2017年注定是属于数据的一年,更有人称之为“数据元年”。无论接受还是拒绝,数据已经渗入到了人们生活以及企业运营的方方面面。我们正经历着对“人工智能”、“大数据”、“区块链”、“网络安全”等词汇从陌生到熟悉乃至狂热的过程,而这些新兴产业的背后,数据作为基础资源更起到了能源和原材料的作用。在辞旧迎新之际,我们就一起盘点2017年的那些经典的数据之争。 

我们根据性质将已经出现的数据之争划分为四大类:

  • 数据抓取类争议;
  • 数据占有类争议;
  • 个人信息保护相关的争议;
  • 数据垄断类争议。

数据抓取类争议

1. 新浪微博起诉脉脉抓取使用微博用户信息案((2016)京73民终588号判决) 

本案在业界被称为“大数据引发不正当竞争第一案”,其地位和影响力不言而喻。本案案由为不正当竞争,一审由北京市海淀区人民法院审理,二审由北京市知识产权法院审理。两审法院均支持了原告(新浪微博运营方微梦公司)一方的主张,判令脉脉构成不正当竞争。

案件情况简介:

新浪微博是中国最成功的社交平台网站之一。其商业运营的核心资产就是用户关系以及用户数据。新浪微博开放自己的接口给第三方应用程序公司(如本案被告脉脉),使得应用程序公司可以调取平台公司的数据和用户信息,进一步为用户提供更多的有偿或者无偿服务,同时第三方应用公司也可能会向平台支付报酬。这样,以平台为中心向用户提供多元化服务的生态得以建立起来。

本案双方诉争的内容涉及数据抓取、商业模式模仿、商业诋毁等多种不正当竞争行为。其中与数据相关的部分包括:

新浪微博认为脉脉违反与新浪微博的《开发者协议》及脉脉享有的普通权限(普通权限下进可抓取用户的姓名、性别、头像、电子邮箱信息),非法抓取了教育信息、职业信息以及手机号信息等高级权限下才能调取的信息。

新浪微博认为脉脉还抓取用户手机号信息,并且使手机信息和用户的新浪微博头像进行了匹配的行为。新浪微博因此就脉脉上述的非法抓取行为和非法使用行为指控脉脉构成不正当竞争。

案件评析:

由于数据抓取行为在互联网及数据公司普遍存在并日常使用。北京知识产权法院对该案的评判体现了法院对于数据抓取行为的合法性界限的立场,并对多个关于数据的基础性问题作出了认定,具有里程碑式的意义。

(1)确认了企业对于其收集积累的数据享有竞争法意义上的财产权利; 

目前我们并未针对数据的绝对财产权做出明确规定。鉴于数据作为公共基础资源的性质,以及促进数据流通共享的考虑,预计我国会与大多数国家一样并不确立数据的绝对所有权。但是法院在该案件中明确了以下原则,即作为投入努力和资源进行数据收集的公司,可以享有竞争法意义上的保护,即可以将该等数据作为资产进行利用、许可,并从中获益。他人未经许可和授权不得随意进行抓取和利用。

值得说明的是,这一原则的确立在适用《反不正当竞争法》第二条的基础上提出,而并非是根据《反不正当竞争法》关于商业秘密保护的条款(1993年版《反不正当竞争法》中为第10条,在2018年《反不正当竞争法》为第9条),因而可以将企业对数据的权利扩大到保密数据之外的其它类型数据(即使是公开数据,以及个人信息数据)。

在该案例中,法院明确了即便在技术可行的情况下(即未使用破坏性的技术,或绕开权利人一方的技术保护措施),没有原告的明确许可和授权,被告也不应进行数据的抓取。因而确立了数据权利的法定保护。

(2)数据的财产权利的行使应当受制于数据主体的人身权利 

在本案中,法院在判决中明确将消费者权益的保护作为案件裁判的一个考虑因素。在两个经营者就个人信息数据进行争议的时候,法院明确指出双方就用户的个人数据进行共享和授权使用,未获得用户的事前同意和授权是不妥的。并提出了用户授权+平台授权+用户授权的三重许可原则。确立了经营者在实现自己关于数据的财产权利过程中,应当尊重数据主体关于个人信息的人身权利的原则和标准。

