文/陈婷
在世界数字化转型的格局下,数据成为驱动经济社会发展的关键生产要素和新引擎,与企业的竞争利益和竞争优势密切相关。鉴于数据蕴含的巨大财产价值,近年来企业间的数据抓取行为已大量涌现,由此引发的诉争极为激烈和频繁,国内典型案件如“大众点评网诉百度不正当竞争案”“深圳谷米公司诉武汉元光公司不正当竞争案”“新浪诉饭友不正当竞争案”等,域外类似案件如 HiQ 诉LinkedIn 案。在数据抓取案件中,由于我国《民法典》第127 条对数据仅作了宣示性规定,数据抓取行为的规制不得不诉诸泛化了的《反不正当竞争法》“一般条款”,以及《刑法》中的非法获取计算机信息系统数据罪或侵犯公民个人信息罪。1. 许可:《数据爬取的正当性及其边界》,载《中国法学》2021年第2 期,第167 页。在美国,涉数据抓取的原告通常提起《计算机欺诈和滥用法》(Computer Fraud and Abuse Act,CFAA)、2. Andrew Sellars, Twenty Years of Web Scraping and the Computer Fraud and Abuse Act, B.U.J.SCI.&TECH.L.,Vol.24:372,p.390 (2018).合同违约、3. See Int'l Council of Shopping Centers, Inc. v. Info Quarter, LLC, No. 17-CV-5526(AJN), (S.D.N.Y. 2019); Register.com, Inc.v. Verio, Inc, 356 F.3d 393 (2d Cir. 2004).著作权4. See Ticketmaster Corp. v. Tickets.com, Inc, No. 99CV7654, (9th Cir. 2001).以及各种不正当竞争之诉5. See Allure Jewelers, Inc. v. Ulu, No. 1:12CV91, (S.D. Ohio Sept. 2012); Snap-on Bus. Sols. Inc. v. O'Neil & Assocs., Inc, 708 F. Supp. 2d 669 (N.D. Ohio 2010); QVC, Inc. v. Resultly, LLC,159 F. Supp. 3d 576 (E.D. Pa. 2016); eBay, Inc. v. Bidder's Edge,Inc, 100 F.Supp. 2d 1058 (N.D. Cal. 2000).。
显然,国内外司法实务中较少运用商业秘密法对数据抓取行为加以规制,原因在于网络爬虫所抓取的信息通常是互联网用户可以进行访问的公开信息,因此经常受到不应当通过商业秘密进行保护的诘难。有观点指出,“对于现实中大多数的数据信息而言,信息制作者采集的信息本身大多来自公有领域,是任何人均可以从公开渠道直接获取的,显然,将各地为公众所知的信息汇编之后形成的成果认定为具有秘密性是荒谬的。”6. 芮文彪、李国泉、杨馥宇:《数据信息的知识产权保护模式探析》,载《电子知识产权》2015年第4 期,第97 页。甚至有学者直言,尽管商业秘密条款对企业数据权益能够提供一定的保护,但相当一部分大数据集可能并不符合商业秘密保护的条件,就现代数据产业而言,商业秘密的保护在技术上已经过时了。7. 周樨平:《大数据时代企业数据权益保护论》,载《法学》2022年第5 期,第170 页。基于这类观点的指引,诸多数据集合的权利人原本可以主张商业秘密保护,却舍近求远,寻求《反不正当竞争法》第2 条保护所谓的“数据权益”。8. 崔国斌:《大数据有限排他权的基础理论》,载《法学研究》2019年第5 期,第6 页。如在北京微梦公司诉北京淘友天下公司等不正当竞争纠纷案中,尽管微梦公司以用户数据系商业秘密为由,主张淘友公司对用户数据的抓取和使用侵犯了其商业秘密,理应承担责任。然而,除一审法院在事实描述时对此有所提及外,两级法院就淘友公司是否构成“侵犯商业秘密行为”均未置可否,而是大费周章地回到《反不正当竞争法》“一般条款”加以论述。9. 许可:《数据保护的三重进路——评新浪微博诉脉脉不正当竞争案》,载《上海大学学报(社会科学版)》2017年第6期,第17 页。此外,著名的“顺丰与菜鸟数据争议案”“酷米客数据不正当竞争纠纷案”都反映了上述问题。10. 崔国斌:《公开数据集合法律保护的客体要件》,载《知识产权》2022年第4 期,第27-29 页。
