迄今为止最深入浅出的关于个人网络数据权利的解读,从淘宝胜诉全国首例大数据产品不正当竞争纠纷案说起!
这是傅一平的第251篇原创
作者:傅一平
个人微信:fuyipingmnb
日前,杭州互联网法院对淘宝(中国)软件有限公司(以下简称淘宝公司)诉安徽美景信息科技有限公司(以下简称美景公司)不正当竞争纠纷案进行一审宣判,认定美景公司的被诉行为构成不正当竞争。这是国内首例大数据产品不正当竞争纠纷案。
据报道,淘宝公司开发运营的“生意参谋”零售电商数据平台(以下简称生意参谋)是淘宝商家的统一数据产品平台,通过该平台可以看到大量的店铺和行业数据。但已购生意参谋产品的用户,却可以通过美景公司运营的“咕咕互助平台”及“咕咕生意参谋众筹”网站(以下简称咕咕平台),分享销售自己所购生意参谋账号的子账户。咕咕平台上的买家借此可查看生意参谋产品的内容,而二手账号的价格远低于生意参谋平台的产品定价。据悉,美景公司在该案中通过侵权获利超200万元。
笔者找到了判决书全文,洋洋33页读下来,感觉启发意义很大,任何从事大数据的企业或个人一定要好好读读,你既能看到美景公司辩称的关于淘宝生意参谋涉及的数据侵权问题,这其实反映了一部分人的看法,也能看到阿里关于当前相关法律法规透彻的理解和几乎是滴水不漏的的应对举措,更能看到权威机构对于当前互联网数据安全法律法规的解读,特别是对于网络安全法第四十一条,四十二条的理解。
由于判决书行文太长,笔者摘取大家普遍关注的两个敏感问题进行解读,即淘宝公司收集并使用网络用户信息的行为是否正当?淘宝公司对于“生意参谋”数据产品是否享有法定权益?
从这两个关键问题引出了当前法律对于个人信息与非个人信息的界定,数据转移的合规要求,数据的财产权益,原始数据财产权,数据产品财产所有权等的具体看法。
笔者除了摘抄法律条文外,特别将自己理解和疑问用红字标注,欢迎大家一起来探讨。
一、淘宝公司收集并使用网络用户信息的行为是否正当?
针对这个问题,法院从四个方面来进行论述,算是对相关法律法规一场生动的解读课:
1、个人信息和非个人信息适用不同的法律条款
根据网络安全法的相关规定,网络运营者收集、使用网络用户信息,应根据信息的不同类型,分别承担相应的安全保护义务。对于非个人信息的保护,网络安全法第三十二条规定,网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意。而对个人信息的保护,网络安全法第四十一条、第四十二条则规定了网络运营者应承担更为严格的责任。
网络安全法第七十六条规定,个人信息是指以电子或其它方式记录的能够单独或与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证号、住址、电话号码等。
其实这里关于个人信息的定义还是有些模糊的,比如用户的手机终端串号、MAC地址、Cookie等,是不是属于个人信息?由于“与其他信息结合识别自然人个人身份的各种信息”这句话的存在,终端串号等的信息似乎也应该鉴定为个人信息。
你好奇,我也好奇,请继续看下面的解释。
根据上述法律规定,用户信息包括个人信息和非个人信息,前者指向单独或与其他信息结合识别自然人个人身份的各种信息和敏感信息,后者包括无法识别到特定个人的诸如网络活动记录等数据信息。由于法律对收集、使用上述信息规定了不同的标准,同时对如何收集、使用信息进行了明确的规制,因此,在评判淘宝公司收集、使用涉案数据信息是否具有正当性,首先区分其收集、使用的涉案数据信息属于何种类型。
“生意参谋”数据产品所涉网络用户信息主要表现为网络用户浏览、搜索、收藏、加购、交易等行为痕迹信息以及由行为推测出的行为人的性别、职业、所在区域、个人偏好等标签信息。这些行为痕迹信息与标签信息并不具备能够单独或者与其他信息集合识别自然人个人身份的可能性,故其不属于网络安全法中的网络个人信息,而属于网络用户非个人信息。
这个判定有点意思,意味着基于互联网公司的账号的商品浏览清单和由此形成的标签在法律上并不属于个人信息,看到这里,似乎诸如基于终端串号的商品浏览日志等就不应纳入个人信息保护范围了。
这么想,就太天真了,请继续看下面!
