张建文
(西南政法大学 民商法学院,重庆 401120)
在数字经济的发展中,数据越来越成为一种重要的市场交易对象,但是,对于数据的法律性质及其法律地位的认识,无论是法学界还是实务界都处在探索和逐步认识的过程中,而作为裁判规则供给者的民法总则虽然号称“面向未来、与时俱进”,但实际上仅提供了“指引性”“法源性”[1]“原则性”[2]的规定,制定具体规则的任务仍然是悬而未决的待决而非已决问题。
在之前的司法裁判中,已经提出了保护数据的问题,如有法院认为:“数据作为一种特殊类型的物,在大数据、云计算、数据革命带来的年代,应该得到法律的保护”(1)参见江苏省海门市人民法院(2018)苏0684民初 5030号民事判决书。,但是,这种所谓特殊类型的物,到底应该如何得到保护(作为何种权利的客体以及用何种法律规范予以救济等)的基本问题,在一般民法、物权法、知识产权法、信息法等领域都有学者提出了自己的主张,“尊重和保护权利过程中的每一场冲突、每一个方案、每一次努力,都会拨动权利价值的敏感神经”[3],但是,这些意见和建议尚未得到司法实践的积极回应。
这样的机会终于来了,在2018年年底作出终审判决的安徽美景信息科技有限公司(以下简称“美景公司”)因与被上诉人淘宝(中国)软件有限公司(以下简称“淘宝公司”)不正当竞争纠纷上诉案(2)参见浙江省杭州市中级人民法院(2018)浙01民终7312号民事判决书。中,作为大数据背景下的新型损害案件类型[4],提供了观察司法实践对此类新兴权利之裁判逻辑与保护方式的难得机会,提供了思考当企业利用数据挖掘和大数据技术获取、分析、利用具有高度可识别性的用户画像等数据产品时[5],不是如何保护个人隐私,而是如何保护企业合法权益的问题。“权利的法律效力、权利的本质属性等问题只能在诉讼过程中得以验证”[6],而“这些无名的权益是否受侵权法的保护或者在何种程度上受侵权法的保护,考验着法官,也检验着法律”[7]。
在该案中,美景公司的被诉侵权行为主要体现为:以提供远程登录“生意参谋”数据产品的淘宝用户电脑的技术服务为招揽,通过组织、帮助他人利用已订购“生意参谋”数据产品服务的淘宝用户所提供的子账户获取“生意参谋”数据产品中的数据内容,自己从中牟取商业利益。由此涉及了网络运营者在数字经济发展中所面临的三个基本法律问题:一是关于网络运营者收集并使用网络用户信息行为之正当性的判断;二是关于网络运营者对于其所投入市场的网络大数据产品是否享有法定权益;三是被诉侵权行为是否构成不正当竞争行为。
在关于网络运营者收集并使用网络用户信息行为之正当性的判断中,涉及了个人信息与非个人信息的区分标准的模糊与缠绕,也就是如何区分某些信息是否属于个人信息,从而对之适用个人信息保护规范的问题,以及原始网络数据、衍生数据和网络大数据产品的本质及其法律地位的问题。这些问题,恰恰是我国立法上存在模糊和空白的问题。
关于网络运营者对于其所投入市场的网络大数据产品是否享有法定权益的问题上,在理论上,至少涉及互联网电子商务企业对于其所推出的网络大数据产品是否享有法定权益,享有何种权利,是否包含个人信息,是否需要适用个人信息保护的法律规范等问题。
在关于被诉侵权行为是否构成不正当竞争行为的问题上,蕴含了对被诉侵权行为(实际上是对被侵权的受害人)提供何种法律救济的问题,在该案中作为反不正当竞争纠纷予以立案审理,就同时蕴含了适用反不正当竞争法予以保护和救济的方式预设,不由得令人想到:司法机关在该案中何以要适用反不正当竞争法之规范予以救济?缘何不适用民事立法中有关权利的本体论性质的规范,配合以侵权责任法之一般性规范予以救济?在此案中适用反不正当竞争法之优势何在?其局限性是否存在;若存在,其又在哪里?
在该案中,延伸出关于个人信息与非个人信息的区分标准,个人信息向非个人信息的转变,以及个人信息是否包含网络用户信息,网络运营者收集使用原始数据行为的合法性判断标准、所诉行为是否构成不正当竞争行为等基本问题。
财产秩序通常按照市场经济规律自我运行,由社会自我调整,出现纠纷时由民法介入调整。[8]司法机关对前述基本问题的回答和解决,体现了司法实践活动在尽管缺乏必要的立法规范的情况下,以积极的能动的态度和方式,主动回应数字经济发展所提出的基本法律问题的进取姿态和有益尝试,对于个人信息保护和数字经济发展具有极其重要的意义。对这种典型判决的深入分析和研究有时会“影响人们对法律的认识”[9],也很难说不会成为未来相关问题被进行立法解决的重要基础,成为国家理性的法律表达。[10]有学者已经指出:“由于民法典的功能越来越减缩为纠纷裁决依据,我国民法典应重点面向司法与仲裁实践,按照裁判规范的标准构造法条。”[11]。
在个人信息保护法中,个人信息与非个人信息的区分是第一位的,也是首要的。通常,首先通过对个人信息的内涵或本质性规定的描述,界定个人信息的定义,然后以排除的方式将个人信息之外的内容作为非个人信息。
在该案中,一审法院试图以内容和形式的区分去界定和回答信息与数据的关系问题,认为:“信息是数据的内容,数据是信息的形式”,因为“涉案数据产品的数据内容虽然来源于淘宝公司所收集的原始数据,但这些原始数据只是网络用户浏览、搜索、收藏、加购、交易等行为痕迹信息外化为数字、符号、文字、图像等方式的表现形式”,并且做出了“内容高于形式”的判断,即“原始数据所具有的实用价值在于其所包含的网络用户信息内容,而不在于其形式”。
