作者简介:谭宇航,男,广东肇庆人,南京师范大学法学院讲师,法学博士,研究方向:反不正当竞争法。
摘要:围绕商业数据的反不正当竞争法保护立法展开细致讨论。首先,在评价获取行为的正当性时,未经同意说对持有者权益保护过多;实质替代说立法周延性不足;行为危害性说标准不清晰。立法应发展实质替代说与行为危害说,形成足以造成实质损害说,围绕该标准,引入各类考量因素,做出类型化规定。其次,不正当获取将导致后续使用具有不正当性。即便使用者正当获取商业数据,持有者仍有权制止足以发生实质替代效果的后续使用,但假如正当获取具体表现为持有者向使用者“开放获取”,持有者的“使用权”将“用尽”,后续使用具有正当性。认定实质替代效果,可综合考量最终产品的基本结构、所涉数据的类型与方式、最终产品的功能效果等因素。最后,披露与使用的不正当认定规则基本一致,但对于深处理数据、数据产品,“开放获取”不导致“披露权”“用尽”。
关键词:反不正当竞争法;商业数据;数据流通;数据不正当竞争;获取、使用、披露行为
引言
按照党的二十届三中全会部署,加快建立数据产权制度已成为当前重点立法工作。随着《民法典》《个人信息保护法》《数据安全法》《网络安全法》等法律出台,关于数据主体权益保护与国家公共安全保护的基础性立法已完成,但关于保护数据权益与促进数据流通的基础性立法尚未完成,如何在立法上落实“数据二十条”,仍存在诸多讨论。经过近十年发展,《反不正当竞争法》证明了其在一定程度上具备协调保护数据权益与促进数据流通的功能,立法者试图在本轮《反不正当竞争法》修改(以下简称“修订草案”)中,在“互联网条款”增加一项类型化条款,明确规制“以欺诈、胁迫、电子侵入等不正当方式,获取并使用其他经营者合法持有的数据”。而在早些时候,在国家市场监督管理总局公布生效的《网络反不正当竞争暂行规定》(以下简称《暂行规定》)中,第19条便先行作出规定:“经营者不得利用技术手段,非法获取、使用其他经营者合法持有的数据,妨碍、破坏其他经营者合法提供的网络产品或者服务的正常运行,扰乱市场公平竞争秩序。”总之,我国商业数据的反不正当竞争法保护已经从司法实践阶段逐渐走向法律制定阶段,如何立法、如何解释立法将成为未来一段时间各界研究讨论的焦点。
学界围绕商业数据的客体适格性,获取、使用、披露行为的不正当性等焦点议题产生诸多讨论。其中,学界对可获得《反不正当竞争法》保护的商业数据已形成较成熟主张:合法性、集合性、管理性、可公开性和商业价值性,不属于商业秘密法所保护客体。本文根据处理程度不同,将商业数据进一步细分为原始数据、初处理数据、深处理数据、数据产品四类。原始数据是指,未经筛选或处理的数据,从数据源采集、存储,作为纯粹的、事实的数字化记录,譬如社交媒体平台上采集的用户行为数据,如点赞、评论、转发等原始记录。初处理数据是指,经过基本去噪、清洗、整理的数据,去除冗余信息或错误值,提供更清晰的数据结构,是可读可用性更高的、事实的数字化记录,譬如在原始用户行为数据的基础上,剔除来自机器人的活动数据、删除无关联或重复数据,对点赞、评论等数据进行简单分类。深处理数据是指,经过深入分析、汇总和加工的数据,可能交叉结合多个数据集,是对事实的数字化记录、解释性分析,譬如将用户点赞、评论和停留时间等行为数据进行关联、整合与基本分析。数据产品是指,具备特定商业用途,经过高度加工且具备独特功能的数据集合,通常以产品形式对外提供,是对事实的解释性、预测性分析,譬如基于用户浏览、购买等数据而形成的辅助决策工具,可嵌入平台中,辅助经营者进行用户画像。考虑到篇幅,本文将按照以上定义、分类展开讨论,将焦点放在行为正当性上,不过多涉及客体适格性的问题。
一、商业数据获取行为的正当性认定
获取是使用、披露的必要前提,澄清获取的正当性边界具有重要意义。“修订草案”制止“以欺诈、胁迫、电子侵入等不正当方式,获取并使用”,而《暂行规定》则制止“非法获取”并规定了后果要件:“妨碍、破坏其他经营者合法提供的网络产品或者服务的正常运行,扰乱市场公平竞争秩序。”如何认定获取的“不正当”或“非法”,是争议焦点。主流观点承认,持有者对其数据的控制值得一定尊重,然而,反不正当竞争法应在多大程度上制止他人对这种控制的干预或影响?
