引言
對於網際網路公司而言,資料的重要性不言而喻。
建立在大資料收集、分析處理基礎上的網際網路公司,需要資料累積才能實現價值,新進入市場的網際網路公司沒有足夠的資料支撐很難與大型網際網路公司競爭,《個人資訊保護法》第四十五條第三款[1]給了新興網際網路公司機會。
依據(2016)京73民終588號中專家輔助人的描述,網際網路資料的獲得方式大致包括抓取和獲取兩種方式。前者是指未經授權,第三方採用爬蟲程式抓取網頁中的非結構化資料的行為;後者是指經過網路平臺以及使用者授權後,透過網路平臺提供的介面而獲取結構化資料的行為。
在《個人資訊保護法》出臺之前,網際網路公司會透過爬蟲外掛等抓取大型網際網路公司的資料,這種很容易會被認為是不正當競爭從而承擔高額的賠償責任,或者透過與大型網際網路公司合作的方式獲取資訊,但是這種情況下,大型網際網路公司具有定價權以及排除許可使用的權利。
在《個人資訊保護法》出臺之後,網際網路公司可以採取另外一種直接獲得使用者授權的資料收集方式,由於該條款在我國實踐並不成熟,合規問題需要進一步探討。
探討
一、透過爬蟲獲取資料途徑
(2016)滬73民終242號
在本案件中,原告公司認為被告公司APP透過爬蟲程式抓取大量原告公司網站內的評論資訊,直接替代了原告公司網站的內容。
二審法院認為在被告APP中搜索某一商戶,雖然附有原告公司網站的跳轉連結,但是基於日常消費經驗,消費者逐一閱讀所有使用者評論的機率極低,消費者在該APP中閱讀使用者評論資訊後,已經無需再跳轉至原告網站閱讀更多的資訊,因此構成了實質性替代,這種替代會使得原告公司的利益受到損害。
實際上在有關資料抓取案件中確立了實質性替代的原則。
原則上,透過爬蟲抓取資料只能抓取公開資料。對於採取技術措施或者違反了網站或者產品的服務規則或使用者協議、或者被抓取額資料為服務運營者投入勞動或資源的衍生資料,都可能被認定為不正當競爭行為。
因此,新興網際網路公司在使用爬蟲程式抓取網站資料時,應當注意:
01.遵循“最少、必要”的原則,不能超出必要的限度,不能實質性替代被爬取的產品或服務;
02.儘量避免對於採取技術措施的網站的抓取行為;
03.尊重被爬取網站或網路服務提供者的勞動成果,比如基於網路平臺演算法對原始資料進行分析、處理後的衍生資料,如果爬蟲程式抓取這樣的資料,就可能觸及不正當競爭行為。
二、透過與大型網際網路公司合作獲取資料途徑
(2016)京73民終588號
在本案件中,二審法院確立了“使用者授權+平臺授權+使用者授權”的三重授權原則。
“三重授權原則”是指使用者在第一次使用某網路服務時,也即網路平臺第一次進行使用者收集時應獲得使用者授權;第三方想要使用該網路平臺使用者資料時需要經過該網路平臺的授權以及使用者第二次授權。
二審法院認為龐大的使用者資料是平臺重要的商業資源,是企業競爭力的核心,平臺對外提供資料應該堅持三重授權原則,以保護使用者隱私和維護企業核心競爭力。
三重授權原則體現了我國司法實踐中對資料權屬的劃分,該原則遵循了《個人資訊保護法》的立法目的,網際網路公司將使用者資料進行分級分類,與第三方合作時根據合作需要提供給第三方對應的開放埠。
第三方平臺在使用使用者資訊時應當明確告知使用者其使用的目的、方式和範圍,再次取得使用者的同意。
但是三重授權原則體現出對使用者資料無差別的對待(即在向第三方提供資料時不區分敏感資料和非敏感資料均應取得使用者同意),然而在《個人資訊保護法》中使用個人敏感資訊時需要單獨同意,也就是說如果第三方獲取的僅是使用者非敏感資訊或者匿名資訊時可以不需要使用者單獨同意。
所以在《個人資訊保護法》實施後的案件中還應調整相應的裁判尺度。
但是依據該案件的裁判規則,新興網際網路公司在與大型網際網路公司進行合作時應注意:
01.要按照合同約定的使用期限、使用範圍、使用目的和使用方式處理使用者資料,且在合同期滿後按約定及時處理相應資料;
02.不僅要審查合作方是否在初次收集時獲得使用者授權,也要審查在本次合作中是否獲得使用者的授權。
三、透過使用者直接授權獲取資料途徑
(2019)浙8601民初1987號
在本案件中,原告公司主張被告開發運營的群控軟體惡意破壞微信的資料安全。
被告辯稱,使用者的社交資料權益歸使用者所有,微信不享有任何資料權益,並且引入“個人資料攜帶權”,即資料控制者應當按照資料主體的請求,將規定的資料副本傳輸給資料主體個人或第三方。
法院認為:資料可以分為兩種資料形態,一是資料資源整體,二是單一資料個體。平臺對於前者享有競爭性權益,對後者享有有限使用權。
另外,法院並未採納關於個人資料可攜權的主張。一是因為個人資料可攜權在我國尚未有法律規定,二是被告獲得使用者資料並未經過微信平臺授權,也未經過關聯使用者授權。
