第三方数据延迟取不了 魏立舟|公交车实时位置数据的保护——“酷米客”诉“车来了”不正当竞争纠纷案
专业出黑
本文载于《数字法学判例百选》,法律出版社2024年版。
作者:魏立舟,浙江大学光华法学院助理教授、知识产权与竞争法研究中心秘书长。
案件信息:广东省深圳市中级人民法院(2017)粤 03 民初 822 号民事判决书。
目 录
一、事实概要
二、裁判要旨
三、评析
Ⅰ 本判决的思路和意义
Ⅱ 企业数据保护的规范及学理
Ⅲ 对本案的思考和检讨
四、参考文献
一、事实概要
自2013年6月起,原告谷米公司发布并运营一款名为“酷米客”的公交实时位置查询APP。该APP的运行需要用到大量的公交汽车实时位置数据。为此,原告通过与深圳公交公司的合作,在公交车辆上安装了**定位,对相关数据进行收集。需要注意的是,上述数据不仅被用于“酷米客”APP的运营,按照约定还被提供给深圳市交委,并由深圳市交委进一步开放给包括被告元光公司(“车来了”APP的运营商)在内的多个公司使用。与原告的“酷米客”APP相比,从深圳市交委接口获得的数据存在大约一分钟的延迟。为提高数据的及时性和准确性,被告元光公司破解了原告的服务器,在未获允许的情况下将原告从定位器上直接获取并用于原告“酷米客”APP的数据用在了被告自己“车来了”的APP上。原告因此向深圳市中院提起诉讼,主张被告的行为构成不正当竞争。
二、裁判要旨
原告胜诉,法院判决被告向原告赔偿经济损失及合理维权费用50万元。
被告元光公司未经许可,利用网络爬虫技术大量获取并且无偿使用原告谷米公司“酷米客”软件的实时公交信息数据的行为,实为一种“不劳而获”、“食人而肥”的行为,具有非法占用他人无形财产权益的不正当目的,谋取该软件在实时公交信息查询软件中的竞争优势,谷米公司的上述行为违反了诚实信用原则和公认的商业道德,根据《反不正当竞争法》(1993)第二条,构成不正当竞争行为。
被告元光公司侵权行为的发生与谷米公司是否向深圳市交委提交数据,以及是否故意提交延时数据的行为之间并不具有因果关系,并不符合《侵权责任法》第二十六条所规定的的“过失相抵”情形的适用条件。因此,对于元光公司以谷米公司亦存在过错为由减轻其侵权责任的抗辩主张,本院不予采纳。
三、评析
Ⅰ/ 本判决的思路和意义
大数据带来的信息风暴正在变革我们的生活、工作和思维,开启了重大的时代转型。在这个时代背景下,数据(更准确地说数据集合)正日益显现其独立的商业价值,被视为一种新型生产要素。依据收集和控制数据的主体不同,数据可分为政府数据(或称公共数据)和企业数据两大类。近年来,司法实践中引发广泛关注和讨论的主要是企业数据纠纷类案件。
借鉴世界经济论坛的报告,我们可以将企业所控制的数据按其所产生的方式分为三类:(一)自供数据( Data),该类数据包括用户上传或平台自创的信息,一般都处于公开状态,典型的如大众点评网上的用户点评信息、抖音短视频等;(二)观测数据( Data),该类数据包括互联网观测数据,即互联网平台自动**用户行为所产生的数据,例如用户的消费、搜索、行动轨迹、好友关系等数据,也包括物联网观测数据,即物联网(IoT)概念下通过传感器等装置与车辆、机器、家电等硬件设备连接所采集到的信息;(三)衍生数据( Data),指在前两类数据基础上经过算法分析而得出的数据。在众多企业数据纠纷中,第三方未经许可爬取自供数据或者互联网观测数据所引发的纠纷最为常见,有关衍生数据的纠纷也有典型案例[淘宝诉美景案,杭州市中级人民法院(2018)浙01民终7312号民事判决书]。但物联网观测数据引发的纠纷却并不多见,本案作为该类纠纷的典型案例,值得特别关注。
本判决成案时间较早,当时业界对如何处理企业数据纠纷的探讨尚处于起步阶段,并未完全形成共识。在数据集合无法作为传统知识产权客体进行保护,立法上又没有其他特别法为之提供设权保护的情况下,法院利用《不反正当竞争法》一般条款对竞争者之间的冲突进行裁判,通过认定第三人未经许可进行数据爬取系“不劳而获”、“食人而肥”的不正当行为,为企业在数据收集上付出的投资利益提供了保护。