(一)现有观点评析
1.未经同意说
未经同意说是较流行的主张。譬如有法院认为,持有者在其网站上禁止他人使用爬虫软件获取商业数据的声明具有法律效力,被告违反声明,大量获取其经营的1688网站上的公开企业信息,具有不正当性。未经同意说大致将持有者对商业数据的控制理解为一种占有,认为劳动或投资值得保护,数据控制秩序值得尊重。尽管未经同意说具有一定说服力,但也存在问题。
第一,有观点将占有/持有的概念套用在数据上,这一主张并不恰当。这种观点似乎将物权人对物的控制等同于持有者对商业数据的控制,将“占有”(一种得到法律承认的事实状态)扩大解释为“控制”(一种事实状态)。事物的表现形态、人类对事物的控制方式具有多样性,某一主体对某一事物在事实上具有控制力,不意味着法律就应当为某一主体提供保护。“到目前为止,持有者只拥有通过其物联网设备的特定技术设计获得的实际‘权力’。这种对数据的独家‘实际控制及其影响’是否应该被社会认可,是一个开放的法律和政治问题,尚未得到决定。”有形物具有竞争性,物权人对物的占有是唯一、完整的控制,法律保护这一在事实上已形成的控制,符合人类长久形成的正义观,能够保障社会秩序稳定。相反,商业数据在客观上具有非竞争性,即便获取行为未经同意,但可能不损害数据安全、不堵塞数据传输、不增加系统负担、不损害持有者已有商业利益。当获取行为对持有者的负面影响较为有限时,法律保护持有人的控制缺乏必要意义。“如果资源本身较为丰富且能重复利用,资源本身已经成为公共产品,此时再通过财产权而创设市场交易模式,就不但没有必要,反而会破坏了原先的共享共用机制。”
第二,有观点将持有者对商业数据的控制类比为权利人对商业秘密的控制,这一类比不恰当。商业秘密法以避免秘密信息从权利人处泄露作为主要立法目标,对保护权利人对信息的控制具有关键意义,未经权利人同意的获取可能导致权利人丧失控制,甚至导致商业秘密丧失保护资格。因此,在商业秘密法中通常可将未经同意的获取认定为不正当的获取。但在保护商业数据时,商业数据处于公开、半公开或可公开状态,不采取“为保护秘密而保护对秘密的控制”这一逻辑,促进数据流通更是商业数据立法的重要目标,其重要性不亚于数据权益保护。这使得在商业数据立法中采取未经同意说并不恰当,这将导致持有者有权随时取消那些可能对他造成不利的获取及后续使用,数据流通将在持有者控制的“阴影”下展开。“数据持有企业事实上有权决定以此类数据为基础的各项创新能否展开,以及哪些企业可进入相关的行业领域。”哪怕持有者不加阻止,或者法律要求持有者应承诺愿意以符合FRAND的对价向他人提供许可,这也意味着他人通常需要为其获取及后续使用付费——这相当于创设一门新的“税”。“数据财产化确权会产生显著的(权利转让)交易成本、寻租成本、保护成本以及创新成本。”
第三,商业数据的生产有其特殊性,套用知识产权激励创造的理论不恰当。为生产知识产权,市场主体通常需要做出专门投资,并通过独占或许可知识产权收回投资、维持营业,这是知识产权法为创新活动提供产权激励的原因。商业数据的生产则不同。不少持有者有着主营业务,譬如提供购物、聊天、游戏等服务。他们更多是为维持主营业务而做出成本投入,而非为生产商业数据,他们也能够从主营业务中获得相应收入。而且,数据是对人类生活的数字化、事实性记录,“社会中的每个社会主体均扮演三个角色:数据来源者、数据生产者和数据使用者”。数据生产活动所涵盖的数据类型相当丰富,一些可能高成本,另一些可能低成本,立法需要找准哪些市场主体需要从独占或许可商业数据中收回投资、维持营业,分析他们是否缺少通过其他渠道收回投资的机会。
第四,不需要过于担心“技术丛林”。数字社会是一个风险社会,人的生活轨迹被更广泛、精确地记录,人工智能在诸多方面可能取代人类,风险类型很多,程度各自不同,压制一个风险可能会诱发另一个风险。立法需要考虑清楚,各类风险是现实存在抑或观念存在,是轻微抑或严重。具体到本题,现在是技术丛林太严重?还是数据流通受阻?显然,后者更成问题,“我们面临的现实挑战集中在推动公共数据与非公共数据的有效利用与共享方面……反不正当竞争法与反垄断法适用边界不清晰,缺乏执法能力与可操作标准,对数据持有者有时放任、有时‘一刀切’严管,难以形成稳定的预期。”假如在立法中明确采纳“未经同意说”,或将“不正当”实质理解为“未经同意”,这将使得大多数获取行为原则上需要先获得持有者许可,要么直接导致数据流通受阻,要么需要引入更多权利例外、强制交易规则。问题是,既然风险可以在设置权利时减少,为什么要后置到权利限制的环节?
