新興互聯(lián)網(wǎng)公司數(shù)據(jù)原始積累的法律合規(guī)
2022-01-28
- 引 言 -
對于互聯(lián)網(wǎng)公司而言����,數(shù)據(jù)的重要性不言而喻。
建立在大數(shù)據(jù)收集���、分析處理基礎上的互聯(lián)網(wǎng)公司�����,需要數(shù)據(jù)累積才能實現(xiàn)價值�����,新進入市場的互聯(lián)網(wǎng)公司沒有足夠的數(shù)據(jù)支撐很難與大型互聯(lián)網(wǎng)公司競爭�,《個人信息保護法》第四十五條第三款[1]給了新興互聯(lián)網(wǎng)公司機會��。
依據(jù)(2016)京73民終588號中專家輔助人的描述�����,互聯(lián)網(wǎng)數(shù)據(jù)的獲得方式大致包括抓取和獲取兩種方式��。前者是指未經(jīng)授權��,第三方采用爬蟲程序抓取網(wǎng)頁中的非結構化數(shù)據(jù)的行為;后者是指經(jīng)過網(wǎng)絡平臺以及用戶授權后����,通過網(wǎng)絡平臺提供的接口而獲取結構化數(shù)據(jù)的行為。
在《個人信息保護法》出臺之前����,互聯(lián)網(wǎng)公司會通過爬蟲插件等抓取大型互聯(lián)網(wǎng)公司的數(shù)據(jù),這種很容易會被認為是不正當競爭從而承擔高額的賠償責任���,或者通過與大型互聯(lián)網(wǎng)公司合作的方式獲取信息,但是這種情況下����,大型互聯(lián)網(wǎng)公司具有定價權以及排除許可使用的權利。
在《個人信息保護法》出臺之后��,互聯(lián)網(wǎng)公司可以采取另外一種直接獲得用戶授權的數(shù)據(jù)收集方式�,由于該條款在我國實踐并不成熟,合規(guī)問題需要進一步探討���。
- 探 討 -
一����、通過爬蟲獲取數(shù)據(jù)途徑
(2016)滬73民終242號
在本案件中,原告公司認為被告公司APP通過爬蟲程序抓取大量原告公司網(wǎng)站內(nèi)的評論信息�����,直接替代了原告公司網(wǎng)站的內(nèi)容�。
二審法院認為在被告APP中搜索某一商戶,雖然附有原告公司網(wǎng)站的跳轉鏈接�,但是基于日常消費經(jīng)驗,消費者逐一閱讀所有用戶評論的概率極低�����,消費者在該APP中閱讀用戶評論信息后�,已經(jīng)無需再跳轉至原告網(wǎng)站閱讀更多的信息,因此構成了實質性替代�,這種替代會使得原告公司的利益受到損害。
實際上在有關數(shù)據(jù)抓取案件中確立了實質性替代的原則�����。
原則上�����,通過爬蟲抓取數(shù)據(jù)只能抓取公開數(shù)據(jù)��。對于采取技術措施或者違反了網(wǎng)站或者產(chǎn)品的服務規(guī)則或用戶協(xié)議、或者被抓取額數(shù)據(jù)為服務運營者投入勞動或資源的衍生數(shù)據(jù)�����,都可能被認定為不正當競爭行為�。
因此,新興互聯(lián)網(wǎng)公司在使用爬蟲程序抓取網(wǎng)站數(shù)據(jù)時�����,應當注意:
01.遵循“最少���、必要”的原則����,不能超出必要的限度�����,不能實質性替代被爬取的產(chǎn)品或服務����;
02.盡量避免對于采取技術措施的網(wǎng)站的抓取行為����;
03.尊重被爬取網(wǎng)站或網(wǎng)絡服務提供者的勞動成果��,比如基于網(wǎng)絡平臺算法對原始數(shù)據(jù)進行分析�����、處理后的衍生數(shù)據(jù)����,如果爬蟲程序抓取這樣的數(shù)據(jù)�����,就可能觸及不正當競爭行為����。
二、通過與大型互聯(lián)網(wǎng)公司合作獲取數(shù)據(jù)途徑
(2016)京73民終588號
在本案件中��,二審法院確立了“用戶授權+平臺授權+用戶授權”的三重授權原則�。
二審法院確立了“用戶授權+平臺授權+用戶授權”的三重授權原則。
“三重授權原則”是指用戶在第一次使用某網(wǎng)絡服務時����,也即網(wǎng)絡平臺第一次進行用戶收集時應獲得用戶授權���;第三方想要使用該網(wǎng)絡平臺用戶數(shù)據(jù)時需要經(jīng)過該網(wǎng)絡平臺的授權以及用戶第二次授權。
二審法院認為龐大的用戶數(shù)據(jù)是平臺重要的商業(yè)資源����,是企業(yè)競爭力的核心,平臺對外提供數(shù)據(jù)應該堅持三重授權原則���,以保護用戶隱私和維護企業(yè)核心競爭力���。
