取得用户同意,平台企业的数据抓取就合法吗?
【编者按】互联网企业之间数据抓取行为,一直都是企业间纠纷热点领域。对于在取得用户同意前提下实施的用户数据抓取行为的合法性问题,法院也有不同的看法。
《互联网法律评论》今日获授权转发特约专家、南京大学法学院博士研究生高建成的分析长文,就上述问题的解决提出建议:以个人信息数据为切入点,将可携带权思路引入不正当竞争纠纷的裁判,这样能够在解释论层面与反不正当竞争法规范相互衔接,共同维护消费者权益与公平竞争。
本文原载于《江西财经大学学报》2024年第1期,原文标题为《竞争法视阈下数据抓取行为的合法性 — 从用户同意到可携带权的思路演进》。为网络阅读方便,删除了注释,有兴趣的读者可以留言给本公号联系作者索取原文。
一、引言
当前,数据未获确权,经营者抓取数据的行为引发了诸多不正当竞争纠纷。当抓取的数据与用户相关时,情况将更为复杂,法院需就数据利益的分配问题在经营者、其他经营者与用户之间进行权衡,并裁判行为合法与否。作为裁判的主要依据,《中华人民共和国反不正当竞争法》(以下简称《反不正当竞争法》) 第 2 条与第 12 条无法提供清晰的裁判指引。《最高人民法院关于适用〈中华人民共和国反不正当竞争法〉若干问题的解释(征求意见稿)》第 26 条曾予以回应,但最终的正式版本未保留该条。
展开全文
从实践情况看,对于在取得用户同意前提下实施的用户数据抓取行为的合法性问题,法院有不同的看法。例如,在前锦公司诉逸橙公司案中,逸橙公司在取得用户同意的前提下通过关联账户功能获取、保存用户在前锦公司网站内上传的简历数据,法院认为涉案的抓取数据行为并不构成不正当竞争,其中一项重要理由就是被告已取得用户的同意。而在微梦公司诉字节跳动公司案中,字节跳动公司复制获取用户的发布内容,并以涉案用户已出具授权同意书作为抓取数据行为的抗辩事由,但并未被法院认可。
经营者通常会对用户数据进行编排管理等处理活动,并将其作为竞争优势的组成部分。对于这部分数据,用户能否主张权利或者将其授权其他经营者,进而要求原经营者配合迁移?而其他经营者就取得用户同意授权的数据进行抓取,该同意又是否足够阻却违法性,进而使抓取行为在《反不正当竞争法》视阈下获得合法性评价?对这一系列问题的解答将影响相关行业的合理预期,也直接关系法律制度的稳定性与体系性。
二、用户同意的功能及其实践考察
同意意味着主体对自身权益的自主决定。基于私法自治原则,当一方同意将其物或权利授予他人,效果由本人承担而不必自证正当性(朱庆育,2016), 由此产生权利的转移或变更后果应被尊重。但在数据问题上,仅凭用户同意难以处理主体间的纠纷。
(一)用户同意作为规范要件的一般功能
首先,同意是一种意思表示行为,结合相关的制度规范,当其作为一项形式要件时,首要功能为推定特定的案件事实,包括但不限于行为主体对法律规定、相对人告知内容和自身行为所致法律后果的知悉情况。例如医疗领域患者签署知情同意书的要求以及个人信息处理活动中的知情同意规则,均用以推定相关主体对事实与后果的认知(万方,2019)。同意以对方的告知与信息披露为前提,对告知及提示说明义务及具体场景中个人的意思进行考察,能够判断与确认个人的选择权与知情权状态。尽管用户的认知可能与实际情况存在偏差,基于同意所推定的事实也可为相反证据所推翻,但以同意与否作为考察标准是较为效率的选择,有益于降低社会层面的交易成本与制度成本(丁晓强,2020)。
其次,用户同意将导致处分效果或者授权许可效果。在传统财产法的语境之下,同意将导致处分效果的发生,进而使得具体权利的转移或者权利内容发生变更,例如物权的设立、变更、转让与消灭。处分效果的发生以客体特定与确定为前提(朱庆育,2016)。至于授权许可效果,则意味着主体授权他人参与涉己利益的处理活动,许可他人的使用行为。《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第二章规定了个人信息处理活动中的取得用户同意等一般规则,《中华人民共和国网络安全法》(以下简称《网络安全法》) 第 22 条第 3 款也有相似规定。从客观效果来看,用户同意是他人合法参与数据处理活动的媒介,赋予他人使用个人信息数据、共享数据利益的权限(王琳琳,2022)。又如在专利许可制度中,权利人的同意也会发生授权或许可效果,使得他人在不改变知识产权权属的情况下获得一定期限的使用权。