由此可见,尽管未经同意说提供了一个清晰、简单的认定标准,但其存在过于偏向持有者利益的显著弊端,立法及法律适用应对绕开、破坏保护措施的损害性做出更细致评估,不将未经同意作为认定不正当获取的充分条件。机器人协议只是一个告诉爬虫机器人可获取或不可获取什么数据的文本,属于单方声明,不能因获取行为违反机器人协议而初步认定其具有不正当性。对于在用户协议中约定禁止获取、限制频繁登录、设置登录验证等保护措施,也需要考虑它们在客观上能够阻却什么数据被以什么方式获取,评估绕开、破坏这些保护措施的效果。
2.实质替代说
实质替代说倾向将获取与使用行为作为一个整体对待。通过爬虫技术获取公开数据,这一手段本身不具有损害性,但假如获取的目的是为了实施足以发生实质替代效果的使用,则具有不正当性。 这些观点看到了商业数据的用途多样性、平行使用互不干扰性,试图通过引入实质替代要件,激励市场主体实施非实质替代行为,释放商业数据潜在价值。
然而,在评判获得行为的正当性时,仅采取实质替代说周延性不足,并不妥当。首先,获取与使用是两个独立行为。获取早于使用,尽管可在部分纠纷中采取倒推思路,但这并非能在一切纠纷中适用。获取行为本身也可能具有损害性,譬如通过使用虚假账号、变更IP地址、绕开人机验证机制等一系列方式获取数据,它们甚至构成刑事犯罪。而且,使用行为是否因足以发生实质替代效果而应被禁止,这放在使用行为正当性认定中更为恰当。其次,现时实质替代的认定本身充满争议。众所周知,数据规模越大,数据能够释放的价值越大,大规模数据的持有者往往有着广泛营业范围,再加上市场主体越来越频繁从事跨界竞争,实质替代的证明变得容易。譬如获取微博数据用于舆情分析,便被认为与微博具有实质替代关系,因为微博从业者也进行舆情分析,或许可他人利用微博数据进行舆情分析。因此,立法既要对实质替代标准的认定持更严格立场,也要引入更准确的核心标准评估获取行为的正当性。
3.行为危害性说
行为危害性说的主张较为分散,尽管他们均认为应根据获取的行为危害性判断不正当性,但展开角度不同。有观点区分“用户生成的网页数据”与“平台限定提供的数据”,它们大致相当于前端数据和后端数据,因数据公开状态不同、保护措施有效程度不同,绕开、破坏保护措施的正当性也不同。“在‘用户生成的网页数据’上,平台拒绝第三方爬取的理由只能是爬取行为破坏了平台的正当营业活动,或者窃取了平台的经营果实……对于‘平台限定提供的数据’,数据利用者获得数据,必须要经过平台的授权。”除了单维度的评估,还有观点引入法经济学分析思路,主张综合权衡各类参考因素,从数据爬取方的权益、数据被爬取方的权益、双方权益的抽象重要程度三方面、十多个考量因素出发,给出“完全扩张之权重方程”。
从行为危害性角度评判获取行为的正当性,不失为正确思路,但也存在一定问题。首先,采取单维度的评价标准可能过于简单。在当前市场与技术环境中,前端与后端保护措施不容易区分。现时大多数互联网平台在未登录状态下仅提供较有限的可查阅内容,大规模获取数据需要有一套账号密码。而且,为限制同一账号、同一IP频繁获取数据,平台方可能采取有效程度不同的保护措施,绕开、破坏这些保护措施的困难可能是显著的,也可能是轻微的。仅采取前端/后端的区分,不足以清晰、准确划分这些获取行为的危害性。其次,采取多维度的评价标准可能过于复杂。“赋权模式”支持者认为反不正当竞争法存在的一大突出问题是界权不清晰,因为它需要综合权衡多个参考因素才能判断获取行为是否具有正当性,这将导致数据的市场交易变得更为复杂。“争议发生后的事后判断,可预期性弱,容易诱发机会主义试探获取行为等一系列问题。”这一担忧值得肯定,从多维度评价行为危害性,可能致使合法性边界变得更为模糊。单维评价可能导致不准确,多维评价可能导致不清晰,如何克服这两方面的缺陷?
(二)本文观点提出
本文认为可考虑发展实质替代说与行为危害说,增加其清晰性。立法考虑将足以造成实质损害作为标准,并围绕该标准,引入各类考量因素,类型化规制明显足以造成实质损害的获取行为。
《反不正当竞争法》可以对获取行为的正当性做出如下一般性规定:“市场主体不得以不正当或违反商业道德的方式获取他人商业数据,足以造成实质损害。”“足以造成实质损害”标准是开放的,采取开放标准在知识产权法领域中较常见:在著作权法中,思想表达二分的判断;在专利法中,创造性的判断;在商标法中,混淆可能性的判定。从根本上看,采取开放性标准,是知识产权法所保护客体边界较模糊、溢出效应较强等属性导致,可受保护与不受保护的界线只能保持相对清晰,法律保护需要结合具体场景。数据作为信息产权客体更是如此,在数字社会,每个人都使用数据,也都产出数据,数据利用渠道更丰富,数据价值释放更显著。假如说专利、作品分别能为个别技术、艺术领域带来新知识,商业数据作为数字化的事实,所适用的领域更宽泛,能够为社会带来更广泛好处。随着人工智能技术快速发展,商业数据能够带来的好处将越来越显著。正因商业数据的强溢出性,采取“足以造成实质损害”这一开放性标准既可识别法律保护的共性要求,也为个性判断留有空间。相反,创设有着固定、统一边界的财产权,反而削足适履。
