随着数据要素价值的凸显,企业间围绕商业数据的争夺愈发激烈,以不正当方式获取和利用他人数据的行为层出不穷,导致企业正当权益得不到有效保护、数据行业正当竞争秩序失范。尽管《民法典》《网络安全法》《数据安全法》等明确规定加强数据保护,但数据的法律属性不明且相关保护规则缺位,致使当前企业间的商业数据纠纷主要依据《反不正当竞争法》第2条(一般条款)解决。①但一般条款易导致案件裁判的不统一,无法为社会公众提供明确的行为预期,②且难以为行政执法和行政责任介入商业数据纠纷提供足够空间。为此,国家市场监督管理总局在2022年11月发布的《反不正当竞争法(修订草案征求意见稿)》(下称“《征求意见稿》”)新增第18条(“商业数据专条”),希望为数据从业者和司法裁判者提供竞争规则指引。《征求意见稿》建立的商业数据专条虽体现出相关部门规范数据竞争市场的决心,但不论是对商业数据的界定还是对不正当竞争行为的类型化均存待商榷之处。因此,本文结合我国商业数据司法实践和日、韩等国立法经验,尝试从商业数据定义、不正当竞争行为和例外规则的角度,对商业数据专条的构建提出自己的观点,以期对《反不正当竞争法》修订工作和健全商业数据竞争规则有所裨益。
一 商业数据专条的保护范围:商业数据之界定
早在《征求意见稿》发布前,我国就曾尝试界定商业数据。最高人民法院2021年8月发布的《关于适用〈中华人民共和国反不正当竞争法〉若干问题的解释(征求意见稿)》(下称“《反法司法解释征求意见稿》”)第26条第1款③以“征得用户同意”“依法收集”和“具有商业价值”三要件限定商业数据。2022年11月的《征求意见稿》第18条第2款将商业数据界定为“经营者依法收集、具有商业价值并采取相应技术管理措施的数据”。上述条文均有“依法收集+有商业价值”要件,核心差异是后者摒弃“征得用户同意”,但新增“采取相应技术管理措施”要件。删除“征得用户同意”是因为企业持有的数据并非均是用户个人数据,非个人数据自然无须用户同意。“依法收集”主要强调企业收集数据应符合法律规定,未侵害他人合法权益。④“具有商业价值”则要求所保护的数据具有商业上的价值,否则不具保护的必要性。至于“采取相应技术管理措施”则体现出独特性。在当前数据反不正当竞争法保护的司法实践中,未将经营者对其商业数据采取技术管理措施作为获得保护的一般性前提要件,⑤但司法实践中却存在以规避或破坏数据技术管理措施认定行为人的行为具有不正当性的案件。⑥尽管《征求意见稿》第18条第2款比《反法司法解释征求意见稿》第26条第1款有所进步,但仅以具有经济价值、依法收集和采取技术管理措施来限定,仍存在商业数据范围过大之弊。本文认为,可从“质”和“量”等维度界定商业数据范围。
(一)商业数据在“质”方面的要求
“质”对应反不正当竞争法保护的商业数据的核心特征。纵观日、韩等国立法与我国商业数据司法实践,商业数据在“质”方面的要求应包含电磁性或机器可读性、依法收集、具有商业价值、具有管理性和限定提供性。⑦鉴于依法收集和具有商业价值已在前文展开且业界和学界无争议,本部分仅讨论其余要件。
第一,商业数据应限于电子数据或机器可读数据。一方面,现代技术环境下的非电子数据或机器不可读数据可谓之为“死数据”,无法在数字技术的加持下发挥更大价值。另一方面,非电子数据或机器不可读数据通常附着于如纸张等特定的物理载体,对载体的物理控制足以限制数据的传播范围,保证数据安全。此外,将反不正当竞争法保护的商业数据限定在电子数据或机器可读数据,也有域外立法经验的佐证。日本2023年修订的《不正当竞争防止法》(不正競争防止法)第2条第7款规定,受保护的“限定提供数据”是指“以电磁方式(指电磁或其他任何无法被人类感知的方式)积累了合理数量的,向特定人提供的采取了管理措施的技术信息或营业信息(商业秘密除外)”。韩国2021年12月修订的《防止不正当竞争和保护商业秘密法》()第2条第1款第11项将所保护的数据界定为,“依据《数据产业和使用促进框架法》第2条第1款,作为业务提供给特定的人或特定数量的人,以电子方式累积和管理的,大量的非作为商业秘密管理的技术或业务信息。”可见,日韩均要求受反不正当竞争法保护的数据应满足“以电子或电磁方式”的要求。⑧因为在数字时代,只有电子数据或机器可读数据方可成为算法批量处理的对象,才可借助机器更充分地从中提取有益价值,成为谋取、巩固和维持竞争优势的重要工具。⑨因此,我国商业数据应限定在此范围。