此外,判决中还针对个人信息的收集提出了合法、正当、必要三大原则,以及在这一基础上的明示同意原则和最少够用原则。根据法院的该等原则,以使用行为默认授权、或者为消费者预先设置默认同意的做法都是不妥的,应当给予用户充分的知情权并让其明示进行选择和同意。而最少够用原则则较为类似欧盟的立法,将数据的收集范围限定于特定应用必要的范围。

(3)经营者的行为是否损害消费者权益是判定其是否构成侵权的考虑因素 

本案的判决虽然是在新修订的《反不正当竞争法》实施之前,但其中体现的这一原则与新反法中修订的内容体现的原则完全一致。

在本案中,北京知识产权法院提出,除最高人民法院在(2009)民申字第1065号“山东省食品进出口公司等与青岛圣克达诚贸易有限公司等不正当竞争纠纷再审案”中确立的适用《反不正当竞争法》第二条认定构成不正当竞争应当具备的三个条件:

  • 法律对该种竞争行为未作出特别规定;
  • 其他经营者的合法权益确因该竞争行为而受到了实际损害;
  • 该种竞争行为因确属违反诚实信用原则和公认的商业道德而具有不正当性。[1]

此外,在互联网行业中适用《反不正当竞争法》第二条更应秉持谦抑的司法态度,在满足上述三个条件外还需满足以下三个条件才可适用:

  • 该竞争行为所采用的技术手段确实损害了消费者的利益,限制消费者的自主选择权,未保障消费者的知情权,损害消费者的隐私权等;
  • 该竞争行为破坏了互联网环境中的公开、公平、公正的市场竞争秩序,从而引发恶性竞争或者具备这样的可能性;
  • 对于互联网中利用新技术手段或新商业模式的竞争行为,应首先推定具有正当性,不正当性需要证据加以证明[2]。

(4)经营者享有数据财产权的先决条件未能明确 

但是,此案判决并未明确给出经营主体获得该等数据权利,是否需要核实和确认其数据收集、储存及使用的合法性?即,是否仅仅是合法收集、合法储存及利用的数据,才能受到法律的保护?在该案中,新浪微博在将该等数据权利许可给脉脉公司时,并未获得用户的同意和授权,法院在判决中虽然明确指出了该等授权缺失的不妥,但并未将因此判令原告新浪微博一方不享有相关数据权利。这也体现了数据权利在竞争法下是一种相对的权利,而非其它类型的知识产权权利(如商标和专利等经过注册授权的权利),具有某些绝对权利属性。

在《反不正当竞争法》下对商业秘密的保护也存在类似的问题。通常而言,对商业秘密权利的确立,并不需要追根溯源地调查权利人就该等商业秘密的权利来源和合法性,而仅仅是考察该等信息是否被原告一方妥善采取了保密措施。

2. 大众点评诉百度不正当竞争案 ((2016)沪73民终242号) 

另一起较为典型的案件为百度与大众点评之间关于数据抓取及使用的案件。该案件由上海市浦东新区人民法院一审,上海知识产权法院的二审,两审均支持了原告大众点评公司的诉讼请求,判定百度公司构成不正当竞争。

案件情况简介:

百度地图曾推出过垂直搜索功能,即在百度地图里输入某一家餐馆的名字,就会显示出该餐厅的地址信息,同时还会显示出食客对该餐厅的点评信息,这些评论信息有一部分来自于大众点评网,百度在使用这些信息时有标注“来自大众点评”的说明并提供链接,用户可点击该链接跳转到相应的大众点评页面。同时,百度自己也有相应的点评系统,用户可以直接在百度地图里对餐厅进行点评。

大众点评认为百度地图的上述行为构成“搭便车”,减少了用户对自己网站的访问,是一种不正当竞争的行为。最终上海知产法院认为,虽然百度公司商业模式上的创新在一定程度上提升了消费者的用户体验,丰富了消费者的选择,具有积极的效果,但通过搜索技术抓取并大量全文展示来自大众点评网的信息的这一行为已经超过了必要的限度,这种行为不仅损害了大众点评的利益,也可能使得其他市场主体不愿再就信息的收集进行投入,破坏正常的产业生态,并对竞争秩序产生一定的负面影响,进而损害消费者的利益,因此构成不正当竞争[3]。