2、网络用户行为痕迹信息不同于一般意义上的非个人信息
对于网络运营者收集非个人信息,网络安全法第二十二条明确了网络运营者的责任,即网络产品、服务具有收集用户信息功能的,应当向用户明示并取得同意。
但就本案而言,本院认为,因网络运营者与网络用户之间存在服务合同关系,基于“公平、诚信”的契约精神原则要求,网络运营者对于保护网络用户合理关切的个人隐私和商户经营秘密负有高度关注的义务。
网络用户行为痕迹信息不同于其它非个人信息,这些行为痕迹信息包含有涉及用户个人偏好或商户经营秘密等敏感信息,因部分网络用户在网络上留有个人身份信息、其敏感信息容易与特定主题发生对应联系,会暴露其个人隐私或经营秘密,因此,对于网络运营者收集、使用网络用户行为痕迹信息,除未留有个人信息的网络用户所提供的以及网络用户已自行公开披露的信息之外,应对照网络安全法第四十一条、第四十二条关于网络用户个人信息保护的相应规定予以规制。
这意味着虽然淘宝基于淘宝账号的浏览商品日志不属于个人信息,但由于阿里基于淘宝账号可以映射到手机号码等身份信息,因此,基于淘宝账号的浏览商品日志仍然等同于个人信息,要遵循相关个人信息保护即网络安全法第四十一、四十二条的要求。
也就是说,如果互联网公司用cookie获得用户浏览商品信息,虽然cookie不属于个人身份信息,但如果公司基于某些途径又获得了cookie对应的手机号、身份证等信息,那这条基于cookie的浏览认知信息就属于个人信息了。
笔者记得以前有人控告某互联网公司用cookie追踪个人浏览行为,最后败诉,因为Cookie不属于个人信息,但假如当初原告能举证说明某互联网公司的Cookie能映射到自己的手机号码,是否侵犯隐私就能成立呢?
但估计大多用户是无法拿出证据的,用户相对还是处于弱势地位。
3、网络安全法第四十一条对个人信息使用的规定
根据四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则、明示收集、使用信息的目的、方式和范围并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息、并应当依照法律、行政法规的规定和用户的约定,处理其保存的个人信息。
注意这个只针对个人信息,非个人信息及用户自行在网络上公开的没有这个约束。
针对这个条款,淘宝在网络上已公示了《淘宝平台服务协议》与《法律声明及隐私权政策》,笔者仔细研读了下,其不仅覆盖了第四十一条,而且阐述的更为详尽,这类免责申明现在基本成了大多数互联网公司提供服务的先决条件,其实是必须这么做,说重一点就是如果不做就违法。
从个人的角度看,隐私与服务其实已经不能完全兼得,你想享受服务,就得同意贡献自己的个人数据,这个也没有什么好争议的。
要注意的是,现在不仅是互联网公司,很多行业也在做大数据服务的工作,因此务必在入网协议等方面明示个人数据使用目的并经被收集者同意,不会写就照搬淘宝的吧,几句话的事情,但很重要!
其实现在最大的问题倒不是明面上的个人数据获得,而是某些互联网公司通过合规的途径获得个人数据后,可能会通过不合规的途径售卖或交换个人数据。
大多人其实能容忍电商网站基于自己在该网站的浏览信息对其推荐商品,但不能容忍到了另一个视频网站却发现其也在推荐类似的商品,会觉得自己的信息被偷窥了,这个视频网站与电商网站在我不知情的情况下显然达成了某种交易。
Cookie现在其实走在了法律的边缘,如果法律认定Cookie属于个人信息,那么整个PC互联网的推荐规则就要重写,不少网站用户注册了手机号码,Cookie与手机号码有事实上的对应关系。
关于数据的交换转移网络安全法第四十二条则做了明确规定,请继续往下看。
4、网络安全法第四十二条对个人信息使用的规定
根据四十二条规定,网络运营者不得泄露、篡改、毁损其收集的个人信息,未经被收集者同意,不得向他人提供个人信息,但是,经过处理无法识别特定个人且不能复原的除外。
首先,个人信息未经个人同意是不允许提供给任何第三方的,生意参谋中使用了天猫用户的信息,需要遵守三个授权原则,即用户授权网络运营者,网络运营者授权第三方,用户授权第三方,天猫的套路与淘宝是一样的,你可以自己去读天猫网的《隐私权政策》,可以认定淘宝公司使用天猫网用户提供的用户信息已获得了用户信息提供者的同意。
现在很多APP都接入了大量第三方数据,假如芝麻信用要基于你的银行贷款信息作为计算的要素,必然是你曾经授权银行让第三方可以查询使用你的信息,芝麻信用也必须征得过你的同意,否则就是违法。
其次,要让自己的数据少被滥用,就一定要注意少授权,比如你在注册应用的时候,就不要随便同意允许其将你的数据提供给第三方以便更好的提供服务,这个基本就等于同意把你的数据交换给任何一方,当然,这个第三方要用你的数据也需要获得你的授权,但你的数据这时候就被共享了,被滥用的可能性就大幅提高了。
我们每天收到那么多的营销欺诈信息,一开始对你的个人数据的收集可能是合法合规的,你可能还真授了权,但数据捣鼓了几次后,谁还能追踪到数据泄露的责任主体呢?