第二,商业数据应具有限定提供性。数据本应自由流通与利用,受法律保护的数据只可被限制在较小范围内,最典型的场景是该数据只有特定人可获得。数据的限定提供性有双重含义:一方面,向特定人提供意味着该数据只有少数主体可获得,保证数据具有较高的商业价值;另一方面,向特定人提供暗含数据持有者通常是将其作为商业性用途通过交易等方式提供,从而获取商业上的利益。是故,日本《不正当竞争防止法》第2条第7款和韩国《防止不正当竞争和保护商业秘密法》第2条第1款第11项均要求被保护的数据应是“作为业务提供给特定的人或特定数量的人”。遗憾的是,我国《征求意见稿》第18条第2款未明确要求商业数据具有限定提供性,而且即使扩张性解释此款中的“采取相应技术管理措施”,也难以看出立法者有此意图,导致商业数据的范围过大。因此,为进一步明确商业数据的范围,应要求其具有限定提供性,是向特定人提供的数据。其中,特定人主要是指特定条件下接收数据的人或组织,与具体数量的多寡无关。⑩
第三,商业数据应具有管理性。要求数据持有者对商业数据采取数据保护措施,旨在通过数据保护措施区分受保护的与不受保护的数据。持有者未设置相应保护措施的数据相当于任由他人获取或使用,此类数据已属于或可归入公有领域。当然,要求商业数据需被采取相应保护措施,并非意在赋予数据持有者对其数据近乎“绝对”的控制权,(11)而是突显商业数据的被管理性和限定提供性,以使第三方识别到数据持有者对数据进行管理的意图,即该数据仅提供给特定人。正如日本《限定提供数据指南》(限定提供データに関する指針)要求限定提供数据应具电磁管理性,以提高特定人以外的第三方的可预测性和经济活动的稳定性。(12)至于是否满足管理性,取决于提供数据时采取的保护措施。总之,所保护的商业数据必须是经持有者采取了限制访问等措施,即需采取措施防止数据持有者与被提供数据的特定人以外的任何人访问数据,若只是单纯防止他人复制并不满足管理性的要求。当然,所要求的管理性并非单纯从数据持有者角度看其是否有管理的意图,还应在此基础上考虑持有者的这种管理意图能否被第三方识别。
此外,《征求意见稿》第18条第2款的“技术管理措施”之所以被修改为“数据保护措施”,原因有三:一是考虑到术语理解和认定的难易程度,(13)毕竟《著作权法》第49条规定的“技术措施”无准确界定,导致在司法实践中的判断标准迥异。(14)第二,可将普遍被接受但不属于“技术管理措施”的保护措施(如爬虫协议、开源协议等)纳入“数据保护措施”。第三,表明“数据保护措施”的要求低于“技术保护措施”。“对于保护措施的要求不宜太高,以达到足以表达权利意思和能够加以识别的程度为已足,不同于商业秘密保护中的保密措施。”(15)当然,鉴于数据保护措施认定的宽泛性,可通过立法或司法解释等方式,明确数据保护措施的具体要求和认定标准。
(二)商业数据在“量”方面的要求
在大数据时代,数据之所以能释放巨大经济价值,是因为“大数据”具有“小数据”所不具有的特性。单个或量小的数据缺乏以法律方式保护的必要性。因此,日韩均要求受反不正当竞争法保护的数据应“达到一定规模”(“相当储蓄性”)。本文也认为我国《反不正当竞争法》所保护的商业数据必须达到一定规模。
至于何为“一定规模”,可结合数据的性质和行业惯例判断。如日本《限定提供数据指南》认为,在判断限定提供数据是否满足“相当储蓄性”时,应综合考虑数据在以电磁方式积累后产生的附加值、利用的可能性、交易价格、收集和分析数据投入的劳动、时间和成本等因素。如通过从过去积累的大量气象数据中投入人力、时间等成本,提取和分析台风相关数据,进而总结特定地区台风相关趋势的数据,即可满足“一定规模”的要求。(16)此理念在我国司法实践中亦有体现。如在一起案件中,法院认为原告将单个且分散的市场钢铁价格信息搜集整理,使数据库使用者能同时获得大量的钢铁价格综合信息,具有较强的实用性,是原告的信息比原始单个市场钢铁价格信息更具价值的重要因素。(17)在另一起案件中,法院认为诸如普遍使用的社交平台的用户账号、头像等数据的集合,属于具有一定竞争优势或商业价值的数据,可受法律保护。(18)
