從國內外典型資料保護案例看如何保護企業資料權益
作者/曹建峰 田小軍
來源/騰訊研究院
一、概述:人工智慧時代資料價值日益凸顯,資料侵權案件多發
資料被認為是二十一世紀的“新石油”,資料與人工智慧的結合不斷催生新的商業模式和業態,資料驅動的智慧經濟與社會呼之欲出。因此各國都高度重視資料經濟(data economy)的發展,如歐盟已提出大力發展資料經濟,認為歐盟資料市場的價值預計在2020年將超過1060億歐元。資料經濟的發展不僅驅動了政策戰略的改變,也給資料法律制度提出了新的訴求。有利於資料交易發展的法律環境的缺失,可能導致大量資料庫的可獲取性降低,對資料市場參與者形成障礙,甚至導致不正當競爭。
在此背景下,國內外都出現了一些資料侵權相關的不正當競爭案件,梳理、分析這些案件對我們探尋資料保護的司法和立法邊界,尋求既促進資料利用又注重資料保護的良性資料治理的重要性是不言而喻的。因此,本文旨在分析相關案例,以為進一步研究資料侵權和資料保護提供出發點。
二、國內外主要案例分析
1.大眾點評訴愛幫網案[1]:企業付出投入而得的資料受法律保護,垂直搜尋服務實質性替代被引網站構成不正當競爭
案件介紹
原告漢濤公司經營的大眾點評網與被告愛幫聚信公司經營的愛幫網均為網路分類資訊查詢服務。漢濤公司發現愛幫網在經營中大量複製、甚至直接摘取大眾點評網上的商戶簡介及使用者點評內容,遂以不正當競爭為由將愛幫聚信公司訴至法院。一審北京市海淀區法院、二審北京市第一中級人民法院均認定愛幫網構成不正當競爭。
法院判決
一審法院認定愛幫網與大眾點評網提供服務具有同質性,存在直接競爭關係。大眾點評網的商戶簡介和使用者點評系漢濤公司蒐集、整理和運用商業方法吸引使用者註冊而來,漢濤公司為此付出了人力、物力和時間等經營成本,由此產生的利益應受法律保護。愛幫網未付出勞動、未支出成本、未做出貢獻的情況下,直接利用技術手段展示大眾點評網蒐集、整理的商戶簡介和使用者點評,並以此獲得商業利益,屬於反不正當競爭法理論中典型的“不勞而獲”和“搭便車”的行,違反了誠實信用原則和公認的商業道德,構成不正當競爭。
對於愛幫網所主張的垂直搜尋和摘要等技術行為,法院認為技術實施仍應遵守反不正當競爭法規定。雖然垂直搜尋引擎技術本身並不具有違法性,但技術手段須控制在合理範圍之內,不可對被引網站造成市場替代後果。 本案中,使用者通過愛幫網可直接獲取商戶簡介的全部內容和使用者點評的絕大部分內容,其已對全部商戶簡介內容和絕大部分點評內容進行了充分展示,不可能屬於摘錄,已經構成對大眾點評網相應內容的實質性替代,必將不合理地損害漢濤公司的商業利益。
二審法院支援了一審判決。認為漢濤公司通過商業運作吸引使用者在大眾點評網上註冊、點選、評論,並有效地收集和整理資訊,進而獲得更大的商業利潤,該合法權益應受法律保護。 愛幫網對大眾點評網資訊的使用已超出合理範圍,已經達到了網路使用者無需進入大眾點評網站即可獲得原網站足夠資訊的程度,其引用造成了對大眾點評相應市場內容的實質替代,對漢濤公司的合法利益造成損害,構成不正當競爭。
二、新浪訴脈脈案[2]:開放平臺模式下第三方獲取使用者資訊應堅持三重授權原則
案件介紹
微夢公司經營的新浪微博為社交媒體平臺,淘友公司經營的脈脈軟體和網站是一款基於移動端的人脈社交應用,雙方曾在2013-2014年通過新浪Open API進行過合作。2014年8月,微夢公司發現淘友公司在新浪微博開設的“脈脈”和“淘友網”賬號資料呼叫異常,且淘友公司在其獲得開放授權的微部落格戶頭像、名稱、標籤之外,還抓取、使用了教育資訊和職業資訊。微夢公司因而停止了淘友公司的合作。但在合作終止後,淘友公司並未及時刪除雙方合作期間獲取的新浪微博使用者資訊。微夢公司遂以不正當競爭為由將淘友技術公司與淘友科技公司訴至法院。
海淀法院一審認定二被告行為構成不正當競爭 ,須立即停止涉案行為,並刊登宣告、消除影響。二被告不服,上訴至北京智慧財產權法院,二審駁回上訴,維持原判。