在《网络安全法》和数字经济实践中,普遍使用“用户信息”或“网络用户信息”的术语,但是网络用户信息是否与个人信息视为等同,或者可以直接画等号,不无疑问。从《网络安全法》第22条第3款的角度看,该立法实际上是将用户信息与用户个人信息做了保护程度上的区分,对于前者的保护仅限于要求网络产品、服务的提供者在提供具有收集用户信息功能的网络产品、服务时,负有向用户明示并取得同意的义务,而对后者还提出了更广泛的不但是遵守该立法而且还要遵守其他法律和行政法规关于个人信息保护之规定的义务。
在该案中,一审法院注意到了这个区别,认为:“用户信息包括个人信息和非个人信息。前者指向单独或与其他信息结合识别自然人个人身份的各种信息和敏感信息,后者包括无法识别到特定个人的诸如网络活动记录等数据信息。由于法律对收集、使用上述信息规定了不同的标准,同时对如何收集、使用用户信息进行了明确的规制”,因此,认为“在评判淘宝公司收集、使用涉案数据信息是否具有正当性时,首先须区分其收集、使用的涉案数据信息属于何种类型”。
法院将该案中互联网大数据产品(“生意参谋”)所涉网络用户信息,区分为两大类:一是行为痕迹信息,即“表现为网络用户浏览、搜索、收藏、加购、交易等行为痕迹信息”;二是标签信息,即“由行为痕迹信息推测所得出的行为人的性别、职业、所在区域、个人偏好等标签信息”。一审法院对此类用户信息的属性,按照个人信息的识别性功能标准进行了认定,排除了其个人信息的属性,认为:“这些行为痕迹信息与标签信息并不具备能够单独或者与其他信息结合识别自然人个人身份的可能性,故其不属于《网络安全法》中的网络用户个人信息,而属于网络用户非个人信息。”
值得注意的是,有些国家与此相反,将网络用户的行为痕迹信息列入敏感信息之列,如2016 年 12 月,美国联邦通信委员会公布“宽带和其他电信服务中用户隐私保护规则”,将通信交流信息、网页浏览信息、App 使用历史等均归属于敏感信息。[12]
网络用户信息是否具有个人信息之法律地位的判断,端赖于此类信息是否可以满足能够单独或与其他信息相结合识别自然人身份的功能性要求和标准,在不同的技术背景和应用场景中,可能并不相同,不能一概而论,需要根据具体的情况不断地甚至可能是反复地进行具体分析和具体定性。[13]
在该案中,一审法院对“网络用户行为痕迹信息”进行了进一步的分析,颇具“准个人信息”的味道,认为,尽管《网络安全法》规定了网络运营者对非个人信息的保护,但是出于“网络运营者不仅对于网络用户信息负有安全保护的法定义务”,同时,“因网络运营者与网络用户之间存在服务合同关系,基于公平、诚信的契约精神原则要求”,“网络运营者对于保护网络用户合理关切的个人隐私和商户经营秘密负有高度关注的义务”。由此认为,之前作为不属于《网络安全法》中的网络用户个人信息,而属于网络用户非个人信息的网络用户行为痕迹信息,仍有其特殊性,需要进一步做分析和定位,认为它“不同于其他非个人信息,这些行为痕迹信息包含有涉及用户个人偏好或商户经营秘密等敏感信息。因部分网络用户在网络上留有个人身份信息,其敏感信息容易与特定主体发生对应联系,会暴露其个人隐私或经营秘密”,因此,“对于网络运营者收集、使用网络用户行为痕迹信息,除未留有个人信息的网络用户所提供的以及网络用户已自行公开披露的信息之外,应比照《网络安全法》第41条、第42条关于网络用户个人信息保护的相应规定予以规制”。无论一审法院是否是有意提出或是无意地类推适用(“比照”)个人信息保护之规定于此类特殊的网络用户行为痕迹信息,都在客观上提出了在个人信息和非个人信息的二元格局之外,创造第三类信息类型——“准个人信息”的局面。
二审法院在较为简略的二审判决中,提到了网络用户行为痕迹信息的定位问题,但是并没有确认也没有回应一审法院的“准个人信息”的观念。二审法院认为:“应当明确,淘宝公司所获取并使用的是用户进行浏览、搜索、收藏、架构、交易等行为而形成的行为痕迹信息,至于行为人性别、职业、区域及偏好等信息不论是否可从行为痕迹信息中推导得出,亦均属于无法单独或通过与其他信息相结合而识别自然人个人身份的脱敏信息,与销售记录属于同一性质”,在这里,二审法院将行为痕迹信息和标签信息区别分析,只分析了标签信息属于脱敏信息,不符合个人信息内在的且必须具有的识别性功能要求,因而不适用个人信息保护之规定,从二审法院关于“淘宝公司未收集与其提供的服务无关的个人信息,其收集的原始数据系依约履行告知义务后所保留的痕迹信息,故未违反《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》等法律法规关于个人信息保护的规定”之表述来看,似乎二审法院并不认可一审法院所提出的对特定的网络用户行为痕迹信息,即留有个人身份信息的网络用户信息比照个人信息适用个人信息保护规定的意见,从其逻辑上的表述而言,仍然是维持了个人信息和非个人信息的二分法的基本格局。
