解正山：个人信息保护法背景下的数据抓取侵权救济

  摘要：无论是个人信息还是企业数据，受法律保护是各方共识。不法地抓取或滥用数据，不仅侵害数据控制者的数据权益，还将侵害信息主体的隐私与个人信息权益。实务中，被侵权的数据企业有权要求与之有竞争关系的数据抓取者承担反不正当竞争法意义上的侵权责任。此种保护路径无法为与侵权行为人无竞争关系的信息主体等当事人提供保护。鉴此，要求违反特定数据义务的数据抓取者或数据控制者承担民法上的侵权责任不失为一种有效的补充或替代。此外，由于数据侵权损害多为无形损害，故实务中应从宽认定，以降低受害人获得侵权救济的门槛。

   关键词：个人信息；企业数据；数据抓取；数据侵权；个人信息保护法

　　（一）数据抓取竞争法规制的司法实践考察

　　早期数据纠纷中，法院通常根据《反不正当竞争法》第9条“商业秘密条款”保护企业数据。数据时代，多方共享的数据，尤其是源自个人的数据，已很难满足商业秘密所要求的保护对象应具私密性与商业价值且已采取保密措施等特定要求。因缺乏独创性，企业收集的个人信息等原始数据也难以获得著作权法的保护。鉴此，援引《反不正当竞争法》第2条“一般条款”或第12条“网络不正当竞争条款”阻止第三方抓取或滥用数据成为很多数据控制者的重要选择。

　　概言之，现有司法实践主要围绕以下争议焦点展开：一是判断涉案数据是否具有商业价值以及能否给原告带来竞争优势，焦点在于涉案数据是否构成竞争法意义上的财产权益；二是根据上述“一般条款”或“网络不正当竞争条款”，对数据抓取及使用行为正当性或合法性进行判断，据以裁断被诉行为是否构成侵权。此外，数据抓取者与数据控制者之间是否存在竞争关系也是司法审查的重要内容。

　　对于第一个问题，法院普遍认为，涉诉的被抓取数据的本质内容是“信息”而非电子载体本身，它们具有商业价值，数据控制者对此享有竞争法意义上的财产权益。“腾讯诉抖音案”中，法院即认为：“用户信息已成为互联网经营者特别是社交网络平台的核心财富和重要的竞争资源……在保证用户隐私权等合法权益不被侵害前提下，对基于自身经营活动收集并进行商业性使用的用户数据整体享有合法权益。”“淘宝诉美景案”中，法院则进一步强调深度加工并经脱敏处理而成的具有统计、预测等意义的衍生数据产品具有独立的财产性权益，但性质上，其只是一项独立的“竞争性财产权益”，既非知识产权意义上的“网络数据库”权利，也非民法意义上绝对的“数据财产权”。

　　对于第二个问题，法院多从以下角度对抓取行为侵权与否进行判断：一是抓取行为是否获得授权以及是否超范围使用或不当使用抓取的数据；二是涉案数据是公开还是非公开数据。关于数据是否须经授权才能抓取的问题，典型案例当属“新浪微博诉脉脉案”。该案二审法院首创与数据获取有关的“三重授权”原则，即“‘用户授权’+‘平台授权’+‘用户授权’”，意指数据控制者直接获取用户信息时应取得其同意，数据抓取者间接获取上述信息时，不仅应获得数据控制者授权，还应告知用户其使用目的、方式和范围，再次取得用户同意。若违反该原则，即可能被认定为违反商业道德，从而构成不正当竞争法意义上的侵权行为。实践表明，抓取数据后如何使用同样关系到行为是否合法或正当。“大众点评诉百度案”中，法院认为，被告虽经授权而抓取原告网站上用户点评信息，但其后续使用行为仍被认为违背了商业道德与诚信原则，因为被告通过搜索技术大量抓取并全文展示来自原告网站点评信息行为超过了必要限度，其欲实现提升消费者体验与丰富消费者选择等积极效果与给原告所造成的损失并不符合利益平衡原则。“腾讯诉抖音案”中，法院则把被告超出原初使用目的与范围的行为定性为不具合法性与正当性，因为该行为不仅违反平台间约定、损害数据控制者合法的数据权益，而且侵害信息主体的选择权、知情权与隐私权，并对竞争秩序造成了不良影响。