案件评析:

实际上大众点评对网站上的用户点评信息如何进行保护是做了很多尝试,本案是其一系列尝试之一。虽然“点评”的技术含量并不高,但这些点评不太可能一夜之间完成,用户实地拍摄、上传各个餐厅的菜品照片以及大量用户的点评,是靠时间积累形成的。同时,每一家饭馆的点评信息实际上是由很多用户撰写上传的,其权利到底归谁在法律上暂时还没有定论。大众点评所尝试的多种方式包括通过主张著作权及其在竞争法下的权利。大众点评通过和用户签订协议,即用户同意使用大众点评的行为便意味着用户点评内容的知识产权归大众点评所有。

通过著作权方式来维权的案例有输有赢,总结这些案例,其中较为明确的一点是单个的用户点评内容是不受著作权法保护的。而大量的信息汇总到一起,以著作权法下汇编作品的形式来保护尚没有形成特别一致的司法认定,充满了不确定性。因此我们可以看到,大众点评现在更多是通过竞争的利益来试图保护自己的权益。

具体到本案,由于涉案行为不属于任何一种我们列明的反不正当竞争法的具体行为,大众点评起诉的法律依据为《反不正当竞争法》的第二条,即基于诚实信用原则。在此类案件中,司法上秉承的判断原则是:首先:实施行为的一方(本案中为百度)有没有通过这种行为获取不正当利益,有没有通过走捷径或者搭便车的行为获得该种利益。比如,百度本应该一家一家地搜集点评信息,或者百度可以向大众点评购买获得相关点评信息。但是如果百度通过实施这样一个行为,就很便捷地获得了利益。其次,该行为是否对对方公司(大众点评)造成了竞争利益的损害。例如百度的做法导致了大众点评的用户不用访问大众点评,直接在百度地图上即可看到相关信息,这实际上等同于剥夺或者部分截取了公众访问大众点评的流量。如果符合上述两点,便可以认定该种行为构成了不正当竞争行为。因此本案一审和二审法院态度较为一致,一审判决百度败诉,二审维持了原判。

数据占有权的争议

第二中较为典型的数据争议体现为对数据本身的占有和争夺。2017年度出现了较为典型的以下两起案例:

1. 顺丰与菜鸟的数据大战 

菜鸟裹裹是阿里巴巴旗下的物流平台。菜鸟的经营理念与阿里巴巴整体的经营原则很一致:即其为多家物流公司的平台服务提供商,自身并不实际向消费者或商家提供物流服务。菜鸟希望实现从卖家到仓储、到配送、最后到消费者的递送一站式全频道打通,建立属于自己的生态,同时所有物流信息均会出现在菜鸟的系统中。而顺丰则是国内快递行业的巨头。

双方矛盾爆发的背后原因及是非曲直并不十分清楚,但双方均指责对方试图获得超出自身业务必须得用户隐私数据。事件爆发后两天的时间,双方处于数据通道关闭的状态,直到6月2日晚,国家邮政局召集菜鸟和顺丰共同就双方关闭互通数据接口问题进行协调,最终这两家公司对于数据的争执在政府层面进行了调和。

2. 华为与腾讯的微信数据争夺战 

另一个案例是华为和腾讯之间的微信数据争夺战。此争议和顺丰与菜鸟之间的争议有相似之处。具体来说,争议的起因源于华为推出了一款荣耀Magic手机,该款手机可通过利用用户在微信中的聊天信息,实现为用户提供智能化的推荐等功能。比如用户用这款手机在微信里向他人发送“明天我要做培训”的消息,华为手机可以做到在日历上标注明天做培训这一事项。该款手机还可根据微信聊天内容自动加载地址、天气、时间等信息。华为称,这些均是华为与科大讯飞、高德、支付宝、携程等 APP 深度合作研发的结果,且均已获得用户的授权。

