用,应更多地体现在类型化条款中,而非原则性的一般条款中。[9]职是之故,一旦时机成熟,立法者就会将具有典型意义的构成事实类型化,《反不正当竞争法(修订草案送审稿)》第13条对“利用网络技术或者应用服务影响用户选择、干扰其他经营者正常经营的行为”作出列举,即是例证。
其次,一般条款的保护方式削弱了司法的正当性和安定性。作为授权规范,一般条款没有明确的要件构成和责任后果,必须依靠司法者的后段接力,通过法律续造将之具体化。姑且不论法官造法的民主正当性难题,仅就法律实施的统一性和可预期性而言,我国对一般条款的运用就饱受质疑。这一方面源于竞争行为的杂多和易变,将其归纳抽象出一以贯之的要素几乎不可能,即便是居于德国通说地位的反不正当行为“五分法”也充满了交叉。[7]59-63在本案中,法院提出的“额外三要件”亦和“海带配额案”多有重复。譬如,商业道德与竞争秩序之间,消费者保护与正当性之间,究竟关系为何?法院或语焉不详,或加以混同。另一方面,我国司法常见的实用主义倾向,进一步强化了一般条款适用的随意性,不当扩大《反不正当竞争法》的适用范围,忽视了合同法、侵权法等不同法律制度间的立法目标差异及其分工协调需要。[10]
最后,一般条款所表征的行为规制模式,回避了对用户数据的法律定位,并未真正回应《民法总则》第127条。一般条款之要义,在于直接将法益所体现的、排除他人支配的行为作为法律禁止的特定行为来间接保护,从而区别于权利赋予型模式,后者将法益所体现的、排除他人支配的行为设定实体权利来直接保护。[11]职是之故,经由一般条款的数据保护,数据控制者将面临种种限制:(1)可得主张对象的限制,即只能向存在竞争关系的竞争对手主张;(2)可得主张行为的限制,即只能主张停止侵害、损害赔偿等具有消极防御作用的权利,而不能进行转让、许可或者设定担保;[12](3)可得主张成立的限制,与不考虑实际损失和侵害人过错的绝对权请求权不同,一般条款对他人行为的禁止,需要以满足侵权行为的构成要件为前提。[13]因此,数据控制者必须证明其实际受到损失(“三要件”之二)且对方行为具有可责性(“三要件”之三),这无疑增加了维权难度。就此而言,在微梦公司未提供任何证据的情形下,法院就径行认定其损害,明显过于轻率。
总之,通过反不正当一般条款来保护数据,不仅在实践上曲折迂回,在理论上亦非圆满。那么,法院是否存在另一种保护选择?
四、数据的财产化:权利保护的进路
(一)数据权及其优势
本文中的“数据权”,意指数据控制者对“数据集合”(collection of data)享有的占有、处理、处分的权利。可有如下理解向度:首先,数据权的权利主体是“数据业者”,即依法开展数据收集、存储、加工、传输活动的商事组织及特定条件下的自然人。其次,数据权的权利标的是“数据集合”,即通过计算机技术形成的、以二进制信息单元0/1表示的半结构化或多结构化巨量电磁记录。与“数据库”(database)不同,它不需要经过严格逻辑汇编也即“结构化”,亦不要求原创性,并在规模、种类、更新的及时性和速度等方面远超前者。[14]最后,数据权的权利属性是对世性的财产权。这意味着它是可转让的具有经济价值的法律关系集合体;同时,凭借着占有或登记的公示方法,它得以对抗任意第三人。
数据的财产化具有双重效果:一方面,数据权利人能获得比在商业秘密或《反不正当竞争法》一般条款下更强的保护。较诸前者,他们不需要证明数据集合符合法定条件,并可以排除他人以任何方式进行发掘与利用;较诸后者,他们不必承担证明自己损失和他人过错的举证责任,亦不再被法院判决的不确定性所困扰。另一方面,数据权利人得以按照其意愿转让或授权他人使用数据集合,从而避免数据孤岛,推动数据市场的繁荣,最终实现数据资源的有效配置。[15]在数字经济的浪潮中,数据不但是企业进行跨国贸易的优质工具,其本身也是跨国流通的重要商品。如同20世纪的石油,数据业已成为21世纪国家和企业的基础战略资源,数据权利正是这一经济形态和商业模式的最佳保障。