可通过引入各类考量因素,为“足以造成实质损害”的认定提供更清晰指引。有观点认为应考虑获取手段对网站的负担,获取是否为公开数据,获取是否侵犯他人权利,获取目的是否为了创造新产品。也有观点认为要考虑获取数据的数量与质量、数据是否公开、衍生数据还是原生数据、是否增加运维成本、是否带来创新、是否破坏技术限制措施。综合各类观点,本文认为具体应考虑如下几个方面,前三项主要围绕数据属性,考虑权益保护必要性,后三项主要围绕行为性质,考虑行为规制必要性,按照两个维度、六个方面,综合判断是否“足以造成实质损害”。一是数据加工程度。从原始数据、初处理数据、深处理数据到数据产品,持有者围绕商业数据的投入越来越大,商业数据越脱离零散事实,权益保护必要性越高。二是数据公开程度。从已全部公开数据、已部分公开数据到未公开但可公开数据,数据公开程度越低,所形成的控制秩序越稳固,权益保护必要性越高。三是数据所承载的信息类型。数据主体人格权益、社会公共安全越可能受到侵害,权益保护必要性越高。四是获取行为的目的,从科学研究、人工智能训练、监控舆情、相近行业竞争到相同行业竞争,获取目的越趋向于同业竞争,获取及后续使用所释放的价值越有限,行为规制必要性越高。五是获取行为的手段。从未经数据持有者单方同意获取、违反约定获取、绕开破坏限制访问频率的措施获取、绕开破坏限制访问的措施获取,获取方式越具有侵入性、破坏性,行为规制必要性越高。六是获取行为的效果。获取行为所造成效果越显著地对持有者特定、具体的商业权益或系统安全造成损害,行为规制必要性越高。值得注意,在评价获取行为的效果时,应考察持有者所受到的特定、具体损害,不应预设获取未经同意即会造成实质损害,不应预设获取未遵循最小、必要原则即会造成实质损害。
可考虑制定类型化条款,具体规制以下几类获取行为,第一项关注获取的商业数据类型,后三项关注获取所造成的后果。一是,未经持有者同意,获取持有者的深处理数据、数据产品。这两类商业数据条目清晰、用途明确、可辅助决策,包含持有者的创造性劳动和资本投入,具有显著、独立的商业价值。持有者演化为加工者,《反不正当竞争法》为他们提供较高程度保护,能激励市场做出更多投入,主流观点认为这是数据赋权。二是,以足以造成实质替代效果作为目的,获取持有者原始数据、初处理数据。这一规则是长期实施、争议较少的司法实践。当获取及其后续使用对持有者的产品或服务形成替代性竞争时,持有者的竞争优势将直接面临被削弱的风险。而且,该类行为也没有拓展商业数据新用途,只是发生竞争优势稀释或转移的效果。规制该类行为能够引导市场形成交易秩序。三是,获取持有者控制的商业数据,不合理增加持有者的运营成本、影响持有者的正常经营。这一情形是《反不正当竞争法(修订草案征求意见稿)》(以下简称“征求意见稿”)第18条第1项所明确规制的行为,也是对《暂行规定》第19条“妨碍、破坏其他经营者合法提供的网络产品或者服务的正常运行”的细化。规制该类行为不仅涉及商业数据保护,也关乎持有者网络或系统的运行安全,藉此预防及制止网络故障、信息泄露等安全风险。四是,获取持有者控制的商业数据,侵害数据主体权益或损害国家安全利益。立法制止此类行为,旨在凸显数据主体权益、国家安全利益的优先性。该项是指引性条款,目的在于对接《个人信息保护法》《网络安全法》等规范,明确将违反这几类法律的违法行为认定为不正当竞争。在法律适用时,应按照相应规范,先具体判断是否存在相关违法行为。
二、商业数据使用行为的正当性认定
使用行为牵涉利益复杂,表现形态多样。根据数据收集是否具有合法性、后续使用是否足以发生实质替代效果、后续使用是否由善意第三人做出,大致可分为六种情形:(1)获取具有不正当性,后续使用足以发生实质替代效果。(2)获取具有不正当性,后续使用不足以发生实质替代效果。(3)获取具有正当性,后续使用足以发生实质替代效果。(4)获取具有正当性,后续使用不足以发生实质替代效果。(5)先手获取具有不正当性,善意第三人后手获取并使用,足以发生实质替代效果。(6)先手获取具有不正当性,善意第三人后手获取并使用,不足以发生实质替代效果。情形1与情形4完全相反,情形1通常具有不正当性,情形4通常具有正当性,争议较少,下文主要围绕其他几种情形展开讨论。
(一)不正当的获取后的使用
不正当的获取是否导致后续使用具有不正当性?即不正当的获取是否具有“传染性”?假如回答是肯定的,情形2通常具有不正当性。“征求草案”与《暂行规定》没有做出明确回应,“征求意见稿”第18条则做出否定回答,认为还需要评估使用是否足以发生实质替代效果:“披露、转让或者使用以不正当手段获取的其他经营者的商业数据,并足以实质性替代其他经营者提供的相关产品或者服务。”立法者当时可能认为,商业数据处于公开、半公开或可公开状态,获取的不正当性已被评价过了,假如使用不足以发生实质替代效果,该行为不仅未阻碍持有者通过商业数据获取商业利益、维持竞争优势的原有过程,更能促进商业数据新用途开发利用,不宜将该使用行为认定为不正当。
