法学
反不正当竞争法“商业数据专条”规范构造的反思与重塑
作者:袁波,男,上海财经大学法学院副教授,博士生导师,主要研究方向为经济法、大数据与AI 法、知识产权法。
摘要:随着数据的要素价值日益凸显,在数据确权未果的情况下,《反不正当竞争法》对数据爬取行为的规制演变为商业数据保护规则,立法者在修法中欲引入“商业数据专条”。然而基于数据基础制度和相关裁判经验的考察,可发现其条文构造值得商榷。在客体要件上,该条款将对相关数据采取技术管理措施作为适用前提,既有损经营自主权、产权激励效应和数据分类保护要求,也不符合其评估行为正当性而非适法性的功能定位,应删去该限定。在行为要件上,违反约定类数据获取协议爬取他人数据属于私法自治范畴,无需诉诸《反不正当竞争法》,对非约定类数据获取协议附加“正当、合理”要求并不妥适,因为这只是搜索引擎应用场景下的自律内容,完全可通过对商业道德的实质性审查来实现。在后果要件上,实质性替代规则仅充当违法性分析因素而非判断依据,且其规范内涵不清、适用标准不一,在有关违法性判断条款射程范围足以覆盖的情况下,无需叠床架屋式的重复。
关键词:反不正当竞争法;“商业数据专条”;数据获取;不正当竞争;数据确权
一、背景与问题
随着数据要素的商业价值进一步释放,数据在数字经济价值链中的地位和作用日益增强,经营者围绕数据资源展开激烈争夺,互联网平台间的数据获取和利用的纠纷不断涌现。在《中华人民共和国民法典》(下文简称《民法典》)对数据确权问题留白的背景下①,主要通过《中华人民共和国反不正当竞争法》(下文简称《反不正当竞争法》)第2 条和第12 条第2 款第4 项来解决此类争议,由此形成数据财产权益的《反不正当竞争法》保护模式。不过,《反不正当竞争法》中的上述规定皆属概括条款,依照通常的法律解释方法无法清晰地辨明上述条款的内涵与外延[1],以致司法裁判中解释说理难以统一,学界对商业数据的《反不正当竞争法》保护模式亦质疑声四起[2-3]。为了厘清实践中的争议问题,明确相关法律适用规则,最高人民法院2021年发布的《关于适用〈中华人民共和国反不正当竞争法〉若干问题的解释(征求意见稿)》第26条创设了数据爬取的不正当竞争判定规则,但因争议过大最终未能达成一致,数据爬取正当与否的认定标准在法律规范层面至今仍是空白。在前述司法解释“造法”未果的情况下,新一轮《反不正当竞争法》修订欲引入“商业数据专条”即《反不正当竞争法(修订草案征求意见稿)》(下文简称《反法修订草案》)第18 条②,旨在采用案例群类型化的立法思路,将以往涉数据不正当竞争纠纷的裁判经验固化为成文法,《深圳经济特区反不正当竞争条例(第三次征求意见稿)》第19 条关于不当获取使用商业数据的规定基本照搬了上述条文。此外,《网络反不正当竞争暂行规定》第19条对非法获取、使用数据作了原则性规定。毋庸讳言,在我国数据确权法律规则尚付阙如,以及学界就数据法律保护确权与否仍借“肯定说”③与“否定说”④争论未果的情况下,“商业数据专条”无疑构成我国数据基础制度的重要一环,对于数据财产权益保护意义重大。特别是《中共中央关于进一步全面深化改革、推进中国式现代化的决定》提出:“加快建立数据产权归属认定、市场交易、权益分配、利益保护制度。”
从规范内容看,“商业数据专条”的逻辑结构主要有三:一是客体要件,即以商业数据的定义来明确《反不正当竞争法》保护的数据类别或者数据范围;二是行为要件,列举侵犯商业数据的具体表现或者此类行为的具体样态;三是后果要件,确立评估所涉行为构成反法禁止的不正当竞争行为的判断标准。通过审慎观察发现,上述三个要件存在一定缺憾和疏漏,未能贯彻落实《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(下文简称“数据二十条”)的基本精神和相关要求,也与以往司法裁判形成的通行做法不一致,因而其合理性、正当性均有待商榷。以客体要件为例,现有规定将经营者对其持有的数据采取技术管理措施作为给予《反不正当竞争法》保护的前提,撇开“数据二十条”明确提出赋予数据处理者自主管控数据的权益不谈,该规定与数据分类保护这一理论和实务界的普遍共识严重背离,尤其是对于经过复杂加工而形成的衍生数据,大多数观点认为其具有超越原始数据的应用价值和商业价值,不能仅因数据处理者未采取技术管理措施而不予《反不正当竞争法》保护。由此可见,要将数据爬取行为正当性判断抽象为规范性条文尚需厘清数据基础制度背景下“商业数据专条”的定位、《反不正当竞争法》语境下商业数据的分类保护以及数据爬取行为正当性判断标准等关键问题。纵观既有研究,虽然对数据爬取不正当竞争问题进行了探讨,提出不少富有启发性、针对性的见解⑤,但罕有研究对“商业数据专条”的构成要件要素进行抽象和检视,对《反不正当竞争法》保护的数据类别、具体条件等基本问题也鲜有涉足,基于数据法的系统论分析更是阙如,“商业数据专条”的规范意旨、构成要件、法律效果仍需进一步明晰。鉴于此,本文结合47 份有关裁判文书⑥的释法说理和“数据二十条”的政策意蕴,以“商业数据专条”逻辑结构要素的解构为主线,反思其客体要件、行为要件和后果要件,在此基础上力图重构商业数据的《反不正当竞争法》保护规则,为深入推进数据要素的市场化建设和公平竞争提供理论参考。
二、客体要件:管理性要求的质疑与修正
按不同分类标准,数据类型虽千变万化,但概言之,仍可作如下分类:一是按照数据加工程度,将数据分为原始数据和衍生数据;二是按照数据来源渠道和归属,将数据分为个人数据、企业数据和公共数据;三是按照数据的公开程度,将数据分为公开的数据、半公开的数据和非公开的数据。就此,“商业数据专条”应首先明确其保护的数据类别。当前,商业数据概念仅见诸《反不正当竞争法》有关规范,更鲜少被其他政策法规和学术文献提及。根据“商业数据专条”规定,商业数据是指经营者依法收集具有商业价值并采取相应技术管理措施的数据。依此定义,并不能确定商业数据的涵盖范围,因为在满足相关要求时,不管是原始数据、衍生数据还是个人数据、企业数据和公共数据,乃至公开的数据、半公开的数据和非公开的数据,皆有可能识别为商业数据,故在进行规则建构时首先需要廓清“商业数据”的概念边界,进而明确《反不正当竞争法》保护的数据范围。