(二)数据权与个人信息权的二元分置
数据权是一种独立于个人信息权的权利类型。正如下表所示,两者在权利的主体、标的、性质和内容上均有所不同。
表1 数据权vs.个人信息权
数据权和个人信息权的二元分置有着实体法的支持。从比较法上观察,个人信息权或被定义成新型人格权(如德国《联邦数据保护法》),或被归入“信息性隐私”(如美国《隐私法》),从而与以财产利益为导向的数据权迥然不同,后者多以美国的《统一计算机信息交易法》、[16]俄罗斯的《信息、信息化与信息保护法》为参照。我国同样将个人数据置于人格权的范畴之中。根据体系解释和立法解释,《民法总则》109条和110条分别规定了一般人格权和各项具体人格权,第111条则延续以上条款,在充分考量个人信息与隐私既相似又相异的特性后,将个人信息单独作为人格权的一种特别人格权加以保护。相反,在人格权和财产权的二分格局下,无论是《民法总则(一审稿草案)》将数据视为一种知识产权,还是最终稿将其和虚拟财产并列,数据均不脱财产权的性质。[17]
同时,数据权和个人信息权的二元分置还有着理论上的支持。“所谓自然财产是不存在的,财产完全是法律的产物。”[18]法律之所以赋予某种事物以公开且稳定的财产权,恰恰在于其能够持续激励权利人创造、改进和更好地使用,实现稀缺资源的配置,产生更大的效用。以此观之,个人信息和数据截然不同。直接或间接标识个体的信息并不稀缺,它们广泛地存在于世界上,更重要的是,它们不太可能因激励而大幅增加。[19]相反,数据集合由数据业者创设或生成。通过为每个用户创设一个用户文档(profile),数据业者可以对信息进行搜集、记录、存储和分析,最终形成富有经济价值的数据产品。毫无疑问,这些都需要建立组织、培训技能、付出劳动和支付费用。正如20世纪初,就事实记载和描述的“新闻”是否成立财产权的论争一样,如果不赋予数据业者以数据权,就意味着任何人可以在没有播种的地方将他人的收获物攫为己有,[20]这必然降低人们对数据的投资,进而阻碍数字经济的发展。
(三)数据权与个人信息权冲突的化解
在利益分化、价值多元的时代,权利之间存在冲突并不鲜见。恰如“脉脉案”所展现的,当数据源自网络用户的个人信息时,数据权和个人信息权就成为一对既彼此关联又相互冲突的权利。面对该权利之争,解决之道在于权利位阶和比例原则。[21]
1. 权利位阶:个人信息权的相对优先性
法律旨在通过“赋予特定利益优先地位,而他种利益相对必须做一定程度退让的方式”,来规整个人和团体之间的被类型化的权利冲突。*International news society v. Association Press, 248 u.s. 215(1918).根据权利的价值大小和分量轻重,形式各异的权利构成了一个松散的价值体系。一般而言,宪法上的基本权利相对于普通权利,居于更高的位阶。与人身有关的权利相对其他普通权利,居于更高的位阶。质言之,生命权优于身体权和健康权,身体权和健康权优于财产权。[22]据此,作为人格权的个人信息权,理应高于作为财产权的数据权,这正是“用户同意作为个人数据处理正当性基础”的逻辑前提。根据我国《民法总则》第111条、《网络安全法》第41、42、44条、《消费者权益保护法》第29条,数据业者的数据集合涉及用户个人信息时:首先,应履行告知义务,公开搜集、使用规则,明示搜集、使用信息的目的、方式和范围并经用户同意;其次,在后续的环节中,应按照事先约定加以使用;最后,除非用户同意,数据业者不得买卖、提供或公开用户数据。
另一方面,不管是个人信息权还是数据权,都是法律所要保障的利益和价值,均应在法律与事实的范围内予以最大限度的实现。就此而言,权利位阶绝非先验秩序,而是人为设计。与其说高位阶的权利具有绝对优先性,毋宁说在特定情况下具有相对优先性。所以在权衡取舍时,还应依据比例原则予以综合考量。
