引言
一、商业数据纠纷司法案例概况及分析
图 3 商业数据纠纷案件案由占比情况
在样本案例中,以《反不正当竞争法》第二条(即“一般条款”)作为裁判依据的案例占比为57.14%;以《反不正当竞争法》第十二条(即“互联网专条”)作为裁判依据的案例占比为10.71%;同时援引《反不正当竞争法》“一般条款”及“互联网专条”的案例占比为28.57%;援引其他条款的案件占比3.57%(见图4)。
图 4 商业数据纠纷案件裁判依据占比情况
其中,援引其他条款的一起案件亦认可了商业数据应当受到相应保护,即快手诉天之易公司不正当竞争纠纷案[7]中,法院援引《反不正当竞争法》第八条,认为原告运营的快手平台上的访问数据具有较大的商业价值,原告依托平台数据获取的商业利益依法受到保护,被告利用技术手段进行刷量服务,导致快手应用程序中存在大量虚假访问、点击等数据,破坏了原告平台数据的真实性,对相关公众产生误导,严重影响原告做出正常经营决策,损害了原告享有的合法商业利益,被告的行为构成不正当竞争。
图 5 商业数据纠纷案例判赔额占比情况
二、涉商业数据不正当竞争案例裁判思路分析与要件解读
从样本案例来看,当事人主要通过反不正当竞争法对商业数据寻求保护。在涉商业数据纠纷不正当竞争案例中,法院在分析涉案行为是否构成不正当竞争行为时,通常从以下四个方面加以分析:一是权益基础要件,分析数据持有者是否享有值得保护的竞争性权益;二是主体要件,考虑双方之间是否具有竞争关系;三是行为要件,针对被诉侵权人诉争行为的不正当性加以分析;四是结果要件,关注被诉行为是否损害他人应受保护的数据权益以及是否会对市场竞争秩序造成损害。下文将结合相关法律规定及相关案例对上述要件的司法适用逐一进行解读。
1.商业数据的司法分类
基于本文检索到的样本案例,可以发现司法实践中对于商业数据的分类主要有原始数据与衍生数据、公开数据与非公开数据、单一数据个体与数据资源整体这三种类型。商业数据的类型差异在一定程度上体现了数据持有者、加工者在数据采集、加工或处理等方面投入、贡献的差异,由此也会影响商业数据是否受到反不正当竞争法保护的权益基础。
(1)原始数据与衍生数据
根据数据加工程度的不同,商业数据可以分为原始数据和衍生数据。原始数据是由企业利用大数据技术进行收集和存储的海量数据集合。单一数据承载的信息有限,海量单一数据的汇集则使其蕴含的信息内容及价值发生了质变。原始数据作为数据集合,其数据范围较广,包括用户在使用软件时主动提供的数据,如用户的身份信息、用户兴趣、或者是用户评论等,也包括经营者主动通过数据采集、爬取等方式收集的用户浏览访问数据以及从公开渠道获取的数据等。衍生数据则是企业基于自行收集或以其他方式获取的数据资源,经过进一步分析和加工形成的具有更高价值和分析预测能力的数据产品。在数据要素时代,数据从产生到利用是动态变化的,各个环节所承载的价值和利益在不断积累和变化。经过加工、分析、整理之后形成的衍生数据更具商业价值,在众多商业场景下,衍生数据已成为当下提升企业竞争力的重要工具或商业产品。
从样本案例来看,法院倾向于认为数据持有者对原始数据一般不享有独立的权益,但是对于衍生数据可享有独立性的财产权益。如在淘宝诉美景案[10]中,淘宝开发运营的一款名为“生意参谋”的零售电商数据产品,在收集巨量原始数据基础上,以特定的算法深度分析整合、脱敏处理后形成衍生数据产品,为商家网店运营提供系统的数据化参考服务。被告美景公司以提供远程登录“生意参谋”数据平台的技术服务来招揽客户,帮客户获取信息数据,并从中获利。对于涉案数据是否具有可保护性,法院将涉案数据进行了网络用户信息、原始数据、衍生数据的三元划分。