鉴于此,针对用户可以公开访问数据的抓取行为能否确立商业秘密之诉?数据抓取行为商业秘密规制的理论基础是什么?为更好地规制数据抓取行为,如何进一步完善商业秘密相关制度?在中央提出要加快推进企业数据基础制度构建、完善企业数据权益保护的背景下,上述问题的回答显得极为重要。本文从美国第十一巡回法院近年审理的Compulife Software Inc.v.Newman 案(下称美国“Compulife 案”)11. Compulife Software Inc. v. Newman, 959 F.3d 1288 (11th Cir. 2020).出发,通过分析该案判决的理论基础,总结数据抓取行为商业秘密规制路径的比较优势,以期为我国司法实践提供有益参考。
原告Compulife 公司创建了一个公开的网站TERM4SALE,允许用户免费申请保险报价。进入网页后,用户将个人信息输入到报价生成器中,随后该网站将显示大约40 个报价结果,由用户选择最适合自己的保险报价。值得说明的是,Compulife 网站完全公开,没有任何技术访问(如密码验证)或合同(如服务条款)的限制。
TERM4SALE 网站的基础源于原告开创的“变革性数据库”(Transformative Database),该数据库提供了运行报价生成器的所有数据。Compulife 通过应用“专有计算技术”(Proprietary Calculation Technique)完成该数据库的搭建。原告Compulife 公司除了向公众提供对该网站的免费访问外,还向保险代理人提供该数据库独立加密PC 副本的有偿服务。
被告是一家竞争性保险报价网站,其使用数据机器人从原告的网站上爬取了约4300 万份报价,生成了80 万种独特的数据输入组合,重新创建了原告保险报价数据库的重要部分,并在自己的网站BeyondQuotes 中使用了所有抓取的数据,从而能够提供与原告类似的竞品,而无需自己投入巨额成本来创建数据库。
由于原告对TERM4SALE 网站既没有设置服务协议,也未采取任何技术访问措施,这意味着Compulife 公司无法根据合同法或CFAA提起诉讼。最终原告提起了商业秘密诉讼。
1.商业秘密的认定
提起商业秘密诉讼的前提要件是证明商业秘密的存在。根据美国商业秘密法律的规定,商业秘密必须是秘密的、权利人必须采取合理措施对信息加以保密以及信息须从保密中获得独立的经济价值。12. 18 U.S.C.§1839(3)(A)-(B); Uniform Trade Secrets Act§1(4).在Compulife 案中,法院最终认定涉案数据库为商业秘密,理由如下:
首先,最具争议性的便是秘密性的认定。因为Compulife 网站对数据抓取行为没有任何限制,没有密码登录和验证码要求等,也没有禁止抓取的合同服务条款,且数据库面向公众免费访问,但法院最终还是认定涉案数据库符合秘密性要件。有观点明确表示反对,称Compulife 案“违背了对商业秘密法的基本理解”,因为“公众可以自由获取”的信息不可能是商业秘密。13. Peter J. Toren, A Dubious Decision: Eleventh Circuit Finds Scraping of Data from a Public Website Can Constitute Theft of Trade Secrets (Part I), IPWATCHDOG (July 2, 2020),At https://www.ipwatchdog.com/2020/07/02/dubious-decision-eleventh-circuit-finds-scraping-datapublic-website-can-constitute-theft-trade-secrets-part/id=123029/,last visited on September 8,2023.而地区法院作出此种判决是基于其对单个数据条目和底层数据库进行了关键性的区分,虽然单个数据条目不是秘密,但并不意味着数据库作为一个整体不具备秘密性。第十一巡回法院支持了地区法院的观点,即被窃取的报价不是可单独保护的商业秘密,因为单个的保险报价公众很容易获得,但这并不能表明整个数据库存在是否被盗用的问题。即使引用单个的保险报价不是商业秘密,但爬取足够多数量的报价却相当于获取了潜在的商业秘密。否则,法律明确规定对“汇编”进行商业秘密保护就没有实质性意义了。14. Compulife Software Inc. v. Newman, 959 F.3d 1288, 1314(11th Cir. 2020).美国《反不正当竞争法重述(第三次)》指出,所宣称商业秘密作为一个整体具有秘密性是决定性要素。商业秘密的部分或全部组成部分是众所周知的,并不排除对单个元素的组合、汇编或整合进行商业秘密保护。15. Restatement (Third) of Unfair Competition§39 comment f (1995).
