经典案例 I 淘宝公司诉美景公司:数据资源开发、使用的正当性如何判断
原告淘宝(中国)软件有限公司(以下简称“淘宝公司”),系淘宝网共同运营商。淘宝公司开发并投入市场运营的“生意参谋”数据产品(以下简称“涉案数据产品”),面向淘宝、天猫店铺商家提供大数据分析参考,帮助商家实时掌握相关类目商品的市场行情变化,改善经营水平。涉案数据产品的数据内容是淘宝公司在收集网络用户浏览、搜索、收藏、加购、交易等行为痕迹所产生的巨量原始数据基础上,以特定的算法通过深度分析过滤、提炼整合并经匿名脱敏处理后形成的以趋势图、排行榜、占比图等图形呈现的指数型、统计型、预测型衍生数据。
被告安徽美景信息科技有限公司(以下简称“美景公司”)系被诉侵权“咕咕互助平台”的运营商,其以提供远程登录已订购涉案数据产品用户电脑技术服务的方式,招揽、组织、帮助他人低价获取淘宝公司涉案数据产品中的数据内容,从中牟利。
淘宝公司认为,涉案数据产品是原告合法取得的劳动成果,涉案数据产品中的原始数据与衍生数据均系其无形资产,原告享有财产所有权;涉案数据产品系原告核心竞争利益所在,被告的被诉行为对涉案数据产品已构成实质性替代,恶意破坏了淘宝公司的商业模式,构成不正当竞争行为。
美景公司认为,原告私自抓取、公开使用淘宝网络用户的相关信息,侵犯了网络用户的个人隐私以及商户的经营秘密,具有违法性;涉案数据产品的数据内容系网络用户提供的用户信息,网络用户对于其提供的信息享有财产权,原告无权主张权利。
裁判结果
本案争议焦点为淘宝公司收集、使用网络用户信息,开发涉案数据产品的行为是否正当;淘宝公司对于涉案数据产品是否享有法定权益。
杭州互联网法院经审理后认为,淘宝公司作为淘宝网的服务提供者,已在网络上公示了淘宝隐私权政策。淘宝隐私权政策明确宣示了收集、使用用户信息的目的、方式、范围,与淘宝网所提供的服务相对照,淘宝隐私权政策符合“合法、正当、必要”的形式要求。经审查,涉案数据产品中可能涉及的用户信息种类均在淘宝隐私权政策已宣示的信息收集、使用范围之内,未发现淘宝公司有违反其所宣示的用户信息收集、使用规则的行为。淘宝公司收集、使用网络用户信息以及涉案数据产品公开使用网络用户信息的行为符合法律规定,具有正当性。涉案数据产品系淘宝公司经过长期经营积累而形成的,能为淘宝公司带来市场竞争优势,淘宝公司对其享有竞争性财产权益。美景公司未经授权亦未付出新的劳动创造,直接将涉案数据产品作为自己获取商业利益的工具,明显有悖公认的商业道德,如不加禁止将挫伤数据产品开发者的创造积极性,阻碍数据产业的发展,进而影响到广大消费者福祉的改善。根据美景公司自行公布的相关数据估算,美景公司在本案中的侵权获利已超过200万元。综上,该院判决被告美景公司立即停止涉案不正当竞争行为并赔偿原告淘宝公司经济损失200万元。
案例评析
本案系我国首例互联网大数据产品不正当竞争纠纷案,涉及数据资源开发、使用行为正当性应如何判定、数据资源所涉各相关主体权利边界应如何划分等争议问题。
一、涉案数据资源开发、使用行为是否正当的判定
审查涉案数据资源开发、使用行为是否正当,包含以下三个层面的问题:一是涉案数据产品的数据内容来源于何种用户信息;二是涉案数据产品所涉用户信息安全保护标准选定;三是涉案数据产品收集、使用及公开用户信息是否具有违反安全保护义务的情形。
1.涉案数据产品的数据内容来源于何种用户信息