三重授權原則體現(xiàn)了我國司法實踐中對數(shù)據(jù)權屬的劃分,該原則遵循了《個人信息保護法》的立法目的�����,互聯(lián)網(wǎng)公司將用戶數(shù)據(jù)進行分級分類����,與第三方合作時根據(jù)合作需要提供給第三方對應的開放端口�����。
第三方平臺在使用用戶信息時應當明確告知用戶其使用的目的、方式和范圍��,再次取得用戶的同意�����。
但是三重授權原則體現(xiàn)出對用戶數(shù)據(jù)無差別的對待(即在向第三方提供數(shù)據(jù)時不區(qū)分敏感數(shù)據(jù)和非敏感數(shù)據(jù)均應取得用戶同意)����,然而在《個人信息保護法》中使用個人敏感信息時需要單獨同意,也就是說如果第三方獲取的僅是用戶非敏感信息或者匿名信息時可以不需要用戶單獨同意�����。
所以在《個人信息保護法》實施后的案件中還應調(diào)整相應的裁判尺度���。
但是依據(jù)該案件的裁判規(guī)則�,新興互聯(lián)網(wǎng)公司在與大型互聯(lián)網(wǎng)公司進行合作時應注意:
01.要按照合同約定的使用期限��、使用范圍��、使用目的和使用方式處理用戶數(shù)據(jù)����,且在合同期滿后按約定及時處理相應數(shù)據(jù)�����;
02.不僅要審查合作方是否在初次收集時獲得用戶授權�,也要審查在本次合作中是否獲得用戶的授權�����。
三�、通過用戶直接授權獲取數(shù)據(jù)途徑
(2019)浙8601民初1987號
在本案件中,原告公司主張被告開發(fā)運營的群控軟件惡意破壞微信的數(shù)據(jù)安全�。
被告辯稱,用戶的社交數(shù)據(jù)權益歸用戶所有�����,微信不享有任何數(shù)據(jù)權益�����,并且引入“個人數(shù)據(jù)攜帶權”�,即數(shù)據(jù)控制者應當按照數(shù)據(jù)主體的請求,將規(guī)定的數(shù)據(jù)副本傳輸給數(shù)據(jù)主體個人或第三方����。
法院認為:數(shù)據(jù)可以分為兩種數(shù)據(jù)形態(tài),一是數(shù)據(jù)資源整體���,二是單一數(shù)據(jù)個體����。平臺對于前者享有競爭性權益�����,對后者享有有限使用權���。
另外�����,法院并未采納關于個人數(shù)據(jù)可攜權的主張��。一是因為個人數(shù)據(jù)可攜權在我國尚未有法律規(guī)定���,二是被告獲得用戶數(shù)據(jù)并未經(jīng)過微信平臺授權,也未經(jīng)過關聯(lián)用戶授權�����。
該案中雖然將個人數(shù)據(jù)攜帶權的概念引入,但是由于被告運營的群控軟件未取得用戶授權�����,因此并不具有使用合法來源���。
(2017)京0108民初24530號
在本案件中��,被告稱����,被告平臺同步微博內(nèi)容系用戶授權�����,用戶對于其發(fā)布的內(nèi)容擁有獨立完整的權利����,其權利范圍至少包括許可他人使用以及怎樣使用,該權利不應受“經(jīng)平臺同意”或“不得授權他人行使”的非法限縮���。
但是法院并未支持被告該主張��,一是認為被告平臺并未獲得原告的授權���;二是在被告平臺采取的五種授權方式(書面授權���、電子授權��、郵件授權�、入住視頻授權、口頭授權)后兩種授權方式很難說明用戶具有授權行為��;三是被告平臺移植的內(nèi)容包括原告在運營中對用戶數(shù)據(jù)進行處理而產(chǎn)生的衍生數(shù)據(jù)��,侵害了原告的權益����。
依據(jù)上述案件,盡管兩個案件中法院并未支持被告的意見��,但卻是對數(shù)據(jù)可攜權的一次探討:
01.作為互聯(lián)網(wǎng)公司��,在移植其他平臺內(nèi)容時需要獲得用戶授權����,但是獲取用戶授權的方式需要特別注意,最好能采用書面����,電子或者郵件的方式留存證據(jù)���,其實還可以采用在登錄今日頭條時,可以增加一些選項���,比如用戶同意移植微博內(nèi)容等���;
02.值得注意的是,第三方移植平臺內(nèi)容范圍僅限用戶個人所上傳的內(nèi)容�����,也即用戶原始內(nèi)容�。不得將該內(nèi)容擴大到平臺的衍生數(shù)據(jù);
03.《個人信息保護法》的施行���,是否可以在用戶協(xié)議中排除數(shù)據(jù)可攜權���?筆者認為是不可以排除的,因為數(shù)據(jù)可攜權不僅作為數(shù)據(jù)主體的一項基本權利��,同時也對數(shù)據(jù)流動、使用產(chǎn)生很重要的影響����。
四、新興互聯(lián)網(wǎng)公司有關數(shù)據(jù)遷移的法律合規(guī)
在歐盟嚴格的個人數(shù)據(jù)保護的規(guī)定影響下��,各國都開始注重對個人數(shù)據(jù)的保護�。
