要目
商业数据的立法保护,是回应数据产权制度顶层设计的重要举措。在准确认识权益特点,全面总结司法实践,充分借鉴域外经验的基础上,应通过修改反不正当竞争法,专设数据保护条款,针对以企业数据为核心的商业数据,构建一种既赋予一定排他性,又兼顾数据流通利用的商业数据弱权利保护机制。采取数据专条保护模式应当立足于权利式保护,使数据权益保护具有确定性和事先可识别性,并将事先的保护措施规定为受保护数据的构成要件,成为是否予以保护的重要界限。在具体的条款设计中,应以激励数据生成和促进数据流通利用为导向,设定受保护商业数据的构成要件,对侵权行为进行类型化界分,划定商业数据的保护边界,推进数字经济的有序健康发展。
一、问题及基本背景
2022年6月22日,中央全面深化改革委员会第二十六次会议对数据产权构建作出顶层设计,即建立数据产权制度,推进公共数据、企业数据、个人数据分类分级确权授权使用,建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制,健全数据要素权益保护制度。这种数据产权架构显然既体现了数据集合(公共数据和企业数据)与个人数据的相互交织,又允许数据持有权、加工使用权和数据产品经营权的相互分立和相对独立,尤其排除了数据的绝对排他性权利。数据产权架构需要通过相应的法律制度设计加以具体落实。基于既有的数据权益保护实践以及数据产权本身的特殊性,反不正当竞争法可以成为架构和保护企业数据权益的重要法律部门。
我国有关部门已启动反不正当竞争法第三次修订。该法的任何一次修订都有其重点和亮点,此次修订应当将数据权益保护作为一项重点和亮点,使其成为大数据时代修订反不正当竞争法的一个鲜明的时代印记。当然,大数据背景下纳入反不正当竞争法保护的并非所有涉大数据的数据类型,而只限于具有市场竞争意义和能够作为竞争性财产的商业数据,即以企业数据为核心的商业数据。之所以提出将商业数据纳入反不正当竞争法保护,主要因为目前尚无更为合适的保护路径,而反不正当竞争法的调整特性更为契合商业数据权益保护。
中央全面深化改革委员会第二十六次会议将企业数据与公共数据和个人数据相对称,企业数据亦属当前业界最为流行的商业数据称谓。国外文献有“数据集合”“商业数据”或者“工业数据”等称谓。本文所称的商业数据大体对应于企业数据,但之所以称其为商业数据,旨在强调其市场意义和竞争价值,使其更为契合反不正当竞争法的保护场景,并与商业标识、商业秘密等称谓更为协调。而且,商业数据的持有人可以是自然人、法人和非法人组织,可能不限于通常意义上的企业。例如,重庆市数据条例第33条第1款规定:“自然人、法人和非法人组织可以通过合法、正当的方式依法收集数据。”使用商业数据称谓更能准确反映其收集主体、对象和目的,可以涵盖所有用于商业用途和市场竞争的数据。为此,本文将企业数据称为商业数据,即用于商业目的或者市场竞争的数据集合。
商业数据权益保护须寻求操作性路径因民法典对数据未作民事权益属性上的明确定性,近年来我国学界对于数据界权(赋权)进行热烈探讨,对其财产属性进行了多种界定,比较有代表性的观点是将其比照物权思路进行描摹,或者按照知识产权或者类知识产权无体财产进路进行定性,还有其他各种各样的界说。这些界说无非围绕数据集合(数据集)的权利属性以及数据集合与其个人信息等信息来源的关系等问题展开。这些基础性学理探讨多是对数据界权进行法学和法经济学上的理论建构,其中不乏宏大叙事,对于厘清数据保护正当性以及保护机制至关重要。当前数据交易和保护早已成为突出的实践问题,已无需太多的保护正当性论证,当务之急是寻求操作性方案和解决实际问题。目前的学术探讨在宏大叙事上各显其能并异彩纷呈,但在关切操作性问题上还有所缺位,缺乏对于建设性操作方案的系统设计。在中央全面深化改革委员会第二十六次会议对数据产权的分权界权路径和机制已作出顶层设计的背景下,数据权益保护的正当性已毋庸置疑,接下来是如何通过具体制度设计构建可操作的数据产权制度。
在保护上宜区别各类数据将数据区分为公共数据与企业数据(商业数据)大体已形成共识,并为地方性法规等所普遍采纳。深圳、上海、重庆等地方性立法已开始区分公共数据与市场数据。例如,深圳经济特区数据条例将数据区分为“个人数据”和“公共数据”,并规定了市场主体的数据,即在“数据要素市场”的专章规定中指出,“市场主体对合法处理数据形成的数据产品和服务,可以依法自主使用,取得收益,进行处分”(第58条)。上海数据条例规定了“公共数据”和“数据要素市场”,后者涉及市场主体拥有和交易的数据。重庆市数据条例第33条规定,自然人、法人和非法人组织可以通过合法、正当的方式依法收集数据;对合法取得的数据,可以依法使用、加工;对依法加工形成的数据产品和服务,可以依法获取收益。这些地方性法规等文件并未正式提出与公共数据对称的企业数据概念,只是在数据要素市场的规定中暗含了与公共数据对称的市场性数据类型。中央顶层设计正式使用企业数据概念,并将其与公共数据相对称。公共数据和企业数据具有不同的收集主体、收集对象和收集目的,其界限能够清楚地划分,在产权界定上没必要混为一体,需要分别单独界定,并构建不同的法律规则。两类数据的区分又是独立界定商业数据产权和构建其保护制度的事实和法理基础。反不正当竞争法只是保护以企业数据为核心的商业数据。