依据“商业数据专条”,成立“商业数据”,至少须满足合法性、商业价值性和管理性三个要求。其中,合法性强调数据来源合法构成权益正当性之基础,商业价值性明确数据的市场竞争价值构成《反不正当竞争法》保护前提,两者皆是《反不正当竞争法》保护客体的固有要件,在既往裁判中已获得肯认。相比之下,管理性要求的引入则尚存立法分歧,如《深圳经济特区反不正当竞争条例(第三次征求意见稿)》第19 条关于不当获取使用商业数据的规定基本沿用“商业数据专条”的内容,唯独在商业数据的定义中删去了经营者须“采取相应技术管理措施”这一要求;最高人民法院2021年发布的《关于适用〈中华人民共和国反不正当竞争法〉若干问题的解释(征求意见稿)》中商业数据的定义仅包含合法性、商业价值性要件,未提出管理性要求。那么,对商业数据附加管理性要求的立法意旨何在?对此,或许可从与之规范结构类似的商业秘密条款要求的“采取了相应保密措施”的释义上寻找可能的解释。具而言之,“采取了相应保密措施”具有两重意涵:一是定密,即明确经营者欲保护的商业秘密范围;二是识别,最常见的方法是对涉密信息进行标密,即以公示、易于明知的方法表明此信息是商业秘密。比照前述可见,“采取相应技术管理措施”旨在表达权利人享受权利的意愿,并使受保护的数据可特定和可识别。与商业秘密持有人须以保密措施维护其信息的非公开性不同,《反不正当竞争法》中的商业数据大多为公开或者半公开的企业数据,故管理性要件更多地发挥权益归属的公示作用,即“相应技术管理措施”主要用以明示权利的存在及其归属[4]。问题在于,定位为公示要件的管理性要求并无成为《反不正当竞争法》保护前提的必要,尤其是该要件忽略了商业数据持有者的合法权益、数据分类保护的现实需求以及管理性要求在不正当竞争判定中的具体作用。
(一)管理性要求有损经营者对其数据进行自主管控的权益
“数据二十条”提出,经营者有权按照自身意愿对其依法持有的数据进行管控,即“合理保护数据处理者对依法依规持有的数据进行自主管控的权益”。依此规定,经营者的成本投入、管理强度、管理方式等,均应当是基于其生产经营状况作出的自主商业决策,不宜作统一硬性要求,否则有过度干预之嫌,甚至扼杀技术管理措施作为竞争手段的技术创新性。退一步而言,即便经营者不对其数据采取技术管理措施,也并不当然排除于《反不正当竞争法》保护范围内,因为经营者管控其数据的方式通常有明示和默示两种,前者表现为经营者采取反爬虫等技术手段阻止他人获取数据,或者虽无技术管理措施,但以约定或非约定的数据获取协议对数据进行排他性控制,以限制他人爬取和利用其数据。例如,网络服务提供者通常会设置机器人协议(robots 协议),以此明确可供爬取的数据范围,网络机器人(Web robots)通过读取robots.txt 文件来识别相关页面是否允许被抓取。而后者则指从默示商业意愿即数据控制者的行为中依逻辑或习惯推理其意思表示,进而作为判断相关数据的获取和使用正当与否的依据。质言之,尽管经营者未表明他人不得获取、利用其数据,但从商业目的、商业惯例或商业道德出发可以推定获取、利用数据违反了经营者商业意愿,此时则与违反数据持有者明示商业意愿的情形相同,一般应认定为具有不正当性[5]。由此可见,应当允许经营者根据自身经营状况自主确定是否以及如何对其数据采取相应技术管理措施,“商业数据专条”要求数据控制者须“采取相应技术管理措施”,在一定程度上限制了经营者以默示方式管控其数据的自由,有过度干预市场自治之虞。
(二)管理性要求与该条款立法旨趣和数据类型化保护相悖
对商业数据施加管理性要求,在一定程度上是为了平衡数据保护与开放利用,即确保那些公开且不受保护的数据能够自由流动,促使企业及社会在数据互联互通与数据技术管理之间寻求利益平衡,推动数字经济的整体发展。然而,不加区分地对所有类型数据都附加管理性要求,很可能弱化对衍生数据等高技术含量和附加值数据的保护力度,不利于持续激励数据投资开发活动。更严重的是,经营者往往无法预测他人使用其数据所进行的具体活动,却又不得不依照管理性要求采取相应管理措施,如此必然会倒逼大量数据控制者去增设数据保护门槛,反而不利于数据的开放共享[6]。事实上,企业从事生产、收集和加工数据等都需要投入成本,通过一定的资金和人力资源来挖掘实现数据的潜在价值。即便企业还未对其原始数据进行任何加工,只是进行数据存储,企业对该数据的权益也受到法律保护,其他主体不能非法获取并使用这些数据[7]。再者,从实务操作的角度来看,在《反不正当竞争法》保护数据以持有人采取技术管理措施为基础的前提下,原告甚至需要为此背负一项新的举证责任,即要千方百计地证明其已使用相关技术手段管理其数据。可是,“商业数据专条”对管理性要求缺乏必要的阐释,实践中难免对管理措施的程度和内容产生理解及适用上的分歧,导致司法裁判的不统一,进而抬高数据保护成本,这早有前车之鉴。《中华人民共和国著作权法》(下文简称《著作权法》)第49 条对“技术措施”作出界定,即“本法所称的技术措施,是指用于防止、限制未经权利人许可浏览、欣赏作品、表演、录音录像制品或者通过信息网络向公众提供作品、表演、录音录像制品的有效技术、装置或者部件”。上述定义不可谓并不清晰,但法院在相关案件中对“技术措施”的要求仍难统一,有的法院认为权利人只要作出诸如技术保护措施声明的意思表示即可⑦,有的法院则要求权利人提供完整的技术方案说明、保护效果演示等⑧。可以预见,在适用“商业数据专条”时,“采取相应技术管理措施”必将成为解释论上的难题,进而大幅增加数据保护成本。更重要的是,“数据二十条”列举了数据资源持有权、数据产品经营权,分别指向原生态数据和加工态数据之上的数据权,二者仅在客体的经济属性上有所不同,权利内容相差无几,都包含访问、复制、使用和处分权能[8]。若苛求数据控制者均采用相应技术管理措施,不仅妨碍“数据二十条”赋予数据控制者的相关权能的行使,更会导致上述权益落空。对此,亦有先例如日本《反不正当竞争法》数据保护条款的适用情况可循。管理性要求与2018 年日本修订的《反不正当竞争法》中对受保护数据引入的“电磁管理性”要件颇为相似,即要求受保护的数据须“通过电磁方式管理”。数据控制者须采取电磁管理措施来宣告其对数据的排他性控制。适当的电磁管理措施主要是限制未授权的第三方获取相关数据的技术措施,包括身份认证技术、加密技术、专用通信线路等[9]。然而观其实效,“电磁管理性”要件过度提高了数据保护的门槛,也与数据利用的通常模式不一致,一定程度上导致日本在修改《反不正当竞争法》引入“限定提供数据”制度后,尚未产生实际纠纷,以致立法目标全部或部分落空[10]。
