动态与观点
- 引 言 -
对于互联网公司而言,数据的重要性不言而喻。
建立在大数据收集、分析处理基础上的互联网公司,需要数据累积才能实现价值,新进入市场的互联网公司没有足够的数据支撑很难与大型互联网公司竞争,《个人信息保护法》第四十五条第三款[1]给了新兴互联网公司机会。
依据(2016)京73民终588号中专家辅助人的描述,互联网数据的获得方式大致包括抓取和获取两种方式。前者是指未经授权,第三方采用爬虫程序抓取网页中的非结构化数据的行为;后者是指经过网络平台以及用户授权后,通过网络平台提供的接口而获取结构化数据的行为。
在《个人信息保护法》出台之前,互联网公司会通过爬虫插件等抓取大型互联网公司的数据,这种很容易会被认为是不正当竞争从而承担高额的赔偿责任,或者通过与大型互联网公司合作的方式获取信息,但是这种情况下,大型互联网公司具有定价权以及排除许可使用的权利。
在《个人信息保护法》出台之后,互联网公司可以采取另外一种直接获得用户授权的数据收集方式,由于该条款在我国实践并不成熟,合规问题需要进一步探讨。
- 探 讨 -
一、通过爬虫获取数据途径
(2016)沪73民终242号
在本案件中,原告公司认为被告公司APP通过爬虫程序抓取大量原告公司网站内的评论信息,直接替代了原告公司网站的内容。
二审法院认为在被告APP中搜索某一商户,虽然附有原告公司网站的跳转链接,但是基于日常消费经验,消费者逐一阅读所有用户评论的概率极低,消费者在该APP中阅读用户评论信息后,已经无需再跳转至原告网站阅读更多的信息,因此构成了实质性替代,这种替代会使得原告公司的利益受到损害。
实际上在有关数据抓取案件中确立了实质性替代的原则。
原则上,通过爬虫抓取数据只能抓取公开数据。对于采取技术措施或者违反了网站或者产品的服务规则或用户协议、或者被抓取额数据为服务运营者投入劳动或资源的衍生数据,都可能被认定为不正当竞争行为。
因此,新兴互联网公司在使用爬虫程序抓取网站数据时,应当注意:
01.遵循“最少、必要”的原则,不能超出必要的限度,不能实质性替代被爬取的产品或服务;
02.尽量避免对于采取技术措施的网站的抓取行为;
03.尊重被爬取网站或网络服务提供者的劳动成果,比如基于网络平台算法对原始数据进行分析、处理后的衍生数据,如果爬虫程序抓取这样的数据,就可能触及不正当竞争行为。
二、通过与大型互联网公司合作获取数据途径
(2016)京73民终588号
在本案件中,二审法院确立了“用户授权+平台授权+用户授权”的三重授权原则。
二审法院确立了“用户授权+平台授权+用户授权”的三重授权原则。
“三重授权原则”是指用户在第一次使用某网络服务时,也即网络平台第一次进行用户收集时应获得用户授权;第三方想要使用该网络平台用户数据时需要经过该网络平台的授权以及用户第二次授权。
二审法院认为庞大的用户数据是平台重要的商业资源,是企业竞争力的核心,平台对外提供数据应该坚持三重授权原则,以保护用户隐私和维护企业核心竞争力。
三重授权原则体现了我国司法实践中对数据权属的划分,该原则遵循了《个人信息保护法》的立法目的,互联网公司将用户数据进行分级分类,与第三方合作时根据合作需要提供给第三方对应的开放端口。
第三方平台在使用用户信息时应当明确告知用户其使用的目的、方式和范围,再次取得用户的同意。
但是三重授权原则体现出对用户数据无差别的对待(即在向第三方提供数据时不区分敏感数据和非敏感数据均应取得用户同意),然而在《个人信息保护法》中使用个人敏感信息时需要单独同意,也就是说如果第三方获取的仅是用户非敏感信息或者匿名信息时可以不需要用户单独同意。
所以在《个人信息保护法》实施后的案件中还应调整相应的裁判尺度。
但是依据该案件的裁判规则,新兴互联网公司在与大型互联网公司进行合作时应注意:
01.要按照合同约定的使用期限、使用范围、使用目的和使用方式处理用户数据,且在合同期满后按约定及时处理相应数据;
02.不仅要审查合作方是否在初次收集时获得用户授权,也要审查在本次合作中是否获得用户的授权。
三、通过用户直接授权获取数据途径
(2019)浙8601民初1987号
在本案件中,原告公司主张被告开发运营的群控软件恶意破坏微信的数据安全。
被告辩称,用户的社交数据权益归用户所有,微信不享有任何数据权益,并且引入“个人数据携带权”,即数据控制者应当按照数据主体的请求,将规定的数据副本传输给数据主体个人或第三方。
法院认为:数据可以分为两种数据形态,一是数据资源整体,二是单一数据个体。平台对于前者享有竞争性权益,对后者享有有限使用权。
