作者简介:赵自轩，男，河南平顶山人，西南政法大学民商法学院讲师，法学博士，研究方向：民商法学。

摘要:网络爬取个人信息是互联网中常见的数据获取方式，当前司法实践中采取的竞争法救济路径将企业数据权益视为排他性权利，忽略了个人信息的公共价值和被爬取者的数据提供义务，严重损害了爬取者的合法权益。网络爬取是一个动态的数据利用过程，应结合不同阶段的法律规定和利用方式进行侵权判断。在数据获取阶段，以非法方式获取个人信息数据构成侵权，但在法定情形下，爬取者通过自助行为获取数据的除外；在数据利用阶段，违反法律规定和有效的授权许可协议的利用，对公开个人信息推断数据的替代性利用构成侵权；在数据处分阶段，转让、披露非法获取的数据，违反法律规定或有效的授权许可协议转让、披露数据构成侵权，但转让、披露公共数据和加工过的公开个人信息原始数据不构成侵权。

关键词:网络爬取；个人信息数据；可携带权；授权许可协议；替代性利用

在当前数字社会，个人信息作为基础性生产要素对数据企业的竞争与发展具有不可替代的利用价值，企业往往通过网络爬取获取个人信息，因此引发了众多的法律纠纷。当前我国司法实践往往通过《反不正当竞争法》对被爬取者提供侵权救济，但对侵权的判断偏向于以被爬取者竞争性利益保护为归依的竞争秩序分析。但是，法院对侵权的判断往往怠于分析企业对个人信息数据是否享有权利、享有何种权利、该权利是否受到限制以及受到何种限制，由此导致当前司法实践严重忽略了个人信息数据的公共利用价值和爬取者的合法权益。数据的保护与利用同等重要——《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》（以下简称“数据二十条”）明确提出，淡化数据所有权，强调数据使用权，并以数据产权结构性分置作为数据流通利用的制度基础。而日本、韩国、法国、欧盟也都通过修订竞争法或制定专门的数据访问利用法为数据资源流通提供法律保障。在此背景下，本文结合国内外数据保护政策和立法，基于类型划分和阶段分析的方法，试图构建网络爬取个人信息侵权判断的新模式，梳理出网络爬取个人信息侵害企业数据权益的具体类型与例外，以此为互联网企业开展网络爬取提供可供参考的行为规则指引，并服务于我国司法实践对相关纠纷的裁判。

一、网络爬取个人信息引发的侵权纠纷

（一）网络爬取的法律内涵

网络爬取（web crawling）并非一个准确的法律术语，在学界研究中还存在若干其他称谓，如“网络抓取”（web scraping）“数据抓取”（data scraping）“屏幕抓取”（screen scraping）。不管是网络抓取、数据抓取或屏幕抓取，其指向的都是以自动化技术获取互联网信息和数据的行为，该自动化技术往往被我国学界称为网络爬虫（web crawler），因此，本文采用“网络爬取”一词，以确保学术研究中的术语统一。在互联网世界中，网络爬取是互联网存在与发展的技术前提，以搜索引擎为例，通过在网络爬取程序中输入关键词并设置数据参数，搜索引擎服务提供者从无数的网页中获取所需的数据，并按照一定的标准将获取的网页按照一定的顺序排列、展示。有学者将网络爬取的过程生动地描述为“机器人一步一步地访问所需的尽可能多的网站，解析它们的内容，找到并提取感兴趣的数据，并按照需要对这些内容进行结构化处理。”1996年，美国纽约南区法院第一次对网络爬取作出描述——“能够自动访问各种网站并提取相关信息的软件。”对网络爬取更详细的描述来自2003年发生在美国的EF Cultural Travel BV v.Zefer Corp案，法院认为：“所谓爬取，也被称为‘机器人’或者‘机器人程序’，只是一个计算机程序，可以访问存储在被访问计算机上的一系列网页中的数据。严格地说，访问的信息不是用户看到的画面，而是生成图形界面的HTML源代码（可供查看网站的任何人使用）。然后这些数据会被下载到爬取的计算机上。”

可见，网络爬取本质上是爬取者基于特定的数据利用目的，采用计算机程序自动化、大批量获取被爬取者存储的数据的行为。网络爬取是大数据经济中一种普遍存在的数据获取方式，据估计，爬取（搜集）机器人占所有互联网流量的近1/4，对互联网信息的高效流通与整合作出了巨大贡献。其被广泛地应用于网络搜索引擎、数据产品开发、网络舆情分析、账户聚合服务、定制广告、价格汇总、预算程序、网站存储、学术研究等领域。

（二）网络爬取个人信息面临的阻碍

互联网经济是典型的规模经济，谁占有了最大规模的个人数据，谁就在互联网竞争中占据了绝对优势。我国互联网经济经过三十余年的发展，在各个领域都出现了具有一定垄断能力的网络平台，它们凭借先发优势和互联网锁定效应获取了大量的个人信息，并采取一系列措施阻止其他企业网络爬取，包括技术规避手段和网络协议。互联网企业往往采取技术规避手段阻止未经许可的网络爬取，包括但不限于：IP 地址拦截器（IP address blockers）、反抓站技术、验证码、账号登录验证技术。IP地址拦截器是指当被爬取网站检测到数据爬虫时，通过识别、屏蔽爬取者的网络IP地址达到阻止网络爬取的后果。例如，在Craigslist, Inc. v. 3Taps, Inc案中，3Taps爬取Craigslist网站上的数据，对此，Craigslist多次发送停止和禁止函并屏蔽其IP地址，阻碍3Taps的数据抓取。防抓站技术是指基于数据实时监测技术，当网络平台发现个别客户端对其服务器进行频繁的、不正常的操作和访问时，该行为将被识别为非法行为，平台会拒绝处理该客户端发出的访问请求。验证码（Captcha）是一种区分用户是计算机还是人的公共安全自动程序，通过设计验证程序，能够有效地减少网络爬取的频率。除此之外，某些网站还采取账号登录验证技术阻碍未经许可的访问，即只有经过注册程序输入账号密码才能进入某些网络空间，以此阻止网络爬取。

