网络平台对用户生成数据的权益性质
2021-11-28周学峰
周学峰
(北京航空航天大学 法学院, 北京 100083)
随着移动互联网和物联网技术的发展,人类社会即将迈入万物互联的时代。人们所能观察到的这个世界的每一个角落、每一个人的行为与生理状态,每一次网络购物或电子支付,均可通过各类传感器、智能设备等被收集起来,并可通过网络连接以电子数据的形式在网络空间中进行传输、存储、处理。当数据正在呈现史无前例的爆发式增长的同时,互联网的发展则日益呈现出向网络平台集中的特点,一些网络平台不仅吸引了海量用户,亦成为各类数据的沉淀、汇集之所在。
随着现代信息技术的发展,特别是大数据和人工智能技术领域的突破,人类对数据的处理和分析能力大幅提高,数据的价值日益显现出来,各行各业对数据的需求也在前所未有的增长。数据将成为21世纪的新资产、新“石油”正在逐渐变成现实,并被商业社会和多国政府机构所认可。利益之所在,亦往往成为争端之所在。正是由于数据的价值被揭示,围绕数据权益而发生的争议越来越多,既有用户对网络平台收集、提供其个人数据提起的诉讼①;亦有网络平台因第三人抓取平台上存储的数据而提起的索赔诉讼②;亦有企业声称已获得了用户同意而主张有权从平台上获取、使用用户数据,从而与网络平台发生争执③。无论哪一种争议,都无法绕开的一个问题是:网络平台对于用户提供且存储在平台上的数据可否提出权益主张;如果确实存在某种权益,那么,对于该权益在法律上应当如何定性?对于该问题进行深入研究,不仅可以澄清理论上的争论,对于司法实践亦具有参考价值。
一、主要概念的界定
笔者所称数据,系指电子数据,即以比特(bit)形式存在的,可以电磁或光电的方式进行传输、存储的数据。欲准确理解数据在法律上的地位,就必须将数据与相关概念区分开来。
首先,应当区分数据与信息。关于数据与信息的关系,在理论界存在不同的理解。在笔者看来,数据系信息存在的一种形式,而信息是数据所体现的内容④。就信息本身而言,其是无形的,可借助多种不同形式而显现其存在,电子数据只是其中之一。就电子数据而言,其本身系采取0和1的二进制表达方式,从而无法直接被人所理解,但可以借助一定的硬件设备和软件程序来读取,使之转换成为可以被人所理解的文字、图像、声音或视频。
其次,应当区分数据与数据载体。存储数据的计算机硬盘、移动存储设备、服务器和各类终端设备,均属于数据载体。此类数据载体是有形的,其属于民法上的物,归物的所有人所有,其权属界定通常比较清晰[1]。与数据存储设备不同,数据本身不是民法意义上的物,且具有易复制、易传输、易被破坏的特性,数据的转移并不必然伴有数据载体的转移。网络环境下,在数据的物理载体的占有和所有均未发生变化、未受到任何物理损害的情况下,亦有可能出现其所存储的数据被他人复制、传输、篡改或删除的可能,并且同一数据可以分别存储在多个不同所有者的存储硬件设备中。
网络平台上存储的数据,既有网络平台自身制作或提供的,亦有平台上的用户制作或提供的,笔者的研究对象亦限于后者。下文所称用户,既包括个人用户,即自然人,亦包括法人和其他组织;所称用户生成的数据,既包括用户制作并上传到网络平台的数据,亦包括网络平台经用户同意后从用户终端收集到的各类数据以及用户的网络行为轨迹数据等⑤。用户提供的数据类型非常多:有的是用户创作的文字、音频或视频作品;有的是用户从事电商交易、网络通信或社交活动而留下的行为记录;有的是用户穿戴的智能设备所记录的心跳、血压等生理数据、行为轨迹等;有的是用户在家中安装的智能家居设备所自动采集的信息,如住宅的监控画面,家中的温度、湿度,空调、冰箱等家用电器的运行状态等;有的是用户汽车上的数据采集装置自动收集的行驶状态、地理位置、发动机等部件运行状况以及周边环境的数据;有的则是企业用户的生产车间、各类机器设备运转的数据,等等。以上这些数据,尽管类型繁多,但都具有一个共同属性,即都是由用户提供的且存储在网络平台上的数据。
用户之所以自愿地或不自觉地将上述数据传输至网络平台,其中一个主要原因在于其使用了网络平台提供的某种服务。例如,人们在进行网络购物时,只有向网络平台提供了收货地址后,才能收到订购的物品。又如,目前人们所使用的许多人工智能产品或服务,通常需要用户将相关数据传输到服务商的云端服务器,由服务商在云端进行数据分析和处理后,再向用户设备发出相关指令,从而使用户享受到相关服务。实践中,也有一些网络平台基于营销或其他目的超出向用户提供服务的必要限度而过度收集用户信息。