然而腾讯认为,华为的该等做法实际上夺取了腾讯的数据,并侵犯了微信用户的隐私。此争议最终也没有诉诸法律,而是以政府层面的调和以及双方私下的协商达成了和解。本案例的不同之处在于,当硬件厂商发现了数据的价值,而所有的数据和软件都是在自己的硬件上运行时,也会参与到数据的争夺之中来。

争议评析:

在这一争议过程中,我们可见互联网公司以及华为这样的传统硬件制造公司对于数据的激烈争夺。在协同工作的一个生态圈中,数据的绝对权属可能显得并不十分重要,或者说难以准确界定。但是,经营者对于数据的占有欲望却都同样强烈。之所以把这类争议称之为数据占有争议,而不称为数据所有争议是因为数据所有权目前还没有定义。实践中,尚没有任何一个国家对数据权属问题进行明确界定。我们认为,从法理上和政策宏观影响上来看,在未来相当长的一段时间内,数据所有权的定义都将处于现在这样一种状态,立法可能不会界定数据的绝对权利及其归属,更有可能是从竞争法、知识产权法的层面,从对数据产生的贡献方面来给予权利人一定的保护。比如谁对数据进行了整理、抓取、留存,那么法律会对做出这些努力的人给予一定的保护,而不轻易地允许任何人来垄断相关的权利。

涉及用户隐私权的争议

第三类的争议是关于消费者或者说数据主体为维护其人身权与利用数据进行经营的的行业之间的争议。目前,这类争议至少有三类较为典型的行权方式:

  • 由政府监管机构通过行政执法的手段代为保护个人权利;
  • 个人主体通过民事诉讼的方式起诉经营者维权;
  • 基于法定授权,由相关组织代为提出公益民事诉讼(例如根据中国《消费者权益保护法》,消费者保护委员会具有法律授予的权益,可以代替消费者发起维权诉讼)。

我们各选取一个案例如下:

脸书(FACEBOOK)因使用个人敏感信息推送广告在西班牙遭致行政处罚

案件情况简介:

2017年9月11日,西班牙数据保护监管部门AEPD宣布,脸书因收集西班牙用户的个人信息并将之用于发放广告被罚款120万欧元。AEPD认为脸书的隐私政策存在“一般性且不清晰的描述”,从而导致了三项具体违规:

  • 首先,脸书收集了个人信息主体的政治观点和倾向、宗教信仰、性取向、个人兴趣等,但并未告知用户会将上述信息用于何种用途;
  • 脸书在收集、使用上述信息前,并未获得用户的知情同意;
  • 脸书在使用上述信息后,并没有及时删除上述信息。

案件评析:

虽然本案的处罚金额并不是很高,但本案中涉及到一些对于社交媒体的行为的规范和规定,总结如下:

(1)收集数据时应以必要为原则 

脸书作为社交媒体,收集了很多和其业务部相关的信息,如政治观点倾向、宗教信仰以及个人性取向等信息,因此既不必要也不合理。同时,用户的使用条款中并没有明确地向用户说明脸书获取到这些信息之后会如何使用。脸书作为互联网最大的广告投放媒体之一,为向互联网公司提供广告投放渠道贡献了非常大的力量。此外,脸书在广告精准投放领域也十分领先。脸书收集上述信息并非用于其向用户提供与自身业务相关的服务,而是用于对用户更精细的画像分析并且精准投送广告,因此该行为违反了数据收集的必要以及最少原则。

(2)使用信息之前需要获得用户同意 

获得用户知情和同意远比文字表面要复杂的多。什么叫知情同意?明式同意还是暗式同意?同意到什么程度?这些均为数据领域研究的前沿问题。通常需要进行个案分析。但显然脸书的做法没能通过AEPD的检查标准。

(3) 使用用户信息之后需要及时删除 

欧盟的相关条例里已有很多非常完善的规定,规定企业在使用用户的数据信息后有及时删除用户信息的义务。而脸书正是因为没有做到及时删除相关数据信息而遭到了行政处罚。

此外,在AEPD做出上述处罚决定后,脸书也进行了回应,认为处罚得以成立的前提是其使用了个人敏感信息来推送广告,但脸书辩称,其是根据用户的“点赞”(liking)的情况来推送广告的。针对这个问题,AEPD认为根据欧盟“95指令”的定义,个人信息是指“与已识别的自然人或可识别的自然人相关联的任何信息”。因此,用户对某些内容点赞的行为实际上已经“清晰地显示出其偏好、兴趣、取向”,这自然也构成了其个人信息。

