谨慎划定数据保护的边界
——兼及数据利用秩序的制度供给和适用
刘维
作者简介
刘维,上海交通大学凯原法学院青年学者、上海交通大学知识产权与竞争法研究院研究员。
一、问题的提出
近一段时间以来,我国产生了多例因数据处理而引发的纠纷,并引起热议。有些纠纷与个人数据有关,有些则与个人数据无关,但都涉及数据主体、数据控制者、数据处理者三方主体之间的法律关系,目前《网络安全法》等有关个人信息保护的法律条款无法为解决上述纠纷提供直接的法律依据。司法裁判对这些纠纷的解读局限在反不正当竞争法的传统适用框架内,在数据利用秩序的规范层面以及适用反不正当竞争法的批判性解读层面,还很少看到学术界和实务界的声音。
大数据时代数据利用规范的建构需要有新思维,目前我国以《网络安全法》相关条款为代表的数据法律规范侧重于个人数据的保护,个人数据的利用、非个人数据的保护利用等方面的法律规范仍显不足。在当下的服务模式中,数据处理者在提供数据处理服务时会在与用户之间的服务条款中明确个人数据与非个人数据的内涵,并以“特定服务的提供行为”换取用户对其数据被获取和使用的同意,如果用户不同意其数据被获取和使用,则无法使用数据处理者提供的硬件或软件服务。不仅如此,随着数据时代分工的精细化,数据处理行为往往涉及到数据控制者或者第三方平台记录信息,数据处理者在与用户之间的服务协议中会将“从数据控制者获取信息”纳入用户同意的范围。比如脉脉案中[1],《脉脉服务协议》规定:“用户一旦注册、登录、使用脉脉服务将视为用户完全了解、同意并接受淘友公司通过包括但不限于收集、统计、分析、使用等方式使用用户信息。”“用户通过新浪微博账号、QQ账号等第三方平台账号注册、登录、使用脉脉服务的,将被视为用户完全了解、同意并接受淘友公司已包括但不限于收集、统计、分析等方式使用其在新浪微博、QQ等第三方平台上填写、登记、公布、记录的全部信息。用户一旦使用第三方平台账号注册、登录、使用脉脉服务,淘友公司对该等第三方平台记录的信息的任何使用,均将被视为已经获得了用户本人的完全同意并接受。”在这种服务模式中,纠纷往往发生在作为数据控制者的第三方信息平台与作为数据处理者的软硬件公司之间,数据处理者对用户数据(很多时候并非个人数据)的利用是否还要特别征得数据控制者的同意?如果没有征得数据控制者的同意,是否意味着数据处理者以不正当手段从事竞争行为?也就是说,我国现有法律制度大多是对数据主体个人数据保护的规范,对数据控制者和数据处理者之间数据利用行为的规范供给严重不足。当然,可能有观点认为只要数据控制者与数据处理者之间通过协议约定,就可以规范数据处理行为,比如数据控制者往往利用其数据控制地位通过格式条款约定他人数据处理的事先授权机制,“未经微博平台事先书面许可,用户不得自行授权第三方使用微博内容”[2]、“所有未经用户和微博平台共同同意,擅自直接抓取用户已经在微博平台上发布的内容的行为均属于不正当竞争”[3],但是,一方面并非所有的数据处理者都与数据控制者之间会成立上述合同关系,一方面这种格式条款会不会涉及不合理的限制他人访问数据、为己方增加权利等条款效力问题,也值得进一步研究[4],至少表明存在一定的法律风险。因此,这块领域完全留给契约自由或行为自治,可能未必合理。下文对数据控制者与数据处理者之间因数据利用产生的法律关系进行研究,主要涉及数据访问权机制、以及通过反不正当竞争法评价数据利用行为的理念问题,不涉及对构成作品的数据的抓取利用行为,这些行为可以在现行《著作权法》框架下解决,而只讨论不构成作品的个人数据以及其他数据的利用所产生的规范问题。
二、作为数据利用规范的访问权机制
(一)数据保护与数据利用之间的平衡
平衡数据保护与数据利用之间的关系,合理建构数据主体、数据控制者、数据处理者之间的权利义务,是考虑数据利用秩序的法律供给问题中的关键一环。数据控制者对数据的形成和存储具有特定利益,是控制数据格式的第一载体,具有处理数据的优先利益,且事实上对这种格式的数据具有控制地位,实际控制可以产生实际的排他权并作为有效的议价和定价基础,[5]在法律上赋予其“控制”数据利用的地位应该是合理的,他人对数据的处理行为应当以数据控制者的同意为前提,比如脉脉案二审法院明确指出:由于第三方通过OpenAPI获取用户信息时应坚持“用户授权”+“平台授权”+“用户授权”的三重授权原则;“第三方应用未经新浪微博用户及新浪微博的同意,不得使用新浪微博的用户信息。”[6]但为了避免数据垄断、造成市场失灵以及鼓励数据处理市场的竞争、数据的自由流通,又必须同时对数据控制者控制数据的地位施加一定限制,这种限制应当与《反不正当竞争法》、《反垄断法》中的相关理念和规则结合起来考虑,概言之,如果这种数据是商业秘密或者已经被采取保护措施或声明的数据,则应当同时经过用户授权和平台授权,否则数据处理者的行为可能构成不正当竞争;如果是公开的数据,则应当允许数据处理者自由抓取,否则数据控制者的行为可能面临反竞争的指控。这样既能肯定数据控制者的数据控制地位、允许维护其核心竞争资源,又能在一定程度上限制其数据控制地位、鼓励数据自由流通。
最近在美国发生的hiQ与领英之间的数据争议,也许可以用来说明这一问题。前者是一家为客户提供雇员评估服务的公司,其服务基础是对市场上公开获取的数据进行统计分析,主要依托于职业社交网站领英的公开数据。领英则允许其用户创建用户资料并与其他用户建立联系,用户在注册信息的时候可以选择不同类型的隐私保护方案,比如可以选择其资料完全处于隐私状态,也可以选择完全公开,还可以选择介于两者之间的方案。如果用户选择完全公开,则无论是否领英会员都可在线看到用户资料,搜索引擎还可访问这些公开资料。在容忍了对方数年地对其数据进行获取利用之后,年5月,领英要求hiQ停止非授权性抓取数据并通过技术手段阻止hiQ抓取领英北京白癜风研究所北京白癜风专科医院电话