另一方面,按照数据分类保护有关要求,不同类别数据对应不同权益主体,在妥善划分数据类型后才能更准确地调和各方数据权益,避免主体间的利益冲突。数据获取、加工、使用链条所涉及的不同主体可能享有不同数据权益,《反不正当竞争法》应当对此考虑并加以吸收,为法律适用预留制度空间[11]。质言之,《反不正当竞争法》须对不同类型数据采取差异化保护,若一律适用管理性要求,则上述主张或将难以实现。最为明显的例子就是原始数据和衍生数据,前者是未经加工、编辑的“原生数据”或“基础数据”,后者则是基于特定目标和技术手段加工后的数据成果,较前者更具社会经济价值,不管是基于劳动赋权理论还是产权激励理论,《反不正当竞争法》都应当以更高水平保护衍生数据。事实上,司法实践中已对原始数据和衍生数据采取了区分保护,即法院倾向于认为数据持有者对原始数据一般不享有独立权益,但对衍生数据可享有独立财产权益。在“腾讯与聚客通不正当竞争纠纷案”中,杭州铁路运输法院提出:“对数据资源整体而言,两原告为所开发的通信产品数据资源投入了大量人力、财力、物力,并经过了长期经营积累聚集而成,该数据资源能够给两原告带来商业利益与竞争优势,两原告对于该通信产品数据资源应当享有竞争性权益;对单一数据个体而言,两原告仅享有有限使用权,即对于原始数据,两原告只能依附于用户信息权益,依其与用户的约定享有原始数据的有限使用权。”⑨无独有偶,在“京东与鱼数不正当竞争纠纷案”中,北京市西城区人民法院亦指出:“经过电商平台匿名化和去标识化后的衍生数据,已无法与个人信息对应,且该种衍生数据可以呈现电商平台某一商品、店铺、品类或行业特有的信息,其代表的是平台自身独有的经营信息,该种经营数据和信息权益应当由电商平台享有。”⑩
(三)采取相应技术管理措施仅关涉行为评价而非适法与否
从现有制度规则和司法裁判情况看,是否采取技术管理措施仅关涉数据爬取行为的违法性判断,而与系争数据能否获得《反不正当竞争法》保护无涉。不管是《反法修订草案》还是《深圳经济特区反不正当竞争条例(草案)》均将“破坏技术管理措施”列为不正当获取其他经营者商业数据的手段之一,表明该要件是涉诉行为正当与否的判断因素之一,而非《反不正当竞争法》适用的根据。实际上,这在以往数据不正当竞争纠纷的司法裁判中亦有体现。具而言之,反爬虫技术、robots 协议和Open API使用条款是最常见的三类数据保护措施,一旦他人破坏上述数据保护措施获取相关数据,商业数据控制者便能在一定程度上主张涉诉行为不当,从而获得法院支持。在“女装网与中服网不正当竞争纠纷案”中,原告控诉被告“撞库”⑪获取其数据的行为构成不正当竞争,即“被告两名员工使用四个IP地址登录女装网的会员账户中,有24 个账户是中服网客户委托浙江中服公司员工登录中服网的,中服网员工得知会员账户和密码后,使用24 个会员账户和密码不断尝试登录女装网付费会员账户,以撞库方式成功登录女装网后,再查看、获取、使用涉案经销商数据库信息”⑫。杭州铁路运输法院认为,被告系以不正当手段登录并获取案涉数据信息[12]。在“新浪微博与云智联不正当竞争纠纷案”中,北京市海淀区人民法院在分析云智联抓取和使用新浪微博数据的行为是否正当时,讨论了robots 协议的设置问题,认为云智联公司在明知微梦公司通过robots 协议限制其抓取新浪微博数据的情况下,仍然实施抓取行为,具有明显的主观恶意且违反了《互联网搜索引擎服务自律公约》中遵守robots 协议的要求。因此,云智联公司抓取和使用新浪微博数据的行为构成不正当竞争⑭。在“新浪微博与脉脉不正当竞争纠纷案”中,北京知识产权法院在分析脉脉获取并使用新浪微博用户信息的行为是否正当时指出,“脉脉在获取用户职业信息和教育信息时明知或应知需要‘高级接口(需要授权)’的情况下仍放任技术的抓取能力而获取相应信息,不仅破坏基于《开发者协议》建立起来的Open API 合作模式,还容易引发‘技术霸权’的恶性竞争”⑯。
三、行为要件:违法情形设定的偏误与匡正
“商业数据专条”规定的侵犯商业数据的主要情形有四:一是以盗窃、贿赂、欺诈、胁迫、电子侵入或者其他不正当手段获取权利人的商业秘密;二是披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密;三是违反保密义务或者违反权利人有关保守商业秘密的要求,披露、使用或者允许他人使用其所掌握的商业秘密;四是教唆、引诱、帮助他人违反保密义务或者违反权利人有关保守商业秘密的要求,获取、披露、使用或者允许他人使用权利人的商业秘密。实践中,非法获取、披露、转让是不正当获取其他经营者商业数据的常见情形,因而前三种行为并不存在太大争议⑰,但将违反约定的或者合理、正当的数据获取协议爬取其他经营者商业数据拟定为违法情形,则值得商榷。“数据获取协议”包括约定类,即经营者和数据获取方通过合意达成的数据获取协议,还包括非约定类,俗称“爬虫协议”,即经营者单方设定的robots协议。实践中,违反约定类数据获取协议引发的纠纷大多可通过违约之诉解决,故以《民法典》调整即可,无需再列为侵犯商业数据行为。涉及非约定类数据获取协议的不正当竞争纠纷虽不罕见,但此种协议在不同应用场景下内涵各异,其审查已完全被对商业道德的实质性审查所涵盖,实无另行规定之必要。
(一)违反约定的数据获取协议、爬取他人数据不应纳入反不正当竞争法调整
