来源:中国审判
争 议 源 起
随着大数据的普及和发展,对于数据权归属的研究日益迫切。报道显示,到2020年,全球的电子数据量将比2010年多40倍。由于数据的重要作用,随之也出现了大量的数据聚集服务平台。近年来,对网络用户信息的发掘已经有了技术性突破。然而,由于数据的流动性及覆盖的广泛性,并没有普适的规制路径来处理这些平台的数据争议,进而实现在个人权益、平台利益、公共政策及法律执行等方面的平衡。
与此同时,各国法院针对这些案件所给出的不同裁判意见也使这部分争议变得更为复杂。
在美国hiQ&Linkedln案件中,法官判令Linkedln在24小时内解除对hiQ使用公开资料的技术限制。美国第九巡回上诉法院在2019年9月9日作出的二审判决中,认为自动抓取可公开访问的数据不违反《美国计算机欺诈和滥用法案》,进而维持了一审法院作出的对hiQ公司有利的裁决。
在我国的新浪微博诉脉脉案中,法院判决确定了通过开放平台接口获得用户数据时必须遵循的“用户授权+平台授权+用户授权”原则。此外,在我国的安徽美景诉淘宝不正当竞争案中,法院认为,原始网络数据只是对网络用户信息进行了数字化的记录转换,网络运营者虽然在此转换过程中付出了一定的劳动,但原始网络数据的内容仍未脱离原网络用户信息范围,故网络运营者不能享有独立的权利,只能依其与网络用户的约定享有对原始网络数据的使用权。
从上述案件可以看出,类似问题所引发的结果存在差异,进而也带来了关于网络数据共享权利分配问题的思索。
数据权权属分配
鉴于我国对社交网络平台的数据权利归属至今未有统一标准,本文将从欧盟及美国的相关立法和判例中寻找可以借鉴的解决之道。
(一)欧盟确认个人数据权及企业数据库权
无论是欧盟出台的《通用数据保护条例》(以下简称“GDPR”),还是欧盟各成员国的立法,均强调公民个人享有数据权利。数据控制者及数据服务提供者因收集、整理数据所付出的实质性劳动和投入,则可通过数据库权得到保护。
G D P R将数据权利归属于自然人,同时要求数据控制者采取恰当的技术和组织措施,确保数据处理过程符合规定。在这一过程中,数据控制者需要考虑处理的实质、范围、背景、目的及对自然人权利和自由带来危害的可能性和严重性。
就欧盟而言,对于数据库权的规定主要体现在1996年颁布的《欧洲议会与欧盟理事会关于数据库法律保护的指令(96/9/EC)》中,内容集中于保护数据库服务提供者收集、整理及展示数据的权利。该指令第七条第一款规定了数据库权利的保护范围。数据库权利被认定为“一种禁止对数据库内容的全部或者实质性部分(定性或者定量)进行摘录或再利用的权利。”“摘录”被定义为“采取任何方法或形式,将数据库的全部内容(或实质性部分)永久或暂时地转移到另外一个载体上”。数据库权利适用于下载、拷贝、打印及其他任何形式的复制。对于社交网络平台服务提供者来说,他们在收集、处理数据之后,用户可以通过输入注册信息的方式登录平台。从这个层面上讲,社交网络平台服务提供者收集用户信息并建立起的数据集合,应当被认定为数据库。
欧盟的立法,一方面对个人作为数据权利的主体进行了确认,另一方面,也认可了数据收集服务提供者应当享有的数据库权利。然而,如何准确判断“实质性”的定义,以及如何平衡数据库权利与公共利益等问题,仍然未得到解决。
(二)美国确认个人权利主体身份并保护企业利益
出于历史影响等原因,欧盟对隐私的保护程度远超美国。欧盟的消费者可以直接控制他们的数据,包括改变或者删除数据。相比之下,美国的消费者仅有权选择不公开数据,从而禁止数据被收集或转卖。长期以来,美国对于数据的管控大都是基于行业自律。从很多层面上看,这一种方式都显得更为高效。
受2018年Cambridge Analytica数据挖掘公司滥用数据的影响,美国加利福尼亚州立法机构开始重视个人信息的作用,并于2018年6月28日批准了《2018年加州消费者隐私法案》。该法案将于2020年1月1日生效。该法案指出,消费者有权利要求企业披露其所收集的消费者个人信息的类别和具体要素、收集或出售信息的目的,以及信息共享的第三方类别等。此外,该法案还赋予消费者要求数据服务提供者删除其某一数据的权利。