Ⅱ/ 企业数据保护的规范及学理
企业数据纠纷类一般指第三人未经许可抓取、利用由私主体(一般为平台或物联网企业)所收集、控制的数据集合。该类案件涉及的法律关系比较复杂,在分析时需要特别注意如下几点:
1. 企业数据权益的保护对象是数据集合而非数据个体
平台或物联网企业作为数据的收集者或控制者,在数据的收集和存储上付出了实质性投资。为了保护企业在这方面的投资利益,因此应当禁止其他竞争者不劳而获地爬取、利用这些数据,此即企业数据保护的正当性所在。从该正当性论证出发,保护规则的界定以能够让企业的投资利益免于遭受实质损害为标准,因此企业数据保护应着眼于禁止他人盗用整个数据集合的全部或实质部分,但对于盗用数据个体( level data)的行为并不在企业数据权益保护议题的涵射之内。简言之,企业数据权益的保护对象是数据集合( data),而不是个体数据[微信诉聚客通案,杭州互联网法院(2019)浙8601民初1987号民事判决书]。
对于他人盗用少量数据条目,涉及到对数据个体的保护问题,后者在违法性判断上应结合相关数据的内容进行具体判断。比如,若相关被盗用的数据涉及《著作权法》意义上的作品(如大众点评网上用户的点评和照片信息),那么就应该按照《著作权法》进行评价;如果被复制使用的数据涉及《个人信息保护法》意义上的个人信息(如求职网站上的个人简历),那么就按《个人信息保护法》进行处理。如果相关数据属于匿名化的信息或者是落入共有领域的单独数据或事实类信息,那么对这种个体数据进行利用本身并不具有违法性。
2. 探讨企业数据权益的保护,需要注意既有立法的保护可能和边界
企业对数据的控制和利用方式具有多样性,一般来说,存在完全公开(如大众点评网上的商家点评)、附条件公开(如付费后可共享数据)或者置于完全不公开状态独占使用(如大型物联网公司一般会倾向于独占使用相关数据)这三种样态。在司法实践中,存在通过商业秘密保护的方式(《反不正当竞争法》第9条)对企业数据进行保护的例子。例如,在衢州万联网络技术有限公司诉周慧民等侵害商业秘密纠纷案中[上海市高级人民法院(2011)沪高民三(知)终字第100号民事判决书],法院认为原告网站数据库中用保密措施存储的50多万条用户信息满足了秘密性、保密性和价值性三个要求,因此可以作为商业秘密受到保护。当然,商业秘密保护具有其自身局限,其仅能对不公开型数据集合提供有限保护,不能保护完全公开型数据集合。关于附条件公开型数据集合,例如企业向第三方应用开放API接口,通过差别化公开、限定公开的方式向不特定主体提供数据共享的情形,商业秘密保护是否可以适用存在一定争议。本文认为,因为可获取数据的对象具有不特定性,所以难以满足商业秘密中“秘密性”的要求。综上,商业秘密保护可以为企业数据提供一定保护,但无法满足全部应用场景。
此外,企业对数据的占有和控制主要通过设置访问控制等技术手段从代码层面来限制或排除他人对数据获取和利用的可能。需要注意的是,这种情况并非只在附条件公开或者完全不公开类的数据集合中如此,在选择将数据完全公开的情景下,企业对数据也并非全然不设防。在保障用户可以访问数据的基础上,企业一般仍会通过协议、真人校验机制、限制访问频率等手段来禁止网络爬虫的大规模爬取。因此,他人未经许可盗用企业数据集合大多数情况下必然伴随着绕开或破坏技术措施行为的产生。针对绕开或破坏技术措施的行为,我国现行《著作权法》第49条第2款和第53条第1款将其定性为侵权行为。但是,《著作权法》对技术措施提供法律保护的前提必须是被技术措施保护的对象为作品、表演或者录音录像制品,然而一般的数据集合(特别是大数据应用中非结构化的数据库)难以达到作品的独创性标准,又显然不属于表演或录音录像制品,因此《著作权法》中的技术措施保护难以适用于企业数据纠纷。