促进数据流通的努力值得肯定,但采纳以上规则可能造成市场交易秩序混乱,反而阻碍数据流通。持有者的核心利益在于控制商业数据,假如获取具有不正当性,意味着一个失控、非法的商业数据传播渠道已形成,除非这一失控、非法渠道被重新“堵上”,否则商业数据始终处于或大或小的失控状态中。使用以获取作为起点,假如起点是清晰、合法的,市场主体在后续交易与使用上将面临更少顾虑,交易顺畅程度将提高。假如商业数据涉及数据主体权益、国家公共安全等重要利益,保障起点的清晰性、合法性将有着更突出意义。将不正当获取后的使用认定为不正当,这一规则划定了清晰的行为界线,能减少商业数据失控的风险,保障后续交易与使用链条清晰、合法。相反,假如使用者已实施或明知、应知他人实施不正当的获取,但其后续使用却因不足以发生实质替代效果而被认定为具有正当性,这将造成不当激励——促使使用者不是在使用前先通过正当方式获取商业数据,而是先实施不正当的获取,再试图开发不足以发生实质替代效果的使用场景。如此一来,数据流通市场既存在合法获取的商业数据,也存在不合法获取但使用不足以发生实质替代效果的商业数据,数据交易市场上的数据合法性呈混乱状态,商业数据流通秩序未能建立。“‘实质替代要求’为不当获取行为人规避法律责任提供了契机。”
认为获取的不正当性具有“传染性”,是否可能使持有者取消那些不足以发生实质替代效果的使用,或者从这些使用中收取额外利益?答案是否定的,应从整体看待这一问题。相较于现有规则,本文对获取行为不正当性的认定持谦抑态度,采取足以造成实质损害标准,既不认为未经同意的获取行为当然具有不正当性,也不轻易将绕开、破坏保护措施的获取行为认定为具有不正当性——立法更多承认获取具有合法性,将使后续使用更少被限制在狭窄范围内。除此以外,假如立法者认为确实需要更充分激励不足以发生实质替代效果的后续使用,可通过为持有者提供更有限的侵权救济、引入不侵权例外等方式实现。两相比较,它们不至于为数据交易带来混乱,也能促进数据流通,是更适当的方案。
(二)正当的获取后的使用
正当的获取是否当然导致后续使用具有正当性?主流观点认为,答案是否定的,手段正当不代表结果正当,持有者有权制止他人足以发生实质替代效果的使用,因为这时双方市场利益会发生此增彼减的变化。“即使数据获取行为未突破数据持有人的限制措施,法院还是应当继续对数据使用行为的正当性进行判断。”按照主流观点,情形三通常具有不正当性。不过,也有观点提出“首次合法传输后持有权用尽”的主张:“无论是否移转原始数据,数据持有者提供数据给接受者使用后,原持有者并不丧失对数据控制,但对于特定使用人‘权利用尽’。数据持有者分享数据(使用)后不得取回数据或数据使用成果,数据接受者因使用而成为新的持有者……数据接受者基于数据的使用成为新的数据持有者,再次进行数据流通或分享。”“数据持有者权没有追及力,丧失控制即丧失权利。数据持有者权主要的权利效果是有限的排他效力,以防止无权使用数据的第三方首次使用数据。”按照这种观点,情形三似乎具有正当性。
综合以上观点,为促进数据流通,本文认为应进一步细分:(1)在通常情况中,持有者有权制止使用者以足以发生实质替代效果的方式使用商业数据。(2)假如正当获取具体表现为持有者向使用者“开放获取”,持有者不能再主张后续使用具有不正当性,只能主张违约责任。换言之,可以将“开放获取”作为一种权利例外:“他人正当获取商业数据后使用,足以发生实质替代效果的,具有不正当性,但持有者向使用者“开放获取”的情形除外。”通常情形的争议较少,下面集中讨论引入“开放获取”权利例外的必要性。
持有者向使用者“开放获取”,是指通过开放API接口、转移交付商业数据等方式使使用者能够直接控制商业数据。假如持有者以“可用不可见”方式向使用者提供“封装”的商业数据,因使用者不能直接控制商业数据,不属于“开放获取”。通过“开放获取”,商业数据的控制主体增加,这是持有者主动实现的结果,他能够与使用者围绕数据使用范围、违约责任事先做出约定。本文认为,这时不应将违约上升为侵权,这一规则涉及到违约责任与侵权责任的处理。从既有知识产权法看,知识产权各项权利内容是法定的,其边界相对清晰,行为人是否因违约而导致侵权,关键在于违约行为本身是否构成侵权。譬如《著作权法》未赋予著作权人“使用权”,违约“使用”作品的行为只有落入《著作权法》第3条所规制的范围内,才构成侵权。被许可人既可阅读知识产权法法条,判断是否构成侵权,也可阅读合同,判断是否构成违约,无论阅读法条抑或合同,他都能获得相对清晰的信息,判断自己行为的性质。在商业数据赋权时,情况则不同,立法的清晰性弱于合同的清晰性。立法只能相对模糊地制止“足以发生实质替代效果”的使用;对实质替代效果的认定过于简单,可能为持有者提供过多保护;对实质替代效果的认定过于复杂,法律适用的指引性变得不足。