卢纯昕:数据保护的类商业秘密路径建构
数据保护的类商业秘密路径建构
卢纯昕:法学博士,广东外语外贸大学法学院副教授
内容提要
在我国尚未为数据赋权的当下,为增强数据保护的可预见性,在反不正当竞争法中设立商业数据专条成为数据保护的可循路径。基于数字时代商业数据与商业秘密的内在共通性,反不正当竞争法商业数据专条的建构可采用类商业秘密保护路径,但应区分商业数据和商业秘密,并通过例外规则平衡数据保护与分享。在商业数据专条的设计中,数据客体界定规则是基础,数据不正当竞争行为类型规则是核心,数据不正当竞争限制例外规则是保障。数据不正当竞争类型包括不正当获取型、违反信义型、“非一手”转得型、帮助侵害型。数据垄断与实质改进等例外情形是数据合法使用的抗辩事由。
关 键 词
商业数据 类商业秘密保护 反不正当竞争法 商业数据专条
引 言
随着数据价值的凸显,企业间关于数据的争议愈演愈烈。本文所言“数据”,特指相对于个人数据和公共数据而言的企业数据,是商业领域的数据集合,即商业数据。如,点评网站收集的消费者评价、社交媒体网站收集的用户生成内容、航空公司的航班信息集合等。尽管著作权法、商业秘密等知识产权制度已为此类数据提供了多层次法律保护,但依然存在保护的空白地带。2022年12月印发的《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称《数据二十条》)就数据产权、数据流通交易、数据收益分配、数据安全治理等基础制度提出了全面系统的意见,对规范数据保护和利用有重要的指导作用。但是,中央政策文件不能取代全国性立法,从国家层面推动数据产权或数据权益保护相关立法势在必行。
但当前理论界和实务界对数据财产权建立的必要性、数据财产权的客体边界、权利归属、权利性质等问题远未达成统一意见。换言之,是否有必要在数据这种新型要素上确立财产权,以及确立何种财产权,是当前各国或地区面临的重大理论和实践难题。为避免产权化后产生的不可逆影响,司法实践充分发挥了反不正当竞争法的“权利孵化器”功能。当前商业数据纠纷的主要处理依据为《反不正当竞争法》的“一般条款”和“互联网专条”兜底款项等原则性条款,但《反不正当竞争法》的原则性条款一直存在适用模糊问题,导致商业数据保护缺乏确定性和可预测性。为此,2022年11月公布的《中华人民共和国反不正当竞争法(修订草案征求意见稿)》(以下简称《征求意见稿》)第18条设立了商业数据专条,拟通过设置类型化条款的方式提供更为清晰的数据竞争规则。
《征求意见稿》商业数据专条与《反不正当竞争法》商业秘密条款存在极大的相似性,系由商业秘密制度改造衍生而来,采用了类商业秘密保护路径。商业数据专条为何采取类似商业秘密条款的设置路径、这种路径如何避免与商业秘密制度相重叠,以及如何兼顾数据保护与流通是商业数据专条设置中不可回避的问题。本文拟从数据专条类商业秘密保护的基础出发,建构平衡数据保护与分享的数据专条类商业秘密制度,并据此优化《征求意见稿》商业数据专条关于商业数据界定、规制行为类型等方面的不足,以期对《反不正当竞争法》修订及数据竞争规则的建立有所助益。
一、类商业秘密保护路径的建构基础
处于保护空白地带的商业数据,其保护路径面临赋权与行为规制路径的二元抉择。尽管国内学术界提出了一系列赋权方式,但从全球实践经验看,除了欧盟对传统数据库创设“数据库特殊权利”外,美国、日本、韩国等国家均采用行为规制路径,在反不正当竞争法等行为规制法的框架下保护商业数据。由此可见,国内外对数据赋权的必要性以及如何赋权仍存在较大争议。
(一)类商业秘密保护路径的必要性:数据赋权争论待解
首先,在数据的生产激励层面,支持构建数据财产权的经济学依据尚存疑。沃夫冈·科贝尔教授认为,没有证据证明生产数据的激励普遍不足。在大数据时代,大量机器生成数据通常作为生产或服务的副产品自动产生,数据生产的激励不足问题并不明显。虽然经济学上尚不能确认激励是否不足,但在数据具有生产成本的前提下,倘若技术和合同难以保证数据处理者对数据事实上的控制,仍可能出现“市场失灵”,可以通过反不正当竞争法恢复数据处理者的事实控制来纠正“有限的市场失灵”。
其次,在数据的交易流通层面,数据赋权是否为解决数据交易问题的良药尚存疑。依据“阿罗信息悖论”,数据流转出去后客观上不受控制,无法形成大规模应用。因此,数据交易者在数据交易中常常面临双重信任困境,即卖方需要相信买方不会窃取其信息内容,买方则需要相信其交易不受欺骗。虽然数据的财产化确权可以赋予交易数据合规的外观,形成公示效果,但无法完全解决数据交易的困境。化解数据交易困境更多借助技术力量,技术的发展和应用能够在一定程度上克服“阿罗信息悖论”。如,支撑数据交易的隐私计算等技术,通过“数据不动模型动”,以期达到“数据可用不可见、用途可控可计量”的目标。在一些数据交易场景中,被许可人无需接触原始数据,只需通过获取数据接口等方式就可实现对数据的有效利用。随着技术的革新,数据交易可以仅使数据利用者获得数据访问权限,在这种交易模式下,数据处理者对数据的控制权并未丧失。
最后,在数据的制度成本层面,数据的变动与多元特性是否导致数据的界定成本高昂尚存疑。任何产权都不是“免费午餐”,获得产权激励收益的前提是付出产权界定成本。产权制度的发展是对激励收益与界定成本最优性价比的探索。依据权益区分理论,权利应同时符合“归属效能”“排除效能”“社会典型公开性”三个教义学标准,故数据财产权要求权利客体具有可识别性。然而,数据生成大多是实时的,其内容处于不断更新的状态,这使产权的界定成本变高。数据的变动性特征和多重属性,要求数据确权遵循场景化方式,适合在反不正当竞争法框架下以个案自下而上推动数据规则体系演进。