除了以上技术手段，互联网公司往往还通过网络协议明令禁止网络爬取。禁止网络爬取的协议分为两种：一种是网络服务协议。例如，在我国，新浪服务使用协议第4.1条规定“未经微博运营方事先书面同意，任何用户不得以任何方式自行或委托任何第三方以违反上述规定的方式访问微博平台或收集任何微博内容”；百度公司也规定“未经百度许可，任何人不得擅自以软件程序自动获得百度数据。否则，百度将依法追究法律责任”。在外国，脸书、推特和领英等互联网巨头的服务协议中也有类似的规定。另外一种是“robot协议”，即通过在网站根目录下设置简单的txt格式文本，告诉爬取者网络爬取的权限。需要说明的是，不管是网络服务协议或robot协议，都是由网络公司单方提供的，即是否遵守该协议取决于爬取者的自愿，该协议在实际上并不能阻碍网络爬取。

（三）网络爬取个人信息引发的侵权纠纷

网络爬取个人信息在司法实践中引发了大量的法律纠纷，以被侵害的对象为依据，可以将其分为两类：一类是被爬取企业以不正当竞争为由向爬取者提起侵权之诉。当前司法实践中因网络爬取个人信息引发的诉讼绝大多数是由被爬取企业提起的，被爬取企业视个人信息为宝贵的商业资产，以此确保其竞争优势，不允许其他企业未经授权以网络爬取的方式免费获取。因此，被爬取者往往以不正当竞争为由向法院提起侵权之诉，其核心诉求主要是：停止爬取、删除已取得的个人数据、消除影响、赔偿损失。典型案例包括淘友公司诉微梦公司案、汉涛公司诉百度公司案、Facebook, Inc. v. Power Ventures, Inc.案、HIQ Labs, Inc. v. LinkedIn Corp.案。另一类是信息主体以网络爬取侵害其个人信息权益为由提起的侵权之诉。典型案例有：梁雅冰与汇法正信公司网络侵权纠纷案、伊某与贝尔塔公司人格权纠纷案、孙某某与北京某网讯公司人格权纠纷案、麦海波与法先生公司网络侵权纠纷案。值得注意的是，当前司法实践中发生第一类纠纷的数量最多，而信息主体直接起诉爬取者的案例极少，其原因在于，网络爬取个人信息具有一定的隐秘性，信息主体往往不知道自己的权益受到损害。在司法实践中，对网络爬取侵害信息主体权益的主张主要是由被爬取者提出的，并将其作为主张网络爬取构成不正当竞争的法律依据之一，而本文研究的重点是网络爬取个人信息侵害被爬取企业权益的侵权救济。

二、基于竞争法的侵权救济路径及存在的问题

（一）基于竞争法认定侵权的规范基础与判断依据

1.通过竞争法一般条款的侵权认定

由于我国《反不正当竞争法》并未将网络爬取认定为法定的不正当竞争行为，因此，当前法院往往利用《反不正当竞争法》第2条的一般条款作为认定网络爬取侵权的规范基础，即将网络爬取视为违反诚信原则和商业道德，扰乱市场竞争秩序，损害其他经营者或者消费者合法权益的不正当竞争行为。同时，也有个别法院以《反不正当竞争法》第13条第2款第4项作为裁判依据，将网络爬取视为妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为。在司法实践中，法院以竞争法一般条款认定网络爬取侵害被爬取者合法权益，往往采取以下论证思路。

首先，爬取者与被爬取者之间存在竞争关系。适用《反不正当竞争法》的前提是竞争者之间存在竞争关系，当前学界对竞争关系的认定存在“狭义说”与“广义说”之争。狭义说认为，竞争关系仅存在于同一行业之中，不同行业的经营行为之间一般不存在竞争关系；但是，广义说则认为，竞争关系应以“竞争利益”为依据采取广义的认定方法，即使经营业务类型不同，但只要在客户群体、交易机会等商业资源上存在竞争就应认定为存在竞争关系。当前法院普遍采纳了广义说，即使网络爬取双方的经营模式不同，但只要双方争夺相同的网络用户群体，或者双方在用户群体、业务模式、经营范围上存在交叉重叠，就认定二者存在竞争关系。其次，平台对个人信息享有合法权益。在司法实践中，法院往往认定被爬取者对其平台上的个人信息享有合法权益，该权益往往被称为“竞争性利益”。被爬取者对个人信息享有竞争性利益的理由在于：被爬取者基于网络服务协议获取了对个人信息的使用权；被爬取者为获取个人信息付出了巨大的人力、物力、财力；个人信息能够为被爬取者带来巨大竞争优势和经营收益。最后，网络爬取属于不正当竞争行为。就当前司法实践中的判决结果来看，法院在绝大多数案件中都认定网络爬取个人信息属于不正当竞争行为。其论证逻辑大同小异，最终的落脚点都是网络爬取个人信息违反了诚信原则和商业道德，扰乱了市场竞争秩序，但不同的案件中法院认定网络爬取属于不正当竞争行为的判断依据存在差异。

2.认定网络爬取侵权的判断依据

（1）未经授权爬取个人信息。当前司法实践普遍将未经授权作为认定网络爬取属于不正当竞争行为的法律依据。但是，司法实践中法院对未经授权的法律判断并不一致。在淘友公司诉微梦公司案中，法院认为网络爬取个人信息需要经过三重授权——“用户授权”＋“平台授权”＋“用户授权”，

（2）爬取非公开个人信息。在三重授权保护模式下，爬取非公开个人信息不仅损害了企业数据权益，也直接损害了信息主体的合法权益。在微梦公司诉蚁坊公司案中，一审法院就认为：“对于微博平台中的非公开数据……蚁坊公司对其进行抓取和存储可能导致用户个人信息的泄露和被侵害，而这必然影响微博平台数据安全而破坏微梦公司所提供服务的正常运行，也可能侵害用户作为消费者对其个人隐私等信息所享有的合法权益。”其中暗含的论证逻辑是，网络爬取侵害用户隐私将破坏用户与被爬取平台之间的信任关系，致使平台用户流失，最终损害被爬取者的合法权益。

（3）规避平台的技术保护措施。司法实践中法院往往将规避平台技术保护措施实施的网络爬取视为不正当竞争行为。在微梦公司与云智联公司案中，法院认为，云智联公司要获取非公开数据，仅能利用技术手段破坏或绕开微梦公司所设定的访问权限，此种行为显然具有不当性。在国外，Facebook, Inc. v. Power Ventures, Inc.案中，法院也认为：“若网络爬取以规避技术或代码阻碍（technical or codebased barriers）的方式访问计算机网络或网站，则属于‘未经许可’或‘未经授权’的范畴。”需要说明的是，当前法院对平台技术保护措施的认定非常广泛，包括验证码、IP地址拦截、账户登录验证技术等，规避任何类型的技术保护措施的网络爬取都可能属于不正当竞争行为。