鉴此,将数据区分为公共数据与企业(商业)数据,并在反不正当竞争法场景下正式采用“商业数据”的对应称谓,是必要和可行的。商业数据包括公共数据以外的自然人、法人和非法人组织依法收集获取的数据。
数据权益保护的实践基础当前的数据权益保护已有比较丰富的实践,且除个别涉及著作权和商业秘密保护以外,主要纳入反不正当竞争法进行保护。实践的选择是不可辩驳的活生生现实,又有其必然的选择逻辑和保护正当性,并不是纯粹的巧合和偶然。保护实践已积累了诸多经验和形成系列共识,可以进行制度化的总结升华。在设计数据权益保护制度时如果罔顾社会现实和实践逻辑,更易于流于自说自话和纸上谈兵。现实实践至少能够提供深化研究的重要逻辑起点。
反不正当竞争法不可能触及所有的数据权益保护,而只就具有商业价值或者市场竞争意义的商业数据给予保护,且需要限定保护条件和保护范围,平衡多种利益。鉴此,本文拟在分析数据保护实践的基础上,以反不正当竞争法修订为契机,探讨将商业数据纳入反不正当竞争法保护体系,期望在此基础上进一步构建数据登记和数据交易等制度。
二、数据权益反不正当竞争保护的实践分析、域外借鉴与法律定位
当前数据权益反不正当竞争保护实践的利弊分析当前商业数据权益的反不正当竞争保护,已进行较多的实践积累,并形成系列标杆性判例,如涉及用户信息数据集合的“新浪微博诉脉脉案”、涉及用户发布数据的“大众点评诉百度案”、涉及平台自采数据的“谷米诉元光案”、涉及衍生数据产品保护的“淘宝诉美景案”以及近几年来裁判的涉数据保护之争的“奇虎诉百度案”、“新浪微播诉今日头条案”等。法院已大致形成趋势性的裁判范式,即首先确定原告是否有受保护的数据权益,然后确定被诉行为是否正当,据此决定是否给予数据保护。决定数据是否保护及被诉行为是否正当,通常考量以下三方面的要素:
一是原告是否享有可保护的法益。这涉及数据产生的合法性、原告对于数据形成的付出(贡献)以及由此给原告带来的竞争利益(竞争优势)。原告能够证明对于数据的收集或者生成付出了一定的人力和物力等,即具有可保护法益。具体而言,当前裁判认定原告是否具有合法权益主要考量原告是否为涉案数据的合法运营主体;对数据是否投入了运营成本、提供了经营服务,包括但不限于收集、存储、编排、管理、传播等经营活动;为维护数据安全付出成本;其他对数据进行衍生性利用和开发的行为;与用户签订的协议中是否有关于数据权属、使用的约定;是否因此可获得商业利益,取得竞争优势。对于涉个人信息的企业数据,个人信息的收集获得用户同意即具有合法性。基于以上考虑,无论是原始数据还是经合法收集并深度加工后形成的数据,一般承认互联网平台享有数据权益。例如,“微博诉脉脉案”法院保护的是由原始个人信息集合而成的数据。“淘宝诉美景案”法院保护的是衍生数据产品。在许多案件中法院并未进行细化区分,认为即使是用户发布的原始数据、公开数据,仍具有可以为平台带来现实或者潜在、当下或者将来的经济利益的属性,属于平台可主张的反不正当竞争法益。当然,有些法院对这类数据流通、使用的利益平衡问题进行了特别关注。
当然,当前裁判对于可保护性数据也存有一定的分歧。对于合法收集并深度加工后的数据,普遍认为应由平台享有数据权益。但是,对于源于用户、平台未进行深度加工的数据以及公开数据的权益确定和归属问题,法院在区分标准和认定思路上不尽一致。例如,“淘宝诉美景案”二审判决认为,应当区分平台对数据的投入度因素,即简单的对用户信息的转换、记录不足以使平台获得独立的权益,网络运营者对于原始网络数据仍应受制于网络用户对于其所提供的用户信息的控制,网络运营者只能依其与网络用户的约定享有对原始网络数据的使用权。“微信诉群控软件案”二审判决认为,应当区分数据资源整体和单一用户数据,网络平台方对于数据资源整体与单一数据个体所享有的是不同的数据权益。“就平台数据资源整体而言,系平台投入了大量人力、物力,经过长期经营积累聚集而成的,该数据资源能够给平台带来商业利益与竞争优势,平台对于整体数据资源应当享有竞争权益。”“就平台单一数据个体而言,例如用户发布的内容数据、用户的头像昵称等。该部分数据只是平台的原始数据,并非其所产生的衍生数据。由于网络资源具有‘共享’的特质,单一用户数据权益的归属并非谁控制谁享有,使用他人控制的用户数据只要不违反‘合法、正当、必要、不过度、征得用户同意’的原则,一般不应被认定为侵权行为。”
二是被诉行为是否对原告法益造成损害以及损害竞争秩序。获取或者使用原告的数据,就是对原告法益的损害。当前裁判主要涉及是否对市场竞争秩序造成损害;是否对消费者的合法权益造成损害(如侵犯消费者的知情权、选择权或隐私权等);是否对原告权益造成损害,例如是否构成实质性替代,减少原告流量或预期利益,导致原告投入更多成本对抗数据抓取,妨碍原告产品运行,危害原告数据安全等。特别是对于使用而言,最为典型的判断方式是,原告需证明被告与原告的数据使用或者商业模式存在实质性替代关系,使用上的替代即是否达到可替代的程度,由此还发展出判断对他人数据的使用是否适当的“合法、正当、必要”标准。例如,“大众点评诉爱帮网案”“大众点评诉百度地图案”和“阿里巴巴诉码注公司案”等均进行了数据使用程度的判断。“淘宝诉美景案”法院判决认为,被告的商业模式实质性替代了原告的商业模式,损害了原告的合法权益。在一部分企业数据不正当竞争纠纷案件中,法院针对被告商业模式实质性替代原告商业模式不明显的情形,进一步作出定性判断。例如,在新浪微博诉脉脉不正当竞争纠纷案中,法院认为,被告通过技术手段任意获取原告事实控制的数据,破坏了互联网竞争秩序,对诚实遵守原告《开发者协议》的其他经营者和作为数据开放平台的原告而言,其合法权益确因“该竞争行为而受到实际损害”。