　　（二）数据抓取现有司法实践的评价与反思

　　现有实践关于数据权属以及抓取行为定性的裁判推理具有一定的规范意义与理论价值。

　　其次，法院开始将涉案数据区分为公开与非公开两种类型，并据此对抓取行为进行定性。通常，公开数据无需授权即可获得，数据控制者对他人抓取行为负有一定的容忍义务。这是因为，数据已成为一种重要的经济资源，为促进数据产业发展乃至社会进步，应摆脱数据独占理念进而为更多人利用数据提供机会。否则，将有碍“以公益研究或其他有益用途为目的的数据运用，且有违互联网互联互通之精神”。但作为限制，即便是公开数据，抓取手段也应合法正当且抓取数据的数量、规模以及后续利用不得妨碍数据控制者的经营活动，尤其不得对其互联网服务构成实质性替代，亦不得对信息主体构成重大影响。限制原因在于：一方面，数据控制者对这些数据仍享有值得保护的竞争性利益等合法权益；另一方面，即便是已公开的个人数据，也不意味着信息主体完全让渡或丧失了某些权利。如果连公开数据都受到一定程度保护，更不用说非公开数据了，它们更关乎“平台商业策略的实现，数据安全的维护以及用户隐私的保护”。因此，对于非公开数据—通过登录规则或其他措施设置了访问权限的数据，尤需必要的授权才可访问或抓取，否则，不仅应承担侵权责任，还可能承担刑事责任。

　　不可否认，反不正当竞争法上的保护不失为一种现实策略，其有助于减轻“司法机关在知识产权法或物权法上进行论证的压力和任务”，也部分回应了《数据安全法》第7条关于“国家保护个人、组织与数据有关的权益”这一立法精神。只是，“借助‘一般条款’对于反不正当竞争法的扩用，本质上未超出反不正当竞争的功能框架”，无法“回应企业数据如何获得充分保护的问题”，更难“满足日益多样的现实纠纷化解需要”。具体而言，现有反不正当竞争法上的保护策略存在以下不足：其一，关于企业对数据享有“竞争性财产权益”的司法认定只是权宜之计，此种权益实被“降格为一种受法律保护的纯粹经济利益”。并且，竞争法上的救济主要针对“特定类型的市场失灵行为”，其“并不直接关注数据本身的财产权地位”，故“无法积极主动地促进数据要素市场发展，无法满足数据流转的独立权利机能之需要”，而当涉诉双方不具有商业上竞争关系时，反不正当竞争法上的数据保护策略则将失效。其二，表面上，数据抓取者抓取的是企业数据，但这些数据的源头是大量的个人信息。这也意味着抓取及后续使用等行为势必牵涉个人信息权益保护问题。大规模的数据抓取不仅遭到被抓取网站的反制，而且已引发网络用户强烈的隐私担忧。现有实践多通过反不正当竞争法化解企业因抓取行为导致的纠纷，信息主体权益保护问题被忽略了。因此，还需在反不正当竞争法之外考虑对数据进行定性并据此向数据侵权受害人提供救济。

　　综上，反不正当竞争法上的侵权救济具有内在的局限性。鉴此，民法上的侵权救济可成为有力的补充或有效替代。毕竟，即使不把企业数据视为具有对世性的财产所有权，但至少也可将其归入“民事权益”范畴。根据《民法典》第1164条规定，“民事权益”正是侵权责任法保护的对象。若从控制或用益视角看待未经处理的原始数据以及加工处理后的衍生数据，那么，可将它们视为新型“数据权利”的客体，此时，采侵权保护策略不失为一种有效的救济途径，且具有更强的权益宣导功能。企业数据如此，个人信息更不例外。不过，作为对行为自由受限担忧的回应，关于数据的侵权救济得依法定的数据义务或特定的保护性法律为核心展开，数据处理行为若与此相悖，将构成违反法定义务或保护性法律的侵权行为。

　　（一）民法视角下的企业数据权利与个人信息权益

　　学理上，不少学者主张应承认企业对其“合法收集的包括个人数据在内的全部数据享有支配的权利”，性质上，它是一种有别于人格权、物权、债权、知识产权等现有权利类型的“新型财产权”；形态上，可包括数据经营权和数据资产权。“准财产权说”也认为，应“在数据之上创建具备有限排他性的准财产权，使数据控制者得以据此对抗特定类别主体和特定类别行为”。比较而言，多受诟病的则是“知识产权说”。质疑者认为，数据库与知识产权法律难以为数据权利划定边界。上述理论主张虽有不同，但基本共识是数据应受法律保护。而且，越来越多的学者认为，数据控制者对其持有的数据仅享有“相对的权利”，行权时仍应保护其他利益主体的权益尤其是信息主体的人格权益并避免数据垄断。解释论上，则可从《民法典》第127条“数据保护条款”中得出如下结论：第一，民法对“数据”应受保护已作原则性宣示；第二，就企业数据而言，其保护方法完全可在民法框架内考虑，理由在于：体系上，继明定人格权与物权、债权、知识产权等传统意义上的财产权利之后，《民法典》总则编“民事权利”章还通过第126条与第127条等条款扩大了保护对象，从体系一致性角度看，将应受法律保护的“与数据有关的权益”理解为财产性权利或将其归入“其他民事权益”范畴并无不妥。其限制在于：应避免数据垄断，且不得侵害或妨碍其他主体尤其是个人信息主体的权益。文义上，“数据保护条款”将“数据”与“网络虚拟财产”并列，很大程度上也隐含着两者具有相同的“财产”属性。综上，《民法典》第127条虽未明确将“数据”定义为一项独立的财产权利客体，但在体系解释上，“对于数据的保护属于权利保护或者类似权利的保护应为体系之义”。