在“开放获取”的场景中,情况则有明显不同:交易双方完全可结合自身业务需要,清晰约定什么使用被允许或不被允许,违约使用应承担的责任是损害赔偿抑或返还、删除商业数据。尤其在当前市场环境中,持有者往往有着更优谈判地位,不需要担心合同救济不足,反而应担心合同救济过多。合同救济是充分的,但若再进一步,将违约使用认定为侵权,公平性值得担忧:商业数据规模较小的中小持有者不能获得更多好处,因为他们的议价能力更低、数据使用场景更有限,约定禁止的范围相对狭窄;商业数据规模较大的持有者能获得更多好处,其议价能力更强,且因使用场景丰富而有激励在更大范围内制止他人使用。拥有既有同类知识产权的权利人享有客观排他力相近的权利,但根据使用商业数据是否足以发生实质替代效果而决定是否赋权,反而加剧大型数据持有者相对其他市场主体的优势地位。因此,在处理持有者与使用者之间的法律纠纷时,应限制持有者“使用权”,若持有者已向使用者“开放获取”,则不应将违约使用认定为侵权。这一立法正如有学术观点所主张的,应区分不同市场主体的相互关系,构造不同的“权利块”。
也可以从另一个角度理解以上规则:在“开放获取”后,持有者“使用权”已“用尽”,无权制止使用者的后续使用。知识产权法采取这一规则,旨在避免因保护体现在载体上的专有信息,而致使载体的使用与流通受阻。由于权利人在提供载体时已获得了相应对价,权利用尽也不会损害权利人利益。商业数据是载体(代码)与内容(信息)紧密结合的二元体,使用数据的根本目的是使用信息,实现手段则是持有者向接收者开放接口等。按照“载体—内容”这一区分方法,持有者向使用者“开放获取”,同样是将包含特定内容的载体提供给使用者,持有者同样已经因该提供行为而获得相应对价。立法完全可以借鉴知识产权法关于“权利用尽”的规则,不承认持有者继续有权控制使用者的后续使用——这就好比购买者在合法购买专利设备后,使用固化在该设备上的方法专利,这一行为不构成专利侵权。
(三)善意第三人的后续使用
在数字时代,数据流通将变得更频繁,构建善意第三人制度具有重要意义,甚至有观点认为,“赋权模式”与“规制模式”的关键区别在于“两种模式对于善意第三人的处置方案上”。
假如先手获取具有不正当性,善意第三人的后手获取行为是否因被“传染”而具有不正当性?本文认为,答案是否定的。善意第三人已对获取商业数据的法律风险做出合理评估,已为获取商业数据支付合理对价,在这一过程中不具有任何过错,未违反商业道德,应认定其后手获取行为具有正当性。情形6实际是情形4的变种,同样应认定其具有正当性。
善意第三人后手获取行为是正当的,但假如其使用足以发生实质替代效果(即情形5),是否应认定该行为具有不正当性?本文认为,这时应权衡商业数据权益保护与善意第三人利益保护之间的关系,商业秘密法在这方面提供了很好的借鉴。商业秘密法保护未公开且不公开的信息,承认权利人对这类信息有较高程度的控制。即便如此,商业秘密法仍然承认在善意第三人正当获取商业秘密后,有权继续在原有范围内使用。商业数据立法保护公开、半公开或可公开的信息,且为促进数据流通而仅承认持有者对这类信息有较低程度的控制。“举重以明轻”,商业数据立法更有必要承认善意第三人正当获取商业数据后,有权在原有范围内继续使用。这一规则同样可以设置成权利例外:“他人正当获取商业数据后使用,足以发生实质替代效果的,具有不正当性,但善意第三人有权在原有范围内继续使用。”
(四)实质替代效果的认定
判断使用是否足以发生实质替代效果,应克服两大误区。首先,不能因持有者许可费收益减少,而认定他人的使用具有实质替代效果。立法的争议焦点是,是否要承认持有者有权制止相关行为,从而有权通过许可他人实施相关行为而获取收益。持有者是否享有该等权利仍在立法辩论中,立法不能“倒果为因”,直接将相关市场利益划归持有人。其次,不能因为商业数据对使用者具有使用价值,即认定他人的使用具有实质替代效果。商业数据作为一种生产要素,总是在流通中发挥使用价值,譬如降低生产成本或缩短开发时间等。假如立法一律将这些行为认定为具有实质替代效果,实际是将全部市场利益划归持有者,并不公平。因此,即便持有者与使用者之间的商业利益可能发生“此增彼减”变化,亦不足以认定实质替代效果,因为“此增彼减”可能因使用者免费使用而致使持有者许可费收益“减少”,或者发生在次级市场中。本文认为,实质替代效果的认定应更严格:重点考察使用是否会导致持有者与使用者在最终产品的相关市场内发生“此增彼减”的利益变化,具体可从最终产品的基本结构、所涉数据的类型与方式、最终产品的功能效果等方面加以考虑。
一是最终产品的基本结构,可考察最终产品在系统层、逻辑层、界面层上的近似性,从技术层面研判商业数据在最终产品中以什么方式被使用。系统层涵盖最终产品的整体技术架构和系统资源分配方式,包括服务器配置、数据库结构、网络架构等。逻辑层涵盖最终产品处理数据的方式、算法和流程,包括数据的收集、分类、分析、存储、调用和生成推荐及关联内容的工作机制等。界面层涵盖用户与产品交互的界面布局和接口设计,包括菜单、按钮、可用选项等。若使用者的产品在系统层、逻辑层、界面层上的配置与原产品存在诸多相似,数据被调用的方式、带来的用户体验可能更为接近,或许发生实质替代效果。