其次,保密性的认定在Compulife 案中的判断也较为棘手。保密性的认定标准是相对保密,并非绝对保密。保密“不必是绝对的……如果其他人在并未诉诸不法行为的情形下获取信息将变得很困难或代价高昂,那么保密要求就得到了满足。”16. Restatement (Third) of Unfair Competition§39 comment f (1995).但如上文所述,本案中Compulife公司面向公众的访问并未采取任何通常意义的保密措施。对此,第十一巡回法院认为,“虽然Compulife 明确地允许公众免费访问,但数据抓取机器人却可以收集比任何人类都多的保险报价。”17. Compulife Software Inc. v. Newman, 959 F.3d 1288, 1314 (11th Cir. 2020).换言之,Compulife 有一个合理的预期,即其他人不会参与大规模和自动化的盗窃。可见,网站决定将其数据库放在互联网上,并允许公众访问单个数据,并不意味着该网站未能针对整体数据库采取合理措施加以保密。且Compulife 公司对保险代理人销售的PC 副本采取了加密措施。18. Compulife Software Inc. v. Newman, 959 F.3d 1288, 1296 (11th Cir. 2020).当然,Compulife 本可以采取更多措施对其数据库进行保密,如增加技术访问限制或设置禁止数据抓取的服务协议条款,甚至Compulife 也可以将其数据库完全从互联网上删除。但是商业秘密法的存在正是为了防止这种过度的保密投资。19. Mark Lemley, The Surprising Virtues of Treating Trade Secret Rights as IP Rights, Stanford Law Review,Vol.61:311,pp.332-337(2008).这也是商业秘密法只要求合理措施和相对保密而非绝对保密的原因。20. Id.,pp.348-350.
再次,价值性的认定。价值性的要求是商业秘密必须从不为公众所知悉中获得独立的经济价值。21. 18 U.S.C.§1839(3)(B); Uniform Trade Secrets Act (1985)§1(4)(i).为了阐明这一“独立经济价值”标准,此前法院论述了几方面的因素,包括“信息对原告的价值”、“开发信息所花费的时间或金钱”,以及“获取或复制信息的容易或困难程度。”22. Bernier v. Merrill Air Engineers, 770 A.2d 97, 107 (Me. 2001).如果一个数据库仅仅模仿公共的、标准化的保险费率表,那么该数据库将无法满足“独立经济价值”这一门槛要求。Compulife 数据库是“专有计算技术”的独特结果,极具价值性,也是大量劳动力的产物,因而属于商业秘密。23. Compulife Software Inc. v. Rutstein, No. 9:16-CV-80808-JMH, 2018 WL 11033483 (S.D. Fla. 2018).Compulife 公司已通过对保险代理人出售其数据库的加密PC 副本获得了可观收入即是很好的例证。24. Compulife Software Inc. v. Newman, 959 F.3d 1288, 1296 (11th Cir. 2020).
2.不正当获取手段的认定
除了证明商业秘密的存在,商业秘密诉讼需要证明的另一关键要素即是否存在以“不正当手段”盗用商业秘密的行为。“不正当手段”包括盗窃、贿赂、虚假陈述和间谍等非法行为。25. 18 U.S.C.§1839(6); Uniform Trade Secrets Act (1985)§1(2).在Compulife 案中,地区法院认定数据抓取并不属于盗用行为,因为“任何公众都可以访问网站……获取报价,个人使用此类报价的方式没有限制。”26. Compulife Software Inc. v. Rutstein, No. 9:16-CV-80808-JMH, 2018 WL 11033483 (S.D. Fla. 2018).第十一巡回法院推翻了这一观点,认为即使在公众可访问的网站上进行抓取,也可能是通过不正当手段获取,被告从一个可公开访问的网站上获取报价的事实并不自动意味着此种行为是经过授权的或采取其他方式是适当的。虽然Compulife 明确地允许公众免费访问,但机器人却可以收集比任何人类都多的报价。因此,虽然从Compulife 的数据库中手动访问报价不太可能构成不正当手段,但使用机器人收集如此多的数据量可能与当秘密暴露于工厂上方时使用航空摄影可能导致不正当的方式相同。27. Compulife Software Inc. v. Newman, 959 F.3d 1288, 1314 (11th Cir. 2020).可见,法院援引了商业秘密领域的里程碑案件E.I. du Pont de Nemours&Co.,Inc.v.Christopher案28. E. I. du Pont deNemours & Co. v. Christopher, 431 F. 2d 1012 ( 5th Cir. 1970).(下称杜邦案),以此证明即使数据抓取没有违反任何其它法律规范,如合同法或CFAA,数据抓取行为也可能是不正当的。在杜邦案中,任何人都可以合法地飞越原告的工厂,但当被告飞越原告的工厂是出于企业间谍目的并拍照时,被告便违反了商业秘密法。29. E. I. du Pont deNemours & Co. v. Christopher, 431 F. 2d 1012,1014 ( 5th Cir. 1970).类似地,在Compulife 案中,任何人都可以自由访问原告的网站,但当被告使用机器人进行数据抓取以创建相同的竞争产品时,被告也应被认定为盗用了原告宝贵的商业秘密。30. Compulife Software Inc. v. Newman, 959 F.3d 1288, 1314 (11th Cir. 2020).换言之,商业秘密所有者“未能对其网站设置访问限制”并不能使数据抓取行为自动合法化。法院据此最终认定Compulife 案中被告的数据抓取行为构成对原告商业秘密的侵犯。