笔者认为,在目前世界上个人信息保护发达的国家和国际组织的主流观点而言,并无准个人信息之创造,这是因为个人信息与非个人信息的区分标准也是有其弹性、动态性和限定性的。其弹性体现为功能性标准,也就是所谓的识别性要求作为区分个人信息与非个人信息的核心标准,而对于识别性的判断,又因为不同的技术环境和应用场景而有所不同,体现了其中的弹性空间与对未来发展的前瞻性适应;其动态性体现为个人信息与非个人信息之间,并非一概而论固定不变,相反,在特定的情况下,如经匿名化处理之后,个人信息即变成非个人信息,而在识别技术对非个人信息进行个人性识别之时,这些匿名化处理过的非个人信息要重新成为个人信息,再度适用个人信息保护规范对之进行保护;其限定性体现为,个人信息之识别性的实现,“如果个人的识别需要不合理的时间、努力或资源,则不视为是可识别的”(3)欧洲委员会在2018年5月18日于埃尔西诺召开的第 128 届部长委员会会议上通过了《关于个人数据处理的个人保护公约》的修订协议,也就是“新修订108公约”。其中,对于个人数据的识别性标准作了明确的限定:如果个人的识别需要不合理的时间、努力或资源,则不视为是可识别的。例如这样的情况,识别一个数据主体需要非常复杂、长时间的和昂贵的操作。构成“不合理的时间、努力或资源”的问题应视具体情况加以评估。例如,可以考虑处理的目的,并考虑诸如费用、识别利益、控制者类型、所使用的技术等客观标准。此外,技术和其他发展可能改变构成“不合理的时间、努力或其他资源”的因素(参看“新修订108公约”所附“说明报告”关于“个人数据”条款的解释)。。所以,在该案中,一审法院所提出的“准个人信息”的创造实无必要。也就是说,在对某项信息是否为个人信息的具体判断中,只要存在识别性功能,且该功能的实现不需要不合理的时间、努力或者资源之投入与花费,则即可认定为个人信息,否则,将被认定为非个人信息,确无创设“准个人信息”之必要。个人信息属性之认定与个人信息保护之规定如影随形,一旦认定为个人信息,则个人信息保护之规范立即对之适用。提出或者维持不具有识别性之非个人信息却又类推适用个人信息保护之规定的中间类型,确无存在之必要性。
在个人信息与非个人信息之间存在着相互转化的可能性。也就是说,个人信息可能转变为非个人信息,而非个人信息也可能转变为个人信息。
个人信息转换为非个人信息的情形,我国《网络安全法》已经在第42条第1款第2句作了规定,即作为但书条款存在的“经过处理无法识别特定个人且不能复原的”情形,而且该条款在目前已经构成我国大数据产业发展的基础性支撑性法律规范基础。正如在本文所研究的案例中,一审法院也指出了“涉案生意参谋数据产品所使用的网络用户信息经过匿名化脱敏处理后已无法识别特定个人且不能复原”,从而认为公开其中的数据内容对网络用户信息提供者不会产生不利影响。
实际上,在《网络安全法》生效(2017年6月1日)之前,我国的司法实践已经将匿名化的个人信息排除在个人信息保护的范围之内,如有法院认为:“网络用户通过使用搜索引擎形成的检索关键词记录,虽然反映了网络用户的网络活动轨迹及上网偏好,具有隐私属性,但这种网络活动轨迹及上网偏好一旦与网络用户身份相分离,便无法确定具体的信息归属主体,不再属于个人信息范畴”,因“百度网讯公司个性化推荐服务收集和推送信息的终端是浏览器,没有定向识别使用该浏览器的网络用户身份”,故“百度网讯公司在提供个性化推荐服务中运用网络技术收集、利用的是未能与网络用户个人身份对应识别的数据信息,该数据信息的匿名化特征不符合个人信息的可识别性要求”(4)参见江苏省南京市鼓楼区人民法院(2013)鼓民初字第 3031 号民事判决书;江苏省南京市中级人民法院(2014)宁民终字第 5028 号民事判决书。。
但是,数据分析技术在飞速发展,当前的匿名化不代表永久的匿名化。[14]182从匿名化数据被再识别的风险角度而言,我国关于个人信息匿名化的规定较为简单,应当考虑建立匿名化数据再识别风险的防范机制,对于具有较高再识别风险的匿名化数据的控制者课以额外义务。[15]根据《人权保护指引:大数据时代下个人数据处理》(5)参见欧盟《关于个人数据自动化处理之个人保护公约》咨询委员会2017年1月23日发布的《人权保护指引:大数据时代下个人数据处理》第6条“匿名化”。第6条“匿名化”的要求,只要数据能够识别或重新识别个人,就应采用数据保护原则;控制者应根据数据的性质、使用环境、可用的重新识别技术和相关费用、考虑所需的时间、精力或资源,评估重新识别的风险(控制者应证明为匿名数据采取的措施是充分的,并确保去除识别的有效性);技术措施可与法律或合同义务相结合,以防止相关人员被重新识别的可能性;控制者应根据匿名技术的发展,定期审查重新识别风险的评估。该意见值得作为对于匿名化的再识别风险的防范与救济的参考。对由于新的技术之应用或技术环境与应用场景之变化而导致能够被用于再识别个人的匿名化信息,应当脱离非个人信息的范畴,重新成为个人信息,从而适用个人信息保护制度。
此外,还存在比较特殊的情形,即由于大数据产业的发展,会导致出现由个人信息与非个人信息组成的数据集。笔者认为,对于此类情形,如果其中的个人信息与非个人信息可分,个人信息保护制度适用于数据集中的个人信息部分,而在数据集中的个人信息与非个人信息密不可分的情况下,则应对之适用个人信息保护制度。这一点也与欧盟议会《非个人数据在欧盟境内自由流动框架条例》的规定相同。(6)参见欧盟议会2018年10月4日通过的《非个人数据在欧盟境内自由流动框架条例》第2条第2款。