根据《中华人民共和国网络安全法》(以下简称《网络安全法》)的规定,网络运营者收集、使用网络用户信息,应根据 信息的不同类型,分别承担相应的网络信息安全保护义务。对于非个人信息的保护,《网络安全法》第二十二条规定,网络 产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意,执行“明示收集信息功能+用户默认同意”相对宽松的标准。而对于个人信息的保护,《 网络安全法》 第四 十一条、第四十二条则规定了网络运营者应承担更为严格的责任:网络运营者收集、使用个人信息,应当遵循合法、正当 、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息;未经被收集者同意,不 得向他人提供个人信息,即执行“ 限于必要范围+明示收集、使用信息规则+用户协议同意”标准。故审查数据资源开发、使用行为是否正当,认定数据资源来源于何种用户信息是先决前提。
经查,涉案数据产品的基础性网络用户信息均来源于淘宝、天猫网络用户网上浏览、搜索、收藏、加购、交易等行为痕迹信息。这些行为痕迹信息不含有可以识别自然人个人身份的要素,不具备能够单独或者与其他信息结合识别特定自然人个人身份的可能性。依照《 网络安全法 》第七十六条的规定,本案所涉用户信息应排除于个人信息以外,属于非个人信息。
2.涉案数据产品所涉用户信息安全保护标准的选定
《网络安全法》将网络用户信息分为非个人信息与个人信息,分别规定了不同的保护标准,立法主要考量的是前者与特定自然人无对应关系,一经披露不会对公民的人身、财产、名誉等构成威胁,这对于未登记注册为某网站的会员、未留下个人身份信息的用户而言是成立的。但对于已在某网站登记注册为会员、留有个人身份信息的网络用户而言,其在该网站上的行为痕迹信息与其个人身份信息发生对应联系的风险很大,一旦同时暴露,将危及用户的个人隐私或经营秘密。因此,虽然《网络安全法》未将用户行为痕迹信息列入个人信息范围给予严格 保护,但网络运营者不仅对于网络用户信息负有安全保护的法定义务,同时因网络运营者与网络用户之间存在服务合同关系,基于“公平、诚信”的契约精神原则要求,网络运营者对于保护网络用户合理关切的个人隐私和商户经营秘密也应当负有高度关注的义务。故对于网络运营者收集、使用网络用户行为痕迹信息,除未留有个人信息的网络用户所提供的以及网络用户已自行公开披露的信息之外,应比照《网络安全法》关于网络用户个人信息保护的规定予以严格规制。
3.涉案数据产品收集、使用及公开相关用户信息是否具有违反安全保护义务的情形
比照《网络安全法》关于网络用户个人信息保护的规定,该院认为,从规则公开方面来看,淘宝公司已向淘宝用户公开了用户信息收集、使用规定的《法律声明及隐私权政策》;从取得用户同意方面来看,淘宝公司通过用户注册账号时通过接受服务协议、法律声明及隐私权政策的意思表示取得了授权许可;从行为的合规性来看,涉案数据产品的数据内容所收集、使用的原始数据均在淘宝隐私权政策已宣示的信息收集、使用范围内,不存在通过非法渠道获取信息的行为;从行为必要性来看,淘宝公司收集、使用原始数据的目的在于为用户的经营活动提供大数据分析服务,其使用数据信息的目的、方式和范围均符合相关法律规定。由此判定,淘宝公司收集、使用网络用户信息以及涉案数据产品公开使用网络用户信息的行为符合法律规定,具有正当性。
二、涉案数据产品所涉各相关主体权利边界应如何划分
如何划分涉案数据产品所涉各相关主体的权利边界,本案当事人提出了不同主张被告主张网络用户对于其提供的网络信息享有财产所有权;原告主张,网络运营者对于网络原始数据享有财产所有权,数据产品开发者对于其开发的数据产品享有财产所有权。
1.网络用户对于其提供的网络信息是否享有财产所有权
网络运营者与网络用户之间系服务合同关系。网络用户向网络运营者提供用户信息的真实目的是为了获取相关网络服务。网络用户信息作为单一信息加以使用,通常情况下并非当然具有直接的经济价值。在无法律规定或合同特别约定的情况下,网络用户对于其提供于网络运营者的单个用户信息尚无独立的财产权或财产性权益可言。
2.网络运营者对于基于网络用户信息所产生的原始数据是否享有财产所有权