一审法院认为,淘宝公司对于原始数据,不能享有独立权利,需要受到其与用户签订的信息使用协议限制;而对于衍生数据,由于其为淘宝公司在原始数据的基础上通过一定的算法,经过深度分析过滤、提炼整合以及匿名化脱敏处理之后形成的,淘宝公司对于衍生数据享有独立性的财产权益。该案中,法院确认淘宝公司对于其进一步分析加工而成的衍生数据享有受保护的竞争性财产权益,明确了衍生数据受保护的权益基础,对于后续有关衍生数据保护案件的处理具有较强的示范效应。又如在腾讯诉联络易公司、登堂通信公司纠纷案[11]中,法院明确指出未经分析加工的用户个人原始数据,该数据并非腾讯公司收集或再加工的成果,腾讯公司有义务保护此类数据的安全,但在用户授权范围外对此类数据并不享有其他权利,无权主张经济赔偿。
(2)公开数据与非公开数据
根据数据是否处于对外公开的状态,商业数据可以分为公开数据与非公开数据。公开数据是指可为公众公开获取的信息,如政府公开数据、商家点评数据、实时公交数据等。非公开数据是指不可为社会公众公开获取的信息,对于符合商业秘密构成要件的非公开数据可以通过商业秘密进行保护。前述原始数据与衍生数据的分类方式,是根据数据的形态、产生方式及加工程度进行的区分,而公开数据与非公开数据则是根据数据的公开程度进行的划分。对数据公开与否的界定,有助于在具体案件中分析判断诉争行为的合法性。一般而言,企业持有商业数据的公开程度代表了数据权益方对数据不同的控制程度,同时也影响行为人获取数据的难度及其获取手段正当性的判断。如微博诉蚁坊案[12]中,一审法院将涉案微博平台的数据区分为公开数据和非公开数据,指出对于公开数据,平台经营者应当在一定程度上容忍他人收集或利用其平台已公开的数据,否则将可能阻碍以公益研究或其他有益用途为目的的数据运用,有违互联网互联互通之精神;对于非公开数据,一般是数据持有者利用技术措施设置访问权限的数据,不会被他人随意获取,若他人利用技术手段破坏或绕开访问权限获取这类数据,显然具有不正当性。一般而言,相较于对公开数据的抓取和利用,行为人未经许可对他人非公开数据进行抓取、利用的,行为人对其数据获取行为及后续使用行为的正当性要承担更重的举证责任。当然,即便是公开数据,并不意味着任何人可以毫无节制地抓取和使用,而应当本着善良、诚信原则,仅在必要限度内进行抓取和使用。这一规则在阿里巴巴诉码注公司案[13]中被法院明确提出。
(3)单一数据个体与数据资源集合
除了原始数据与衍生数据、公开数据与非公开数据的分类,还存在单一数据个体与数据资源集合的分类方式。如在腾讯诉搜道公司、聚客通公司案[14]中,法院指出,在分析原告对微信平台数据享有何种权益之前,有必要先划分涉案数据类型,即将原告主张数据权益的微信平台数据分为两种数据形态:单一数据个体和数据资源整体,网络平台方对于单一数据个体与数据资源整体所享有的是不同的数据权益。法院认为,对于单一数据个体而言,其主要表现为将微信用户提供的用户信息作了数字化记录后而形成的原始数据,而非衍生数据,因此,数据控制主体只能依附于用户信息权益,依其与用户的约定享有原始数据的有限使用权。未经许可使用他人控制的单一数据个体只要不违反“合法、正当、必要、不过度、征得用户同意”的原则,一般不应被认定为侵权行为。而对于数据资源集合而言,原告则享有竞争权益。此种分类方式是对原始数据的进一步细化,数据持有者对不同的原始数据分别享有不同的权益。前述分类思路在腾讯诉斯氏新媒体公司案[15]中亦有体现。
2.数据来源的合法性审查