2. 比例原则:数据的合理使用
虽然在理论渊源上,比例原则用于限制国家权力,以防其对公民权利的干预逾越了必要限度,但放宽视野来看,包含适当性、必要性、均衡性等子原则的比例原则其实是“禁止过度”这一普世理性的体现。正因如此,当权衡不同权利时,务必让相互竞争的权利维持合适的比例,以避免一方对另一方的过分戕害,造成得不偿失的恶果。详言之,比例原则主张:若权利R1与R2相碰撞,R1不被实现或被侵害的程度越高,则R2实现的重要性就必须随之越高,否则对R1的限制便缺乏理由。[23]基于这一主张,数据权和个人信息权的冲突问题,可细分为如下操作步骤:
第一,若数据权因个人信息权而无法实现,则其损失如何?在个人信息权优先的模式下,数据权实现取决于能否获得用户的同意。在数据处理模式日新月异、数据流转与日俱增的大数据时代,数据业者将不得不面临无休止的告知并等待用户同意的窘境,这不但大幅增加合规成本,还可能因缺乏告知途径导致数据难以多方利用和二次利用,极大束缚了创新行为,这反过来影响了用户福祉。[24]
第二,该等个人信息权的重要性何在?“个人信息保护旨在保护人,而非信息本身。”[25]在此意义上,个人信息权的目标是防范信息的不当处理给个人带来生活干扰、名誉或财产损害、不公平待遇等负面后果。有鉴于此,各国日益减少了对用户同意和目的限定的关注,开始强调对数据使用中的场景导向和风险管理,借此舍弃了传统路径中的整体判断,转向在相应场景中具体地评估数据及处理行为的风险。一个典型的例证是,因信息敏感性高低不同,相关数据处理带来的风险各异。[26]所谓“高敏感信息”,即关涉个人隐私核心领域、具有高度私密性、对其公开或利用将会对个人造成重大影响的信息,如性生活、基因信息、遗传信息、医疗记录、财务信息等;“低敏感信息”则指其他琐细个人信息,如消费习惯、手机号码、邮箱地址等。[27]显然,由于前者事关个人尊严,可能导致的风险和保护的重要性要远高于后者。
第三,该等个人信息权的重要性是否足以使对数据权的限制合理化?对该问题的回答,既要估计用户可能承担的风险大小,也要区分数据权行使的方法和性质。正因如此,这里的“合理”系在“特定场景中合理”(reasonable in light of context)。以美国《消费者隐私权利法案(草案)》为例,数据业者提供产品或服务、内部运营、反欺诈、履行法定义务、维护自身合法利益或实现公共利益以及第一方产品营销的行为,均被视为合理使用,而无须获取用户的同意。易言之,在此情形下,个人信息权的重要性不足以使对数据权的限制合理化。回到“脉脉案”,假设淘友公司已获得微梦公司的合法授权,那么考虑到脉脉对用户数据的使用并未超出社交平台的目的,其二度人脉的展示对象局限于关联用户,加之展示的是无关个人尊严的低敏感信息,我们可以推断:淘友公司的数据权行使无须再获得用户的同意。此时,法院确立的三重授权原则,宜简化为“用户授权”+“平台授权”,从而更富弹性。
五、结语
尽管欧盟的《数据保护指令》并没有禁止成员国在立法中涵盖法人的数据,但长期以来,当谈及数据时,人们指的仅仅是个人数据或个人信息。[28]在大数据、人工智能、云计算等信息技术迅猛发展的当今,这样的认识已不合时宜。对财产权的历史研究表明,无论是财产观念,还是财产制度都在因时而变,以期与我们值得追求的目标的变化相匹配。在这一意义上,“财产权从来都只是手段,而非目的。”[29]从个人信息权分离并创生的数据权就是这样一个鲜活的例证。
[ 1 ] 谢晓尧.竞争的道德秩序解读[M].北京:法律出版社,2005:298.
[ 2 ] 张新宝.民法总则释义[M].北京:中国人民大学出版社,2017:250.
[ 3 ] 孙山.无根的“商业秘密权”[J].河北法学,2011(3):85-92.
[ 4 ] 曾世雄.民法总则之现在与未来[M].北京:中国政法大学出版社,2001:61.