(二)类商业秘密保护路径的可行性:新的数据二分视角
依照开放程度数据可分为秘密数据和公开数据两类。商业秘密制度对秘密数据提供了有效保护,但基于对受保护客体的秘密性、保密性等要求,其无法将公开数据纳入保护范围。因此,有必要在商业秘密制度外对公开数据寻求新的保护机制。
在传统的信息“秘密—公开”视角下,信息财产因处于秘密/公开的不同状态而分别适用不同的保护路径。这两种保护路径代表了市场自发激励机制无法发挥作用时法律介入的方式,田村善之教授称之为支撑型激励机制、创设型激励机制。支撑型激励机制是指在事实上的激励机制自身不能发挥功能时,通过法律恢复其自律性作用;创设型激励机制是指市场上既存的激励机制激励不足时,人为创设具有激励作用的制度设计。信息具有非竞争性和非排他性的特征,一旦公开就难以通过对客体的排他性控制来禁止非法盗用,故立法对于可公开的信息往往借助创设型激励机制设立知识产权予以保护。知识产权采取“客体共享、利益排他”的保护范式,将客体占有与利用相分离,并形成控制信息利用行为的“权利束”。而商业秘密由于处于秘密状态,可以通过保密维持排他性控制,因此首先要求秘密持有人自发建立秘密管理体制,而后法律对此种排他性控制提供补充保护。商业秘密保护路径的实质是通过法律保证秘密管理体制正常运转的支撑型激励机制。
随着数字技术的不断革新,信息传播方式发生了很大变化。在数字环境下,数据的传递主要依托机器,且机器之间传递的内容为代码组合而非信息的语义,这给传统的信息“秘密—公开”视角带来新的挑战。一方面,数据公开并不意味着一定失控。数据处理者可以通过代码等措施设置访问权限,在“代码即法律”的空间中,数据处理者不因数据的公开而丧失对数据的事实控制。另一方面,数据传播脱离有形载体,数据交易由原来的商品内容交易可转变为网络空间访问权限交易。数据处理者借助代码等措施建立了数据控制、利用、流转的“私人秩序”。除非恶意破坏、避开上述措施,否则数据处理者对数据的事实控制不会因数据交易而改变。因此,在新的数据二分视角下,原本适用于秘密数据的支撑型激励机制具备了适用于公开数据的可能性。
商业秘密制度属于典型的支撑型激励机制。商业秘密持有人通过秘密管理体制实现对秘密数据事实上的控制。为了制止商业间谍行为对秘密管理体制的冲击,法律禁止突破秘密管理体制的行为,通过在反不正当竞争法中建立商业秘密保护制度提供补充性保护,恢复秘密持有人的自治机制。商业秘密保护制度降低了秘密持有人的保密成本,避免秘密持有人为防止商业秘密被不当获取而与竞争者展开保密措施上的较量,从而促进了数据的流通与共享。与商业秘密类似,数据处理者通过管理措施同样能够实现对公开数据事实上的管控。依据公开的程度不同,公开数据可以进一步细分为半公开的数据和完全公开的数据,数据处理者对这两类数据分别采取不同的管控措施。对于半公开的数据,数据处理者通常采取诸如防止复制的技术措施、应用程序编程接口(API)认证等措施实施私力救济;对于完全公开的数据,数据处理者则往往设置Robots协议或采取服务条款(Terms of Service)实现“自我赋权”。上述管理措施不仅表明数据处理者的保护意愿,而且在一定程度上形成市场自发激励机制,避免市场失灵。在此种情况下,法律只需通过规制破坏管理措施的行为即可实现对市场自发激励机制的支撑。这与商业秘密制度禁止破坏秘密管理体制行为的路径相一致。数据保护采用类商业秘密保护路径的优势在于此种路径能以较低的社会成本实现法定权利的功能。首先,支撑型激励机制为数据处理者的私力措施提供了“法律强化器”,以法律保护减少数据处理者设置管控措施的成本,避免数据利用者与数据处理者开展技术规避与反规避的“军备竞赛”。其次,在受法律支撑的空间内,数据处理者可以通过代码等管控措施公示数据受保护的范围,并自主划定可获取数据的边界。这允许数据处理者以私人定制的方式,依据不同的数据类型灵活制定相应的保护方案和交易内容。
值得注意的是,基于秘密数据和公开数据的不同保护需求,为了维持精细的利益平衡关系,应分别就秘密数据和公开数据设计不同的制度,而非进行统一的立法。首先,商业秘密保护制度要求秘密持有人采取有效的保密措施,保护边界较为清晰,对公共领域的行动自由影响较小,因此,在能够采用商业秘密制度保护数据的情况下,无需另外设立新的制度为数据集合提供平行保护。其次,公开数据因部分处于公共领域,在制度设计上更为复杂,需在数据保护与数据共享之间寻求平衡,避免过分干涉公共领域的行为自由。
(三)域外类商业秘密保护路径的参考:经验借鉴与不足改进
基于公开数据与商业秘密性质上的共通性,在反不正当竞争法视野下构建类商业秘密保护路径成为域外商业数据保护的一种可行制度选择。这些域外立法为数据类商业秘密保护规则的设计奠定了现实逻辑起点,但也存在不足。