三是被诉行为是否具有不正当性。主要以是否违反诚实信用或者商业道德进行衡量,并经常涉及或简或繁的利益平衡。当前被评价具有不正当性的行为主要有:违反“爬虫协议”抓取与利用,超出约定范围访问与利用,以获得用户同意之名获取与利用,以及以其他方式获取数据与利用。
学界尤其是实务界对于涉数据保护不正当竞争裁判已进行详细梳理和深入总结研究,在此不再赘述。总体上看,当前数据的反不正当竞争保护有突出特征和明显优势。首先,典型的实用主义和务实保护态度。除个别数据裁判援引反不正当竞争法第12条兜底条款外,大多数裁判均援引第2条一般条款保护数据权益,均系在肯定数据权益受保护的基础上,通过竞争行为正当性判断进行数据权益保护。这种保护可以搁置数据权益法律属性及具体权利边界等争议,通过灵活机智的保护标准运用,使数据权益得到其应有的保护。这种典型的实用主义态度,在较大程度上暂时满足了数据权益保护需求。其次,具有保护上的高度弹性,避免过于刚性的数据排他权保护。尤其是,部分法院对数据流通、使用的利益平衡问题进行了特别关注。例如“大众点评诉百度地图案”二审判决指出,即使平台可以对用户发布的公开内容数据进行权益主张,但是考虑产业发展和互联网环境具有的信息共享、互联互通的特点,需要兼顾信息获取者、信息使用者和社会公众三方的利益。“微信诉群控软件案”二审判决强调网络资源具有“共享”的特质,使用他人控制的用户数据不超过一定限度并不必然构成侵权行为。
当然,当前数据权益反不正当竞争保护是一种事后保护,没有预定的具体法益模式,而通过个案裁量进行个案保护,存在明显的不足,注定其只能是一种过渡性选择,而不是一种终极性办法。
其一,通过反不正当竞争法一般条款进行的保护只是一种消极的不确定性保护。以一般条款保护数据,“需要在不正当竞争法的分析框架下进行,从一般条款的适用要件入手,综合分析数据类型、对数据持有方的损害程度、获取和使用方式是否违背商业道德以及个人信息保护等因素,判断竞争秩序是否受到损害、被诉行为是否构成不正当竞争”。例如,以一般条款认定侵害数据的行为是否构成不正当竞争,通常需要根据是否符合商业道德进行判断。许多数据权益类案件的判决都是基于是否符合商业道德进行论证说理。但是,在一些新兴的或快速迭代更新的网络领域,行业秩序尚未成形,并不存在已被广泛认可的商业道德,此时只能由法官来创设和定义所谓的商业道德。此时法官据以裁判的最根本的不正当性判断标准在于被诉行为是否有损竞争机制或者竞争秩序,是否产生了扭曲竞争的后果。被诉行为对竞争机制的影响较为抽象,但是一旦竞争机制受到损害,竞争机制内相关主体的利益必然也会受到影响,因而分析被诉行为对经营者利益、消费者利益以及社会公共利益的影响,成为一种更具象化的评价方法。从当前的裁判思路看,不正当竞争认定仍有一定侵权判断范式的色彩,即将原告的合法权益、涉诉行为对原告的损害、被告的主观过错作为判断行为正当性的重要要素。但越来越多的案件开始采取行为正当性的判断范式,将涉诉行为放置于公共利益、经营者利益与消费者利益的“三元叠加”利益衡量格局下,对多元法益进行统筹兼顾和综合考量。不过,个案中不同利益之间的序位、权重和内在联系非常考验原被告双方的举证能力和裁判者的裁判水平。
这种利益衡量的论证思路体现在众多数据权益类案件中。如在“大众点评诉百度地图案”中,法院认为,对于擅自使用他人收集信息的行为是否违反公认商业道德的判断上,一方面,需要考虑产业发展和互联网环境所具有的信息共享、互联互通的特点;另一方面,要兼顾信息获取者、信息使用者和社会公众三方的利益,既要考虑信息获取者的财产投入,又要考虑信息使用者自由竞争的权利,以及公众自由获取信息的利益,在利益平衡的基础上划定行为的边界。在此基础上,法院认为被诉行为虽然在商业模式上进行了一定程度的创新,但仍然会产生替代性后果,而且百度本可以以对大众点评损害更小的方式达到其创新目的,却未采取。因此,其使用方式已超过必要的限度,构成不正当竞争。这种保护只是基于个案裁量,未能预先确定特定的保护客体、保护条件和保护范围,裁量余地大,裁判标准具有不确定性,因而在具体保护上具有较大变数。
其二,不适宜大量、重复和反复的数据权益保护需求。以一般条款保护新法益,通常应对的是偶发性、难以类型化的法益,一般条款对此可以不断地应一时之需。但是,大数据背景下的数据权益保护已成为大量、反复出现和前后一致的保护需求,可以且必须给予类型化保护。以一般条款进行不确定性和变动不居的个案保护,只能是过渡性选择、权宜之计和应急之策,目前已有足够的经验积累和迫切的保护需求,应该尽快提升保护层次。