但是越來越清晰地顯示,個人的原始數(shù)據(jù)的權屬屬于個人���,個人享有數(shù)據(jù)可攜權,如果經(jīng)過了互聯(lián)網(wǎng)平臺分析����、處理后的衍生數(shù)據(jù)權屬歸于平臺。
這樣的權利劃分決定了數(shù)據(jù)可攜權的范圍��,以及在出現(xiàn)類似爬蟲之后的責任承擔問題�����。
數(shù)據(jù)可攜權在我國司法中還處于發(fā)展初期�,但是對于想利用該權利實現(xiàn)公司數(shù)據(jù)原始積累的新興互聯(lián)網(wǎng)企業(yè),提前做好數(shù)據(jù)合規(guī)會走得更快���。
1.對于數(shù)據(jù)可攜權范圍的把控�,從少有的案例中初見端倪,數(shù)據(jù)的傳輸僅是用戶的原始數(shù)據(jù)�����,該原始數(shù)據(jù)應該是機器可讀的結構化數(shù)據(jù)�����。如果獲得的數(shù)據(jù)范圍過分擴大���,可能會損害相關平臺的利益�����,從而引發(fā)糾紛��。如果獲取的數(shù)據(jù)可能包含其他內(nèi)容���,比如平臺的衍生數(shù)據(jù)、第三人數(shù)據(jù)���,這時應該取得相應授權�����。
2.對處理行為的限制���。WP29(29條工作組)制定的《數(shù)據(jù)可攜權指南》中規(guī)定了對處理行為的限制���,當處理行為是通過自動化方式進行的并且是基于數(shù)據(jù)主體的同意或基于數(shù)據(jù)主體為締約方的合同時,該行為才會被納入數(shù)據(jù)可攜權的范圍�����,我國對于數(shù)據(jù)處理方式并未做詳細規(guī)定�����。
3.從我國《個人信息保護法》和歐盟的GDPR[2]來看���,原則上經(jīng)過數(shù)據(jù)主體同意,對于個人數(shù)據(jù)的傳輸是不區(qū)分敏感信息和非敏感信息均應該無障礙傳輸���,但是均規(guī)定了例外情況:符合國家網(wǎng)信部門條件的�����,而歐盟更加精確到符合公共利益��、不侵害他人權利以及受制于官方禁令�����。
4.雖然新興的互聯(lián)網(wǎng)公司降低了數(shù)據(jù)原始積累成本�����,但是并不因此降低其數(shù)據(jù)安全和管理的義務�,因為由于數(shù)據(jù)的可遷移性,數(shù)據(jù)安全和管理必須在不同公司規(guī)模�,不同安全性和風險管理能力的組織之間共享,因此考慮到個人信息保護的嚴格性�,所以應該從一開始就意識到數(shù)據(jù)安全管理的問題。
- 結 語 -
新進入者無法向大型互聯(lián)網(wǎng)公司收集數(shù)據(jù)或購買數(shù)據(jù)時�����,數(shù)據(jù)收集可能會成為互聯(lián)網(wǎng)公司的行業(yè)進入壁壘�,大型互聯(lián)網(wǎng)公司可能采取歧視性訪問、排他性合同甚至拒絕提供數(shù)據(jù)等措施達到市場集中化�。
數(shù)據(jù)可攜權不僅賦予個人更多的控制權,同時也降低了個人在不同網(wǎng)絡平臺的切換成本�����,降低了新興互聯(lián)網(wǎng)公司的數(shù)據(jù)積累成本。
大量的原始數(shù)據(jù)以及基于原始數(shù)據(jù)形成的衍生數(shù)據(jù)使得互聯(lián)網(wǎng)平臺獲得競爭優(yōu)勢��,為用戶提供更為個性化的服務和產(chǎn)品�����。
根據(jù)《個人信息保護法》第四十五條規(guī)定的數(shù)據(jù)遷移權利�����,互相傳輸?shù)膬H是用戶提供的原始數(shù)據(jù)��,因此�,對于不同平臺而言,基于大數(shù)據(jù)��、算法等技術產(chǎn)生的衍生數(shù)據(jù)作為平臺的核心競爭��,勢必會產(chǎn)生一種現(xiàn)象—用戶的原始數(shù)據(jù)逐漸共享�����,而對于算法等技術更為私有��,從而鞏固了具有數(shù)據(jù)優(yōu)勢的平臺的市場力量����。
[1] 《個人信息保護法》第45條“個人請求將個人信息轉移至其指定的個人信息處理者,符合國家網(wǎng)信部門規(guī)定條件的�����,個人信息處理者應當提供轉移的途徑”�����。
[2] GDPR第20條關于數(shù)據(jù)攜帶權的規(guī)定�����。
免責聲明:本文僅為分享����、交流、學習之目的���,不代表恒都律師事務所的法律意見或對法律的解讀����,任何組織或個人均不應以本文全部或部分內(nèi)容作為決策依據(jù),因此造成的后果將由行為人自行負責���。