通过对美国Compulife 案的基本介绍可知,由于原告Compulife 并不能依据CFAA、合同法或版权法等提起诉讼,因此其诉诸唯一可行的商业秘密法加以法律救济。而此前CFAA 与合同法通常是数据抓取行为规制的“主战场”,因为公开数据集合似乎与商业秘密所要求的秘密性要件相背离。Compulife 案的出现代表了对公开数据集合抓取行为以商业秘密路径加以规制的新趋势,利用商业秘密法处理数据抓取案件有着自身独特的理论基础与比较优势。
如开篇所述,美国目前针对数据抓取行为的法律规制路径主要有版权法、合同法、CFAA以及各种不正当竞争之诉。当企业收集的海量数据形成了数据库,即“以系统或有条理的方式排列的独立作品、数据或其他材料的集合。”31. Council Directive 96/9/EC, art. 1(2), 1996 O.J. (L 77) 20 (EC).可以通过版权法对数据库加以保护,但鉴于独创性要求与对“额头流汗”理论的拒绝,版权保护仅限于特定的选择或排列,而并不延及数据库内容本身,32. Feist Publ'ns, Inc. v. Rural Tel. Serv. Co, 499 U.S. 340, 345 (1991).因而版权保护对数据库这类大数据集合的保护极为“薄弱”。33. Jane C. Ginsburg, Copyright, Common Law, and Sui Generis Protection of Databases in the United States and Abroad,University of Cincinnati Law Review, Vol.66:151,pp.153-157 (1997).于是数据抓取案件的原告转向了合同法、刑法等其他理论框架。当网站的服务条款禁止数据抓取时,网站可以对抓取者提出合同法诉讼,当然这种主张的成功与否取决于这些在线合同是否具有约束力。原告通过在网站上普遍设置服务条款获得了防止数据复制的“准知识产权”。34. Ginsburg, A Marriage of Convenience? A Comment on The Protection of Databases, Chicago-Kent Law Review,Vol.82:1,p.1172 (2007).但是诉诸合同法救济的方式过分强调服务条款是否具有约束力以及用户是否知悉服务条款,导致法院无法关注数据抓取的目的以及数据库是否值得保护等其它重要问题。35. Nguyen v. Barnes & Noble Inc., 763 F.3d 1171, 1176 (9th Cir. 2014).
与此同时,诉讼当事人还经常寻求CFAA的帮助,该法案是一部以非法侵入为前提的反黑客刑事法律。根据CFAA,“任何人……未经授权或超过授权访问权限故意访问计算机……从而从任何受保护的计算机中获取……信息……都应承担责任”。36. 18 U.S.C.§1030(a)(2)(C).CFAA 的责任取决于对“未经授权”和“超出授权访问权限”的解释,但目前到底是采取狭义的基于代码解释方式(Code-based Interpretation)还是广义的基于合同解释方式(Contract-based Interpretation)仍然存在分歧。37. 根据基于代码的解释方式,如果数据抓取绕过了技术准入障碍,则数据抓取人应承担责任,如绕过登录密码的抓取违反了CFAA。根据基于合同的解释方式,如数据抓取规避了技术访问限制和非技术访问限制,如违反停止侵权函或服务协议等都应承担责任。同时将CFAA 应用于数据抓取案件的弊端在于CFAA 的责任侧重于侵入网站的行为,而并不像知识产权规范首先考量数据是否应当被保护。换言之,根据CFAA,抓取一个花费数千小时创建的独特数据库,与抓取一个模仿公众现有数据库的结果是一样的。38. Charles Duan, Hacking Antitrust: Competition Policy and the Computer Fraud and Abuse Act, Colorado Technology Law Journal, Vol.19:313,p.331 (2021).此外,CFAA 同样并不考量数据抓取的目的,导致一些出于非营利性或其他公益目的的数据抓取行为被CFAA 所涵盖,从而拓宽CFAA 的解释与适用范围。39. Orin S. Kerr, Vagueness Challenges to the Computer Fraud and Abuse Act, Minnesota Law Review,Vol.94:1561,pp.1561-1563 (2010).
