動態(tài)與觀點

新興互聯網公司數據原始積累的法律合規(guī)

2022-01-28
瀏覽量
5513

- 引 言 -

對于互聯網公司而言,數據的重要性不言而喻。

建立在大數據收集、分析處理基礎上的互聯網公司,需要數據累積才能實現價值,新進入市場的互聯網公司沒有足夠的數據支撐很難與大型互聯網公司競爭,《個人信息保護法》第四十五條第三款[1]給了新興互聯網公司機會。

依據(2016)京73民終588號中專家輔助人的描述,互聯網數據的獲得方式大致包括抓取和獲取兩種方式。前者是指未經授權,第三方采用爬蟲程序抓取網頁中的非結構化數據的行為;后者是指經過網絡平臺以及用戶授權后,通過網絡平臺提供的接口而獲取結構化數據的行為。

在《個人信息保護法》出臺之前,互聯網公司會通過爬蟲插件等抓取大型互聯網公司的數據,這種很容易會被認為是不正當競爭從而承擔高額的賠償責任,或者通過與大型互聯網公司合作的方式獲取信息,但是這種情況下,大型互聯網公司具有定價權以及排除許可使用的權利。

在《個人信息保護法》出臺之后,互聯網公司可以采取另外一種直接獲得用戶授權的數據收集方式,由于該條款在我國實踐并不成熟,合規(guī)問題需要進一步探討。

- 探 討 -

一、通過爬蟲獲取數據途徑

(2016)滬73民終242號

在本案件中,原告公司認為被告公司APP通過爬蟲程序抓取大量原告公司網站內的評論信息,直接替代了原告公司網站的內容。

二審法院認為在被告APP中搜索某一商戶,雖然附有原告公司網站的跳轉鏈接,但是基于日常消費經驗,消費者逐一閱讀所有用戶評論的概率極低,消費者在該APP中閱讀用戶評論信息后,已經無需再跳轉至原告網站閱讀更多的信息,因此構成了實質性替代,這種替代會使得原告公司的利益受到損害。

實際上在有關數據抓取案件中確立了實質性替代的原則。

原則上,通過爬蟲抓取數據只能抓取公開數據。對于采取技術措施或者違反了網站或者產品的服務規(guī)則或用戶協議、或者被抓取額數據為服務運營者投入勞動或資源的衍生數據,都可能被認定為不正當競爭行為。

因此,新興互聯網公司在使用爬蟲程序抓取網站數據時,應當注意:

01.遵循“最少、必要”的原則,不能超出必要的限度,不能實質性替代被爬取的產品或服務;

02.盡量避免對于采取技術措施的網站的抓取行為;

03.尊重被爬取網站或網絡服務提供者的勞動成果,比如基于網絡平臺算法對原始數據進行分析、處理后的衍生數據,如果爬蟲程序抓取這樣的數據,就可能觸及不正當競爭行為。

二、通過與大型互聯網公司合作獲取數據途徑

(2016)京73民終588號

在本案件中,二審法院確立了“用戶授權+平臺授權+用戶授權”的三重授權原則。

二審法院確立了“用戶授權+平臺授權+用戶授權”的三重授權原則。

“三重授權原則”是指用戶在第一次使用某網絡服務時,也即網絡平臺第一次進行用戶收集時應獲得用戶授權;第三方想要使用該網絡平臺用戶數據時需要經過該網絡平臺的授權以及用戶第二次授權。

二審法院認為龐大的用戶數據是平臺重要的商業(yè)資源,是企業(yè)競爭力的核心,平臺對外提供數據應該堅持三重授權原則,以保護用戶隱私和維護企業(yè)核心競爭力。

三重授權原則體現了我國司法實踐中對數據權屬的劃分,該原則遵循了《個人信息保護法》的立法目的,互聯網公司將用戶數據進行分級分類,與第三方合作時根據合作需要提供給第三方對應的開放端口。

第三方平臺在使用用戶信息時應當明確告知用戶其使用的目的、方式和范圍,再次取得用戶的同意。

但是三重授權原則體現出對用戶數據無差別的對待(即在向第三方提供數據時不區(qū)分敏感數據和非敏感數據均應取得用戶同意),然而在《個人信息保護法》中使用個人敏感信息時需要單獨同意,也就是說如果第三方獲取的僅是用戶非敏感信息或者匿名信息時可以不需要用戶單獨同意。

所以在《個人信息保護法》實施后的案件中還應調整相應的裁判尺度。

但是依據該案件的裁判規(guī)則,新興互聯網公司在與大型互聯網公司進行合作時應注意:

01.要按照合同約定的使用期限、使用范圍、使用目的和使用方式處理用戶數據,且在合同期滿后按約定及時處理相應數據;

02.不僅要審查合作方是否在初次收集時獲得用戶授權,也要審查在本次合作中是否獲得用戶的授權。

三、通過用戶直接授權獲取數據途徑

(2019)浙8601民初1987號

在本案件中,原告公司主張被告開發(fā)運營的群控軟件惡意破壞微信的數據安全。

被告辯稱,用戶的社交數據權益歸用戶所有,微信不享有任何數據權益,并且引入“個人數據攜帶權”,即數據控制者應當按照數據主體的請求,將規(guī)定的數據副本傳輸給數據主體個人或第三方。

法院認為:數據可以分為兩種數據形態(tài),一是數據資源整體,二是單一數據個體。平臺對于前者享有競爭性權益,對后者享有有限使用權。

另外,法院并未采納關于個人數據可攜權的主張。一是因為個人數據可攜權在我國尚未有法律規(guī)定,二是被告獲得用戶數據并未經過微信平臺授權,也未經過關聯用戶授權。

