在《数据安全法》(草案)以及《金融数据安全 数据安全分级指南》(送审稿)披露之际,关于数据权利边界的问题,再次引发学界及实践热议。今天,我们仅结合经典案例,谈一谈企业在数据处理中享有的权利内容。
某宝公司设立某线上交易集合平台,供各类商户自行售卖自家商品。同时,某宝公司也利用商户与消费者的交易信息,开发出零售电商数据产品“生意参谋”。“生意参谋”内设“行业大盘”、“商品店铺榜”、“搜索词分析”、“买家人群画像”、“卖家人群画像”、“搜索人群画像”等不同板块,具体显示内容为趋势图、排行榜、占比图等各类形式的预测型、指数型、统计型数据信息。
以上走势图等数据信息为商家的市场预测及营销战略调整等提供了重要依据。对此,某宝将“生意参谋”分设市场行情标准版及专业版对外售卖,已知该产品累计服务商家已超过2000万,月服务商家超500万。
某宝在《软件服务协议》中明确“用户使用规范”如下:禁止其他个人或企业出售、转售或复制、开发某宝授予的使用权限;禁止将开通使用权限的账户出售、出租、出借或以其他方式提供给第三方使用;禁止未经某宝公司许可将通过生意参谋零售电商大数据软件获得的各项数据内容向任何第三方披露、转让、出售、许可或以其他方式提供给第三方使用等。
谁料想,某信息科技有限公司开发出“某生意参谋众筹”网站,推广“某互助平台”,教唆、引诱已订购某宝公司“生意参谋”产品的某宝用户下载“某互助平台”客户端,通过该软件相互分享、共用、出租其“生意参谋”产品子账户获取佣金。
此外,某信息科技有限公司组织“某互助平台”用户租用某宝公司“生意参谋”产品子账户,某信息科技有限公司为“租用者”通过远程登录“出租者”电脑等方式使用“出租者”的子账户查看“生意参谋”产品数据内容,提供技术帮助,并从中牟利等。
某宝公司认为,某信息科技有限公司的上述行为,对某宝公司数据产品已构成实质性替代,直接导致了某宝公司数据产品订购量和销售额的减少,极大损害了某宝公司的经济利益,同时恶意破坏了某宝公司的商业模式,严重扰乱了大数据行业的竞争秩序。故,向法院提起诉讼。
本案在诉讼过程中,某信息技术有限公司对某宝的数据收集行为以及某宝对收集来的信息予以加工后的产品权益提出质疑。
本案的经典之处便在于,市场主体可以从裁判文书中去了解司法机关对于如何收集网络用户的信息才是正当的,以及某宝公司对于“生意参谋”数据产品是否享有法定权益的指导性思路。
信息是数据的内容,数据是信息的形式。涉案数据产品的数据内容虽然来源于某宝公司所收集的原始数据,但这些原始数据是网络用户浏览、搜索、收藏、加购、交易等行为痕迹信息外化为数字、符号、文字、图像等方式的表现形式。
原始数据所具有的实用价值在于其所包含的网络用户信息内容,而不在于其形式。因网络用户对于其用户信息依法享有获得安全保护的权利。
本案中,在“生意参谋”数据产品形成过程中某宝公司是否具有不正当行为,主要应考量其收集并使用原始数据信息是否符合相关法律规定,是否存在侵害网络用户信息安全的行为。
第一,根据《中华人民共和国网络安全法》的相关规定,网络运营者收集、使用网络用户信息,应根据信息的不同类型,分别承担相应的安全保护义务。
网络安全法第二十二条规定,“网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定”。
孙宇晨:TRX ETN成为第三个上市欧洲传统金融市场的主流加密代币:据最新消息,波场TRON创始人兼BitTorrent CEO孙宇晨就TRX ETN将在德国,法国,荷兰,瑞士等欧盟十四国合规上市发表致社区的公开信。
孙宇晨在公开信中表示:正是凭借VanEck极具前瞻性的投资战略与发掘新兴领域的丰富经验,稳居公链前三的波场TRON得以与顶级证券交易所德交所正式牵手。波场TRX(VTRX)继比特币和以太坊之后,成为第三个上市欧洲传统金融市场的主流加密代币,标志着TRON作为领先的区块链协议正在获得主流监管与金融机构的认可。[2021/9/20 23:39:05]
《网络安全法》第七十六条规定,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
根据上述法律规定,用户信息包括个人信息和非个人信息。前者指向单独或与其他信息结合识别自然人个人身份的各种信息和敏感信息,后者包括无法识别到特定个人的诸如网络活动记录等数据信息。
由于法律对收集、使用上述信息规定了不同的标准,同时对如何收集、使用用户信息进行了明确的规制。因此,在评判某宝公司收集、使用涉案数据信息是否具有正当性时,首先须区分其收集、使用的涉案数据信息属于何种类型。
从本案查明的事实来看,“生意参谋”数据产品所涉网络用户信息主要表现为网络用户浏览、搜索、收藏、加购、交易等行为痕迹信息以及由行为痕迹信息推测所得出的行为人的性别、职业、所在区域、个人偏好等标签信息。