其三,应景式个案保护不利于事先建立系统、明晰和稳定的保护标准。当前对于数据权益保护的个案裁判虽已形成诸多共识,但个案裁判色彩浓厚,保护标准把握不尽一致。特别是,依据一般条款进行裁判的裁量余地太大,裁量因素考量不一,缺乏稳定性、一致性和系统性,不适合大数据法益保护的现实需求。根据大数据权益保护需求,应当尽快构建明确的保护客体、保护条件以及将侵权行为类型化,由此构建客体明确、边界清晰和标准一致的数据权益保护制度,不再需要进行复杂和不确定的个案裁量。
其四,将数据权益类型化为反不正当竞争法具体法益的条件已经具备。鉴于公共数据与企业(商业)数据的区分已达成共识,商业数据又是重要的市场竞争资产,以反不正当竞争法类型化的方式保护商业数据权益的条件已经成熟。反不正当竞争法本来具有保护具体法益与维护一般市场竞争秩序的二元保护体系,商业标识、商业秘密等都是类权利或者权利式的具体法益保护,而将数据权益纳入保护范围,规定其保护条件和固化侵权行为类型,可以实现数据权益保护的稳定性,因而同样具有反不正当竞争法保护既能赋予一定排他权、又保持应有灵活性的高度契合性。
总之,当前的丰富实践已展现了商业数据权益及其保护的诸多面向,同时也显示了事后保护和个案裁判的固有缺陷,表明已不适于应对日趋重要的大面积的数据权益保护需求。数据的重要性及其广阔的发展前景,均要求确立有明确保护客体、保护边界和保护标准的制度,实现一定程度的预先赋权性保护。
数据反不正当竞争保护的国外经验近年来大数据保护问题引起全球关注和热议,但美、欧就大数据保护进行专门的直接立法还未多见。例如,美国法院裁判了一些与数据保护有关的案件,欧盟更为关注个人数据和数字市场之类的立法,也更为关注公共数据,对于公司数据并未进行专门性赋权,而散见于多种保护,更多是有限的事实“占有”保护,而不是承认所有权。这些保护涉及数据库权、商业秘密、反不正当竞争以及合同保护。欧盟一般数据保护条例(GDPR)准予处理个人数据的数据控制人对数据进行商业利用,但仍属事实控制,并未赋予控制人直接的排他权或者针对第三人的救济。这种通过合同等进行的事实控制以及相应的法律保护,被认为已构成强有力的保护机制。当然,欧盟也在研究对于机器生成的非个人数据和匿名化的数据是否赋予生产者权。对于是否赋予专门权利的讨论,涉及如何设定赋权条件、数据专门赋权是否打破现有的权利格局、如何对待复杂的信息情形和众多参与方利益分配等特殊问题,以及专门赋权是激励还是阻碍创新等。日本迅速通过反不正当竞争法修订引入数据保护条款,韩国又紧随其后。
在物联网、大数据、人工智能等信息技术进步和第四次工业革命背景下,数据越来越成为高价值市场竞争力的保护需求,为营造激励数据创建者、收集者、分析者和控制者付出努力的环境,并回应日益高涨的打击侵害数据权益行为的业界呼声,日本有关方面在认真研究论证的基础上,于2018年通过修订反不正当竞争法引入保护“限定提供数据”的制度,作为日本在数据保护方面作出的迅速的立法应对。韩国紧随其后,于2021年11月11日通过不正当竞争防止法(不正当竞争防止以及商业秘密保护相关法律)修订案,采取大致相同的数据保护制度。
日本对于如何保护数据曾经进行了审慎论证。2016年5月,日本知识产权战略本部开始讨论大数据保护问题,并于当年10月设立新型信息财产检讨委员会,讨论人工智能和大数据议题。考虑到赋予数据所有者排他性权利即赋权路径,可能会阻碍他人灵活利用数据,最后倾向于通过类型化不正当利用数据行为加以保护,即采取行为规制的路径。2017年5月日本知识产权战略本部发布的《2017年知识产权推进计划》,以及2017年6月日本内阁会议通过的《2017年未来投资战略》均提及,为构建一个产业界各方可以安心进行数据交易的制度环境,决定修订现行日本反不正当竞争法。2017年12月起,日本经济产业省下设的产业构造审议会知识产权分科会即开始审议第四次工业革命中反法相关议题,包括:(1)将不正当获取数据等作为新的反不正当竞争行为;(2)适应需求修改技术限制手段的保护对象的方向性。
具体而言,2017年7月日本经济产业省设置不正当竞争防止小委员会(以下简称“小委”),正式讨论反不正当竞争法修订的具体方案。鉴于无论是立法技术还是立法效果都不能将赋权路径作为最佳选择,而现行法中商业秘密立法的行为规制路径可资参照,在确定行为规制路径后,小委听取了各界有关大数据的制度诉求,并表示出对过度保护的担忧,即如果将广泛的数据利用行为认定为不正当竞争行为,可能造成阻碍数据后续灵活利用的不良后果,因此,行为规制路径的制度设计,需要考虑数据提供者与利用者之间的利益平衡,且以最小范围规制作为基本方针。根据该方针,新法保护客体应采取ID、外部控制等管理措施,且这些数据对于特定对象人群具有商业价值;行为类型限定在无访问权限者的侵害行为、数据交易中明显违反诚实信用原则的行为、明知不正当获取转送给数据所有者以外的第三人和性质恶劣的行为等。鉴此,最后修订的日本反不正当竞争法将所保护的数据限定为“受保护数据”,即商业秘密以外的,以营利为目的向特定人提供,采用电磁方法积累了相当数量,并进行了电磁管理的技术信息或者经营信息。并且,该法规定了所禁止的几类侵权行为,即未经许可的获取、使用和披露“受保护数据”。鉴于数据保护制度的初创背景,考虑数据保护和利用的平衡,新修订法律只引进必要的最小限度的民事救济措施。