最后,用户同意能够阻却行为的违法性,该效果由同意所代表的允诺所引申(彭诚信,2021)。例如在人格权与财产权领域,若无权利人的同意或允诺而占有、使用乃至处分其权益客体、侵入他人控制的领域,则行为具备违法性(程啸,2020)。在同意是真实、明确且有效的前提下,个人同意能够一定程度地发挥免责功能。正如在征得个人同意后拍摄其人像,则拍摄行为不侵犯其肖像权。原因在于,人能够自由决定自己身体与财产的处理方式。在此基础上,当权益所有人已就他人对自身所实施的行为及由此可能造成的后果形成有效认知并表示允诺时,则行为与结果对其而言不构成侵害,进而阻却侵害行为的违法性(程啸,2021)。
(二) 司法机构对用户同意效果的认识分歧
考察抓取用户数据的不正当竞争纠纷的裁判可发现,用户同意并不足以阻却违法性,法院对于被告提出的用户同意抗辩效力存在认识分歧,有如下三种立场。
第一种立场是彻底否认用户同意的抗辩效力。例如前述微梦公司诉字节跳动公司案中,字节跳动公司以涉案用户已出具同意今日头条同步发布内容的授权同意书作为重要抗辩,认为应尊重用户在数据迁移、同步方面的基本权利。然而,法院认为,即便取得部分用户授权同意,其授权范围不应涵盖微梦公司所享有的相应合法权益。在腾讯公司等与广州合聚咨询公司案中,法院认为,即便被告转载的部分文章已获得相关微信公众号经营者的合法授权,也不能从整体上否认被告具有利用微信公众平台影响力、实施不正当竞争行为的恶意。在腾讯公司等诉深圳云电公司案中,被告抗辩称,涉案群控操作微信软件的使用是经用户同意、 自主选择的行为结果,但法院认为被告应当遵守微信使用协议并取得原告的同意。
这类裁判将是否取得原告的授权与许可作为抓取数据行为合法性的判断标准,若无原告授权,则行为具有恶意或者有违商业道德。要求取得原告授权的裁判思路较为常见,新浪诉脉脉案所创设的“三重授权原则”则是典型,该原则的显著特点是原告的利益与意向成为主导裁判走向的重要因素。
第二种立场立足于消费者权益标准,以用户同意考察消费者权益的状态,并认可用户同意阻却违法性的效力。这类裁判考察个案情境下用户是否对自身行为的性质以及结果存在准确认知,是否存在被误导、欺骗等情形。由此可见,用户同意与授权实则被视作一种对其权益状态以及自身意愿的确认。其主要逻辑在于,由于用户的选择权或知情权并未因涉案行为受损,则行为不具有违法性。
例如前锦公司诉上海逸橙公司案中,一审法院认为,选择关联账户功能以及将用户简历数据同步至被告服务器处体现用户自身意愿,即便导致原告产生一定流量损失,并不当然证明涉案行为与技术具有不正当性。二审法院维持原判并补充道,被告并未存在强制、欺骗等情形,且未影响用户在原告网站发布招聘信息及获取简历等活动,涉案行为无明显不当。在杭州迪火公司诉北京三快公司案中,法院认为,被告就用户数据的获取已向用户充分提示,被告对数据的获取和应用是用户主动选择与授权的结果,并不违反诚实信用原则或公认的商业道德。该裁判思路为,用户同意与授权强化了行为的正当性,进而证明行为符合商业道德。
第三种立场包含对用户同意的抗辩效果的认可,但其视角有所不同,将用户同意视作对其数据权益的授权安排。其逻辑为,用户对某类数据享有许可使用的权利,而用户通过同意的意思表示,将该类数据授予第三方处理,使其得以合法使用,由此第三方的数据处理行为不构成不正当竞争。
在腾讯公司等诉浙江搜道公司案中,法院认为,数据控制主体只能依附于用户信息权益,并基于用户的约定而享有原始数据的有限使用权,“使用他人控制的单一原始数据只要不违反‘合法、必要、征得用户同意’原则,一般不应被认定为侵权行为”。按照法院的裁判逻辑,对于单一原始数据,若被告抓取该类数据已取得用户同意,并遵循《个人信息保护法》的相关规定,则被告行为不应被视为不正当竞争。亦有法院在案件中暗示,用户同意可视作对数据的授权许可进而成为免责事由。如在北京微梦公司诉上海复娱公司案中,法院表示:“复娱公司被诉行为也无因用户对涉案数据进行了自主安排、授权等因素而免责等可能。”
与一概否定用户同意的司法立场相比,该立场试图在数据控制与数据流通目标中寻找平衡,保留了必要的司法审慎,避免在经营者权益上创设“绝对权”,具有积极意义。实践中,经营者常以《反不正当竞争法》作为对抗第三方抓取行为的工具,进而强化对数据的固有控制,也导致一项本非权利的利益骤然获得权利保护模式的排他性(周樨平,2015)。但这种数据绝对控制状态或是超出必要限度的,甚至直接导致 hiQ 与 LinkedIn 案中美国第九巡回上诉法院所警示的“数据垄断”问题。