(三)商业数据与商业秘密的界分
在当前的司法实践和学理研究中,存在以商业秘密制度保护商业数据的案例(19)和观点(20)。但《征求意见稿》第18条第2款并未像日韩那样,将商业秘密排除在商业数据专条保护范围之外。并且,2019年修改《反不正当竞争法》时扩大了商业秘密的认定范围,因此商业数据与商业秘密的界限及其规则适用需明确。
日韩均要求所保护之数据非为商业秘密,原因是符合商业秘密构成要件的数据通常具有保密性,其流动和使用均会被持有者精心对待,无须专门数据保护制度的叠加保护。所以,韩国以反不正当竞争法保护的数据直接指向公开的非结构化数据,故商业秘密制度与数据保护制度抵触。与此类似,日本2022年《限定提供数据指南》明确,“作为秘密被管理除外”的规定“是着眼于‘商业秘密’和‘限定提供数据’的不同,为避免两者重复,从‘限定提供数据’中排除符合‘商业秘密’要件的‘作为秘密被管理的内容’。不过,这一宗旨只意味着在适用法律时两种制度的保护不能重复,但在实务上不否定为寻求两种制度保护的可能性而进行针对性管理。”(21)为进一步明确限定提供数据与商业秘密规则在法律适用上的抵触性,2023年日本修改《不正当竞争防止法》时,明确将商业秘密排除在限定提供数据保护范围外,获得限定提供数据规则的保护并可请求停止侵害禁令的,只有作为秘密管理但非属于商业秘密的数据。(22)
我国《征求意见稿》第18条第2款并未要求所保护的商业数据须非为商业秘密。因此,相同的数据可能因情形不同分属商业秘密或商业数据,引发法律适用的分歧。例如,在与员工签订保密协议的情况下,以电子方式管理的数据可能属于商业秘密;数据持有者发现该数据具有交易价值并向第三方出售或交易。在这种情况下,即使出售前后的内部管理模式没有变化,但数据持有者的保密管理意图从出售意图被第三方知悉时起就丧失了,数据不再属于商业秘密范畴。若数据持有者在将数据交易给第三方之前且数据仍不为第三方知悉时终止或取消交易,并表示重新将该数据作为秘密管理,则该数据就重归商业秘密范畴。故而,某一数据在商业秘密和商业数据分界线上来回“横跳”时,商业数据专条与商业秘密规则的衔接与适用问题需理顺。
可能的解决路径有二。一是将商业数据和商业秘密进行切割,符合商业秘密要件的数据应寻求商业秘密制度的保护,不符合商业秘密要件的数据才可能属于商业数据专条调整的范围。(23)此种方案可实现商业秘密规则与商业数据专条各司其职,保证两种客体与其对应保护规则的对应性。二是确认商业秘密规则与商业数据专条在法律适用上的择一效应。若数据同时符合商业秘密和商业数据的构成要件,持有者可在商业秘密或商业数据保护制度中择一适用,但不可同时获得两者的保护;若数据只符合商业秘密或商业数据的构成要件,只可寻求相应规则的保护。因商业秘密毕竟不同于商业数据,保密性也并非商业数据的必备要件。第一种方案比第二种方案更能实现法律制度间的清晰划分,能为公众提供更明确的规则预期,也可避免为纠纷处理者带去过多论证负担,故更可采。
二 商业数据专条规制的行为:商业数据不正当竞争行为之类型化
在确定商业数据范围后,就需确定何种行为属于不正当竞争行为。本部分在《征求意见稿》第18条第1款基础上,参考日本和韩国立法例,并结合我国司法实践经验,尝试总结出商业数据不正当竞争行为的类型。
(一)商业数据不正当竞争行为类型化思路
对持有者来说,以不正当方式获取其商业数据,以及获取后的使用或披露行为是最严重的损害行为。若能从源头上制止他人未经同意的数据获取行为,自然可预防后续的不正当使用或披露行为的发生。但这种理念实则是赋予数据持有者类似于所有权的强保护,不仅不符合反不正当竞争法的保护理念,也有碍公共利益的增进。毕竟,反不正当竞争法并非只保护经营者的合法权益,也有保护正当竞争和消费者权益的特殊目标。因此,商业数据专条不能采“一刀切”的方案,全然认为未经持有者同意而获取商业数据的行为均系不正当竞争行为,应着重控制以不正当方式获取他人商业数据的行为,以及后续不正当的数据使用行为(如处理、披露等),而不禁止正当的数据获取和使用行为。