二是所涉数据的类型与方式,可考察最终产品所使用商业数据的加工程度、重复程度、更新同步程度。首先,是加工程度。从原始数据、初处理数据、深处理数据到数据产品,加工程度越深,价值释放方式越特定,越容易陷入相同用途的使用,实质替代效果越容易发生。其次,是重复程度。重复程度关注最终产品复用商业数据的方式与数量规模。假如最终产品以相近呈现方式、呈现结构,大规模复用商业数据,它们越可能带来相近价值,实质替代效果越容易发生。最后,是更新同步程度。假如使用者的产品在商业数据更新频率与原产品基本同步,甚至实时获取和更新原产品的商业数据,该产品更可能在时间敏感性上满足用户需求,实质替代效果更容易发生。
三是最终产品的功能效果,可考察最终产品核心功能、附加功能的重叠程度。核心功能是产品满足用户基本需求、实现其主要用途的功能,是用户选择该产品的主要原因。假如核心功能相近,可直接认定存在实质替代效果。譬如使用者获取他人点评平台上的用户真实评价数据,在地图类产品上重新展现,同样能够满足用户查阅店铺位置、价格、质量的需要,足以发生实质替代效果。附加功能是核心功能以外,能够丰富用户体验的功能,尽管它们不是用户选择该产品的主要原因,但能够增加产品吸引力、用户黏性。假如附加功能在诸多方面相近,也可认定存在实质替代效果。譬如使用者获取他人微博平台上的明星的微博数据,在自己的平台上重新展示明星点赞、评论、发表等情况。尽管微博不仅包含娱乐信息,还包括社会政治军事文化等信息,使用者的平台也不能与明星直接互动,但由于使用者大量获取与展示的数据,能使追星群体实时了解众多明星的诸多状况,足以发生实质替代效果。
三、商业数据披露行为的正当性认定
披露与获取、使用存在密切关联,在它们重叠时,上文所构建的规则应适用:(1)不正当的获取具有“传染性”,导致后续披露具有不正当性,无论披露是否足以发生实质替代效果;(2)正当获取,明知或应知后续使用足以发生实质替代效果,予以披露的,具有不正当性;(3)正当获取,后续使用不足以发生实质替代效果,予以披露的,具有正当性;(4)正当获取,在披露时不明知或应知后续使用足以发生实质替代效果,具有正当性。除此以外,以下问题有待讨论:(1)在持有者“开放获取”的情形中,是否可认为交易双方可通过合同解决争议,“披露权”已“用尽”?(2)善意第三人获取商业数据后,是否有权继续向他人披露商业数据?
在披露商业数据的场景中,越多承认披露的合法性,数据流通所受到的限制越少,但与此同时,持有者越容易失去对商业数据的控制——披露商业数据所涉及的利益关系更为复杂,立法不能不加区别地类比适用商业秘密法。一方面,权利人因知悉商业秘密而相对其他市场主体具有竞争优势,披露将致使权利人竞争优势减少,使商业秘密价值受贬损,甚至可能使商业秘密丧失保护资格。换言之,权利人因披露而受到的损害是明确、可预测、显著的,商业秘密法有充分理由制止披露。另一方面,商业数据处于公开、半公开或可公开状态,无论披露者将商业数据制作成多少份向他人披露,都不会使商业数据的价值受到“商业秘密式”贬损,持有者受到的损害不明确、不易预测。假如再考虑到促进数据流通的重要意义,认定披露具有不正当性应更加谨慎。商业数据立法应思考:披露所造成的损害是什么?为避免披露所造成的损害,可能造成什么新的损害,两者孰大孰小?遵循这一思路,本文认为可分为原始数据、初处理数据与深处理数据、数据产品两类,分别划定披露的正当性边界。
对原始数据、初处理数据,“披露权”因持有者“开放获取”而“用尽”。在持有者“开放获取”的情形中承认合同救济的充分性,引入类似“权利用尽”规则,这一理由已经在上文作出详细论述。原始数据、初处理数据是事实的数字化记录,使用者无论是在内部使用抑或公开使用,持有者都可以在使用前与使用者约定使用方式、范围,加之持有者通常具有更优市场地位,违约救济不可谓不充分。与上文使用行为正当性认定一致,立法可规定一种权利例外:“正当获取后,明知或应知后续使用足以发生实质替代效果,予以披露的,具有不正当性,但持有者向使用者‘开放获取’的情形除外。”采取这一规则,意味着持有者在“开放获取”商业数据后,将在一定程度上丧失对它们的控制,这是否不公平?答案是否定的。第一,商业数据的价值因持续更新而得以维持,持有者有权在披露者违约后终止数据传输,已披露的商业数据的价值将随着时间推移而变得越来越有限。第二,假如持有者认为其商业数据能够长期维持高价值,可考虑采取“可用不可见”的方式向他人提供,这不属于“开放获取”,他人后续披露将不能主张“披露权”“用尽”。第三,“披露权”“用尽”的主体范围相对狭窄,它只适用于被授权“开放获取”的市场主体及其后续披露对象。假如一个市场主体不是通过“开放获取”方式获取数据,则不适用“披露权”“用尽”,仍需要评估披露是否引致实质替代效果。第四,该规则不损害数据主体或社会公共利益。《个人信息保护法》《国家安全法》应优先适用,即便“披露权”“用尽”,披露仍然可能因侵害数据主体权益、危害国家公共安全而被制止。