　　关于个人信息，《个人信息保护法》第4条第1款将其定义为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”。一般认为，若承认自然人对其个人信息享有权益，那么，将其建立在维护自然人人格尊严与自由的基础之上更具说服力。民法学理上，关于个人信息权属的主流观点都采用了非财产的人格权益说。其中，“民事权利说”认为，自然人对其个人信息享有“民事权利”，已为《民法典》第111条确认，该条系确权规范，且根据体系解释，“个人信息权”应是具备人身属性的民事权利，是一种含有隐私权内容但又超越这一权利的独立的新型权利，可“消除信息利用的‘丛林法则’和‘公地悲剧’”。“民事利益说”则认为，现有规范只是个人信息权益的保护性规定而非确权规范，旨在宣示个人信息应受保护的基本立场。实践中，法院也认为这是一种不具绝对性但应受保护的“民事权益”。其实，无论是从权利视角还是法益视角理解个人信息，均“不妨碍法律将其确定为自然人的人身非财产性质的人格权/权益且具有支配性特征”。立法上，《个人信息保护法》第2条与《民法典》第111条，也都只是强调“个人信息受法律保护”，而不在于创设对世性的“个人信息权”。正因如此，《个人信息保护法》第2条采用了“个人信息权益”这一概念。它是一种“纯粹的人格法益”，核心“在于人格尊严以及人身、财产安全等利益”。综上，本文认为应以“个人信息受法律保护”这一本质意涵为基点，理解《个人信息保护法》等立法中的个人信息保护规范的真正意旨：一方面，赋予信息主体对其个人信息享有防御性或控制性利益以免其人格权益或人身、财产安全因大规模个人信息处理活动而受到侵害或危害，另一方面，也给个人信息的合理利用留出空间。

　　（二）个人信息保护法视角下的数据抓取行为准则

　　《民法典》第3条规定：任何组织或个人不得侵犯民事主体的人身与财产权利以及其他合法权益。根据这一规定，无论是企业的数据权利，还是个人信息权益，它们作为广义上的民事权益，均应受法律保护。《个人信息保护法》第2条与《数据安全法》第7条已分别作出了立法回应：前者规定“任何组织、个人不得侵害自然人的个人信息权益”，后者强调“国家保护个人、组织与数据有关的权益”。这些规定意味着收集、处理个人信息的当事人负有法定的数据义务或须遵守特别的保护性法律之规定。另外，根据侵权责任法一般理论，行为违法是侵权责任的构成要件之一。若行为人实施的数据处理行为违反既定的数据义务或侵害了他人的合法权益，那么，其行为将构成侵权并因此承担相应的侵权责任。

　　1.个人信息（数据）处理一般行为准则

　　目前，《个人信息保护法》第2条、《民法典》第111条等条款已确立“个人信息受法律保护”这一基本原则。围绕这一原则，《个人信息保护法》《数据安全法》《民法典》等立法还进一步规定了个人信息与数据处理有关的具体行为准则。

　　一方面，根据《个人信息保护法》第10条、《民法典》第111条以及《数据安全法》第32条第1款规定，行为人（包括数据控制者与数据抓取者，下同）应承担下列各项消极的不作为义务：一是“不得非法收集、使用、加工、传输他人个人信息”；二是“不得非法买卖、提供或者公开他人个人信息”；三是“不得从事危害国家安全、公共利益的个人信息处理活动”。此外，根据《个人信息保护法》第5条以及《民法典》第1038条第1款规定，行为人既“不得通过误导、欺诈、胁迫等方式处理个人信息”，也“不得泄露或者篡改其收集、存储的个人信息”。