笔者所研究的用户生成的数据,仅限于用户向网络平台提供的原始数据,而网络平台在用户的原始数据基础之上进行加工而得到的派生数据,如果所蕴含的信息内容已经发生实质性变化,其法律属性和经济价值都有可能发生改变[2],因此,不在笔者的研究对象范围内。
基于不同的分类标准,可以对用户数据进行不同的分类。基于数据所体现的信息是否属于个人信息,可以将网络平台所存储的用户数据区分为个人数据和非个人数据。基于数据所体现的信息是否公开,可将网络平台上的用户数据区分为公开数据与非公开数据。通常意义上的公开数据,尤其是在互联网环境下,一般是指向全世界公开。在实践中,还往往存在“半公开”的类型,如有些网络平台仅向注册用户开放,非注册用户无法直接读取平台上的信息;还有一些网络平台允许用户自由设定数据公开的范围,如用户可设定其发布的信息为平台注册用户可见或仅限于好友可见等。
二、关于数据权益性质的争议
在探讨网络平台对用户生成数据的权益性质之前,可以先对数据权益性质的一般性问题进行探讨。就数据本身而言,它只是一种特定的电磁状态,并不是民法意义上的物[3],但是,它可以成为民事权益的客体,中国现行《民法总则》和新近颁布的《民法典》对此均予以承认。承认数据可以作为民事权益的客体,并不等于当然承认以数据为客体的民事权益系一种单一的新类型的民事权利。关于以数据为客体的民事权益究竟为何种性质的权益,存在许多争议,因此,《民法典》第127条仅对此做出宣示性规定,并通过引致条款,交由特别法对此做出详细规定[4]。然而,迄今为止,尚未有法律明确规定以数据为客体的民事权益究竟为何种性质的民事权益,在此背景下,学理上的探讨就变得非常重要。
关于以数据为客体的民事权益,即数据权益,究竟是什么性质的民事权益,在学术界存在许多争议。有学者主张,不宜将数据作为财产权的客体[5]。然而,亦有学者主张,应当承认企业对于数据的财产权,并将其定性为一种新型财产权,且进一步将其细分为数据资产权和数据经营权[6]。关于所谓的新型财产权的性质,有学者认为其属于类似物权的绝对权,系一种独立的权利[7];也有学者认为,企业数据财产权形式上虽然采取私权形式,但与民法上典型的财产权存在不同的构造[8]。关于数据财产权的产生基础,有学者虽未明确提出数据财产权的主张,但是其主张作为数据控制者的企业可以凭借其对数据的事实上的控制获得禁止或许可第三人使用数据的权利[9]。
尽管学术界有部分学者倡导数据财产权的概念,但是从中国司法实践来看,在处理涉网络平台的数据权益纠纷案中,法院往往都是通过适用反不正当竞争法来解决,这一现象本身非常值得思考,需要对此做出理论上的解释。关于对数据权益性质的理解,有的法院认为,虽然平台上积累的用户数据是平台经营者付出大量资源所获取的,且具有很高的经济价值,但是其所主张的应受保护的利益并非绝对权,其受到损害并不必然意味着应当得到法律救济,而应权衡相关因素后再进行确定⑥。
三、关于网络平台数据权益的观点
(一)网络平台所享有的数据权益性质
笔者认为,在中国《民法典》第127条已经明确认可数据的民事权益客体地位的情况下,一概否认数据权益的存在已不合时宜,因此,从既有立法出发,目前需要探讨的是数据权益究竟系何种性质的民事权益。笔者之所以使用“民事权益”而不是“民事权利”的概念表述,原因在于,《民法典》总则编关于数据的规定(第127条)位于第126条之后,而第126条规定:“民事主体享有法律规定的其他民事权利和利益。”其既包含亦明确区分了权利和利益两个概念。因此,从现行法出发,并不能当然认定以数据为客体的民事权益系一种民事权利而非利益。
数据权益是含义非常宽泛的概念,其所涉问题非常多,下文将集中探讨网络平台对用户生成数据所拥有的民事权益的性质,欲澄清数据权益的性质,既需要从正面说明数据权益是什么,也需要从反面说明其不是什么。
从反面来看,首先,数据不是民法意义上的物,因此,数据权益不是物权。网络平台有可能对存储数据的服务器等物理设施享有所有权,但这并不意味着其对服务器上存储的数据享有所有权。
其次,数据与数字作品是两个不同的概念,数据权益亦与著作权是两个关联密切但需要相互区分的概念。在《民法总则》制定过程中,曾将数据作为知识产权的客体来规定,但遭到了许多专家的反对⑦。笔者认为,著作权保护的对象是作品,系属于信息层面的概念,作品的存在形式可以是多种的,而电子数据仅是其中之一。当网络平台将从著作权人处获得独家许可的作品以电子数据的方式上传至平台,如果他人未获得著作权授权而通过技术手段破解了平台的技术保护措施,抓取了该作品的电子数据并将其置于原平台之外的网络环境中进行传播,则有可能既侵害了网络平台对数据的权益,亦构成对著作权的侵害。如果他人未获得著作权授权而从网络平台之外的其他途径获得该作品的电子数据并进行网络传播,亦会构成对著作权的侵害,但是,此时并不存在对网络平台的数据权益的侵害。
