丁晓东:企业数据的合同法与侵权法保护
丁晓东【摘要】国家数据局最近在有关数据产权的文件中采取了合同优先的立场,司法实践则通过侵权法以及与之关系密切的反不正当竞争法保护企业数据。企业数据的合同法与侵权法保护具有独特优势,其灵活性特征更符合数据的非标准化特征与权利边界的个案性。数据合同并不会侵蚀知识产权制度,其公平性不宜经由过度赋权数据来源者而矫正,其交易也不必通过事前的绝对排他性财产权而实现。数据侵权应以知识产权为基线,以降低收集与共享数据的激励为损害标准,以是否具有外部性来区分侵权法与反不正当竞争法。在互联网背景下,点击协议应当被视为合同,浏览协议与机器人协议不应被视为合同,网络爬虫应结合被收集数据的性质、数量以及数据的搜集和利用方式等要素判断违法性。我们要以部门法交叉的多维视角看待企业数据保护,并深化部门法的法理学研究。
【关键字】数据合同;数据侵权;数据产权;用户协议;网络爬虫
一、问题的提出
对于不受知识产权保护的企业数据,合同法与侵权法提供了重要的保护手段。在我国国家数据局起草落实“数据二十条”文件的过程中,数据合同优先的思路得到了广泛认同。在司法实践中,法院判决了一系列企业数据权益案件,侵权法以及与侵权法具有密切关系的反不正当竞争法在其中发挥了重要作用。通过合同法与侵权法对企业数据进行保护,其本质是充分信任和调动市场在数据资源配置中的作用,利用市场机制解决数据产权问题。 数据合同与数据侵权都面临着一些争议和难点。就合同而言,首先,利用合同对知识产权外的企业数据进行保护,是否等于对数据进行“私人立法”(private legislation),不合理地扩大数据保护的范围?例如,当企业在保密合同中要求对方不得进行反向破解时,企业的保密合同就违反了商业秘密的保护要件。其次,数据合同还面临是否需要对数据来源者进行赋权的争议。目前很多企业合同并未涉及数据,大型企业往往直接将共生性的数据据为己有,数据来源者并未参与数据合同的谈判,也无法对数据进行合理访问与利用。为实现企业数据的公平利用,一个重要问题是,我国是否应效仿欧盟《数据法》对数据来源者进行赋权,以此矫正数据中的合同不公正问题,同时消除企业对数据来源者数据的锁定效应(lock-in effect)。最后,数据合同还面临与财产权的互动问题。合同是否应当以财产权保护为前提?若缺乏财产权保护,合同是否就将无法发挥有效作用?在我国数据要素市场建设中,这些问题尤为重要。
就数据侵权而言,首先,侵权法面临干扰知识产权的问题。如果以侵权法来保护企业数据,那么这可能与知识产权保护的现有边界不一致,在一定程度上架空知识产权制度。例如,知识产权制度不保护没有原创性或没有采取保密措施的事实性数据,如果侵权法保护了这类数据,那么侵权法就等于破坏了著作权法与商业秘密的基本信条。其次,数据侵权还面临损害不确定性问题。当一方未经同意获取另一方或第三方数据并对数据持有方产生不利影响时,如何确定数据在侵权法上的损害?在光谱一端的意见认为,任何数据只要产生了价值就应当受到法律保护,未经同意获取的数据所具有的价值,即是侵权法上所产生的损害。而在光谱另一端的意见则认为,即使是受知识产权保护的数据,在利用数据时所产生的不利影响也不应被认定为侵权法上的损害。面对这些争议,如何从法理上确立损害就成了棘手问题。最后,侵权法与反不正当竞争法的关系也是数据保护的一大难题。目前,在大多数企业数据案件中,我国法院都利用了反不正当竞争法对企业数据进行保护。在此背景下,反不正当竞争法除了限缩侵权主体,是否在其他方面与侵权法并无差别?