2018年5月,欧盟GDPR将实施并取代“95指令”,那么在GDPR下,互联网行业内的哪些已有的或者将来出现的行为将构成“个人信息”也是我们应该关注的焦点之一。

庞先生“去哪儿网”和“东航”泄露信息隐私权案

案件事实:

庞先生委托他的鲁姓朋友通过去哪儿网买订购了一张东航的机票,整个订票过程中,该鲁姓朋友仅仅提供了自己的手机号码,从没有提供过庞先生的手机号码,因此所有的售票代理联系到的均为庞先生的鲁姓朋友,而非庞先生本人。同时订票成功后,订票相关的所有的信息如飞机票已出票并祝旅途愉快等手机短信均发送至了庞先生鲁姓朋友的手机号,并非庞先生本人。不久后,庞先生自己的手机上收到一条诈骗短信,称庞先生委托鲁姓朋友预定的东航航班因机械故障已取消,但庞先生可以进行改签,并提供了具体的改签费用和相关的操作链接。该条“航班取消通知”短信只有庞先生收到了,而其鲁姓朋友并没有收到。庞先生立刻委托其鲁姓朋友就相关信息向去哪儿网和东航进行确认,去哪儿网和航空公司均确否认发送了此诈骗短信。庞先生顿生疑窦,整个订票过程中庞先生和其鲁姓朋友从未提供过自己的手机号,诈骗短信发送方是如何获取其手机号的,又是如何清楚地知道自己将要乘坐哪一班飞机的呢?自己的信息到底是哪一方泄露出去的呢?庞先生认为,同时能够获得自己手机号码信息和行程信息并且泄露出去的只有去哪儿网和东航,因此将二者起诉至法院并请求判令被告向自己道歉。

案例评析:

本案在以下两个方面树立了这一领域案件的先例:

(1)公民个人信息的保护可以在现行民事法律体系中的隐私权下解决 

本案的案由是隐私权纠纷,传统民法概念上的隐私权是非常隐蔽的信息,通常不包含电话号码以及出行行程这类用户个人信息。但本案中我们可以看到,对于非隐私的用户个人信息,法院仍然通过隐私权这个途径来进行保护的,提供了公民自主维权的法律通道。

(2)在各方举证责任的分配方面,数据占有方具有较高的举证义务 

作为公民而言,本案的庞先生事实上很难举证证明被告实施了泄露其隐私的行为。因而,其在一审过程中因举证不足而被判败诉。

在二审的审理的过程当中,法院对同时掌握庞先生个人的手机号码和其行程的主体进行了梳理,最后确认为五个主体,即庞先生自己、庞先生委托的鲁姓朋友、去哪儿网、东航、以及东航的订票系统合作伙伴中航信。法院认为,庞先生自己以及庞先生的鲁姓朋友均不太可能对庞先生的信息进行泄露,在排除了庞先生和其鲁姓朋友泄露的可能性之后,去哪儿网、东航、中航信都存在泄露信息的可能。而从收集证据的资金、技术等成本上看,作为普通人的庞先生根本不具备对东航、去哪儿网内部数据信息管理是否存在漏洞等情况进行举证证明的能力。因此,法院认为不能也不应要求庞先生确凿地证明必定是东航或去哪儿网泄露了其隐私信息。

而从庞先生已经提交的现有证据看,庞先生已经证明自己是通过去哪儿网在东航官网(由中航信进行系统维护和管理)购买机票,并且东航和去哪儿网都存有庞先生的手机号。因此,东航和去哪儿网以及中航信都有能力和条件将庞先生的姓名、手机号和行程信息匹配在一起。[4] 不仅如此,去哪儿网、东航以及中航信没有提交任何证据证明他们的网络信号被黑客袭击。因此法院判定庞先生的信息为去哪儿网和东航泄露的,且东航和去哪儿网需要向庞先生赔礼道歉。