三、以用户同意判断数据抓取行为合法性的局限
司法实践的分歧表明,单凭同意要件不完全能阻却数据抓取行为的违法性。原因在于,此时的同意不满足阻却违法性的隐含前提:其一,主体所同意的权益确实归属于做出意思表示者,若无权益则难言授权与许可;其二,所处分或授权许可的客体需要满足特定及确定的要求(朱庆育,2016)。
(一) 数据因其特殊性难以确定归属
从事实层面进行审视,分歧的产生首先是因为数据本身的特性。数据从生产到流通环节由多方主体共同参与、共同贡献。在数据生产环节,部分用户数据经由用户的内容提交活动以及使用行为而生成,但如果缺乏经营者提供的平台,这部分数据难以存在。在数据利用加工环节,经营者的编排、整理、加工活动为数据的可视化及产品化奠定基础,使得本可能被闲置、忽略的数据得以重新利用、产生价值(包晓丽,2022)。
由于数据的生成包含多方的劳动贡献,某一数据群可能包含了多方的利益,进而导致各主体在数 据问题上呈现复杂的利益格局。对占有数据的经营者而言,其通过合法收集并加工的数据形成其产品、服务或商业模式,在过程中投入大量人力与物力,故有其合理的财产利益诉求。至于其他经营者,其基于维持经营、增加竞争优势的目的也迫切需要更多的数据资源。在数据权属未定的情况下,其他经营者对于数据获取与利益分配的期待具有合理性。不容忽视的是,数据的流通与利用正是数字经济发展的内在驱动力。倘若允许占有数据一方排他地享有数据资源,将威胁其他主体对资源的平等获取,甚至可能因为“数据封锁”而危害竞争机制,不利于其他经营者公平参与竞争。用户作为数字经济的参与者,对数据也有利益需求。但在数据的利益分配中,用户所作的贡献常被忽视,由于实力、地位的悬殊,用户常受制于经营者制定的用户协议而被迫放弃应有的权益。此外,用户还具有保障其个人信息的安全的利益需求,也希望其个人意志与人格自由能够在数据处理活动中得到充分尊重。
在多方具有利益诉求而立法者未有明晰的权益分配方案的现实情况下,单纯以实现用户一方的利益为理由,能否足够对抗其他主体,成为法院裁判分歧的症结所在,进而体现对用户同意抗辩效力的认识差异。
(二) 用户同意未能指向特定权益
通常而言,同意能够明确地指向该主体的某种财产或人格权益,例如主体可以同意将特定有形物如房屋、车辆供他人使用,或将特定抽象物如专利、个人形象授权他人使用。在这类情形中,由于同意指向明确的物或者特定权益,他人的行为则能够被认为合法、非侵权。但面对数据客体,用户同意作为一种外在行为以及形式要件,不必然能明确且直接指向主体所欲处分或授权的客体对象与范围。数据承载的法定权益需要通过明确的规范基础进行考察,否则法院难以依据法律规范判别数据抓取行为的违法性是否被阻却。因此,在数据问题之上,用户同意的效力以特定及明确的权益指向为前提,并依赖于具体的法律规范。
实践中,用户常常就同一数据客体产生两次以上的概括同意,导致两个甚至数个经营者均具备取得同意的形式外观,只是在先后顺序上存有差异。而在先取得同意的经营者往往会在用户协议中约定,用户同意就其提供的数据及其相关权益向经营者进行排他且独占性授权。正如前述否定用户同意抗辩效力的裁判,在这些法院看来,经营者基于在先的合法劳动成果具备更为值得保护的利益,应予 以尊重。同时,个别用户同意与授权下的数据抓取行为可能危及其他用户的隐私安全以及产品服务的整体运营。因此,在后取得同意的经营者的行为合法性评价将受影响。
在未产生纠纷时,这类协议与条款宜被推定合法有效,但其正当性未必能经受推敲。一方面,在数据涉及知识产权的情形下,如果用户作为权利人将其数据内容向经营者许可并接受对价,则双方应基于用户协议接受相应约束。若经营者并未支付对价却限制用户的应然权利,则用户协议本身因公平性问题而难言正当。另一方面,虽然经营者设置用户协议或采取技术举措有其正当商业利益以及遵守 相关法律的考量(高建成,2022a),但有时其排除用户权利的行为并非实现合法目的所必要,且可能因违反《中华人民共和国消费者权益保护法》第 26 条而无效。用户协议的正当性问题需要从多个方面考虑,包括法律规范是否已做出明确规定、经营者与用户间的用户协议有无支付对价情形、经营者的举措是否超出必要限度等。概言之,从规范效果看,用户同意这一要件无法在先后经营者之间清晰地分配与界分数据利益。