《反法修订草案》将“违反约定的数据获取协议”设置为违法手段,强调合同的重要性,有利于规范数据采集行为,“商业数据专条”引入上述规定为当事人在追究对方违约责任之外提供了一条《反不正当竞争法》的救济路径。但《反不正当竞争法》系属公法,其目标是保护市场竞争秩序和公共利益,而经营者诉“违反约定性数据获取协议”的直接目的往往是填补财产损失,而非维护市场竞争秩序。合同系由私法调整,在存在合同时,当事人选择违约之诉显然更加便宜和高效。一方面,合同围绕数据利用可进行明确约定,这种明确性使法院更容易判断是否违约并相应救济。另一方面,《反不正当竞争法》对数据不正当竞争的认定标准也存在模糊之处,其法律解释具有不确定性。因此,在私法可以完全解决争议的情况下,不宜再适用公法。最高人民法院亦指出:“对于明显不会对相关市场竞争造成实质影响的合同纠纷,应该优先在合同法框架下解决,而不是直接诉诸反垄断法。”⑱由此延伸开去,只有当数据爬取的后果不仅影响合同双方,还会危及公共利益时,《反不正当竞争法》的适用才具有价值。事实上,“在原被告存在合同关系的前提下,存在违约获取数据的情况。违约固然是一种广义上的不诚信行为,但违约并不等同于竞争领域的不正当,有些违约从效率角度看还能提升各方福利。《反不正当竞争法》的使命在于规制不正当的竞争行为,而不是保障合同条款的实施,所以违反合同约定仅是不正当性的一个考量因素,最终的落脚点要站在市场竞争机制是否受到扭曲的角度,也要考虑到合同救济是否足够充分,如果足够充分就不需要《反不正当竞争法》介入”[13]。值得一提的是,与《反法修订草案》相比,《深圳经济特区反不正当竞争条例(草案)》仅规定非约定类数据获取协议,未使用“违反约定或者合理、正当的数据获取协议”的表述。
(二)不宜对非约定类数据获取协议附加“正当、合理”要求
不管是从生成背景还是司法实践看,对数据获取协议作“正当、合理”要求仅限于搜索引擎场景下,其他应用场景并无此要求,故“商业数据专条”将该要求延伸适用到所有互联网领域并不妥当。另外,非约定类数据获取协议往往被视作商业道德,其正当性审查已附着于对商业道德的实质审查中。是故,删去“正当、合理”的限定不失为一个合理选择。
1.对非约定类数据获取协议的正当性要求仅限于互联网搜索引擎
《互联网搜索引擎服务自律公约》明确robots协议可视为国际通行的行业惯例与商业规则,互联网搜索引擎服务提供者不得违反该协议擅自获取其他经营者的数据,并提出“互联网站所有者设置机器人协议应遵循公平、开放和促进信息自由流动的原则,限制搜索引擎获取应有行业公认合理的正当理由,不利用机器人协议进行不正当竞争行为”。依此规定,作为行业惯例的robots协议,一方面要求搜索引擎遵守受访网站的robots 协议,另一方面要求受访网站设置的robots 协议也应当是合理的,不应违背“促进信息共享”的初衷,否则就可能被认定为不正当竞争。司法实践中,法院对不同业态的经营者设置robots 协议的自由度持不同立场,甚至存在“类案不同判”现象。在“百度与360 不正当竞争纠纷案”中,北京市高级人民法院认定百度通过robots 协议限制360 搜索引擎获取其网页与robots 协议的初衷背道而驰,一是该行为构成“歧视”,即百度允许国内外主流搜索引擎获取其网页内容的情况下,却限制360 搜索引擎。二是该行为涉嫌“垄断”,即百度搜索引擎在市场份额上占据绝对优势,而360 搜索引擎所占市场份额较小,该行为不仅会降低360 搜索的用户满意度,也会在客观上增强百度搜索引擎的市场优势地位⑲。该案判决第一次提出数据获取协议的司法审查问题,推动了“商业数据专条”对数据获取协议附加“正当、合理”要求。与此形成强烈反差的是,北京市高级人民法院在“新浪微博与字节跳动不正当竞争纠纷案”中提出,网站经营者有权通过robots 协议限制网页获取行为,此举并不必然违反商业道德,而且在robots 协议的设置上进行歧视并无不妥,指出“在不损害消费者利益、不损害公共利益、不损害竞争秩序的情况下,应当允许网站经营者通过robots 协议对其他网络机器人的获取进行限制,这是网站经营者经营自主权的一种体现”。“非搜索引擎网络机器人往往不是给被搜索网站带来流量,反而可能带走被搜索网站的流量,且这些网络机器人已不再像是搜索引擎那样当然地对公众利益、互联网共享精神产生影响,因此,在对这些网络机器人通过robots 协议进行限制时,不宜当然借用对搜索引擎进行限制的规则。”⑳有法官也持类似观点,主张“反不正当竞争法亦允许数据控制者在宣示商业意愿的过程中对不同经营者进行适度的区别对待。即便数据控制者特定的商业意愿客观上可能造成对某些经营者的歧视,但在不损害消费者利益、公共利益和竞争秩序的情况下,应当允许数据控制者依照其商业目标作出该种商业意愿”。据此可见,爬虫协议作为非约定类数据获取协议的常见情形,在互联网搜索引擎领域的设置受到一定的限制和约束,但这属于特殊行业规则,并不具有普适性,非互联网搜索引擎的从业者仍有权自主设置robots 协议。
2.对非约定类数据获取协议的正当性审查可纳入商业道德实质性审查
学界对非约定类数据获取协议的法律性质争论已久,至今仍未达成共识。有观点认为,爬虫协议体现了相关细分领域公认商业道德的行业惯例[14]。另有观点提出,网络内容服务商与搜索引擎之间因彼此的公开信息和搜索查询行为构成信息服务合同关系,而爬虫协议则是合同格式条款之一,并与商业习惯或道德规范有着一定的联系,破坏爬虫协议的行为应属合同违约[15]。还有观点指出,爬虫协议区别于一般合同,是ICP 等数据控制方的单方意思表示[16-17]。更有观点认为,平台限制爬虫的“机器人协议”并非有效的技术措施,并不直接受到法律保护[18]。前文已述及,《互联网搜索引擎服务自律公约》将爬虫协议明确定性为“国际通行的行业惯例与商业规则”。在笔者看来,爬虫协议不能归入以双方合意为基础的合同范畴,大多数网站设置的爬虫协议都受到数据获取方的强烈抵触甚至公然违反。爬虫协议是数据持有方所作出的单方意思表示,其作用在于标示该网站是否准许以及准许哪些网络机器人访问,但网络机器人识别该robots 协议后,无论是否遵守,robots 协议都不会强制禁止访问,只有当数据获取方违反该爬虫协议恣意获取数据时,才可能构成反法规制的不正当竞争。进一步而言,“违反robots 协议会被初步认定为违反商业道德,但在特殊情况下,确实也存在robots 协议不当设置的情况,此时被告可以提出抗辩并提供相关证据予以证明”[19]。由是观之,“爬虫协议”等非约定类数据获取协议并不必然涵摄于商业道德,须通过正当性审查,才能将其作为判定数据爬取行为正当与否的依据。那么,对非约定类数据获取协议进行审查时应采用何种标准?