最后,网络平台经营者通常系商事企业而非普通自然人,另外,平台上的数据系用户提供。因此,网络平台对数据所享有的权益亦不可能是人身权。
从正面来看,由于网络平台的经营者通常都是商事企业,在探讨网络平台的数据权益时,不能仅限于民法上的基本制度,亦应将商事法律制度纳入到检索的范围内。基于此,笔者认为,网络平台上存储的数据属于网络平台经营者的营业财产的一部分。“营业”系商法上的概念,其包括主观意义上的营业和客观意义上的营业。前者是指营业活动,而后者是指营业财产。传统商法意义上的营业财产,系指商事企业用于商事活动的各类财产,其含义非常宽泛,既包括各种不动产、动产、商号、知识产权、债权等财产,亦包括各类“事实关系”,如商业秘密、商誉、客户关系、销售渠道、地理位置等[10]。营业财产的具体范围,不是一成不变的,而是随着社会的发展、技术的进步和商业模式的变迁而不断发生变化。在当今信息社会时代,许多网络平台型企业,一方面在资本市场上的估值非常高,另一方面又被称为“轻资产”型企业,对此合理化的解释在于:对于网络平台型企业而言,其最具价值的资产并不是机器设备等重资产,而是数据。
将数据纳入营业财产的范畴来对待,事实上,已经被商业实践所认可。企业对外转让数据,尤其是用户的个人数据,往往会受到许多法律限制。中国《民法典》第111条明确规定“不得非法买卖、提供或公开他人个人信息”。但是,数据有可能随着网络平台的营业转让而作为营业财产的一部分随之转让⑧。依照中国的推荐性国家标准《信息安全技术个人信息安全规范》的规定,当个人信息控制者发生收购、兼并、重组、破产等变更时,个人信息控制者应向个人信息主体告知有关情况,变更后的个人信息控制者应继续履行原个人信息控制者的责任和义务。但是,该规范并未要求获得个人信息主体的同意,仅在变更个人信息使用目的时才需要重新取得个人信息主体的明示同意⑨。另外,依照该标准的规定,当个人信息控制者破产且无承接方时,应对数据做删除处理。对此可以反向推理,如果个人信息控制者破产但存在破产财产的承接方时,亦可以不删除数据,从这一点亦可以看出数据具有作为数据控制者的营业财产的属性。
侵害网络平台的数据权益往往并不是对数据本身造成物理性损害,而是导致网络平台的营业遭受损失,这与数据的技术特性有密切关系。从技术的角度来看,第三人从网络平台获取数据,表现为第三人使用计算机等终端设备和浏览器等软件程序依照互联网信息传输的技术协议向网络平台的服务器发送请求,网络平台的服务器在收到请求后再依照信息传输的技术协议向发出请求的机器以数据包的形式传输其请求的数据,发出请求的机器在收到数据包后可以使用浏览器等程序软件将其还原为文字、图像、声音和视频。简而言之,获取数据的过程实际上就是机器与机器依照一定技术标准进行信息交互的过程。因此,即使第三人未经网络平台同意而侵入其服务器获取数据,既不会导致数据本身遭受损害,亦不会导致网络平台的服务器遭受物理性损害。但是,过量地向网络平台的服务器发送请求会导致服务器因超负载而反应速度减缓、甚至瘫痪,从而影响网络平台向公众或其他客户提供正常的经营服务,造成网络平台的营业损失⑩。
从学理解释的角度来讲,网络平台对用户生成数据所享有的权益在性质上属于营业权的范畴。营业权,最初是德国的法院系统在司法实践中通过判例创设出来的一项权利,从其制度发展史可以看出,该概念的提出旨在填补侵权法上的漏洞,为商事企业的经营活动提供周延的法律保护。在德国法上,尽管营业权被认为属于《德国民法典》第823条第1款 所规定的“其他权利”,但通常认为其系框架权利(Rahmenrecht)而非绝对权。其与绝对权的不同之处在于,侵害绝对权适用结果违法的原则可指示违法性,而侵害营业权并不能直接指示违法,其具有保护范围不确定的特点,需要法院基于个案的具体情形权衡各种利益因素后积极地认定是否存在违法性,从而进一步认定是否构成侵权[11]。例如,客户关系属于企业的营业财产的一部分,亦在营业权的范围内,但是,当他人因商业竞争而将某企业的客户抢走时,并不必然构成对该企业的营业权的侵犯,因为客户并非专属于某一企业所有,如果他人的竞争手段并无不正当之处,则无可厚非。
