新興互聯(lián)網(wǎng)公司數(shù)據(jù)原始積累的法律合規(guī)
2022-01-28
- 引 言 -
對(duì)于互聯(lián)網(wǎng)公司而言,數(shù)據(jù)的重要性不言而喻��。
建立在大數(shù)據(jù)收集��、分析處理基礎(chǔ)上的互聯(lián)網(wǎng)公司��,需要數(shù)據(jù)累積才能實(shí)現(xiàn)價(jià)值��,新進(jìn)入市場(chǎng)的互聯(lián)網(wǎng)公司沒(méi)有足夠的數(shù)據(jù)支撐很難與大型互聯(lián)網(wǎng)公司競(jìng)爭(zhēng)���,《個(gè)人信息保護(hù)法》第四十五條第三款[1]給了新興互聯(lián)網(wǎng)公司機(jī)會(huì)�����。
依據(jù)(2016)京73民終588號(hào)中專(zhuān)家輔助人的描述���,互聯(lián)網(wǎng)數(shù)據(jù)的獲得方式大致包括抓取和獲取兩種方式。前者是指未經(jīng)授權(quán)�����,第三方采用爬蟲(chóng)程序抓取網(wǎng)頁(yè)中的非結(jié)構(gòu)化數(shù)據(jù)的行為����;后者是指經(jīng)過(guò)網(wǎng)絡(luò)平臺(tái)以及用戶(hù)授權(quán)后,通過(guò)網(wǎng)絡(luò)平臺(tái)提供的接口而獲取結(jié)構(gòu)化數(shù)據(jù)的行為����。
在《個(gè)人信息保護(hù)法》出臺(tái)之前,互聯(lián)網(wǎng)公司會(huì)通過(guò)爬蟲(chóng)插件等抓取大型互聯(lián)網(wǎng)公司的數(shù)據(jù)�����,這種很容易會(huì)被認(rèn)為是不正當(dāng)競(jìng)爭(zhēng)從而承擔(dān)高額的賠償責(zé)任����,或者通過(guò)與大型互聯(lián)網(wǎng)公司合作的方式獲取信息�����,但是這種情況下���,大型互聯(lián)網(wǎng)公司具有定價(jià)權(quán)以及排除許可使用的權(quán)利。
在《個(gè)人信息保護(hù)法》出臺(tái)之后����,互聯(lián)網(wǎng)公司可以采取另外一種直接獲得用戶(hù)授權(quán)的數(shù)據(jù)收集方式,由于該條款在我國(guó)實(shí)踐并不成熟���,合規(guī)問(wèn)題需要進(jìn)一步探討���。
- 探 討 -
一、通過(guò)爬蟲(chóng)獲取數(shù)據(jù)途徑
(2016)滬73民終242號(hào)
在本案件中���,原告公司認(rèn)為被告公司APP通過(guò)爬蟲(chóng)程序抓取大量原告公司網(wǎng)站內(nèi)的評(píng)論信息�����,直接替代了原告公司網(wǎng)站的內(nèi)容�。
二審法院認(rèn)為在被告APP中搜索某一商戶(hù)����,雖然附有原告公司網(wǎng)站的跳轉(zhuǎn)鏈接,但是基于日常消費(fèi)經(jīng)驗(yàn)���,消費(fèi)者逐一閱讀所有用戶(hù)評(píng)論的概率極低�����,消費(fèi)者在該APP中閱讀用戶(hù)評(píng)論信息后�,已經(jīng)無(wú)需再跳轉(zhuǎn)至原告網(wǎng)站閱讀更多的信息���,因此構(gòu)成了實(shí)質(zhì)性替代�����,這種替代會(huì)使得原告公司的利益受到損害�。
實(shí)際上在有關(guān)數(shù)據(jù)抓取案件中確立了實(shí)質(zhì)性替代的原則��。
原則上�����,通過(guò)爬蟲(chóng)抓取數(shù)據(jù)只能抓取公開(kāi)數(shù)據(jù)��。對(duì)于采取技術(shù)措施或者違反了網(wǎng)站或者產(chǎn)品的服務(wù)規(guī)則或用戶(hù)協(xié)議、或者被抓取額數(shù)據(jù)為服務(wù)運(yùn)營(yíng)者投入勞動(dòng)或資源的衍生數(shù)據(jù)���,都可能被認(rèn)定為不正當(dāng)競(jìng)爭(zhēng)行為�。