这些行为痕迹信息与标签信息并不具备能够单独或者与其他信息结合识别自然人个人身份的可能性,故其不属于网络安全法中的网络用户个人信息,而属于网络用户非个人信息。
第二,对于网络运营者收集非个人信息,网络安全法第二十二条明确了网络运营者的责任,即网络产品、服务具有收集用户信息功能的,应当向用户明示并取得同意。
就本案而言,法院认为,网络运营者不仅对于网络用户信息负有安全保护的法定义务。同时,因网络运营者与网络用户之间存在服务合同关系,基于“公平、诚信”的契约精神原则要求,网络运营者对于保护网络用户合理关切的个人隐私和商户经营秘密负有高度关注的义务。
网络用户行为痕迹信息不同于其他非个人信息,这些行为痕迹信息包含有涉及用户个人偏好或商户经营秘密等敏感信息。因部分网络用户在网络上留有个人身份信息,其敏感信息容易与特定主体发生对应联系,会暴露其个人隐私或经营秘密。
因此,对于网络运营者收集、使用网络用户行为痕迹信息,除未留有个人信息的网络用户所提供的以及网络用户已自行公开披露的信息之外,应比照网络安全法第四十一条、第四十二条关于网络用户个人信息保护的相应规定予以规制。
第三,根据网络安全法第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和用户的约定,处理其保存的个人信息。
本案中,某宝公司作为某宝网的服务提供者,在网络上已公示了《某宝平台服务协议》与某宝隐私权政策,某宝隐私权政策明确宣示了收集、使用用户信息的目的、方式、范围,其收集、使用各类网络用户信息与所提供的服务能相互对应,符合“必要与最少限度”的要求。
同时某宝隐私权政策提示会根据用户浏览及搜索记录、设备信息、位置信息、订单信息,提取浏览、搜索偏好、行为习惯等特征,基于特征标签进行间接人群画像并展示,且明确告知用户如果拒绝提供相关信息,可能无法使用相应的服务,或者无法展示相关信息,但不影响使用某宝网浏览、搜索、交易等基本服务,提示了用户的选择权。
此外,某宝公司在某宝隐私权政策中有以下承诺:“如果我们将非个人信息与其他信息结合用于识别特定自然人身份,或者将其与个人信息结合使用,则在结合使用期间,这类非个人信息将被视为个人信息,除取得您授权或法律法规另有规定外,我们会将该类个人信息做匿名化、去标识化处理”。
由此可见,某宝隐私权政策所宣示的用户信息收集、使用规则在形式上符合“合法、正当、必要”的原则要求。经审查,“生意参谋”数据产品中可能涉及的用户信息种类均在某宝隐私权政策已宣示的信息收集、使用范围之内,其中生意参谋”数据产品所展示的商户经营信息均为商户在某宝服务平台上已自行公开的信息,未发现某宝公司有违反其所宣示的用户信息收集、使用规则的行为。
第四,根据网络安全法第四十二条规定“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外”。
对此,网络用户向网络运营者提供信息是基于对该网络运营者信息安全保护能力的信赖,如果网络运营者公开使用或许可他人使用网络用户信息,网络用户信息安全将面临新的不可预测的风险,超出了网络用户对信息安全保护的原有预期。
因网络运营者对于网络用户信息的安全负有法定保护义务和审慎注意义务,网络运营者公开使用或许可他人使用其收集的网络用户个人信息、个人行为痕迹信息的,应事先另行取得被收集者的明示同意。
涉案“生意参谋”数据产品所使用的网络用户信息经过匿名化脱敏处理后已无法识别特定个人且不能复原,公开“生意参谋”数据产品数据内容,对网络用户信息提供者不会产生不利影响。且某宝公司的某宝隐私权政策已宣布:“经去标识化处理的个人信息,且确保数据接收方无法复原并重新识别个人信息主体的,不属于个人信息的对外共享、转让及公开披露行为,对此类数据的保存及处理将无需另行向用户通知并征得用户的同意”。
因而,某宝公司公开使用经匿名化脱敏处理后的数据内容属于上述法律规定的除外情形,即无需另行征得网络用户的明示同意。
综上所述,从规则公开方面来看:
① 某宝公司已向某宝用户公开了涉及个人信息、非个人信息收集规定的《法律声明及隐私权政策》;
②从取得用户同意方面来看,某宝公司在其用户注册账号时通过服务协议、法律声明及隐私权政策的形式取得了授权许可;
③从行为的合法正当性来看,某宝公司经授权后收集使用的原始数据均来自于某宝用户的主动提供或平台自动获取的活动痕迹,不存在非法渠道获取信息的行为;
④ 从行为必要性来看,某宝公司收集、使用原始数据的目的在于通过大数据分析为用户的经营活动提供参谋服务,其使用数据信息的目的、方式和范围均符合相关法律规定。
因此,某宝公司收集、使用网络用户信息以及“生意参谋”数据产品公开使用网络用户信息的行为符合法律规定,具有正当性。
接下来,某宝公司对于“生意参谋”数据产品是否享有合法权益呢?