　　另一方面，行为人还应承担一系列积极的作为义务。根据《民法典》第111条、《数据安全法》第8条规定，行为人应“依法取得”个人信息；从事数据处理活动时，应“遵守法律、法规，尊重社会公德和伦理，遵守商业道德和职业道德”。这些均为原则性规定。《个人信息保护法》等立法丰富并完善了上述一般性作为义务。首先，根据《个人信息保护法》第13条第2款规定，除非属于法定的例外情形，否则，行为人“处理个人信息应当取得个人同意”。这一规定重申了此前立法关于“同意”的一般规定，但同时，通过同意例外拓展了处理个人信息的行为自由边界。其次，《个人信息保护法》第5条再次强调行为人处理个人信息时应遵循“合法、正当、必要”原则，并额外增加了“诚信原则”。再次，根据《个人信息保护法》第7条与第17条第1款以及《民法典》第1035条第1款规定，处理个人信息时，行为人应遵循公开与透明等原则，通过公开个人信息处理规则，以简明且真实准确的语言向信息主体明示信息处理者的基本信息以及处理目的、处理方式等内容，以满足他们的知情权，此即行为人的告知义务。最后，收集或存储个人信息的当事方还应负担数据安全保护义务。根据《个人信息保护法》第9条与第57条的规定，行为人应采取必要措施保障所处理的个人信息的安全，并在个人信息发生泄露、篡改、丢失等情形下，负有“立即采取补救措施，并通知履行个人信息保护职责的部门和个人”等止损义务。作为数据安全保护义务的延伸，《个人信息保护法》第51条还规定：为防止未经授权访问及信息泄露、篡改或丢失，行为人应制定内部管理制度及操作规程、对个人信息进行分类管理、制定应急预案，以及采取加密、去标识化等技术性防范措施。

　　2.数据处理一般准则对抓取行为的适用

　　本质上，数据抓取是一种特殊的数据获取方式。抓取及后续使用等行为无疑属《个人信息保护法》第4条第2款、《数据安全法》第3条第2款所定义的个人信息/数据“处理”行为之范畴。较之于一般意义上的数据收集，数据抓取表现出规模性、间接性与隐秘性等鲜明特征，其不仅对最初收集存储个人数据的数据控制者构成影响，而且还可能导致信息主体受到侵害。因此，作为广义上的数据处理者，数据抓取者同样应遵守个人信息（数据）处理的一般行为准则，尤不得以“窃取或者以其他非法方式获取数据”。“新浪微博诉饭友APP案”中，数据抓取者绕开、破坏数据控制者技术保护措施抓取并展示他人数据之行为即被认为具有不法性并被判承担侵权责任。这是因为，其行为不仅有违爬虫协议倡导的行业道德及规范，更与“依法取得”等基本的行事准则尤其与正当、诚信等原则要求相悖。可见，类似纠纷即便不依据反不正当竞争法寻求救济，数据控制者也可在民法框架内追究数据抓取者不法或不当行为的侵权责任。因抓取及后续使用等行为而受到侵害的信息主体同样可要求数据抓取者承担侵权责任。只不过，多数情况下，对于信息主体而言，他们并无足够的能力甄别、阻止或追踪数据抓取者。相反，与数据控制者最初建立的数据关系能使他们更易追究数据控制者的责任。毕竟，数据控制者对收集存储的个人信息包括已公开的个人信息负有法定的保护义务和审慎注意义务。这也意味着，对未经授权的访问或恶意的数据抓取等行为，数据控制者负有一定的甄别与防止义务。如果未适当履行这些义务，导致个人信息尤其是非公开信息的泄露、篡改、丢失等，那么，数据控制者将因违反数据保护义务而承担不作为的侵权责任。

　　需要指出的是，实践中，许多数据抓取表现为对公开网页的抓取。就与数据控制者的关系而言，数据抓取者应合法、正当并在必要限度内抓取；而在与信息主体的关系方面，数据抓取者一般无需取得其同意即可在合理范围内处理已公开的个人数据。这也是《个人信息保护法》第13条与第27条确立的一般原则。显然，这不仅有利于降低数据抓取者获取数据时的成本，而且也有利于促进数据流动与共享。但另一方面，即便是已公开的个人数据，不当抓取尤其是滥用行为仍可能对信息主体构成重大影响。对大多数人而言，当知道自己上传至社交媒体或移动应用上的图片等个人信息被他人收集与分析时，焦虑与不安的情绪便会油然而生。多数情况下，用户在社交网站上发布或提供个人信息多是与朋友分享或为获得便捷的网络服务，而目的不明或隐秘的数据抓取及再次使用行为很可能打破他们最初的想法或信任。这意味着，即便个人信息在技术上是公开的，信息主体仍可合理地期望保留对此类信息的隐私期待，他们对这些信息仍享有一定程度的控制利益。很大程度上，这也是立法上要求行为人应在合理范围内处理已公开个人信息的正当理由。此种合理处理的一般含义包括数据抓取者等当事人应在信息被公开时的目的或用途范围内处理这些信息，不得滥用。当抓取及使用等行为对“个人权益有重大影响”时，还应取得个人同意。更重要的是，根据《个人信息保护法》第27条规定，信息主体对他人处理自己的公开信息享有反对的权利，即当“个人明确拒绝”时，即便是合理的处理行为，行为人也应停止。否则，其行为不再受《民法典》第1036条第2项责任豁免条款的保护。值得注意的是，信息主体行使“反对权”的一个重要前提是他们知道自己的公开信息正在被他人抓取。可见，数据抓取者是否以及如何履行告知/通知义务对这一权利的行使具有至关重要的影响。根据《个人信息保护法》第7条、第17-18条规定，行为人抓取已公开个人信息时的告知义务并不因该处理行为无需取得个人同意而被当然地豁免。