从域外经验看,日本和韩国通过平行立法保护商业数据。2018年,日本在修订《不正当竞争防止法》时专门设立“限定提供数据”条款,规定了受保护数据的要件、侵害数据的不正当竞争类型及适用例外。2021年,韩国《反不正当竞争和商业秘密保护法》第2条第1款第K项也引入类似的数据保护条款。在保护客体上,“限定提供数据”条款设置了较高的门槛,包括限定提供性、相当数量储蓄性、电磁管理性等要件,即受保护的“限定提供数据”的范围只能是向特定营业对象提供,并且累积到一定规模,通过电磁方法存储并且加以管理的与技术或经营相关的信息。日本《“限定提供数据”指南》指出,“限定提供数据”和商业秘密的区别是数据处理者是否有保密意图。“限定提供数据”采取管理措施限定第三方接触数据的目的是为确保实现营业目的而非“保密”。只要第三方符合数据处理者的营业目的就可接触该数据。商业秘密持有人许可他人接触商业秘密的实质也在于符合其营业目的,故仅以保密意图或者许可接触人数的多与寡无法清晰界分“限定提供数据”与商业秘密。在规制的不正当竞争类型上,“限定提供数据”条款与商业秘密的规制范围基本相同,均是禁止未经许可的获取使用和披露行为,具体包括不正当获取的行为、使用或披露数据的行为、违反诚实信用原则使用或披露数据的行为,以及转得者不当获取、使用或披露数据等类型。为确保交易安全和公众获取数据自由,日本还设置了两种数据利用的例外情形,包括善意获取数据者在原权限范围内披露数据的行为,以及与公众可无偿利用的信息相同的数据披露行为。
域外“限定提供数据”立法实质构建了一种类商业秘密保护路径,依据控制措施界定商业数据保护范围,维持企业对其商业数据控制、利用的稳定状态,排除未经许可的数据获取、利用、公开行为。受该立法思路的影响,《征求意见稿》第18条“商业数据专条”与“限定提供数据”条款的设置高度相似。尽管域外数据保护的类商业秘密路径形成了客体较明确、边界相对清晰的商业数据反不正当竞争保护规则,但域外立法的“限定提供数据”条款却存在与商业秘密保护制度交叉重叠、难以界分的缺陷。一方面,这不仅浪费了立法资源,而且人为制造了两种制度衔接的模糊地带,容易引发适用上的争议;另一方面,如果公开数据与商业秘密的保护水平一致,但缺少保密措施这一高保护门槛,这种宽泛的保护将造成公共领域被不当压缩。
基于此,《反不正当竞争法》在借鉴域外“限定提供数据”条款的同时,应通过制度改进以消除重叠保护带来的不利影响。这种制度调适包括在受保护数据的界定上区分商业秘密、优化不正当竞争行为类型以及改良限制例外规则。由此,商业数据的类商业秘密保护路径应由数据客体界定规则、数据不正当竞争行为类型规则、数据不正当竞争限制例外规则三部分组成。这三部分相辅相成、层层递进。首先,数据客体界定规则是基础。通过设立判定要素划定受保护数据的范围,划清与商业秘密的界限。其次,数据不正当竞争行为类型规则是核心。通过列举数据不正当竞争的具体情形,为数据竞争行为设置“负面清单”。“负面清单”一方面秉承了“法无禁止即自由”的理念,充分保障了数据利用者的行为自由;另一方面形成了数据利用者对数据利用行为的稳定预期,有助于划定数据自由利用的空间。最后,数据不正当竞争限制例外规则是保障。在设置“负面清单”过程中这一规则关注消费者利益和社会公共利益,从而形成合理的限制,实现数据保护与数据流通的平衡。
二、类商业秘密保护路径的客体界定
商业秘密制度通过设立秘密性、保密性和价值性的保护要件实现对商业秘密的界定。同样的,类商业秘密路径下受保护的商业数据也可通过客体界定加以识别。《征求意见稿》第18条第2款将受保护的商业数据定义为“经营者依法收集、具有商业价值并采取相应技术管理措施的数据”。这一定义参照了《反不正当竞争法》商业秘密条款对商业秘密的界定方式,强调了受保护数据的合法性、管控性、价值性,但存在范围过宽之嫌。首先,商业数据专条是与商业秘密条款并列的类型化条款,其保护客体应具有公开性,以区别于商业秘密条款的保护客体;其次,管控性要件应具化,具化的管控性要件是商业数据是否受商业数据专条保护最重要的门槛;最后,价值性要件过于笼统,应分解为具备数据规模“量”的要素,以及具备实质投入“质”的要素。
(一)公开性要件:与商业秘密的区分
倘若不区分商业数据专条所保护的商业数据与商业秘密,则可能产生重叠保护问题。通常来说,采取保密措施的数据在公开之前可以作为商业秘密获得保护。如果商业数据专条涵盖此类数据,将引发商业秘密制度与商业数据专条的重叠保护。一方面,在商业秘密制度能为此类数据提供有效保护的情况下,通过商业数据专条提供平行保护的必要性不大;另一方面,重叠保护会破坏商业秘密制度设置的利益平衡。
为避免数据重叠保护带来的消极影响,受保护的商业数据应具备公开性。依据这一要件,处于秘密状态的数据由商业秘密制度保护,商业数据专条的保护客体局限于处于公开状态的商业数据集合。在与商业秘密制度的衔接上,商业秘密制度保护的数据集合主要分两种:(1)在单个数据构成秘密数据的情况下,这些数据条目的集合因自然具备秘密性而满足商业秘密的保护要件。譬如,个人医疗数据属于秘密数据,许多医疗机构将分散的医疗数据整合并进行匿名化处理,此类医疗数据的集合可通过商业秘密制度进行保护。(2)颇有分歧的是,在数据集合中的单个数据不具有秘密性的情形下,单个数据的公开是否构成数据集合获得商业秘密保护的天然障碍。经过处理后的数据集合并非单个数据的简单汇总,与公共领域的单个数据存在较大差别。数据获得商业秘密保护的重要基础在于数据处理者在秘密管理方面的努力,即便数据集合中的单个数据来源于公共领域,只要数据集合整体为保密措施所覆盖,无法轻易从公共领域获取,则该数据集合依然可能具备秘密性。例如,客户名册中单个客户的信息存在于公共领域,但采取了保密措施的客户名册整体仍可作为商业秘密保护。在司法实践中,有部分案例涉及破坏防止接触的技术措施来获取利用数据,如“深圳市谷米科技有限公司与武汉元光科技有限公司等不正当竞争纠纷案”中,被告通过技术手段破解原告的加密系统非法获取数据。这些案件的审理并未关注数据集合的秘密性,未诉诸商业秘密制度而是求助于反不正当竞争法的“一般条款”。在能够采用商业秘密制度的情况下,应优先考虑商业秘密制度。只有处于公开状态的数据集合,才有必要在商业秘密制度外寻求额外的保护机制。