一審法院認為原被告同為網路社交服務提供者,存在競爭關係;被告獲取並使用涉案新浪微博使用者資訊的行為,以及獲取、使用脈脈使用者手機通訊錄聯絡人與新浪微博使用者對應關係的行為,沒有合同依據,也缺乏正當理由,主觀惡意明顯,構成不正當競爭。
第一,對於是否非法抓取、使用新浪微博使用者資訊,法院認為二被告在合作期間抓取、使用涉案新浪微博使用者的職業資訊、教育資訊以及在合作結束後使用涉案新浪微博使用者的頭像、名稱、職業、教育等資訊的行為,一方面不符合微博《開發者協議》的約定,存在超出授權許可範圍抓取教育和職業資訊的情況;另一方面未取得使用者許可即獲取並使用涉案非脈脈使用者的相關新浪微博資訊。因此該行為具有不合法性。
第二,對於二被告是否非法獲取、使用脈脈使用者手機通訊錄聯絡人與新浪微博使用者對應關係,法院認為包括手機號在內的相關使用者精準資訊與新浪微博之間的對應關係,為新浪微博使用者資訊構成中重要的組成部分,這種對應關係也是微夢公司重要的經營利益所在。 在本案缺乏充分證據證明二被告能從新浪微博合法獲取此類精準資訊的情況下,二被告獲取涉案對應關係不具有合法性。二被告將涉案對應關係在軟體一度人脈中予以展示,使大量非脈脈使用者的新浪微博資訊及好友關係展現在脈脈軟體中,以便於脈脈軟體拓展自身使用者群,獲取經濟利益,具有較強的主觀故意。
二審法院肯定了資料資訊的價值和Open API執行規則的合理性,同時認為新浪微博有權就第三方應用使用其使用者資料的不正當行為主張權益。 對於涉案資料獲取行為,法院認為上訴人淘友技術公司、淘友科技公司獲取新浪微博資訊的行為存在主觀過錯,違背了在0pen API開發合作模式中第三方通過0pen API獲取使用者資訊時應堅持“使用者授權”+“平臺授權”+“使用者授權”的三重授權原則,違反了誠實信用原則和網際網路中的商業道德,不具有正當性。
對於涉案的獲取並展示對應關係的行為,上訴人淘友技術公司、淘友科技公司未經使用者同意且未經被上訴人微夢公司授權,獲取、使用脈脈使用者手機通訊錄中非脈脈使用者聯絡人與新浪微博使用者對應關係,並將新浪微博使用者的相關資訊並展示在脈脈應用的人脈詳情中,侵害了被上訴人微夢公司的商業資源,不正當的獲取競爭優勢,這種競爭行為已經超出了法律所保護的正當競爭行為。
三、酷米客訴車來了案[3]:企業付出投入而得的資料具備無形財產屬性,他人利用技術手段獲取構成不正當競爭
案件介紹
原告穀米公司與被告元光公司分別為實時公交資訊查詢APP“酷米客”和“車來了”的運營者。原告穀米公司為提高公交資訊準確度,與公交公司達成合作,通過安裝定位器獲取實時公交位置資料。元光公司為避免公交資訊延遲、獲取精準資料,破解了穀米公司的酷米客APP加密系統,並利用爬蟲技術爬取了酷米客APP內實時資料。被告元光公司邵凌霜、陳昴、劉江紅、劉坤朋等人被依法追究刑事責任,穀米公司以不正當競爭為由起訴元光公司。
法院判決
法院認為儲存於APP後臺的公交實時資訊系人工收集、分析、整合並配合GPS精準定位所得,酷米客APP憑藉資訊的準確度和精確性獲得同類軟體中的競爭優勢,因此該資訊具備無形財產屬性。該資訊雖可供公眾免費查詢,但資料需以不違背權利人意志的合法方式獲得,被告元光公司利用爬蟲技術大量獲取、無償使用他人資料的行為,非法佔用了他人無形財產權益,破壞了他人的市場競爭優勢,具有為自己謀取競爭優勢的主觀故意, 其行為違反了誠實信用原則,擾亂了市場競爭秩序,構成不正當競爭。
4.淘寶訴美景案[4]:大資料產品具有財產性權益,受反不正當競爭法保護
案件介紹
