2021年8月17日国家市场监督管理总局发布了《禁止网络不正当竞争行为规定》的公开征求意见稿,随后2021年8月18日最高人民法院发布了《反不正当竞争法司法解释》征求意见稿,2021年8月20日全国人大常务委员会发布了《中华人民共和国个人信息保护法》。数据权益、个人信息保护新规、立法接踵而至,这些新规定将对数据纠纷处理产生什么影响?又将如何指引企业未来解决数据争议?本文将从争议解决角度对这些新规、立法热点一探究竟。

一、企业数据权益立法新动向

数据权属规则是数据经济发展的基石,也是各类数据纠纷中首要回应解答的问题。我们在此前的系列文章中对数据权属的理论发展动向和现有裁判规则进行了梳理(详见数“中有术、术中有数——数据权益理论与司法实践探析(上)、(下)”)。即将于9月1日正式生效的《数据安全法》作为数据领域的基本法,对数据权益问题进行了原则性规定。《深圳经济特区数据条例》开创数据权属规范的地方性立法先河,明确了“自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及本条例规定的财产权益。”个人对个人信息享有权利一直以来毋庸置疑,但是企业数据权益除《深圳经济特区数据条例》外一直缺乏明确的立法表态。

总览《禁止网络不正当竞争行为规定》公开征求意见稿(以下简称“《行为规定》意见稿”)和《反不正当竞争法司法解释》征求意见稿(以下简称“《反法司法解释》意见稿”),虽未有对企业数据权益的直接规定,但是不少条款侧面肯定了企业数据权益。例如《行为规定》意见稿第20条提到“经营者不得利用技术手段,非法抓取、使用其他经营者的数据”,《反法司法解释》意见稿第26条第一款规定“经营者违背诚实信用原则和商业道德,擅自使用其他经营者征得用户同意、依法收集且具有商业价值的数据,并足以实质性替代其他经营者提供的相关产品或服务,损害公平竞争的市场秩序的,人民法院可以依照反不正当竞争法第十二条第二款第四项予以认定。”我们理解上述规定的内在逻辑实则是以明确对企业合法享有的数据提供法律保护的方式侧面肯定了企业的数据权益。

《反法司法解释》意见稿第26条对经营者可以受到反不正当竞争法保护的数据还加了若干限定条件,即:征得用户同意,依法收集,且具有商业价值。这意味着经营者对征得用户同意、依法收集且具有商业价值的数据享有数据权益,可以受到反不正当竞争法的保护。这一规定与我国审判实践中形成的裁判规则一脉相承。我国法院在数据纠纷审理中如果涉及企业数据权益问题,若诉争企业数据产品或数据服务不构成受知识产权法保护的作品,法院会考察企业获得该数据是否取得用户授权、收集是否合法,还会进一步考察企业是否对数据投入了人力、物力等资源、是否对数据进行了一定加工处理,从而使数据凝结一定价值,如果诉争企业数据符合法院上述审查要求,法院会认可企业对该数据享有权益。《反法司法解释》意见稿第26条则将上述审判实践中形成的规则予以明确,但是如果企业的数据产品或数据服务在用户同意、依法收集或者具有商业价值三个条件存在瑕疵时,企业还能否依照《反不正当竞争法》第12条获得保护?如果不能,企业是否还可以获得法律其他保护?例如企业超过用户授权范围收集了数据并投入了大量资源加工处理形成了数据产品,在该数据产品被其他企业以不正当方式使用时,企业是否就无法获取反不正当竞争法等法律的保护?这些仍有待司法实践及理论进一步探讨。

二、数据不正当竞争规范新动向

(一)数据不正当竞争纠纷当前司法规制的不足

因目前对企业数据尚无明确的权利基础规定,如果企业数据产品或数据服务不属于知识产权法保护范畴,企业通常会以不正当竞争为由对数据纠纷寻求司法救济。企业数据纠纷较为新兴和前沿,且《反不正当竞争法》颁布较早,对于之后的技术发展很难有充分预见性,规定的具体不正当竞争行为很难适用于数据纠纷,因此大家都将目光投向了《反不正当竞争法》的一般条款[1]。该法第2条被普遍认为是我国《反不正当竞争法》的一般条款,司法实践中当事人和法院在面对数据纠纷时往往也会搬出该条款。《反不正当竞争法》第2条规定:“经营者在生产经营活动中,应当遵循自愿、平等、公平、诚信的原则,遵守法律和商业道德。本法所称的不正当竞争行为,是指经营者在生产经营活动中,违反本法规定,扰乱市场竞争秩序,损害其他经营者或者消费者的合法权益的行为。本法所称的经营者,是指从事商品生产、经营或者提供服务(以下所称商品包括服务)的自然人、法人和非法人组织。”但是仅依靠一般条款来规制数据不正当竞争纠纷显然已经无法满足日益发展的数字经济的需求,当前的数据不正当竞争司法规制模式存在诸多不足。