获取他人商业数据的方式有两种:一是直接从合法数据持有者处获取(一手获取,包括从被授权持有他人商业数据者处获取的情形);二是从前述情形中的行为人处获取(非一手获取)。无论是“一手获取”行为人还是“非一手获取”行为人均应考虑其行为是否应被禁止。当然,行为人获取他人商业数据后,可能会伴随使用或披露行为。可在获取行为的基础上,进一步考察行为人的主观样态,合理划定商业数据专条调整的行为类型。如以盗窃、胁迫、欺诈、电子侵入等典型的不正当方式获取他人商业数据的行为应被禁止;但以合法方式获取他人以不正当方式获取的商业数据的,即使获取后知晓前手存在不正当获取情形,只要未超过原授权范围对外进行披露,也应不予禁止。
此外,不论是在当前的数据产业实践还是前文对商业数据构成要件的阐述中,均肯定商业数据需经持有者附加数据保护措施。但并非所有欲获取他人商业数据者均有能力破解或规避数据保护措施,这就催生出帮助他人获取商业数据的行当。如在一起案件中,被告的法定代表人邵某指示员工陈某等五人编写爬虫获取原告的实时公交车数据。该案刑事判决虽认定陈某五人利用网络技术手段获取原告实时公交车数据的行为属于单位犯罪,民事判决遵循刑事判决的认定将陈某五人的行为定性为职务行为,只认定被告的行为而非陈某五人的行为构成不正当竞争。(24)若陈某五人与公司间不存在劳动关系,其行为至少是帮助该公司以不正当方式获取他人数据,进而须承担相应法律责任。因此,应考虑为他人规避或破坏数据保护措施提供帮助者的行为是否应被禁止。
综上,类型化商业数据专条调整的行为,应以主体及其主观过错来具体分析获取、使用和披露行为是否应被禁止;再考虑帮助他人获取商业数据者的行为是否应被禁止。
(二)“一手获取”行为的定性
《征求意见稿》第18条第1款(25)前三项其实就聚焦于“一手获取”行为人的行为(获取行为对应第1和第2项,使用和披露等行为对应第3项),只不过在上述行为上再附加了其他限制要件,进一步缩小商业数据专条调整的范围。但遗憾的是,部分条文中的限制要件以及款项之间的逻辑,仍有待优化。对直接从合法的数据持有者处获取商业数据而言,主要考察行为人是否以不正当方式获取。若系以盗窃、欺诈或非法入侵等不正当方式获取他人数据的行为自然应被禁止,且此种禁止效力及于行为人后续的使用或披露行为。不论是日本《不正当竞争防止法》第2条第1款第11项(26)还是韩国《防止不正当竞争和保护商业秘密法》第2条第1款第11项第1目(27),均聚焦此类不正当竞争行为。若系以正当方式获取,则需对其后续的使用或披露行为进行实质考量。
1.以不正当方式获取他人商业数据的情形
以诸如盗窃、胁迫、欺诈、电子侵入等不正当方式获取他人商业数据的行为,应属不正当竞争行为,且效力及于后续的使用和披露行为。第18条第1款前3项与此略有偏差。
第一,《征求意见稿》第18条第1款第1项中的行为效果要件(“不合理造成经营者运营负担或影响正常经营”)不合理。一方面,行为效果要件不应成为判断以不正当方式获取他人商业数据的行为是否正当的要素。以不正当方式获取他人商业数据的行为已不满足合法性要求,无须再考虑是否“不合理造成经营者运营成本增加或影响正常经营”。否则,只会导致“以不正当方式获取他人商业数据,但未造成他人运营成本显著增加者”,仍系正当竞争行为。若是如此,实则将某些不符合正当竞争秩序要求的行为,排除在不正当竞争行为之外。因此,如日本《不正当竞争防止法》第2条第1款第11项和韩国《防止不正当竞争和保护商业秘密法》第2条第1款第11项第1目,只要求行为人系以欺诈、盗窃等非法或不正当方式获取他人商业数据,就属不正当竞争行为,不再考虑该行为是否造成经营者运营成本不合理增加或影响正常经营。另一方面,“不合理增加运营成本”和“影响正常经营”实则有违公平理念。《征求意见稿》第18条第1款第1项并未清楚界定“不合理”的程度以及“影响正常经营”的具体标准。但是,不同经营者的防护能力差异显著。对财力和技术较强的企业而言,较大强度的爬取行为也不会影响服务器的正常运行或导致运营成本增加;但对小企业而言,小幅度的爬取行为就可能导致网页或服务器崩溃。这就意味着,某一不正当的数据爬取行为是否为法律所禁止,在很大程度上取决于被爬取方的技术和财力状况,也就并未公平保护中小企业。《征求意见稿》第18条第1款第1项的此规定不可取,建议删除此行为效果要件。