最后,你会疑问,“生意参谋”的这个产品的数据并未经用户的同意就被淘宝卖给第三方商户了,这怎么说?
这是因为涉案“生意参谋”数据产品所使用的网络用户信息经过匿名化脱敏处理后已无法识别特定个人且不能复原,不属于个人信息的对外共享、转让及公开披露行为,对此类数据的保存及处理将无需另行向用户通知并征得用户的同意。
也就是说,经过处理无法识别特定个人且不能复原的数据不属于四十二条个人信息保护的范围。
现在大数据产品很多都是这些类型,其实也有人持不同意见,但当前法律上认定这是合法的,只是这个“不能复原”到底谁来权威界定,你说不能复原就不能复原吗?信息不对称还是有的。
比如同样是指标数据,如果我告诉你是2个人的汇总指标数据,你就能复原,这是有操作空间的,从严谨的角度讲,对于生意参谋指标涉及的清单数据要有个量的范围说明,反正没有绝对的标准。
可以做一个假设,如果淘宝的某个极度冷门的商品只有一个人购买,那生意参谋体现的针对这个商品的分析是否是个人的分析?
钻牛角尖的目的不是无理取闹,而是的确可能有这种情况,数据处理的技巧是很多的,当前法律也不一定想得周全,当然,淘宝公司的生意参谋不大可能,一方面其商品和用户是海量的,另一方面也没有驱动力。
二、淘宝公司对于“生意参谋”数据产品是否享有法定权益?
淘宝公司认为,“生意参谋”数据产品所提供的数据内容系其在收集海量原始数据基础上,经过深度分析处理、整合加工而形成的衍生数据。“生意参谋”数据产品是淘宝公司的劳动成果,其数据内容中所包含的原始数据与衍生数据均系淘宝公司的无形资产,淘宝公司对此依法享有财产所有权及竞争性财产权益。
美景公司认为,淘宝公司的涉案数据内容使用的是网络用户享有财产权的相关信息,淘宝公司对涉案数据内容不应享有权利或权益。
法院认为,涉案“生意参谋”数据产品中的数据内容虽然来源于原始用户信息数据,但淘宝将巨量枯燥的原始数据通过一定过得算法过滤,整合成适应市场需求的数据内容,形成大数据分析,并直观呈现给用户,能够给用户全新的感知体验,已成为网络大数据产品。
由于互联网经济作为新型市场形态正处在形成与新兴过程中,调正网络运营者与网络用户相互间权利义务关系的专门性法律法规尚处在探索创立阶段,目前对于双方间的利益分配与权利冲突,应当秉持“合法、合理、公平”的原则,综合考量法律规定,双方间法律关系属性以及有利于社会公共秩序与社会公众利益维护等因素予以评判。
首先,网络用户信息作为单一信息加以使用,通常情况下并不当然具有直接的经济价值,在无法律规定或合同特别约定的情况下,网络用户对于其提供于网络运营者的单个用户信息尚无独立的财产权或财产性权益而言。
这就是说,法律上并不默认你的个人数据有财产性权益,也就无所谓财产权,你的个人数据在法律并不认定有价值!