最后,原告可能会提出各种不正当竞争索赔,如“热点新闻规则”(“Hot News”Tort),不当得利(Unjust Enrichment)以及侵犯动产之诉(Trespass to Chattel)等。40. Geoffrey Xiao, Data Misappropriation: A Trade Secret Cause of Action for Data Scraping and a New Paradigm for Database Protection,Science and Technology Law Review, Vol.24:125,p.139(2022).事实上,这些州的不公平竞争法理论比合同法和CFAA 更接近于承认数据抓取的知识产权性质和不公平竞争原则。最高法院在“热点新闻规则”确立的INS 诉美联社一案中使用了“准财产”一词来描述美联社在不可侵犯的事实新闻中享有的财产权益。41. Int'l News Serv. v. Associated Press, 248 U.S. 215, 248 (1918).但是这些不正当竞争之诉仅在有限情况下适用,如“热点新闻规则”只保护时间敏感性信息,使得其他类型数据库得不到保护。同样,为了证明动产的转换或非法侵入,原告必须证明其计算机系统遭受实际损害,而在许多情况下,数据抓取对原告服务器的影响可以忽略不计,使得转换或侵犯动产之诉不太可能成功。42. Ticketmaster Corp. v. Tickets.com, Inc., No. 99CV7654, 2000 WL 1887522 (C.D.Cal. Aug. 10, 2000).
由此可见,合同法、CFAA 和州不正当竞争法在规制数据抓取行为方面各自存在不足,凸显了利用商业秘密法填补数据库版权保护留下的空白的重要性。特别是Compulife 案中由于原告并未设置任何技术访问措施以及服务协议条款,导致在合同法与CFAA 无法适用的情形下,商业秘密法更是成为极为重要甚至唯一的救济途径。
尽管数据收集者对数据集合享有财产性利益,但数据抓取同样蕴含数据流通价值,一定情形下有利于信息自由与社会进步。因此,如何有效权衡数据抓取中的各方利益是数据经济时代最为重要的课题之一。商业秘密自身的独特机制有利于实现数据收集者、数据抓取方乃至社会公众之间的利益平衡。具体而言:
首先,商业秘密机制吸收洛克劳动财产理论支持有价值数据集合的保护。一方面,根据洛克的劳动财产理论,当“一个人通过劳动使某种物品从自然状态中脱离,从而使得该物品成为他的财产。”43. Tabrez Y. Ebrahim, Artificial Intelligence Inventions & Patent Disclosure, Penn State Law Review, Vol.125 : 147, p.201(2020).数据收集者因投入了大量的劳动进行数据收集或数据库创建,需要通过产权或财产利益加以激励。44. Justin Hughes, The Philosophy of Intellectual Property, Vol.77: 287,pp.305-310 (1988).但另一方面,洛克劳动财产理论还要求给社会留下足够多且同样好的东西。换言之,洛克劳动理论蕴含了获得保护的数据库需要为社会增加价值,即社会不需要激励毫无价值的数据库,而商业秘密的价值性要件正好与此契合。Compulife 案商业秘密理论强调仅为社会增值的数据库提供产权激励,确保其它数据库保留在公共领域,保障言论自由等公共利益的实现。相较而言,根据CFAA 和合同法,无论网站是否投入了足够的劳动力,只要网站上有技术访问或合同限制,原告就可以在其数据库中获得“准知识产权”,因而无法有效区分数据集合是否需要保护、是否值得激励。
其次,商业秘密机制通过对不正当获取手段的分析将数据抓取目的纳入考量。数据抓取所蕴含的数据流通价值赋予其正当性,在一定情形下有利于社会自由竞争与信息传播,特别是为了科学研究和新闻目的而进行的数据爬取。45. Jacquellena Carrero, Note, Access Granted: A First Amendment Theory of Reform of the CFAA Access Provision, Columbia Law Review, Vol.120:131,pp.151-154 (2020).Compulife 案中法院正是考虑到了被告使用抓取数据开发了与原告直接竞争的产品用于商业目的而认定其违法。因此,尽管商业秘密法并没有类似于版权法的合理使用制度,但法院可以将合理使用因素纳入商业秘密不正当获取手段的分析当中,重点关注被告数据抓取的目的和性质。通过不正当获取手段认定的灵活性,法院可以区分有害的“搭便车”和有益的信息传播之间的界限,从而在数据收集者与数据抓取者的利益之间实现有效平衡。
一方面,商业秘密机制毫无疑问可以激励数据的生成或数据库的创建。形成数据库的公开数据集合大多属于公共产品,其创建成本高昂,但易于复制,如果没有相应的激励,数据库的生产就会投资不足。商业秘密作为知识产权的重要类型之一,可以保持对数据生成和收集的激励,确保更多的数据可供使用,从而最大限度地提高数据在经济和社会中的价值。