江苏省消保委诉百度民事公益诉讼案

案件简介:

2017年7月,江苏省消费者权益保护委员会(以下简称“江苏省消保委”)结合手机应用侵犯消费者个人隐私的情况,对涉及视听应用、图文阅读、金融支付、旅游出行等用户较多,且具有一定代表性的27家手机软件所属企业进行了调查和约谈。后江苏省消保委指出,百度旗下“手机百度”、“百度浏览器”两款APP在消费者安装前,均未告知其获取的各种权限及目的,且在未取得用户同意的情况下,获取诸如“监听电话、定位、读取短彩信、读取联系人、修改系统设置”等各种权限。因此江苏省消保委认为,作为搜索及浏览器类应用,上述权限并非提供正常服务所必须,已超出合理的范围,侵犯消费者个人信息,并以两次约谈无整改为由,于2018年初向南京市中级人民法院针对百度公司提起公益民事诉讼。

案件评析:

在我国,消保委提出公益维权诉讼的法律依据为2013年新修订的《消费者权益保护法》第37条的规定,该规定确立了消协等消费者组织能够针对损害消费者行为自行提起公益诉讼的依据。百度案为我国个人信息领域公益诉讼第一案,确立了由消费者保护组织代不特定公众独立提出维权公益诉讼的先例。

数据垄断类争议:HiQ Labs与LinkedIn领英的数据纠纷

目前我国尚无关于数据垄断的现实案例。但美国已经出现一起案例,即HiQ Labs与Linkedin(领英)的数据纠纷。该案案情与我们在前文中介绍的新浪微博与脉脉案件在事实层面具有很多类似之处,但在法律裁判部分确有截然不同的结果。

案件事实:

hiQ Labs(以下简称hiQ)是一家为客户提供雇员评估服务的公司,其服务基础是对市场上公开获取的数据进行统计分析(如LinkedIn的公开数据)。在过去的数年里,hiQ一直在扒取领英上已经公开的可抓取的信息。2017年5月,领英向hiQ发函,要求其停止非授权性数据抓取以及其他违反领英用户协议的行为,禁止hiQ继续获取领英用户的公开信息。同时,领英还通过系列技术手段,阻止hiQ的自动数据收集技术获取相关数据。领英认为,hiQ的数据收集行为威胁了领英用户的隐私。hiQ则针对领英的行为提起诉讼,并提出动议请求法院针对领英的行为作出临时禁令。hiQ认为领英的行为涉嫌垄断,构成不正当商业行为。法院最终支持了hiQ有关临时禁令的动议。

法院在决定时主要分析了几个问题。首先,由于领英已在市场上占据了非常大的份额,因此法院初步确认领英在用户的职业信息领域的数据已经达到了市场支配地位。其次,由于领英以往是允许hiQ进行公开数据抓取的,法院对领英提出的“为保护用户隐私而禁止抓取”的动因持怀疑态度。同时,法院还质疑领英为何单单禁止hiQ抓取而不是禁止所有的第三方进行抓取。此外,hiQ声称领英正试图进入数据分析市场与hiQ展开竞争。法院在颁发临时禁令时基本上采信了hiQ的举证和说辞,判令领英不能禁止hiQ进行数据的抓取。

案件评析:

如果新浪微博一案是从竞争法角度审查这类案件的,那么本案则是更多从垄断法的角度对于数据的共享和流动应遵循的规则和原则进行了裁判。本案的数据反垄断的视角凸显了数据作为资源的财产性属性。同时,本案也较为典型地反映了美国整体而言对于数据流动和共享较为宽松的态度。

结语

通过对上述四类争议的梳理和总结,我们已经可以初步感受到数据争议的基本类型以及解决思路。随着互联网技术的发展,大量数据的产生以及数据处理技术的突飞猛进,数据将会带来不可限量的商业价值。我们有理由相信,关于数据的争议将会愈演愈烈。同时,我们相信数据生态中的三极,即数据主体(个人)、数据的采集者、利用这(企业及组织)以及政府监管部门(或消费者协会等公益组织)之间的角力和平衡也将不断探索出更为清晰的行为边界及规则。