（4）被爬取者的合法权益受到损害。司法实践普遍将被爬取者利益受损作为认定不正当竞争的必要构成要件，但是，法院在具体案件中认定网络爬取导致损害的类型与范围时存在较大差异。在笔者收集的大部分案件中，法院都将流量损失、交易机会损失认定为被爬取者因网络爬取受到的损害。

（二）竞争法侵权救济路径存在的问题

第一，企业享有的数据权益被视为排他性权利。就我国《民法典》《个人信息保护法》以及“数据二十条”的规定来看，信息主体作为源权利人对个人信息享有最终的控制权和决定权，个人信息处理者应在合同约定和法律规定的范围内利用个人信息，并不享有排他性利用的权利。例如，我国《个人信息保护法》第45条规定，信息主体有查阅、复制、转移个人信息的权利；第47条规定，信息主体有删除个人信息的权利。欧盟《通用数据保护条例》（GDPR）第20条（可携带权）也规定，数据主体有权获得其提供给控制者的相关个人数据，并有权无障碍地将此类数据从其提供给的控制者那里传输给另一个控制者。高富平教授认为，数据持有者本身并不享有归属、支配意义上的数据产权，其更不被允许排他、长久地决定和获取使用利益。数据持有者权本质上是基于合法持有的数据资源享有的使用控制权，并非绝对权性质的排他权。因此，企业对其持有的个人数据享有的权利“徒有权利之壳”，不具有传统产权之实质。当前司法实践应对网络爬取的竞争法救济路径实际上是将个人信息数据视为企业享有的独占性利益，将企业为了维护其对数据的排他性利用采取的技术保护措施、robots协议、授权许可机制全部视为合法、正当的法律手段，甚至有法院将“非公益必要不干扰”作为认定不正当竞争的一般原则。由此导致《反不正当竞争法》的功能从保护竞争被扭曲为保护竞争者单方的竞争利益。在该裁判逻辑下，《反不正当竞争法》被异化为网络平台维护其对个人信息数据进行垄断利用的法律工具，从而严重背离该法的立法目的。

第二，严重损害了爬取者的合法权益。作为新型生产要素，数据是数字化、网络化、智能化的基础，在数字经济中，个人数据之于人口统计管理、药品测试研发、智能产品设计制造、自动驾驶系统优化、智慧城市建设等都具有重要的分析价值。为此，“数据二十条”第2条规定：“合理降低市场主体获取数据的门槛，增强数据要素共享性、普惠性，激励创新创业创造”。其旨在破除当前日渐固化的数据垄断格局，通过促进数据流通确保大数据经济的健康可持续发展。同时，为了促进个人信息的开发利用，我国《个人信息保护法》第13条第1款第6项也规定，依照法律规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息不需要经过信息主体同意。在国外，欧盟已经充分意识到数据驱动经济对于创新、增长、就业和竞争力的重要性，接连颁布了《数据治理法》（Data Governance Act）、《数字市场法》（Digital Markets Act）、《数字服务法》（Digital Services Act）、《关于公平访问和使用数据的统一规则的条例》（以下简称《数据法案》，Data Act）。其目的旨在建立明确和公平的数据访问和使用规则，实现数据价值的公平分配，促进数据在关键经济部门和公共利益领域的使用，保障中小型企业对数据的正当利用需求。例如，《数字市场法》第6条第10项明确规定：“守门人应根据企业用户和经某企业用户授权的第三方的要求，免费向他们提供有效、高质量、连续和实时的访问和使用聚合和非聚合数据（包括个人数据）”。

然而，当前法院不顾个人信息的具体类型将三重授权作为认定网络爬取合法性的前提，由此导致网络爬取受到来自信息主体和被爬取者的双重限制；将robots协议和技术保护措施作为认定不公开个人信息的法律依据，却丝毫没有考虑该协议和技术措施对依赖被爬取方数据的中小型互联网企业的公平性与合理性。这直接导致网络爬取公开个人信息的范围被极大地限制，爬取者对个人信息数据的获取只能依赖于被爬取者的授权，而这无疑将加大爬取者的交易成本。这严重忽视了爬取者对个人信息的正当利用需求，进而严重阻碍了基于数据流通和共享的大数据新质生产力的发展。

三、企业数据权益保护的路径选择与法律限制

（一）权利路径与行为路径之争

网络爬取个人信息侵权纠纷中涉及的实质问题是：被爬取企业对其占有的个人信息数据是否享有权利？该权利具有什么性质与内容？其在何种情形下应受到限制？当前学界对企业数据权益的法律保护存在权利路径与行为路径之争，支持企业数据权利保护的学者认为，以《反不正当竞争法》规制企业数据利用的结果具有很大的不确定性，其依赖于法官在具体案件中结合多种因素的综合判断，容易引发同案不同判的结果，难以应对当前司法实践中愈加频发的企业数据利用法律纠纷。同时，竞争法保护路径也难以为数据的自由流动与利用划清法律边界，无法从正面规定数据权利的内容、数据权利的限制以及数据许可使用、数据转让等规则，从而会损害社会公众共同开发利用数据的积极性。因此，只有赋予企业数据财产权，才能促进企业数据财产的收集、分析、使用、交易、抵押，并且能够为企业数据保护提供有力的权利保障与救济。但是，当前学界对企业数据权利的性质与内容都存在争议，主要的学说有所有权说、用益物权说、著作权说、数据库权说、数据生产者权说、新型财产权说等等。但是，以“数据二十条”的颁布为界分，我国学界对企业数据权利的研究和认识进入了一个新的阶段。申卫星教授认为，数据的特征决定了我们应树立立体化的数据确权层级思维，数据企业基于信息主体（个人数据所有权人）的授权取得数据用益权，并在数据的处理过程中通过加工、提炼、分析，进一步享有数据加工使用权和数据产品经营权。高富平教授也认为，企业对数据享有的权利是一个动态变化的过程，应按照数据形态和价值不同形成阶段，赋予企业享有不同强度和内容的数据权利。普遍来看，支持企业数据权利保护的观点认为，信息主体对个人信息数据享有源权利，即享有《个人信息保护法》规定的查询、复制、修改、删除、转移个人信息的权利。而企业基于信息主体的授权和对个人信息数据的收集、整理、分析、加工等享有数据财产权。例如，刘文杰教授认为，企业作为生产者对其合法取得的个人信息数据享有独占排他权，包括：访问权、复制权、使用权和处分权，但应受到数据来源者权利的限制。