　　（一）数据控制者因数据抓取而遭受的“损害”

　　多数情况下，数据抓取会对目标网站/数据控制者经营活动造成影响，例如，数据控制者因数据抓取而导致的服务能力减弱或交易机会丧失。与一般的财产损失相比，上述“损失”表现出明显的无形性与不易衡量等特点，它们在立法或司法上能否得到承认，不仅关系到数据控制者自身权益，更关乎数据产业的有序发展。

　　域外立法上，企业间数据抓取侵权的“损害”认定标准较宽松，不仅承认直接的财产损失，也认可间接或潜在的财产损失。美国《计算机欺诈与滥用法》（CFAA）就将“损失”定义为“对受害者的任何合理成本，其中包括应对违法行为成本，损害评估成本，将数据、程序、系统或信息恢复至违反行为发生前的成本，以及因服务中断而导致的任何收入损失、成本增加或其他间接损失”。美国法院也接受了这一宽泛定义。实务中，部分美国法院甚至拓展了“损失”外延，它们将抓取行为导致的原告网络与服务器容量等无形资源的额外消耗以及服务能力的减弱视为“损害”。显然，无论是为应对数据抓取而耗费的金钱或人力成本，还是服务器过载以及因此导致的服务能力降低等，都让数据控制者遭受不同程度的经济损失，立法或司法上承认它们，不仅有利于目标网站维权，而且也能对数据抓取行为构成威慑。为避免一些无害抓取行为受到制裁，认定是否造成“损害”时，则应考虑数据特性与价值以及不同情境下采取补救措施所耗费成本的合理性等因素。

　　比较而言，我国法院对数据抓取所致“损害”的认定更契合当前数据侵权的新特点。起初如“大众点评诉百度案”，法院认为，被告抓取及使用原告用户点评信息导致的原告网站流量减少，以及被告顺势攫取原告部分交易机会，都给原告造成了实质性损害。“新浪微博诉饭友APP案”延续了“大众点评诉百度案”的裁判观点。“新浪微博诉饭友APP案”审理法院认为，被告抓取原告用户发布的微博内容并在自身APP上予以展示破坏了新浪微博数据展示规则，对新浪微博构成了实质性替代，其行为已使相当部分明星粉丝可不注册或登录新浪微博即可查看明星微博账号内容，结果便是“分流走了（原告）的潜在用户流量，也影响了原告……通过新浪微博可以获得广告、票务等商业收益，给原告实际造成了损失”。移动互联时代催生了蓬勃的“流量”经济，一项突出表现就是，社交软件或移动应用“拥有的用户越多将吸引更多的用户进行注册使用……而活跃用户越多则越能创造出更多的商业机会和经济价值”。这也是将“用户/流量流失”视为一种新型损害并给予适当救济的正当基础。而且，将其视为新型损害也具有显著的规范价值与现实意义，将本用来描述用户数量、用户浏览网页数量、用户在网站的平均驻留时间等数据指标视为特殊的利益媒介，凸显了该指标的财产意义，而司法上的承认则向数据控制者提供了正向激励，它们将因此更愿从事数据生产从而创造更多数据红利。

　　（二）信息主体因数据抓取可能遭受的“损害”