除前述数据分类方式外,在数据权益基础的界定上,还存在因数据来源合法性问题引发的争议。如非法收集原始数据或者难以证明原始数据系合法收集时,由此形成的衍生数据是否应受到保护。在淘宝诉美景案[16]中,针对双方当事人对于诉争衍生数据的来源合法性问题产生的争议,法院认为,淘宝公司收集涉案数据征得了用户同意,不存在非法获取的情况,且使用数据信息的目的、方式和范围均符合相关法律规定,具有合法性。由此可见,本案中法院在查明事实的基础上对于数据来源的合法性予以了确认,并未直接回答上述争议问题。
对于该问题,存在两种不同观点,一种观点认为根据“不洁之手原则”,原始数据来源不具有合法性,由此产生的衍生数据当然不应受保护;另一种观点认为可借鉴著作权法中关于“非法演绎作品”的保护规则,即虽然非法演绎作品相对于在先著作权人是侵权作品,但基于二度创作者所付出的独创性劳动,其仍可以就演绎部分享有著作权,有权追究在后侵权人的侵权责任。按照后一种观点,非法衍生数据显然可以受到保护。但上述保护模式是否能够参照适用于非法衍生数据的保护和救济,不仅需要考虑保护对象之间存在的异、同,还要考虑不同保护对象及相关产业的立法目的、政策导向等因素。由于数据的收集、加工、处理通常与个人信息保护、国家信息安全等密不可分,数据产业相关的立法、政策导向均十分注重强调对数据收集合法性的要求。近年来,部分省市出台的地方性法规也纷纷将数据获取的“合法性”作为数据交易的前提条件。如《上海市数据条例》第十四条[17]明确规定合法取得的数据可以依法使用、加工,第五十五条[18]则规定未经许可获得的数据不得交易;《深圳经济特区数据条例》第六十七条[19]规定,未经许可获取的或者未经依法公开的数据产品和服务不得交易。上述地方立法呈现的价值取向应该引起重视。
关于商业数据竞争行为是否具有不正当性,通常需要根据行为手段、损害后果以及二者之间的因果关系等因素作出判断。由于数据产业属于新兴领域,相关行业准则和商业惯例尚未完全成型,在诉争行为不正当性的认定上,对于“商业道德”的把握和界定至关重要。在有公认的商业道德可资依据时,应当优先依据公认的商业道德判断竞争行为的正当性。而在数据这类新市场和新产业等缺乏公认的商业道德的领域,法官需要根据法律精神、市场需求等,尤其是根据反不正当竞争法的价值取向,确定可资遵循的市场道德准则,再据此判断竞争行为的正当性。司法实践中,法院也在尝试明晰商业数据领域的商业道德,如在腾讯公司诉淘卓网络公司纠纷案[21]中,法院指出商业数据领域的商业道德应从四个层次分析,一是从互联网竞争特性分析,获取(处理)数据应当有边界,不能导致市场自发的调节机制失灵;二是数据控制者采用代码设置用户行为规则,建立数据流转、利用的“私人秩序”,属于互联网行业的商业惯例;三是应从反不正当竞争法的立法目的分析,若符合立法目的则可能存在责任豁免;四是应注意商业道德适用的限制。
从行为手段和行为表现形式的角度,商业数据不正当竞争行为可以划分为数据获取行为和数据使用行为两种行为类型。
1.数据获取行为的不正当性认定
对于数据获取行为,通常根据行为人获取数据的手段进行分类,对各类行为不正当性评判时的侧重点也有所区别。从实践情况看,主要包括以下几种情形:
第一,通过破坏技术措施的方式获取数据,包括破坏数据持有者设置的身份认证系统或其他加密系统或破解、规避、绕开反爬虫技术措施等方式。该类行为除可能构成不正当竞争承担民事责任外,还可能同时构成我国《中华人民共和国刑法》第二百八十五条[22]规定的非法获取计算机信息系统数据罪。如谷米科技诉元光科技案[23]中,法院认为,元光公司攻破谷米公司“酷米客”APP 加密系统,利用爬虫技术大量抓取并使用谷米公司后台公交运行数据,该行为被认定构成不正当竞争。该案中,在该行为被认定构成不正当竞争的同时,元光公司内部员工还被法院认定构成非法获取计算机信息系统数据罪。在涉及该类行为的民事案件中,如何举证证明行为人实施了采取破坏技术措施获取数据的行为往往成为案件审理的难点。在部分案件中,法院通过适当的举证责任分配解决了该问题。例如,在抖音诉小葫芦网案[24]中,法院认为,当数据持有者初步证明数据获取方采用不当技术手段获取数据的高度可能性时,则应由数据获取方就此给出合理解释并提供相应的证据证明,否则应承担不利后果。