鉴于原始网络数据只是对网络用户信息进行了数字化记录的转换,网络运营者虽然在此转换过程中付出了一定劳动,但原始网络数据的内容仍未脱离原网络用户信息范围,故网络运营者对于原始网络数据仍应受制于网络用户对于其所提供的用户信息的控制,而不能享有独立的权利。换言之,网络运营者只能依其与网络用户的约定享有对原始网络数据的使用权。
3.数据产品开发者对于其开发的数据产品是否享有财产所有权
网络数据产品不同于原始网络数据,其提供的数据内容虽然同样源于网络用户信息,但经过网络运营者大量的智力劳动成果投入,通过深度开发与系统整合,最终呈现给消费者的数据内容,是与网络用户信息、原始网络数据无直接对应关系的独立的衍生数据。网络数据产品虽然表现为无形资源,但可以为运营者所实际控制和使用,并带来经济利益。随着其市场价值的日益凸显,网络数据产品自身也已成为市场交易的对象,已实质性具备了商品的交换价值。网络运营者对于其开发的数据产品,应当享有自己独立的财产性权益。另外,数据产品的开发与市场应用已成为当前互联网行业的主要商业模式,其能为开发者或经营者带来可观的商业利益与市场竞争优势,其所带来的竞争性财产权益,亦应当归开发者或经营者所享有。但是否赋予网络运营者网络数据产品财产所有权,事关民事法律制度的确定。因财产所有权是一项绝对权利,如果赋予网络运营者网络数据产品财产所有权,则意味着不特定多数人将因此承担相应的义务。限于我国法律目前对于数据产品的权利保护尚未作出具体规定,基于“ 物权法定”原则,个案审判中不宜确认网络运营者享有财产所有权。
思考与探索
由于具有显著的使用价值和商业价值,数据产业已成为极具发展潜力的新兴产业。但目前调整数据产业的立法相对缺失,使得相关主体的权利义务关系处于模糊而不确定状态,严重制约数据产业的发展。如何为数据产业打造一个有序发展、有保障可预期的司法营商环境?笔者认为,在司法政策的把握上,既要鼓励网络信息的流通传播,也要防止个人身份信息、隐私信息的不当披露;既要考虑有利于数据产业的发展,避免不恰当地增加网络运营者的义务,也要充分考量有利于对用户信息安全的保护,对网络运营者适当增加其保护义务。
该案判决对此作出了积极探索:首先,通过将一般网络用户信息与个人身份信息、隐私信息区隔开来,合理分配了网络运营者的用户信息安全保护义务,认定《网络安全法》中的网络用户个人信息只限个人身份信息,不包括个人隐私等敏感信息,进而确认了目前网络行业普遍采用的收集用户非个人信息“明示收集信息功能+用户默认同意”的惯例,避免了不恰当地增加网络运营者的用户信息保护义务。同时,鉴于网络运营者收集、使用部分用户行为痕迹信息具有暴露个人隐私的高度或然性的特点,确认对于已在网站上注册为会员的用户行为痕迹信息,应予升格保护,依合同义务适当加重了网络运营者对于用户信息的保护责任,顺应了《欧盟数据保护通用条例》颁布后国际与国内强化对用户信息安全保护的趋势。其次,该案判决通过明确网络用户对于其提供的用户信息并无独立的财产权益,确认了目前网络行业使用网络用户信息普遍采用的无偿使用惯例;通过明确网络运营者对于基于网络用户信息所产生的原始数据仅享有有限使用权,限制了网络运营者对于原始数据的自行处置权,强化了对用户信息的保护;通过确认数据产品开发者对于数据产品享有财产权益,使开发者的合法权益得到保护,充分调动对数据产业投资开发的积极性。
该案判决虽然未明确数据产品开发者对于数据产品享有财产所有权,但从实质上肯定了数据产品开发者对于数据产品享有独立的财产权益。其中应包括:禁止他人未经许可使用数据产品的权利;使用或许可他人使用数据产品并从中获取利益的权利;通过转让、毁弃等方式处分数据产品的权利。
数据产业作为新兴新型市场形态,相关法律规范也处在创立阶段,司法实践需积极探索创设相关规则,明晰各相关主体对于数据资源的权利边界,平衡和保护网络用户信息权、网络运营商经营权,鼓励和规范数据资源的开发应用,保障和引导我国数据产业的快速、有序发展。