　　通常，不法或不当抓取的仅是一些无关紧要的个人信息，或只会导致信息主体感到些许不安，但当第三方抓取并扩散他们非公开或敏感个人信息时，则可能给信息主体造成真正损害。实践中，不法或不当的数据抓取及后续使用行为常常超出信息主体的预期，被抓取的数据将脱离他们的控制，这些无法预知或不受控制的数据处理行为将置信息主体受到现实损害或处于未来被侵害的风险之中。问题是，这些无形“损害”能否成为法律上可予赔偿的损害？不可否认，被侵害风险这种无形的“未来损害”多少显得不那么真实与具体，很多时候，“它们很难以肉眼可见的方式呈现在人们面前，既不同于身体伤害带给人们直观冲击进而让目击者对受害人经历的痛苦感同身受，也无法像金钱损失或财产毁坏这种现实损害那样易于发现、评估与量化”。虽然如此，但也无法否认这些“损害”的存在。事实上，它们“就像一间拥挤小屋里的那件隐形物品，或许无法看见它，但我们清楚人们是怎样与之遭遇，并因为它的存在而改变自己、设法规避”。更重要的是，从法律上承认此种新型的数据“损害”已经具备了坚实的实践基础。

　　最初，域外部分法院认为，如果被侵害风险“确实已迫在眉睫”或已存在此种“重大风险”，那么，受害人主张的“未来损害”就能成立。此种“确实已迫在眉睫”或“重大风险”的认定标准对受害人而言仍过严苛，其字面含义恐将挫败几乎所有基于对未来侵害的恐惧而提出的赔偿请求。换言之，除非原告能证明自己已经或确定会成为不法数据行为或其衍生的其他侵害行为的受害人，否则，他们甚至连提起民事诉讼的资格都不具备。很明显，上述标准偏于保守，不仅不利于受害人利用私法手段维权，而且还会对行为人构成错误激励。于是，“客观合理的可能性”这种相对宽松的损害认定标准—未来被侵害的风险只要具有客观合理的可能性即可构成“事实上的损害”—被提出且不断适用于数据侵权纠纷之中。实际上，若要等被抓取的数据遭“他人恶意利用，造成现实的物质损害才可认定为权益侵害，则未免太过机械……这样的观念对于那些试图通过私法手段保护其个人敏感信息的消费者来说，要求也过高了”。毕竟，信息主体因不法处理行为而遭受的未来被侵害风险或早或晚将转变为现实的损害。“邓某某诉顺丰案”就表明了未来被侵害风险的现实性—原告因个人兼职信息泄露而遭不当解职。“伊某诉启信宝案”中，法院则认为被告抓取及使用行为对原告其后就业及生活等重大利益构成了影响。这无异于承认未来被侵害风险是一种损害。显然，这有助于更充分地保护信息主体。

　　（一）数据抓取者对企业及个人的双重责任

　　1.数据抓取者之于数据企业的故意侵权责任

　　主观上，那些未经授权或超过授权抓取他人数据的行为存在明显过错，这些行为将给数据控制者带来不同程度或类型的损害，因此，要求侵权人进行赔偿不仅具有竞争法上的依据，而且还具有侵权法上的依据—《民法典》第1165条第1款规定了侵权救济一般过错归责原则。无论技术能力还是管理水平，数据抓取者与数据控制者地位相当。因此，企业间数据侵权适用过错责任原则较妥当。解释论上，《民法典》第1165条第1款中的“损害”可作扩张解释，其不仅包括有形的现实财产损失，也包括未来机会丧失或权利减损等潜在且无形的财产损失或非财产损害。对企业间的数据侵权抓取纠纷，我国多数法院已承认这些潜在的无形损害可予赔偿。

　　责任承担上，因企业间数据抓取侵权不涉及人格权益问题，故仅适用财产性损害赔偿。根据《民法典》第179条第1款及第1167条规定，被侵权人可要求侵权人合并或单独承担赔偿损失及/或停止侵害、排除妨碍、消除危险等预防性侵权责任，具体包括停止不法或不当的数据抓取或利用行为以及删除已非法抓取的数据等。至于财产损失计算方式，根据《民法典》第1184条规定，要么“按照损失发生时市场价格”，要么以“其他合理方式”计算。鉴于数据价值无形性且不易计量等特点，且考虑到目前尚未形成成熟的数据交易市场，因此，实务中恐怕很难以“损失发生时市场价格”作为数据侵权时计算标准。同时，因立法未明确规定到底有哪些“合理方式”，所以有待进一步的司法解释。值得注意的是，在企业间数据侵权纠纷中，法院多已承认被侵权的企业遭受了无形财产损失，并从被侵权人实际损失或侵权人非法获利等方面计算赔偿数额，具体包括数据产品开发与维护成本以及被侵权人持有数据的市场价值、用户流量或用户数增减以及基于用户流量而衍生的互联网产品的获利情况、乃至侵权人主观恶意及其因不法或不当行为获得利益等因素。这些探索有助于法院更好诠释何谓“其他合理方式”。