但是，仍有部分学者反对企业数据的权利保护。例如，梅夏英教授提出的数据有限控制说认为，数据的流通与分享应该是数据法律保护的价值目标与逻辑起点，而数据确权将阻碍数据的高效利用，甚至会进一步助长数据垄断。丁晓东教授也认为，对企业数据不宜进行绝对化与排他性的财产权保护，此种保护违背了数据的基本特征，即数据的非竞争性与非排他性。还有学者认为，如若赋予数据持有者专有财产权就会形成事实排他与法定排他的“叠加效应”，进一步导致数据持有者对数据的垄断。因此，有学者认为，数据访问权才是解决因信息不对称、谈判力量不对等所产生的市场失灵问题的最佳方案。在国外，马克斯·普朗克创新与竞争研究所就欧盟委员会《关于构建欧洲数据经济征求意见书》的立场声明中也认为，任何一项新的知识产权只有在其能解决可识别的市场失灵时才具有正当性。但制造商并不需要一项财产权，因为，基于对数据的实际控制，制造商可以随时主张许可数据再利用的权利。反对企业数据权利保护者提出的替代方案是行为规制路径，即淡化企业数据的权属与性质，关注企业数据权益在不同法律主体之间的合理利用，基于类型化和场景化的分析，通过规制数据不正当利用行为来维护数据利用秩序，而竞争法就是典型的行为规制法。

本文认为，企业数据的权利保护与行为保护在表面来看似乎差之千里，但在具体的数据侵权判断上却殊途同归。例如，大多数支持企业数据确权保护的学者都认为，企业数据财产权与传统的物权存在显著不同，物权具有绝对性与排他性，但企业数据财产权的权利内容与限制主要取决于数据的性质、内容、价值以及相关利用主体之间的法律关系。当前学界研究中所谓的数据产权结构性分置模式的实质就是根据数据客体的类型、性质以及在不同流通阶段中涉及的利益主体所进行的一种数据权益动态分配机制，对于原始数据和数据集合，企业仅享有有限的排他权，不能阻碍他人对数据的正当访问和利用。程啸教授就认为，企业对其数据的权利，究竟采用何种名称并不重要，重要的是法律上赋予其何种效力。高富平教授也认为，数据权利配置的现实选择是从利益界定权利，并非从客体界定权利。而行为规制路径在具体运用中采取的类型化和场景化方法，实际上就是将与网络爬取相关的考量因素都罗列出来，然后基于诚信原则和商业道德在爬取者与被爬取者之间进行谨慎的利益衡量。因此，企业数据财产权保护与竞争法保护最终都指向了基于利益衡量的分析进路，这就意味着我们对网络爬取个人信息侵权的认定只能在具体案件中结合与之相关的利益要素予以综合判断。但是，在此之前，我们有必要结合数据保护的政策目标和相关法律规定廓清网络企业数据权益法律保护的基本前提与外部边界，以此为网络爬取侵权的认定提供一个相对明确的利益分析场景。

（二）企业享有个人信息数据权益的前提与限制

在网络爬取个人信息纠纷中，被爬取企业持有的往往是未经加工的个人信息数据。例如，用户在社交平台上的位置信息、姓名、头像、联系方式、点评信息、点赞信息、转发信息等；以及用户在电子商务平台上的浏览信息、购买信息、位置信息、点评信息、收藏信息、关注信息等等。有学者将企业持有的个人信息数据分为用户生成的网页数据与平台限定提供的数据，或者原始用户输入数据（raw user input data）与推断数据（inferred data），并对其提供不同的法律保护。阿塞莫格鲁等人认为用户数据具有特定外部性，他们称之为“社会数据”（social data），认为对用户数据的独家私人控制意味着潜在的市场失灵。我国大部分学者也认为，企业持有的个人信息数据仅为原始数据或数据集合，企业仅在约定和法定范围内对其享有持有权和加工使用权，不享有归属和支配意义上的权利。因此，基于个人信息数据具有的公共利用价值，企业对个人信息数据享有的权益应受到法律的限制，以此保护其他法律主体对个人信息数据享有的法定权利和合理利用需求。

1.不受保护的企业数据

并非所有的企业数据都应受法律保护，日本《不正当竞争防止法》规定，受保护的企业数据需要具备限定提供性、相当积累性、电磁管理性、属于技术信息或经营信息、作为秘密管理的数据除外、和公众可以无偿利用的信息相同的数据除外等六个要件。限定提供是指仅向特定的相对人提供数据；相当积累性是指受保护的数据应达到一定的数量规模；电磁管理性要求数据保有者具有将该数据作为仅向特定的人提供而进行管理的意思；技术信息或经营信息是指与企业经营相关并可期待利用的一切技术信息和经营信息；基于商业秘密是由法律单独规定的，因此受保护的企业数据不应属于商业秘密；和公众可以无偿利用的信息相同的数据不属于受保护范畴。可以看出，日本《不正当竞争防止法》对受保护的企业数据的范围进行了严格限制，其目的在于释放企业数据蕴藏的经济潜力，确保数据的高效流通利用。2022年我国颁布的《中华人民共和国反不正当竞争法（修订草案征求意见稿）》（以下简称《竞争法征求意见》）也对受法律保护的商业数据进行限制，该意见稿第18条第3款规定，获取、使用或者披露与公众可以无偿利用的信息相同的数据，不构成不正当利用。本文认为，基于对企业数据权益、信息主体权益与数据利用主体权益平衡保护的考虑，对受保护的企业数据的认定不宜过严，只要平台采取了使第三人可识别的保护措施，不管是技术保护措施或robots协议，只要使理性的第三人可以意识到该数据是受到他人管理控制的即可。若非如此，则可能会刺激平台采取更为严格的技术措施保护个人数据，不利于个人数据的流通利用。但是，若被爬取者未采取任何的数据保护措施，以至于公众可以合理期待该数据属于公共数据，则爬取者获取、利用、披露企业数据的行为不构成侵权。