总体而言,考察数据抓取纠纷中的用户同意仍然需要以法律为依据,并明确同意所指向的客体对象及范围。正如前述微梦公司诉字节跳动公司案、腾讯公司等诉浙江搜道公司案,法院均认为用户同意的范围是有限度的,无法及于原告公司的合法权益。当立法存在漏洞、未予以明确界分数据权属时,法院需要合理地平衡各方利益冲突,从中寻找调适路径。
四、数据抓取行为合法性判断的转向:可携带权思路
面对数据抓取纠纷中凸显的利益冲突,司法实践的探索提供了一种可能思路,其切入点便在个人信息数据。换言之,对这类数据的抓取行为有可能获得合法性的评价,且各主体的利益冲突能获得合理的调适。
(一) 裁判规律的提炼:从个人信息数据切入
结合前述司法裁判,法院采纳用户同意抗辩的案件涉及的数据,包括用户简历数据、图片数据、用户单一原始数据个体、用户经营相关的金额数据。从数据涉及的内容进行考察,简历数据属于个人教育工作信息以及个人基本资料,个人用户的即时通信内容属于个人通信信息,金额数据则视用户身份而决定是否为个人财产信息,这类数据均可以单独或者结合其他信息识别特定的自然人。按照“ 可识别性”的判断标准以及全国信息安全标准化技术委员会发布的《网络安全标准实践指南—网络数据分类分级指引》,这类数据内容均可以判定为个人信息。对于其中数据与个人信息的关系问题,可从形式与内容的角度进行理解:作为内容的个人信息具有多种表现形式,可通过语言、行为、图文、数据等载体进行呈现(申卫星,2022)。当数据承载个人信息内容时,则可被称为个人信息数据。
法院在这类个人信息数据之上采纳用户同意并认可行为的合法性,还考虑了涉案数据的如下特点:第一,个体性与非涉他性。用户同意所授权的数据直接关系用户本身,而不会涉及其他用户或者影响整体。第三方对该数据的抓取与利用,并不会对经营者的整体运营造成严重影响,也不会妨碍、破坏原经营者产品服务。第二,就贡献度而言,用户对数据内容的贡献程度较高,经营者的加工程度较低。从数据的加工程度进行区分,这类数据更多体现为原始数据而非衍生数据,比如简历内容和社交平台的文字图片。该类数据的生成环节主要由用户参与,数据内容由用户直接填充、上传,经营者仅提供存放、展现的平台载体而对数据内容本身的贡献不足。而数据所承载的内容,才是决定数据价值及相关产品服务的竞争优势的关键。
在法院否定用户同意抗辩的案件中,相关数据则包括整体数据资源、微信好友关系数据。这类数据虽也包括个人信息,但影响其他用户安全与平台运营环境,或涉及其他用户权益。由此看来,用户同意的免责或授权效力仅及于自身相关权益内容,而不能及于其他用户的数据及其权益。此外,经营者对相关数据产品或服务具有整体性、完整性的利益实现诉求。一方面,经营者因其加工与运营活动 对产品服务竞争力做出较大贡献,享有合理的利益期待;另一方面,经营者也需要对其自身产品服务进行整体性监管。因此,对于危及整体运营环境的数据抓取行为,用户同意无法阻却违法性。
概言之,用户同意的效力范围可涵盖个人信息数据,并可能证成数据抓取行为的合法性,但是附有一定条件。此种司法裁判的思路实际上与个人信息可携带权的应用思路基本一致,即承认通过用户同意启动可携带权的行权程序,并在可携带权的客体范围上做出一定限制。
(二) 可携带权的规范内容及其正当性
从可携带权角度判断数据抓取行为的合法性,具有明确的法律规范基础、确定的权益指向,相较于用户同意的考察视角更具可操作性。当数据承载个人信息时,用户同意的抗辩效力则源于个人信息可携带权。因而在第三方已取得用户同意的情况下,法院的考察重点应转至可携带权。
个人信息可携带权可见于《个人信息保护法》第 45 条第 3 款的规定,其意指在符合特定条件下,个人有权请求将个人信息处理者处理的其个人信息转移至其他个人信息处理者的权利(杨合庆,2022)。其行为规范的内容包括,在主体方面,用户个人基于其个人信息而成为可携带权的合法权利人,控制个人信息数据的经营者以及抓取数据的第三方经营者则成为“个人信息处理者”;在行权方式方面,该条规定的“请求”并无书面、明示等形式要求,亦不排斥以同意授权的方式委托他人行使。换言之,用户个人可以同意的方式授权第三方,委托其提起请求。承认用户同意的授权效力,由经营者触发可携带权行权条件,有益于实现数据流动的目的,且无碍于个人信息的保护以及市场与竞争机制作用的发挥;而权利行使所指向的效果,就在于实现个人信息转移,使得第三方能够获取有关信息的数据副本。
