未来已来,数字经济已成为社会经济发展的重要突破口和增长点。在此新形势下,企业间的数据之争也日益频繁地上演。目前数据相关的法律规则尚不明朗,学界在数据权属等问题上也莫衷一是,但法院却不能因此而拒绝受理数据纠纷案件,故法院裁判在数据规则的形成方面将产生深远影响,并进而影响到数字经济环境的塑造和数字产业的发展。
企业数据之争的典型情形
企业数据之争主要涉及三方主体:用户、数据持有企业和数据获取企业。就目前来看,数据纠纷主要有四种类型。(1)数据获取企业未经用户和数据持有企业的同意而直接获取数据,典型如2016年的大众点评诉百度地图案等。此种行为既未尊重用户的意愿,也在实质意义上替代了数据持有企业的相关服务活动,最终被法院否定。(2)数据获取企业获得了用户同意,但并未获得数据持有企业同意。典型事件是2017年腾讯与华为间就华为能否获取用户微信聊天记录并据此提供增值服务而引发的争议。双方间的纠纷最终通过工信部协调解决。(3)数据获取企业获取数据虽获得了用户与数据持有企业的同意,但逾越了双方约定的范围而“过度”收集数据。典型案件是新浪微博诉脉脉案。(4)数据获取企业获取数据虽获得了用户和数据持有企业的同意,但数据持有企业主张数据获取企业不当使用数据,比如将获得的数据再次授权给其他企业等。典型案件如2019年的腾讯微信/QQ诉头条抖音/多闪案,目前本案尚未判决。
纵观上述数据之争,其表现都在于数据持有企业试图禁止数据获取企业获得相关数据或限制数据获取企业使用相关数据。而其中的核心问题之一在于,数据获取企业获得用户数据时是否需要数据持有企业的同意。
获取用户原生数据不应以数据持有企业同意为前提
企业所持有的数据可分为两类:一类是用户直接产生,不依赖于现有数据而产生的数据,即原生数据。另一类是对原生数据进行算法加工等产生的数据,即衍生数据。鉴于衍生数据多不公开,且该数据系经加工产生,故企业间多尊重数据持有企业对衍生数据的权益。实践中争议较大的,是关于原生数据的获取。
毫无疑问,数据持有企业多主张其他企业若欲获取用户原生数据,需经数据持有企业同意。从法院诉讼和媒体报道来看,数据持有企业试图正当化自己主张的理由主要有二:其一,主张用户数据是其通过自身努力所获得,数据获取方的行为是搭便车和不劳而获,实质替代了数据持有方的相关业务,削弱了数据持有方的竞争优势。其二,主张为了保护用户的信息安全,其需要对数据获取方的数据安全能力把关,不可轻易允许他方获得用户数据。这两个理由普遍出现于数据纠纷中,貌似合理,实则难以成立。
第一,竞争力的此消彼长并不能直接得出法律应对数据持有方的竞争优势提供保护的结论。相反,通过法律保护自由市场中一方企业的竞争优势并非常态,而是例外。正如法院在“大众点评诉百度地图案”中指出,大众点评网上用户评论信息是网站付出大量资源所获取的,具有很高的经济价值,这些信息是大众点评网的劳动成果。但是,当某一劳动成果不属于法定权利时,对于未经许可使用或利用他人劳动成果的行为,不能当然地认定为构成反不正当竞争法意义上的“搭便车”和“不劳而获”,这是因为“模仿自由”,以及使用或利用不受法定权利保护的信息是基本的公共政策,也是一切技术和商业模式创新的基础,否则将在事实上设定了一个“劳动成果权”。
第二,数据获取方从持有方处获取数据并非“不劳而获”。事实上,由于获取数据需要用户同意,故数据获取企业必须提供对用户而言有吸引力的服务,才能获得用户的同意。尤其是在有着“锁定效应”特征的互联网领域,想从有着先发优势的数据持有企业处“挖走”用户,无疑需要提供更加“优质”的服务,付出可观的成本。因此,数据持有企业所谓的“不劳而获”,只是基于数据获取方并没有向数据持有方支付“对价”,不能因此得出数据获取方没有付出代价。
第三,实质替代数据持有方的相关业务也难以成立。数据获取方取得数据无需数据持有方同意,并不意味着其可以肆无忌惮地“掏空”持有方的所有用户数据,因为其获取数据仍需取得相关用户的同意。由于该同意需要具体用户的一一授权,很难想象后发企业能够在短时间内获得先发企业所积累的所有或大多数用户的授权。
第四,企业同意规则无助于强化对用户隐私和个人信息的保护。在企业数据纠纷中,保护用户隐私和个人信息这面“大旗”始终被数据持有企业反复提起和强调。但事实上,企业在保护用户隐私和个人信息方面往往存在明显的“言行不一”现象,企图通过数据持有企业来为用户利益把关并不可行。究其原因,数据持有企业并不是超脱于用户和数据获取企业之外的第三方,相反,其利益深嵌其中。期待数据持有企业基于维护用户利益,而非自身利益,做出相关决策行为有悖于人的自利本性。其实,保护用户隐私和个人信息只不过是企业在数据攻防中的一种“说辞”,其实质却是以保护用户隐私为名,行限制对手竞争之实。