除此之外，日本《不正当竞争防止法》和我国《竞争法征求意见》都将与公众可以无偿利用的信息相同的数据排除在保护范围之外，其目的是将这类数据作为公共数据，满足市场主体的数据利用需求。但存在疑问的是，如果企业对该数据采取了保护措施，则该数据是否属于公共数据？是否受法律保护？例如，微博平台作为公共社交平台，信息主体在上面自愿发布的个人信息具有公开性，潜在的不特定的公众皆可无偿获取并利用，但这并不妨碍微博平台采取技术措施保护该个人信息对应的个人数据，并禁止非个人用户的企业对个人数据的获取与利用。对此学界存在不同观点，宁园老师认为，个人信息是否公开取决于信息主体的个人意愿和信息传播渠道的公开性，但是，个人信息公开并不意味着其对应的个人数据一定是公开的，尤其不能表明所在平台放弃了对公开个人信息所享有的商业利益。而李扬教授则认为，获取、使用或者披露和公众可以无偿利用的信息相同的限定提供的数据的行为不受竞争法保护。

本文认为，我国《个人信息保护法》第13条第1款第6项规定，在合理范围内处理公开的个人信息无需信息主体同意。这就直接意味着，第三方数据处理者可以在不经信息主体和数据企业授权的情况下处理公开个人信息数据，如果以企业采取技术保护措施为由否认个人信息的公开性，仍需获得被爬取者授权，则无异于将个人信息是否公开的最终决定权和解释权赋予了企业，而这明显与我国《个人信息保护法》对信息主体自决权的规定相冲突，是对作为源权利人的信息主体享有的数据控制权的剥夺。同时，为了实现公开个人信息数据的公平利用，应当将其区分为公开个人信息原始数据和公开个人信息推断数据，公开个人信息原始数据原则上不受法律保护，以最大程度地保护相关主体的利用需求。对于公开个人信息推断数据，如基于用户行为分析而得出的有关用户消费偏好、商业信用、购买能力的信息，其往往是数据企业通过长期的数据收集和分析后得出的，对企业具有较大的商业利用价值，应受到法律的保护。当前我国司法实践已经意识到了公开个人信息及其对应数据的公共利用价值，对企业数据持有者的利益进行限制性保护。在腾讯公司诉祺韵公司案中，法院认为，对于用户的原始数据，如果平台在数据收集后，没有投入更多的成本将这些数据作为重要资源予以运营和保护，则不宜因平台主张利益就当然对其进行保护，否则将导致数据封闭和数据垄断，不利于数字经济的发展。

2.数据企业负有提供个人信息数据的法定义务

第一，基于公共利益和科学研究需要提供数据的义务。个人信息数据具有重要的社会公益价值，其在政府统计数据编制、能源计量系统管理、智慧交通系统建设、流行病预防跟踪等方面都具有重大的利用价值。马克斯·普朗克创新与竞争研究所认为，与数据访问（data access）有关的制度设计，将成为建设欧洲数据经济的关键，并建议欧盟应当考虑就数据访问权进行立法来代替数据生产者权。对此，欧盟《数据法案》第14条规定，数据持有者基于公共机构履行其为公共利益承担的法定职责向其提供数据的义务，公共机构仅需适当说明其理由即可。《数字服务法》也规定了中介服务者在收到成员国的司法或行政当局提供信息的命令后立即提供特定的服务接收者的具体信息的义务（第10条）；超大型在线平台或在线搜索引擎提供者根据要求向数字服务协调员或欧盟委员会提供为检测和评估遵守条例所需的数据的义务（第40条第1款）；向符合条件的研究人员提供数据的义务（第40条第4款）。在法国，《数字共和国法》第17条也规定：“当委托管理公共服务时，特许方应以电子格式向授予机构提供在特许合同下运营的公共服务收集或产生的数据和数据库……授予机构或其指定的第三方可以自由提取和利用这些数据和数据库的全部或部分。”可见，当爬取者基于公共利益或科研需要访问和利用个人信息数据时，数据企业负有提供数据的法定义务，违反该义务将承担相应的法律责任。

第二，基于商业需要提供数据的义务。例如，为了确保机动车维修商对汽车维修和保养信息数据的利用，2007年欧盟颁布的《机动车维修和保养信息访问条例》第6条明确规定，制造商应使用标准化格式，以易于访问且迅速的方式，以非歧视性的方式，向独立运营商提供不受限制和标准化的车辆维修和保养信息。同时，为了确保电子支付条件下支付发起服务提供商对个人支付数据的利用需求，欧盟在2015年修订的《支付服务指令》（PSD2）第66条第2款第4项明确规定，账户服务支付服务提供商应在收到支付发起服务提供商的支付订单后，立即向支付发起服务提供商提供关于发起支付交易的所有信息，以及账户服务支付服务提供商可以访问的有关执行支付交易的所有信息。该指令通过允许非银行支付服务提供商在适当的保障措施下进入所有欧盟支付系统，保障了这些提供商对银行账户的访问权，不仅促进了公平的竞争环境的形成，而且鼓励银行和非银行机构之间的合作和伙伴关系，促进协同效应，推动行业的进一步发展。

第三，基于用户行使可携带权提供数据的义务。欧盟《通用数据保护条例》（GDPR）第20条规定了用户享有数据可携带权，而《数据法案》则进一步细化了该权利的落实与实现。该法第3条规定，数据持有者负有使用户可以访问产品数据和相关服务数据的义务；第5条第1款也规定：“应用户或代表用户行事的一方的请求，数据持有者应在不无故拖延的情况下，以全面、结构化、适用和机器可读的格式，向第三方提供现成的数据以及解释和使用这些数据所需的相关元数据……”。并且，该条第8款还规定，数据持有者和第三方即便未能就传输数据的安排达成一致意见，也不应妨碍、阻止或干涉数据主体行使数据可携带权。因此，基于用户指示的第三方处理者享有访问、获取互联网企业持有的个人数据的权利，而数据企业负有向指定的第三方提供用户个人数据的法定义务。同时，根据《数字市场法》第6条第9款的规定，守门人企业还应免费提供数据和数据移植工具，确保指定方对数据的连续和实时访问。