在互联网数据背景下,上述问题将进一步复杂化。正如互联网(Internet)这一名称所表明的那样,互联网具有互联互通的特征,其本身就可以被视为一个开放互联的“集体合同”。此外,随着数据爬虫或数据抓取技术的发展,一些互联网企业为了防止其数据被竞争对手抓取,又纷纷在其用户协议或网站服务器的根目录下设置机器人(Robot)协议,限制竞争对手获取其数据。从合同法与侵权法的角度看,这些机器人协议是否可以构成合同要约,无视用户协议或机器人协议的数据爬虫是否可以构成侵权行为,就成了需要进一步分析的问题。
作为对上述问题的解答,本文提出,尽管合同法与侵权法都面临不少挑战,但它们仍为企业数据保护提供了最有效的制度工具。相比传统财产权或物权,合同法与侵权法可为企业数据提供更为个性化、灵活性的制度框架,更能有效平衡企业数据权益保护与各方主体对数据的合理共享利用。在此基础上,本文从法理层面反思了合同、侵权、财产权、知识产权、反不正当竞争等制度之间的关系。在行文上,下文第二、第三部分分别讨论企业数据合同法保护与侵权法保护的疑难与争议问题,第四部分讨论互联网背景下企业数据合同法保护与侵权法保护的问题,第五部分简单讨论部门法交叉与部门法法理学问题。
二、企业数据的合同法保护
(一)合同法对知识产权的灵活补充
对企业数据提供知识产权之外的合同保护,并不会干扰或侵蚀知识产权法。在实践中,企业常常利用保密协议、用户协议、知识产权许可等合同制度对数据进行超出法定知识产权范围的保护。例如,企业可能要求第三方不得利用反向破解手段获取其商业秘密类数据,这类做法等于在个案中将反向破解认定为非法;企业可能限制用户对其购买的著作权类数据的使用次数与方式,这等于在个案中将某些原本合法的著作权使用场景宣布为非法;企业也可能要求被许可人不得将其购买的专利类数据转售给第三方,这等于在个案中限定了被许可人对数据再次销售的权利。一些观点认为,此类合同在个案中“侵蚀”了知识产权制度,妨碍了合同相对方与其他主体对企业数据的合理利用。尤其是在知识产权学界,很多研究从不同角度批判了知识产权许可。
简而言之,当数据合同的形式符合合同要件且其影响主要限于合同双方时,数据合同具有明显的正面收益。对于控制数据的企业而言,合同可以为企业提供知识产权之外的保护,企业也可以通过许可协议更为精准地控制知识产权类数据。对于数据利用方而言,包括许可协议在内的数据合同则可以使其以最具性价比的价格利用数据。从美欧在数据保护上采取的不同立场,我们可看出合同机制对企业数据保护与商业模式创新的意义。1996年,欧盟出于激励投资的目的制定了《数据库法律保护条例》,其第三章对满足一定条件的数据库提供特殊权利(sui generis rights)保护。美国国会则试图引入类似权利,但未获成功。在实践中,美国的数据库企业通过与购买其服务的用户或机构签订合同,有效防止了对数据库的整体性盗用,并在数据库产业发展方面远超欧盟。如果仅因为美国法律并未保护数据库,就认为数据库企业所签订的数据合同产生了过度保护问题,那就将很难解释美国数据库产业是如何发展起来的。
当然,数据合同应当反映合同双方的真实意思。如果企业仅作单方声明,例如企业在其所有的软件或产品说明书里规定,对其软件或产品中数据的使用要受到知识产权条款外其他条款的约束,那么此类声明就可能演变为私人立法,剥夺合同相对人以及其他可能利用这些数据的人的权利。此外,如果数据合同所产生的影响涉及公共利益,或者其不仅影响双方,而且对合同之外的群体有较大的负面影响,那么数据合同中抵触知识产权法中涉及公共利益的规定的条款也应被宣布为无效。例如,如果企业与另一方主体约定,其作品类数据不得被翻译成少数民族语言文字,或者不得被转换为盲文,那么在此类场景中,数据合同将具有显著的负外部性,应当被认定为无效。
(二)数据来源者权利的困境
从数据公平的角度看,对数据来源者或用户进行赋权,并不能达致更为公平的合同与有效的数据市场。以欧盟《数据法》为例,该法案第4条赋予了用户针对数据持有者的知情、协商、访问、利用、转移等权利,并规定用户在合同签订前必须单独磋商数据问题,以保证用户在合作期间对数据“连续、实时”的访问权。第5条则规定了在合作期和合作结束后保证用户提出的向第三方进行“免费”转移数据的权利。但无论是在公平性方面还是在效率方面,此种赋权都存在问题。
