2019年4月4日晚,对外经济贸易大学数字经济与法律创新研究中心与个人信息保护与数据治理三十人论坛在对外经济贸易大学宁远楼729联合举办了“数据纠纷:法官与学者的对话研讨会”。来自最高人民法院中国应用法学研究所、北京市海淀区人民法院、北京市第一中级人民法院的资深法官、来自中国人民大学、北京外国语大学、中国法学会法治研究所、对外经济贸易大学法学院的多位学者以及来自工信部、中国信息通信研究院、美团点评、科文顿·柏灵律师事务所、微软中国等业内专家齐聚一堂,共话当前的数据纠纷问题。
与会嘉宾围绕当下热议的数据纠纷和数据治理问题进行了深入的思考和探讨,在众多方面取得了一致共识。与会嘉宾认为,基于企业和用户依存共生的关系以及数据的本身属性,应当明确企业对于自身经营活动收集并进行商业性使用的数据享有必然的合法权益。在数字经济时代,对于用户数据的获取和利用是企业获取竞争优势和商业资源的重要途径,以提供社交服务的平台企业为例,用户通讯录本身就是极有黏合度的竞争品,是企业运营的基础。如若放纵随意爬取和窃取企业数据行为的滋生,就会在数据利用领域出现遵循丛林法则的虎狼世界。对于企业数据权益保护问题,即使不能从正面建构数据权利,也应当肯定企业有权决定自身数据的授权和利用方式,例如对于同业的竞争者,企业应当能够对其获得和利用自身数据的行为进行有效的控制和限制。此外,从维护社会公共利益和市场竞争秩序的角度出发,国家应当在公法层面采取行政执法等措施对数据窃取等违法行为予以惩罚和遏制。
会议第一环节为“国内外数据纠纷案例梳理”的主题发言环节。对外经济贸易大学数字经济与法律创新研究中心执行主任许可首先介绍了数据全生命周期中12种纠纷类型,包括数据收集、数据滥用、数据交易、数据共享、数据抓取窃取以及泄露、数据垄断和数据跨境等。目前,我国法院在数据共享纠纷和数据抓取纠纷已经形成了基本共识。就数据共享而言,应当从数据共享协议(open API协议)出发,明确各方的权利义务,同时避免用户个人信息权益受损,新浪微博诉脉脉案确立的第三方通过OpenAPI获取用户信息时应坚持“用户授权+平台授权+用户授权”的“三重授权”原则即是这一审判思路的体现。就数据抓取而言,数据原始收集方的利益应当得到尊重,但同时也要考虑到市场竞争和公共价值。
随后,北京市第一中级人民法院民二庭副庭长丁宇翔以《中国个人信息司法保护中的难点及其破解思路》为主题,以庞鹏理诉东航和去哪儿网案、任某诉百度案为切入点,总结了个人信息保护在司法案件中面临的案由选择、行为违法性、因果关系认定以及责任形态四个难题。
工信部国际经济技术合作中心法律研究所助理研究员黄琰童以《美国数据爬虫相关案例判决简析》为题做了精彩分享。根据美国《1986年计算机欺诈与滥用法》(CFAA)1030(a)(5)(A)(2008)的规定,未经授权故意访问计算机或超过授权访问权限,从而从任何受保护的计算机获取信息;或者被告“故意造成程序传输,并且对未经授权且受保护的计算机造成损害”的,要承担民事或刑事责任。黄琰童助理研究员结合美国数据爬虫纠纷系列案例,就怎么理解“未经授权”、“超过授权的访问”以及“受保护的计算机”等法官判决中的重要依据做了详尽阐释,并指出在美国大量的司法判例中,网站的声明、用户协议、使用条款等,都可以用来确认网站平台对数据的自身权益。黄琰童助理研究员还就2017年HiQ Labs诉Linkedin案的特殊之处进行分析了。另外,他以美国司法界对数据权属不太关注为现实背景,提出数据权属如何界定的疑问。例如,在破产清偿的案例中,数据资产买卖作为保障债权人利益的重要保障手段,但并没有引起法官、律师对数据产权问题的关注和讨论,似乎是默认数据的实际控制者享有买卖的权利,并设定“适格购买者”(Qualified Buyer)标准来保护消费者隐私。他指出这种思路对于我国的实践具有一定的启发性。
主题发言结束后,各与会嘉宾在讨论环节就数据(权利)和个人信息(权利)的联系与差异、数据能否作为商业秘密、反不正当竞争法运用于数据纠纷的可能与限度、数据可携带权的风险与障碍、三重授权原则的运用和发展畅所欲言。
最高人民法院中国应用法学研究所陈敏光对比分析了HIQ诉LinkedIn案与大众点评诉百度案。两者的不同在于,国内涉及到数据抓取的案件,往往被告后续对数据的使用行为构成了对原告服务的的实质性替代,此时法院一般会根据《反不正当竞争法》第二条认定其构成不正当竞争。领英案不同的是,原告作为小型创业公司,根据领英公开的数据进行不同维度的二次利用,其在某种意义上居于数据产业链的下游,且领英对此一直是允许的,现在领英自己要开展同类业务,从而拒绝原告对数据的抓取,这涉嫌滥用市场支配地位。
关于数据财产权配置问题,陈敏光认为首先要明确财产权的内在根据不仅仅是劳动,更在于社会公认。其次,基于数据财产权形成的多方参与性、利用的多维度等特点,正面列举财产权的种类、内涵和方式等恐不符合法的确定性、经济性等要求,故可考虑反向界定的方法,即根据社会公认理论和社会本位思维,从不同相关主体对数据业者的正当限制入手,如消费者基于隐私利益、同业经营者和下游经营者基于反垄断和竞争保护、国家公权基于公益对其施加相应的义务等,在此之外,数据业者的数据财产权均得以畅行无碍,从而实现社会效益的最大化和社会公认的支撑。