第二,《征求意见稿》第18条第1款第2项中“违反约定或者合理、正当的数据抓取协议,获取和使用他人商业数据”的情形应细化,且部分情形可被第1项吸收。第2项区分基于合意形成的合同(约定)和未经事先协商形成的爬取协议。首先,“违反约定获取和使用他人商业数据”可分为“违反约定获取”和“违反约定使用”两种情形,因后者获取数据系以正当方式进行,故此处仅讨论前者。因基于合意形成的合同系经营者间达成的协议,自然具有约束力,尤其是协议清楚约定可获取数据的范围或时限,违反约定获取商业数据的行为当然具有不正当性。(28)其次,“未经平等协商形成的爬取协议”亦是认定数据获取行为不正当的标准之一。在我国涉数据爬取纠纷案中,法院认为爬虫协议是一种应被广泛遵守的行业基本准则,未遵循爬虫协议爬取商业数据的行为可能构成不正当竞争。(29)不过,此项强调爬虫协议必须是合理、正当的。若数据持有者所发布的爬虫协议不合理或不正当,即使他人违反此爬虫协议抓取数据,亦可能是正当竞争行为。如在HiQ v.LinkedIn案中,(30)尽管LinkedIn以爬虫协议禁止HiQ抓取其数据,但地区法院认为此种不正当的反爬协议系LinkedIn限制HiQ竞争的行为,从而为HiQ颁布了禁令。综上,已有约定而不遵循或无视数据持有者设置的合理且正当的反爬协议,仍获取数据的行为具有鲜明的不正当性,与“以不正当方式获取他人商业数据”的情形无异,应被纳入第1项。
第三,以不正当方式获取他人商业数据后的使用或披露行为当然属于不正当竞争行为,应被第1项吸收。《征求意见稿》第18条第1款第3项同日韩立法例不同,日韩均选择在“不正当获取行为”项下规制后续的使用和披露行为,并未将不正当获取后的披露和使用行为单独规定。我国如此规定是因为第18条第1款分设了第1项(不正当获取)和第2项(违反协议或合理且正当的爬虫协议获取和使用他人商业数据)不正当竞争行为,第1项并不包含使用和披露行为。不过,既然第2项应并入第1项,那么第3项独立存在的必要性就欠缺。毕竟,以不正当方式获取商业数据的行为本身就不具有正当性,后续的使用和披露(包含转让)行为当然应被禁止。
第四,在以不正当方式“一手获取”的情形下,“足以实质性替代其他经营者提供的相关产品或者服务”(下称“实质性替代要求”)应删除。“实质性替代要求”源自一起案件,(31)后被《禁止网络不正当竞争行为规定(公开征求意见稿)》第20条和《反法司法解释征求意见稿》第26条第1款吸收。前一规定仍未公布,而后者在最终发布时,出于“互联网行业技术和商业模式更新发展快”,在未形成明确的裁判标准的情况下不宜过度细化,“为市场的自我调节和技术创新留出空间”(32)的考虑将其删除。《征求意见稿》第18条第1款第2项和第3项均将“实质性替代要求”作为限定条件,虽彰显了商业数据专条鼓励创新的理念,但存在减损规则效果的弊端。就第2项而言,追加此要件,实则限制了不正当获取行为的范围或架空了爬虫协议,进而导致数据持有者加大数据保护措施的力度,阻碍数据的流通和共享;(33)就第3项而言,“实质替代要求”为不当获取行为人规避法律责任提供了契机,如即使是以不正当方式获取他人数据后对外披露或使用,只要未对数据持有者构成同质化竞争,仍属于正当竞争行为。
2.正当获取他人商业数据的后续行为分析
“一手获取”行为人并非均以不正当方式获取他人商业数据,故需考虑以正当合法方式获取他人商业数据后的使用或披露行为是否应受商业数据专条调整。如在商业数据持有者许可他人获取数据后,获得数据一方为谋取不正当利益违反约定或违背诚信使用或披露所得数据,此种行为属于不正当竞争行为,理应不存争议。