因此�,新興互聯(lián)網(wǎng)公司在使用爬蟲(chóng)程序抓取網(wǎng)站數(shù)據(jù)時(shí),應(yīng)當(dāng)注意:
01.遵循“最少����、必要”的原則,不能超出必要的限度���,不能實(shí)質(zhì)性替代被爬取的產(chǎn)品或服務(wù)��;
02.盡量避免對(duì)于采取技術(shù)措施的網(wǎng)站的抓取行為�����;
03.尊重被爬取網(wǎng)站或網(wǎng)絡(luò)服務(wù)提供者的勞動(dòng)成果���,比如基于網(wǎng)絡(luò)平臺(tái)算法對(duì)原始數(shù)據(jù)進(jìn)行分析、處理后的衍生數(shù)據(jù)����,如果爬蟲(chóng)程序抓取這樣的數(shù)據(jù)�,就可能觸及不正當(dāng)競(jìng)爭(zhēng)行為�����。
二�、通過(guò)與大型互聯(lián)網(wǎng)公司合作獲取數(shù)據(jù)途徑
(2016)京73民終588號(hào)
在本案件中�����,二審法院確立了“用戶(hù)授權(quán)+平臺(tái)授權(quán)+用戶(hù)授權(quán)”的三重授權(quán)原則����。
二審法院確立了“用戶(hù)授權(quán)+平臺(tái)授權(quán)+用戶(hù)授權(quán)”的三重授權(quán)原則。
“三重授權(quán)原則”是指用戶(hù)在第一次使用某網(wǎng)絡(luò)服務(wù)時(shí)�,也即網(wǎng)絡(luò)平臺(tái)第一次進(jìn)行用戶(hù)收集時(shí)應(yīng)獲得用戶(hù)授權(quán);第三方想要使用該網(wǎng)絡(luò)平臺(tái)用戶(hù)數(shù)據(jù)時(shí)需要經(jīng)過(guò)該網(wǎng)絡(luò)平臺(tái)的授權(quán)以及用戶(hù)第二次授權(quán)����。
二審法院認(rèn)為龐大的用戶(hù)數(shù)據(jù)是平臺(tái)重要的商業(yè)資源,是企業(yè)競(jìng)爭(zhēng)力的核心���,平臺(tái)對(duì)外提供數(shù)據(jù)應(yīng)該堅(jiān)持三重授權(quán)原則�����,以保護(hù)用戶(hù)隱私和維護(hù)企業(yè)核心競(jìng)爭(zhēng)力��。
三重授權(quán)原則體現(xiàn)了我國(guó)司法實(shí)踐中對(duì)數(shù)據(jù)權(quán)屬的劃分�,該原則遵循了《個(gè)人信息保護(hù)法》的立法目的,互聯(lián)網(wǎng)公司將用戶(hù)數(shù)據(jù)進(jìn)行分級(jí)分類(lèi)�����,與第三方合作時(shí)根據(jù)合作需要提供給第三方對(duì)應(yīng)的開(kāi)放端口��。
第三方平臺(tái)在使用用戶(hù)信息時(shí)應(yīng)當(dāng)明確告知用戶(hù)其使用的目的�����、方式和范圍���,再次取得用戶(hù)的同意����。
但是三重授權(quán)原則體現(xiàn)出對(duì)用戶(hù)數(shù)據(jù)無(wú)差別的對(duì)待(即在向第三方提供數(shù)據(jù)時(shí)不區(qū)分敏感數(shù)據(jù)和非敏感數(shù)據(jù)均應(yīng)取得用戶(hù)同意)��,然而在《個(gè)人信息保護(hù)法》中使用個(gè)人敏感信息時(shí)需要單獨(dú)同意���,也就是說(shuō)如果第三方獲取的僅是用戶(hù)非敏感信息或者匿名信息時(shí)可以不需要用戶(hù)單獨(dú)同意�����。