1.《反不正当竞争法》一般条款泛化适用问题

如上所述,我国包括《反不正当竞争法》、《数据安全法》等在内的相关立法目前尚未对数据权益、数据行为划定边界,数据纠纷在无法寻求其他部门法依靠时,只能通过《反不正当竞争法》一般条款予以解决。最高人民法院在(2009)民申字第1065号案件中对《反不正当竞争法》一般条款的适用作出了解释,认为适用《反不正当竞争法》第2条应具备以下条件:①法律对该种竞争行为未作出特别规定;②使其他经营者的合法权益确因该竞争行为而受到了实际损害;③该种竞争行为因确属违反诚实信用原则和公认的商业道德而具有不正当性或者说可责性。[2]一般条款的规定一般较为抽象,具有兜底性和弥补性作用,在适用一般条款时应需要注意其适用范围边界,防止对法律的扩大适用。

具体到数据纠纷中,只有法律对诉争数据纠纷未作出特别规定,不属于《反不正当竞争法》规定的类型化不正当竞争行为时,才能考虑一般条款的适用。《反不正当竞争法》第12条是对互联网不正当竞争行为的专门规定,被业内称为“互联网专条”。但是因该条并未明显体现出数据竞争行为的特点,很多涉及数据的不正当竞争纠纷无法适用互联网专条规定,有些数据纠纷案件又因其涉及的互联网特征可以被纳入《反不正当竞争法》第12条宽泛的类型化表述中,司法实践中甚至会出现对互联网专条兜底条款与一般条款进行“混搭适用”的情况。[3]

另一方面,反不正当竞争法是为了最大限度的维护竞争自由,给予市场成果自由利用的充分机会和空间,如果滥用反不正当竞争法,则会阻碍市场创新和活力。[4]如果对企业间的数据行为动辄适用《反不正当竞争法》一般条款予以评价,将不利于市场主体充分利用数据资源实现效能最大化。也有部分学者已经对该倾向进行提示,认为《反不正当竞争法》一般条款的泛化适用已在某种程度上阻碍了数字经济社会效能的发挥。[5]

  1. 数据不正当竞争纠纷中的竞争关系认定无统一标准

我国司法实践中普遍以当事人之间存在竞争关系作为适用《反不正当竞争法》的前提,诉争双方存在竞争关系是认定构成不正当竞争的条件之一。对于竞争关系,狭义定义是指同业的竞争对手为争夺交易机会而发生的关系。如果采用狭义的竞争关系定义,很多不正当竞争行为将无从认定,于是司法实践和理论界中发展出各种对竞争关系的广义解释。[6]学界对于何为竞争关系有诸类学说,如从竞争的范围和对象上有直接与间接之分、狭义与广义之别,从竞争的层次上有包括竞争关系的横向与纵向之分等等,法院对竞争关系的判定大体上可以分为直接竞争关系和间接竞争关系。[7]可见目前关于竞争关系的判断尚无定论。

互联网和数据领域的竞争关系判断更为复杂。例如在(2017)粤03民初822号案中,被告被控非法抓取原告软件上的公交数据,被告主张原被告开发的软件均为公益性质的软件,均面向社会公众免费使用,上线至今未向社会公众收取任何形式的费用,不属于反不正当竞争法中的“经营者”,且双方客户群不相同,主营业务也不同,原被告之间不存在直接的竞争关系。广东省深圳市中级人民法院指出,判断某相关市场主体是否系我国反不正当竞争法中规定的“经营者”并不以其所提供的某项商品或者服务是否具有营利性为标准。在(2016)京73民终588号案中,原告起诉被告软件不当抓取原告平台上的用户信息,被告则抗辩双方的软件所属产品或服务类别不同,受众群体不同,不属于同业竞争者,不具有反不正当竞争法意义上的竞争关系。一审海淀法院则认为双方在对相关用户社交类信息的使用等方面存在竞争利益,具有竞争关系。

不同于传统市场经济,互联网及数据领域的跨界竞争已成常态,传统的“竞争关系”判断标准难以满足数据纠纷的实践需求。即便法院通过个案审理逐渐摸索出新兴的数据纠纷的“竞争关系”判断方式,但是目前立法和审判实践尚未对数据纠纷中“竞争关系”的认定形成明确、统一的标准。“竞争关系”判定标准模糊将极大影响数据不正当竞争纠纷的认定和审理。

