三知论坛实录 | 专题四:企业在数据权益保护方面遇到的问题及建议
知产力新媒体平台特对论坛嘉宾发言作了编辑整理,本期将继续分享第四个专题——“企业在数据权益保护方面遇到的问题及建议”。
前三期回顾:
本次专题由知产宝高级副总裁应向健担任主持人,由阿里巴巴集团法务总监詹巍、字节跳动法务部法律研究总监李颖、咪咕法律事务总经理助理顾文扬和奇虎360资深法律顾问王扬作为主讲人,围绕“企业在数据权益保护方面遇到的问题及建议”的主题展开,并结合企业实践中的经验为大家分享一些心得。北京阳光知识产权调解中心主任姚欢庆、杭州互联网法院互联网审判第二庭庭长沙丽作为与谈人参与到本话题讨论中。
企业在数据权益保护方面遇到的问题及建议
主讲人精彩发言
阿里巴巴集团法务总监詹巍围绕着“数据权益分配与竞争法规制”谈到了三个问题,一是行业对于数据的认识,二是数据权益如何配置比较合适,三是在没有权利法的前提下如何通过竞争法来规制。针对第一个问题,詹巍谈到,数据不同于信息,数据实际上是物理世界在网络空间的数字化记录,数据只是载体,数据所承载的信息才是真正有价值的东西。所以,数据的核心价值在于数据经过分析之后提炼出的信息,因此大数据的价值在于其相关性,是使用让数据具有了价值。
第二个问题是针对数据权益配置的一些思考,詹巍认为数据法有三个核心问题要解决,一是谁有权控制数据的载体及其权利到底是什么,二是谁有权利使用信息,以及在这个过程中哪些行为是被允许或禁止的,三是各相关的主体利益如何平衡,同时如何保障相关主体的合法权益。
詹巍从个人信息与隐私、数据的关系谈起,他认为从隐私到个人信息,再到数据,人格属性逐渐减弱而财产属性逐渐变强。所以在涉数据权益分配时,对于人格利益要给予绝对的保护,在此前提下对其财产属性,则应通过必要的机制来保障数据的流转,让个人信息保护和产业发展之间实现良好的平衡。詹巍认为,我们很难赋予单个原始数据绝对权,这是由数据的可复制和非排他等特性所决定的,数据可以无限被复制且不会被独占,同时不同利益主体间的相互利用关系又非常多样化,这都使得数据很难界权。所以,与其将数据权利赋予某一主体,不如在整个相互关系中来界定主体在数据占有、使用、流转的不同过程中应有的权益,梳理清楚后实现“各取所需”。
除此之外,由于数据的价值在于流动,如果将个人数据全部界权给个人,实际上是阻碍了数据要素的流动。所以詹巍认为,在保护个人数据主体的合法权益、人格利益优先于财产利益的大前提下,应该鼓励数据与算法的综合利用,尊重大数据开发者的权益,当然前提是开发者的数据来源和处理方式合法并且有实质性的投入。同时,詹巍认为不应该依赖知情同意的原则,因为现在很多企业虽然在前端收集数据时获得了用户的同意,但或许数据被收集后就做了其他的用途,用户掌握不了数据在后端的使用情况,因此知情同意无法解决多元主体下的数据治理问题,应该通过免责激励机制促进数据处理者提升合规水平。
最后一个问题是竞争法规制的问题。詹巍认为,竞争法关注的是交易机会的动态公平。以数据抓取行为为例,判断数据抓取行为是否正当,一是看手段是否正当,二是看是否违反了相关的行业惯例。詹巍认为,在移动互联网时代,robots协议并不能算作通行的行业惯例,因为它可能意味着认可平台可以以单方面的标准来抬高或降低整个数据流转的标准,这是不合理的。因此,第三还是要回归到市场机制,看是否对市场机制和竞争机制构成损害。最终所有问题的核心仍在于对市场机制的保障问题,如果其实质性损害了市场机制,就应认为其构成不正当竞争,不必然要达到“实质性替代”的程度。
接下来,字节跳动法务部法律研究总监李颖以“对企业数据权益保护的相关思考”为主题进行了分享。李颖认为,近年来随着大数据产业的发展,大家越来越重视数据的价值,数据相关纠纷也越来越多。数据的价值来源于流通和共享,如果大家各自为营搭建数据的壁垒高墙,使得数据不能有效地流通和使用,反而会损害整个互联网产业的发展。因此,当我们讨论如何设置规则时,需要明确制定规则的目的不是为了限制数据的自由流通,而是为了更好地服务于整个产业的良性发展,有助于提升社会的整体福利。通过梳理之前与数据相关的纠纷,李颖认为主要涉及以下几方面的问题。