就公平性而言,要求企业必须就数据这一要素的情况告知合同相对方,并就数据问题与合同相对方进行单独磋商,并不能矫正所谓的数据不公平。因为关于数据的利用只是企业服务的一部分,如果合同相对方对数据问题提出不合理或过多的要求,企业就会降低其他服务条件或提高费用标准。此外,对数据进行赋权还存在正当性难题。在知识产权或与数据有关的制度中,一般认为,数据的收集者或持有者投入了资本与劳动,因此其对数据的控制有一定的正当性。法律赋权数据来源者,就等于对没有付出或付出较少的被观察对象赋予权利。一般性地赋权这些主体,在正当性层面很难得到论证。
从市场效率的角度看,赋予数据来源者这些权利,也难以提升数据流转的效率。因为对于一些去场景化的、可在不同生态系统间流转的数据,例如云存储空间的个人资料,用户本来就可以轻易通过下载、复制、上传等方式,实现数据在不同生态系统间的流转。而对于一些嵌入生态系统的数据,例如用户在某平台的浏览情况,即使法律赋予了用户数据转移权,这些数据也难以在其他企业或生态系统发挥作用。
当然,如果数据来源者权利涉及个人信息保护、消费者权利保护,或者涉及国际政治博弈,则此类权利可能具有一定的合理性。当数据来源者是个人或消费者时,企业与数据来源者的关系就形成了个人信息处理或消费者保护关系,个人或消费者应当可以在数据合同中主张相关权益。不过,此类权益应当仅限于个人或消费者的相关权益,不能泛化为非个人或非消费者的数据来源者权利。此外还需要指出,欧盟提出数据来源者权利,很大程度是因为欧盟与美国的数据博弈。欧盟的很多传统企业在数字化转型过程中都依赖美国的云服务,所以欧盟试图通过数据来源者权利来制约美国企业。尤其是德国的传统车企,在欧盟《数据法》的制定过程中扮演了重要角色。我国的国情与欧盟大相径庭,我国不仅自身有着强大的数字企业,不存在传统企业严重依赖域外数字企业的问题,而且还在推进传统企业的数字化转型。在此背景下,我国更应审慎对待欧盟在数据来源者权利方面所采取的立场。
(三)合同无需以财产权为前提
有观点认为,缺乏事前的财产化确权,数据交易将只限于合同当事人之间,而无法成为可以大规模流转的商品。就像在商店或证券市场进行买卖的商品或交易的股份一样,如果其产权归属不确定,那么交易者就可能随时面临侵权的风险。此类观点认为,我国的大数据交易所之所以交易数量寥寥,其根本原因就在于,法律没有对数据进行事前的财产权保护。但这种观点忽略了数据的特征,其实数据合同不必以事前统一化和排他性的财产权为前提。
具体而言,围绕数据的合作往往是在某个生态系统下的合作,因此具有场景依附性的服务型合作的特征,这与一般的标准化商品买卖有重要差别。例如,某电商企业利用其数据为商家提供消费者浏览数据,或某数据分析企业为某金融公司提供数据,在此类数据交易或数据合作中,数据的价值与具体场景高度相关。脱离了具体场景,数据很可能就成为毫无价值的Excel表格。而对传统商品来说,例如一桶石油、一克黄金、一部手机或一瓶矿泉水,其价格可以在一定程度上标准化,甚至能实现全国范围内的高度标准化。相反,数据市场很难形成类似传统商品一样的高频交易市场或所谓的厚市场(thick market)。数据市场更类似于咨询类、律师类这样的服务市场,在这类市场中,法律并不需要对咨询师或律师的脑力资源进行一般性的财产权保护,即使法律进行了保护,此类市场也无法形成类似一般商品或证券的商业模式。
有论者从科斯定理出发,认为产权明晰可以降低交易费用。需要指出的是,这一观点并非科斯定理的原意。纵观科斯定理及科斯本人的看法,他并未论证,在现实世界中需要对所有合同关系进行事前确权。科斯的确在有的场景中主张对“不伤害他人的资源”进行确权,例如在关于无线电频谱拍卖与规制的文献中,他认为,“在明确界定权利(delimitation of rights)的基础上,可以通过市场进行权利转让和重组”。但无线电频谱具有与数据完全不同的特征,无线电频谱不仅具有排他性(不同用户不能同时使用某一频谱),而且具有高度标准化的特征。在无线电频谱的例子中,对这一资源进行事前确权,的确可以促进频谱资源的市场流通与交易,就像对石油、黄金、手机、矿泉水进行事前确权有利于促进市场效率一样。