虽可细化《征求意见稿》第18条第1款第2项“违反约定使用他人商业数据”以包含“以正当方式获取他人数据”的情形,但仍存不足:一是各项间逻辑不清。第1项及第2项中的“违反约定或正当且合理的爬取协议获取他人商业数据”针对不正当的获取行为,与此情形不同。二是“违反约定使用他人商业数据”的情形过窄。在有合同存在的情形下,虽可寻求合同法制度救济,但从立法技术上仍有所欠缺;若不存在合同,因无法被“违反约定使用他人商业数据”涵盖而难以救济。三是未区分以正当方式获取数据后的使用和披露行为。使用行为和披露行为有异。前者通常仅限自己使用,对数据持有者的损害相对较小;但披露行为是将他人数据对外公开,此种影响具有不可逆性,故需慎重对待。
因此,建议在《征求意见稿》第18条对“正当获取他人商业数据后的使用或披露行为”予以考虑。首先,应将其与“以不正当方式获取他人商业数据”区分,保证规制行为间的独立性。其次,不应以“违反约定使用他人商业数据”为限,毕竟以正当方式获取他人商业数据可能是非以合同方式进行的。最后,应区分以合法或正当方式获取他人商业数据后的使用和披露行为。就正当获取他人商业数据后的使用行为,商业数据专条应予以适当容忍,只有行为人出于损害商业数据持有者合法权益目的或者为牟取不当利益而使用商业数据的行为,才应被禁止。但对披露行为则应严格对待,只要未经许可超越原授权范围披露,即属不正当竞争。
(三)“非一手获取”行为的定性
当下,数据交易行为越发普遍,意味着以不正当方式获取他人商业数据后有可能对外披露。如第三人(甲)从不正当获取或披露行为人(乙)处获取他人(丙)的商业数据。但仅从“一手获取”行为人(乙)角度进行规制,无法约束受让人(甲)的行为。因此,有必要分析“非一手获取”行为人的行为是否属于商业数据专条的调整范围。甲获取数据的行为有两种情形:其一,甲明知拟获取的商业数据系乙以不正当方式获取或披露,仍获取、使用或披露,即第三人取得时为恶意情形;其二,甲在获取商业数据时不知道该数据是乙以不正当方式获取或披露,嗣后知晓仍使用或披露的,即第三人取得时为善意情形。《征求意见稿》第18条第1款并未考虑上述情形,但日韩反不正当竞争法对此均有回应。韩国并未禁止善意第三人的获取、使用和披露行为,只规定恶意第三人的前述行为系不正当竞争。日本据获取数据时第三人的主观样态进行区分,恶意第三人的获取、使用和披露行为均被禁止,善意第三人只是不能在获取数据后作超越授权的披露行为。(34)
对我国而言,若全然不对“非一手获取”行为进行规制,实际上会架空商业数据专条;毕竟,只需找人做“白手套”即可将自己完全置于该条的规制之外。但若全然否定“非一手获取”,也会走向保护力度过强的极端。因此,有必要借鉴日韩经验确立第三人获取商业数据的不正当竞争行为类型。鉴于第三人在获取商业数据时存在不同的主观状态,对其后续行为应区别对待:
第一,获取时系恶意情形。首先,“恶意”包括获取商业数据时虽不知道但应当知道,或有合理理由知道该数据系他人以不正当方式获取或披露的情形。当然,若行为人刻意实施某些行为使自己不知道拟获取的商业数据存在不当获取或披露事实,应视为知道。其次,就恶意第三人的获取、使用和披露行为来说,因行为人知道该数据存在不当披露或获取事实,仍获取并使用或披露,该行为当然不正当。
第二,获取时善意的情形,即第三人不知道也不应当知道该数据存在以不正当方式获取或披露情形。因行为人实际上并不知道所获取的商业数据系被不当披露或获取,应考虑使用和披露行为的差异做区别对待。就使用行为而言,因对商业数据利益的保护力度不宜过高,否则会给数据持有者过强保护而影响数据的流通与利用,故应不作限制。此时,商业数据持有者虽不能追究善意第三人的法律责任,但可主张转让数据者承担相应责任。就披露行为而言,只要行为人未超过授权权限披露,即正当;反之则否。
(四)帮助他人规避或破坏数据保护措施行为的定性