对于突破数据防护措施,绕过反爬虫系统,未经许可抓取并利用数据的行为,在司法实践中有通过《反不正当竞争法》第12条第4项,将其认定为“妨碍、破坏经营者合法提供的网络产品或者服务正常运行”的不正当竞争行为[抖音诉六界(小葫芦)案,浙江省杭州市余杭区人民法院(2021)浙0110民初2914号民事判决书]。但因为该条款是一个一般条款,因此在适用中存在不确定性,特别是绕开或者破坏公开类数据集合的技术保护措施,是否也能适用此条,存在一定争议。
在上述两种既有法律制度从“外在角度”无法为企业数据提供保护的情况下,我们可以从企业数据集合自身价值的“内在角度”寻求制度保护。换句话说,即使企业允许自由访问其所收集占有的数据资源,但当第三方未经许可大规模爬取利用数据,侵害数据收集者在数据收集上付出的实质性投资时,法律也应当进行干预。欧盟《数据库保护指令》中所规定的数据库特殊权利就是为保护相关主体在收集、订正、展示数据上所付出的投资利益而创设的一种权利保护制度,排除他人对数据库整体及其实质部分的提取和再利用。但鉴于我国目前尚不存在类似欧盟数据库特殊权利那样的对数据集合提供赋权保护的制度,所以实践中主要依据《反不正当竞争法》一般条款(第2条)从行为规制的角度对企业数据权益提供保护。在说理时,法院一般多承认企业在数据集合上具有值得保护的合法利益,然后以“不劳而获”、“食人而肥”等商业道德作为评价标准,从而通过禁止他人盗用数据集合的行为规制路径,确立企业事实上的“数据财产权”。
3. 企业数据权益保护中的利益平衡
数据经济立法的目的具有多元性,一方面旨在激励企业在数据收集和控制上的投资,另一方面也要求促进数据在不同主体之间的交易和共享,以实现数据价值的最大化。因此,在具体规则的表达上,需要注意企业数据权益保护与使用者共享数据之间的平衡。根据我国目前的司法实践,企业数据纠纷的裁判结果大多有利于数据控制者一方,而对数据使用者利益关照不足。这个问题在物联网数据应用场景中尤其突出,企业利用技术措施对数据进行独占使用,拒绝将数据与他人进行共享,有碍社会福利的最大化。欧盟有学者对此主张应该为数据利用者一方建构一套可及权( right)制度(Josef Drexl, for Data– and , ,2016),以促进数据交易和共享。该动议目前已经进入了立法实质推进阶段。
我国虽然尚未有专门立法,但可以利用《反不正当竞争法》一般条款在适用上的灵活性,将利益平衡纳入考量,给数据的共享和使用开放一定空间。例如,在《个人信息保护法》引入个人信息可携带权的规定后,个人用户在一定条件下可以要求数据处理者将其个人信息转移至另一数据处理者。然而,依据之前北京知识产权法院在某浪诉脉脉案中提出的“三重授权”标准,如果第三方经用户授权进行数据迁移,仍然要获得平台许可。这一规定与旨在打破数据锁定效应的可携权规则并不兼容。因此,如果第三方对相关用户数据的迁移和利用是在用户授权的前提下进行的,法院不应该以未获原平台许可为理由来认定该数据迁移利用的行为构成不正当竞争行为[前景诉逸橙案,上海知识产权法院(2019)沪73民终263号民事判决书]。
Ⅲ/ 对本案的思考和检讨
作为企业数据纠纷的早期案例,本判决通过《反不正当竞争法》的一般条款从行为规制的角度为企业数据提供了保护,给企业在数据收集上进行投资提供了制度激励,此点值得充分肯定。但另一方面,本案在法律适用方面也存在需要进一步思考或者检讨之处。
1. 企业数据类纠纷民事责任规范基础的再思考