至于可携带权的范围,当前立法暂无明确,但立法者认为应设置限制,因此在该条款中规定由国家网信部门确立限制条件(杨合庆,2022)。中国网信部门于 2021 年 11 月发布《网络数据安全条例(征求意见稿)》,其中第 24 条将其明确为“基于同意或者订立、履行合同所必需而收集的个人信息”以及“本人信息或者请求人合法获得且不违背他人意愿的他人信息”,意欲与欧盟保持一致(蔡培如,2023),但该条例至今未通过。因此可认为,个人信息可携带权的具体制度如行权条件与限制等内容仍属于立法漏洞。欧盟的实践经验可供借鉴,其《通用数据保护条例》第 20 条所规定的数据可携带权,本身是为调适在个人数据问题上个人选择自由与市场内各经营者间利益的冲突所创设的机制(王锡锌,2021)。或许是立法者顾虑数据可携带权对市场的不确定影响,条例第 20 条还规定了平衡条款,要求可携带权的行使不得对他人的权利与自由产生不利影响(Hert 等,2018)。这种限制条件的规范设计与欧盟出台《通用数据保护条例》的初衷是一脉相承的,它不仅意味着要对可携带权的权利范围做出限缩解释,也要求法官在个案中进行具体而谨慎的裁判,考察行使可携带权所需满足的限制条件。
可携带权本身有其内在正当性,对其正当性的理解有助于把握其制度内涵,进而指引制度的具体实施。首先,作为个人信息权利束众多分支之一,可携带权的正当性来源在于保障人格尊严与人格自由(张翔,2022)。个人控制自身信息的权利,是自我实现、自我成就以及塑造人格的基础(汪庆华,2022),由此避免沦为他人所操纵的信息客体(杨芳,2015)。尤其在数字经济浪潮下,个人信息以及数据被肆意收集、开发、披露与滥用,有意或无意地侵蚀人的自主自决空间与隐私期望,无视人反思与选择的能力与自由,难以体现人之所以为人的尊严(Kang,2018)。其次,用户在这类数据生产环节中的贡献度决定了其有权决定数据的转移途径以及是否委托第三方实现转移(包晓丽,2022)。用户作为个人信息数据的供给源或发生源对数据内容与价值的赋予具有不可或缺的作用,故 完全有理由认为用户在数据利益分配中至少应享有一定的权益(龙卫球,2017)。同时,用户在现实中能够自主决定数据的生成、编辑、复制、改动、删除,用户数据的发布与生成、用户之间的互动等正是构筑产品服务的吸引力、累积竞争优势的重要根基。因而,用户的此种自由因商业模式的发展需求而成为必然,在社会观念层面也能得到普遍认可。
五、数据抓取纠纷中引入可携带权思路的证成
在立法已然确立可携带权的情况下,运用可携带权思路裁判数据抓取纠纷具有可行性。其与《反不正当竞争法》在制度目的与价值理念上相一致,在规范适用方面亦无矛盾,且有助于促进中国法体系的融贯统一。
(一) 立法目的与价值理念的一致性
从立法目的与价值理念上进行考察,《个人信息保护法》与《反不正当竞争法》在可携带权的问题之上出现交集与关联。确立可携带权的目标有二:其一,强化个人对自身个人信息的控制;其二,削弱大型企业对用户的锁定效应,改善竞争环境(杨合庆,2022)。两种目标之间存在内在的逻辑关联:前者为直接目的,体现的是可携带权制度的初衷与出发点。无论是中国还是欧盟,在主观上均 高度重视个人或者消费者的基本权益保障问题。个人信息相关法律规范的相继出台便可作例证,尤其可携带权制度的设立更是凸显其对个人自主决定的尊重。于个人而言,其对源于自身的个人信息当然地享有自主决定的权利,这种权利应受保障。而后者为间接目的,其实现依赖于个人控制个人信息的转移。换言之,改善竞争环境是通过个人行使可携带权而实现的客观效果。由此看来,两者目标属于直接与间接、主观与客观的关系。至于《反不正当竞争法》,其第一条便明确了立法目的,可以概括为保护公平竞争以及保护经营者与消费者的合法权益,与可携带权在制度目标存在共性。
可携带权属于《反不正当竞争法》所关切的消费者权益范畴。《反不正当竞争法》所保护的消费者权益是一个广义的抽象概念,包括消费者的选择成本、消费者福利等范畴。其未必需要指代某一狭义的具体权益,但必须与竞争关系、竞争秩序相关,否则不属于《反不正当竞争法》的调整范畴(王瑞贺,2018)。在 《反不正当竞争法》视阈下,可携带权便指向消费者在转移自身数据事项上的知 情权与选择权,更抽象地,则代表了消费者自由选择的利益。尽管消费者权益在 《反不正当竞争法》中被定位为反射利益,但消费者这一角色对于识别竞争行为的违法性有重要作用。一方面,从消费者视角观察经营者吸引消费者的手段是否正当,能够有效筛选不正当竞争行为(李友根,2013);另一方面,以消费者的消费决策是否被扭曲为标准,能辅助判断竞争机制是否遭致扭曲,以此把握不正当竞争行为的违法性本质(宋亚辉,2023),而其中的消费决策与消费者的知情权与选择权密切相关。 结合规范表述进行分析,《反不正当竞争法》第 2 条中的“损害其他经营者或者消费者的合法权益”以及第 12 条第 1 款的“通过影响用户选择或者其他方式”均表明,如果经营者在手段层面扭曲、阻碍消费者对数据的转移选择,将可能佐证其不正当性与违法性。