但在数据情形中,绝大部分数据所依赖的交易都是个案服务型交易,交易双方主要通过不断接触、了解与商谈来实现数据服务合作,而非像购买产品一样进行高频交易。只在少数情形中,例如顾客购买电子书数据,数据才可能进行较为高频的交易。然而,此类数据常常已经在数据化之前就有对应的产品,例如大部分电子书都有实体书版本,并且大多已经受到著作权或知识产权的保护。对于知识产权保护之外没有实体对应的数据,更为合理的交易模式应当是数据供需双方直接进行合作服务,或者通过中介进行数据撮合型交易。国家数据局在近期逐渐认识到场外交易的主导性地位,并提到要大力发展数商,这应当是一个正确的方向。
三、企业数据的侵权法保护
(一)侵权法对知识产权的灵活补充
数据的侵权法保护与知识产权法保护并不冲突,并不必然干涉知识产权法。毋庸置疑,如果法院对侵权法的应用过于激进,那么数据的侵权法保护可能会对知识产权法的现有规定造成破坏。就像上文提到的,如果法院将获取不具有原创性或未采取保密措施的企业数据也视为侵权,那么此类判决就不当拓展了著作权或商业秘密保护的边界。但这些例子只能说明侵权法的应用不当,而无法说明侵权法本身无法为数据提供合理保护。在其他一些案子中,侵权法仍然可以为相关数据提供实验性保护。例如,对于不受著作权保护的热点新闻类数据,美国最高法院在著名的国际新闻社诉美联社一案中通过侵权法来保护此类数据。该案例虽然存在争议,但至今仍然未被推翻。
不过,数据的侵权法保护也应以知识产权为基准(baseline),在此基础上再进行试探性与个案性保护。之所以要以知识产权为基准,是因为著作权、商标、专利、商业秘密等是与数据关系最为密切的制度,它们已努力在数据保护与数据共享流通之间维系平衡。此外,这些制度经过长期的试错与演化,已在各国法律体系中形成了较为稳定的共识。完全抛弃或大幅偏离知识产权制度,轻易打破知识产权制度在数据问题上已取得的平衡与共识,都有可能对已有法律体系造成较大冲击。例如,如果将知识产权制度中已归属于公共领域或属于合理利用的大量数据都纳入侵权法保护,那么很多原先合法合规的数据利用都会被认定为非法的。同样,如果将很多受知识产权保护的数据纳入侵权法保护,那么知识产权制度将受到重大冲击。
数据的侵权法保护的优势在于其事后保护与个案保护。在实体法上,知识产权提供了数据的事前保护与一般规则保护,这些事前的一般性规则有利于各方主体理解法律所保护的范围,并提前作出相应安排。但知识产权的保护范围有很大的不确定性。知识产权虽然冠以“产权”的名称,但其所保护的法益却不是一种类似传统物权的绝对性权利,所以可通过物权的边界而大致划定侵权的范围。尤其是知识产权制度中的著作权、商标与商业秘密,它们与传统物权更相去甚远,很多对作品、商标、商业秘密的合理获取都不违反知识产权。因此,即使是最痴心于论证财产权制度正当性的史密斯(Henry Smith)教授,也指出著作权制度类似于侵权制度而非财产权制度,商标源自不正当竞争。从知识产权权益的非绝对性出发,我们可以发现,侵权法在个案中对未受知识产权保护的数据进行额外保护,或者在个案中认可对受知识产权保护的数据进行合理利用,本身就有利于知识产权的实验与完善。
(二)以影响收集与共享数据为损害标准
数据侵权应以威慑与激励理论为基础确定损害。所谓威慑与激励理论,指的是侵权法在判断相关行为所造成的损害时,应当聚焦不利影响可能产生的激励与逆向激励,对妨碍相关数据的收集与利用的行为进行威慑。在知识产权理论中,威慑与激励理论具有核心地位。例如,莱姆尼(Mark Lemley)曾指出,如果不对商业秘密进行侵权法保护,任由他人获取企业数据,那么这不仅会干扰企业对于数据的利用,而且还会导致企业采取物理阻隔、行业壁垒等方式来保护其数据,如此一来,企业本来可能公开的数据也会因为这些措施而无法为其他主体所利用。在著作权、专利制度中,威慑与激励理论也占据了核心地位,其基本假设是,对著作权与专利进行保护有利于激励权利人进行创造与发明,从整体上增加社会福利。