所以在《個(gè)人信息保護(hù)法》實(shí)施后的案件中還應(yīng)調(diào)整相應(yīng)的裁判尺度��。
但是依據(jù)該案件的裁判規(guī)則���,新興互聯(lián)網(wǎng)公司在與大型互聯(lián)網(wǎng)公司進(jìn)行合作時(shí)應(yīng)注意:
01.要按照合同約定的使用期限����、使用范圍���、使用目的和使用方式處理用戶(hù)數(shù)據(jù),且在合同期滿(mǎn)后按約定及時(shí)處理相應(yīng)數(shù)據(jù)�;
02.不僅要審查合作方是否在初次收集時(shí)獲得用戶(hù)授權(quán),也要審查在本次合作中是否獲得用戶(hù)的授權(quán)���。
三�、通過(guò)用戶(hù)直接授權(quán)獲取數(shù)據(jù)途徑
(2019)浙8601民初1987號(hào)
在本案件中�,原告公司主張被告開(kāi)發(fā)運(yùn)營(yíng)的群控軟件惡意破壞微信的數(shù)據(jù)安全。
被告辯稱(chēng)���,用戶(hù)的社交數(shù)據(jù)權(quán)益歸用戶(hù)所有�,微信不享有任何數(shù)據(jù)權(quán)益,并且引入“個(gè)人數(shù)據(jù)攜帶權(quán)”�,即數(shù)據(jù)控制者應(yīng)當(dāng)按照數(shù)據(jù)主體的請(qǐng)求,將規(guī)定的數(shù)據(jù)副本傳輸給數(shù)據(jù)主體個(gè)人或第三方���。
法院認(rèn)為:數(shù)據(jù)可以分為兩種數(shù)據(jù)形態(tài)���,一是數(shù)據(jù)資源整體,二是單一數(shù)據(jù)個(gè)體�。平臺(tái)對(duì)于前者享有競(jìng)爭(zhēng)性權(quán)益,對(duì)后者享有有限使用權(quán)�����。
另外�,法院并未采納關(guān)于個(gè)人數(shù)據(jù)可攜權(quán)的主張。一是因?yàn)閭€(gè)人數(shù)據(jù)可攜權(quán)在我國(guó)尚未有法律規(guī)定�����,二是被告獲得用戶(hù)數(shù)據(jù)并未經(jīng)過(guò)微信平臺(tái)授權(quán)���,也未經(jīng)過(guò)關(guān)聯(lián)用戶(hù)授權(quán)�����。
該案中雖然將個(gè)人數(shù)據(jù)攜帶權(quán)的概念引入����,但是由于被告運(yùn)營(yíng)的群控軟件未取得用戶(hù)授權(quán),因此并不具有使用合法來(lái)源���。
(2017)京0108民初24530號(hào)
在本案件中���,被告稱(chēng),被告平臺(tái)同步微博內(nèi)容系用戶(hù)授權(quán)���,用戶(hù)對(duì)于其發(fā)布的內(nèi)容擁有獨(dú)立完整的權(quán)利����,其權(quán)利范圍至少包括許可他人使用以及怎樣使用��,該權(quán)利不應(yīng)受“經(jīng)平臺(tái)同意”或“不得授權(quán)他人行使”的非法限縮��。
但是法院并未支持被告該主張����,一是認(rèn)為被告平臺(tái)并未獲得原告的授權(quán);二是在被告平臺(tái)采取的五種授權(quán)方式(書(shū)面授權(quán)�����、電子授權(quán)��、郵件授權(quán)���、入住視頻授權(quán)���、口頭授權(quán))后兩種授權(quán)方式很難說(shuō)明用戶(hù)具有授權(quán)行為;三是被告平臺(tái)移植的內(nèi)容包括原告在運(yùn)營(yíng)中對(duì)用戶(hù)數(shù)據(jù)進(jìn)行處理而產(chǎn)生的衍生數(shù)據(jù)����,侵害了原告的權(quán)益。
依據(jù)上述案件�,盡管兩個(gè)案件中法院并未支持被告的意見(jiàn),但卻是對(duì)數(shù)據(jù)可攜權(quán)的一次探討:
01.作為互聯(lián)網(wǎng)公司�����,在移植其他平臺(tái)內(nèi)容時(shí)需要獲得用戶(hù)授權(quán)��,但是獲取用戶(hù)授權(quán)的方式需要特別注意�����,最好能采用書(shū)面,電子或者郵件的方式留存證據(jù)���,其實(shí)還可以采用在登錄今日頭條時(shí)��,可以增加一些選項(xiàng)�����,比如用戶(hù)同意移植微博內(nèi)容等�����;
02.值得注意的是�����,第三方移植平臺(tái)內(nèi)容范圍僅限用戶(hù)個(gè)人所上傳的內(nèi)容����,也即用戶(hù)原始內(nèi)容���。不得將該內(nèi)容擴(kuò)大到平臺(tái)的衍生數(shù)據(jù)����;
03.《個(gè)人信息保護(hù)法》的施行�,是否可以在用戶(hù)協(xié)議中排除數(shù)據(jù)可攜權(quán)?筆者認(rèn)為是不可以排除的�,因?yàn)閿?shù)據(jù)可攜權(quán)不僅作為數(shù)據(jù)主體的一項(xiàng)基本權(quán)利,同時(shí)也對(duì)數(shù)據(jù)流動(dòng)�、使用產(chǎn)生很重要的影響。
四����、新興互聯(lián)網(wǎng)公司有關(guān)數(shù)據(jù)遷移的法律合規(guī)
在歐盟嚴(yán)格的個(gè)人數(shù)據(jù)保護(hù)的規(guī)定影響下,各國(guó)都開(kāi)始注重對(duì)個(gè)人數(shù)據(jù)的保護(hù)�。
但是越來(lái)越清晰地顯示,個(gè)人的原始數(shù)據(jù)的權(quán)屬屬于個(gè)人��,個(gè)人享有數(shù)據(jù)可攜權(quán)�,如果經(jīng)過(guò)了互聯(lián)網(wǎng)平臺(tái)分析、處理后的衍生數(shù)據(jù)權(quán)屬歸于平臺(tái)�。
這樣的權(quán)利劃分決定了數(shù)據(jù)可攜權(quán)的范圍,以及在出現(xiàn)類(lèi)似爬蟲(chóng)之后的責(zé)任承擔(dān)問(wèn)題���。
數(shù)據(jù)可攜權(quán)在我國(guó)司法中還處于發(fā)展初期�,但是對(duì)于想利用該權(quán)利實(shí)現(xiàn)公司數(shù)據(jù)原始積累的新興互聯(lián)網(wǎng)企業(yè)����,提前做好數(shù)據(jù)合規(guī)會(huì)走得更快�。
1.對(duì)于數(shù)據(jù)可攜權(quán)范圍的把控����,從少有的案例中初見(jiàn)端倪,數(shù)據(jù)的傳輸僅是用戶(hù)的原始數(shù)據(jù)���,該原始數(shù)據(jù)應(yīng)該是機(jī)器可讀的結(jié)構(gòu)化數(shù)據(jù)���。如果獲得的數(shù)據(jù)范圍過(guò)分?jǐn)U大,可能會(huì)損害相關(guān)平臺(tái)的利益�����,從而引發(fā)糾紛�。如果獲取的數(shù)據(jù)可能包含其他內(nèi)容,比如平臺(tái)的衍生數(shù)據(jù)�、第三人數(shù)據(jù),這時(shí)應(yīng)該取得相應(yīng)授權(quán)��。
2.對(duì)處理行為的限制�。WP29(29條工作組)制定的《數(shù)據(jù)可攜權(quán)指南》中規(guī)定了對(duì)處理行為的限制,當(dāng)處理行為是通過(guò)自動(dòng)化方式進(jìn)行的并且是基于數(shù)據(jù)主體的同意或基于數(shù)據(jù)主體為締約方的合同時(shí)���,該行為才會(huì)被納入數(shù)據(jù)可攜權(quán)的范圍�����,我國(guó)對(duì)于數(shù)據(jù)處理方式并未做詳細(xì)規(guī)定��。