而且,2018年日本国会修订反不正当竞争法之初,即要求应以该法施行3年后(即2022年7月)为目标,从促进数据流通和利用的视角出发,参考数据商业的发展、技术革新的动向等,对修订后反不正当竞争法的实施状况进行调研,讨论所需采取的措施。为此,日本通产省产业构造审议会知识产权分科会反不正当竞争小委员会(以下简称“小委员会”),在限定提供数据保护制度研究项目上考虑了制度创设以来实务的进步、政府在推进数字化上的进展等,有意从运用和制度两个层面推进限定提供数据保护制度的完善。例如,小委员会认为,仍不需要采取更多的额外救济措施,因为限定提供数据保护制度正在逐步实施,在本阶段重新考虑上述措施可能会造成实务上的混乱。但是,考虑保障经济安全等,若行为伴随在日本以外使用的目的,可能受到刑事处罚。此外,还对“作为秘密管理的数据除外”要件的适当性,“涉善意取得的适用除外”规定中“善意”的判断基准时刻等进行了研究。小委员会还总结了今后限定提供数据保护制度的研究方向,即在运用层面修订《关于限定提供数据的指针》;在制度层面继续研究创设制度时搁置的措施,密切关注实际业务的发展;就“作为秘密管理的数据除外”要件之适当性,首先考虑修订《关于限定提供数据的指针》,再研究进一步的制度准备;就“涉善意取得的适用除外”规定中“善意”的判断基准时刻,未来需要在处理好限定提供数据转得者交易安全和原来限定提供数据持有者利益平衡的基础上,结合实施该制度的经营者需求和个别案件等,推进研究。
综上所述,日本根据数据权益保护的阶段性需求,基于利益平衡的审慎考量,没有采取赋予排他性权利的赋权路径保护数据,而采取了反不正当竞争的有限保护,且鉴于保护初期的实际,在救济措施等方面保持了谦抑和适度,避免过度保护。日本的成文法保护思维以及在现有法律框架下寻求反不正当竞争法保护路径,极为契合数据保护实际。日本立法的专门化法条模式、平衡思维和审慎态度,较有借鉴价值。
我国数据反不正当竞争保护制度之定位民法典第127条“法律对数据……保护有规定的,依照其规定”的留白性规定,将数据的保护留给法律进行具体规定,但迄今尚无法律对于数据权益作出正面回应的保护性规定。结合数据权本身的特性、既有的保护实践以及借鉴国外经验,目前首先在反不正当竞争法中增设数据权益保护条款,既有必要又契合实际。
首先,反不正当竞争法采取限定性数据权益保护。反不正当竞争法只就商业数据提供保护,并定位于符合特定条件的数据,即权利人对其数据采取管理措施并限定提供条件的数据,将现有数据保护实践升华为可公开性限定提供数据权益保护,以此区别于非限定提供性的公开性商业数据,以及用于公共用途的公共数据。此类数据是一种竞争性资产,纳入反不正当竞争保护契合其财产属性,并确保保护上的灵活性。
其次,商业数据保护定位于弱权利保护。总体上说,商业数据构成内容的多元性、流动性以及价值不确定性,其权利定位应当是弱权利,即排他性较弱,且通过列举侵权行为的方式限定保护范围、保护方式和保护强度。例如,反不正当竞争法对于商业秘密的保护属于弱权利保护,即民法典虽然将商业秘密定位于知识产权的类型之一,但商业秘密同样因不具有绝对的排他性等而属于弱权利。商业数据权可以定位为类似商业秘密权的权利,归入弱民事权利之列。特别是,数据集合的特性与反不正当竞争法弱权利保护极为契合。这是因为,数据集合具有构成内容的整体确定性与构成要素的变动(流动)性。数据作为各种信息的规模性集合,既有模糊性又有确定性,是一种模糊基础上的准确即“模糊的准确”,也即数据集合的边界或者范围能够确定,即使构成数据的个体信息变动不居,但数据的整体边界和范围应该是确定的,至少能够按照一定的标准或者方式加以确定;或者可以大而化之地进行概称和保护,构成元素的流动性不影响数据整体的保护。因此,完全可以出现整体上的清晰性与个体信息上的变动性的有机结合。数据整体的确定性与构成内容的可变性,不但不影响数据作为权利客体,恰恰体现了数据权的特性,也使得数据权具有独特的根基和保护必要性。这主要是因为,数据的价值在于规模性整体,个体信息的局部变化不影响数据集合的整体价值,只要整体上是可以确定的,就可以作为固定的权利客体。而且,数据集与单个信息具有分合性。数据是单个信息的规模性集合,单个信息是数据的构成成分,两者之间既可以分离,又结合为一体。规模性数据集合不影响单个信息的权利存在,也即单个信息(如个人信息)可以成为单独的权利客体,且个人信息等权利可以构成对商业数据权的行使限制。但是,商业数据的权利与个人信息权利指向不同的对象,有关联、有制约但更有可分性。反不正当竞争法通过界定受保护数据的条件和侵害行为类型,使得数据持有人得到相应的权益,但不影响其权利客体构成的变动和复合,能够兼顾各方利益,实现利益平衡,便利数据利用、共享和流通。
最后,商业数据的有限赋权和权利定位可以为构建数据交易制度和开展经营活动奠定基础。当前我国数据交易活动方兴未艾,政府推进的数据交易所已有多家,强化数据交易乃大势所趋。数据交易必须以明确数据产权为前提,反不正当竞争法确认商业数据的权利定位并界定其边界,不仅使其具有消极权能,还可以具有积极权能,成为可以积极行使的权利,从而为市场交易提供条件。