当然此种激励并非毫无限制,商业秘密“独立经济价值”要求过滤掉那些不值得保护的数据库,例如一个简单的乘法数据库就没有独立的经济价值。当然数据抓取器也不太可能抓取一个毫无价值的数据库。因此Compulife 案中支持商业秘密的规制路径可以有效地激励网站创建有价值的数据库。
另一方面,商业秘密机制一定程度上有利于信息披露。表面看来,鉴于商业秘密要求对信息采取保密措施而使其处于秘密状态与信息的披露与使用是背道而驰的,而这也正好是人们反对利用商业秘密保护大数据集合的原因所在,担心商业秘密保护将导致很多数据集合很难为公众获取或接触。但事实上商业秘密法鼓励更广泛的信息披露和使用,而非保密。因为商业秘密法提供的法律保护可以替代公司可能以其他方式进行的保密投资。46. Mark Lemley, supra note 22,pp.333-334.换言之,商业秘密法可以防止对保密措施的过度投资。如果没有商业秘密机制,Compulife 公司至少会求助于技术访问限制或服务条款限制来保护其数据库,而技术获取和服务条款的限制可能“通过限制信息的流动来增加社会成本”。47. Mark Lemley, supra note 22,pp.333-334.这些防止数据抓取的举措在防止他人违法抓取的同时,也将其他合法抓取行为阻挡在外。同时这些限制措施也可能让用户感到厌烦,在验证码和点击生效服务条款中缓慢浏览将给人带来不愉快的互联网体验。
Compulife 在其网站上并没有设置技术访问权限或服务条款限制,如果第十一巡回法院支持被告方,Compulife 本可以被鼓励增加上述限制措施。Compulife 或许会要求用户在使用报价生成器之前创建一个免费账户,甚至Compulife本可以将其生成器完全离线,因为Compulife 通过将其数据库作为独立的PC 版本出售已经产生了可观的收入。如果我们想要一个促进信息共享的互联网,Compulife 披露和采取最低限度的限制性措施应该得到支持,而非劝阻。48. Geoffrey Xiao, supra note 43,158.
近年来我国司法实践对数据抓取行为大多以行为法的方式加以规制,即援引《反不正当竞争法》第二条的“一般条款”以及第十二条第四款“互联网专条”的兜底条款进行法律适用。但是“一般条款”因其高度抽象性与概括性导致法官自由裁量权过大以及认定标准不统一。而学界对于数据抓取行为的商业秘密规制路径大多持否定性观点,认为商业秘密保护门槛较高以及保护对象存在局限性,无法满足大多数企业数据的保护需求。49. 苏志甫:《数据要素时代商业数据保护的路径选择及规则构建》,载《信息通信技术与政策》2022年第6 期,第19页。我国司法实践中也鲜有利用商业秘密机制对数据抓取行为直接进行规制的案例,甚至在部分案例中本可以考虑商业秘密机制最终却还是转向了《反不正当竞争法》的“一般条款”。因此,Compulife 案中对从公共访问网站抓取数据的行为确立了商业秘密之诉带给了我们一些新的启示。
如开篇所述,正是由于网络爬虫所抓取的信息通常是互联网用户可以进行访问的公开信息,商业秘密法保密的核心概念似乎与公众可访问性完全不一致,由此导致了数据抓取行为商业秘密规制路径适用如此之少。因此,未来针对数据抓取行为的法律规制,我们应转变商业秘密法与数据抓取不相符的认识误区。
首先,针对数据抓取行为应坚持多元化规制路径。除了《民法典》合同编、《刑法》以及《反不正当竞争法》“一般条款”外,应充分发挥商业秘密法的规制作用。相较于边界不明晰的《反不正当竞争法》一般条款,如果具有确定构成要件的商业秘密保护规则存在适用的合理性和可行性,则其应当成为优先选择。与《反不正当竞争法》的一般条款相比,由于商业秘密的保护力度更大,且商业秘密的适用条件和适用规则更为清晰,因此商业秘密保护更具有优势。50. 杨雄文、黄苑辉:《论大数据的商业秘密保护——以新浪微博诉脉脉不正当竞争案为视角》,载《重庆工商大学学报(社会科学版)》2019年第4 期,第143 页。因此,若符合商业秘密法的规制要件,便不应“舍近求远”寻求《反不正当竞争法》“一般条款”的帮助,如此只会进一步加剧对“一般条款”的滥用。
其次,需正确区分单个数据条目与整体大数据集合秘密性的认定问题。虽然单个数据条目不具有秘密性,但并不意味着数据集合作为一个整体不具备秘密性。实际上,完全有可能出现这样的情况:数据集合的条目内容通过网络对外提供,处于公开状态;但是,完整的数据集合本身并不作为整体对外提供。51. 崔国斌:《公开数据集合法律保护的客体要件》,载《知识产权》2022年第4 期,第28 页。此种区分直接影响到对数据抓取行为进行商业秘密规制的前提要件。