3.数据竞争行为正当性判定标准模糊

因数据涉及用户、平台、其他公司等多方主体,且还可以分为公开数据、非公开数据,单一数据、企业加工处理后的整体数据等,数据竞争行为的正当性判断复杂多变。以数据抓取行为所涉及的不正当竞争纠纷为例,数据抓取行为如果抓取的是公开数据,是否构成不正当竞争?数据抓取企业如果取得了用户授权但未取得平台授权抓取行为是否具有正当性?数据抓取企业采用何种方式抓取数据的行为具有不当性?平台对其他企业的数据抓取行为需要承担何种程度的容忍义务?对这些问题的不同回答都将会影响个案中数据抓取行为正当性的认定。

例如在(2017)京民终487号案件中,北京市高级人民法院认为,被告作为平台方在允许当时国内外主流搜索引擎抓取其平台内容的情况下,明知原告要求其允许抓取被告平台的网页内容,始终未允许原告抓取。尽管被告作为相关网站的经营者,原则上可以自由决定是否对某一具体的搜索引擎机器人开放网络资源,但其针对通用搜索引擎所采取的限制抓取措施应当具有合理、正当的理由,而不能针对特定对象,采取具有歧视性的措施。同时,在被告通过robots协议的设置限制了原告抓取其网页内容后,原告通过技术措施突破被告设置的限制亦具有不当性。在类似数据抓取纠纷的案件审理中,法院都需要根据个案的情形,分析相关行为是否构成对竞争秩序的破坏、是否有损行业经营者的利益和用户的利益等,进而来判断诉争行为的正当性。由于判定标准模糊,不仅加大了类似案件的自由裁量空间,增加了数据不正当竞争纠纷的规制难度,也难以为市场主体如何合理合法的进行数据行为树立明确的规范。

(二)两份征求意见稿在数据不正当竞争纠纷规范方面的前进

1.《反法司法解释》征求意见稿对《反不正当竞争法》一般条款的适用予以明确

《反法司法解释》征求意见稿第一条至第三条是针对《反不正当竞争法》第二条的细化和解读,对第二条的适用情形和要件予以明确。

《反法司法解释》征求意见稿第一条第一款规定只有反不正当竞争法第二章等有关法律没有明确列举的行为才能适用《反不正当竞争法》一般条款即第二条,该款将司法实践中长期形成的裁判规则加以明确,对一般条款的适用情形予以立法规范。

第一条第二款则对《反不正当竞争法》第二条适用的要件进行了规范,要求不正当竞争行为的结果要件必须要满足扰乱市场竞争秩序,否则不予适用《反不正当竞争法》第二条。在数据不正当纠纷的审判实践中,是否构成扰乱市场竞争秩序一直都是法院判断是否构成不正当竞争的一个要件。例如(2011)一中民终字第7512号案中,北京市第一中级人民法院认为被告长期大量复制原告网站数据内容的行为,客观上是有竞争目的的市场竞争行为,违背了公认的商业道德,扰乱了网络环境下的经济秩序,对市场竞争产生了损害,因而构成了《反不正当竞争法》所禁止的不正当竞争行为。在(2018)浙01民初3166号案中,对于原被告之间的数据获取纠纷,杭州市中级人民法院点明“不正当竞争行为的成立仍需考虑结果要件——即市场竞争秩序受到破坏,或其他经营者或者消费者的合法权益受到损害。”

《反法司法解释》征求意见稿第二条规定:“与经营者在生产经营活动中存在可能的争夺交易机会、损害竞争优势等关系的市场主体,人民法院可以认定为反不正当竞争法第二条规定的‘其他经营者’ 。”该条通过对竞争关系中的“其他经营者”予以定义的方式明确了反不正当竞争法中的“竞争关系”的判定标准,即存在可能的争夺交易机会、损害竞争优势等。

值得注意的是,《反法司法解释》征求意见稿第三条第二款规定:“人民法院认定经营者是否违反商业道德时,还可以参考行业主管部门、行业协会或者自律组织制定的从业规范、自律公约、技术规范等。”该款规定较为符合数据行业发展和数据纠纷司法实践。数据行业存在较多行业规范、自律性公约等,例如在数据抓取时,遵守爬虫协议已经成为基本行业规范。在(2017)京民终487号案中,北京市高院分析认为:“在网络不正当竞争纠纷中,对公认的商业道德进行认定时,应当以特定行业普遍认同和接受的经济人伦理标准为尺度,可以综合参考下列内容:信息网络行业的特定行业惯例;行业协会或者自律组织根据行业特点、竞争需求所制定的从业规范或者自律公约;信息网络行业的技术规范;对公认的商业道德进行认定时可以参考的其他内容。”该案涉及的《互联网搜索引擎服务自律公约》成为判断被告数据抓取行为正当性的重要依据。

2.对数据不正当竞争行为予以类型化和列明

《行为规定》征求意见稿及《反法司法解释》征求意见稿的亮点是对数据不正当竞争行为予以类型化和列明。

《行为规定》征求意见稿和《反法司法解释》征求意见稿都对企业数据不合规行为尤其是数据抓取行为进行了列明。《行为规定》征求意见稿第21条指向非法抓取、使用他人数据,《反法司法解释》征求意见稿第26条亦剑指非法使用他人数据的行为。