三、受保护数据的构成要件
受保护数据的总体构成笔者曾经提出过商业数据合法性、集合性、管理性、可公开性和商业价值性等构成要素。日本反不正当竞争法第2条第7款将受保护数据的构成要件规定为限定提供性、电磁管理、规模性积累以及商业秘密以外的技术和经营信息。反不正当竞争司法解释草稿曾经在总结审判经验的基础上,设定了可保护数据的基本条件,即“征得用户同意、依法收集且具有商业价值的数据,并足以实质性替代其他经营者提供的相关产品或服务,损害公平竞争的市场秩序”。结合数据权本身的特性、既有的保护实践以及借鉴国外经验,纳入反不正当竞争保护的数据应当具有合法性、规模性、管理性、公开性和商业价值,即商业秘密以外的以营利为目的向特定人提供,采用电磁方法积累了相当数量(达到相当规模),并进行电磁管理的技术信息或者经营信息。
首先,受保护数据基于大数据背景。受保护数据不同于传统意义上的数据库等数据,而是大数据意义上的规模性数据,且其存在形态等还必须有大数据特征,如电磁存储。大数据背景下的数据集合,是指具有较强经济价值、能够提升具体场景中商业决策效率的可公开性数据,比如大众点评网站的用户评论、百度地图的地理信息、天猫的商品展示页面中的信息、微博平台中的用户评论。不论是简单对用户信息转换、记录所形成的规模性数据信息,还是经复杂处理和深度加工形成的数据产品,均可在保护之列。
其次,受保护的数据应当区别于可以自由获取的公开数据,应当是持有人有保护意愿和采取保护措施的数据。不论是未经编排处理的原始数据集合,还是依照特定意图加工处理形成的数据产品;不论是积极收集获取的数据,还是作为电子商务等网络经营活动副产品的数据,均可以纳入受保护范围。
最后,价值性是数据保护之本。数据必须有商业价值,无论获取数据的投入程度如何,也不论是否为电子商务等经营活动的副产品,只要其具有价值即可受数据权益保护。之所以保护未经加工处理的原始数据,也是因为其具有价值性。当前裁判为论证保护正当性而对数据投入等进行的考量,也不再作为数据保护的要素。归根结底,价值性是保护必要性和正当性之根本所在。
受保护数据的保护措施
数据获取行为通常是因破坏保护措施而引起,当前的裁判通常将破坏数据保护措施的行为认定为不正当。破坏保护措施通常有三种情形:第一,破坏技术措施。拥有大量数据资源的平台往往会采用特定技术措施防止他人获取,因技术措施的强度和有效性不同,破坏不同技术措施的不正当性程度也有差异。例如,通过破坏用户身份认证系统,如“账号+密码”、数字签名、指纹识别等保护措施,获取他人数据,通常会被认为具有很强的不正当性。更为常见的是“反爬虫”技术,如通过检测UA来控制访问、限制IP及访问次数、设置验证码或滑动条等。对于数据持有人而言,投入多少成本、设置何种强度的反爬虫措施,是其根据自身经营情况和公开意愿作出的选择。数据持有人通过技术措施对数据抓取行为作出限制,体现了其积极保护自身权益的诉求和努力,也体现了私法自治和自决权的珍贵价值,因此破解、规避、绕开“反爬虫”技术的限制抓取数据,被作为评价竞争行为是否具有不正当性的重要因素。第二,违反双方约定。此即违反约定的范围和条件抓取数据,如“新浪微博诉脉脉案”涉及的数据抓取行为。第三,违反robots协议抓取。违反robots协议一般被初步认定为违反商业道德,但在特殊情况下,确实也存在robots协议不当设置的情况,此时被告可以提出抗辩并提供相关证据予以证明。
当前的裁判是以破坏保护措施作为是否具有不正当性的判断因素,但数据权利化保护则是将保护措施作为受保护的商业数据的构成要件,以此衡量数据是否可保护。数据权益保护中的保护措施是为了宣示权利意思,并足以让当事人识别出来。此种保护措施相当于日本反不正当竞争法所规定的电磁管理措施。数据持有者采取管理措施的具体内容和管理程度可因企业的形态和规模、数据的性质等不同而不同,但应当达到第三人容易且能够认识的程度。比如,数据持有人采取限制特定人以外的第三人访问其管理的数据的技术措施,通常包括认证技术、通过专用传输线路提供。认证技术多种多样,如ID和密码,IC卡、特定终端机和令牌,面部特征或者表情、指纹等生理信息认证,电子证明书、IP地址、激活方式、将数据暗号化,等等。采用专用传输线路向特定的人提供数据,也可以起到限制第三人访问、干扰和利用数据的作用。
就受保护数据的保护措施而言,首先,它表明权利人具有主张权利的意思,也即在于宣示权利人主张权利的意愿,这是赋予其权利的主观条件;其次,它是权利人主张权利意思的客观表达,第三人据此知悉其权利的存在并感知其权利的边界,可用以划定数据权的边界,以维护交易安全和公众行动自由;再次,它是与公有领域数据相区分的标尺。如果对数据不采取保护措施而任由第三人获取和使用,此类数据可以构成公有领域的数据,或者应该将其归入公有领域,避免因采取诸如实质性替代之类的标准事后判断侵权而导致的不确定性,以降低公众自由利用的过度风险。鉴此,对于保护措施的保护要求不宜太高,以达到足以表达权利意思和能够加以识别的程度为已足,不同于商业秘密保护中的保密措施。