对于营业权这一概念,在中国民法学中较少论及,但是,在商法学中则被认为属于重要概念[12]。笔者主张,在解释网络平台对数据的权益性质时,可以引入营业权的概念。营业权作为一项框架权利,其范围非常宽泛,其内涵随着时代发展而不断丰富。在当今信息技术时代,数据已经成为网络平台型企业最重要的营业财产,将数据权益纳入营业权的范畴,对于保护网络平台型企业的经营活动具有重要意义。
营业权虽名为“权利”,但是,其保护方式更类似于受法律保护的利益而非绝对权。然而,这一特点恰恰符合对数据保护的要求,可以协调网络平台、用户和第三人之间的利益关系。将数据权益作为一种非绝对权性质的权益,这意味着,即使将数据看作网络平台企业的营业财产组成部分,但网络平台对于数据并不享有独立的可以自由转让的类似于物权性质的绝对权。即使第三人未经网络平台的同意而抓取平台上的数据,也并不必然构成对网络平台营业权的侵害,而是需要由法院权衡相关权益后再做决定。
除了营业权以外,网络平台还享有一些与平台管理相关的反射性利益。首先,依照《网络安全法》等法律,网络平台作为网络运营者对于用户提供的数据信息负有法定的管理义务。例如,依照《网络安全法》第21条规定,网络平台负有防止网络数据泄露或者被窃取、篡改的安全保护义务;依照《网络安全法》第47条规定,网络平台对于平台上的用户发布的信息负有管理义务。电子商务平台经营者依照《电子商务法》对于用户在平台上发布的商品和服务信息、交易信息负有管理义务。其次,网络平台与用户的协议中通常会约定网络平台对于用户的非公开信息负有保密义务,网络平台为履行该保密义务需要采取数据加密、限制访问权限等管理措施。最后,一些大型网络平台的用户协议或平台规约有时会含有平台对用户的管理性规定,基于此类约定或规定,网络平台可以对用户行使管理权。
无论法定的管理义务,还是基于用户协议、平台规则产生的约定管理权,在本质上都不是单纯为了维护网络平台自身利益而设定的,而更多的是为了维护公共秩序、平台上用户的整体利益,但是,其都直接或间接地赋予了网络平台一定的“私权力”[13],客观上亦使得网络平台获得了一定的利益。网络平台不仅可以依规管理用户,亦可基于其法定或约定的管理职责来对抗第三人获取平台数据的请求,或要求第三人在访问网络平台或下载数据时服从平台规则。
通过一些比喻可能有助于理解网络平台的地位,尽管其未必十分准确。网络平台在网络空间中的地位在有些方面类似于现实空间中的大型商场,其不仅对商场中的商户有一定的管理权限,对于进入商场的消费者亦可以提出一定的要求。例如,商场虽然对公众开放,公众可以自由进出,但是必须从商场指定的出入口进或出,而不能逆向进出或破窗而入,也不能进入商场中明确标识禁止顾客进入的区域;在网络空间中,访问网络平台的群体亦应遵循类似的规范,否则,有可能构成非法侵入计算机信息系统等犯罪[14]。例如,在网络平台设有用户名和密码等登陆要求时,如果有访客通过技术手段破解了网络平台的信息安全系统,获取了平台上存储的用户数据,则有可能构成非法获取计算机信息系统数据罪。
在网络平台享有管理权限范围内,即使第三人获得了平台上某一用户的授权或同意,其在获取该用户数据时亦应遵守平台规则,这类似于第三人获得某住宅小区中一位业主的访问邀请,但是,该第三人在进入小区时仍需要遵守物业管理的规定。例如,进行登记和从指定的门口与规划路径进入,而不能以翻墙的方式进入小区或穿越禁止通行的区域。
(二)网络平台数据权益的限制
如前所述,网络平台所享有的数据权益并非绝对权,在同一数据之上会并存诸多权益,因此,网络平台对用户提供数据的权益会受到许多限制。
第一,网络平台的数据权益受制于用户和他人的个人数据权益。网络平台所存储的数据相当一部分是由个人用户所提供的,并且许多数据内容与个人用户的身份特征或行为密切关联,因此,平台数据中往往含有许多个人数据。依照中国《民法典》总则编第111条和人格权编中的相关规定,个人数据主体可对其个人数据主张个人信息权益,从而对网络平台收集、处理此类数据构成了法定限制。网络平台欲向第三人提供用户的个人数据,必须要获得用户的授权。如果网络平台未获得用户的同意而向第三人提供用户的个人数据,有可能招致法律责任。例如,在国外的“剑桥分析事件”中,剑桥分析公司与相关公司利用了Facebook平台规则和管理中的漏洞,在未获得Facebook用户同意的情况下收集了大量的Facebook用户的个人数据,Facebook因此而受到了美国联邦贸易会的50亿美元巨额处罚。另外,需要说明的是,有时用户所提供的数据未必都是用户的个人数据,还有可能包含其他自然人的个人数据。例如,在北京互联网法院审理的涉及抖音平台的收集手机通信录案中,抖音平台基于其与用户的协议收集了抖音用户的手机通信录中的信息,其中包括非抖音用户的个人信息。该法院认为,抖音平台对于此类个人信息无权收集、存储,而应当予以删除。