淘寶公司系“生意參謀”零售電商資料產品的開發者和運營者,該資料產品通過記錄、採集使用者在淘寶電商平臺(包括淘寶、天貓)上瀏覽、搜尋、收藏、加購、交易等活動留下的痕跡,進行深度加工處理,最終形成的統計、預測型衍生資料可為商家店鋪運營提供參考。在該資料平臺經營過程中,淘寶公司發現,美景公司運營的“咕咕互助平臺”及“咕咕生意參謀眾籌”網站,通過提供遠端登入服務的方式,招攬、組織、幫助他人獲取“生意參謀”資料產品中的資料內容,並從中獲益。淘寶公司認為美景公司行為構成不正當競爭,遂將其訴至杭州鐵路運輸法院,一審判決美景公司行為構成不正當競爭 。美景公司對一審判決不服,上訴至杭州市中級人民法院,二審判決駁回上訴,維持原判。
法院判決
一審法院認為網路資料產品的開發與市場應用已成為當前網際網路行業的主要商業模式,資料資訊是網路運營者的市場優勢來源。在本案中,“生意參謀”資料產品系淘寶公司耗費人力、物力、財力,經過長期經營積累形成,資料收集、整理、使用具有合法性,經過深度開發與系統整合,資訊可供消費者參考、使用,淘寶公司對“生意參謀”大資料產品應享有獨立的財產性權益。美景公司未付出勞動創造,即將“生意參謀”資料產品直接作為獲取商業利益的工具,其開發的“咕咕互助平臺”對原告資料產品構成實質性競爭,這種不勞而獲的“搭便車”行為有悖於商業道德,構成不正當競爭。如不加禁止將會嚴重挫傷大資料產品開發者的創造積極性,阻礙產業發展。
二審法院支援了一審判決,認為“生意參謀”資料產品具有商業價值,獨立於原始網路資料,能夠帶來直接經濟收入,且因其決策參考的獨特價值,構成淘寶公司的競爭優勢,故該大資料產品屬於競爭法意義上的財產權益。美景公司經營的“咕咕互助平臺”對於淘寶公司“生意參謀”賬號的分享行為直接導致了原平臺使用者減少,其損害行為存在主觀故意,行為擾亂市場秩序,對淘寶公司合法權益造成損害,構成不正當競爭。
5.Facebook訴Power公司案[5]:未經授權侵入計算機系統並獲取資料構成侵權
案件介紹
該案中,社交聚合網站 http:// Power.com 允許使用者在 http:// Power.com 上同時登入多個社交網站(LinkedIn、Twitter、Facebook和MySpace等)的使用者名稱和密碼,並與好友互動,還可以獲得這些社交網站上的聯絡人和照片等等。通過 http:// Power.com ,使用者可同時檢視自己在所有社交網站的活動情況。當時, http:// Power.com 發起了名為"Power 100"的活動,鼓勵使用者去邀請好友也來使用該網站的服務,成功邀請到100名好友的使用者可獲得100美元獎勵。為此, http:// Power.com 允許使用者通過域名為@ http:// facebookmail.com 的郵箱向好友傳送邀請郵件,但由於郵件中包含“Facebook團隊”的字眼,看起來就像是Facebook官方傳送的郵件。
2008年12月1日,Facebook給Power公司發出書面停止和終止信,但Power公司的活動並沒有停止。2008年12月30日,Facebook把Power公司告上了法庭。Facebook的起訴指控Power公司未經Facebook許可闖入Facebook的計算機系統,擅自收集Facebook使用者的資料,違反了《計算機欺詐與濫用法》(Computer Fraud and Abuse Act,簡稱CFAA)和《加州刑法典》(California Penal Code section 502)。2012年,聯邦法官再次判決Power公司違反CFAA,裁定Power公司賠償300多萬美元給Facebook,Power公司隨之宣告破產。但創始人Vachani依舊上訴至第九巡迴上訴法院。
法院判決
違反CFAA的行為可能有兩種情況:第一,未經授權侵入他人計算機;第二,經過授權接入計算機但通過接入實施了不當行為。首先,法院認為Facebook在CFAA的意義上遭受了損失。當一方在一年期間損失至少5000美元時,該法規允許私人訴訟權利。法規將“損失”定義為“對任何受害者的任何合理成本,包括應對違法行為的成本,進行損害評估的成本,以及在犯罪發生前將資料、程式、系統或資訊進行恢復的成本,以及由於服務中斷而導致的任何收入損失,包括已發生的費用或其他間接損失。” 無可爭議,Facebook員工花了很多時間來分析、調查和迴應Power公司的行動,總計超過5000美元的成本。因此,Facebook在CFAA下遭受了損失。