第二,违反Robots协议获取数据。在对数据获取行为是否因违反Robots协议而具有不正当性进行认定时,除考虑数据获取行为本身是否违反Robots协议外,当事人还可能对Robots 协议本身设置的正当性产生分歧。此时,裁判者需要对Robots协议设置的正当性作出回应。例如,在新浪微博诉今日头条案[25]中,法院即对通过微博设置唯一Robots协议黑名单行为的正当性进行了审查和认定。
第三,未经授权或违反双方约定超范围获取数据。此类行为通常发生于曾存在合作关系的当事人之间,由于诉争行为涉及违约与侵权的竞合,司法实践中对该类行为并不排斥给予反不正当竞争保护。如微博诉脉脉案[26]中,淘友公司抓取新浪微博信息的部分行为发生在双方合作期间,部分行为发生于双方合作结束后。对于合作期间的抓取行为,由于淘友公司无视双方合作期间签订的协议,超范围抓取数据,构成侵权与违约的竞合;对于淘友公司在合作结束后继续抓取数据的行为,则违背了“用户授权+平台授权+用户授权”的三重授权原则,故上述行为均被法院认定构成不正当竞争行为。实践中,在判断是否存在超越授权的情形时,被诉行为是否符合相关领域的商业道德或行业惯例也是法院进行判断的考量因素之一,如腾讯公司诉淘卓网络公司纠纷案[27]中,法院指出分时出租腾讯视频VIP账号的行为不仅违反了用户协议,亦有违数据领域的商业道德和行业通常做法,属于超越腾讯公司授权的行为,构成不正当竞争行为。
第四,过度抓取数据。该类行为是指上述三类行为之外,行为人获取数据的手段并不违法,但因数据抓取的数量、持续时间等因素导致他人经营的网站负担过重甚至无法正常运营,此类行为也可能因此构成不正当竞争。与前述三类行为不同的是,此类行为认定的侧重点不在于数据获取手段的违法性,而在于对数据抓取及后续使用行为所造成行为后果的审查。
2.数据使用行为的不正当性认定
对于数据使用行为,在判断其行为是否具有不正当性时,需要考虑数据来源是否正当、使用数据的范围是否合理等因素。若数据来源不正当,则后续的数据使用行为也必然存在不正当性,但如何规制后续的数据使用行为尚有讨论空间。然而,即使数据获取手段正当,仍可能存在对数据后续的不正当利用行为。一般而言,使用数据的主体应当遵循“合法、正当、必要”的原则,如果数据使用行为客观上对数据收集者提供的数据产品或服务产生了实质性替代或部分替代效果,即使在数据获取过程中未采用不正当手段,仍可能构成不正当竞争行为。上述规则在大众点评诉爱帮网案[28]、阿里巴巴诉码注公司案[29]、新浪微博诉今日头条案[30]等案件中均有体现。
在判断商业数据行为是否构成不正当竞争行为时,还有结果要件的考量,即需要判断被诉行为是否会对他人数据权益及市场竞争秩序的损害。通过对样本案例的梳理可知,损害形态包括造成实质性替代、部分性替代、影响他人产品正常运行以及非法利用他人经营成果,破坏他人市场竞争优势等。上述损害形态体现了损害后果在程度上的差异。而损害后果严重程度的界定,具有重要的法律意义,首先,直接关系到对被诉行为的准确定性与法律适用;其次,在诉争行为定性上,损害后果的严重程度与诉争行为的违法性程度要求可以成一定的反比关系;此外,还直接影响到损害赔偿等法律责任的确定。