該案中雖然將個人資料攜帶權的概念引入,但是由於被告運營的群控軟體未取得使用者授權,因此並不具有使用合法來源。
(2017)京0108民初24530號
在本案件中,被告稱,被告平臺同步微博內容系使用者授權,使用者對於其釋出的內容擁有獨立完整的權利,其權利範圍至少包括許可他人使用以及怎樣使用,該權利不應受“經平臺同意”或“不得授權他人行使”的非法限縮。
但是法院並未支援被告該主張,一是認為被告平臺並未獲得原告的授權;二是在被告平臺採取的五種授權方式(書面授權、電子授權、郵件授權、入住影片授權、口頭授權)後兩種授權方式很難說明使用者具有授權行為;三是被告平臺移植的內容包括原告在運營中對使用者資料進行處理而產生的衍生資料,侵害了原告的權益。
依據上述案件,儘管兩個案件中法院並未支援被告的意見,但卻是對資料可攜權的一次探討:
01.作為網際網路公司,在移植其他平臺內容時需要獲得使用者授權,但是獲取使用者授權的方式需要特別注意,最好能採用書面,電子或者郵件的方式留存證據,其實還可以採用在登入今日頭條時,可以增加一些選項,比如使用者同意移植微博內容等;
02.值得注意的是,第三方移植平臺內容範圍僅限使用者個人所上傳的內容,也即使用者原始內容。不得將該內容擴大到平臺的衍生資料;
03.《個人資訊保護法》的施行,是否可以在使用者協議中排除資料可攜權?筆者認為是不可以排除的,因為資料可攜權不僅作為資料主體的一項基本權利,同時也對資料流動、使用產生很重要的影響。
四、新興網際網路公司有關資料遷移的法律合規
在歐盟嚴格的個人資料保護的規定影響下,各國都開始注重對個人資料的保護。
但是越來越清晰地顯示,個人的原始資料的權屬屬於個人,個人享有資料可攜權,如果經過了網際網路平臺分析、處理後的衍生資料權屬歸於平臺。
這樣的權利劃分決定了資料可攜權的範圍,以及在出現類似爬蟲之後的責任承擔問題。
資料可攜權在我國司法中還處於發展初期,但是對於想利用該權利實現公司資料原始積累的新興網際網路企業,提前做好資料合規會走得更快。
1.對於資料可攜權範圍的把控,從少有的案例中初見端倪,資料的傳輸僅是使用者的原始資料,該原始資料應該是機器可讀的結構化資料。如果獲得的資料範圍過分擴大,可能會損害相關平臺的利益,從而引發糾紛。如果獲取的資料可能包含其他內容,比如平臺的衍生資料、第三人資料,這時應該取得相應授權。
2.對處理行為的限制。WP29(29條工作組)制定的《資料可攜權指南》中規定了對處理行為的限制,當處理行為是透過自動化方式進行的並且是基於資料主體的同意或基於資料主體為締約方的合同時,該行為才會被納入資料可攜權的範圍,我國對於資料處理方式並未做詳細規定。
3.從我國《個人資訊保護法》和歐盟的GDPR[2]來看,原則上經過資料主體同意,對於個人資料的傳輸是不區分敏感資訊和非敏感資訊均應該無障礙傳輸,但是均規定了例外情況:符合國家網信部門條件的,而歐盟更加精確到符合公共利益、不侵害他人權利以及受制於官方禁令。
4.雖然新興的網際網路公司降低了資料原始積累成本,但是並不因此降低其資料安全和管理的義務,因為由於資料的可遷移性,資料安全和管理必須在不同公司規模,不同安全性和風險管理能力的組織之間共享,因此考慮到個人資訊保護的嚴格性,所以應該從一開始就意識到資料安全管理的問題。
結語
新進入者無法向大型網際網路公司收集資料或購買資料時,資料收集可能會成為網際網路公司的行業進入壁壘,大型網際網路公司可能採取歧視性訪問、排他性合同甚至拒絕提供資料等措施達到市場集中化。
資料可攜權不僅賦予個人更多的控制權,同時也降低了個人在不同網路平臺的切換成本,降低了新興網際網路公司的資料積累成本。
大量的原始資料以及基於原始資料形成的衍生資料使得網際網路平臺獲得競爭優勢,為使用者提供更為個性化的服務和產品。
根據《個人資訊保護法》第四十五條規定的資料遷移權利,互相傳輸的僅是使用者提供的原始資料,因此,對於不同平臺而言,基於大資料、演算法等技術產生的衍生資料作為平臺的核心競爭,勢必會產生一種現象—使用者的原始資料逐漸共享,而對於演算法等技術更為私有,從而鞏固了具有資料優勢的平臺的市場力量。
[1] 《個人資訊保護法》第45條“個人請求將個人資訊轉移至其指定的個人資訊處理者,符合國家網信部門規定條件的,個人資訊處理者應當提供轉移的途徑”。
[2] GDPR第20條關於資料攜帶權的規定。
免責宣告:本文僅為分享、交流、學習之目的,不代表恆都律師事務所的法律意見或對法律的解讀,任何組織或個人均不應以本文全部或部分內容作為決策依據,因此造成的後果將由行為人自行負責。