該案中雖然將個人數據攜帶權的概念引入,但是由于被告運營的群控軟件未取得用戶授權,因此并不具有使用合法來源。

(2017)京0108民初24530號

在本案件中,被告稱,被告平臺同步微博內容系用戶授權,用戶對于其發(fā)布的內容擁有獨立完整的權利,其權利范圍至少包括許可他人使用以及怎樣使用,該權利不應受“經平臺同意”或“不得授權他人行使”的非法限縮。

但是法院并未支持被告該主張,一是認為被告平臺并未獲得原告的授權;二是在被告平臺采取的五種授權方式(書面授權、電子授權、郵件授權、入住視頻授權、口頭授權)后兩種授權方式很難說明用戶具有授權行為;三是被告平臺移植的內容包括原告在運營中對用戶數據進行處理而產生的衍生數據,侵害了原告的權益。

依據上述案件,盡管兩個案件中法院并未支持被告的意見,但卻是對數據可攜權的一次探討:

01.作為互聯網公司,在移植其他平臺內容時需要獲得用戶授權,但是獲取用戶授權的方式需要特別注意,最好能采用書面,電子或者郵件的方式留存證據,其實還可以采用在登錄今日頭條時,可以增加一些選項,比如用戶同意移植微博內容等;

02.值得注意的是,第三方移植平臺內容范圍僅限用戶個人所上傳的內容,也即用戶原始內容。不得將該內容擴大到平臺的衍生數據;

03.《個人信息保護法》的施行,是否可以在用戶協議中排除數據可攜權?筆者認為是不可以排除的,因為數據可攜權不僅作為數據主體的一項基本權利,同時也對數據流動、使用產生很重要的影響。

四、新興互聯網公司有關數據遷移的法律合規(guī)

在歐盟嚴格的個人數據保護的規(guī)定影響下,各國都開始注重對個人數據的保護。

但是越來越清晰地顯示,個人的原始數據的權屬屬于個人,個人享有數據可攜權,如果經過了互聯網平臺分析、處理后的衍生數據權屬歸于平臺。

這樣的權利劃分決定了數據可攜權的范圍,以及在出現類似爬蟲之后的責任承擔問題。

數據可攜權在我國司法中還處于發(fā)展初期,但是對于想利用該權利實現公司數據原始積累的新興互聯網企業(yè),提前做好數據合規(guī)會走得更快。

1.對于數據可攜權范圍的把控,從少有的案例中初見端倪,數據的傳輸僅是用戶的原始數據,該原始數據應該是機器可讀的結構化數據。如果獲得的數據范圍過分擴大,可能會損害相關平臺的利益,從而引發(fā)糾紛。如果獲取的數據可能包含其他內容,比如平臺的衍生數據、第三人數據,這時應該取得相應授權。

2.對處理行為的限制。WP29(29條工作組)制定的《數據可攜權指南》中規(guī)定了對處理行為的限制,當處理行為是通過自動化方式進行的并且是基于數據主體的同意或基于數據主體為締約方的合同時,該行為才會被納入數據可攜權的范圍,我國對于數據處理方式并未做詳細規(guī)定。

3.從我國《個人信息保護法》和歐盟的GDPR[2]來看,原則上經過數據主體同意,對于個人數據的傳輸是不區(qū)分敏感信息和非敏感信息均應該無障礙傳輸,但是均規(guī)定了例外情況:符合國家網信部門條件的,而歐盟更加精確到符合公共利益、不侵害他人權利以及受制于官方禁令。

4.雖然新興的互聯網公司降低了數據原始積累成本,但是并不因此降低其數據安全和管理的義務,因為由于數據的可遷移性,數據安全和管理必須在不同公司規(guī)模,不同安全性和風險管理能力的組織之間共享,因此考慮到個人信息保護的嚴格性,所以應該從一開始就意識到數據安全管理的問題。

- 結 語 -

新進入者無法向大型互聯網公司收集數據或購買數據時,數據收集可能會成為互聯網公司的行業(yè)進入壁壘,大型互聯網公司可能采取歧視性訪問、排他性合同甚至拒絕提供數據等措施達到市場集中化。

數據可攜權不僅賦予個人更多的控制權,同時也降低了個人在不同網絡平臺的切換成本,降低了新興互聯網公司的數據積累成本。

大量的原始數據以及基于原始數據形成的衍生數據使得互聯網平臺獲得競爭優(yōu)勢,為用戶提供更為個性化的服務和產品。

根據《個人信息保護法》第四十五條規(guī)定的數據遷移權利,互相傳輸的僅是用戶提供的原始數據,因此,對于不同平臺而言,基于大數據、算法等技術產生的衍生數據作為平臺的核心競爭,勢必會產生一種現象—用戶的原始數據逐漸共享,而對于算法等技術更為私有,從而鞏固了具有數據優(yōu)勢的平臺的市場力量。

企業(yè)微信截圖_120bd36f-6f81-4703-9c26-b772b74fe088.png

企業(yè)微信截圖_f63eadb1-32b5-4f65-ae22-dd56b79c8b08.png

公眾號動圖(循環(huán)).gif

[1] 《個人信息保護法》第45條“個人請求將個人信息轉移至其指定的個人信息處理者,符合國家網信部門規(guī)定條件的,個人信息處理者應當提供轉移的途徑”。

[2] GDPR第20條關于數據攜帶權的規(guī)定。

免責聲明:本文僅為分享、交流、學習之目的,不代表恒都律師事務所的法律意見或對法律的解讀,任何組織或個人均不應以本文全部或部分內容作為決策依據,因此造成的后果將由行為人自行負責。