三、商业数据反不正当竞争保护的法律适用及规则走向思考
最高人民法院于2021年8月18日对外公布的《最高人民法院关于适用〈中华人民共和国反不正当竞争法〉若干问题的解释(征求意见稿)》(简称《反法司法解释征求意见稿》)第二十六条(以下简称“数据保护条款”)尝试对数据使用类的不正当竞争行为作出规定。其中,第一款规定了可以适用“互联网专条”兜底条款的典型性行为,第二款则规定了“合理使用”他人控制数据的适用要件。具体而言,第一款对可以受保护的数据限定了“征得用户同意”“依法收集”以及“具有商业价值”三个条件,同时还规定了违反“互联网专条”兜底条款的数据使用行为的行为要件,一是在行为不正当性方面,体现为“擅自使用”和“违背诚实信用原则和商业道德”两方面;二是在损害结果方面,该行为是能够起到实质性替代效果,且损害公平竞争市场秩序的行为。第二款则尝试构建“合理使用”他人持有商业数据的规则,即经营者征得用户同意,合法、适度使用其他经营者控制的数据,且该使用行为不会损害公平竞争的市场秩序和消费者合法权益的,不属于“互联网专条”兜底条款规制的行为。第二款的规定显然意在为数据的合理流动预留法律空间。
上述“数据保护条款”的条文设置在一定程度上体现了相关案件的司法裁判规则,对于商业数据保护规则的构建具有一定借鉴意义,但这一条款仍具有局限性。首先,这一条款重点关注了数据使用方面的规则构建,并未对司法实践中更广泛存在的数据获取行为给出一定的裁判指引,在体系上不够完善。其次,该条款使用“实质性替代”概念界定结果要件,仅能够解决可以适用“互联网专条”兜底条款调整的其中一类数据使用行为。根据前文分析,“实质性替代”仅为损害结果的一种形态,不能等同于“互联网专条”兜底条款中所指的“网络产品或服务无法正常运行”。从法律解释角度讲,不论是“一般条款”中的“损害其他经营者合法权益”还是“互联网专条”兜底条款中的“妨碍、破坏他人网络产品或服务无法正常运行”在个案中均存在解释空间,并不一律要求“实质性替代”。此外,在实践中,对于未达到上述两种损害程度,但因大量抓取和/或使用他人数据而“不劳而获”地增加竞争优势的行为,也可能被认定为不正当竞争行为。最后,这一条款并未对当下一些亟待解决的问题作出回应,如数据权益归属规则的确定、在先获取数据的行为具有违法性时在后数据使用行为的正当性判断、如何平衡数据持有者私益与数据自由流动之间的冲突等。《反法司法解释》最终删除 “数据保护条款”,既表明商业数据保护领域仍存在较多分歧,也体现了制定者对待商业数据保护规则构建的审慎态度,为实践留下了更多的探索空间。
尽管在司法解释层面上的数据保护条款未能正式出台,但有关构建商业数据保护规则的努力在立法层面仍在延续。国家市场监督管理总局于2022年11月22日公开征求意见的《中华人民共和国反不正当竞争法(修订草案征求意见稿)》(以下简称“《反法征求意见稿》”)第十八条[35]即是在尝试对商业数据保护构建全新的法律规则。相较《反法司法解释征求意见稿》中的“数据保护条款”,《反法征求意见稿》第十八条是首次在法律层级对商业数据保护规则构建的尝试,该条规定在尝试对商业数据进行法律定义的同时,相较前者,明显降低了对商业数据的保护门槛、提供了更全面的保护,总体上明显呈现出加强商业数据保护的立法倾向。尽管对于上述条款的内容仍存在争议,但亦意味着我国商业数据保护立法往前迈出了一大步,直接回应了当下的实践需求。当然,对于商业数据的保护强度以及如何平衡商业数据保护与合理流动之间的关系等诸多争议性问题,仍有待进一步研究和讨论。
结语