　　2.数据抓取者之于信息主体的故意侵权责任

　　数据抓取纠纷中往往涉及数据抓取者或数据控制者针对信息主体的侵权问题。鉴于信息主体与数据抓取者在技术能力、信息占有等方面的不对称地位，因此，若适用适用过错推定原则，将有助于化解信息主体维权时的证明难题。《个人信息保护法》第69条第1款已作出积极回应，其将个人信息侵权归责原则设定为过错推定责任。虽有学者认为这一原则在适用时将存在诸多“水土不服”的问题，但相对于无过错责任，该归责原则显然是对个人信息权益保护与产业发展的平衡。解释论上，《个人信息保护法》第69条第1款中规定的“损害”同样应作扩大解释，以便将非传统的新型数据损害涵盖其间。至于过错判断，则可根据数据抓取者是否履行了上文所述的各项作为或不作为义务或其他保护性法律规定予以审查。若违反这些义务，即可认定其行为违法，进而可认定其存在过错。不同于企业间数据侵权，个人信息侵权涉及人格权益保护。《民法典》将个人信息区分为私密信息与非私密信息，前者类似于《个人信息保护法》第28条第1款定义的“敏感个人信息”，它们的泄露或滥用易致信息主体隐私等人格权益受到侵害或人身财产安全受到危害，故根据《民法典》第1034条第3款规定，优先“适用有关隐私权的规定”，仅当没有相应规定时才适用一般个人信息保护规则。鉴此，针对不当或不法抓取或利用私密信息的行为，被侵权人有权根据《民法典》第995条、第997条、第1000条等规定，行使人格权请求权或侵权赔偿请求权，前者包括停止侵害、排除妨碍、消除危险等请求权以及请求法院颁发行为禁令，后者包括消除影响、赔礼道歉、损害赔偿等类型。援用《民法典》第995条向被侵权人提供救济的重要意义在于：被侵权人仅需证明存在妨害隐私权的行为或存在这种危险即可，无需证明损害实际发生。更重要的是，人格权请求权通常采客观归责，侵权人主观上是否存在过错在所不问，重点是其行为是否对权利主体隐私权构成了妨碍。总之，对于妨害涉及隐私的私密信息的行为，被侵权人只要证明行为人违反了法律上的保护性规定，不管是否存在实际损害，均可请求法院判令侵权人赔偿或颁布行为禁令。这有助于增强对私密信息的保护。

　　至于一般个人信息侵权，首先，被侵权人可根据《民法典》第1167条规定，要求数据抓取者承担预防性侵权责任；其次，可要求侵权人承担损害赔偿责任，包括财产损失赔偿与非财产赔偿。关于财产赔偿，根据《个人信息保护法》第69条第2款、《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条第2款等规定，当人身权益受侵害并因此遭致财产损失时，可根据其实际损失或侵权人因此获得的利益进行赔偿；但若被侵权人财产损失或侵权人获利难以确定，则可由当事人自行协商确定或由法院根据具体案情在50万元以下范围酌定赔偿数额。实践中，可根据侵权人过错程度以及被侵权人维权成本等具体因素酌定具体的赔偿额。若涉及精神损害，则可根据《民法典》第1183条第1款请求救济。只是，未来不应拘泥于“‘严重精神损害’的字面含义，还应根据受害人具体情形评估其主张的精神损害是否合理，避免简单将其等同为临床上确诊的精神疾病”，以彰显对大规模侵权行为的威慑以及侵权责任法的救济功能。

　　（二）数据控制者基于过失而向信息主体承担补充责任

　　数据抓取侵权纠纷中，数据控制者虽同是受害者，但也可能因未尽数据安全保护义务从而成为间接的侵权人。这也意味着数据控制者将因自身的过错而须与数据抓取者一起向信息主体承担“共同但有区别”的侵权责任。

　　首先，归责原则上，同样应采过错推定责任。理论上，信息主体虽然可通过《个人信息保护法》第13条、第14条、第15条、第17条等条款设定的“知情同意”等程序性规范而享有对其个人信息某种程度的控制，但实际上，一旦个人信息被他人收集，信息主体对这些信息就很难再进行有效控制了。相反，数据控制者却有相应的管理与技术能力来防范数据泄露或被他人不法抓取等风险。因此，要求数据控制者证明自身是否存在过错—是否适当履行了数据安全保护义务—实属正当。况且，数据控制者“具有更强能力且仅需较低成本便能证明损害与数据行为之间是否具有因果关系”。因此，数据抓取侵权纠纷中，若信息主体向数据控制者追责，后者即应根据《个人信息保护法》第69条第1款规定，对自己是否为降低数据安全风险而采取了必要的技术与组织保障措施进行证明。