首先,网络运营者与网络用户之间系服务合同关系。网络用户向网络运营者提供用户信息的真实目的是为了获取相关网络服务。网络用户信息作为单一信息加以使用,通常情况下并不当然具有直接的经济价值,在无法律规定或合同特别约定的情况下,网络用户对于其提供于网络运营者的单个用户信息尚无独立的财产权或财产性权益可言;
其次,鉴于原始网络数据,只是对网络用户信息进行了数字化记录的转换,网络运营者虽然在此转换过程中付出了一定劳动,但原始网络数据的内容仍未脱离原网络用户信息范围,故网络运营者对于原始网络数据仍应受制于网络用户对于其所提供的用户信息的控制,而不能享有独立的权利,网络运营者只能依其与网络用户的约定享有对原始网络数据的使用权;
再次,网络大数据产品不同于原始网络数据,其提供的数据内容虽然同样源于网络用户信息,但经过网络运营者大量的智力劳动成果投入,经过深度开发与系统整合,最终呈现给消费者的数据内容,已独立于网络用户信息、原始网络数据之外,是与网络用户信息、原始网络数据无直接对应关系的衍生数据。网络运营者对于其开发的大数据产品,应当享有自己独立的财产性权益。随着互联网科技的迅猛发展,网络大数据产品虽然表现为无形资源,但可以为运营者所实际控制和使用,网络大数据产品应用于市场能为网络运营者带来相应的经济利益。
随着网络大数据产品市场价值的日益凸显,网络大数据产品自身已成为了市场交易的对象,已实质性具备了商品的交换价值。对于网络运营者而言,网络大数据产品已成为其拥有的一项重要的财产权益。另一方面,网络数据产品的开发与市场应用已成为当前互联网行业的主要商业模式,是网络运营者市场竞争优势的重要来源与核心竞争力所在。
最后,“生意参谋”数据产品中的数据内容系某宝公司付出了人力、物力、财力,经过长期经营积累而形成,具有显著的即时性、实用性,能够为商户店铺运营提供系统的大数据分析服务,帮助商户提高经营水平,进而改善广大消费者的福祉,同时也为某宝公司带来了可观的商业利益与市场竞争优势。“生意参谋”数据产品系某宝公司的劳动成果,其所带来的权益,应当归某宝公司所享有。
某宝公司对涉案“生意参谋”数据产品享有竞争性财产权益。而对于某宝公司诉称其对涉案原始数据享有财产权、某信息科技有限公司辩称某宝用户对涉案网络用户信息享有财产权的诉讼主张,人民法院不再支持。
对于某宝公司诉称其对涉案“生意参谋”数据产品享有财产所有权的诉讼主张,法院认为,财产所有权作为一项绝对权利,如果赋予网络运营者享有网络大数据产品财产所有权,则意味不特定多数人将因此承担相应的义务。是否赋予网络运营者享有网络大数据产品财产所有权,事关民事法律制度的确定,限于我国法律目前对于数据产品的权利保护尚未作出具体规定,基于“物权法定”原则,故对某宝公司该项诉讼主张,人民法院不予确认。
以上经典案例,我们可以看到,企业对其收集加工的个人信息也享有一定的权利,但却并不是财产权、所有权。
我国现有规定,在法律层面将信息主体的“授权同意”作为企业处理使用个人信息的合法性基础。当我们深入反思“授权同意”原则背后的逻辑所在时发现,该原则本质上是在尝试将个人信息的“所有权”(或者“控制权利”)在一定条件下,转移至企业以方便企业的数据利用。
“同意规则的一般化的法律效果是,个人信息的使用由个人决定,个人信息成为由个人支配的客体,形成所谓的个人信息支配权”。如此,也才会出现上述案例中,某宝公司主张其对涉案“生意参谋”数据产品享有财产所有权;某信息科技有限公司认为的“个人信息权利属于个人信息主体”等诉求内容。
我国长期存在将个人信息保护权利化的倾向,认为个人对个人信息的使用具有决定权利。如此做法,实际就是将德国宪法上的个人信息自决权直接转化为民法上的个人信息权利。而将个人信息自决权等同于私法上人个信息支配权是一种误读。
对此,法院裁判能发现企业对数据所享有的权益内容,并在此基础上最终裁判是数据理论发展的重要进步。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。