其次,鉴于原始网络数据,只是对网络用户信息进行了数字化记录的转换,网络运营者虽然付出了劳动,但原始网络数据的内容仍未脱离原始网络用户信息范围,故网络运营者对于原始网络数据仍应受制于网络用户对于其所提供的用户信息的控制,而不能享有独立的权利,只能依据与网络用户的约定享有原始网络数据的使用权。
这就定性了,互联网公司不享有网络原始数据的所有权,只有受限的使用权!
再次,网络大数据产品不同于原始网络数据,其经过网络运营者大量的智力劳动成果投入,是与网络用户信息、原始网络数据无直接对应关系的衍生数据,因此其开发的大数据产品,应当享有自己独立的财产性权益。
也就是说,法律上认定对于加工的大数据产品拥有独占的财产权益,可以交易售卖。
最后,对于淘宝公司诉称其对涉案“生意参谋”数据产品享有财产所有权的诉讼主张,法院认为,财产所有权作为一项绝对权利,如果赋予网络运营者享有网络大数据产品财产所有权,则意味不特定多数人将因此承担相应的义务,限于我国法律目前对于数据产品的权利保护尚未作出具体规定,对这项主张不予确认。
也就是说,当前法律上无法认定大数据产品的财产所有权最终归谁,留待以后解决,淘宝开发的大数据产品并不完全属于淘宝,这有点出人意料,就像土地一样,你拥有使用权,但并不拥有所有权。
三、我的总结
1、网络运营者在收集数据的时候应当向用户明示并取得同意
2、个人信息指身份数据,不要无限扩大,理论上终端串号、QQ账号等都不属于个人信息
3、由于网络运营中往往留有个人信息,诸如QQ账号等与其他信息结合可以识别自然人个人身份,因此网络运营者的网络浏览日志等信息的保护实际等同于个人信息
4、网络运营者基于原始网络数据加工的无法识别到自然人身份的数据,或者非个人信息,使用无需征得用户同意,即使这些数据来源于网络用户原始数据
5、网络用户对个人原始网络数据不具有财产权益,也就是说,没有网络运营者的数据加工,个人原始网络数据法律上不认可其价值
6、网络运营者拥有原始网络数据的使用权,但不拥有所有权
7、网络运营者拥有大数据产品的竞争性财产权益,但对其财产所有权暂时无法确认
8、网络运营者之间的个人信息交换要获得用户授权,这里笔者认为还存在模糊地带,比如网络运营者拥有的Cookie、MAC、各种ID等(当前认定为非个人信息)与其他信息结合是否可以识别自然人个人身份存在争议
这个判决绝对具有里程碑式的意义,虽然我国法律不是判例法,但如果大家以后要争论数据的各种权利,特别是从事大数据行业的同仁,可以先参考这个判例,其实没有绝对的对错,但我们都得尊重法律。
鉴于笔者水平有限,解读难免出问题,特别是衍生部分,由此到一般也不一定成立,如有异议,可以自行通过以下网址查看判决书全文:
https://mp.weixin.qq.com/s/dYSE_u9F5UnuF4ncRpQpQg
最后,每周我将会挑1-2本我读过的书或文章进行推荐,优先大数据、人工智能类,欢迎选读!
完
作者:傅一平 (微信号:fuyipingmnb)
好书或文章推荐(每周我会挑选出1-2本好看的书或文章进行推荐)
《韭菜的自我修养》 李笑来的新书,2个小时畅快读完,两个字:务实,本人并不炒股,但李笑来的书肯定会买,其比特币事件轰轰烈烈,但跟我们学习提升没关系
《财富自由之路》 李笑来的老书,颠覆了很多认知,具有强烈的批判精神,经常会去重读一下,就是老忘
《算法霸权》写得一般,但数据类的新书实在太少,也只能将就读读!
可能错过的近期精选文章(点击链接即可阅读)
从芝麻信用分透露的详细数据设计,我们能从中得到什么启示?
如何避免成为一台取数机器?
哪些广为人知的数据挖掘案例其实是一地鸡毛?
数据的价值到底如何评估?
为什么我提交的数据分析报告总是被领导K?
我如何用统计学指导自己的生活?
从吴军的“算法的油水就那么多”说起!
一起成长,让我们与数据同行
忙完工作,偷得浮生半日闲,讲述自己的数据人生
大叔/电信博士/500强央企/大数据/人工智能/统计取数/数据挖掘/数据产品/数据管理/数据仓库/数据变现