第四，守门人企业负有提供数据的义务。当前互联网领域的垄断程度正在加强，在某些核心服务领域出现了一些具有巨大影响力的平台企业，其具有极强的网络效应和锁定效应，企业用户和终端用户对其服务极为依赖，并在多边服务中具有极强的垂直集成和数据驱动优势，这些企业被称为守门人企业。守门人企业相对于中小企业在终端用户数据收集和利用上都具有巨大优势，如果任由守门人企业单方制定数据利用规则，将可能导致其对企业用户和终端用户实施不公平竞争和设立不公平条件。因此，当前数据立法的一个重点就是规定守门人企业的数据提供义务和法律责任，例如《数字市场法》第6条第5款规定，在排名和相关索引、爬取方面，守门人不得对自己的服务和产品提供比第三方的类似服务或产品更优惠的待遇。并且，该条第10款还规定，守门人应根据企业用户和经其授权的第三方要求，免费向他们提供有效、高质量、连续和实时的访问和使用聚合与非聚合数据（包括个人数据）。在我国，互联网行业的垄断现象有目共睹，我国立法与司法都在努力地破除行业垄断，促进数据的有序流通。我国《反垄断法》第22条第2款规定，具有市场支配地位的经营者不得利用数据和算法、技术以及平台规则等从事滥用市场支配地位的行为。在百度诉奇虎案中，法院就认为，以设置robots协议的方式限制通用搜索引擎的抓取应当具有合理、正当的理由，受访网站不应违背“促进信息共享”的初衷，判决奇虎公司的网络爬取行为合法。在HIQ Labs, Inc. v. LinkedIn Corp.案中，法院也认为，领英公司的服务器中持有大量的公共数据，如果允许其有选择地禁止潜在竞争对手访问和使用这些公共数据，将导致对原始创新者的不公平竞争，进而命令领英公司排除阻止HIQ公司爬取个人信息数据的技术措施。

以上可以看出，企业未采取任何保护措施的公共数据原则上不受法律保护，对公开个人信息数据的保护仅限于推断数据，并且，数据企业还负有提供个人信息数据的法律义务。因此，将授权许可、技术保护措施、robots协议作为认定网络爬取侵权的法律依据，实际上是将数据视为企业的独占性利益，使网络爬取的合法性完全取决于数据企业的单方意愿，难以反映出个人信息数据上复杂的利益关系，不利于以数据流通为基础的大数据经济的公平竞争与健康发展。

四、网络爬取个人信息侵权的三阶判断

网络爬取作为一种技术手段具有价值中立性，对其合法性的判断必须选取能够直接反映数据立法价值判断的考量因素，就网络爬取的整个过程来看，法律的规定主要体现在三个阶段，即获取、利用、处分。而当前世界各国的数据立法与政策性文件几乎都是围绕数据的获取、利用与处分作出的。例如，日本《不正当竞争防止法》第2条第1款第11项到16项，分别规定了获取、使用以及披露企业数据构成不正当竞争的具体情形。而韩国新修订的《不正当竞争防止和商业秘密保护法》第2条第1款规定的第1项数据侵权行为就是没有访问权限者窃取、欺骗、不正当连接或以其他不正当手段取得数据，或使用、公开以上述方法取得的数据。而我国颁布的《竞争法征求意见》第18条对商业数据的保护也是从获取、利用与处分三个方面出发的。本文认为，将网络爬取个人信息分为获取、利用与处分三个阶段，结合各个阶段中爬取者实施的行为、导致的结果以及相关法律规定判断网络爬取是否侵权是一种更为科学的分析思路。这一动态化和递进式的侵权判断路径能够更加细致地考虑到不同阶段爬取者与被爬取者的合法利益需求，并将当前数据政策和立法的价值与规定准确地传送到数据保护的各个阶段。

（一）非法获取个人信息数据

当前我国立法严格保护数据安全，禁止非法获取数据，《数据安全法》第32条第1款规定，任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。因此，一旦网络爬取被认定为非法获取个人信息数据，就可能构成侵权。但是，当前立法并未明确告诉我们网络爬取在什么情形下属于非法获取数据。本文认为，网络爬取作为互联网世界中普遍采用的数据获取手段，我们必须严格设置非法爬取的判断标准，具体而言，只有通过以下方式实施的网络爬取才应被视为非法获取个人信息数据。

1.规避身份认证机制爬取个人信息数据。美国奥林·克尔（Orin S. Kerr）教授在《计算机侵入规范》（Norms of Computer Trespass）一文中认为，法院应该采用默认开放规范（presumptively open norms）管理互联网，互联网的本质是开放的。对于限制访问的措施，例如使用协议条款、隐藏地址、Cookie和IP封锁，应该被解释为只是减速带，而不是虚拟屏障，“绕过IP封锁并不比弯着脖子去看暂时挡住你视线的人更有罪。”只有在绕过身份认证要求时，网络爬取才应被视为越过了授权的界线。这里他所说的身份认证要求是指，通过账号密码登录来识别用户身份的网络安全保护机制。本文赞同克尔教授的这一观点，在开放的互联网世界，身份认证机制恰恰以一种有效且明确的方式划分出了公域网络与私域网络之间的界限，犹如在临街的大门上挂着的一把锁，其明确地向行人告知了其行为自由的边界，不管是未经许可破门而入，抑或是用捡到的钥匙开门而入，都构成了非法侵入。

2.利用平台技术漏洞爬取个人信息数据。欧盟《数据法案》第5条第5项规定，第三方不得使用胁迫手段或滥用数据持有者用于保护数据的技术基础设施中的漏洞来获取数据。在United States v. Morris案中，乔恩·纽曼（Jon Newman）法官也认为，网络蠕虫利用程序中的“漏洞”允许以与计算机命令的“预期功能”（Anticipated Function）相反的方式进行“特殊访问”的行为属于美国CFAA中规定的未经授权的非法行为。在我国，《刑法》第285条第2款也规定了非法获取计算机信息系统数据罪，将利用系统漏洞获取数据行为视为非法行为。爬取者利用平台技术漏洞获取数据在主观上存在明显恶意，可能给被爬取企业和消费者带来巨大的数据泄露风险，应被视为非法行为。