通过对有关裁判文书的检索,可以发现在以往的司法实践中,鲜少对“爬虫协议”或者“robots 协议”进行司法审查,仅有3起案件㉑,即“百度与奇虎不正当竞争纠纷案”㉒、“微梦与云智联不正当竞争纠纷案”㉓和“微梦与字节跳动不正当竞争纠纷案”㉔。归纳这3起案件的裁判要点可知,法院审查涉案协议的正当性主要考虑如下因素:一是协议限制获取的信息是否属于隐私信息,或者内部保密信息;二是协议目的是否为维护网站正常运行、维系网站核心竞争力;三是协议是否对数据获取方和其同类型的数据获取方进行区别对待;四是设置协议是否对消费者利益造成损害;五是设置协议是否对公共利益、其他经营者以及市场竞争秩序造成损害。据此可见,司法实践中不会一律视非约定类数据获取协议为商业道德,而是在利益平衡基础上综合评判被诉行为是否正当,如此即便不要求数据获取协议“正当、合理”,也不影响法院对其进行审查。而且,根据最高人民法院2022年修订的《关于审理不正当竞争民事案件应用法律若干问题的解释》第3 条第2 款关于商业道德的规定,在不正当竞争行为认定中,若要将数据获取协议视作商业道德,则应当结合案件具体情况,综合考虑行业规则或者商业惯例、经营者的主观状态、交易相对人的选择意愿、对消费者权益、市场竞争秩序、社会公共利益的影响等因素,依法判断数据获取方是否违反商业道德。从实操层面看,相较于“正当、合理”这样含糊不清的表述,商业道德的审查标准显然更为全面细致。此际,再对数据获取协议设定“正当、合理”要求未免有画蛇添足之嫌。
四、后果要件:实质性替代规则的检讨与重释
一般而言,数据爬取行为具有技术中立性和手段竞争性的特征,除了考察行为是否正当外,还需分析数据取用对市场竞争的影响,尤其是原告受损的类型和受损程度的高低。实践中,法院往往通过实质性替代规则判定涉诉行为是否产生竞争损害,如果一方提供的产品、服务在功能、效果上与另一方等同,或(几乎)构成完全复制而成为另一方的替代品,二者无实质、本质差别,对于受众消费者而言,选择其中一方产品、服务即可满足消费需求[20],则可认定该行为产生竞争损害。“商业数据专条”试图将上述经验实定为成文法,即《反法修订草案》将实质性替代作为数据获取和使用行为的竞争损害要件。从既有研究看,不少学者认为实质性替代可作为判断数据获取行为构成不正当竞争的重要依据[21-22],以此平衡数据获取的合理限度与损害结果的适当容忍之间的关系[23]。不过也有学者提出质疑,反对将该规则纳入“商业数据专条”,认为其在现有规范结构下已无设置必要。诚然,实质性替代规则能够帮助法院判断数据爬取是否构成不正当竞争,甚至在某些情况下成为认定不正当竞争的关键因素。但总体上,考虑到实质性替代只能充当违法性的分析因素而非判断依据,实质性替代在司法裁判中的规范内涵不清且适用标准不一,以及作为损害后果分析因素的实质性替代已为相关条款所涵摄,“商业数据专条”将其作为数据获取和使用行为构成不正当竞争的认定标准并不妥适。
(一)实质性替代只能充当违法性的分析因素而非判断依据
“商业数据专条”第2、3 项将实质性替代规定为涉诉行为正当与否的效果要件,只要获取和使用他人数据导致数据控制者相关产品或服务被实质性替代,即可推定该行为具有不法性,实质性替代实已成为违法性判断依据。从法益侵害性上看,实质性替代主要体现为双方产品或者服务的高度同质化,这会造成用户从原告到被告的分流,减少数据控制者的用户数量、流量、关注度和黏性,减少其可预期交易机会,削弱其竞争优势,从而实质性地损害数据控制者的竞争性利益[24]。问题在于,即便发生实质性替代,也只能证明数据控制者即原告的利益因此而受损,不能就此推定涉诉行为损害了公平市场竞争秩序,而后者才是构成不正当竞争的根本依据[25]。最高人民法院曾指出:“经营者征得用户同意,合法、适度使用其他经营者控制的数据,且无证据证明使用行为可能损害公平竞争的市场秩序和消费者合法权益,控制该数据的经营者主张属于《反不正当竞争法》第12条第2 款第4 项规定的行为的,人民法院一般不予支持。”㉕依此规定,“可能损害公平竞争的市场秩序和消费者合法权益”是判定获取和使用数据正当与否的标尺,“商业数据专条”将用于判断原告利益是否受损的实质性替代设定为违法性判定依据,显然有悖不正当竞争行为的认定逻辑。
另一方面,通过考察和分析以往涉实质性替代的司法裁判案件,可以发现实质性替代在认定不正当竞争行为中的定位和作用不一。在检索到的11例案件中,实质性替代既可表明原告利益受损,又可纳入行为不当性分析,还参与行为商业道德性的证成,但无论如何都不是涉诉行为构成不正当竞争的直接依据,只能是其中的分析因素㉖。质言之,有些法院将实质性替代作为被诉行为是否构成不正当竞争的分析因素,并将其与“破坏竞争秩序”、“损害消费者利益”等并列,包括“抖音与刷宝不正当竞争纠纷案”㉗、“第一眼与网易不正当竞争纠纷案”㉘、“微博与云智联不正当竞争纠纷案”㉙、“执掌与中服不正当竞争纠纷案”㉚、“微博与饭友不正当竞争纠纷案”㉛;有些法院直接用其裁判,认为一旦发生“实质性替代”,就表明原告丧失预期交易机会并失去数据带来的经济利益和竞争优势,包括“爱拼与高考派不正当竞争纠纷案”㉜、“阿里与码注不正当竞争纠纷案”㉝、“淘宝与美景不正当竞争纠纷案”㉞、“大众点评与爱帮不正当竞争纠纷案”㉟;有些法院将实质性替代作为被诉行为是否有违商业伦理的考量因素。在“万得与同花顺不正当竞争纠纷案”中,法院指出争议焦点之一为同花顺公司的行为是否有违商业伦理,万得产品的用户可以将万得产品中的数据直接导出至同花顺产品中,这一技术实现了双方产品的直接替代,使上海万得公司客户在考虑改换产品时,打消了产品使用延续性上的顾虑……其行为具有明显的搭便车特征,构成对上海万得公司的不正当竞争㊱。