(二)管控性要件:划定保护范围的关键
公开的商业数据并非一定处于公共领域,数据处理者可以通过管控措施划定商业数据的保护范围,表明其管控意愿。管控性要件作为确定客体的关键,要求数据处理者对受保护的商业数据采取一定的管理措施。
首先,管控措施要件能表明数据处理者的意愿,使受保护的商业数据特定和可识别。数据处理者通过管控措施对处于公开状态的商业数据实现事实上的管控,在一定程度上形成市场自发激励机制,避免市场失灵。在网络空间中,代码正成为数据保护的关键屏障。数据处理者利用代码规制数据获取和使用行为的能力逐步完善,能够借助网络空间的代码控制实现防范市场失灵的目标。数据反不正当竞争保护的功能在于支撑上述市场自发激励机制正常发挥作用。管控措施能够使他人轻易识别出数据集合权益的存在,增强商业数据保护的确定性和可预见性。
其次,管控措施要件能公示数据处理者利益之存在。在商业秘密制度中,商业秘密的保密措施通常被视为一种防御方式,通过保密措施向公众发出信号,告知公众秘密持有人享有利益。类似的,数据处理者对合法取得的商业数据通过管控措施建立排他性控制,也可据此公示其有权主张数据利益。
最后,管控措施能限定商业数据的保护范围。纵观域外立法,日本、韩国等为商业数据提供保护时要求数据具备电磁管理性要件,即受保护的数据必须是采用电磁方法进行管理的数据。规定此类管控措施的出发点在于,立法禁止的数据不正当竞争行为类型多,故需强调管控措施要素,提高数据的保护门槛。可以说,管控措施是划定商业数据保护范围的重要依据。
在我国的司法实践中,有不少数据不正当竞争案件将管控措施等同于技术措施,并将采取技术措施作为商业数据受保护的条件之一。例如,当数据处理者对商业数据采取登录机制、IP频率访问限制、验证机制等技术保护措施时,如果数据利用者未经许可突破这些技术措施获取商业数据,则构成不正当竞争。对此有观点指出,假如需要数据处理者对受保护的商业数据采取技术措施来展现保护意愿,可能导致数据处理者竞相在商业数据上设置技术措施,不仅增加其商业成本,而且会剥夺公众接触数据的机会,加剧数据流通的难度。技术措施一般是基于数据安全而被采用,而设置管控措施是为了宣示权利存在,并非立足于技术防护。因此,只要能表示数据权益存在、具有公示属性的措施均可视为管控措施。例如,数据处理者普遍使用的Robots协议等简易措施均可视为管控措施,这些管控措施同样能够发挥保护门槛的功能。
(三)价值性要件:“量”与“质”的分解
数据的价值性主要体现在商业数据能给数据处理者带来直接或潜在的经济利益,是商业数据受保护的第三个要件。只要数据处理者对经营行为有投入,且该经营行为构成数据处理者预期收入的基础,有助于直接或间接获取经济利益,数据处理者就对此具有可诉利益。如在“淘宝(中国)软件有限公司诉安徽美景信息科技有限公司不正当竞争纠纷案”中,法院关注涉案商业数据的功能与效用,并指出,淘宝(中国)软件有限公司推出的“生意参谋”产品是在合法采集的网络用户信息和网络原始数据的基础上,经过深度分析处理整合加工而形成的数据产品,能够为运营者带来相应经济利益,在实践中已经成为市场交易的对象,具有实质性的交换价值。司法实践中,不同法院分别从数据规模、数据投入、数据回报等不同层面,分析考察其商业价值。综上,数据的价值性要件应从数据的“量”“质”两个要素加以衡量。
数据“量”的要素,要求商业数据必须具有实质数量,即受保护的商业数据指向经过广泛收集且专门处理的整体性数据集合,既区别于承载智能算法的元数据,也有别于单向传输并静态呈现的单一数据。在商业数据保护中强调数据规模要素,首先是基于数据集合的本质。大数据处理技术分析的不是少量的数据样本,而是与事物相关的所有数据。与传统数据库相比,大数据包含的数据条目更为多元,不仅包括结构化数据,还包括用户评论、用户分享、设备信息等半结构化和非结构化数据。如果说传统数据库的价值主要体现于数据的内容,大数据的价值则主要体现于数据规模。法院一般从“集聚效应”角度论述数据规模对数据处理者的重要意义。数据处理者只有积累的数据信息足够多,达到一定规模,才能通过广告、团购等途径获取收益。例如,在“深圳市腾讯计算机系统有限公司等诉浙江搜道网络技术有限公司等不正当竞争纠纷案”中,法院认为,“对于数据产品的经营者而言,维护数据资源经营生态环境,吸引用户关注度与用户忠诚度,意味着可以赢得更多的数据流量,进而获得更多的经营收益和衍生产品增值利益”。商业数据规模的量化标准在于数据集合的规模远超普通作品(包括汇编作品)所包含的数据条目数量。例如,在“深圳市谷米科技有限公司与武汉元光科技有限公司等不正当竞争纠纷案”中,原告主张保护的是其开发的智能公交APP“酷米客”的实时数据。经法院查证,被告未经许可抓取的数据日均达300万—400万条。从量的角度看,涉案公交车的实时位置数据所包含的数据量与普通作品的量有明显差距,符合数据规模要素。在此量化标准下,诸如电视节目预报表、电话号码本等有限数据条目的集合难以达到数据规模的要求。由于普通作品含有数百条数据条目的情形十分普遍,点评类、社交网站类、新闻聚合类等具有商业规模的网站所收集的数据量应达到上万条或几十万条才能满足商业数据保护对量的要求。在“新浪诉脉脉案”中,新浪微博用户量达到5亿,用户规模庞大,由此形成的用户信息集合可达到实质数量的标准。