对于如何判定网络运营者收集使用网络用户信息行为的正当性问题,尽管该案的判决提到了诸如规则公开性检测、用户同意检测、行为合法性检测和行为必要性检测等四个方面,从而认定企业收集使用网络用户信息以及其数据产品公开使用网络用户信息的行为具有正当性,但是局限于一审法院的裁判理由仍嫌不足,有必要从整个裁判的角度来思考其正当性的判断。整体而言,一审法院在处理该问题时,主要是使用了两歩检测。
第一,个人信息与非个人信息的属性检测。首先遇到的就是“网络用户信息”的概念,必须将其放在个人信息与非个人信息的二元区分格局下进行分类上的归纳与整理,确切地定位网络用户信息的性质和归属。在这个过程中,司法机关遇到了网络用户信息的含混性难题,司法机关一方面认为,在该案中,主要由行为痕迹信息和标签信息所构成的网络用户信息不属于网络用户的个人信息,而是属于网络用户的非个人信息;另一方面,又认为网络用户行为痕迹信息不同于其他非个人信息。对网络运营者所收集、使用的网络用户痕迹信息,应比照关于网络用户个人信息保护的相应规定予以规制,蕴含了“准个人信息”的观念。显然,在该案中,法院提高了对非个人信息的保护力度。
第二,对非个人信息(网络用户信息)比照个人信息的保护检测。在这个检测过程中,包含了比较个人信息保护规范的实体性与程序性检测。
首先,是网络运营者收集、使用信息行为的“合法、正当、必要原则”检测。司法机关主要是从形式性角度进行的检测,根据《网络安全法》第41条的要求,作为我国个人信息保护的基本原则[16],“合法、正当、必要原则”包括:(1)是否公开了收集、使用规则;(2)是否明示收集、使用信息的目的、方式和范围;(3)是否经被收集者同意,也就是是否尊重被收集者的选择权问题;(4)是否符合“必要与最少限度”要求。
其次,是对网络运营者提供信息行为(公开使用或者许可他人使用其收集的网络用户信息)的“事先另行取得明示同意”检测。也就是说,根据一审法院的观点,“网络用户向网络运营者提供信息是基于对该网络运营者信息安全保护能力的信赖,如果网络运营者公开使用或许可他人使用网络用户信息,网络用户信息安全将面临新的不可预测的风险,超出了网络用户对信息安全保护的原有预期。因网络运营者对于网络用户信息的安全负有法定保护义务和审慎注意义务,网络运营者公开使用或许可他人使用其收集的网络用户个人信息、个人行为痕迹信息的,应事先另行取得被收集者的明示同意”。实际上根据《网络安全法》第42条第1款第一句第二段的规定,只需要取得被收集者同意即可,但是法院将该要件更进一步明确和提高到了该同意必须是事先的、单独的、明示的,更进一步加强了对网络用户信息的保护力度和强度。但是,在该要件检测中,一审法院并非采取正面的检测,而是使用了《网络安全法》第42条第1款第二句的但书条款——“匿名化信息例外条款”,用以替代“事先另行取得明示同意”检测。也就是说,只要满足了匿名化信息例外条款的规定,就可以认为是无须或已经通过“事先另行取得明示同意”检测。
最后,对使用来自第三方所收集的网络用户信息还需经过“三重授权许可使用”检测。此种检测主要是针对网络运营者使用来自第三方,也就是其他网络运营者所收集的用户信息的情形,这种情况在《网络安全法》中并无直接规定,唯一可能相关的规定是第42条第1款第一句后半段即“未经被收集者同意,不得向他人提供个人信息”,从其中的文义看,其核心要义只是规定了作为第三方的网络运营者向其他网络运营者提供个人信息时必须经被收集者同意。在这种情况下,网络运营者之间的关系通常是由网络运营者之间的协议来确定的,以此作为使用关系合法化的依据。因此,司法机关在这里认可了大数据产业发展中有关使用其他网络经营者所收集的个人信息的惯例,即所谓的“三重授权许可使用规则”,这个机制通常是通过网络运营者在收集用户的信息时向用户取得的授权加上网络运营者相互之间进行的授权所构成的,也就是网络用户授权网络经营者、网络经营者授权第三方、网络用户授权第三方。已经有学者提出“数据共享也应当获得信息权利人的的授权”[17]。
网络运营者(数字经济企业)对于其所提供的网络大数据产品,到底享有何种法定权益的问题,直接面对了网络大数据产品的法律本质以及其权利化的路径和方式问题。
前者意味着必须界定网络大数据产品的法律本质(nature),也就是其“特征、外观和活动方式”[18]2,特别是要界定出其与个人数据之间的混沌纠葛的边界关系。因为回答这个问题意味着司法机关将要进行财产权利的界定,到底是网络用户的财产权利,还是网络运营者(数字经济企业)的财产权利,这就是在当前数据权利研究中最为核心也是最为困难的产权界定难题,到底是把该权利归属于网络用户,还是将该权利归属于网络运营者?司法机关在理论界尚未对该问题提出更权威更具共识性和统一性的解决方案时,不得不提前面对并且不得不努力对大数据产业发展所提出的这个问题做出解答,尽管其解答可能不是整体性的,而是应激性的决、疑式的。司法机关如何论证网络大数据产品的财产性质及其配置规则,不能不令人激动和期待。
后者意味着对于此类网络大数据产品的法律保护到底要遵循何种路径,由于立法上存在的空白,导致学术界对其提出了各种构想,如物权法模式、知识产权法模式以及独立的权利类型的模式。在该案中司法机关提出了“竞争法意义上的财产权益”定位,又意味着什么?其贡献在哪里?其局限又在哪里?