我国《征求意见稿》第18条第2款要求商业数据应被采取数据保护措施。若某行为人并不破坏数据保护措施也不获取他人商业数据,而是单纯制造、提供或销售专门用于破坏或规避数据保护措施的工具、部件或服务的,无法按《征求意见稿》第18条予以调整。但此行为具有不正当性应不存在疑问。因此,韩国《防止不正当竞争和保护商业秘密法》第2条第1款第4目第1句将“未经授权,以规避、消除或更改为保护数据而实施的技术保护措施为主要目的,提供、进口、出口、制造、转让、出租或传输技术、服务、设备或此类设备的组件;或以转让和出租为目的展示技术、服务、设备或此类设备的组件的行为”规定为不正当竞争行为。日本《不正当竞争防止法》尽管未在第2条第1款第11至16项规制此类行为,但第17和18项将提供具有可直接影响技术限制效果功能的符号的行为,纳入不正当竞争行为规制范围,(35)并可要求行为人承担民事责任和刑事责任。
数据保护措施已成为数据持有者保护自身正当劳动投入的重要手段之一。若允许规避或破坏数据保护措施,实无益于商业数据保护。因此,我国应将为不正当获取他人商业数据者提供帮助的行为纳入商业数据专条调整范围:第一,以规避或破坏数据保护措施方式获取他人商业数据的行为系不正当竞争行为(可归入以不正当方式获取他人商业数据之列);第二,将故意为他人规避或破坏数据保护措施提供帮助的行为,或专门提供用于规避或破坏数据保护措施的设备、服务等行为,定性为不正当竞争行为。
(五)不应在商业数据专条中设置兜底条款
《征求意见稿》第18条第1款第4项系兜底条款,即以诚实信用原则和商业道德为判断标准,具体研判某一商业数据获取行为是否属于不正当竞争行为。尽管立法者希望借此囊括前3项未涵盖的情形,但此项实属多余。第一,相较《反不正当竞争法》第2条和第12条第2款第4项,《征求意见稿》第18条第1款第4项除针对获取和使用他人商业数据外,并未增添新构成要件,均属兜底条款。“具体规定优先于抽象规定适用,是法律适用的基本规律之一”,(36)只有缺乏具体规则的情况下才可寻求抽象规定的救济。(37)在现行《反不正当竞争法》架构下,即使不新增商业数据专条之兜底条款,相关案件亦可寻求互联网专条之兜底条款或一般条款的救济。更何况在互联网专条之兜底条款饱受诟病的情况下,(38)新增商业数据专条之兜底条款更应慎重。第二,相较《征求意见稿》第20条,《征求意见稿》第18条第1款第4项亦显多余。《征求意见稿》并未删除一般条款和互联网专条之兜底条款,并在第20条专门就网络不正当竞争行为设置一兜底条款。若保持《征求意见稿》对网络不正当竞争行为的至少“四重兜底条款”之设计,除导致法律条文结构和案件裁判依据的混乱外,并无实益。
三 商业数据专条的例外规则:调节商业数据保护与利用的游码
因流动性是数据的本质属性,前述不正当竞争行为范围亦有保护过足之嫌,故需考虑设置保护的例外情形。纵观域内外经验,商业数据保护的例外情形有三:一是日本《不正当竞争防止法》第19条第1款第8项第1目对应的“获取时善意的第三人在原权限内的披露行为”;二是我国《征求意见稿》第18条第3款和日本《不正当竞争防止法》第19条第1款第8项第2目共同指向的“与‘无偿开放数据’(39)相同的商业数据不保护”;三是韩国《防止不正当竞争和保护商业秘密法》第2条第1款第11项第4目第2句对应的“为科学研究目的制造规避或破坏数据保护措施的设备或其部件”的行为。因第一种情形被定性为正当竞争行为系当然解释,本部分主要讨论后两种情形。
(一)与“无偿开放数据”相同的商业数据不保护
《征求意见稿》第18条第3款主要借鉴日本《不正当竞争防止法》第19条第1款第8项第2目之规定,将“无偿开放数据”排除在商业数据保护范围之外,以协调数据持有者和公众利益。但从日韩立法模式及我国数据产业实践看,我国若欲构建此例外情形,需考虑以下问题。
1.是否应增设此例外情形
我国与日本对以反不正当竞争法保护商业数据采同一立场,即以弱保护平衡商业数据持有者和公众的利益:(40)若商业数据与“无偿开放数据”相同,就不属保护范围。但在韩国,即使是他人自愿公开的数据,只要该数据是以电子方式积累和管理的,不论是有偿还是无偿提供均可获得保护。由此引发的问题是,我国是否需要保护“无偿开放数据”或引入此例外情形?(41)