中国法学会法治研究所副研究员刘金瑞认为个人信息权益保护存在利益衡量问题,个人信息利益均归属于个人并不符合实际,个人信息可分为隐私性个人信息和其他个人信息两类区分保护。他认为对待数据应打破物化思维;三重授权原则不一定在所有场合都是必要。他进一步指出,就数据而言,网络平台和用户是依存共生的,从数据的本身属性而言,它必须依赖于特定的平台架构,一旦离开价值就消失了,所以平台企业应该享有一定的数据权益,但同时也会承担数据泄露的责任。例如最近热议的头腾大战,如果腾讯不和多闪进行诉讼的话,很多用户也可能认为是腾讯泄露了自己的数据,企业就会非常被动。
北京市海淀区人民法院民五庭庭长杨德嘉从竞争法角度详细分析了领英案与脉脉案的不同。杨法官指出,面对数据获取和利用问题产生的纠纷,我们不能采用静止的思维模式和一刀切的解决方法。因为无论是技术应用还是竞争手段,都是在不断变化发展的,相应的社会利益格局也是在动态中去逐步寻求平衡的。我们在个案中看到的往往只是案件本身所体现出来的具体问题,与之相对应的司法结论,也是以解决本案中的特定纠纷为出发点和根本目的的。至于这些结论能否作为普适性的标准,一概适用于此后类似纠纷的解决,恐怕还需要在更多的案例中去经历反复验证,当然也不排出会被修正乃至推翻。我们目前对这些问题的探索,仅仅是开了个头,现在就笃定某些个案结论将成为“铁律”,未免有些仓促,也不符合认识规律。此外,虽然我们面对的是网络环境下的新问题,但这些问题的形成,仍然是建立在现实社会中人们的行为模式和思维习惯上的。因此,我们去探寻解决这些新问题的思路和规则时,不妨回顾千百年来人类积累的社会经验和社会认同,从中去借鉴智慧、寻找答案。在现有规则和经验的基础上,针对互联网的新特点进行适度调整。这样一来,我们对数据竞争问题的解决方案,才可能更容易被社会公众乃至相关从业者所理解和接受。我们应当在承继中不断发展,而不是割裂历史与现实,网上与线下。举例来说,按照我们传统的生活经验,一家商店,你在营业时间随便进出是没问题的。但是在商店晚上关门歇业后潜入进去,恐怕就有违法之嫌。此外,即使是在营业时间,你从正门进入开放的营业区域没问题,但是绕到上着锁的后门,或者明明看到非工作人员不得进入的警告,仍然把锁撬开,或者采用爬窗户等方式进入,这就存在很大的问题了。这样公认的生活经验与尝试,同样也对数据竞争纠纷的判断有启发。领英案的裁定中也举了类似的例子。正是因为这样,我们才不难看出,领英案和脉脉案貌似结果相反,但内在逻辑却不矛盾。在领英案中,HiQ爬取的是完全在网上公开的信息,从这个角度出发,法院就认为这种行为是可以接受的;但在脉脉案中,脉脉却超越许可权限,爬取了新浪服务器中非公开的用户数据,所以法院认定这种行为应当被禁止。
对外经济贸易大学法学院助理教授陈晓彤指出,鉴于《民事诉讼法》关于行为保全的规定非常的抽象,即使是在非知识产权侵权的案件中,参考借鉴《最高人民法院关于审查知识产权纠纷行为保全案件适用法律若干问题的规定》这一司法解释来保护受侵害者权利也没有什么问题。我们可以进一步完善行为保全的相关听证程序,且该听证程序和实体审判程序中应当适用不同证明标准,例如可以通过主观证明责任转移等措施来降低请求人的证明难度。
中国人民大学未来法治研究院研究员熊丙万指出,对于数据权属认定标准的分析可以从用户对企业提供数据服务的多元合理预期和企业在提供各种数据服务时所要求的对价,这两个方面来加以思考。综合考量这两个方面的因素能更好地协调数据劳动投入标准和数据产权分配之间的关系。当用户希望利用数据企业收集加工的与其有重要利益关系的数据时,法律上有必要进一步评估企业在收集和整理数据过程中投入的成本,以及是否获得了足够的对价。此外,他还以好友关系链为例解释了权利束理论在数据领域存在适用困难的原因。
北京外国语大学法学院副教授万方结合数据流转的链条,就特定数据对企业的价值,以及对通讯录的价值属性问题做了分析,她指出,对于以提供社交服务的服务商来说,用户通讯录本身就是极有黏合度的竞争品,是社交平台的运营基础。同时,通讯录涉及共同隐私的问题,其类似多人的合影,单一用户的授权可能是不够的。
中国信息通信研究院互联网法律研究中心主任方禹认为互联网治理问题仅通过立法很难解决,以司法或执法突破更好。网络方面的立法应考虑普适性和合理性问题,以线下和线上画像为例阐明个人信息保护中要解决划范围和定规则问题,在个人信息保护规则趋严的前提下,不妨压缩个人信息的范围。
对外经济贸易大学梅夏英教授认为,数据的价值来自于数据鸿沟,数据控制者可以通过数据交易和数据分享来牟利。但是,数据很难通过积极设权的方式来保护。可又不能不保护,如果大家可以随意爬取和窃取他人的数据,就成了遵循丛林法则的虎狼世界。所以,可以考虑设定一个防御性权利。它不是基于数据权,而是由公法上义务和相关惩罚措施而来。
本次会议就此圆满结束。虽然数据领域的难题多于答案,规则滞后于现实,但是每一次理论界和实务届人士的交流,都将进一步加深我们对数据法律问题的理解,并有助于理性共识的达成。