1.网络大数据产品的法律本质:财产权益方向的论证方法
对于网络大数据产品的法律本质的论证,意味着必须回答长期以来困扰数据权利研究者的一个核心问题,那就是网络大数据产品是不是个人信息或者包含个人信息的问题。
一审法院认可了衍生数据的理论,认为:“涉案生意参谋数据产品中的数据内容虽然来源于原始用户信息数据,但经过淘宝公司的深度开发已不同于普通的网络数据。”
一审法院的论证,主要考虑了该案所涉及的数据产品的两个基本特征:一是从数据内容特征上区别,“该产品所提供数据内容不再是原始网络数据,而是在巨量原始网络数据基础上通过一定的算法,经过深度分析过滤、提炼整合以及匿名化脱敏处理后而形成的预测型、指数型、统计型的衍生数据”;二是从其呈现方式特征上区别,认为“该产品呈现数据内容的方式是趋势图、排行榜、占比图等图形,提供的是可视化的数据内容”。由于“数据本身并不能自动带来信息”[19],因此,一审法院认为该数据产品作为信息产品已经不是原始用户信息数据,这就意味着不可能将该数据的权益归属于网络用户。二审法院进一步指出:“数据产品是淘宝公司在前述原始痕迹数据的基础上,经综合、计算、整理而得到的趋势、占比、排行等分析意见,其对信息的使用结果与原始痕迹信息本身已不具有直接关联,已远远脱出个人信息范畴,不属于对用户信息的公开使用”,这就意味着对数据产品的法律本质的进一步认识,也即由于数据产品的法律性质导致对数据产品的法律规制(法律定位与法律保护),已经不属于个人信息保护立法的范畴,以此彻底切断了数据产品与个人信息保护之间的关联。
同时,一审法院也否定了该数据产品归入“数据库”概念的可能性,认为:“生意参谋数据产品将巨量枯燥的原始网络数据通过一定的算法过滤,整合成适应市场需求的数据内容,形成大数据分析,并直观地呈现给用户,能够给用户全新的感知体验,其已不是一般意义上的网络数据库,已成为网络大数据产品”,这也就意味着将该数据产品作为知识产权立法的保护对象的可能性在司法机关眼中也已经不存在了。
2.网络大数据产品财产权益配置的正当性论证:财产权益的论证路径
对于网络大数据产品财产权益配置的正当性问题,一审法院首先是对作为数据产品之内容来源的用户信息和原始网络数据之财产权益化的可能性进行侧面分析,其次是对网络大数据产品自身之财产权益化之可能性进行正面分析。
第一,司法机关否定了网络用户对于其所提供给网络运营者的单个用户信息的财产权或财产性权益之可能性问题。一审法院从法律行为的目的解释出发,认为“网络运营者与网络用户之间系服务合同关系。网络用户向网络运营者提供用户信息的真实目的是为了获取相关网络服务”,由此,一审法院认为“网络用户信息作为单一信息加以使用,通常情况下并不当然具有直接的经济价值,在无法律规定或合同特别约定的情况下,网络用户对于其提供于网络运营者的单个用户信息尚无独立的财产权或财产性权益可言”,司法机关直接地但是有所保留地否定了网络用户对自己的单个的网络用户信息享有财产权[20]或财产性权益的可能性[21],意味着通常所谓的个人信息[22]或者非个人信息财产说的理论[23]遭到了司法实践的否定和摒弃。
第二,司法机关肯定了但并未清晰界定网络运营者与网络用户对原始网络数据的复杂权利状态。一审法院认为“鉴于原始网络数据,只是对网络用户信息进行了数字化记录的转换,网络运营者虽然在此转换过程中付出了一定劳动,但原始网络数据的内容仍未脱离原网络用户信息范围”,所以“网络运营者对于原始网络数据仍应受制于网络用户对于其所提供的用户信息的控制,而不能享有独立的权利,网络运营者只能依其与网络用户的约定享有对原始网络数据的使用权”。实际上,在这里存在一个较为模糊的地带,那就是司法机关虽然认为原始网络数据只是网络用户信息的数字化的结果,仍应受制于网络用户对该用户信息的控制,而且该控制是主要的且优越于网络运营者依照约定享有的使用权,但是司法机关并没有言明这种模糊的“控制”的含义到底是什么,这种“控制”的来源或者基础是什么,是对作为非个人信息的所有权或者其他权利,还是对作为非个人信息但应比照个人信息保护之规范予以规制的准个人信息所蕴含的来自个人信息保护所产生的控制,这些值得进一步深思。
第三,司法机关从法律本质、市场价值、竞争优势、竞争秩序等四个方面提出并论证了所谓网络大数据产品的独立的竞争法意义上的财产性权益说。这种论证路径并非是单纯的劳动成果说,而是糅合了前述各项要素的混合论证模式。一审法院注意到了劳动成果说、市场价值说和竞争优势说等三个要素,二审法院提出了根据全国性整体性公共性的数据市场竞争秩序保护说。
首先,一审法院从数据产品的法律本质出发,强调数据产品的劳动成果本质——“衍生数据”说,从而要求赋予其独立的财产性权益。一审法院认为:“网络大数据产品不同于原始网络数据,其提供的数据内容虽然同样源于网络用户信息,但经过网络运营者大量的智力劳动成果投入,经过深度开发与系统整合,最终呈现给消费者的数据内容,已独立于网络用户信息、原始网络数据之外,是与网络用户信息、原始网络数据无直接对应关系的衍生数据。网络运营者对于其开发的大数据产品,应当享有自己独立的财产性权益。 ”
值得注意的是,衍生数据说虽然承认其与网络用户信息、原始网络数据在内容上有关联性,但并不认同其相互之间“直接对应关系”之可能性,而是将其作为在法律上独立于网络用户信息和原始网络数据的衍生数据,从而赋予其独立的财产性权益地位,这也为数据权利研究进一步趋向独立化指明并开辟了道路。