对不受知识产权保护的数据,威慑与激励理论更应成为唯一标准。知识产权法除了威慑与激励理论,还存在道德或人格权理论,即认为著作权、专利等之所以受到法律保护,是因为作品或发明与个人的人格密切相关。相对而言,知识产权的道德与人格理论在欧洲比在美国具有更大的影响力。但是在知识产权之外的数据保护中,数据与个人的人格并没有直接相关性。即使是特别强调道德与人格权利的欧洲,也在其《数据库法律保护条例》中将促进数据库投资作为唯一的立法目的。对我国和其他地区的数据侵权而言,法律更应从威慑与激励理论的角度判断相关行为是否造成损害。此外,从侵权法这一制度的百年发展历程来看,现代侵权法逐渐从个案中的填平损害走向社会性的风险预防,即不仅侵权法被用来解决由个案所引起的损失问题,而且侵权法这一制度工具还被用来预防相关风险。侵权法的功能转变也意味着,它从注重“向后看”的道德理论转向了“向前看”的威慑与预防。
从威慑与激励理论出发,数据侵权中的损害应当限于对企业收集与共享数据所造成的影响,而非企业因为涉嫌侵权方获取数据而丧失的收益。正如戈登(Wendy Gordon)所说,由于数据的非竞争性,知识产权与数据侵权刚好是传统侵权的反面或“镜像”(mirror),传统侵权以被侵权方的损害为基础,而知识产权与数据则以社会收益为基础。当涉嫌侵权方未经同意获取企业数据时,只要此类行为并不影响企业继续收集数据,也不影响企业采取更严格措施限制数据流通,那么即使企业丧失了一部分收入,侵权法也应当认定此类行为不存在损害。因为在此类情形中,数据的收集与共享并未受到影响,而涉嫌侵权方则因其行为进一步促成了数据的流通与利用。从数据所产生的整体社会福利看,此类未经同意获取数据的行为具有正外部性。
(三)以外部性区分侵权与不正当竞争
就数据的侵权法保护与反不正当竞争法保护的关系而言,我们应注重从制度关系的视角进行分析,以避免陷入概念或语义学的陷阱(semantic sting)。目前,我国法院较多运用反不正当竞争法对数据进行保护,但这些运用方式与传统侵权法无异。因为法院在援引《反不正当竞争法》第2条的一般性条款时,常常将经营者受到损害作为判断标准。而美国对于知识产权类数据的保护虽然冠以侵权法的名称,但实质上却更多从竞争秩序的角度进行判断。尤其是在学界,一部分观点认为,知识产权侵权的本质是一个平衡数据垄断与市场准入的规制问题,而非侵权方与被侵权方的二维关系问题。
从制度的角度分析,侵权法与反不正当竞争法的核心区别在于相关行为是否具有外部效应。当相关数据获取行为主要涉及侵权方与被侵权方,而对消费者等其他社会主体没有较大影响时,应运用侵权法工具进行分析。因为在此类情形中,侵权方与被侵权方的整体利益即为社会利益。但是,当相关数据获取行为具有较强的外部性,从而对消费者利益与社会竞争秩序产生较大影响时,则可以引入竞争法的制度工具进行分析,或者说侵权法的制度应用也应当考虑竞争秩序。
最后需要强调的是,无论是侵权法还是反不正当竞争法,都不能将未经同意获取对方数据直接认定为损害。对于侵权法而言,其原理上文已作论述。对于反不正当竞争法,也需要指出的是,竞争法的核心是促进市场合理竞争,企业失去既得利益或预期利益并不能直接被认定为竞争法上的损害。如果法律作这种推定,那么这将意味整个市场都是静态和停滞的,企业通过提供更高性价比的产品或服务以赢得客户的行为都属于违法行为。这将导致市场中的企业主体不思进取,依靠国家排斥和打压竞争。就此而言,我国目前用《反不正当竞争法》中的条款对企业数据进行保护显得过于激进,反不正当竞争法应当以成熟的知识产权类权益与合同类性权益为基础,在此基础上进行实验性保护,并最终以消费者权益作为终极判断标准。
四、互联网背景下的数据合同与数据侵权
(一)互联网开放与自治的辩证关系
在互联网场景下,接入互联网的企业是否可以设置合同要约?未经企业同意的数据获取是否属于侵权?对此形成了两极化的意见。一部分观点认为,互联网从其发展之初,就具有开放与互联互通的属性。当企业或用户接入互联网时,只要其数据不受传统知识产权或其他法定权利(如个人信息保护法)的保护,则这些数据就可以为他人所利用或获取。就像电话网络或互联网的物理层与逻辑层一样,接入网络的数据传输或流通不应受到任何限制。例如,当用户插上电话线,就不能选择拒绝某些用户的来电;当用户接入互联网,其数据传输就应当遵守TCP/IP协议,任何用户不得截停或拒绝传输数据。在此类观点看来,互联网应用层与内容层的企业数据也应当保持开放性与中立性。