3.從我國(guó)《個(gè)人信息保護(hù)法》和歐盟的GDPR[2]來(lái)看�,原則上經(jīng)過(guò)數(shù)據(jù)主體同意��,對(duì)于個(gè)人數(shù)據(jù)的傳輸是不區(qū)分敏感信息和非敏感信息均應(yīng)該無(wú)障礙傳輸����,但是均規(guī)定了例外情況:符合國(guó)家網(wǎng)信部門(mén)條件的,而歐盟更加精確到符合公共利益�、不侵害他人權(quán)利以及受制于官方禁令。
4.雖然新興的互聯(lián)網(wǎng)公司降低了數(shù)據(jù)原始積累成本�,但是并不因此降低其數(shù)據(jù)安全和管理的義務(wù),因?yàn)橛捎跀?shù)據(jù)的可遷移性�����,數(shù)據(jù)安全和管理必須在不同公司規(guī)模�,不同安全性和風(fēng)險(xiǎn)管理能力的組織之間共享,因此考慮到個(gè)人信息保護(hù)的嚴(yán)格性,所以應(yīng)該從一開(kāi)始就意識(shí)到數(shù)據(jù)安全管理的問(wèn)題���。
- 結(jié) 語(yǔ) -
新進(jìn)入者無(wú)法向大型互聯(lián)網(wǎng)公司收集數(shù)據(jù)或購(gòu)買(mǎi)數(shù)據(jù)時(shí)�����,數(shù)據(jù)收集可能會(huì)成為互聯(lián)網(wǎng)公司的行業(yè)進(jìn)入壁壘����,大型互聯(lián)網(wǎng)公司可能采取歧視性訪(fǎng)問(wèn)����、排他性合同甚至拒絕提供數(shù)據(jù)等措施達(dá)到市場(chǎng)集中化。
數(shù)據(jù)可攜權(quán)不僅賦予個(gè)人更多的控制權(quán)�����,同時(shí)也降低了個(gè)人在不同網(wǎng)絡(luò)平臺(tái)的切換成本����,降低了新興互聯(lián)網(wǎng)公司的數(shù)據(jù)積累成本。
大量的原始數(shù)據(jù)以及基于原始數(shù)據(jù)形成的衍生數(shù)據(jù)使得互聯(lián)網(wǎng)平臺(tái)獲得競(jìng)爭(zhēng)優(yōu)勢(shì)��,為用戶(hù)提供更為個(gè)性化的服務(wù)和產(chǎn)品��。
根據(jù)《個(gè)人信息保護(hù)法》第四十五條規(guī)定的數(shù)據(jù)遷移權(quán)利,互相傳輸?shù)膬H是用戶(hù)提供的原始數(shù)據(jù)����,因此��,對(duì)于不同平臺(tái)而言�,基于大數(shù)據(jù)、算法等技術(shù)產(chǎn)生的衍生數(shù)據(jù)作為平臺(tái)的核心競(jìng)爭(zhēng)���,勢(shì)必會(huì)產(chǎn)生一種現(xiàn)象—用戶(hù)的原始數(shù)據(jù)逐漸共享����,而對(duì)于算法等技術(shù)更為私有�����,從而鞏固了具有數(shù)據(jù)優(yōu)勢(shì)的平臺(tái)的市場(chǎng)力量�。
[1] 《個(gè)人信息保護(hù)法》第45條“個(gè)人請(qǐng)求將個(gè)人信息轉(zhuǎn)移至其指定的個(gè)人信息處理者,符合國(guó)家網(wǎng)信部門(mén)規(guī)定條件的�,個(gè)人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑”。
[2] GDPR第20條關(guān)于數(shù)據(jù)攜帶權(quán)的規(guī)定���。
免責(zé)聲明:本文僅為分享�����、交流����、學(xué)習(xí)之目的,不代表恒都律師事務(wù)所的法律意見(jiàn)或?qū)Ψ傻慕庾x�,任何組織或個(gè)人均不應(yīng)以本文全部或部分內(nèi)容作為決策依據(jù),因此造成的后果將由行為人自行負(fù)責(zé)�����。