其次,一审法院进一步从数据产品的市场价值角度,强调其与网络运营者而言所具有的财产权益,而且是重要的财产权益。该司法机关注意到:“随着互联网科技的迅猛发展,网络大数据产品虽然表现为无形资源,但可以为运营者所实际控制和使用,网络大数据产品应用于市场能为网络运营者带来相应的经济利益。随着网络大数据产品市场价值的日益凸显,网络大数据产品自身已成为市场交易的对象,已实质性具备了商品的交换价值。对于网络运营者而言,网络大数据产品已成为其拥有的一项重要的财产权益。”
值得注意的是,在该表述中,司法机关对网络大数据产品特征的描述中,关注到了其无形性、可实际控制和使用性以及其经济利益性等基本特征,并从该特征中提出了对该案原告所主张的其对数据产品享有财产所有权主张的答复,原告的该主张蕴含了要求将极具绝对权色彩的财产所有权制度适用于数据产品的要求。一审法院出于对网络大数据产品适用财产所有制度可能带来不确定的消极后果的顾虑,审慎地以司法权相对于立法权的谦抑态度,以“物权法定”原则为由回避而不是直接否定原告的主张。一审法院认为:“财产所有权作为一项绝对权利,如果赋予网络运营者享有网络大数据产品财产所有权,则意味不特定多数人将因此承担相应的义务。是否赋予网络运营者享有网络大数据产品财产所有权,事关民事法律制度的确定,限于我国法律目前对于数据产品的权利保护尚未作出具体规定,基于物权法定原则,故对淘宝公司该项诉讼主张,一审法院不予确认”,这种对数据产品权利保护之物权法路径的回避态度,并未否定对数据产品权利保护的可能性,而是为进一步研究留下空间,如俄罗斯立法上将信息持有人的权利作为信息法上的独立权利予以保护。[24]具体到本文所研究的该案例而言,是司法机关受到该案件之立案案由“反不正当竞争纠纷”的限制所致,而且具体到该案件的情形和特征,适用反不正当竞争法之保护反而有其便利所在(这一点有待下文继续分析)。
再次,一审法院在确认数据产品之劳动成果本质与具有市场价值之特性之后,再次强调了“网络数据产品的开发与市场应用已成为当前互联网行业的主要商业模式”,网络大数据产品作为构成“网络运营者市场竞争优势的重要来源与核心竞争力所在”的意义,凸显作为中国当代民法得以发生的主要动因的“对经济效率的追求”。[25]一审法院指出:“本案中,生意参谋数据产品中的数据内容系淘宝公司付出了人力、物力、财力,经过长期经营积累而形成,具有显著的即时性、实用性,能够为商户店铺运营提供系统的大数据分析服务,帮助商户提高经营水平,进而改善广大消费者的福祉,同时也为淘宝公司带来了可观的商业利益与市场竞争优势”,因此,确认该数据产品系原告的劳动成果,其所带来的权益,应当归原告所享有。
最后,二审法院提出了保护数据市场竞争秩序的正当性论证。尽管一审法院注意到了互联网行业的商业模式、市场竞争优势的来源与核心竞争力所在等要素,但并未从保护数据市场竞争秩序的角度进行论证。二审法院所提出的保护数据市场竞争秩序的论证,与一审法院所提出的仅仅局限于该数据产品相对于网络经营者所具有的市场价值、市场竞争优势来源与核心竞争力所在的个别性具体性论证不同,更具有着眼于全国性整体数据市场竞争秩序保护的公共利益论证色彩。
二审法院在补强性论证中特别指出了四点内容:一是发展大数据成为国家重要战略,大数据资源成为国家与社会的基础性战略资源[26],数据成为智能互联网时代的重要生产要素[27],即“随着互联网科技的高速发展,数据已日益成为信息行业中的基础资源,数据价值在信息社会中亦日益凸显,发展大数据已成为国家重要战略”。二是强调保护数据市场竞争秩序的必要性,即“数据产品通过对处于粗放状态的原始数据的提炼整合,将原本单一且价值有限的碎片化数据信息通过云计算、大数据分析处理,可以成倍提升数据的使用价值,极大提高社会各方面活动的效能。因此,赋予数据产品研发者相应权益,及时依法制止侵害大数据产品的不正当行为,营造健康、有序的数据市场竞争秩序,已变得十分迫切”。三是指出维持数据市场竞争秩序的内容,一方面是保护数据研发者的研发利益,即“数据产品研发者应当遵循合法、正当、必要的原则,在严格履行对用户信息的安全保护义务,保障个人信息权利和网络安全的基础上,依法采集、使用各类数据信息,获得相应的数据权益,并不断改进商业模式和提高服务质量,给数据用户带来更新的体验和更多的获得感”;另一方面是打击和制止作为社会主义市场经济体系之重要组成部分的数据市场上的不正当竞争行为(7)参见国家工商行政管理局关于抽奖式有奖销售认定及国家工商行政管理局对《反不正当竞争法》具体应用解释权问题的答复(工商公字〔1998〕第143号)。,即“对不正当利用他人数据产品获取竞争优势,扰乱互联网大数据市场竞争秩序的行为应及时予以制止,同时加大惩治力度,给予数据产品研发者充分、有效救济,依法保护数据产品研发者的合法权益”。四是明确提出了数据产业竞争秩序的公共利益目标,即唯有通过反不正当竞争法的保护,“方能保障大数据产业的健康可持续发展,进一步激励数据产品研发者的热情,创造出更多有价值的数据产品,进而推动互联网大数据产业的健康发展,构建公开、公平、公正、诚信有序、兼顾各方利益的数据产业竞争秩序”。由此完整地论证了竞争法保护路径的必要性和正当性。
尽管在该案例中,一审法院和二审法院大同小异地提出了将网络大数据产品作为竞争法意义上的财产权益,并且明确地否定了将其作为知识产权法上的数据库进行保护和作为物权法上财产所有权的对象予以保护的可能性。
特别是二审法院更为清晰和直接地提出了数据产品属于“竞争法意义上的财产权益”的观点。二审法院以竞争法上的合法权益为出发点,指出了相对于知识产权法和物权法的极为宽泛的竞争法意义上的合法权益的特点:第一,包括法定的有名权益,如企业字号、商业秘密等,和法律没有规定的无名权益;第二,该无名权益能够带来营业收入,或者属于带来潜在营业收入的交易机会或竞争优势;第三,该无名权益不违反法律的规定,即“不正当竞争的成立以经营者存在经营上的合法权益为前提。该合法权益可以是法定的有名权益,如企业字号、商业秘密等;也可以是不违反法律法规规定的无名权益,只要其可以给经营者带来营业收入,或者属于带来潜在营业收入的交易机会或竞争优势”。具体到该案中,二审法院认为,该案所涉及数据产品,可以为淘宝公司带来直接经营收入,同时基于其大数据决策参考的独特价值,构成淘宝公司的竞争优势,无疑属于竞争法意义上的财产权益,因而其性质应当受到反不正当竞争法的保护。