与欧盟相比,美国更加注重数据的经济价值。为此,美国并未过度规范社交网络应用服务提供商的义务,反而给予他们一定的权利空间,以促进对大数据的挖掘和使用。
《美国数据库和信息收集作品不当使用法》赋予了数据库服务提供者的原告主体地位。该法案指出,未经数据库的权利人或其被许可人的授权,出于商业性目的,将权利人生成、收集的实质性信息向他人提供的,将承担侵权责任。但另一方面,该法案也致力于利益平衡。首先,数据库的保护范围限定在了数据库本身,而包含的数据并非保护客体。其次,规范的对象侧重于数据库内容的提供者,这也就排除了社会公众以获取信息为目的的使用,防止了信息的垄断。
由此可见,美国对数据服务提供者的保护也受限于数据库权利,并不保护其中数据。虽然相关反不正当竞争的救济在美国已有先例,但适用的范围并未扩展到社交网络平台之中。
规制数据共享时的考量因素
目前,欧盟和美国都认可在一定条件下,个人是数据的主体。然而,对于个人数据共享时的利益分配,以及社交平台服务提供者享有的权利等问题,仍未达成一致。本文建议结合社交网络平台的特殊性,同时充分考虑用户、社交网络服务提供者及第三方平台的利益,从而进行规制。
(一)社交网络平台的特殊性
在讨论数据共享的规制时,应当充分考虑到社交网络平台数据的特殊性。
社交网络的特性决定了用户更倾向于公开自身选择发布的信息数据。社交网络的用户更注重平台的社交属性,其发布的信息数据的作用之一是扩大社交圈层。在使用这些平台时,用户更加注重的是介绍自己和认识他人。此时,繁琐的注册流程大多只会违背用户行为的初衷。
(二)遵照用户的个人意志
用户是数据流转的权利主体。在用户授权同意或存在其他法定情形之下,用户可以决定个人数据的收集、使用、处分等相关权益。作为权利主体,用户还可以作出删除、停止共享信息等选择。而社交网络平台作为数据存储服务的提供商,应当采取技术措施来保障用户的数据安全。同时,在用户提出共享请求时,应从技术上予以协助。
相比于用户在注册第三方平台时,手动地将用户名、昵称及头像等从社交网络平台处复制后再上传,第三方平台在取得用户同意的基础上,将社交网络平台处既有的信息资料迁移至本平台,不仅符合用户权益,同时增强了用户体验,加快了网络世界的信息流通。
社交网络平台提供必要协助是保障用户权利的重要内容。虽然我国没有欧盟GDPR中关于可携带权的规定,但在数据流通具有极强经济意义的大数据时代,赋予用户对其特征信息的可携带权,无疑可以加强对个人数据的保护力度。同时,可携带权的规定也能够促使各网络平台加大技术支持和建设,不因数据无法迁移或无法便捷迁移而在无形中造成垄断,进而影响用户的选择权,这也是保护个人数据权利的应有之意。
(三)社交网络平台对数据收益权的有限性
社交网络平台在收集用户个人数据时付出了人力、物力及时间成本,维护个人数据库、履行保护个人数据信息的义务,不仅是对保障用户数据权利承诺的践行,更是履行企业社会责任的表现。对于社交网络平台的个人数据收益权,应进行一定限制。
首先,社交网络平台已经通过广告招商或与其他企业合作等方式取得了相应的收益。虽然社交网络平台存储有大量的用户数据及信息,但经营个人数据并非社交平台的主要业务。这些平台通过维护运营数据、吸引更多的用户注册、扩大自身影响力,继而以广告招商的方式获取收益。此外,一些求职类的社交网络平台还与用工企业签订服务协议,通过介绍合格的候选人来赚取费用。从这个层面上来讲,社交网络平台通过其运作已经取得了利益。