3.以欺诈、胁迫等不正当方式爬取个人信息数据。日本《不正当竞争防止法》第2条第1款第11项将以欺诈、胁迫等手段获取数据的行为视为不正当竞争行为。欧盟《数据法案》第11条也规定，当第三方或数据接收者为了获取数据，向数据持有者提供虚假信息，使用欺骗或胁迫手段或滥用数据持有者旨在保护数据的技术基础设施中的漏洞时，第三方或数据接收者应对因非法获取或使用数据而遭受损失的一方进行赔偿。在司法实践中，对通过欺诈、胁迫实施的非法获取数据行为应结合具体的情形和法律规定予以认定。例如，当用户行使数据可携带权要求数据持有者将其个人信息数据转移给第三方时，欧盟《数据法案》明确规定，守门人企业不能成为合格的数据接收者，其目的是防止守门人企业通过数据移植与数据提供者开展不公平竞争。因此，如果守门人企业向数据提供者隐瞒其真实身份，抑或通过提供金钱或免费服务的方式激励、引诱用户要求数据提供者向其转移个人数据，则属于以欺诈方式实施的非法获取个人信息数据的行为。

一般而言，一旦网络爬取被认定为非法获取个人信息数据，则后续的数据利用行为也就失去了合法性，网络爬取侵害被爬取者的合法权益。但是，如果被爬取者对爬取者负有提供数据的法律义务，但被爬取者拒绝履行，此时，爬取者采取技术规避措施实施的网络爬取是否合法？本文认为，一般情况下，爬取者应与被爬取者积极沟通，并向数据管理部门反映或者向法院起诉，要求被爬取者履行数据提供义务，不能通过技术手段规避被爬取者的技术保护措施获取数据。例如，法国《数字共和国法》第19条第2款规定，如果被要求进行调查的私法人拒绝按照规定传输信息，经济事务部长将对该法人发出警告。如果被要求进行调查的私法人不遵守该警告，经济事务部长将就此事向国家统计信息委员会征求意见，该委员会将成立强制性统计调查争议委员会，部长可以在经过合理决定后宣布对其处以行政罚款。但是，如果爬取者的业务严重依赖于被爬取者的数据供给，被爬取者拒不提供数据将导致爬取者的经营活动难以开展甚至陷入破产，并且不能及时得到国家的保护，此时的情形符合《民法典》第1177条对自助行为的规定，应允许爬取者在保护自己合法权益的必要范围内采取技术手段获取数据，但是，必须采取充分的数据安全保护措施，并立即请求有关国家机关处理。在此情形中，爬取者的行为不构成侵权，但如果爬取者采取的措施不当造成被爬取者的利益受到损害的，例如数据泄露、网络瘫痪、平台提供的产品或服务无法运行，则其应当承担相应的侵权责任。

（二）非法利用个人信息数据

显而易见的是，即使网络爬取个人信息数据的手段合法，但如果爬取后的利用超出了法定或约定的合理范围，则网络爬取仍可能会侵害被爬取方的合法权益。

1.网络爬取后的利用违反法律规定。基于促进个人信息合理利用的需要，立法往往规定特定情形下第三方享有访问企业数据的法定权利，以此满足公共机构和第三方企业合理的数据处理需求。但是，基于保护企业合法利益的需要，法律往往对获取数据后的处理方式和目的作出限制。例如，欧盟《数据法案》第6条规定，应用户要求接收数据的第三方不得将其收到的数据提供给依据欧盟法律被认定为守门人的企业；不得使用接收到的数据开发与所访问数据来源的相关产品相竞争的产品，或为此目的与其他第三方共享数据；不得以对关联产品或相关服务的安全性产生不利影响的方式使用其收到的数据。并且，即使是基于公共利益的网络爬取，爬取者对个人信息数据的利用也受到法律严格限制，即不能以与申请目的不符的方式利用；在利用目的实现后负有删除义务；应采取相应的技术和组织保护措施；并不得开发与被爬取者相竞争的产品或服务；不得出于与被爬取者相竞争的目的向其他第三方共享获取的数据。因此，当法律出于对被爬取者利益的保护对数据的利用作出了明确限制时，爬取者只能严格按照法律的规定处理取得的个人信息数据，其违法处理行为构成侵权。

2.网络爬取后的利用违反授权许可协议。在通过被爬取者授权实施网络爬取的情况下，被爬取者与爬取者往往通过授权许可协议详细约定利用数据的方式、目的、期间、技术保护措施、到期后数据的处理等内容。如果爬取者对数据的利用违反了许可协议的约定，则爬取方不仅违约还直接侵害了被爬取者的合法权益，此时，被爬取者可以选择采用违约救济或侵权救济。但是，违反授权许可协议构成违约或侵权的前提是，该授权许可协议的内容应该是公平、合理且非歧视的，否则该协议不具有法律效力。对此，《数据法案》第13条规定，一企业单方面强加给另一企业的有关获取和使用数据或违反或终止数据相关义务的责任和补救措施的合同条款，如果不公平，则对被强加企业不具有约束力。在我国，《竞争法征求意见》第18条第1款第2项也将违反合理、正当的数据抓取协议作为认定不正当竞争的前提。本文认为，就当前我国司法实践来看，爬取者与被爬取者往往在商业实力、市场规模、缔约能力上存在巨大落差，如果一概地将违反授权许可协议作为非法利用的判断依据，将导致被爬取滥用市场支配地位排除潜在的竞争者。因此，对授权许可协议效力的认定应充分考虑二者的市场地位、业务类型与商业意图。一般认为，以下情形中对爬取者数据利用行为的约定应被视为无效条款：（1）滥用市场支配地位排除竞争的；（2）阻止爬取者在合同期间使用其在被爬取平台上提供或生成的数据的；（3）与数据持有者的合作企业或关联企业相比，该约定存在明显歧视的；（4）约定严重违反了诚信和公平交易原则的。如果存在以上合同条款无效的情形，则爬取者违反约定利用个人信息数据不构成侵权。

3.网络爬取后进行替代性利用。在当前司法实践中，在缺乏法律依据和授权许可协议的情况下，法院往往将替代性利用作为认定网络爬取侵权的依据。但是，如前所述，企业未采取任何保护措施的数据和公开个人信息原始数据原则上应不受法律保护，法院未区分个人信息数据的具体类型和利用场景，一概将替代性利用作为认定网络爬取侵权的法律依据，严重侵害了爬取者享有的合法权益。本文认为，在网络爬取个人信息纠纷中，对替代性利用侵权的认定应将公共数据和公开个人信息原始数据排除，并且应从利用场景、利用方式与利用效果三个方面具体判断网络爬取是否构成替代性利用。