对深处理数据、数据产品,“披露权”不因持有者“开放获取”而“用尽”,展示深处理数据、数据产品通常足以发生实质替代效果,具有不正当性。换言之,持有者“开放获取”将导致“使用权”用尽,但不导致“披露权”用尽。前文在分析使用行为的正当性边界时,主要以使用者内部使用作为预设情形,未区分不同的数据类型。因为这时使用者是合同相对方,即便商业数据的加工程度高、具有独特经济价值,违约使用所导致的损害主要在特定持有者与使用者之间发生,损害外溢的风险有限,追究违约责任已经足够。在认定披露行为的正当性时,情况则不同。原始数据、初处理数据往往是持有者从事主营业务连带产生的事物,采取“披露权”“用尽”规则,对持有者利益损害也同样有限。与之相反,深处理数据、数据产品因持有者清洗、整理、分析而产生,往往是持有者投入较多成本、专门生产的产物,采取“披露权”“用尽”规则,将使持有者利益受到更显著影响。立法有必要为深处理数据、数据产品提供更充分保护。典型是市场主体转售数据产品生成的、可辅助商业决策的数据,假如认为发生“披露权”“用尽”,将导致市场主体有权在合法使用数据产品后,不受限制地将数据产品所生成的数据分析结果向社会公众传播,这实质上是将数据产品强制变为免费定价,或者倒逼持有者为数据产品的使用制定高价。即便承认持有者有权向合同相对方主张违约,市场上大量存在的数据分析结果仍不受限制地流通着,与数据产品竞争并影响其销售。限制“披露权”将对持有者造成明显损害,可能使数据产品的生产缺乏足够激励,披露因而应被制止。
善意第三人获取商业数据,不属于“开放获取”,不适用“披露权”“用尽”规则,但有权在原有范围内继续披露商业数据。按照前文主张,商业秘密法对权利人的商业秘密的保护强度更高,商业数据立法对数据/信息流通的重视程度更高。商业秘密法承认善意第三人在获取商业秘密后有权在原范围内继续披露,有义务采取适当的保密措施、要求获取商业秘密的其他市场主体保密。既然如此,商业数据立法也应当采取类似规则,保护善意第三人利益:(1)善意第三人在获取商业数据后有权在原范围内继续披露;(2)商业数据处于公开、半公开或可公开状态,善意第三人获取商业数据者不需要承担保密义务;(3)因善意第三人的披露而获得数据的其他人并非因“开放获取”而获得商业数据,其后续使用、披露行为不适用“使用权”“披露权”“用尽”,但其他人可能成为善意第三人。
结论
综上,本文建议可以在《反不正当竞争法》或在司法解释中增设如下条款,划定商业数据获取、使用、披露的正当性边界:
【可受本法保护的商业数据】本法所称的商业数据,是指经其他经营者合法收集或者处理、达到较大的规模、采取了管理措施、不属于商业秘密、可公开、承载技术信息和经营信息等商业信息的数据,包括原始数据、初处理数据、深处理数据、数据产品等类型。
【不正当获取】市场主体不得实施下列行为,获取其他经营者的商业数据,足以造成实质损害:
(一)未经其他经营者同意,获取其他经营者的深处理数据、数据产品;
(二)以足以造成实质替代效果作为目的,获取其他经营者的原始数据、初处理数据;
(三)获取其他经营者的商业数据,不合理地增加其他经营者的运营成本、影响其他经营者的正常经营;
(四)获取其他经营者的商业数据,侵害数据主体权益或损害国家安全;
(五)实施其他不正当或违反商业道德的获取行为,足以造成实质损害。
认定本条所称“足以造成实质损害”,应综合考量数据的类型、公开程度、所承载的信息以及获取行为的目的、手段、效果等因素。
【不正当使用、披露】市场主体不得实施下列行为,使用或披露其他经营者的商业数据:
(一)披露或者使用以不正当手段获取的其他经营者的商业数据;
(二)以足以造成实质替代效果作为目的,使用其他经营者的商业数据,但其他经营者向该市场主体开放获取商业数据的情形除外;
(三)以足以造成实质替代效果作为目的,披露其他经营者的商业数据,但其他经营者向该市场主体开放获取原始数据、初处理数据的情形除外。
前款所称“开放获取”,是指其他经营者通过开放API接口、转移交付商业数据等方式,使接收数据的特定市场主体能够直接控制商业数据。
认定本法不正当获取条款及本条所称“实质替代效果”,应综合考量最终产品的基本结构、所涉数据的类型与方式、最终产品的功能效果等因素。
【善意第三人获取、使用、披露】市场主体在获取商业数据时,已经对所获取商业数据的合法性、商业数据获取行为的合法性做出合理评估,为获取商业数据支付合理对价,不属于不正当获取。市场主体善意获取其他经营者的商业数据,有权在原有范围内继续使用、披露。
因篇幅限制,已省略注释及参考文献。
引注:谭宇航:《〈反不正当竞争法〉中的“商业数据条款”立法研究》,载《河北法学》2025年第7期,第125页-142页。