数据 “质”的要素,要求商业数据有为数据生产所付出的实质性投入。实质性投入是法院重点考察的因素之一。我国法院在阐述商业数据保护的必要性时,均提及商业数据有巨额且长期的人力物力投资和投资风险,以论证商业数据是竞争者难以轻易获取的竞争优势。例如,在“腾讯诉斯氏新媒体公司爬取微信公众号案”中,法院强调数据处理者在收集商业数据时投入的大量经营成本,指出,原告为运营微信公众号付出巨额成本,公众号上的数据是原告长期经营打造平台累积的成果,故微信公众号的运营者可以通过经营这些数据获得相应的商业利益。实质性投入是决定商业数据价值的重要要素,故应为其设置合适的判定标准。实质性投入的判定重点应放在数据生产投入的质量上,考量数据处理者对商业数据生产投入是否达到相同产业领域内一般数据处理者的投资规模,且竞争者是否因提取和利用该商业数据而获得竞争优势。基于各产业商业数据的地位不同,立法无法统一建立实质性投入的判断标准,只能依赖司法在个案中依据数据的投资规模、数据在产业的重要程度、实际投资数额、商业惯例等因素综合判定。
三、类商业秘密保护路径的行为类型
对于侵害商业秘密的行为,《反不正当竞争法》第9条采取具体列举性规定,设立了不正当取得型、违反信义型、转得型等不正当竞争行为类型,以禁止不正当获取、披露和使用商业秘密的行为。这种列举式的规定有利于增强适法上的操作性与可预见性,划清不正当竞争与自由竞争的界限。《征求意见稿》商业数据专条在规制商业数据不正当竞争时,也参照了商业秘密条款对不正当竞争类型的列举式规定。不同的是,一方面,《征求意见稿》商业数据专条除了在第1款前三项具体枚举商业数据不正当竞争行为的类型外,还在第4项设置了商业数据不正当竞争行为的兜底款项,但这一兜底款项设置的必要性有待考究;另一方面,《征求意见稿》商业数据专条在规定商业数据不正当竞争行为时既设立了行为要件又设立了结果要件,这种二元要件的设置同样值得斟酌。
(一)数据不正当竞争的行为要件:梳理与优化
《征求意见稿》商业数据专条禁止的商业数据不正当竞争与商业秘密条款所制止的侵害商业秘密行为非常接近。商业数据专条第1款前三项所规定的商业数据不正当竞争主要包括数据不正当获取和利用两大类,但这两类行为的规定存在交叉与待完善之处,需重新梳理优化。
1.数据不正当获取行为的梳理合并
《征求意见稿》商业数据专条第1款第1项和第2项规定了两类不正当获取行为,第1项主要针对破坏技术管理措施获取商业数据的情形,采用的方式包括盗窃、胁迫、欺诈、电子侵入等。在互联网时代,电子侵入成为不正当获取商业数据的主要方式。虽然“电子侵入”通常被视为盗窃的一种手段,但从立法技术角度看,单独列出“电子侵入”符合实用主义的要求,强调了该获取方式的不正当性。电子侵入的对象包括所有存储有他人商业数据的电子载体,包括数字化办公系统、服务器、邮箱、云盘、应用账户等。电子侵入的具体形式包括非法侵入他人计算机系统、植入电脑病毒等。实践中,为了非法获取数据,数据获取方往往采取模拟软件接口入侵他人计算机系统,或采取避开、突破计算机信息安全保护措施等技术手段。譬如,在“杭州执掌科技有限公司、杭州利导科技有限公司等与浙江中服网络科技有限公司不正当竞争纠纷案”中,被告通过收集互联网已泄露的用户和密码信息,生成对应字典表批量登录的“撞库攻击”方式,登录“女装网”并获取原告的商业数据,这种“撞库攻击”属于破坏他人技术措施的非法获取方式。
第2项主要针对违反约定或者合理、正当的数据抓取协议获取商业数据的情形。这里区分了违反基于合意形成的协议和违反数据处理者设置的抓取协议两种类型。首先,基于合意形成的协议是数据处理者与数据利用者意思自治的结果,对协议双方有约束力。特别是当协议对商业数据获取的范围、期限等内容有详细约定时,数据利用者不得违反约定获取商业数据。例如,Open API是软件系统不同组成部分衔接的约定,数据处理者通过与数据利用者签订《开发者协议》,利用Open API授权允许他人抓取数据。在此授权方式下,数据利用者虽有Open API认证,但其在Open API权限之外获取商业数据的行为仍可能构成不正当竞争。在“新浪诉脉脉案”中,尽管被告曾通过Open API与原告合作,但在合作期满后,被告仍超越授权范围通过该接口抓取原告的数据,被法院认定为不正当竞争行为。其次,设置Robots协议是数据处理者常采用的管控措施。Robots协议是数据处理者通过生成robots.txt指明允许抓取与不允许抓取的内容,友好的数据利用者会在数据抓取前事先读取robots.txt,不下载禁止获取的商业数据。尽管Robots协议只是一个君子协定,但基于Robots协议的行业基本准则地位及其背后的技术和市场正当性,原则上应承认Robots协议的效力。因此,Robots协议确立了一般情形下的数据抓取限度,对于违反Robots协议的数据获取行为通常被认定为不正当获取行为。
2.数据不正当使用、传播行为的独立设置
