中美两国立法对于数据的使用规则存在不一致,且两案中涉及到的数据类型也不一样,我国有关政府部门和企业可以从中吸取经验,在维护信息安全和保护个人信息的前提下,对公开的、非个人数据进行合理使用。
LinkedIn是拥有超过5亿用户的职业社交平台,在其网站,用户可选择将个人信息完全对公众公开、对联系人公开、对关系网公开等,hiQ则主要依托于LinkedIn用户完全公开的个人数据提供雇员评估服务。2017年5月,LinkedIn通过技术手段阻止hiQ获取相关数据,hiQ认为其行为构成不正当竞争,据此请求当地法院作出临时禁令。2017年8月,美国加州北区地方法院支持了hiQ的动议,作出裁定:LinkedIn不得阻止hiQ进入、复制并使用其网站的公开信息;在临时禁令期间,LinkedIn须撤回并禁止再向hiQ发送禁止其使用数据的法律声明。hiQ认为裁定结果对所有依赖公开数据开展商业活动的公司是一个胜利,互联网行业的创新不应该被数据寡头垄断,公开数据应该可以被公众获取。但是,LinkedIn表示将继续斗争,以保护用户控制自己信息的能力,且已提起上诉。
脉脉是一款社交软件,通过分析新浪微博的用户及其通讯录数据发现、建立社交关系。2013年9月11日—2014年8月15日,脉脉曾获得新浪授权获取其用户的部分信息。协议终止之后,新浪以3项诉由对脉脉提起诉讼:一是合作期间,脉脉在没有得到新浪授权,也未经用户许可的情况下,将新浪微博中的非脉脉用户信息公开展示在脉脉软件中;二是超出新浪授权范围,在未申请相应信息接口的情况下,擅自从新浪微博获取并使用其用户的职业信息、教育信息;三是双方合作结束后,脉脉继续抓取和使用新浪微博用户的个人信息。2016年12月,“脉脉非法抓取使用新浪微博用户信息”案(简称“新浪脉脉案”)终审宣判,法院认为,作为第三方,通过开放平台接口获得用户数据时必须遵循“用户授权+平台授权+用户授权”的原则,在本案中,脉脉违反了三重授权原则,构成不正当竞争行为。
作为与数据竞争问题相关的争议,两案存在共性:即在对平台用户个人数据的争夺问题上,法官均从反不正当竞争的角度做出裁决。但是,两案中的法官在第三方企业是否有权获取平台用户个人数据的问题上却展现了截然相反的观点,原因在于两案中存在很大差异:一是两案涉及用户数据的公开程度不同,hiQv.LinkedIn案涉及到的是平台用户完全公开的个人数据,新浪脉脉案涉及到的用户数据包括公开、不公开等类型;二是两案的原被告关系不同,hiQ和LinkedIn并无协议,而新浪和脉脉签订了数据获取协议;三是获取用户数据的方式不同,hiQ通过网络爬虫直接抓取LinkedIn平台的用户数据,而脉脉是通过新浪提供的开放接口抓取平台用户数据。
两案中的原告均以反不正当竞争为由提起诉讼,但针对用户数据的使用,法院的裁判在产业发展和数据控制者利益平衡上呈现出不同的倾向,也反映出中美两国立法在个人信息使用的要求上存在较大差异。
近年来用户数据在市场竞争中的重要性不断凸显,以数据为核心的案例也大量出现,但由于目前世界主要国家的立法并没有明确界定对平台数据的获取和使用问题,hiQv.LinkedIn案和新浪脉脉案从数据涉及的企业和消费者合法权益出发,通过规制市场竞争的立法来进行解决。数据作为市场竞争的关键要素,是市场主体争夺的焦点:随着信息网络技术的发展,数据成为重要的商业资源,也是企业生存和进一步发展的需要。平台上的用户数据更能够帮助企业快速发现消费者需求变化和市场发展趋势,从而及时做出正确决策,使企业在市场上拥有更强的竞争力和不断创新的能力,对数据进行不当获取和使用都会侵犯企业的商业利益,间接降低其竞争优势。用户的个人数据关系到用户的人身利益:针对不同类型的数据,各国立法一般设置了不同的保护和使用规则,对于包含个人信息和不包含个人信息,以及对于公开的和非公开的数据均具有不同的保护程度。包含个人信息的非公开数据涉及到信息主体的身份、行为特征甚至隐私、人格尊严等敏感内容,与信息主体的关系更密切,立法对这一类数据的保护程度高于公开的或不涉及个人信息内容的数据,数据利用者违反现有规则对这一类数据进行不当收集、利用的不仅会违反立法要求,而且可能造成个人权利受到侵犯的严重后果。