第一，利用场景是否不同。我们促进企业对个人信息访问的目的不是为了使现有数据丰富的主导企业的服务能够被复制，而是因为它促进了利基进入，并允许数据较少的企业通过大数据利用开辟新型市场，创造新的产品或服务。例如，在HiQ诉LinkedIn案中，LinkedIn是全球知名的职业社交网络平台，其目标是帮助个人建立专业形象，扩展职业网络并寻找职业机会。HiQ是数据分析公司，专注于为公司雇主提供人才分析和预警服务。两家公司利用个人信息的场景显著不同，HiQ公司爬取个人信息后的利用不会导致替代性利用。

第二，利用方式是否会导致替代。例如，在汉涛公司诉百度公司案中，百度公司未经许可，在百度地图、百度知道中复制大众点评网的点评信息，但是，百度地图对来源于大众点评网的点评信息都标注了“来自大众点评”等标识，点击“来自大众点评”，可跳转至大众点评网。并且，每条点评信息后面都有标记有“详情”，点击“详情”可跳转至大众点评网相应的点评页面。就该案而言，百度在自有平台上展示点评信息的同时标明了信息的来源，并保留了进入大众点评网的网络入口，百度利用了大众点评网的个人信息但并未替代大众点评网提供的服务。在智联公司诉逸橙公司案中，法院也认为，被告网站内来自原告网站的职位信息，会明确标注来源为原告企业名称，用户容易查看和感知，并可以明显区分两个网页页面属于不同的网站及经营主体，并不会产生混淆。

第三，个人信息利用的综合效果。就一定程度而言，竞争就一定意味着损害，互联网经济在很大程度上具有熊彼特所说的“创造性破坏”（creative destruction）特征，即通过科技创新不断地对信息、数据要素进行更高效率的资源整合，不断颠覆既有的利益格局和商业模式，从内部不停地革新经济结构。我们对网络爬取个人信息侵权的认定不应偏向于爬取者与被爬取者任何一方，而应该基于社会效益的视角判断其是否侵权，如果网络爬取个人信息造成的损害较小，亦或者其与消费者、社会公众带来的正面效应显著高于给被爬取者带来的损失，则网络爬取不应被视为侵权。法院在创锐公司诉微播视界公司案中认为，只有经营者采取不正当手段，对其他经营者的损害超过必要的限度，损害了竞争秩序和消费者利益，才可能构成法律所禁止的不正当竞争行为。

（三）非法处分取得的个人信息数据

在网络爬取个人信息纠纷中，对被爬取者享有的数据权益予以限制的正当性在于，爬取者对个人信息的利用可能创造出新的产品或服务，最终使社会大众普遍受益。但是，如果爬取者通过处分取得的个人信息数据获取收益，如转让或披露给他人，就剥夺了被爬取者潜在的交易机会和合法利益。因此，爬取者处分个人信息数据的下列行为应被视为侵权行为。第一，当爬取者通过非法手段获取个人信息数据时，转让、披露数据的行为构成侵权行为；第二，当爬取者基于法律规定取得个人信息数据时，违反法律规定转让、披露数据的行为构成侵权。例如，《数据法案》第19条第2款规定，公共部门机构不得与其他第三方共享取得的数据用于开发与数据持有者相竞争的产品或服务。法国的《数字共和国法》第19条第1款也规定，法人为统计调查传输的数据不得由公共服务机构进行任何形式的披露；第三，当爬取者与被爬取者之间存在数据授权许可协议时，爬取者应严格按照约定利用数据，爬取者超出授权或违反授权许可协议对外转让、披露数据的行为构成侵权。

同时，基于对数据流通利用的法律保障，下列行为不应被视为非法处分：第一，爬取企业未采取任何保护措施的个人信息数据对外转让或披露的。此时的个人信息数据应被视为社会公共产品，对企业数据权益的保护应让位于数据的流通利用；第二，爬取公开个人信息原始数据加工后对外转让或披露。公开个人信息原始数据的价值只有在流通利用中才能实现，因此，只要爬取者在数据分析、加工、汇总、清洗、计算的任何环节进行了投资或改良，即使没有达到变革性的效果，也应赋予其享有新的数据持有权和加工使用权，并通过对外转让或披露数据使其投入得到相应的回报。

结语

作为大数据经济发展的基础性生产要素，平台企业对其持有的个人信息数据并不享有排他性权利，对企业数据权益的保护应兼顾公共利益、个人利益与产业发展利益。当前司法实践将未经授权、违反robots协议、规避技术保护措施作为认定网络爬取个人信息侵权的法律依据，这严重忽略了爬取者享有的合法权益和被爬取者数据权益受到的法律限制，阻碍了基于数据共享的大数据产业的创新发展。网络爬取个人信息是一个动态的数据利用过程，包括了获取、利用与处分三个阶段，不同阶段中爬取者与被爬取者的利益具有不同的权重和优先性，这就意味着对网络爬取侵权的判断只能采取递进式的分析方法。在数据获取阶段，应当优先考虑被爬取者的数据安全与爬取者的访问权利。只有当爬取者以非法方式获取个人信息数据时才构成侵权，后续的数据利用行为也随之违法。但是，如果因被爬取者拒不履行数据提供义务，导致爬取者的合法权益受到难以弥补的损害，此时应当允许爬取者采取必要的自助行为获取数据，网络爬取不构成侵权，以此彰显法定权利相较于数据实际控制权在价值判断上的终极意义。在数据利用阶段，应优先考虑法律和授权许可协议对数据利用的规定，违反法律规定和授权许可协议的利用行为构成侵权。但是，基于实质正义的考虑，严重违反了公平、合理、非歧视原则的授权许可协议或条款不能作为判断非法利用的依据。除此以外，只有当网络爬取后进行替代性利用才构成侵权，但应结合个人信息数据的利用场景、利用方式与利用效果进行综合判断。在数据处分阶段，基于对爬取者与被爬取者的利益平衡，只有当爬取者转让、披露以非法手段获取的数据和违反法律规定、协议转让、披露数据时才构成侵权。为了鼓励数据流通利用，爬取企业未采取任何保护措施的公开个人信息数据以及对企业公开个人信息原始数据加工后对外转让或披露的，不构成侵权。

因篇幅限制，已省略注释及参考文献。

引注：赵自轩：《网络爬取侵害企业数据权益的三阶法律判断》，载《河北法学》2026年第1期，第76页-100页。