其次,社交网络平台主张收益的权利基础存在不确定性。社交网络平台集合个人信息而成的数据库能否通过数据库权利得到保护,在国际上仍未有定论。目前,我国的做法是依据《中华人民共和国反不正当竞争法》进行保障。然而该法第二条第二款的适用,仍受双方主体是否存在竞争关系、相关行为是否已经构成不正当竞争行为等条件的限制。仅仅通过这一“兜底性”的条款进行保护,无疑将给社交网络平台的权利行使带来一定困难。
再次,社交网络平台的数据收益权是个人数据权的衍生权利。由于数据权益的产生主体是用户个人,个人的数据权是整个权利的起源,因而作为数据收集、处理平台的社交网络,在行使权利时不应优先于用户个人意志。
(四)第三方平台主张权利的合法性
第三方平台主张从社交网络平台调取数据具有合法性。同样地,当这种权利受到社交网络平台不合理拒绝或限制时,第三方平台有权向法院申请禁令来取得救济。
首先,数据本身的属性和特点决定了社交网络平台很难主张对数据的加工投资情况。社交网络平台上的数据大多涉及用户昵称、头像图片,心情日志等。就用户昵称来说,它们是由用户自行设定的,用以其在社交网络中指代自身身份的象征。心情日志更是用户自身的独特性创作,用户享有著作权。至于头像图片,如果是用户自己拍摄的,用户亦享有著作权,但若属于取得他人授权后使用的,则可以在授权范围和时间内用于用户在第三方平台的账号之中。这些数据的用户个人属性较强,难言社交平台对于数据组织的投入情况。
其次,第三方平台在使用用户数据时,获取了用户的知情同意。为了享受更便捷的网络体验,用户可以选择在注册登录第三方平台时,使用社交网络平台上已有的个人信息,有时用户还会主动要求调取自身数据。作为一种无形权利,数据权的特点之一是便于使用及流通,这也是大数据被赋予活力的重要因素。在保障个人权利的前提下,第三方平台的数据利益也应当得到保证。
此外,数据利用行为并不会对社交网络平台产生替代性影响。调取用户昵称和头像图片等内容进行第三方登录,通常不会导致社交网络平台核心竞争优势的流失,其利益不会因此受到损害。
再看hiQ&Linkedln案及新浪微博诉脉脉案
虽说两个案子的法域不同,案件结果也不尽相同,但两个判决所反映出来的法律基本原则却有着相通之处。
首先,两者都承认数据对于用户权益的重要性。两个判决都认为个人数据权利在社交网络中具有巨大的经济价值。在hiQ&Linkedln案中,如果没有LinkedIn的数据,hiQ将遭受巨大损害,甚至极有可能破产。在新浪微博诉脉脉案中,法院也认为,数据资源已成为重要的财产资源,目前企业之间的竞争焦点也多集中在数据资源上。作为大型社交网络平台,做好对用户数据的安全保障工作非常重要。
其次,两者都从保护公共利益的角度出发进行分析。在hiQ&Linkedln案中,hiQ认为,私主体不应该具有排除其他主体获取其信息的权利,如果赋予私主体此项权利,将会导致严重问题。LinkedIn则坚持认为,禁止hiQ获取用户信息的行为是基于对用户信息隐私权的保护。美国法院最终认同了hiQ的观点,认为如果授予LinkedIn等私主体以任意理由屏蔽所有访问者接入网站上公开信息的权利,则有可能会对公共言论和互联网所创造的信息自由流动形成威胁。
两案的主要不同之处在于使用数据的方式和范围。hiQ对于信息的使用来源于用户的公开信息,这些信息被用户设为可见,并且只是关于用户个人的信息,并不涉及其他相关主体。而脉脉使用的信息除了用户选择同意公开的之外,还涉及用户并未授权的通讯录中的好友信息。在收集好友信息时,脉脉并未取得这部分用户的同意而直接进行信息收集,同样也侵犯了新浪微博对于数据的权利。可以看出,对于用户数据的权利属于用户是共识,而产生不同结果的原因主要在于侵权情节不同。在新浪微博诉脉脉案中所确立的“三重授权”原则,是企业向第三方开发者提供个人数据时应当遵守的原则。这意味着企业在收集个人数据之前,应当先取得用户授权,在向第三方平台提供时应当通知用户并再次取得授权。同时,企业本身也应当作为授权主体。
本文来自投稿,不代表本人立场,如若转载,请注明出处:http://www.souzhinan.com/kj/223911.html