竞争法意义上的财产权益概念,作为法律概念,常常负荷根本性或一般性的价值[28],意味着回避了将该财产权益在知识产权法、物权法等传统立法面前进行正当性和体系化论证,以求得将其相应的法律规范适用于对该财产权利之保护的逻辑上和法律上的任务,而是直接和独立地适用反不正当竞争法的规范为该含混性的所谓竞争法意义上的财产权益提供法律保护。其优点在于减轻了司法机关在知识产权法和物权法上进行论证的压力和任务,直接了当地将其视为竞争法上的独立的新型的财产权益予以保护。
但是,其缺点仍然是显而易见的,两审法院尽管是回避了或者是放弃了对该财产权益进行知识产权法上或物权法上的论证,直接适用反不正当竞争法的规范进行保护,不无加剧和增强将反不正当竞争法相对于包括知识产权法和物权法在内的民事立法,进一步独立化和孤立化倾向的嫌疑,回避问题不等于解决了问题,不过是将问题的分析和解决留待他人而已。明确指出所谓的“竞争法意义上的财产权益”到底是何种权利,是法律明确规定的权利,还是在法定权利清单之外的亟待进行合法性检验的待定利益[29],对该种财产权益如何在民事权利体系特别是民事财产权利体系中进行定位和类型化,仍然是数据法学研究悬而未决且亟待解决的问题。
尽管司法机关已论述了以竞争法保护网络大数据产品所蕴含的竞争法意义上的财产权益之必要性和正当性,但是要运用竞争法的规范完成这个任务,却并非是简单直白的三段论式的规范适用过程,司法机关如何将反不正当竞争法有限的且难以直接将被诉侵权行为涵摄其中的规范适用于该案,对司法机关而言仍是一个不小的考验。
依照反不正当竞争法保护本文所研究案例中竞争法意义上的财产权益的思路,通常首先必须考虑的核心问题是,该案所诉侵权行为能否落入现有的反不正当竞争法规制的不正当竞争行为之中,需要按照反不正当竞争法第二章第6条到第12条关于不正当竞争行为的列举(可以称之为“法定的不正当竞争行为类型”),在其中进行检索,如果能够找到相应的不正当竞争行为的类型,即可适用对该种不正当竞争行为类型的描述和构成要件进行法律适用上的操作;如果不能在反不正当竞争法规定的类型体系中,找到相应的不正当竞争行为类型,则需要考虑是否应当以及如何通过对反不正当竞争法之立法目的的解释,扩张其规制的范围,从而在反不正当竞争法规定的不正当竞争行为类型体系之外,建构法定类型之外的但应当适用反不正当竞争法予以规制和救济的不正当竞争行为类型(可以称之为“法定类型外的不正当竞争行为类型”)。
但是,遗憾的是,在该案中两级司法机关均未回应是否在法定的不正当竞争行为类型中进行检索,以及其检索结果的问题,也没有回答为什么应当扩张反不正当竞争法适用于其没有规定的不正当竞争行为的问题。一审法院直接从反不正当竞争法的立法目的入手,提出了扩大其规制对象问题,即“反不正当竞争法的立法目的是通过规制市场主体参与市场竞争的行为,阻止市场主体以不正当手段攫取市场竞争优势,维护平等、公平、诚信的市场竞争秩序,其规制的对象不仅局限于同业间的竞争行为,也包括跨行业间的竞争行为”。
一审法院对反不正当竞争法的规制范围更进一步提出了最简洁也是最大化的界定标准,认为:“市场竞争优势主要取决于市场主体所提供的商品或服务对于消费者的吸引程度,市场主体只要使用了不正当手段,吸引了更多消费者的消费关注或破坏了他人对消费者的吸引力,即落入反不正当竞争法规制的范围”。这就意味着只要经营者使用了不正当手段,在客观上吸引了更多消费者对自己的消费关注,或者破坏了他人对消费者的吸引力,就落入反不正当竞争法规制的范围,具体到本文所研究的案例之情形,一审法院明言:“在网络经济环境下,只要双方吸引争取的网络用户群体存在此长彼消的或然性对应关系,即可认定为双方存在竞争关系”。
笔者认为,尽管反不正当竞争法第1条对立法目的的规定,明确了该法的基本任务就是“鼓励和保护公平竞争,制止不正当竞争行为”,因此,维护公平竞争市场秩序成为反不正当竞争法的重要使命。(8)参见工商总局关于积极开展宣传贯彻新《反不正当竞争法》工作的通知(工商竞争字〔2017〕202号)。但是,对反不正当竞争法之适用范围的最大化扩张,虽然未必是坏事,但是需要对其最大化扩张进行正当性的论证,否则,对该法适用范围的最大化扩张将会导致其第二章关于不正当竞争行为的列举性规定失去应有的作为法规范之明确性和稳定性的意义,有被架空之嫌;同时,这会更进一步助长司法机关无限扩张反不正当竞争法规制范围之冲动,不无导致或者加剧对反不正当竞争法规范适用的混乱与不统一。(9)由于笔者并非反不正当竞争法领域的专家,未必能够对该问题提出自己的建议,仅就方法上及后果上提出希望该领域的专家关注的问题。在该案例中,司法机关其实并无必要将该法对不正当竞争之适用范围作一般性的最大化扩张解释,只要将该案例中所遇到的特定情形纳入法定之外的但应受不正当竞争法规制的不正当竞争行为之列即可。
技术中立原则,也称为技术条件性原则,堪称信息技术领域中的非歧视性原则,意味着技术本身是中立的,不得以法律的方式规定某种信息技术相对于其他信息技术的优势地位[30],但并不意味着技术的使用没有责任方面的要求。正如《人类简史》的作者在其著作结尾时所指出的:“拥有神的能力,但是不负责任、贪得无厌,而且连想要什么都不知道。天下危险,恐怕莫此为甚。”[31]394