另一部分观点则认为,互联网的开放性不应妨碍互联网用户的自治。互联网空间本身就存在很多设置了技术性保护措施的秘密空间,例如个人邮箱、云盘、私人账户等。互联网虽然具有互联互通的属性,但企业也可以通过用户协议、机器人协议等技术措施来实现一定的自我保护。就像在移动互联网时代,用户完全可以在手机中将某些用户拉入黑名单,从技术上拒绝来自某些用户的信息。此外,虽然接入互联网的物理层与逻辑层负有互联互通的责任,但企业经常在互联网的应用层和内容层设置“栅栏”甚至壁垒。在这部分观点看来,只要用户协议或机器人协议符合合同要件,或者相关数据获取行为符合上文提到的侵权要件,那么企业数据就可以受到合同法或侵权法的保护。
综合来看,可以发现两种意见各有一定的合理性。一方面,开放互联的确是互联网的显著特征,互联网之所以极大地改变了人类生活,一个关键特征就在于其开放带来的数据网络效应(network effect)和规模效应(scale effect)。就此而言,企业数据的合同法与侵权法保护应当将互联互通视为缺省规则(default rules),即在缺乏明确的合同与侵权损害的条件下,法律应当允许数据的共享流通。另一方面,互联网的开放互联也并不意味着排斥用户自治。其原因在于,如今的互联网已经和电话网络或初期的互联网非常不同,早已发展成为一个极为复杂的多样化的网络系统,互联网上的用户和终端并不是完全平等的节点,互联网的网络互联也早已与电话网络或互联网逻辑层所设想的“一张网”非常不同。在此背景下,允许企业进行合同自治,并利用侵权法对某些企业数据进行保护,就可以更好地保护各方主体的合理预期,同时也不会妨碍数据的网络效应与规模效应。
(二)互联网中合同的类型区分
互联网中的数据合同应首先区分个人用户与商业用户。正如上文所述,如今的互联网早已与初期互联网非常不同,并非简单的端到端(end-to-end)关系。互联网的终端节点之间既有商业主体之间的关系,也有商家与消费者、信息处理者与个人信息主体之间的关系。对于前者,法律可以结合互联网的特征对各类用户协议和机器人协议进行判断。但对后者,法律则应通过消费者保护法或个人信息保护法对其进行判断。当用户协议或机器人协议违反个人法定权利或消费者合理预期时,则应当否定此类协议的效力。例如,当用户协议或机器人协议规定个人不得将其数据转移到第三方网站时,则此类规定属于违反个人信息保护法中关于复制权、转移权的规定,应自始无效。而当用户协议或机器人协议体现消费者真实意志或符合消费者合理预期时,则此类协议应具有合同效力。再如,当互联网企业的用户协议规定其数据服务的账号不能借给第三人使用时,则此类协议应具有合同效力。此外,如果个人用户具有显著的商业或专业属性,例如拥有上千万粉丝的大V,或进行海量数据爬虫并加工出售的个人,那么也应按照互联网背景下的商业合同来对待此类用户的数据合同。
就形式而言,互联网空间中用户协议主要包括点击协议(clickwrap agreement)、下拉协议(scrollwrap agreement)、注册协议(sign-in-wraps agreement)、浏览协议(browsewrap agreement)等类型。其中点击协议一般会有弹窗,在弹窗中要求用户同意网站的使用条款。下拉协议则可视为点击协议的升级版,其要求用户下拉和阅读使用条款,之后才能点击同意。注册协议在用户注册时会提醒用户存在使用条款并提供超链接,声明用户一旦注册或登录,即视为同意网站的使用条款。浏览合同则没有弹窗,仅在网站底部提供网站使用条款的超链接,但一般会声明继续使用网站即同意网站的使用条款。
在不涉及消费者权益与个人信息权益的前提下,应将点击协议、下拉协议、注册协议中的数据条款视为有效合同,将浏览协议中的数据条款视为不具有合同效力的产品说明或单方声明。其原因在于,此类合同往往有较为明确的对价和用户意思表示。对于设置此类协议的企业来说,他们之所以愿意设置弹窗并要求用户点击、下拉阅读或要求用户注册,宁愿接受弹窗导致的用户体验降低,是因为此类协议所涉及的数据具有较为重要的价值,企业愿意将其作为协商的一部分。而对于用户来说,无论是点击、下拉阅读还是注册,用户都可以通过显著的行为而拒绝或接受相关协议、表达自身意志。相反,浏览协议则更接近于网站的“产品说明书”,这类说明书既无法反映企业的协商意愿,也没有为用户提供显著的交互界面与选择机会。这类协议可被视为企业的单方面声明,可以约束作出声明的企业,但无法约束用户。目前,域外绝大多数国家和地区在一系列案件中都作了这一区分,我国法院也可以在案件中借鉴这种区分。