hiQv.LinkedIn案和新浪脉脉案存在的差异导致两案法官在平台对其用户数据的控制力问题上采取了不同的态度。从本质上看,美国法官认为平台对于其用户完全公开的个人数据不再拥有控制力,默认用户公开个人数据的行为是对其他人收集、使用数据的一种默示同意,对于此类数据,用户没有认为是隐私,因此无需从隐私的角度进行保护,但如果禁止抓取这些数据则会给hiQ公司带来负面影响,并不利于保护公共利益,所以法官支持第三方收集、使用这类用户数据无需再经过平台授权,更倾向于保护产业发展和公共利益。而我国法院确认的平台对公开数据的控制力远远大于前者,新浪脉脉案没有对其中涉及到的数据类型进行区分,对微博平台上的公开数据与非公开数据采取了同一种处理原则,第三方收集、利用已经由用户公开的数据时应当同时获得平台和用户的双重授权,更倾向于保护数据控制者的企业竞争力和商业资源。
美国立法对个人信息的开发、使用限制较少,除立法有特别规定外,收集、使用用户个人信息仅需通知用户,无需获得用户同意。美国在联邦层面没有统一的个人信息(或隐私)保护的立法,具体领域(如电信、儿童隐私、视频等)对个人信息的保护进行了特别规定。根据美国《1934年通信法》,电信业务经营者收集、使用用户的个人信息,仅需通知用户收集的信息内容和使用目的,无需获得用户的同意。但对于未成年人和儿童的隐私信息、个人租赁信息等有特殊立法规定的信息类型,则需要获得用户的明示同意。hiQv.LinkedIn案目前的判决表明了美国司法部门对于用户数据开放、使用也持较为宽容态度。法院判决认为,hiQ获取的是用户在LinkedIn平台上公开给所有人可见的信息,可视为用户已经同意了他人对于此类信息的收集、使用。hiQ的收集、使用行为无需再征得用户的同意。而我国立法则严格规定,凡是涉及个人信息的收集、使用,必须经得被收集人的同意,根据《网络安全法》、《关于加强网络信息保护的决定》、《电信和互联网用户个人信息保护规定》等法律法规的规定,网络运营者收集、使用用户个人信息,必须明示收集、使用的目的、方式和范围,并经被收集者同意。法院在“新浪诉脉脉”案的判决中也重申了收集、使用用户个人信息必须经用户同意的原则。在“新浪诉脉脉”案的判决书中法院指出,脉脉通过新浪微博平台获取用户的个人信息,必须通过开发协议获得新浪的授权,并取得用户的同意,且同意必须是具体的、清晰的。由此可见,在我国,即使是用户公开的信息,第三方搜集、使用仍然要经过平台企业和用户的双重同意。
两案的本质均反映了数据在企业市场竞争中的地位日趋重要,针对不同类型的数据以及公开程度不同的个人数据,建议我国立法应当采取不同的态度,企业利用大数据开展业务的前提和底线也应当是确保个人信息安全。
一是建议立法进一步明确、强调平台对于用户个人信息的保护义务,非经用户的同意,不得收集、使用。企业在收集、使用用户个人信息时必须坚持这一底线性原则,一方面因开展业务需要收集、使用用户个人信息的,应当告知用户收集、使用的个人信息范围、使用目的等,并经用户同意;另一方面,企业与第三方共享用户个人信息,或第三方通过其平台获取用户个人信息的,应当以明显、强调方式通知用户,告知用户相关第三方的信息、用户个人信息使用范围和用途等,并必须经得用户明示同意。
二是明确平台对公开与不公开的用户数据拥有不同的控制力。对于平台用户选择完全向公众公开的个人信息,平台应当减弱控制力。平台在用户注册时,应当明确向其提示公开个人信息可能产生的后果,用户将其个人信息选择在平台上完全向公众公开的,意味着用户知晓并接受这些后果,并允许其他人通过公开渠道收集其个人信息,平台不应再干涉用户的自由选择。对于平台用户选择不公开或向特定人公开的个人信息,平台应当履行保护义务。应当制定完善的用户数据保密制度,建立有效的数据保护系统,有权利禁止他人私自抓取平台上非完全公开的数据。
三是鼓励企业对于非个人数据持开放态度,在数据平台经营自主权、信息安全与数据共享互通之间进行平衡。大数据的价值在于流通和使用,数据控制者对数据的绝对控制无法激发大数据潜在的红利。以企业为主体、以市场为导向,加大政策支持,着力营造宽松公平环境,深化大数据在各行业创新应用,催生新业态、新模式,使开放的大数据成为促进创业创新的新动力;鼓励企业通过签订共享协议的方式实现企业间的数据共享和开发,提升消费者的整体福利,促进大数据产业发展,防止网络空间变成信息孤岛;强化信息安全保障,完善产业标准体系,依法依规打击数据滥用、侵犯隐私等行为,让各类主体公平分享大数据带来的技术、制度和创新红利。