第二,网络平台的数据权益受制于其对用户非公开数据的保密义务。用户的非公开数据会涉及用户的个人隐私或商业秘密,并且基于用户与网络平台之间的协议,网络平台通常负有保密的合同义务,从而对于网络平台使用该类数据、以及向他人提供、披露、分享数据构成限制。
第三,网络平台的数据权益受制于用户的著作权。依照中国《著作权法》第9条的规定,信息网络传播权系著作权人的一项权利,是指:“以有线或者无线方式向公众提供作品,使公众可以在其个人选定的时间和地点获得作品的权利。”因此,当某一信息构成著作权法意义上的作品时,其电子数据的存储、复制、传输等行为有可能构成著作权法上的信息网络传播。许多用户生成内容(UGC)的网络平台上的文字、音乐和视听作品都是由用户创作并上传至该网络平台之上的,其单个作品的著作权通常属于用户,网络平台在行使自身权利时不得损害用户的著作权。
第四,网络平台的数据权益受制于公共利益。有些数据所蕴含的信息内容具有公共属性,对于此类数据的利用有时会涉及公共利益,基于维护公共利益的目的而有必要对网络平台的数据权益进行必要的限制。
第五,为了鼓励市场竞争和创新,对于那些占据市场支配地位的网络平台经营者而言,其在行使有关数据权益时还会受到反垄断法的限制,在一定条件下负有不得拒绝第三人请求获取平台上的公开数据的义务。
(三)网络平台数据权益的保护方式
网络平台保护其数据财产的最重要的方式是控制。法律承认并保护网络平台对数据的控制,其意义类似于物权法上对物的占有的保护,其维护的是一种平和的社会秩序,防止一方当事人单方面地凭借私力改变他人对数据的事实上的控制状态。与此同时,也应看到,对数据的控制与对物的占有亦存在明显的差异。对物的占有具有排他性,而对数据的占有并不具有排他性,因此,对数据的控制本质上并不是追求对数据的排他性占有,而是对数据收集和使用的控制。
网络平台对平台上的数据控制方式包括技术控制与协议控制两种类型。所谓技术控制,实际上是以代码为基础的控制方式,网络平台通过采取技术手段防止第三人未经授权而获取或篡改平台上的数据,亦可以通过编程的方式告知访问网络平台的人或机器哪些数据是可以自由获取的,哪些是需要特定权限获取的,哪些是禁止获取的,亦可设定获取数据的方式,通过识别验证码等方式对人和自动化程序(Bots)进行区分,等等。所谓协议控制方式,是指网络平台可以通过用户协议、平台公约等合同约定的方式对注册用户收集、处理平台上的数据的行为进行管控。
从法律的视角来看,协议控制的有效性是建立在网络平台与数据获取方之间存在合同关系的基础之上的,因此,其通常限于网络平台与注册用户之间,而对于注册用户之外的访问、抓取平台数据的当事人而言,因其无需与网络平台签订用户协议或承诺遵守平台公约,因而不受此类协议的约束。即使是对于平台的注册用户而言,用户协议的效力亦存在许多容易受质疑的地方。用户协议通常为网络平台单方面制定的格式条款,并且通常表现为“点击合同”,绝大多数用户都是在未实际阅读或真正理解条款含义的情况下,点击了“同意”,因此,该格式条款的内容应当严格按照《民法典》第496条和497条 的规定接受司法审查,这意味着网络平台通过用户协议对平台上数据进行管理时,并不能全然从自身利益出发对用户的数据行为进行过度限制,不能使用用户协议的方式限制或排除用户的主要权利,对于超出用户合理期待的限制性条款应当尽到提示义务。
从实践的角度来看,基于代码的技术控制要较协议控制更为有效,因为它的效力不依赖用户的“同意”,其在执行时无需借助司法机关。当第三人试图从网络平台获取数据时,其在遇到平台方设置的技术障碍时会明显感受到限制的存在,而不像在协议控制模式下许多用户可能对用户协议内容一无所知。但是,从法律的角度来看,许多技术控制措施亦是有缺陷的,其往往存在限制过度的问题。例如,许多网络平台出于保护知识产权的目的而对数字作品施加保护性措施,其在限制盗版的同时也阻碍了合理使用,从而构成过度保护[15]。究其原因在于许多平台在设定代码规则时往往简单、粗暴,未能进行精细化的区分,在现有的技术条件下,要想使代码规则与法律规则保持完全一致恐怕还需要相当长的时间。正是由于代码规则与法律规则有可能出现偏差,基于代码的技术控制措施仍需要接受司法审查,以剔除逾越权利边界、超过合理限度的技术控制措施。