当前司法实践已将是否遵守robots协议作为认定不正当竞争行为的重要标准。对于他人获取行为采取robots协议进行保护的网络信息,他人擅自通过爬虫等方式进行抓取,通常被认定构成不正当竞争。例如,在“腾讯公司与斯氏公司不正当竞争案”中,被告系“极致了”产品的经营者,其未经腾讯公司许可,突破限制措施而抓取了受保护的数据信息,因而被认定为构成不正当竞争。但是,有些裁判涉及认定robots协议是否不合理限制竞争对手发展问题。如奇虎诉百度案因百度对robots协议的歧视性设置方式,导致360搜索引擎无法抓取其相关网页内容,法院认为,百度在缺乏合理、正当理由的情况下,以对网络搜索引擎经营主体区别对待的方式,限制奇虎抓取其相关网站网页内容,影响该通用搜索引擎的正常运行,构成不正当竞争。但是,微梦与字节跳动不正当竞争案二审判决认为,非搜索引擎场景应用的网络机器人,已经不像搜索引擎那样当然地对公众利益以及互联网的互联、互通、共享、开放的精神产生影响,因此在对这些网络机器人通过robots协议进行限制时,不宜当然地借用对于搜索引擎进行限制的规则。被诉行为应属于微梦创科公司企业自主经营权范畴内的正当行为,不构成不正当竞争行为。这些裁判提出了robots协议的设置是否合理问题。
采取有限赋权的数据权保护之后,鉴于robots协议已为互联网领域所公认,能够用以表达数据权益保护意愿并足以为他人识别,因而可以成为数据权益保护措施。而且,在将保护措施固化为数据权益的构成要件时,是否采取保护措施成为是否保护数据权益的先决条件,且在法律类型化侵权行为之后,在数据权益保护上应该不再涉及robots协议设置是否合理的判断问题。
四、数据侵害行为的类型化
数据侵害行为的归类日本反不正当竞争法修订论证中,根据小委会讨论结果,在合理保护数据提供者利益的同时,不能影响数据的灵活利用,而应考虑两者之间的平衡,在不阻碍经营者正当业务活动的范围内,最小程度地设定规制行为。同时,参考日本现行反不正当竞争法第2条第1款第4-10项商业秘密的规定,规定了侵害数据的行为类型,而对于一时不宜纳入的行为未作规定。为维护数据持有者与利用者之间的利益平衡,促进数据的流通和利用,日本反不正当竞争法第2条第1款第11项到第16项仅将获取、使用以及披露三种直接侵害受保护数据的恶性行为,规定为不正当竞争行为,并于第19条第1款第8项规定了两种适用除外。获取、使用、披露行为的对象为受保护的数据,包括受保护数据的全部和其中具有利用价值的部分数据。每次获取一小部分,连续或者断续获取的结果,整体上达到了相当数量的情况的,该系列行为应当一体评价为获取的不正当行为。
我国当前司法实践认定的侵害数据权益不正当竞争行为基本上是不正当获取和不正当使用行为。其中,不正当获取行为包括破坏保护措施、违反约定和违反Robots协议获取数据的行为。不正当使用行为主要是替代性使用。其中,最为关注的因素是该使用行为是对他人数据的照搬照抄,还是在他人数据基础上的创新。若是前者,往往会产生替代性后果,进而被认定为不正当竞争;若是后者,就需要综合被告使用行为的创新程度、对原告利益的影响及其在促进社会福利提升方面的贡献,以及是否有更好的替代方案等因素,来判断被诉行为的竞争后果。
以数据专条保护数据,并非赋予数据持有人绝对排他的财产权利,而需要兼顾保护数据持有人的权利与促进数据流通和利用,具体的路径是通过赋予数据持有人有限的权利,主要是禁止权即禁止他人实施侵害行为的权利,并采取有限列举侵害行为的方式,划定数据持有人的权利范围,给予数据持有人有限范围内的保护。基于当前保护实践并借鉴国外经验,可以将数据侵害行为归纳为:(1)以盗窃、胁迫、欺诈、电子侵入等不正当方式获取他人数据。如通过破坏管理措施、擅自爬取等方式获取。(2)超出约定范围访问和利用他人数据,即使被告原来获得了原告的许可,如可通过数据接口OpenAPI(开放的应用编程接口)访问其数据,但在后续的数据访问中,被告的行为超出了许可合同约定的范围,或在许可合同终止后,继续抓取原告事实控制的数据,并加以利用。(3)全部或者部分披露、转让或者使用以不正当手段获取的数据。(4)以违反诚实信用和商业道德的其他方式获取他人数据。(5)帮助、教唆他人实施侵害数据行为。
不构成数据侵权的例外为了确保公众获取、使用和披露信息的权利,平衡数据持有者和数据利用者之间的利益,保证交易安全,防止过度萎缩使用数据的事业活动,日本反不正当竞争法第19条第1款第8项规定了两种适用除外行为。例外之一是,获取、使用或者披露与公众可以无偿利用的信息相同的限定提供数据的行为。如果获取、使用或披露的限定提供数据与公众可以无偿利用的信息(即开放数据)相同或实质相同,则获取、使用、披露行为不属于不正当竞争行为。该规定旨在确保一般公众获取、使用数据的自由。“无偿”指不需要支付任何对价,不限于不支付金钱,“公众”指不特定多数人。例外之二是,在原权限范围内披露限定提供的数据的行为。此种适用除外行为旨在确保交易安全和秩序,此即通过交易获取限定提供数据的行为人,如果获取时不知道该数据存在不正当获取或者披露的事实,即善意获取该数据,即使事后知道该数据存在不正当获取或者披露的事实,即善意转得后变为恶意,依旧可以在变为恶意之前通过交易取得的原权限范围内披露该数据。