《征求意见稿》商业数据专条第1款第3项规定了包括不正当披露、转让和使用行为的数据不正当利用行为。该项存在两个方面的不足。一方面,“披露”一词强调商业数据从未公开到公开的转变,不适合用于保护公开数据。“转让”一词容易引发误解,数据获取方原本就不享有数据利益,无权实施转让行为。“转让”的实质应是将商业数据有偿提供给他人使用,可以包含在广义的“传播”行为中。故应将《征求意见稿》商业数据专条第1款第3项中的不正当“披露、转让或使用”改为不正当“使用、传播”。另一方面,《征求意见稿》商业数据专条将不正当使用、传播的商业数据限定在该条第1款第1项和第2项所规定的基于不正当获取行为所得的商业数据,这种限定使不正当使用、传播行为丧失了独立意义。通常而言,数据获取是数据使用、传播的前提,使用、传播是获取数据的目的。在多数情况下,数据的不正当获取行为和不正当使用、传播行为具有同一性,数据利用者在不正当获取商业数据后往往会不当使用、传播商业数据。在不正当获取行为本身具有不正当性的前提下,后续的数据使用、传播行为当然被禁止。因此,以不正当获取行为为基础的后续使用、传播行为仍可归入“不正当获取”这一类型。即使数据获取行为正当,也不能直接推定数据使用、传播行为同样正当。例如,在“北京百度网讯科技有限公司与上海汉涛信息咨询有限公司其他不正当竞争纠纷案”中,被告的抓取行为没有违反抓取协议,但这并不意味着被告能随意使用这些商业数据。数据使用、传播行为的正当性有单独讨论的价值,不受获取数据行为正当性的限制。在数据获取行为正当的情况下,数据的不正当使用、传播属于违反信义型的不正当竞争。
据此,《征求意见稿》商业数据专条应独立设置数据的不正当使用、传播行为。无论数据获取行为正当与否,均应独立判断数据使用、传播行为的正当性。其中,“传播”行为主要指向未经许可将商业数据提供给他人的行为。“使用”行为的类型则更为丰富,应从商业数据集合的功能出发,结合数据例外规则综合判定。商业数据集合的功能主要包括两个方面:一是使用数据集合制造新的数据产品,二是利用大数据分析生成数据产品提供决策信息。由此,对商业数据的使用包含两种情况:一是使用获取的公开商业数据,二是使用商业数据形成的延伸产品。就第一种类型的使用,需要依据使用的程度来判定使用行为的正当性。如果对商业数据未加修改,仅是原样复制的使用就属于不正当竞争,如在“上海汉涛信息咨询有限公司诉爱帮聚信(北京)科技有限公司等不正当竞争纠纷案”中,数据利用者对所获商业数据进行原文展示。如果是对所获商业数据处理和加工后的使用,则需与数据不正当竞争例外规则相协调。此种使用是否构成不正当竞争主要取决于数据利用者对数据的改进程度。譬如,在“上海钢联电子商务股份有限公司诉上海纵横今日钢铁电子商务有限公司等不正当竞争纠纷案”中,被告对获取的数据产品的改变仅仅停留在涨跌符号、备注、表格顺序等形式上的变化,与原告的数据产品不具有本质区别,被告的间接使用行为构成不正当竞争。因此,如果数据利用者获得数据处理者的数据后,只是简单处理,且所提供的产品或服务与数据处理者同质,那么这种数据使用行为仍可构成不正当竞争行为。就第二种类型的使用行为,《征求意见稿》商业数据专条并未提及。从商业数据的功能出发,给予商业数据所生成产品的“延伸保护”,可以将非法获取、利用数据所形成的产品清出流通领域,提高商业数据的保护效率。
3.“非一手”转得和帮助侵害的类型新增
《征求意见稿》商业数据专条仅规定了“不正当获取型”“违反信义型”两种典型类型,并设置第1款第4项兜底款项以涵盖前三项无法覆盖的新型数据不正当竞争行为。然而,兜底款项的设置并无必要。一是商业数据专条第1款第4项并未提出新的构成要件,适用条件不清晰;二是即便不存在兜底款项,如果出现新的数据不正当竞争行为,可以适用《反不正当竞争法》“一般条款”予以规制。
虽然商业数据专条不需要设置兜底款项,但应新增两类数据不正当竞争行为。一是转得型不正当竞争行为。《征求意见稿》商业数据专条规定的不正当获取、使用和传播行为仅针对“一手”获取的商业数据,不包括从第三方“非一手”获取的商业数据,容易导致该条款被规避。在“非一手”转得行为的定性上,有必要区分数据利用者获取商业数据时的主观状态,禁止恶意的“非一手”获取、使用和传播行为。为确保数据流通,缩短被规制的链条,“非一手”转得行为要求行为人主观上有恶意,即知道或应当知道他人通过不正当手段获取商业数据的事实。而善意的“非一手”获取、使用和传播行为原则上应被允许。二是教唆、引诱、帮助他人获取和利用商业数据的行为。尽管此类行为并未直接不正当获取或利用商业数据,但客观上助推了不正当获取或利用行为的发生。教唆、引诱、帮助行为也是商业秘密条款中侵害商业秘密行为的一种独立类型。综上,商业数据专条第1款第4项不应设置兜底款项,而应修改为禁止“非一手”恶意获取、使用、传播行为,以及禁止教唆、引诱、帮助他人获取和利用商业数据行为。
(二)数据不正当竞争的结果要件:偏差与删除
关注竞争结果是现代反不正当竞争法转型的重要方面。在借助《反不正当竞争法》“一般条款”进行数据竞争行为的正当性评价时,竞争行为市场效果的经济分析是重要的一环。《征求意见稿》商业数据专条第1款第1项增加了“不合理地增加其他经营者的运营成本、影响其他经营者的正常经营”这一结果要件,以及在第1款第2项和第3项增加了“足以实质性替代其他经营者提供的相关产品或者服务”的结果要件。这两个结果要件均来源于司法实践,是法院适用《反不正当竞争法》“一般条款”处理数据纠纷时采用的标准。但《征求意见稿》商业数据专条对结果要件的设置却存在偏差。
