特别策划 | 数据竞争优势与保护
数据垄断本身并非法律概念,但与数据垄断有关的案例在知识产权领域中其实并不少见。数据是一个非常宽泛的概念,知识产权本身是一种具有排他性的垄断性权利,二者相结合,就是所谓的“数据垄断”。因此,在回答数据垄断是否是“伪概念”时,司法实践已经给出了比较明确的答案。
如果在最广泛意义上理解数据,著作权法、商标法、专利法所保护的对象,一部作品、一个商标、一项发明都能成为一种数据,知识产权法保护的是对这些特定数据的专有性权利。而由于反不正当竞争法对著作权法等知识产权单行立法的兜底性作用,对数据的优势控制在不正当竞争领域尤其突出。单一的数据,如对餐饮数字的简评难以满足著作权法要求的独创性的要求,但是多个评价形成的一定数量级的数据集合对经营者可能形成特定的竞争优势。如大众点评网诉百度的不正当竞争案中,在百度地图和百度知道产品中搜索某一商户时,页面会显示用户对该商户的评价信息,大众点评网认为该部分信息来源于大众点评网构成不正当竞争。法院认为百度公司的行为构成不正当竞争。背后蕴含的逻辑是大众点评网存在正当的值得保护的竞争利益。而这一竞争利益在根本上则在于其对用户点评信息所持有的数据上的优势或者支配地位,或者说,数据上的垄断。脉脉非法抓取新浪微博用户数据案同样如此,新浪起诉的权利基础也在于其对微博用户数据上的一种垄断。[1]
因此,我们在说数据垄断的时候,并不是反垄断法意义上的垄断,比如垄断协议、滥用市场地位或者经营者集中等情形。我们所讨论的数据垄断是更广泛意义上的垄断,是一种数据专有权。从数据垄断到数据专有权,其实是从一个非法定概念到另一个非法定概念。为了避免这种通过不断创造概念来解释概念的循环,数据专有权又可以理解成因为拥有数据形成的一种竞争优势。所以,数据垄断是一种数据带来的竞争优势。
讨论数据保护问题,追根溯源首先要考虑的是这种竞争优势合法性依据。这种竞争优势在根本上是来自于用户的授权使用,还是网络服务提供者在数据的整合中付出的努力?这事关诉讼时原告的权利基础。一旦权利基础发生动摇,原告所有的主张就会成为无本之木无源之水。在网络环境下,我们每一次行为轨迹都会留下数据的痕迹。每一次数据的集合,就可能能比较准确地描绘出网络用户的画像,如在购物平台上的数据能够绘出用户各种消费习惯和消费倾向,这对于之后广告的精准投放意义重大。但是这些每个用户自己创造出来的数据是否理所当然归网络平台所有?
当然不是。《网络安全法》第二十二条第三项规定,网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。第四十二条规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。这些规定应当是关于网络平台如何使用用户数据的基础性规定。由于网络服务提供者收集个人信息存在损害用户合法权益的风险,因此要受到强制性法律法规的一定约束;但用户同时也享受网络服务,因此满足意思自治的双方的约定也是网络服务提供者应当受到约束的依据。在对数据归属有约定的情况下,一般从约定;如果约定不明,则不宜认为归网络服务提供者所有。
数据归属的明确只是确定合法竞争优势的基础,但是如果网络服务提供者在数据的收集和使用过程中存在问题,则可能动摇这一合法性基础。在规范用户数据使用问题时,首先是数据前端的收集行为。在数据收集环节取得用户同意是毋庸置疑的,关键是应当以何种方式取得用户的同意?《网络安全法》给出了明确的要求。但我们在安装或者使用某些应用软件时,可能都会有过这样的体验,各种数据收集的需求,比如读取通讯录,调用位置信息等确实有明确的提示,但是网络服务提供者获取的同意仅仅是一种比较宽泛的同意,对于获取这些信息后的具体用途却是用户无从知晓的,网络服务提供者收集的数据是否满足了必要性的要求,有没有可能用到其他用户所不知情的地方?用户不知道,目前也是监管难以触及的。只有当我们某一天突然发现一些明显是根据自己需求的推送时,可能才会发现网络服务提供者偷偷使用了我们的数据。数据收集之后的用途比数据收集本身更为重要,网络服务提供者应当负有强制的披露义务。
其次,是对数据正当、合法、必要的使用。《网络安全法》规定,网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。因此,数据如何使用一方面来自于法律法规的强制性约束,另一方面则来自于与用户合同的制约。法律法规有明确约定,合同权利义务也十分明晰,但对数据使用的监控仍然是难点。若非出现Facebook那种大规模数据泄露问题,一般用户难以察觉更是难以确定来源于哪家网络服务提供者。由于强制性的法律法规难以事无巨细面面俱到的规定各种细节,网络服务提供者和用户之间的合同就更为重要。根据正当、合法、必要的原则,网络服务提供者对数据的使用应当严格限定在用户授权的范围之内,如果仅仅是宽泛的授权,除非是用以实现某些功能性的必要的数据,对于数据的商业性使用应当重新获得用户的许可。
此外,对于数据后端的处理也是监管所不容忽视的。我们也可以看到《网络安全法》对数据的收集、使用作出了规定,但是对于数据擦除却没有任何规定。目前几乎所有的应用软件,在安装时都要求读取用户的一定数据。用户在使用过一段时间之后,可能就会卸载这些软件。如果在安装时同意网络服务提供者使用数据,卸载行为是否意味着自动终止对数据使用的授权行为?恐怕实践中很少会有这样的操作行为。如果用户先前同意授权,后来又想撤回授权或者要求删除之前的数据时,同样缺乏规定,甚至是原则性的规定。因此,如果用户已经撤回了数据的使用权,网络服务提供者也不能再利用用户的数据主张权利。
因此除了权属,数据在收集、使用、后续处理等各方面都需要步步跟进,以确保竞争优势这一权利基础的稳定性。规范个人数据使用是一个非常系统复杂的工程,欧盟的《一般数据保护法》可以提供一些框架性思路,但细节仍需结合我国网络发展的实际精雕细琢。发展至今,我们同样需要这样一部系统的保护用户个人数据的法律法规。
相关链接
[1] 两案具体情况见上海知识产权法院(2016)沪73民终242号民事判决书,北京知识产权法院(2016)京73民终588号判决书。
(2016)沪73民终242号判决书
长按识别二维码查阅
(2016)京73民终588号判决书
长按识别二维码查阅