再次,通过商业秘密对企业数据权益进行保护并非阻碍数据流通的“洪水猛兽”。有观点认为,推行商业秘密的保护方式将间接鼓励企业自我封锁商业数据,从而加剧数据垄断,无法催生数据要素市场的活力。52. 郭子訸:《商业数据保护的竞争之维:理论证成、实践面向与进路设想》,载《山东科技大学学报(社会科学版)》2023年第3 期,第43 页。但实际上商业秘密保护与数据流通共享并非存在绝对的冲突与矛盾,在涉及商业秘密的情形中,当法律为商业秘密提供法律保护,企业就更倾向于不对非公开数据采取极端的保密措施,同时商业秘密数据也能得以进入交易市场,为商业秘密数据的流通与扩散提供可能。53. Mark Lemley, supra note 22,pp.336-337.近年来,我国司法实践中已经出现对企业数据进行商业秘密保护的相关案例,54. 参见衢州万联网络技术有限公司与周慧民等侵害商业秘密纠纷上诉案(参见上海市高级人民法院(2011)沪高民三(知)终字第100 号民事判决书);杭州嗨狗网络科技公司诉汪某侵害商业秘密纠纷案(参见浙江省杭州市中级人民法院(2021)浙01 民终11274 号民事判决书;大连倍通数据平台管理中心诉崔某某侵害技术秘密纠纷案(参见最高人民法院(2021)最高法知民终1687 号民事判决书)。虽然并不是直接针对数据抓取行为,但也凸显了利用商业秘密法对企业数据权益进行保护的新趋势。
虽然商业秘密法可以成为数据抓取行为的重要规制路径,但不可否认的是,商业秘密具有较高的规制门槛,其认定标准具有较大的模糊性,若要充分发挥数据经济背景下商业秘密法的制度价值,仍然需要进一步明确商业秘密的认定标准,以降低商业秘密机制在数据经济中适用的不确定性。
首先,秘密性的认定。根据我国 《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》(《2020年商业秘密司法解释》)第四条第二款规定,将为公众所知悉的信息进行整理、改进、加工后形成的新信息,符合本规定第三条规定的,应当认定该新信息不为公众所知悉。可见我国对于准确区分单个数据条目与整体大数据集合的秘密性有着明确的法律依据,但其中整理、改进以及加工的内涵,形成新信息与原有公知信息的区别如何把握仍然不甚清晰,有待后续司法实践的进一步明确。
其次,保密性的认定。如Compulife 案所示,确定保密性的标准是相对保密,而非绝对保密。但由于相对保密标准非常灵活,由此导致法院存在较大的自由裁量权。Compulife 案中法院认定原告符合保密性要件便引起了巨大争议。有实证数据表明,人们迫切希望明确“合理保密措施”的要求。55. Alfred Radaueret al., Study on the Legal Protection of Trade Secrets in the Context of the Data Economy:final report,2022,p.80,https://op.europa.eu/en/publication-detail/-/publication/c0335fd8-33db-11ed-8b77-01aa75ed71a1/language-en,Last visited of August 27,2023.由于没有明确的标准,法院甚至作出相互矛盾的判决。56. Peter S.Menell et al., Intellectual Property in the New Technological Age:2020, Clause 8 Publishing, 2020, p.49.国内目前的审判实践中法院同样对保密措施的判断标准并不统一,存在相互冲突的情形。因此,保密性的认定标准亟需进一步明确。欧盟建议委员会发布关于可能采取的“合理步骤”范围的指导意见,从而引导行业行为。57. Alfred Radaueret al.,Study on the Legal Protection of Trade Secrets in the Context of the Data Economy:final report,2022,p.81,https://op.europa.eu/en/publication-detail/-/publication/c0335fd8-33db-11ed-8b77-01aa75ed71a1/language-en,last visited of August 27,2023.总体而言,在明确保密性认定标准时,需要重点考虑商业秘密的价值以及商业秘密持有人的预防措施成本。换言之,保密措施应当是适量且有效的,且保密措施要与被保护信息的价值相匹配。合理的保密措施一方面应体现权利人主观的保护意识,另一方面通过客观的具体措施通知到其他人,这种主客观的统一结合,才能较好把握商业秘密保密性的认定。
再次,价值性的认定。通说认为商业秘密的价值性较为容易满足,因其既可以是“实际的”,也可以是“潜在的”价值,法院也往往认为价值性通常可以从间接证据中得到证明,如开发信息所投入的时间、金钱和精力等,而将审理重点放在商业秘密的其他构成要件上。58. Camilla A. Hrdy, The Value in Secrecy, Fordham Law Review, Vol.91:557,pp.557-560(2022).但从Compulife 案中可知,价值性要件事实上在实现数据爬取各方利益平衡方面发挥着重要作用,也使得商业秘密法获得了相较于合同法与刑事法律在规制数据抓取行为上的制度优势。可以说,独立经济价值要件作为内部限制原则,将不属于商业秘密的信息留在公共领域,有利于商业秘密领域利益平衡的实现。因此,未来在商业秘密案件中应进一步重视并从严把握价值性要件的认定。