为平衡利益,可以借鉴日本做法,规定数据侵害行为的例外。例如,获取、使用或者披露与公众可以无偿利用的信息相同的限定提供数据的行为,应当作为例外。其他例外情形也需要认真研究归纳。例外是对数据保护的限制,目的是更好地平衡数据保护与公众行动自由的关系,防止数据的过度保护。
数据使用的实质性替代标准与数据权保护的不正当使用数据使用是数据抓取的目的和结果,数据抓取是数据利用的先决条件,数据抓取和数据使用经常是一个密不可分的过程。当前的裁判已涉及数据的使用与获取的关系,即获取数据正当,但因在数据使用上具有实质性替代而认定构成不正当竞争。当前存在的争议是,如果被告在获取数据时既未破坏技术措施,也未违反相关约定或robots协议,即其获取数据行为本身并没有不正当性,在这种情况下,后续的数据使用行为是否就是正当的?现状是,数据持有方未设置技术措施或者robots协议限制他人获取数据,并不意味默许他人可以随意使用该数据。因为数据在被获取之后有多种多样的用途,既有可能会损害数据持有方的利益,又可能根本不对其产生影响,还有可能达到双方共赢的效果。作为数据持有方,对数据在被他人获取后的使用方式和结果根本无法预测,也不应要求其在事前就武断地采取限制他人获取的措施。如果认为数据持有方不设置限制措施就是允许他人随意使用,那么数据持有方必然会因为担心数据被滥用而广泛设置限制措施,这样反而不利于数据的自由流通和共享。因此,即使数据获取行为未突破数据持有人的限制措施,法院还是应当继续对数据使用行为的正当性进行判断。目前最关注的因素是该使用行为是对他人数据的照搬照抄,还是在他人数据基础上的创新。若是前者,往往会产生替代性后果,进而被认定为不正当竞争;若是后者,就需要综合被告使用行为的创新程度、对原告利益的影响及其在促进社会福利提升方面的贡献,以及是否有更好的替代方案等因素,来判断被诉行为的竞争后果。
我国不少裁判一直以商业模式或者产品的实质性替代标准认定不正当竞争。实质性替代是指在涉数据或信息的不正当竞争纠纷中,当事人利用信息或者数据提供的相关产品或者服务之间具有实质性替代关系。例如在“汉涛诉爱帮案”中,爱帮网使用了源于大众点评网的内容,其商户简介和大众点评网完全一致,用户点评和大众点评网也没有实质性区别。通过爱帮网,用户可直接获取商户简介的全部内容和用户点评的绝大部分内容,基本实现获取信息的目的,网络用户一般不会再选择点击大众点评链接标识。因此,爱帮网中的商户简介和用户点评已构成对大众点评网相应内容的实质性替代,对汉涛公司合法利益造成实质性损害。“大众点评诉百度案”二审判决认为,使用来自大众点评网评论信息的理想状态是应当遵循“最少、必要”的原则,即采取对汉涛公司损害最小的措施,但要求在进行商业决策时,逐一考察各种可能的行为并选择损害最小的方式。百度公司通过搜索技术抓取并大量全文展示来自大众点评网的信息,已经实质替代了大众点评网的相关服务,且明显可以采取对汉涛公司损害更小,并能在一定程度上实现积极效果的措施。据此认定抓取和使用行为超过必要限度。《反不正当竞争法司法解释征求意见稿》第26条也采纳“实质性替代其他经营者提供的相关产品或服务”的提法。
实质性替代是一种事后判断标准,即以实质性替代作为认定构成损害和具有不正当性的标准,具有不确定性,于数据交易安全和自由流通不利。但是,如果数据本身处于未采取保护措施的公开状态,获取和使用该数据是否不正当即成为问题。为维护互联互通和数据利用自由,未采取保护措施的数据应当认定为不受保护的公开数据,获取和使用此类数据不构成数据侵害性不正当竞争。采取数据专条保护模式之后,事先的保护措施是构成受保护数据的要件,成为是否予以保护的界限。保护措施应当是事先措施,且立足于权利式保护,具有确定性和事先可识别性。因此,如果反不正当竞争法纳入数据保护条款,只需将使用不正当获取的数据规定为不正当竞争行为,则不正当获取成为不正当使用的前提,不再允许采纳实质性替代标准。
结语
中央全面深化改革委员会第二十六次会议构建的数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制,决定了数据权益的非绝对排他性以及兼顾各方利益的定位。反不正当竞争法具有保护商业数据的现实逻辑,与商业数据权益保护具有内在的法理契合性,可以构建符合商业数据特性、兼顾涉商业数据各方利益以及促进数据流通和利用的弱权利保护格局。我国第三次修订反不正当竞争法在即,应当将商业数据保护纳入其重点修订范围,专设数据权益保护的“商业数据专条”,作为我国构建健全数据要素权益保护制度的重要内容。这是在反不正当竞争法框架内,以采取类权利而又是弱权利的方式,进行商业数据保护,即明确受保护数据的构成要件、类型化侵害行为及其例外。这种保护迥异于一般条款保护,即纳入商业数据保护范围的数据,只需要按照法律设定的条件衡量其是否属于可保护的数据,再根据类型化的侵权行为判断其是否落入保护范围,不再需要在个案中具体论证数据权益保护的正当性及根据灵活多变的要素评判竞争行为的正当性,以此既加大数据权益保护力度,确保法律保护的确定性,又在保护范围和强度上兼顾适度,维护数据的流通和利用。
往期精彩回顾
上海市法学会官网
http://www.sls.org.cn