第一,《征求意见稿》商业数据专条第1款第1项的“影响其他经营者的正常经营”标准与第1款第2项、第3项的“实质性替代”标准存在问题。第1款第1项的结果要件考虑了数据处理者因数据不正当竞争所受的损害。而第1款第2项和第3项的“实质性替代”标准是当前司法实践认定获取和使用商业数据是否构成不正当竞争行为的最主要标准。“实质性替代”标准关注的重点是数据竞争行为是否造成市场替代的后果,其描述了数据竞争中的一种状态,即由于数据利用者提供了与数据处理者相似的产品或服务,导致数据处理者提供的产品或服务被挤出市场。然而,竞争者之间的此消彼长是市场竞争的必然结果。仅有数据处理者利益受损不能当然断定数据利用者的行为构成不正当竞争。市场竞争具有损害中性的竞争特性,有竞争必然有损害是市场竞争的“丛林法则”。据此,数据竞争行为不正当性判定的结果要件应综合考虑数据竞争行为对整个竞争秩序 “实质损害”的程度。
第二,更为重要的是,设置结果要件与数据“类商业秘密”保护路径的制度逻辑不吻合。在《反不正当竞争法》“一般条款”规则下,行为要件和结果要件同等重要,对竞争秩序的“实质损害”是判定数据不正当竞争的关键要素之一。但商业数据专条的设立路径与商业秘密相似,均是法律对企业自我构建“事实产权”的支撑。一旦不正当获取、使用、传播行为发生,数据即可能失控,此时需要反不正当竞争法予以立法干预,与是否影响正常经营或构成实质性替代无关。因此,结果要件不应成为商业数据专条中不正当竞争的判定要件。
四、类商业秘密保护路径的例外设置
市场竞争的利益格局错综复杂,利益评价往往并非只是单向的。在数据不正当竞争纠纷中,竞争行为给市场主体造成损害的同时,有时也会带来一些正当抵消利益。商业秘密条款虽没有设置例外规则,但不排除他人通过独立研发、反向工程等方式获取相同的商业秘密。由于商业数据专条对公共领域的影响更大,因此设置商业数据专条的例外限制规则更显重要。数据不正当竞争的例外限制规则不仅体现了反不正当竞争法规制市场竞争的谦抑性,而且保证了数据流通的正当要求,有助于实现商业创新。
(一)“无偿开放数据”例外的证否:无偿标准的不适性
《征求意见稿》商业数据专条第3款借鉴日本《不正当竞争防止法》的规定,设立了“无偿开放数据”的例外。依据该例外规则,如果商业数据与公众可以无偿利用的信息相同,则不属于保护范围。其中,“无偿”是指在接收商业数据时未要求付费,包含仅要求支付商业数据存储介质的对价但未要求对商业数据付费,或未要求支付对价但数据处理者通过广告获得收益等情形。但这一例外规则存在设置上的漏洞,应予以删除。
“无偿开放数据”例外意味着获取利用他人公开、无偿提供的商业数据这一行为是正当的。然而,以无偿开放作为商业数据不受保护的标准将大大缩小商业数据专条的保护范围。一方面,在数据“秘密—公开”二分之下,商业数据专条的保护客体是商业秘密以外公开的商业数据。公开的商业数据集合与数据集合中的单个数据条目是整体与部分的关系:如果将单个数据条目视为大数据集合中的一个“黑点”,数据集合便是这些“黑点”的聚合。即便数据集合中的某些数据条目属于公众可以无偿利用的信息,基于其实质投入数据集合依旧应受保护。在某些情况下,数据处理者可能无偿向公众公开其商业数据,但并不意味着数据处理者允许他人随意获取与利用。倘若允许数据利用者随意利用他人通过巨大投入且采取保护措施的商业数据,将损害公平健康的竞争机制。另一方面,互联网环境下的“注意力经济”往往通过吸引消费者注意力获得商业利益。在这种商业模式下,数据处理者通过无偿提供商业数据获取消费者的关注,增强自身的用户粘性而形成核心竞争力。“免费创造用户,用户创造价值”的商业模式是数据处理者将具有实质投入的商业数据无偿开放的重要动因。如果将无偿开放数据作为不受商业数据专条保护的数据,商业数据专条的意义就会大打折扣。
据此,尽管该例外规则的设置凸显了以数据弱保护促进数据流通的理念,但该款的“无偿利用”标准因不符合互联网“注意力经济”特征而难以实现数据流通的效果,应以公开性、管控性、价值性等要件作为划分商业数据保护范围的依据。对于未采取相应管控措施的公开商业数据,由于缺乏表明意愿的管控性要件不属于保护范围,无须另外设立“无偿开放数据”的例外。
(二)数据不正当竞争例外的新增:数据垄断和实质改进
《征求意见稿》商业数据专条只设立了“无偿开放数据”的例外,但这一例外不仅存在架空商业数据专条适用空间的可能性,且单靠这一例外规则不足以平衡数据控制和分享。数据不正当竞争例外作为商业数据合法使用的抗辩事由,旨在实现数据处理者与利用者的利益平衡,以促进数据处理者和利用者创造的总福利最大化。数据不正当竞争例外应包括数据垄断例外和实质改进例外两种情形。
1.数据垄断例外情形
在某些情况下,数据处理者通过技术措施或者其他手段对商业数据实施控制会带来数据垄断问题。过度依赖技术措施等手段,将影响商业数据的可获得性,使公众合理使用商业数据的空间被不当压缩。在出现数据处理者限制竞争的情况下,除了通过反垄断机制予以矫正外,数据利用者还可据此提出抗辩,以主张自身行为的正当性。例如,单一来源数据可能涉及数据垄断问题。由于特定数据利用者不具有自行生产该类数据的能力,数据利用者在数据处理者拒绝授权访问数据时可能丧失获取和使用商业数据的机会,从而影响数据的公平利用。目前我国司法实践对单一来源数据的特殊性并未予以足够关注。在“深圳市谷米科技有限公司与武汉元光科技有限公司等不正当竞争纠纷案”中,原告作为深圳公交车运行数据的唯一控制者,如果完全排除他人对数据的获取或利用,将造成公交车信息服务二级市场的垄断。该案判决并未对单一来源数据这一问题作出回应。对单一来源数据给予宽泛保护,将不可避免地造成数据封锁。欧盟委员会为此提出具体的强制许可制度,要求数据处理者对此类数据以公平合理无歧视的条款进行许可。由于单一来源数据为某一特定主体所控制,难以通过其他途径获取,过分强调对这类数据的保护会对二级市场造成负面影响,故对单一来源数据的保护应更加谨慎。