一是数据持有方的权利基础。数据具有特殊性,权属较难界定。虽然数据是由用户创作的,但通常情况是先有平台,然后用户在平台上形成和沉淀数据,之后平台再进行收集聚合、整理加工。这种情况下可能涉及以下问题:用户、平台分别享有哪些权利?平台是否理所当然对所有依托平台产生的数据享有权益?平台享有权益的前提,是作出具有创造性的贡献,还是只考虑有投资即可?平台是否获得用户数据的全部权利,用户仍然保有哪些数据权利?这些问题值得讨论。
二是数据获取和使用的方式。相关数据可能是经过用户、平台授权后获取的,也可能是通过爬虫或其他方式来获取的。获取和适用的方式不同会产生不同的法律效果。因此数据的获取和使用方式需要被更加精细化区分,然后再进行法律评价,不然可能会造成某个原则因适用范围过大或不当,而造成某些情况下个案的误伤。
三是要综合考虑各方利益的平衡。数据具有特殊性,流通和分享是常态,限制反而可能是例外,如果过于考虑一方利益的保护,可能反而会阻碍数据的流通,违背立法本意。尤其是互联网行业存在赢者通吃的效应,如过于保护一方利益,可能造成遏制合法竞争和阻碍行业发展的后果。在考虑多方利益平衡时,需要对不同场景下的具体问题进行通盘考虑。实践中,很多用户不愿只使用一个平台而愿意多端分发,以便自己的作品、数据得以更广泛、快速地传播。那么,用户是否有权授权其他平台使用、抓取自己在其他平台上产生的数据?其他平台有了授权后进行特定抓取是否构成不正当竞争?在微信群控案中,法官认为区分了平台数据的两种形态,数据资源整体和单一数据个体,认为平台对二者享有的数据权益是不同的。原始数据只是用户信息转换成了电子符号,平台作为采集方虽然付出了劳动,但没有创造性成果,故只能依据用户的授权享有原始数据的有限使用权,而不能过分强调平台对原始数据的控制权,否则会阻碍网络用户信息权益的实现,造成权利义务关系失衡,并窒碍数据信息的流通。在小葫芦案中,法院也采用了区分单一用户数据和平台数字资源整体的做法。
因此,我们应当思考如何更加有效地促进数据的使用和分享,通过立法、司法和行业的交流进一步达成共识,明确数据权属和使用规则,推进数据可携带权的落地,规范平台之间的数据竞争。
随后,咪咕法律事务总经理助理顾文扬谈到了自己对于数据和数据使用的几点认识。顾文扬认为,从产业监管上看,从2017年开始国家对于数据已经有了系统性的指导,习近平总书记在《网络强国论述摘编》中指出,网上舆论工作要作为宣传工作的重中之重来抓。要坚决筑牢国家网络安全屏障,树立正确的网络安全观,落实网络安全工作责任制。所以,数据首先是国家网络安全问题。同时,国家在保证安全的基础上鼓励数字经济发展,十三届全国人大四次会议发布的十四五经济发展纲要的第五篇提出,加快数字化发展,建设数字中国,营造良好的数字生态,明确提出了要健全共享经济平台等。国务院批准印发的十四五数字经济发展纲要的京津冀发展规划中,也提出数字经济已经为社会经济持续健康发展提供了强大动力。
数字经济的发展已经是现实,当面对数据是什么以及怎么发挥数字经济的重要作用的时候,我们首先要看到,数据不再是新事物,从电子计算机被发明之时就已经有数据出现,21世纪进入大数据时代,这是一个数据可以被即时大量处理产生实际效果的时代。数据本身就是计算机用于记录客观事件的可鉴别的符号,个别的个人信息或单个数据是没有价值的,很多数据组成的数据资产才值得去保护。数据资产也不是新事物,过去信息是小规模的,一两台电脑可以完成处理,而到了大数据时代,其处理方式可以是全球数个机房、多个主机集群分布式处理并集成结果,生产力水平已经与20世纪大不相同,换言之,技术发展推动信息资产进入数字时代,从而产生了“数据知产”这一新的概念。