其次,Power公司未經Facebook允許繼續侵入其計算機並訪問其使用者資料,尤其是在Facebook明確發出書面停止和終止信後,Power公司的行為已經很明顯地表現出其已經瞭解到Facebook的禁令,卻還繼續訪問Facebook的計算機。這明顯違反了CFAA。
6.Ryanair公司訴PR Aviation案[6]:網站經營者可以通過服務條款來禁止第三方擅自抓取不受版權或資料庫權保護的資料
案件介紹
本案中,被告PR Aviation作為機票比價服務提供者,使用自動系統直接從Ryanair航空網站和可公開訪問資料庫來擷取航班資訊,然後由收費使用者支付佣金從其網站上進行預定。不過,Ryanair網站的訪問者都必須通過勾選來接受Ryanair航空的一般條款和條件。據此,除非第三方直接與Ryanair航空簽署了書面許可協議,網站資訊均只能用於私人和非商業目的,且禁止使用自動化系統或軟體從網站提取資料用於商業目的。Ryanair航空聲稱,PR Aviation侵犯了著作權法和資料庫的特殊權利,並且違反了PR Aviation所接受的網站使用條款和條件。
初審時,烏得勒支地方法院判決PR Aviation侵害了Ryanair公司就其資料享有的著作權,並賠償因未經授權使用資料而造成的損害。阿姆斯特丹上訴法院撤銷了烏得勒支地方法院的裁決,認為PR Aviation並未侵犯任何權利,因為根據荷蘭著作權法,對Ryanair航班資料的使用屬於合法使用。而Ryanair公司的網站條款試圖排除第三方使用,其與荷蘭著作權法相牴觸而無效。法院補充說,Ryanair航空在建立資料庫時並沒有“實質性投入”,所以無法獲得資料庫的保護。隨後,Ryanair公司對荷蘭最高法院提出上訴。為此,就線上資料庫能否適用《資料庫指令》,以及能否通過合同限制該等資料庫自由使用問題,荷蘭最高法院請求歐盟法院作出答覆。
法院判決
就Ryanair公司是否享有資料庫權,歐盟法院認為資料庫權應當以對資料的獲取、核實或輸出進行實質性的投入為前提,且根據“副產品原則”,資料庫和資料內容、獲得資料庫而進行投入和為生成資料內容而進行的投入均被嚴格區分。顯然,倘若獲得資料的行為與該資料的生成過程無法分離,那麼製作者就難以證明其為資料庫進行了實質投入,從而不能享有資料庫權的保護。當然,歐盟法院亦指出,如果資料內容的創造未經事前計劃,且其收集、核實、編排、呈現需要額外的實質性支出,那麼製作者同樣可以取得資料庫權。基於上述理解,法院認為Ryanair的資料庫不過是其經營的副產品,且未就相關資料的收集進行額外投入,因此構成典型的“單一資料來源資料庫”,並非《資料庫指令》的保護物件。
在Ryanair案中,PR Aviation根據《資料庫指令》第8.1條“一旦資料庫處於公眾可獲得的狀態,資料庫的製作者不能阻止合法使用者為任何目的的引用或重新利用小部分資料庫內容”和第15條“違反第8條的合同條款無效”的規定,提出資料庫合法使用(lawful use)的抗辯。但是,正如法院在判決中所言,既然《資料庫指令》並不能涵蓋Ryanair的資料,那麼Ryanair自然能通過合同條款對他人的使用自由地設定限制。
因此,歐盟法院認為,Ryanair公司網站提供的航班資料,尚不能受到著作權法或資料庫權的保護,並進一步肯定當網站經營者就其本身資料內容,無法透過著作權排除他人未經授權使用時,仍得以服務條款限制其他企業以擷取方式自動抓取、收取網站資料的行為。2015年1月,法院最終裁定Ryanair公司有權禁止PR Aviation以自動化系統抓取網站資料後轉為商業使用。