机器人协议以及其他反爬虫技术措施,也类似于产品说明或产品保护措施,不能视为合同要约或合同。机器人协议指的是,企业在自己的网站上设置一个文件(robot.txt),这个文件指明了网站中哪些目录下的网页是不允许爬虫抓取的,然后企业将这个文件放在企业网站服务器的根目录下。因此,机器人协议类似浏览协议或一般产品说明,没有体现企业的协商意愿,也没有给用户提供显著的交互界面与选择机会。反爬虫技术措施则可以进行技术设定,当某一网站访问过快时,该网站就要求输入验证码,以此确定排除非人工的访问。或者可以不定期改变HTML标签,使之无法与Web排序匹配来限制爬虫。从性质上看,这些技术措施都可被视为企业网站的一部分。如果用户规避技术措施,实现对网站数据的抓取,那么就不应认定用户存在合同违约行为。
(三)互联网中侵权的判断要素
侵权法可以对不存在合同关系的“侵犯行为”进行保护,例如在浏览合同、规避机器人协议和技术措施的情形中,获取数据的某些不当行为可以得到侵权法保护。但正如上文所述,数据侵权中的损害与传统侵权损害并不相同,数据侵权的损害应当以相关行为是否损害法定利益或数据收集与分享的激励为标准,而非以相关行为是否搭便车或丧失交易机会为标准。在互联网背景下,这意味着数据侵权应当首先避免以未经授权而访问作为侵权的标准。对于相关法律法规,应对其进行合理解释,避免将未经同意的爬虫行为一概视为侵权、不正当竞争甚至是犯罪。
以我国为例,网络爬虫在过去若干年遭遇了法律较为严厉的打击。有的执法甚至援引我国《刑法》第285条的规定,认定网络爬虫属于侵入“计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据”的行为,因此属于犯罪行为。在此需要指出,《刑法》第285条所规定的非法获取计算机信息系统罪以情节严重为要件,主要针对具有保密性质的数据,其性质类似我国《刑法》第245条所规定的非法侵入住宅罪。但在网络爬虫案件中,很多数据爬虫所爬取的是具有公开属性的数据,这类数据爬取行为更接近于进入开放商场的商家。显然,对于此类商家而言,进入商家并不需要店家的明示或默示同意。即使店铺在其门口挂上“同行免进”或“XX免进”的告示,进入店铺也未必一定违法。美国对网络爬虫的法律规制也有类似情况。在互联网尚未大规模商业化运营的1986年,美国国会制定了《计算机欺诈与滥用法案》(CFAA),将未经授权或超过授权访问计算机系统视为犯罪。美国法院在适用这一法案时,曾经也在若干案例中采取了较为严格机械的解释,但之后逐渐认识到,并非所有违反用户协议或机器人协议的行为都属于违法。很多学者也指出,美国法院对于《计算机欺诈与滥用法案》的适用在经历初期的激进扩张后,近年来已经逐渐将很多合理的数据爬虫行为合法化,此类做法更为合理。
在判断标准上,数据爬虫的侵权认定应考虑被爬虫数据的性质、被爬虫数据的数量、爬虫的方式、爬虫后的数据利用等要素。就数据的性质而言,数据越接近法定权利,其受侵权法保护的可能性越大,法律允许非授权访问的空间就越小。在知识产权类数据中,这种情形就已经非常明显。例如,对于权利属性更强的著作权而言,通过规避技术措施获取著作权类数据属于违法。但对于权利属性更弱的商业秘密而言,通过合理的反向工程获取商业秘密类数据则不违法。对于非知识产权类数据,法律也应进行此类区分。例如,在实践中,有的企业在自己网站上实时更新自己收集整理的稀缺资源的动态价格数据,这类数据类似于前文所述的“热点新闻类”数据,其受保护的程度就应当高于其他一般数据。如果相关数据爬虫行为产生了负面激励,造成了相关企业不愿意公开此类数据,那么法律可以利用侵权法对相关行为进行救济。