从私法上的权益救济的角度来看,当第三人非法侵入网络平台并获取、篡改或删除数据时,网络平台有两种救济途径:一种是依据反不正当竞争法请求损害赔偿;另一种则是依据民事侵权法请求损害赔偿。前一种救济途径适用于争议双方存在商业竞争关系时。如果立法者已经将非法获取网络平台数据的行为纳入到不正当竞争法的规制范围内并将其明确规定为一种具体的不正当竞争类型,那么,受有损失的网络平台可依据反不正当竞争法上的具体规定来主张权益;如果反不正当竞争法未做出具体规定,那么,可诉诸于反不正当竞争法上的一般条款来解决。
就侵权损害赔偿的救济路径而言,其并不要求加害者与受害者之间具有竞争关系。中国侵权责任法所保护的对象为民事权益,其包含受法律保护的利益而非仅限于绝对权,因此,其为数据权益获得侵权救济提供了足够的空间,从学理上讲,可将其解释为网络平台经营者的营业权遭受侵害。
关于反不正当竞争法与侵权法的关系,通常认为基于反不正当竞争法而产生的损害赔偿责任在本质上系一种特殊的民事侵权责任,当发生对一方当事人基于竞争的目的而采取的行为致使他人企业经营遭受损害时,原则上应当优先适用反不正当竞争法,仅在反不正当竞争法未有规定或其适用不足以保护受害人权益时,方适用民法典中关于侵权的一般规定[16]。
四、网络平台与第三人之间的数据权益纠纷
网络平台、用户和第三人之间呈现出一种三角关系。承认网络平台对用户提供并存储在平台上的数据享有一定的权益,其重点并不在于解决网络平台与用户之间的纠纷,因为此类纠纷基本上可以通过合同机制和现有法律规定来解决,其主要目的在于解决网络平台与第三人之间的数据权益纠纷,这也是实践中最常见的纠纷。网络平台是否拥有可以对抗第三人的权利是检验网络平台对于平台上的数据是否拥有独立权益的试金石。
从实践来看,网络平台与第三人之间关于数据权益的纠纷,常常是由于第三人从网络平台获取数据所导致的。第三人获取网络平台上的数据方式常见的主要有两种:一种是通过应用程序编程接口(Application Programming Interface,API)的方式,另一种则是使用网络爬虫等自动化程序(Robots)从网络平台抓取数据的方式。若采用API的方式,需要第三人与网络平台事先达成协议,第三人基于网络平台的授权,通过平台的API接口直接获取自己所需要的数据。若采用自动化程序抓取的方式,则不需要事先与网络平台订立合同,仅需要遵循互联网信息传输的技术协议与标准即可。
在许多数据权益纠纷中,第三人在面对网络平台的索赔时往往抗辩称:其获取的系用户的数据,如果构成侵权亦是侵犯用户的权利而非平台的权利,因此网络平台无权对其提出权利主张。对此,首先需要回答的问题是:第三人可否不经网络平台的同意,仅凭平台上的用户授权,获取平台上的用户数据。
存储在网络平台上的用户数据可分为两类,即非公开数据和公开数据。就第三人获取网络平台上存储的个人非公开数据而言,从中国司法实践的角度来看,在“新浪微博”与“脉脉”的不正当竞争纠纷案中,二审法院就第三人通过API方式从网络平台获取用户个人数据时应当遵循的法律规则做出了解释,并提出三重授权原则:网络平台在授权第三方获取用户的个人数据时应当事先征得用户的同意;第三方通过API获取平台存储的数据需要获得网络平台的授权;第三方使用平台上用户的个人数据时应当再次征得用户的同意。依照三重授权原则,第三人欲获取网络平台上的用户数据,仅获得用户的授权是不够的,还必须要获得网络平台的同意,因此,该原则实质上承认了网络平台对用户数据的控制权。该案的二审法院在论证判决理由时认为,对于网络平台企业而言,“数据已经成为一种商业资本”,是“经营者重要的竞争优势与商业资源”,因此,保护用户数据对于新浪微博经营者而言就是维护自身的“核心竞争优势”。