(二)实质性替代规则在司法裁判中的规范内涵不清且适用标准不一
姑且不论实质性替代在以往司法裁判中的作用不一,就算是其内涵和适用标准也未达成共识。前述11 件案例中,法院对实质性替代的裁判说理过于笼统和模糊,缺乏较为明确的认定标准,尤其是“实质性”所需的程度,是整体替代还是部分替代,现实替代抑或潜在替代,均语焉不详。在“抖音与刷宝不正当竞争纠纷案”中,北京知识产权法院在分析被诉行为会实质性替代微播公司提供的产品或服务时指出:“如果法律不加以制止,被诉行为的持续进行会导致抖音APP 平台和刷宝APP 平台内容的高度同质化。网络用户不使用抖音APP,通过刷宝APP亦可观看相同内容,会造成刷宝APP实质性替代抖音APP,削弱微播公司的竞争优势,对微播公司的竞争性利益造成实质性损害。”在“阿里与码注不正当竞争纠纷案”中,杭州市滨江区人民法院指出:“码注公司计算企业活性值可以参考1688 平台公开的数据,但其将1688 平台公布的商家数据直接用于其网站,甚至可以直接替代1688平台的部分功能,显然超过合理限度。”在目前所检索到的案例中,仅有重庆市第一中级人民法院审理的“重庆广电诉网易案”对认定实质性替代的判断因素进行了比较详细的论述,提出了是否达到实质性替代的六项考虑因素,即:第一,使用行为的即时性。使用行为越即时,实质性替代效果越强。第二,竞争关系和竞争程度。原被告双方提供的服务越接近,用户重合度越高,越容易产生实质性替代的效果。第三,同类型产品的市场供给情况。在相同的市场中,提供同类型数据的经营者越少,越容易产生实质性替代的效果。第四,内容的数量。数量越大,产生的实质性替代效果越强。第五,案涉内容在双方业务中的比重。比重越高,实质性替代的可能性越大。第六,证明产生实质性替代的其他证据,如用户转移的情况等。上述适用标准不可谓不详尽,但其在各因素的权重及具体考量上仍存在进一步细化的空间,如原告产品或者服务被替代的数值达到多少才构成实质性替代。由此可见,不同法院对实质性替代规则的理解和适用存在较大差异,特别是在把握实质性替代的宽严程度上存在重大分歧,其入法的条件和时机尚不成熟。纵使要将实质性替代规则引入“商业数据专条”,立法者也应明确判定标准,以避免误判并限制法官的自由裁量权。
(三)实质性替代规则与《反法修订草案》的规范结构严重不符
从实质性替代规则在数据不正当竞争纠纷中的具体适用情况看,绝大多数案件的裁判依据都是《反不正当竞争法》第2条,鉴于一般条款的开放性和包容性,裁判者均有解释和具体化之余地,实质性替代作为被诉行为不当的考量因素并无不妥,无需深究其在行为不法性分析中的定位。与之不同的是,将实质性替代纳入“商业数据专条”需考虑其与其他条款乃至《反不正当竞争法》体系的兼容性。从《反法修订草案》的规范结构看,实质性替代分析可被违法手段或者被诉行为的不正当性分析所涵摄,无需单独设置。
首先,“商业数据专条”第2、3 项规定了实质性替代,采取了“违反约定或者合理、正当的数据获取协议获取和使用他人商业数据”+ 实质性替代、“披露、转让或者使用以不正当手段获取的其他经营者的商业数据”+实质性替代的条文设计,可见,实质性替代规则以不正当获取数据为适用前提。问题在于,这使得实质性替代规范价值落空,因为如果所涉数据来源合法,即便该数据的使用导致实质性替代,也不构成不正当竞争,换言之,作为评估数据使用行为竞争效果的实质性替代处于从属地位,并非违法性判定的关注重点。进一步而言,“采用数据专条保护模式之后,事先的保护措施是构成受保护数据的要件,成为是否予以保护的界限。保护措施应当是事先措施,且立足于权利式保护,具有确定性和事先可识别性。如果将《反不正当竞争法》纳入数据保护条款,只需将使用不正当获取的数据规定为不正当竞争行为,即不正当获取成为不正当使用的前提,不再允许采纳实质性替代标准”[19]。更为严重的是,实质性替代作为违法性判定依据存在漏洞且可能被滥用。根据“商业数据专条”第2、3项,即便经营者违反数据获取协议或者以不正当手段获取其他经营者商业数据,只要其后续使用行为尚未产生实质性替代的后果,也不会被判定为不正当竞争[26],这显然有失公平,可能降低数据保护水平,减少数据开发激励,导致数据控制者加强技术保护,不利于数据共享。特别是实质性替代为数据获取行为划定了一个错误的界限,即经营者获取他人数据后若进行了转化性使用,而不与他人发生替代,则不会被认定为典型的不正当竞争行为,如获取电商平台的产品销量信息用于人工智能训练,获取社交网络的文本用于舆情分析等,均可能逃逸于不正当竞争认定[27]。
其次,“商业数据专条”中设置实质性替代规则旨在平衡数据保护与利用,如果他人获取数据的目的仅在于提供同质化产品或者服务,则该等数据使用行为是一种不劳而获和食人而肥的行为,不仅损害了数据控制者的利益,减损了数据开发激励,也无益于消费者和公共利益。反之,如果数据使用产生了创新,则数据流通利用带来的益处足以抵消由此产生的损失。可见,实质性替代发挥着利益平衡的作用。然而按照实质性替代规则,只有数据使用直接损害数据控制者的竞争利益时,才受《反不正当竞争法》保护。换言之,即便数据获取行为危及个人信息安全或者网络服务正常运行,也可能因其未产生实质性替代而无法追究数据获取方责任,撇开此举罔顾《反不正当竞争法》上的法益已受到侵害这一事实不谈,它还可能使数据控制者被迫承受大幅增加的数据管理成本。