又如,违反数据处理者设置的Robots协议一般被认定为不正当竞争。但当数据处理者滥用Robots协议拒绝市场参与者抓取数据,在对Robots协议的效率存疑时,数据利用者可以主张否定Robots协议作为判定竞争行为正当性的依据。在“百度网讯公司、百度在线公司诉奇虎公司不正当竞争纠纷案”中,原告通过设置Robots协议白名单的方式限制被告抓取其相关网页内容。尽管设置白名单的行为符合私益的价值追求,但当设置者在市场上具有支配地位时,这种单方拒绝交易的行为对信息流通会造成不利影响。由于数据处理者设置Robots协议的针对性和歧视性,这种阻碍数据流通的Robots协议不能作为数据抓取行为正当性的判定依据。被告也据此成功抗辩,法院认定被告未遵守Robots协议的行为并无不当。
2.实质改进例外情形
实质改进例外适用于能实现创新与公共利益的数据二次使用行为。数据的实质改进使用行为可带来创新增量,对科学创新的作用明显。尽管商业数据的实质改进行为可能会对数据处理者的利益造成影响,但鉴于过高的交易成本或实质改进所带来的公共利益,这种数据使用行为应被视为数据不正当竞争的例外情形。在司法实践中,已有法院参照版权法体系下开放性合理使用的判定标准认定商业数据利用行为的正当性。例如,在“阿里巴巴诉码注公司不正当竞争纠纷案”中,法院通过分析数据使用行为的目的、数据的性质、被使用部分的数量和质量是否超过必要限度,以及使用行为对数据潜在市场或价值的影响等因素,判定被告抓取行为是否正当。
参照版权法上的合理使用制度,实质改进例外的认定应主要考量两个因素:(1)数据利用者对数据使用的转换能力。对商业数据的实质改进使用体现于对数据利用的转换性,即商业数据经过使用后所展现的新意义或新功能。数据使用行为越富有转换性,其对数据市场的影响越小。(2)数据利用者与数据处理者是否构成经济利益竞争关系。从数据使用的结果看,商业数据的二次使用不应与数据处理者的经济利益相冲突,这里的经济利益既包括现有市场收益,也包括预期市场收益。故数据使用行为不得造成对数据市场既有和潜在市场的替代。美国的“LinkedIn案”体现了实质改进例外的认定因素。在该案中,数据分析公司hiQ长期抓取LinkedIn的数据,后LinkedIn通过法律、技术等多种方式拒绝hiQ的数据抓取行为。由于hiQ的商业模式严重依赖LinkedIn的数据,为此hiQ提起诉讼并申请临时禁令。美国法院基于以下原因认定hiQ的行为合法:一是从转换能力看,hiQ进行数据转换性利用带来了创新增量。hiQ并非单纯搬运和展示LinkedIn的数据,而是在对LinkedIn的数据进行深度加工的基础上提供全新的产品和服务。二是从经济利益竞争看,hiQ面向的市场群体与LinkedIn并不相同,不会与LinkedIn的经济利益发生抵触和冲突。三是从数据利用者获得许可的可能性看,LinkedIn限制竞争的意图造成了许可困难。综上,法院支持hiQ数据抓取与利用行为的核心理由是hiQ在促进商业创新与增进社会总福利方面产生的实质增益。
结 语
数据所涉利益关系复杂,我国虽尚未为数据赋权,但实践中已产生数据保护需求。在数据产权保护观点纷争难有定论的情况下,反不正当竞争法成为数字经济时代数据治理的重要手段。基于数字时代数据信息传播的新特点,数据不再因语义公开而失控,原本适用于商业秘密的支撑型激励机制有了更宽的适用范围。基于此,为增强商业数据保护的可预见性,应在反不正当竞争法中采用类商业秘密路径建构商业数据专条。参照商业秘密条款,商业数据专条主要由数据客体界定规则、数据不正当竞争行为类型规则、数据不正当竞争例外规则组成。其中,数据客体界定规则是基础,划定了商业数据的保护范围;数据不正当竞争行为类型规则是核心,将数据不正当竞争类型化为不正当获取型、违反信义型、“非一手”转得型、帮助侵害型;数据不正当竞争限制例外规则是保障,将数据不正当竞争的例外情形作为商业数据合法使用的抗辩事由。
为平衡数据控制与分享,《征求意见稿》商业数据专条应作如下完善:
第一,就商业数据的界定而言,应在合法性、价值性、管控性的基础上,增加公开性要件以区别于商业秘密,并将价值性分解为“量”“质”的要素。商业数据应被界定为:经营者付出实质性收集成本合法形成的、采取管控措施并达到一定数据规模的数据集合(商业秘密除外)。
第二,就数据不正当竞争的行为类型而言,无须设置兜底款项,而应在数据不正当获取、使用和传播行为外,增加“非一手”转得不正当竞争、帮助侵害不正当竞争。具体设置如下:(1)采取破坏技术管理措施、违反约定或合理、正当的数据抓取协议等不正当手段获取数据处理者的商业数据;(2)使用、传播数据处理者的商业数据及其延伸产品;(3)明知商业数据系他人以不正当手段获取仍获取、使用或者传播该商业数据;(4)教唆、引诱、帮助他人不正当获取、使用和传播数据处理者的商业数据。
第三,就数据不正当竞争的限制例外而言,为确保数据的广泛和高效流通,应补充规定:数据利用者在出现数据垄断或实质改进的情形时获取、利用商业数据可以不经数据处理者的同意。
相关链接
2023年第9期|张浩然:数字时代商业秘密制度理论基础的再检视
来源:《知识产权》2024年3期
责任编辑:武伟
编辑:梁艳超
审读:蔡莹 孙雅曼
咨询邮箱:
zscqip@163.com
投稿网站:
https://zscq.cbpt.cnki.net/EditorHN/index.aspx?t=1