三、結論:司法迴應資料經濟需求,承認資料的財產性權益,加強對資料侵權的規制
如今,資料日益成為人工智慧時代的商業和商業競爭的核心,圍繞資料的爭議日益凸顯,中美歐等持續探索資料保護立法,並在資料侵權案例中嘗試明確資料利用與資料保護的邊界。綜合既有立法和判例,主要存在以下趨勢。
第一,判例承認企業對投入勞動而得的資料享有競爭法上的財產性權益。 當企業投入大量勞動(無論其為機械勞動還是智力勞動)進行大資料開發並形成資料集、資料庫等大資料成果時,即使這些成果因為缺乏獨創性或創造性而不能獲得版權等智慧財產權保護,也可以因為這些成果中所體現的勞動投入而獲得某種程度的法律保護。比如,在International News Service v. Associated Press中,美國最高法院就認為,資訊、設計等無形物可以因勞動、金錢等投入而產生一種“準財產權”(quasi-property right),從而可以基於反不正當競爭法禁止他人不當盜用。[7]
在大眾點評訴愛幫網、淘寶訴美景、酷米客訴車來了等案件中,國內法院逐步認可大資料成果的無形財產性質或競爭法上的財產權益性質。此外,判例也開始承認企業對其經營的使用者資訊的權益,如在新浪訴脈脈案中,法院認為使用者資訊是新浪微博作為社交媒體平臺開展經營活動的基礎,也是其向第三方應用提供平臺資源的重要商業資源,第三方未經使用者及新浪微博的同意,不得使用新浪微博的使用者資訊,明確了開放平臺模式下使用者資訊使用的三重授權原則。表明在資料產權未明確的情況下,國內法院通過反不正當競爭法來加強資料保護的趨勢。而歐盟則在考慮針對非個人資訊建立資料產權制度,明確資料權屬、流轉和資料侵權等規則,通過賦權的形式更積極主動地保護資料產權。
第二,對於未經授權爬取資料的規制,中美歐殊途同歸。 由於我國著作權法只保護具有獨創性的資料庫,且對資料庫的保護並不及於其中的資料,所以我國更多從反不正當競爭法和刑法(如非法獲取計算機資訊系統資料罪)的角度來規制未經授權的資料爬取行為。
而在歐盟,由於《資料庫權指令》為資料庫的保護在著作權之外創設了特殊權利,且不要求獨創性,所以可以通過資料庫權來規則資料爬取行為;而對於既不能獲得著作權法保護也不能獲得資料庫權保護的資料,在Ryanair訴PR Aviation案中,歐盟法院的觀點表明,網站經營者可以通過服務條款來禁止第三方爬取資料,訪問網站的第三方違反服務條款則行為不具有合法性。
在美國,除了反不正當競爭法對資料盜用的規制,網站經營者更多依靠1986年制定的《計算機欺詐與濫用法》(Computer Fraud and Abuse Act,簡稱CFAA)中提供的私權救濟來打擊網路資料爬取行為。但企業需要證明沒有許可權或超出許可權的第三方侵入了其計算機系統。這一規定往往要求網路運營者採取安全措施。但在一些案件中,法院認為僅僅違反網站的服務條款就可能承擔CFAA下的侵權責任,表明通過擴大解釋法律規則來加強資料保護。[8]
[1]北京市海淀區人民法院(2010)海民初字第24463號民事判決;北京市第一中級人民法院(2011)一中民終字第7512號民事判。
[2]北京市海淀區人民法院 (2015)海民(知)初字第12602號民事判決;北京智慧財產權法院(2016)京73民終588號民事判決。
[3]深圳市中級人民法院(2017)粵03民初822號民事判決。
[4]杭州鐵路運輸法院(2017)浙8601民初4034號民事判決;杭州市中級人民法院(2018)浙01民終7312號民事判決。
[5]Facebook, Inc. v. Power Ventures, Inc., 844 F.3d 1058 (9th Cir. 2016).
[6]Case C‑30/14
[7]International News Service v. Associated Press, 248 U.S. 215 (1918).