可携带权制度关注的数据封锁问题也属于《反不正当竞争法》的关切,两者均旨在促进公平竞争。在欧盟引入可携带权之初也具有服务于其竞争政策的意图。其企图以强化个人对其数据的控制的方式,促使个人数据在不同经营者之间流通,进而间接避免“数据封锁”现象的发生,并降低市场准入门槛、增强服务提供商之间竞争的目的(袁昊,2020)。中国确立可携带权的目的与欧盟别无二致。而反法所关注的公平竞争,也包含经营者在进入市场、参与市场竞争时不受不当阻碍的含义。可携带权的实施,表现为数据的获取与转移,可在一定程度上帮助经营者克服不当阻碍行为、打破进入壁垒以参与竞争。需注意,“数据封锁”描述的是一种限制他人抓取数据的现象,不单纯是反垄断法的调整范畴。此种限制抓取数据的行为同样可能因破坏公平竞争秩序、扭曲竞争机制而为《反不正当竞争法》所规制(高建成,2022b)。由是观,《反垄断法》与《反不正当竞争法》并非完全对立,两者在竞争过程与机会平等等方面具有共同关切(尚佳,2023)。
(二) 行为规范在解释论层面的衔接
《反不正当竞争法》的立法模式系从正面列举禁止实施的行为,并以一般条款进行兜底,整体遵循“反面排除”的逻辑,剩余皆为竞争自由的范畴。而从宏观法体系的角度思考,《反不正当竞争法》的本质目的在于保护优胜劣汰的竞争机制。在判断数据抓取行为的违法性时,无论根据该法第 2 条中的“遵守法律和商业道德”或“诚信原则”,还是第 12 条互联网条款,均需由正面判断行为是否 实质扭曲竞争机制(宋亚辉,2023)。而依托可携带权进行数据获取,并不违背法律和商业道德,也不属于《反不正当竞争法》所禁止扭曲竞争机制的行为。
首先,根据《反不正当竞争法》第 2 条进行评价。基于可携带权实施的数据抓取行为,所依据的 行为规范是《个人信息保护法》第 45 条,并非《反不正当竞争法》所禁止的不遵守法律的行为。对于“商业道德”要件,《最高人民法院关于适用〈中华人民共和国反不正当竞争法〉若干问题的解释》第 3 条明确要从特定商业领域普遍遵循和认可的行为规范进行考察,而当前互联网行业尚未就可携带权形成普遍且稳定的行为规范。但无论相关行业规范是否存在,既有的法律要求也将塑造新的商业道德。法律所具备的一般性就意味着,法律规范的内容将得到普遍遵守,由此可携带权的制度内容 也将成为行业内长期遵循的行为准则。
其次,可携带权的行使并不符合《反不正当竞争法》第 12 条第 2 款所罗列的具体情形。一方面,依可携带权获取的是数据的副本,难以对他人的网络产品或服务造成“妨碍、破坏”;另一方面,只要用户转移数据的请求不是由经营者误导、欺骗或强迫而做出,则因不满足第 12 条规定的“影响用户选择或者其他方式”而无法证成行为的违法性。对此要件不宜作广义解释,结合第 2 款罗列手段的特点,该规范要件强调的是手段或方式的不正当性。
再次,可携带权的行使不会扭曲优胜劣汰的竞争机制。该权的设置不意味着向用户无限制地赋权,也不意味着小型经营者可借此“搭便车”。基于立法者对竞争机制的关切以及对各主体利益平衡问题的谨慎态度,可携带权的行使必须满足特定限制条件,以此避免竞争机制或创新机制的失效(袁俊宇和张斌峰,2023)。其一,基于可携带权的裁判思路本身是一种二阶式的个案考察。其中,对于 用户贡献度低、涉他性的数据,由于用户同意的效力范围并不及于其他用户的内容,或者用户在该部分数据上并无可主张的权益,经营者仍可以保留数据的控制,以此避免自身的成本与劳动价值付之流水。其二,将可携带权思路引入司法裁判,并不等于施予在先经营者配合转移数据的积极义务。可携带权导致的数据转移结果有两种实现途径,即在先经营者积极转移或第三方自行进行获取。法院应用可携带权思路主要处理的是后者情形。在此情况下,在先经营者承受不干预的消极义务,而无须在技术与设施方面配合第三方的转移活动(戴昕,2021),因为抓取数据的第三方通常具备转移与接收数据的能力。