就被爬虫数据的数量而言,法律应当考虑被爬虫的数据是否是被爬虫方的所有数据或实质性部分。欧盟《数据库法律保护条例》中的侵权要件就以数据库整体或“实质性部分”(substantial part)作为判断侵权的重要标准。该条例制定于互联网大规模商业化运行之前的1996年,主要针对非互联网场景下的数据库保护。在互联网背景下,法律对被爬取数据数量的判断标准应当更为严格。企业在互联网平台的数据具有很强的公开性,企业的很多数据原本就是第三方所创造,而且企业收集与共享数据的动机本来就不是为了售卖,即使其数据被爬取,企业也仍有强大的动力继续收集与共享数据。总而言之,如果被爬取的数据仅仅只构成企业数据的少量或非实质性部分,则此类行为不应属于侵权。相反,当被爬取数据的数量达到实质性部分的标准时,则不能排除数据爬虫的侵权性,法律应当结合其他要素进行分析。
就爬虫方式或爬虫与反爬虫中的技术措施而言,法律应当着重分析数据爬虫对于网站安全的影响。如果数据爬虫对网络安全产生影响,例如入侵企业或个人的邮箱、云盘等具有保密性质的网络空间,或者影响被爬虫方的网速,那么此时应当直接判定相关行为侵权。在此类情形中,被侵权方存在明确的损害。如果不存在此类情形,则应根据其他情形作进一步的判断,不能将数据爬虫或反爬虫的技术措施一概视为侵权或妨碍网络互联。网络中的数据爬虫常常引发爬虫与反爬虫技术的攻防战,这类攻防战如果不侵害安全利益或其他法定利益,其实并非坏事。在商业竞争中,商家使出浑身解数吸引对方顾客或者防止顾客流失,打听对方非商业秘密类信息,不仅有利于增加消费者福利剩余,而且有利于创造更为公平且更有活力的竞争环境,帮助企业提高竞争和创新能力。允许企业利用技术措施进行合理攻防,可有效促进数据市场的竞争。
就爬虫后的数据利用方式而言,法律应首先着重分析爬虫后的数据是否进行了转换性利用。对于越倾向于转换性利用的数据,应当越倾向于认定其不存在侵权。采取这种方案的理由在于,数据的转换性利用可以创新商业模式,为用户提供更加差异化和丰富性的产品服务。数据的转换性利用对于原先企业的替代性也较小,不会降低原先企业的数据收集与利用的动力。近几十年来,转换性利用(transformative use)在美国的著作权法上成为关键性判断标准。在数据爬虫属于侵权还是合理使用的问题上,我国司法也可以借鉴这一判断标准。此外,对爬虫后的数据利用,还应当分析相关数据是否被用于具有公益属性的数据共享与公共传播。数据利用所具有的公益属性和共享传播属性越强,则应越倾向于认定相关行为并不侵权。例如,对于搜索引擎的数据爬虫,著作权的相关立法与司法都已将其视为合理利用,对于一般数据,法律更应将其排除在侵权之外。
结 语
合同法与侵权法之所以能够为企业数据提供保护,其原因在于合同与侵权制度的个案性和灵活性。虽然数据常常被比喻为石油或黄金,但绝大部分企业数据无法像石油或黄金那样进行标准化的产品交易。由于企业数据的场景化特征,绝大部分数据交易在性质上更接近于个性化的服务。此外,数据还具有非竞争性与非排他性特征,数据并没有类似有体物那样明确的天然权利边界。数据的这些特征使得企业数据很难成为标准化的且权利边界明晰的产品,因此也不适宜通过排他性的传统财产权模式来保护企业数据。相反,合同法与侵权法的保护模式,在具体个案中勾勒企业数据财产的权利边界,更符合数据的特征。在前数字时代,合同法与侵权法就在各类服务活动中发挥了重要作用。例如,为提供咨询和接受咨询的双方提供合同法保护,对商业秘密进行侵权法保护。对具有类似特征的数据服务,合同与侵权制度也可发挥重要作用。
企业数据的合同法与侵权法保护并不意味着抛弃其他制度,恰恰相反,它们需要与财产权、知识产权、反不正当竞争法等多种制度保持协调。企业数据的合同法保护需要分析合同对知识产权制度的影响、数据来源者权利、合同法与财产法之间的关系。企业数据的侵权法保护需要以知识产权为基线,对损害进行重新界定,并厘清其与反不正当竞争法之间的关系。同时在互联网背景下,企业数据的合同法保护又需要结合互联网的开放与自治进行更为深入的分析。在这个意义上,虽然本文重点借助合同与侵权制度来分析企业数据保护问题,但这种分析并未采取单维视角,而是结合其他视角进行多维分析。关于数据保护,未来还需要进一步深化部门法交叉研究与部门法法理学研究,形成数据法律研究的多维知识体系。
丁晓东,中国人民大学法学院教授、博士生导师