有疑问的是,对于用户的公开数据,网络平台可否限制第三人获取。用户自愿在网络平台上公开相关信息,可视为其同意他人收集该信息,尽管如此,一些网络平台仍通过一定的技术措施限制第三人抓取平台上的数据。在百度公司与奇虎公司关于抓取数据纠纷案中,百度公司在其相关网站的Robots协议中通过设置白名单的方式授权一些搜索引擎抓取网页数据,但将奇虎公司的360搜索引擎排除在白名单之外。北京市高级人民法院在二审判决中指出,百度公司在缺乏合理、正当理由的情况下,以对网络搜索引擎经营主体区别对待的方式,限制奇虎公司的360搜索引擎抓取其相关网站网页内容,影响该通用搜索引擎的正常运行,构成不正当竞争行为。应当说,上述法院关于Robots协议效力的看法双方应限于特定背景,即争议双方当事人均是《互联网搜索引擎服务自律公约》的签署企业,并且,Robots协议限制的对象是通用搜索引擎。关于Robots协议对于通用搜索引擎以外的数据抓取者的约束力,目前,中国既无立法的明确规定,亦无权威的司法解释。但是,北京市海淀区人民法院在最新做出的“超级星饭团”案判决中认为,平台经营者应当在一定程度上容忍他人合法收集、利用平台中已公开的数据,并且在无正当理由的情况下,不得对用户浏览和网络爬虫等自动化程序获取公开数据的行为进行区别性对待。基于上述司法意见,可以认为,网络平台对于平台上的公开数据并不拥有绝对的控制权。
然而,在百度公司抓取大众点评网用户评价数据的纠纷案中,法院则认为,被告抓取并使用原告平台上的数据构成不正当竞争。在该案中,双方争议的数据系大众点评网用户公开发表的评价数据,但是一审法院认为,用户点评信息是大众点评网经营企业的核心竞争资源之一,具有商业价值,并且平台经营者为此付出了巨额成本,网站上的用户点评信息是其长期经营的成果,因而认为百度公司通过技术手段从大众点评网等网站获取点评信息并用于充实自己的百度地图等服务,实质替代大众点评网向用户提供信息,其行为具有明显的“搭便车”“不劳而获”的特点,构成不正当竞争。该案的二审法院虽然维持了一审判决,但是在论证裁判理由时则认为,大众点评网的经营企业对用户点评信息并不享有法定的绝对权,而仅是一种受保护的利益②。
通过上述案例,可以看出,中国司法实践中,在处理网络平台与第三人的数据权益纠纷案中,法院通常区分平台上的数据为公开数据还是非公开数据。对于非公开数据,法院倾向于赋予网络平台较强的控制力,而对于公开数据则赋予网络平台较低的控制力。其实,无论是公开还是非公开,均是由用户决定的,数据内容亦是由用户提供的,所谓的控制权应当由用户而不是网络平台享有。然而,依照有的法院所确立的三重授权原则,网络平台对于用户数据获得了实质性的控制权,这就无法用保护用户权利来解释了。
在赋予网络平台对数据的控制权时,许多法院在判决中都提到了数据系网络平台的“商业资源”,这与笔者所主张的数据系网络平台的营业财产,具有观点相似性,但是笔者认为,营业财产权益并非绝对权,并不能从中简单地推导出“平台授权”的规则,换而言之,即使第三人未经平台授权而获得用户数据,也并不当然构成对平台的侵权,仍需权衡相关权益之后再做决定。
对于公开数据,法院倾向于鼓励数据的利用与流通,因而主张网络平台应在一定程度上容忍他人自由抓取数据,并对网络平台所采取的限制性措施进行合理性审查,这既与现代信息技术时代鼓励创新与竞争的精神相符,亦与互联网的文化和传统相符,因为互联网自出现以来其在技术设计时所遵循的原则就是开放,这也是默认的技术规则。在网络平台未采取用户权限设置和身份验证等明示的限制措施时,可以推定该网络空间是公开的、开放的,允许他人自由进入或对信息进行自由传输[14]。但是,法院在倡导公开、自由的同时并没有完全排除网络平台对平台上存储的公开数据的权益,亦不排斥网络平台基于正当的理由对第三人抓取数据进行必要的限制。如果第三人通过大规模抓取他人平台数据并在自家网站或App上展示足以达到替代原平台服务的程度,明显有违诚实信用原则,有可能被法院认定为不正当竞争。
尽管许多法院都认可数据系网络平台的“商业资源”,且承认网络平台为此付出大量的人财物方面的投入,但是,法院在做出具体判决时所依据的并不是《侵权责任法》而是《反不正当竞争法》,这一现象可以说明两点:一是争夺数据权益的双方往往都具有竞争关系;二是文章关于网络平台所享有的数据权益为营业权的观点,以及优先适用反不正当竞争法的观点是准确的。反不正当竞争法的保护路径与侵害绝对权的保护路径的不同之处在于,在认定是否构成不正当竞争时,并不存在黑白分明的界限,而是需要法院基于个案的具体情形对相关权益进行权衡,并且其在进行权衡时不仅要考虑到对于原告和被告(竞争双方)的利益的影响,亦需要考虑到其对消费者的影响,以及对竞争秩序的影响。
五、结语