　　其次，与数据抓取者不同，数据控制者多因过失导致侵权。本质上，数据安全保护义务是一种注意义务，不履行该义务将实质性提高个人数据被他人不法获取或篡改以及衍生侵害的可能性。鉴于数据保护义务是法定的作为义务，因此，数据控制者违反该义务，即可在确定行为违法性的同时认定其存在过错/过失。问题是，适用何种标准予以认定？一般认为，数据控制者应以理性、谨慎的方式制定实施合理的安全防护措施。此种“合理性标准”是数据安全保护立法最核心的要求之一，更是判断当事人是否适当履行数据保护义务或是否存在过错的重要标准。通常，一套合理的安全保护标准要求数据控制者根据数据类型建立相应的安全保护措施，对受保护的信息面临的威胁与风险进行评估，建立适当的访问控制、加密措施、安全传输等安全政策与控制措施，对委托第三方接收、保管的数据安全负责，以及对被监测到的安全防护漏洞作出及时响应并定期评估、更新安全政策与控制措施等。这些也是《个人信息保护法》第23条、第51条、第55条、第57条等条款的一般要求。尤其是，对具有“守门人”角色的当事人—“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”，《个人信息保护法》第58条还向其课以了特别义务。未来可据此对行为人是否存在过错进行判断。此外，司法审查还应考虑以下因素：（1）数据控制者的规模及其经营行为的性质与范围；（2）数据控制者的技术基础设施、硬件与软件安全能力的差异；（3）数据安全保护措施的成本；（4）数据数量、敏感程度以及相应的风险等级等。总之，数据安全保护义务不仅要求保护措施是合理的并与其数据控制者资源及面临的风险等级相匹配，而且还要求这些措施自成体系。

　　最后，与数据抓取者承担直接的侵权责任不同，数据控制者多承担基于过失的补充责任。本质上，数据控制者承担的数据安全保护义务与《民法典》第1198条第1款确立的安全保障义务具有内在一致性，两者均具备开启、参与社会交往并可能给他人权益带来潜在危险的本质特征，不同之处在于：前者存在于“网络空间”，后者发生于“物理空间”。鉴此，若疏于履行安全保护义务而致其收集存储的个人数据被他人不法抓取、篡改等，那么，数据控制者就应与物理空间内经营者或组织者一样，承担“相应的补充责任”。该责任形态的意涵包括以下两点：其一，第三人的侵权责任与安全保障义务人的补充责任有先后顺序，即先有故意侵权的第三人承担责任，若其承担了全部侵权责任，那么，安全保障义务人即不再担责；其二，若无法找到第三人或其无力承担责任，那么，则由未尽安全保障义务的安保义务人承担与违反安全保障义务的程度相应的责任份额。这是因为，第三人（数据抓取者）故意侵权与安全保障义务人（数据控制者）过失侵权虽都具有可归责性，但毕竟，两者主观状态处于不同的责任层次，先有直接侵权人承担责任然后由存有过失的安全保障义务人承担补充责任，合乎公平与一般情理。

　　数据驱动的新商业模式已成为经济体系的一部分。那些占得先机的数据控制者收集存储的大量个人信息无疑是数据抓取者等第三方眼中的重要资源，他们以不易察觉的方式抓取这些外部数据并用于自身商业目的或其他用途。一方面，为造福更多人群，理应坚持开放的数据观，但另一方面，为避免数据产业无序竞争尤其是保护信息主体免受侵害，数据处理行为应接受必要限制。首先，数据抓取者应注意不得恶意抓取且抓取行为不应给他人造成额外负担，尤应避免抓取那些受技术措施保护的非公开数据，即便是抓取公开数据，也应限于事实性而非独创性的信息且应只将其用于生产创新性产品，而非通过引诱用户或提供类似产品或服务等方式窃取目标网站市场份额，这样才能更好地弘扬互联网秉持的开放与共享之初衷。其次，基于信息主体视角，数据抓取者等第三方还应履行《个人信息保护法》《民法典》等立法向其课以的数据义务，避免信息主体因其抓取行为而受侵害。最后，作为最先收集存储个人信息的当事人，数据控制者也有义务采取措施确保这些信息不被他人不法或不当地抓取。否则，它们就应承担相应的侵权责任。

商品书目

微信号 : DigitalLaw_ECUPL

探寻数字法治逻辑

展望数字正义图景

数字法治战略合作伙伴：理财魔方

北京市竞天公诚律师事务所上海分所