最后,依体系解释,《反法修订草案》在“商业数据专条”之外还增设了违法性判断条款,第21条即明确了判断数据获取和使用行为是否构成不正当竞争的因素,包括:(一)对消费者、其他经营者合法权益以及社会公共利益的影响;(二)是否采取强制、胁迫、欺诈等手段;(三)是否违背行业惯例、商业伦理、商业道德;(四)是否违背公平、合理、无歧视的原则;(五)对技术创新、行业发展、网络生态的影响等。该条款足以平衡各数据要素参与方利益,如果在适用“商业数据专条”的同时正常叠加适用上述规定,则可实现实质性替代规则所欲达至的利益平衡目标,进而使得作为损害后果分析因素的实质性替代分析失去评价意义。
五、结论
数据要素是发展新质生产力的关键要素,《反法修订草案》第一次以法律的形式明确了商业数据的保护规则,既是对实践中商业数据纠纷不断增多的回应,也是落实“数据二十条”顶层设计的一种制度方案,在数据日益彰显重要作用的今天,“商业数据专条”具有鲜明的时代特色和重要的现实意义。理想状态下,《反不正当竞争法》商业数据保护规则的确立,应当着眼于竞争行为对数据要素市场整体竞争秩序的影响,关注竞争行为对数据权益的损益,要在数据要素保护与利用间寻求平衡,既不能无条件地支持数据爬取方的行为,也不能过度地支持数据被爬取方。然而,依此对现有“商业数据专条”进行审视,可以发现该条款存在诸多不合理之处,部分规定或者背离利益平衡和数据分类保护的理念,或者与以往司法裁判中的具体做法严重不符,或者在条文表述上模糊不清、存在歧义。为此,需基于数据基础制度并参酌以往裁判经验重塑商业数据《反不正当竞争法》保护规则,避免像“互联网专条”一样因法律文本组织技术存在失误,导致条文表述缺乏术语、内涵模糊、外延边界不清,以致一出台就出现失灵[28]。概言之,完善“商业数据专条”可从以下三个方面着手:一是在客体要件的设定上,对“商业数据”的界定仅保留合法性、商业价值性要件,删去管理性要求,不再将经营者“采取相应技术管理措施”作为其数据受反法保护的前提;二是在违法手段上,将第2 项中的“违反约定或者合理、正当的数据获取协议”修改为“违反数据获取协议”,由此既能更好地协调《反不正当竞争法》与《民法典》等其他商业数据保护路径的关系,又能兼顾不同应用场景下对数据获取协议附加的不同要求;三是在损害后果上,删去第2、3 项中关于“并足以实质性替代其他经营者提供的相关产品或者服务”的规定,据此解决实质性替代规则存在的规范内涵不清、操作标准不明的问题,此内容可在《反法修订草案》第21 条所规定的不正当竞争行为分析因素中具体展开。通过对上述构成要件要素的调整和改进,“商业数据专条”修改为“经营者不得实施下列行为,不正当获取或者使用其他经营者的商业数据,损害其他经营者和消费者的合法权益,扰乱市场公平竞争秩序:(一)以盗窃、胁迫、欺诈、电子侵入等方式,破坏技术管理措施,不正当获取其他经营者的商业数据,不合理地增加其他经营者的运营成本、影响其他经营者的正常经营;(二)违反数据抓取协议,获取和使用他人商业数据;(三)披露、转让或者使用以不正当手段获取的其他经营者的商业数据;(四)以违反诚实信用和商业道德的其他方式不正当获取和使用他人商业数据,严重损害其他经营者和消费者的合法权益,扰乱市场公平竞争秩序。本法所称商业数据,是指经营者依法收集、具有商业价值的数据。获取、使用或者披露与公众可以无偿利用的信息相同的数据,不属于本条第一款所称不正当获取或者使用其他经营者商业数据”。
注释:
①《民法典》第127 条规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”
②《反不正当竞争法(修订草案征求意见稿)》第18 条规定:“经营者不得实施下列行为,不正当获取或者使用其他经营者的商业数据,损害其他经营者和消费者的合法权益,扰乱市场公平竞争秩序:(一)以盗窃、胁迫、欺诈、电子侵入等方式,破坏技术管理措施,不正当获取其他经营者的商业数据,不合理地增加其他经营者的运营成本、影响其他经营者的正常经营;(二)违反约定或者合理、正当的数据获取协议,获取和使用他人商业数据,并足以实质性替代其他经营者提供的相关产品或者服务;(三)披露、转让或者使用以不正当手段获取的其他经营者的商业数据,并足以实质性替代其他经营者提供的相关产品或者服务;(四)以违反诚实信用和商业道德的其他方式不正当获取和使用他人商业数据,严重损害其他经营者和消费者的合法权益,扰乱市场公平竞争秩序。本法所称商业数据,是指经营者依法收集、具有商业价值并采取相应技术管理措施的数据。获取、使用或者披露与公众可以无偿利用的信息相同的数据,不属于本条第一款所称不正当获取或者使用其他经营者商业数据。”
③“肯定说”认为,数据确权是克服数据市场“公地悲剧”的有效手段,如果不对数据确权,数据控制人将会任意排除、限制其他竞争对手使用数据,产生数据流通和利用不足问题。参见龙卫球:《数据新型财产权构建及其体系研究》,《政法论坛》2017 年第4 期;申卫星:《数据确权之辩》,《比较法研究》2023 年第3 期;纪海龙:《数据的私法定位与保护》,《法学研究》2018 年第6 期;王利明:《论数据权益:以“权利束”为视角》,《政治与法律》2022年第7期。