顾文扬认为,数据资产应归类为物权,因为数据资产归根结底还是数据集,有其物理属性和信息属性。信息属性是指数据资产可以被解读,因此是一个可以经过处理、可以用于生产生活的有价值的物。数据资产的物理属性是说,它可以存在于某一个网络空间中,但也可以灭失,它是可以被抹掉、被消除的,所以今天谈到的数据资产是有形的,它的可存储可读取说明数据有物理属性的,是有形财产。而数据资产的所有权归于生产处理数据的主体,他们将数据整理出来,再复制,并用于下一个阶段的生产活动,他们拥有这些数据资产的所有者权益。所以当我们讨论数据资产的时候,实际上说的不是原始数据,也不是个人信息,而是作为数据资产的数据集,它可能被盗、可能灭失、可能被他人侵权,并有纠纷和诉讼产生。所以,法律研究应当从两个层次来着手,第一个层次是原始数据,有可能附随个人,涉及个人信息保护,涉及人身权;第二个层次是数据资产,纯粹的生产资料。
顾文扬认为,从社会上获得的东西也应该用来回馈社会,任何一个大的平台收集数据的范围都极为广泛,而且再整理能力也更强,那么其应该将这些数据资产的权益反哺于社会,这是其社会责任,否则有可能阻碍社会经济的发展,所以数据被分享和使用是每一个大平台企业的义务。
奇虎360资深法律顾问王扬以“立法视角下完善企业数据的范围和使用”为主题分享了自己的看法。王扬认为,发扬数字经济必须充分挖掘数据的价值,促进数据流通已经成为社会各界的共识,过分强调平台数据权益保护带来数据孤岛的隐忧,也频频引发相关的争议,如何在数据控制和分享之间划出合理的边界,已经成为理论和司法实践高度关注的一个问题。
首先,应当细化立法,理清边界问题。在司法实践中,关于数据权属问题产生的争议基本上是以反不正当竞争法的第2条和第12条这些兜底条款作为裁判的依据,基本上遵循了经营者权益受竞争行为损害即构成不正当竞争行为的审理思路。关于企业享有数据权益的边界问题,目前比较大的共识还是平台企业通过合法渠道取得,且经过深度加工的数据应当由平台享有权利。而来源于用户的、没有经过平台深度加工的或者公开的数据的权益边界问题,在司法实践中的认定其实还有所不同。随着企业数据安全、个人数据安全在经济领域中不断被重视,也可以在立法领域对企业数据进行法律上的分类保护。
其次是关于数据获取的手段和判断标准的问题。事实上,善意和适当的网络爬虫抓取行为,是符合互联网共享和开放的开发者精神的,个人访问行为从逻辑和常理上被认定为正常合法的一种访问形式,那么爬虫和个人访问是否要在立法上区别对待以及如何规范爬虫的行为,或许是未来立法上的一个需要考量的环节。目前司法实践中,其实对于爬虫和个人访问行为是否应予区分有着不同的观点,有些法院认为网络爬虫虽然是自动抓取网络数据的程序和脚本,但是其行为本质上与个人访问是相同的,只是行为的方式有所不同。在没有合理理由的情况下,平台不应当对网络爬虫等通过自动化程序获取公开数据的行为区别对待。而有些法院则认为,爬虫会给数据平台服务器的正当运行带来额外的负担,加大运营成本,这是认定爬虫不正当的重要因素之一。王扬认为,立法方面仍应该充分考虑网络爬虫程序在客观上对于互联网行业的积极作用,司法方面有不同的认定主要是因为司法机构对该行为的考量没有立法的依据,因此只能从感知或主观上进行合理性的判断。所以在立法上可以考虑将爬虫行为分类,当然这种分类从立法技术层面不适宜采取详细列举的方式,可以采用原则性条款进行描述。
第三是关于平台使用robots协议的问题。其实就是对一个限制条款的正当性进行评价,在司法实践中对于数据使用正当性的判断,robots协议的限制和robots协议条款的正当性是一个重要的考量因素。而部分法院在司法实践中对于个案认定的不同,主要原因在于反不正当竞争法作为行为法只能针对涉案具体行为的正当性做出评价,无法脱离具体情形来论证某一行为是否正当。因此仍应当对数据使用的正当性进行立法性的规范,当然也可以采用原则性条款或者是采用负面清单的形式。同时,如果robots协议目前作为信息网络行业的行业惯例或者行业公约,可能被法院认定为商业道德,但协议限制爬虫行为也应有正当的理由,否则可能构成歧视使其本身具有不正性,也是需要考量的一个焦点。
与谈人精彩发言
北京市阳光知识产权调解中心主任姚欢庆认为,我们对于数据保护的理解一定要考虑数据本身的特性,实际上在数据保护方面存在多维度的问题。