本纠纷中被告在数据抓取的过程中,使用了伪造绕过服务器的身份校验,伪造UA及IP绕过服务器的访问频率限制等规避或突破计算机系统保护措施的手段获取数据,构成故意破坏或绕开计算机技术保护措施的行为。从民事责任的视角观察,除了《著作权法》对绕开、破坏旨在保护作品、表演和录像制品的技术措施认定为侵权行为外,尚没有其他法律直接规定此种行为构成侵权。修改后的《反不正当竞争法》也仅在互联网专条的兜底条款中笼统规定“妨碍、破坏经营者合法提供的网络产品或者服务正常运行”构成不正当竞争行为,该条款是否就第三人破坏数据保护的技术措施民事责任,尚存在争议。可以说,我国民事法律在一般性技术措施保护的规定上存在立法空白。这也解释了为什么本案中法院不去讨论被告对技术措施破坏的问题,而是转向《反不正当竞争法》一般条款,从数据集合的实质价值被盗用的角度入手来主张相应的民事责任。
其实,从法教义学的角度来看,本案中原告向被告主张民事救济其实有更优的请求权基础。有关本案所涉纠纷,南山区法院在另外的刑事判决中认定“车来了”作为单位犯构成非法获取计算机信息系统罪,对相关人员也进行了追责。在这样的情况下,原告其实可以通过侵权法一般条款(《民法典》第1165条)来主张民事救济。虽然我国侵权立法中并没有明文规定类似《德国民法典》第823条第2款违反保护他人法律的侵权责任,但通说均认可我国侵权法一般条款所保护的民事权益包括了保护他人法律反射形成的权益。换句话说,如果一项行为违反保护他人的公法规定或者刑事法律,那么自然也构成民事上的侵权行为。非法获取计算机信息系统罪直接涉及对计算机主体法益的保护,属于保护他人的法律,因此本文认为通过该条刑法规范与侵权法一般条款的联用,可以填补我国民事立法在一般性技术措施保护规定上的缺位。
2. 单一来源数据保护规则特殊化问题
在适用《反不正当竞争法》一般条款处理企业数据纠纷时,不仅需要考虑对数据收集者投资利益的保护,也要考虑到社会公共利益,比如建立良好运作和竞争性的市场、促进数据投资和创新的目标等(Josef Drexl,Data and in the Era of :Study on the , Dec.2018)因此,涉案数据是否属于单一来源数据需要在法律适用时被纳入考量,而本案判决中对此因素的关注不足。
所谓单一来源数据是指其他竞争者无法独立创建、搜集或从其他来源获得的数据。因为单一来源数据具有稀缺性,该类数据的收集者可以通过拒绝或者限制数据交易而排除相关市场竞争,因此需要对该类数据集合的保护施加一定的限制。举例来说,如果赛马比赛的组织者就赛程、比赛结果、马匹信息等信息制作了一个数据库,该数据库中的信息因为完全只由该组织者掌握,构成单一来源数据;如果对该数据库提供完全保护,那么数据库权利人拒绝许可就可能产生对二级市场的限制问题(具体案例请参见CJEU,09.11.2004, Case C-203/02, BHB v. Hill Ltd.)。针对这种情况,欧盟法院的做法是不将其纳入数据库特殊权利的保护范围内。其实,早在《欧盟数据库指令》的制定之初,对此问题就有讨论,该指令92年版草案曾规定对由单一来源数据组成的数据库应以“公平和无歧视”的条款进行强制许可,并规定了仲裁机制。
在本案中,需要关注的是“酷米客”所控制的深圳公交行驶数据是否是单一来源数据。从判决文本来看,我们并不清楚“酷米客”公司与深圳公交公司签订的《**设备安装协议》是否是独家协议。如果说协议约定,只允许“酷米客”在公交车上安装**设备获取公交车行驶数据,那么涉案数据就构成单一来源数据。在该假设情况成立的基础上,本案中“酷米客”曾拒绝被告“车来了”要求许可数据的请求,因此存在排除市场竞争的隐忧。将单一来源数据这一因素纳入考虑,那么最妥当的纠纷处理方式可能就不再是对“酷米客”的企业数据权益提供完全的保护,在承认其权益的基础上,允许“车来了”等其他竞争者在支付合理的许可费后继续使用相关数据,可能是一种对社会整体福利来说更优的选择。
四、参考文献
Josef Drexl, for Data – and , ,2016.
崔国斌:《大数据有限排他权的基础理论》,载《法学研究》2019年第5期。
张浩然:《论信息私力控制与法律保护》,法律出版社2023年版。