用户提供并存储在网络平台上的数据系网络平台经营者的营业财产的一部分,网络平台经营者对此类数据享有一定的权益,其应当得到法律的承认和保护,对此在学理上可以被解释为营业权。除此以外,网络平台还基于法定或约定的数据管理职责而享有一定的反射性利益。由于同一数据之上有可能同时负载多方主体的不同类型的权益,网络平台对于数据并不享有独占性的权益。所谓营业权,虽名为“权利”,但其保护方式更类似于受法律保护的利益而非绝对权,其权利边界具有变动性和不确定性,并且会受到诸多限制。这意味着:他人未经网络平台经营者同意而抓取平台上的数据,甚至进行商业化利用,即使事实上导致网络平台遭受某种损失,也并不必然构成侵权;在认定是否构成侵权时,需要法院基于个案对相关权利和利益进行权衡。
网络平台经营者对于平台上的数据进行保护时可以采取技术控制和协议控制两种方式,但都不应逾越合理的限度。当网络平台经营者的数据权益遭到第三人损害时,如果加害者与受害者之间存在商业竞争关系,应当优先适用反不正当竞争法进行救济;当两者之间不存在商业竞争关系,或者适用反不正当竞争法不足以救济受害者时,可以适用侵权责任法给予受害者以救济。
注释:
① 例如,黄某(微信读书软件用户)诉腾讯科技有限公司侵害隐私权、个人信息权益案,北京互联网法院(2019)京0491民初16142号民事判决书。
② 例如,北京百度网讯科技有限公司与上海汉涛信息咨询有限公司不正当竞争纠纷案(上海知识产权法院(2016)沪73民终242号民事判决书)。
③ 例如,华为技术有限公司声称已获得用户的授权而主张获取、使用用户微信数据以提供个性化服务,从而与微信平台的运营方腾讯科技有限公司发生争执。参见:微信华为都在收集用户数据,作为用户你接受吗?[EB/OL].(2017-08-04)[2021-06-05].https://www.sohu.com/a/162266241_464100。
④ 2020年7月,全国人民代表大会常务委员会公布的《数据安全法(草案)》第3条第1款将数据定义为:“是指任何以电子或非电子形式对信息的记录。”该法律草案对数据和信息的概念进行了区分。
⑤ 笔者所称用户提供的数据,其含义要较通常意义的“用户生成内容”(UWC)的含义更为宽泛。用户生成内容通常是指用户有意识创作或制作的信息内容,而用户生成的数据亦用户使用的终端设备信息等非人工制作的信息。
⑥ 例如,百度公司与大众点评网纠纷案二审法院认为:当某一劳动成果不属于法定权利时,对于未经许可使用或利用他人劳动成果的行为,不能当然地认定为构成反不正当竞争法意义上的“搭便车”和“不劳而获”,这是因为“模仿自由”,以及使用或利用不受法定权利保护的信息是基本的公共政策,也是一切技术和商业模式创新的基础,否则将在事实上设定了一个“劳动成果权”。相关判决参见:北京百度网讯科技有限公司与上海汉涛信息咨询有限公司不正当竞争纠纷案二审判决书——上海知识产权法院(2016)沪73民终242号民事判决书。
⑦ 参见:全国人民代表大会常务委员会公布的《民法总则(草案)征求意见稿》第103条;关于立法过程的描述,参见:陈甦.《民法总则评注》(下册)[M].北京:法律出版社,2017:878—879。
⑧ 此处所谓“营业转让”,系指作为客观意义上的营业转让,即营业财产的整体转让,作为构成营业财产的各组成部分将随之转让。
⑨ 《信息安全技术个人信息安全规范》(GB/T 35273—2020)9.3。该规范并未对“收购”“兼并”的具体含义做出界定。在公司法上,对收购与兼并(M&A)通常理解为:收购包括股份收购与资产收购两类。关于收购与兼并(M&A)的各种交易形式,参见:斯蒂芬·贝恩布里奇.美国并购法[M].李晓新,译.北京:法律出版社,2018:64—72。
⑩ 例如,在美国加州联邦地区法院审理的“eBay诉Bidder’s Edge”案(100 F.Supp.2d 1058(2000))中,原告eBay是美国知名的网上拍卖网站,而被告Bidder’s Edge是一家网上拍卖信息聚合网站,其本身并不经营拍卖业务,而是从其他拍卖网站获取拍卖信息并将其聚合在一起,以供买家进行一站式搜索和价格比较。原告通过用户协议和在网站设置Robots协议的方式明确禁止用户采取自动化程序的方式抓取eBay网站上的数据。在被原告明确拒绝的情况下,被告仍然从原告网站上抓取数据,每日访问原告网站约100 000次,尽管被告从事的数据传输量仅占原告服务器对外数据传输量的1.10%,但是法院仍然认为,如果不对被告的行为进行制止,那么将会引来众多的效仿者,届时有可能导致原告服务器负担过重而无法正常为客户提供营业服务,因此,发布禁令禁止被告抓取原告的数据。