[ 5 ] 张芳.民事法益的弱保护及突破[J].湖北社会科学,2015(2):148-152.
[ 6 ] Stephen M Mcjohn.Intellectual Property:Fifth Edition[M]. New York: Aspen Pub, 2015: 515-520.
[ 7 ] 邵建东.德国反不正当竞争法研究[M].北京:中国人民大学出版社,2001: 24-37.
[ 8 ] 吴峻.反不正当竞争法一般条款的司法适用模式[J].法学研究,2016(2):144-153.
[ 9 ] 张钦坤.中国互联网不正当竞争案件发展实证分析[J].电子知识产权,2014(10):24-37.
[10] 焦海涛.不正当竞争行为认定中的实用主义批判[J].中国法学,2017(1):24-37.
[11] 杨志敏.论知识产权法的目的及其实现途径[J].电子知识产权,2009(7):17-30.
[12] [日]中山信弘.多媒体与著作权[M].张玉瑞,译.北京:专利出版社,1997:7.
[13] 王洪亮.物上请求权的功能与理论基础[M].北京:北京大学出版社,2011:196.
[14] 高富平.信息财产:数字内容产业的法律基础[M].北京:法律出版社,2009: 389.
[15] Pamela Samuelson. Privacy as Intellectual Property[J].Stanford Law Review, 1999(52):1126-1173.
[16] 齐爱民.捍卫信息社会中的财产:信息财产法原理[M].北京:北京大学出版社,2009:51.
[17] 杨立新.民法总则规定网络虚拟财产的含义及重要价值[J].东方法学,2017(3):64-72.
[18] [美]约翰·E·克里贝特,科温·W·约翰逊.财产法:案例与材料:第七版[M].齐东祥,陈刚,译.北京:中国政法大学出版社,2003:5.
[19] Cohen Julie E.Examined Lives: Information Privacy and the Subject as an Object[J].Stanford Law Review, 2000(52): 1373-1438.
[20] 梁迎修.权利冲突的司法化解[J].法学研究,2014(2):61-72.
[21] 林来梵,张卓明.论权利冲突中的权利位阶[J].浙江大学学报:人文社会科学版,2003(6):5-13.
[22] 孙宪忠.民法总论[M].北京:社会科学文献出版社,2004:90.
[23] Robert Alexy.On the Structure of Legal Principles[J].Ratio Juris,1999(12):294-304.
[24] 任龙龙.论同意不是个人信息处理的正当性基础[J].政治与法律,2016 (1) :126-134.
[25] 范为.大数据时代个人信息定义的再审视[J].信息安全与通信秘密,2016(10):70-80.
[26] 孔令杰.个人资料隐私的法律保护[M].武汉:武汉大学出版社,2009:213.
[27] 张新宝.从隐私到个人信息: 利益再衡量的理论与制度安排[J].中国法学,2015(3):38-59.
[28] [德]库勒.欧洲数据保护法[M].旷野,杨会永,译.北京:法律出版社,2008:82.
[29] Stuart Banner.American Property: A History of How, Why, and What We Own[M]. Cambridge: Harvard University Press, 2011:292.
(责任编辑:魏琼)
ThreeApproachestoDataProtection:CommentontheCaseofWeiboAccusingMaimaiofUnfairCompetition
XU Ke
(LawSchool,RenminUniversityofChina,Beijing100082,China)
Although “data” has been included in the chapter of “Civil Rights” inTheCivilLawofthePeople’sRepublicofChina, its legal status and approaches to protection are far from certainty. The first case of unfair competition for data in China-Sina Weibo accusing Maimai of unfair completion-reflects different understanding of user data by different parties: the plaintiff, the defendant and the court. Among the three approaches to date protection, namely,trade secret protection, the general clause of anti-unfair competition law and data propertization, the right to data can provide the best protection of data, and what’s more, its reconciliation with the right to personal information may facilitate the formation of a predictable and flexible data protection system.
trade secrets; personal information; right to data; anti-unfair competition law; general clause
10.3969/j.issn 1007-6522.2017.06.002
2017-6-10
中国博士后科学基金会特别资助项目(413115062009)
许可(1981- ),男,安徽阜阳人。中国人民大学法学院师资博士后。
DF52
A
1007-6522(2017)06-0015-13