允许原生数据在用户同意下的自由迁移是国际上的趋势
获取数据持有企业的原生数据,需经数据持有企业的同意,这是我国当前实务操作中的常见做法。但如果考察美国和欧盟的情况,可发现这一做法并不是“理所当然”。虽然欧盟还没有直接明确的数据共享(data sharing)规则,但欧盟《数据保护条例通则》(General Data Protection Regulation)中规定的数据可携权(right to data portability)可以为企业间的数据流通提供启示。根据《数据保护条例通则》第20条的规定,“数据主体有权获得由他/她提供给数据控制者(data controller)的,与其相关的个人数据,该数据应是结构化、被普遍采用且机器可读的格式。数据主体有权将这些数据无障碍地从原数据控制者传输给其他数据控制者。”可见,在获得用户同意后,一家企业可以从另一家企业获得数据而无需经对方同意。事实上,可携权的制度目的之一便是限制企业对用户数据的排他性控制,从而促进数据流通、企业竞争及数字经济的发展。
在美国,“数据红利共享制度”也起到了允许用户在不同服务提供者间传输数据的效果。比如2011年美国首席技术官要求工业必须“以在线且可被机读的方式公布用户数据,并且不能限制用户对这些数据的再利用。”这意味着用户可以从初始企业获得与其相关的可被机读的数据,然后在其他企业提供的服务上使用该数据,该再使用行为无需经过初始企业的授权。
此外,从欧美企业实践来看,自2017年以来,包括Google、Facebook、Twitter和Microsoft在内的互联网巨头开始协商并达成了允许用户数据在企业间自由流动的制度和技术安排。这些企业升级了现有API接口,并建立了一套允许用户在企业间直接传输个人数据的系统,从而实现用户在不同平台间的自由迁移。
我国数据规则的未来发展
用户数据已成为企业竞争兵家必争之地。对企业数据之争的把握,不可将视野仅局限于发生争议的两造之间。在价值层面,数据之争涉及了用户信息安全价值、鼓励企业投资和创新价值、市场自由竞争价值(既要制止不正当竞争,也要避免垄断)以及社会公共利益(如数据流通价值)等。具体到数据持有企业和数据获取企业间,则一方面要保障先发企业投资于积聚、开发用户信息能获得应有的回报,另一方面要保护后发企业合理利用现有数据资源来推陈出新,避免因数据壁垒而被排除在市场竞争之外,导致市场格局的固化。
据此,与国际上的趋势相似,在数据领域我国在强化个人信息保护的前提下,也日益开始强调数据流通的重要价值。典型体现是,我国新近颁布的《民法典》第1037条规定了个人信息主体复制其数据的权利。根据第1037条前半句,自然人可以依法向信息处理者查阅或者复制其个人信息。此处的“复制”,系我国为个人信息主体提供的一项新权利。在《民法典》之前的《消费者权益保护法》和《网络安全法》中,并未提及该项权利。
《民法典》新增的个人信息复制权利的规定,为企业获取用户原生数据无需经数据持有企业同意提供了法律依据,因为该项权利可解释为类似于欧盟数据可携权的制度安排。详言之,此处的“复制”,不应仅仅是个人信息主体可从数据持有企业处获得其数据的备份,而且获得的此种数据应是可被机读的,便于该数据在其他平台被读取的数据。同时,该复制权利也意味着个人信息主体可以授权其他平台从数据持有企业处直接获取其数据,数据持有企业应为此提供便利,尤其是不得以歧视对待的方式禁止部分有竞争关系的企业在已获得用户授权的情况下获取相关用户的数据。
当然,上述规则并不意味着企业可以任意获取用户在其他平台的所有数据。此种数据获取行为除了要事先获得用户同意这一前提,还要受到数据获取的“必要原则”的限制。比如,所获取的数据应是实现应用程序运行和功能服务所必须。
此外,肇始于新浪微博诉脉脉案的“三重授权原则”,应进一步厘清该原则的适用范围。根据三重授权原则,数据获取企业在获得数据持有企业的用户数据时,需满足用户对数据持有企业、用户对数据获取企业,以及数据持有企业对数据获取企业的“三重授权”。基于上述分析,不应将该原则适用于所有情形。只有在数据持有企业对数据做了加工而形成衍生数据时,获得数据持有企业的同意才是必要的。若数据只是用户直接产生的原生数据,则不应以取得数据持有企业同意为前提。换言之,三重授权原则只适用于获取可识别衍生数据的情形,不适用于获取原生数据的情形。
在数字经济时代,数据已成为社会经济发展的必需品。执此之故,数据不应成为部分主体独享的“石油”,而应成为人人可共享的“空气”。在空气干净(获得了用户同意且符合必要原则等法律要求)的前提下,只有允许空气自由流通,才能使公众普遍受益于数字经济发展带来的红利。
(徐伟 宁波大学法学院副教授,民商法学研究所副所长)
看的辛苦不如直接问!! 商标;专利;版权;法律