④“否定说”指出,数据没有特定性和独立性,亦不属于无形物,不能归入表彰民事权利的客体,且数据本身不具有独立的经济价值,依赖其他要素发挥工具性作用,故不应确权。参见周汉华:《数据确权的误区》,《法学研究》2023 年第2 期;梅夏英:《在分享和控制之间:数据保护的私法局限和公共秩序构建》,《中外法学》2019 年第4 期;戴昕:《数据界权的关系进路》,《中外法学》2021 年第6 期;陈越峰《超越数据界权:数据处理的双重公法构造》,《华东政法大学学报》2022年第1期。
⑤代表性文献可参见孔祥俊:《论反不正当竞争法“商业数据专条”的建构——落实中央关于数据产权制度顶层设计的一种方案》,《东方法学》2022年第5期;李扬:《日本保护数据的不正当竞争法模式及其检视》,《政法论丛》2021年第4期;孙晋:《数字经济时代反不正当竞争规则的守正与创新——以〈反不正当竞争法〉第三次修订为中心》,《中国法律评论》2023年第3期;邱福恩:《商业数据的反不正当竞争保护规则构建》,《知识产权》2023年第3期。
⑥在北大法宝数据库、威科先行数据库以“数据+获取+不正当竞争”、“数据+使用+不正当竞争”为关键词进行检索,截至2024年7月8日,在排除适用《著作权法》、《商标法》、《专利法》、《刑法》、《劳动合同法》以及涉及商业贿赂、虚假宣传的民事纠纷案件后,共获得47份有效判决书。
⑦参见北京知识产权法院(2020)京73 民终2140 号民事判决书。
⑧参见江苏省南京市中级人民法院(2021)苏01 民初1160号民事判决书。
⑨杭州铁路运输法院(2019)浙8601 民初1987 号民事判决书。
⑩北京市西城区人民法院(2023)京0102 民初7890 号民事判决书。
⑪撞库是指黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登录其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的账号密码,因而黑客可以通过获取用户在A 网站的账户从而尝试登录B网站,这就可以理解为撞库攻击。
⑫杭州铁路运输法院(2018)浙8601 民初956 号民事判决书。
⑬参见上海知识产权法院(2016)沪73 民终242 号民事判决书。
⑭参见北京市海淀区人民法院(2017)京0108 民初24512号民事判决书。
⑮参见北京知识产权法院(2016)京73 民终588 号民事判决书。
⑯北京知识产权法院(2016)京73 民终588 号民事判决书。
⑰其中,“非法获取”的主要形式是“侵入”,是指未经授权或者超越授权,获得删除、增加、修改或者获取计算机信息系统存储、处理或者传输的数据的权限,破坏或者避开其他经营者设置的访问控制措施而取得相应的权限,包括破坏门卡、门禁系统等物理访问控制措施以及用户身份验证等逻辑访问控制措施。
⑱最高人民法院(2017)最高法民申4955 号民事裁定书。
⑲北京市高级人民法院(2017)京民终487 号民事判决书。
⑳北京市高级人民法院(2021)京民终281 号民事判决书。
㉑以“爬虫协议”或“robots 协议”为全文检索关键词,在北大法宝进行检索,截至2024 年6 月9 日,共获得60 份裁判文书,其中类属“不正当竞争纠纷”的有16 件,余下则为侵犯著作权纠纷或侵害作品信息网络传播权纠纷。在该16 份裁判文书中,有3 起案件(4 份判决书)对数据获取协议进行了司法审查,并详细阐述了审查的具体标准。
㉒参见北京市高级人民法院(2017)京民终487号民事判决书。
㉓参见北京市海淀区人民法院(2017)京0108 民初24512号民事判决书。
㉔参见北京市高级人民法院(2021)京民终281号民事判决书。此案一审判决参见北京知识产权法院(2017)京73民初2020号民事判决书。
㉕参见关于《最高人民法院关于适用〈中华人民共和国反不正当竞争法〉若干问题的解释(征求意见稿)》第26条第2款。
㉖在“北大法宝”和“威科先行”数据库以“实质性替代+数据+获取+不正当竞争”为关键词进行分别检索,截至2024 年7 月19 日,分别获得21 份和25 份判决书。通过对比两次检索结果,共获得28份有效判决书。剔除不相关案件,法院在裁判说理的过程中采用实质性替代规则的案件共10 个(11 份判决书)。囿于裁判文书公开规则,上述检索平台未必能涵盖所有数据不正当竞争纠纷中提及实质性替代规则的案件,故而本研究并非全数据研究,但从现有案件统计分析看,其已经能够较为全面地呈现实质性替代规则在认定数据不正当竞争行为时所起到的标尺作用。
㉗参见北京知识产权法院(2021)京73 民终1011 号民事判决书。
㉘参见重庆市第一中级人民法院(2021)渝01 民初259号民事判决书。
㉙参见北京市海淀区人民法院(2017)京0108 民初24512号民事判决书。
㉚参见杭州铁路运输法院(2018)浙8601 民初956 号民事判决书。
㉛参见北京市海淀区人民法院(2017)京0108 民初24510号民事判决书。
㉜参见北京市高级人民法院(2022)京民申3286 号民事判决书。
㉝参见杭州市滨江区人民法院(2019)浙0108 民初5049号民事判决书。
㉞参见杭州市中级人民法院(2018)浙01 民终7312 号民事判决书。
㉟参见北京市第一中级人民法院(2011)一中民终7512号民事判决书、北京市海淀区人民法院(2010)海民初24463号民事判决书。
㊱参见北京市海淀区人民法院(2010)海民初24463号民事判决书。
(参考文献略)
END