另外,法院并未采纳关于个人数据可携权的主张。一是因为个人数据可携权在我国尚未有法律规定,二是被告获得用户数据并未经过微信平台授权,也未经过关联用户授权。
该案中虽然将个人数据携带权的概念引入,但是由于被告运营的群控软件未取得用户授权,因此并不具有使用合法来源。
(2017)京0108民初24530号
在本案件中,被告称,被告平台同步微博内容系用户授权,用户对于其发布的内容拥有独立完整的权利,其权利范围至少包括许可他人使用以及怎样使用,该权利不应受“经平台同意”或“不得授权他人行使”的非法限缩。
但是法院并未支持被告该主张,一是认为被告平台并未获得原告的授权;二是在被告平台采取的五种授权方式(书面授权、电子授权、邮件授权、入住视频授权、口头授权)后两种授权方式很难说明用户具有授权行为;三是被告平台移植的内容包括原告在运营中对用户数据进行处理而产生的衍生数据,侵害了原告的权益。
依据上述案件,尽管两个案件中法院并未支持被告的意见,但却是对数据可携权的一次探讨:
01.作为互联网公司,在移植其他平台内容时需要获得用户授权,但是获取用户授权的方式需要特别注意,最好能采用书面,电子或者邮件的方式留存证据,其实还可以采用在登录今日头条时,可以增加一些选项,比如用户同意移植微博内容等;
02.值得注意的是,第三方移植平台内容范围仅限用户个人所上传的内容,也即用户原始内容。不得将该内容扩大到平台的衍生数据;
03.《个人信息保护法》的施行,是否可以在用户协议中排除数据可携权?笔者认为是不可以排除的,因为数据可携权不仅作为数据主体的一项基本权利,同时也对数据流动、使用产生很重要的影响。
四、新兴互联网公司有关数据迁移的法律合规
在欧盟严格的个人数据保护的规定影响下,各国都开始注重对个人数据的保护。
但是越来越清晰地显示,个人的原始数据的权属属于个人,个人享有数据可携权,如果经过了互联网平台分析、处理后的衍生数据权属归于平台。
这样的权利划分决定了数据可携权的范围,以及在出现类似爬虫之后的责任承担问题。
数据可携权在我国司法中还处于发展初期,但是对于想利用该权利实现公司数据原始积累的新兴互联网企业,提前做好数据合规会走得更快。
1.对于数据可携权范围的把控,从少有的案例中初见端倪,数据的传输仅是用户的原始数据,该原始数据应该是机器可读的结构化数据。如果获得的数据范围过分扩大,可能会损害相关平台的利益,从而引发纠纷。如果获取的数据可能包含其他内容,比如平台的衍生数据、第三人数据,这时应该取得相应授权。
2.对处理行为的限制。WP29(29条工作组)制定的《数据可携权指南》中规定了对处理行为的限制,当处理行为是通过自动化方式进行的并且是基于数据主体的同意或基于数据主体为缔约方的合同时,该行为才会被纳入数据可携权的范围,我国对于数据处理方式并未做详细规定。
3.从我国《个人信息保护法》和欧盟的GDPR[2]来看,原则上经过数据主体同意,对于个人数据的传输是不区分敏感信息和非敏感信息均应该无障碍传输,但是均规定了例外情况:符合国家网信部门条件的,而欧盟更加精确到符合公共利益、不侵害他人权利以及受制于官方禁令。
4.虽然新兴的互联网公司降低了数据原始积累成本,但是并不因此降低其数据安全和管理的义务,因为由于数据的可迁移性,数据安全和管理必须在不同公司规模,不同安全性和风险管理能力的组织之间共享,因此考虑到个人信息保护的严格性,所以应该从一开始就意识到数据安全管理的问题。
- 结 语 -
新进入者无法向大型互联网公司收集数据或购买数据时,数据收集可能会成为互联网公司的行业进入壁垒,大型互联网公司可能采取歧视性访问、排他性合同甚至拒绝提供数据等措施达到市场集中化。
数据可携权不仅赋予个人更多的控制权,同时也降低了个人在不同网络平台的切换成本,降低了新兴互联网公司的数据积累成本。
大量的原始数据以及基于原始数据形成的衍生数据使得互联网平台获得竞争优势,为用户提供更为个性化的服务和产品。
根据《个人信息保护法》第四十五条规定的数据迁移权利,互相传输的仅是用户提供的原始数据,因此,对于不同平台而言,基于大数据、算法等技术产生的衍生数据作为平台的核心竞争,势必会产生一种现象—用户的原始数据逐渐共享,而对于算法等技术更为私有,从而巩固了具有数据优势的平台的市场力量。
[1] 《个人信息保护法》第45条“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径”。
[2] GDPR第20条关于数据携带权的规定。
免责声明:本文仅为分享、交流、学习之目的,不代表恒都律师事务所的法律意见或对法律的解读,任何组织或个人均不应以本文全部或部分内容作为决策依据,因此造成的后果将由行为人自行负责。