第一是主体上的多维度,在整个数据产生和流转的过程中,不只是涉及企业或者个人的权益,而是个人利用了企业的特定软件,无数的主体在平台上相互结合,共同完成了数据产生的过程,因此在这个过程中不能单纯地说某一方单独拥有数据。
第二是数据内容的多维度。数据中可能存在着著作权、个人信息、个人隐私等不同的内容,在这种情况下,我们对一个多维度的内容进行界权,成本是很高的,姚欢庆认为,这里更应该采取界定边界的思路,而不是界定权利。在实践中,很多情况下是采取场景化的处理,不是界定某个具体的权利,而是界定在特定情形下正当或不正当的边界在哪里。这里要明确的是,我们现在更多地可能要区分界权跟赋权的区别,赋权就相当于我们赋予了它一种全新的权利。因为数据本身包含着著作权、个人隐私等权利内容,如果进行界权,它并没有赋予新的权利,而只是在数据保护上考虑已经存在着的权利边界如何划分,考虑在其余的部分中,数据到底有什么样的权利。
第三是在信息利用上的多维度问题。商业主体在数据利用上是有无限可能性的,简单地用知情同意规则来解决问题是一件很困难的事情,从这个角度来讲,即便未来真的要采取赋权的模式,实际上也是非常困难的。
第四是在权利性质上的多维度问题,同一个数据,有可能会存在个人隐私等人格权的内容,也可能存在纯粹的财产性利益。
我们只有认识到这些多维度的存在,在进行边界赋权等处理的时候,才能从多角度出发考虑问题。实际上,并不是所有的新知识在知识产权下都能得到产权保护,更何况数据本身并不当然具有新知识的特点,很多情况下有独创性或者新颖性的数据也在数据的保护范围之内,因此对于数据是否应被产权保护应该打问号。同时,哪怕是新知识受到产权保护,我们也有合理使用制度、强制许可制度等保障知识传播和排他性使用之间的平衡。再回过头来考虑数据的利用,即使企业拥有了这部分数据,是否当然地拥有了绝对的排他性权利?这也需要打一个问号。实际上我们的目的就是要在数据流通和个人信息权保护、个人隐私权保护、企业数据的合法财产权益保护之间形成一种平衡。
杭州互联网法院互联网审判第二庭庭长沙丽认为,数据作为数字经济中一种新型的重要的生产要素,它不同于传统意义上的有形资源,其内在结构的复杂性、产出功能的多样性、相关主体利益关系的交织性等特点,导致企业数据保护存在着多重法律难点问题。对于司法实践而言,企业数据保护只能在现行法律架构内寻找相对合乎逻辑的一种保护路径。沙丽认为,企业数据权益保护面临着两方面的冲突,第一个方面是数据收集,企业数据收集与信息提供者之间的权利冲突。第二个方面是企业与第三方之间的权利冲突,数据的流通和共享已经成为一个基本共识,应当允许其他企业一定程度地抓取和利用。
通过结合司法审判实践中的经验,沙丽梳理了典型案例中不同数据权益的归属和权利边界的界定问题。具体而言,首先是明确了价值贡献应当作为数据权益归属的主要判断路径,因为企业数据权益保护的是有价值的数据的控制权。从数据产生、收集与利用的过程来看,数据价值链的物理构成分为用户信息、原始数据、原始数据的聚合以及大数据产品四个节点,法院在审判实践中通过结合四个节点的价值贡献分析,明晰了网络企业对于其所控制的信息有不同形式的数据权益,以便采取分类保护的模式。
在既往判例中,裁判观点实质上否定了企业对其所控制的原始数据的绝对控制权,同时也明确了企业对于数据资源整体享有的相对控制权。同时反法视野下正当性判断的主要基点是诚实信用原则与商业道德,它们在不同的时代有不同的价值判断,而开放、共享、效率的价值取向与数字经济的基本特点,决定了数据抓取行为不能以是否未经许可而搭便车就一票否决,而应当综合考虑是否有利于维护公平的市场竞争秩序,是否有利于消费者的福利,是否有利于社会公共利益等方面,来进行综合评价。
最后,沙丽强调企业的数据不是不可以爬取,但是要符合最少必要的原则,规模化或者非必要的抓取数据应当获得数据控制者的授权,同时还应该符合有效率的原则,这个效率在于提升消费者的用户体验,而非简单抄袭的同时提供同质化的服务,并且采用的技术手段也不得破坏和妨碍数据控制者合法提供的网络产品或服务的正常运行。
(图片来源 | 网络)