在该案中,一审法院对于被告所提出的技术中立原则的抗辩,首先从竞争法的视角进行了一般回应,指出:“互联网经济作为高科技产业,其发展政策应当是鼓励科技创新与技术进步。但技术创新与技术进步应当成为公平竞争的工具,而不能用作干涉、破坏他人正当的商业模式,不正当攫取自身竞争优势的手段。技术本身虽然是中立的,但将技术作为不正当竞争的手段或工具时,该行为即具有可罚性”,由此区分了技术本身与技术使用,明确技术的创新与进步不能用作不正当竞争的手段或工具。其次从该案被诉侵权行为的特性进行了具体回应,指出:“美景公司以营利为目的,组织、帮助他人利用已订购生意参谋数据产品服务的淘宝用户所提供子账户,擅自获取生意参谋数据产品数据内容,损害了淘宝公司的商业利益与商业模式,其并非是单纯的技术提供者,而是不正当竞争行为的直接实施者。”由此,司法机关拒绝接受以技术中立原则作为不正当竞争行为的抗辩事由,强调技术的使用而不是技术本身的价值取向。
在该案二审裁判作出之后不到五个月的时间里,全国人大常委会对《反不正当竞争法》进行了修订(10)参见全国人民代表大会常务委员会关于修改《中华人民共和国建筑法》等八部法律的决定(2019年4月23日第十三届全国人民代表大会常务委员会第十次会议通过)。,但是在该修订中并未将本文所研究案例的被诉侵权行为类型纳入修订后的条文之中,只是将“教唆、引诱、帮助他人违反保密义务或者违反权利人有关保守商业秘密的要求,获取、披露、使用或者允许他人使用权利人的商业秘密”的行为纳入侵犯商业秘密的不正当竞争行为之中,而与本文所研究案例最为接近的第12条关于经营者利用网络从事生产经营活动的条款恰恰没有做任何修改。
笔者认为,出于对反不正当竞争法的明确性和稳定性考虑,应当将教唆、引诱、帮助他人通过分享账户等方式,获取、披露、使用或者允许他人使用权利人的数据,无论是否有牟利目的或者动机,均纳入反不正当竞争法关于经营者利用网络从事生产经营活动的条款之中,以减少司法机关在处理此类新型财产权益保护时,面临规范空白或规范不完全的窘迫情势,而不得不动用该法的立法目的条款以图对不正当竞争行为作一般性的最大化扩张解释。
在本文所研究的案例中,以反不正当竞争法为规范基础,以竞争法意义上的财产权益的名义,保护(明确和确认[32])数字经济发展中的新兴权利,触及了大数据产业发展和数据市场竞争所面临的基本法律问题,包括网络用户信息、原始网络数据、衍生数据的信息属性定位问题(也就是到底是属于个人信息还是非个人信息的问题)以及由此派生出来的法律保护问题(也就是说到底是否适用个人信息保护规范的问题);网络用户、网络经营者以及其他网络经营者之间围绕与数据相关的权益所产生的权属界定问题;网络大数据产品的法律本质以及其法律保护方式问题;等等。
该案为研究者们提供了一次难得的机会,通过对真实鲜活的司法案例去观察和分析司法机关的裁判逻辑与裁判立场,从中可以发现:
第一,司法机关将网络用户信息视为由个人信息和非个人信息构成的集合,对其中尽管不属于个人信息的网络用户行为痕迹信息提出了比照适用个人信息保护规范的(准个人信息)的观念。
第二,《网络安全法》第42条第1款第二句的但书条款已经构成我国大数据产业发展的基础性、支撑性法律规范基础。
第三,司法机关对于网络运营者收集、使用网络用户信息的行为和公开以及允许他人使用的行为的正当性检验,主要由两步检测构成:以个人信息和非个人信息为区分的信息属性检测,以及对非个人信息(网络用户信息)比照个人信息的保护检测。后者包括网络运营者收集、使用信息行为的“合法、正当、必要原则”检测、网络运营者提供信息行为(公开使用或者许可他人使用其收集的网络用户信息)的“事先另行取得明示同意”检测,以及对于使用来自第三方所收集的网络用户信息的“三重授权许可使用”检测。
第四,司法机关从数据产品的法律本质、市场价值、竞争优势、竞争秩序等四个方面提出并论证了网络大数据产品作为独立的竞争法意义上的财产性权益定位;在这个过程中,司法机关否定了适用知识产权法上的网络数据库或者物权法上的财产所有权制度予以保护的可能性。
第五,司法机关没有对反不正当竞争法第二章所规定的不正当竞争行为的类型化体系出发,而是直接从不正当竞争法的立法目的出发,对反不正当竞争法规范的范围作了最大化扩张解释。除了法定的有名权益外,法律没有明确规定的无名权益只要不违反法律法规的规定,能够给经营者带来营业收入,或者属于带来潜在营业收入的交易机会或竞争优势者,均属于反不正当竞争法所要保护的合法权益;同时,只要市场主体使用了不正当手段,吸引了更多消费者的消费关注或破坏了他人对消费者的吸引力,即落入反不正当竞争法规制的范围。
总体而言,反不正当竞争法作为新兴权利特别是新兴的财产权益的保护方式,有其优势所在,即可以无需对该权益的法律本质以及其合法性与正当性进行更多的论证,而只是依据较为简单的带来营业收入(或者交易机会或者竞争优势)且不违反法律法规之规定的标准,即认定其为竞争法所要保护的合法权益,只要采用不正当手段侵害前述合法权益,即构成反不正当竞争法上的不正当竞争行为,获得反不正当竞争法的救济。
但是,其中的不足也不容小觑,这种近乎无限最大化扩张解释反不正当竞争法的保护对象和规制范围的做法,有脱离并将反不正当竞争法上明确规定的不正当竞争行为架空,而无限膨胀法定类型之外的但应适用反不正当竞争法规范救济的不正当竞争行为之危险。毕竟“权利”是社会群体的赞同性意见,而绝不是个人的自我意志或要求[33],正确的做法应当是既要尊重和兼顾反不正当竞争法第二章关于不正当竞争行为的类型化规定,同时在必要的情况下适度且审慎地将在法定类型之外但应受反不正当竞争法规范救济的行为纳入其中。