《反法司法解释》征求意见稿的亮点在于,一方面明确非法使用他人数据构成不正当竞争的适用反不正当竞争法第十二条第二款第四项,未来数据不正当竞争纠纷的规制条款将由《反不正当竞争法》第二条一般条款变为互联网专条第十二条,激活了互联网专条在数据纠纷领域的适用。另一方面《反法司法解释》征求意见稿除规定何种数据使用行为构成不正当竞争外,还明确了合法使用其他经营者数据的情形,即征得用户同意,合法、适度使用其他经营者数据,且不损害市场秩序和消费者合法权益。对数据使用行为正当化的正面规定将有利于促进数据行业的数据流通,推动数据市场竞争秩序的建立。

3.明确数据反不正当竞争纠纷的赔偿规则

《反法司法解释》征求意见稿第27条规定:“对于反不正当竞争法第二条、第八条、第十一条、第十二条规定的不正当竞争行为,因被侵权所受到的实际损失、侵权人因侵权所获得的利益难以确定的,人民法院可以参照适用反不正当竞争法第十七条第四款确定赔偿数额。”也就是说,无论是适用《反不正当竞争法》的第十二条还是第二条的数据不正当竞争纠纷,如果可以确定因被侵权所受到的实际损失,则按照该实际损失计算受到损害的经营者的赔偿数额,如果实际损失难以计算,按照侵权人因侵权所获得的利益确定赔偿数额。如果数据权利人因被侵权所受到的实际损失、侵权人因侵权所获得的利益难以确定的,根据《反不正当竞争法》第十七条第四款规定,由法院根据侵权行为的情节判决给予权利人五百万元以下的赔偿。

三、个人信息保护法对企业数据纠纷的影响

《个人信息保护法》确立了处理个人信息的六大基本原则:第五条的合法、正当、必要、诚信原则,第六条的目的明确、合理、直接相关原则,第七条的公开透明原则,第八条准确性原则,第九条可问责性原则及数据安全原则。基于《个人信息保护法》对个人信息处理的原则和要求,意味着企业在处理个人信息时不再简单的取得用户授权就可以万事大吉。如果企业在数据收集阶段不符合《个人信息保护法》对个人信息的收集、使用、处理等要求,不仅会影响到企业对于加工处理后的数据是否能合法享有数据权益,在数据纠纷中也会影响到诉争行为正当性的判断。

企业之间在进行数据交易时,也应当注意遵循《个人信息保护法》的规定,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意(第23条)。数据接收方应当在前述告知的范围内处理个人信息。

企业加工处理后形成的数据产品或服务如果涉及对个人信息的公开,应当取得个人单独同意(第25条),对于个人自行公开或者其他已经合法公开的个人信息,可以在合理的范围内处理(第27条)。

四、立法新态势下企业数据合规建议

结合上述立法发展,以及初步总结数据反不正当竞争纠纷案件裁判要点,我们从争议解决角度在文章结尾给出如下建议,以供商榷:

  1. 坚持用户授权至上

无论是《行为规定》征求意见稿、《反法司法解释》征求意见稿还是《个人信息保护法》,都在反复强调用户同意在数据领域中的重要性。数据收集、加工处理到数据交易,几乎所有与数据有关的行为都离不开用户授权同意。企业加工处理形成的数据产品或服务多依赖于用户数据,用户授权不仅是企业合法享有数据权益的基础,也有助于企业在数据纠纷中证明其权益、行为的正当性。

  1. 提高数据产品的商业价值

《反法司法解释》征求意见稿第26条中将“具有商业价值的数据”作为为经营者提供数据反不正当竞争保护的一个要件。数据纠纷司法实践中,法院历来也均先审查诉争数据是否由企业投入一定的资源进行加工处理,只有被认定为凝结了劳动价值的数据才可以得到法律保护。因此企业在数据处理活动中应当注意提高数据产品或数据服务的商业价值,如果该数据产品或数据服务具备较高的独创性,还可以受到知识产权法的保护,更有利于保障企业数据权利。

  1. 注意数据行为的合法性、合理性及适当性

数据行为是否合理合法、是否适当,是法院在审理数据纠纷时认定是否构成侵权或不正当竞争行为的重要标准。一方面企业在收集、处理用户信息形成数据产品或数据服务时,应当注意数据收集、处理行为的合法性、合理性及适当性,符合《个人信息保护法》的要求。另一方面企业在采取数据抓取等行为时,要注意用户授权、平台授权以及抓取行为是否合理合法。甚至企业在采取技术措施防止其他企业抓取自身平台数据时,也要注意采取的技术措施是否合理适当,不能针对特定对象,采取有歧视的措施。