最后,引入可携带权思路有利于促进法体系统一。对于一具体法律的含义,本身需要置于整体的法体系结构与语境之内进行理解,单纯作个别化理解将导致体系的混乱(拉兹,2003 年版)。从体系的角度理解可携带权,经营者依用户的可携带权的主张而抓取数据的行为不应被认定为违反《反不正当竞争法》。否则,依据一部门法履行某项义务,或者积极行使某种权利而不构成权利滥用的行 为,却在另一部门法中被评价为违法,这将导致意外的体系解释结论。这种解释结论的矛盾与混乱将传导至数据处理的相关行业实践,无法为行业内经营者提供指引与预期,同时也将对中国法体系的统一性与稳定性造成损害。尽管不同部门法有其独特的调整范畴与价值目标,一种为某一法律所禁止的 行为可能在另一部门法视阈中确证合法,这体现的是违法性评价的相对性(王昭武,2015)。但一项受法律鼓励的行为,在任何部门法的语境或者整体法秩序之下不应获得违法性评价(张峰铭,2023)。
六、可携带权思路在数据抓取纠纷中的应用
结合《个人信息保护法》第 45 条第 3 款的解释,可携带权思路是指,在用户对涉案数据享有可携带权的前提下,第三方经营者在取得用户的同意授权后对数据进行抓取,由此发生阻却行为违法性的效力而不构成不正当竞争行为。在此思路下,第三方无须再征求占有数据的在先经营者的同意,即便在先经营者表示拒绝,也不影响第三方行为的合法性。而在实际裁判中可依循如下步骤,进行分层考察。
(一) 第一层考察: 以用户的有效同意为必要条件
考察用户同意的原因有二:其一,先从用户同意进行考察,能够发挥筛选作用,进而节省法院的认知成本,提高司法裁判的效率。如果个案中,用户对其数据的转移事项并不知情且未予同意,法院则可以否认可携带权作为数据抓取行为违法性的豁免事由的可能。其二,用户的同意是行使可携带权的必要条件,也是应用可携带权思路的必要考量。
具言之,抓取用户数据行为的正当化前提是必须经过用户的明确、自愿同意。征求用户的同意是行使个人信息可携带权的前提基础与启动程序。为此,需判断用户是否对其授权转移的数据范围、使用目的以及后果有明确的认知。对于超范围的抓取行为以及超出授权目的使用行为,因违反《个人信息保护法》《网络安全法》等有关同意规则而存在不法性,并且也应遭到《反不正当竞争法》的负面 评价。同时,经营者所取得的用户同意,不能是通过欺骗、误导与强迫等不当方式取得,否则行为将因侵犯用户选择权与知情权等合法权益而构成不正当竞争。这也是消费者标准在不正当竞争行为判断中的具体应用,即当经营者通过不当方式侵犯用户的相关权益时,竞争行为难说合法。
《个人信息保护法》第 45 条规定的可携带权的行权主体为个人,但应承认其授权委托关系。换言之,当抓取用户数据一方经营者征得用户同意后,视作接受用户的个人信息可携带权的授权委托,并由其抓取行为实现数据的复制、迁移与再利用(丁晓东,2020)。个人信息可携带权的授权行使并不违背个人信息主体的意志,反而激活了可携带权制度的应用。囿于人的有限理性、集体行动困境以及成本收益考量,完全指望由个人提起私人诉讼从而激活可携带权相关制度的运作并不现实,未必能达到预期目的。可行的私人实施路径是,由其他经营者受托行权,基于用户可携带权的委托与主张以实现用户数据的转移,进而实现可携带权的制度目标。原因在于,为争夺交易机会并实现收益,经营者具备获取用户数据的天然动机,并且在经济实力与诉讼能力更具备优势。实际上欧盟有专门工作组(Article 29 Data Protection Working Party)针对数据可携带权制定《数据可携带权指南》,其在行权主体的问题上明确,除数据主体外,其他主体也可在取得授权书的前提下代表数据主体主张相关权利。
(二) 第二层考察:数据内容及其限制性要求
在应用可携带权思路裁判数据抓取纠纷时,法院在认定已取得有效同意后,应当进行第二层考察,即关注涉案数据客体及其限制要求。一方面,需注意,不当限缩个人信息可携带权的内涵,将导致制度本身缺乏张力而无法实现预期效果;另一方面,过于宽泛的解释又可能损及数据占有者的合法权益,甚至撼动整个数据产业的秩序与格局,削弱竞争机制与创新机制的效用。具体而言,法院可采取二阶式的分析进路:
第一,涉案数据须为个人信息数据,即数据内容上应当为《个人信息保护法》第 4 条所规定的“已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”以及《网络安全法》第 76 条第 5 项所规定的“能够单独或者与其他结合识别自然人个人身份的各种信息”。中国采用国际上公认的“可识别性”标准,以相关数据区分是否为个人信息数据(程啸,2018)。该标准包括直接识别性与间接识别性两种,实则为个人信息相关制度的适用留存了极大的规范张力,以尽可能地维护个人权益,并约束其他信息处理者的行为。
第二,为了避免个人信息的概念张力过大、导致过多数据纳入可携带权的范畴,进而损害原数据占有者的合法利益与劳动成果,应对可合法抓取的个人信息数据施以限制性条件。欧盟的数据可携带权相关制度实践提供了较好的思路,其在《数据可携带权指南》明确限制行权条件,比如需为个人数据或个人提供的数据、不得影响他人权利等。这类限制条件能够避免否认数据控制者对其他数据的加工与劳动成果,尽可能地在尊重劳动、创新机制的前提下,有效促进数据流通以及二次利用,平衡各方的利益需求。对于中国,法院可考察涉案数据是否满足以下限制性要求:
一是数据的内容必须是“基于同意或者订立、履行合同所必需而收集的个人信息”,并且在加工程度上属于原始信息(蔡培如,2023)。用户个人仅对这类源自自身的信息和数据享有自决与控制权,且对这类数据的内容与价值创造方面具有较高的贡献度。从数据加工程度进行判别,其属于原始数据,同时因内容上属于可识别的个人信息,宜将数据利益分配给作为数据主体的个人,由个人决定 数据的控制与流通。而此时企业所投入的成本尚不足以对抗个人的数据利益,需让位于个人的数据利益。当第三方就此类数据取得所归属主体的授权同意时,其抓取数据行为不必然需取得占有数据的经 营者的同意(刘辉,2022)。至于无法再识别的、经匿名化处理的数据,其无法单独或结合其他数据识别特定个人,亦无法通过再识别技术复原,因不满足可识别性标准而被剔除于个人信息的范畴之外(程啸,2018)。这类数据如匿名化的衍生数据并非可携带权的客体对象,且通常附着在先经营者的劳动与价值添附,此时抓取数据一方即便主张用户同意抗辩也不应被法院支持(王锡锌,2021)。
二是行使个人信息可携带权不能对他人权利及自由产生不利影响。对于涉及他人个人信息、商业秘密、知识产权等权益的数据,单个用户的同意的效力不及于他人合法权益,可携带权思路也不具备应用的空间。前述否定用户同意抗辩的数据抓取纠纷裁判中,法院的论证思路多体现该消极要求。这类案例所涉及的用户数据多牵涉他人的权利。除了他人的个人信息以及隐私安全外,法院还应关注数据是否包含知识产权、商业秘密乃至公共利益等内容。在这类数据上,立法已做出排他性的制度安排,因而用户同意与可携带权需予以让位,这也是可携带权的制度目的所决定的。
七、结语
对于抓取用户数据而引起的不正当竞争纠纷,法院不宜一概承认或否认抓取数据一方有关取得用户同意的抗辩事由,而应当转由可携带权思路进行考察。原因在于,一方面,数据的权属问题尚未厘清,同意要件也无法清晰地指向具体的权益,使同意在传统私法自治框架下所具备的功能出现失灵,进而无法为裁判提供明确指引;另一方面,可携带权思路以《个人信息保护法》第 45 条第 3 项为规范基础,能够在立法目的以及规范解释两方面与《反不正当竞争法》进行有效衔接,并促进法体系的统一与稳定。依循可携带权思路,当用户对涉案数据享有可携带权且满足行权的限制性条件时,第三方经营者在取得用户同意授权后对数据进行抓取,并不构成不正当竞争行为。这类数据是具有非涉他性、由用户提供或生成的个人信息数据,由于用户对该类数据具有较高或极高的贡献程度并且就其中的个人信息内容享有自决与控制权,因而用户有权就数据的转移事项向其他主体进行授权。
可携带权思路为数据抓取行为合法性的成立提供了一种可能,也为其他市场主体的利用与开发活动留存了一定空间。欧盟的实践效果也预示该思路的可行性。欧盟委员会对《通用数据保护条例》实施两年的情况做出评估,认为欧盟数据可携带权的落实带来积极效果,有助于削弱用户锁定效应、促进数据流通以及间接促进竞争。当然,中国仍然需要根据本土实际情况,持续推进个人信息可携权的具体规则设计,不断明确权利客体范畴以及相关行权条件,以期为司法裁判提供更明确的指引。
作者:高建成
《互联网法律评论》特约专家
南京大学法学院博士研究生
【免责声明】此文仅代表作者个人观点,与本平台无关。本平台对文中陈述、观点判断保持中立,不对所包含内容的准确性、完整性或可靠性提供任何明示或暗示的保证。
评论