商业秘密侵权认定的另一重要问题是明确商业秘密的获取手段是“不正当的”。有批评者抨击Compulife 案中法院关于不正当手段的论述创造了一个不甚明确的判断标准,极大地扩大了抓取方的责任。59. Peter J. Toren, 'Improper Means': The Eleventh Circuit's Very Dubious Trade Secrets Decision in Compulife Software v.Newman (Part II), IPWATCHDOG (July 14, 2020). https://www.ipwatchdog.com/2020/07/14/improper-means-eleventh-circuitsdubious-trade-secrets-decision-compulife-software-v-newman-part-ii/id=123265/, last visited on September 8,2023.由于法律不可能对不正当手段制定一份全面的清单,因此法院的确在不正当手段分析中存在广泛的自由裁量权,特别是在Compulife 案与杜邦案中被告没有违反其他法律规范的情况下,并没有明确的标准来区分商业秘密获取手段的正当与否,由此才引发了巨大的争议。为此,法院通常通过调查被告是否违反了“公认的商业道德标准”(the Generally Accepted Standards of Commercial Morality)判断手段的正当性,60. Restatement ( First) of Torts § 757.但由于商业道德标准本身就非常模糊,61. Lynda J. Oswald, The Role of “Commercial Morality” in Trade Secret Doctrine, Notre Dame Law Review, Vol.96:125,pp.125-166 (2020).因而对“不正当手段”认定标准的进一步明晰并无太多助益。
类似地,我国《反不正当竞争法》第九条第(一)项对获取商业秘密的不正当手段进行了列举式规定,即以盗窃、贿赂、欺诈、胁迫、电子侵入或者其他不正当手段。与此同时,《2020年商业秘密司法解释》第八条规定,被诉侵权人以违反法律规定或者公认的商业道德的方式获取权利人的商业秘密的,人民法院应当认定属于《反不正当竞争法》第九条第一款所称的以其他不正当手段获取权利人的商业秘密。可见,我国对于列举式规定以外的其他不正当手段的认定同样依赖“公认的商业道德标准”。因此,在数据抓取背景下具体界定“商业道德标准”就显得极为重要,鉴于“商业道德标准”本身的模糊性,可以从以下方面限制数据抓取责任,遏制对“不正当手段”的广泛解释。
一方面,应将被抓取数据的数量纳入考量。正如Compulife 案中第十一巡回法院并不认为数据抓取本身是不正当的,只有在抓取了大量数据,即被告获取的数据块大到足以构成盗用数据库才是不正当的。62. Compulife Software Inc. v. Newman, 959 F.3d 1288, 1316 (11th Cir. 2020).另一方面,应考虑是否促进了“公共政策原则”。第一,重点关注数据抓取目的。如Compulife 案中被告利用抓取的数据提供了直接竞争的产品,但如果被告使用这些抓取的数据对保险费率进行科学研究,那就另当别论了。63. Sandvig v. Barr, 451 F. Supp. 3d 73 (D.D.C. 2020).第二,是否存在不公平竞争或数据垄断的行为。大型科技公司的主导地位以及“数据垄断”对竞争的扼杀也时刻提醒人们要警惕占据主导市场地位的网站对其数据库拥有过多的控制权。64. Maurice E.Stucke, Should We Be Concerned About Data-opolies?, Georgetown Law Technology Review, Vol.2 :275, p.276(2018) .HiQ 诉Linked In 案中法院正是考虑到Linked In 公司限制公开数据的抓取有可能造成损害公众利益的信息垄断从而认定HiQ公司的抓取行为具有合法性。65. hiQ Labs, Inc. v. LinkedIn Corp., 31 F.4th 1180, 1201 (9th Cir. 2022).第三,应充分考虑数据抓取行为的合法抗辩。合法抗辩实际上是从反面界定“不正当手段”,我国《2020年商业秘密司法解释》规定了自行开发研制与反向工程的抗辩类型,但相较域外的法律规定,我国对合法抗辩类型的规定过少,如并未涉及公共利益类型的抗辩,仍有待进一步研究与拓展。
数据抓取是一个复杂的、高风险的问题,如何解决数据权利在各个利益相关方之间的分配问题,关系到互联网和大数据的未来。目前尚不清楚Compulife 案的适用范围有多广,其他法院是否会采用。但Compulife 案的出现表明了利用商业秘密法处理数据抓取案件的合理性和可行性。商业秘密与抓取公众可访问的公开信息之间并不存在绝对的背离,如果符合商业秘密的规制要件,则应优先适用。商业秘密作为知识产权法律规范的重要组成部分,能够有效弥补数据抓取现有规制方式的不足,使法院能够在数据保护和信息传播的社会利益之间找到有效平衡。当然商业秘密的法律适用远未达到明确的规则,且商业秘密构成要件的认定仍然不甚清晰,尚需立法与后续司法实践的进一步明确。