韩国之所以并未像日本那般排除对“无偿开放数据”的保护,可从2021年《防止不正当竞争和保护商业秘密法》修改说明窥见一斑。在彼时的韩国法律框架下,未公开数据可获得商业秘密制度保护;在公开数据范围内,结构化数据(被系统排列或组合的数据)可通过版权法保护,但对占韩国大部分数据市场的非结构化数据进行保护一直缺乏法律依据。因此类数据非民法上的物,难通过所有权等制度保护。所以,韩国最高法院认为经营者持有的其自愿公开的数据亦是“重大投资和努力的成果”。他人为商业目的收集其他经营者的公开数据后,若未经许可将此数据用于个人商业目的或向第三方披露,只能依据《防止不正当竞争和保护商业秘密法》第2条第1款第11项(一般条款)处理,但对今后可能发生的各式未经授权使用他人数据的行为的制裁力度有限,故增设数据保护规则以规范公开的非结构化数据的市场秩序。(42)可见,韩国的“数据专条”本就针对不属于商业秘密和版权法保护对象的公开数据,不排除对“无偿开放数据”的保护本就不足为奇。
反观我国司法实践,涉商业数据纠纷案件并不仅限于非公开数据,而是也涉及无偿开放数据。例如在一起案件中,按《征求意见稿》第18条第3款规定,像原告网站上的用户评论数据系无偿开放数据(用户可免费浏览),理应不属于《征求意见稿》第18条的保护范围。但法院认为被告获取原告网站上的用户评论构成实质性替代,系不正当竞争行为。(43)在另一起案件中,原告网站编辑加工后的用户投诉信息系无偿开放数据,被告用复制和搬运的方式抓取了原告网站上的投诉信息,亦被认定为不正当竞争行为。(44)原因在于,正因公众可浏览上述公开数据,才使数据持有者具有极强用户粘性,从而形成核心竞争力。“免费创造用户,用户创造价值”的商业模式促使数据持有者将其花费巨大成本收集的数据向公众开放。但非开放数据要么作为商业秘密保护,要么得到数据保护措施的庇护,未经许可刺探商业秘密、以规避或破坏数据保护措施方式获取他人商业数据,基本可得到反不正当竞争法的保护,甚至触犯《刑法》。而“无偿开放数据”是否应被保护成为格外需注意的事项:若不保护,那么《征求意见稿》第18条的意义将会大打折扣;(45)反之,单纯效仿韩国,将所有公开数据均纳入保护范围,也会引发商业数据法律定位同保护模式和保护力度匹配性的质疑。因此,宜通过“一正一反”两种方式实现无偿开放数据和商业数据的平衡:就“正”而言,对数据保护措施秉持相对宽松态度,合理确定涉案数据是否属于商业数据;就“反”而言,宜将无偿开放数据作为不予保护的情形,合理调适商业数据专条调整范围。
此外,有司法实务者认为以“是否有偿”来划分数据并不符合行业实践,应以“未设置相应数据保护措施的数据”取代“与公众可以无偿利用的信息相同的数据”。(46)因为在数据行业实践中,很多平台使用数据的方式为无偿开放,但需用户注册、登录或贡献流量。这些数据是企业花费巨大成本收集的有商业价值的数据,如自媒体平台上发表的公开内容、餐厅评价软件的用户评论等,而且持有者通常会采取一定保护措施。这些数据系“无偿开放数据”,按《征求意见稿》第18条第3款将不属于保护范围,这有悖于既有司法实践和行业共识。但此种观点至少存在两方面缺陷:一是“未设置相应数据保护措施的数据”本就不属于商业数据,根本无保护之必要,《征求意见稿》第18条第3款也并未以“无偿开放数据”替代商业数据。二是忽视了免责条款的作用原理。《征求意见稿》第18条第3款的作用原理是,被告应证明自己获取的商业数据与“无偿开放数据”相同,并非由原告证明自己的商业数据与“无偿开放数据”不同。质言之,商业数据只需满足合法收集、有商业价值、达到一定数量等要件即可,无须考虑是否为有偿提供。即使数据系无偿提供(仅向特定会员无偿提供),也不能当然认为不应保护。唯有与“无偿开放数据”相同的商业数据才属于不保护的情形。因此,以“未设置相应数据保护措施的数据”取代“无偿开放数据”不可取。
2.何为“无偿开放数据”
在确定应建立“无偿开放数据”的例外规则并合理控制其适用范围后,就应科学合理地确定哪些商业数据属于该例外情形,避免导致利益失衡。不过,在确定“无偿开放数据”的认定思路前,有必要先考虑《征求意见稿》第18条第3款的术语使用问题,即是否应当以“信息”来限定“数据”。日本《不正当竞争防止法》第2条第7款和第19条第1款第8项第2目的条文表述均有“データ”(数据)和“情報”(信息),尤其是在后者用“情報”来描述“データ”。我国《征求意见稿》第18条第3款使用“与公众可以无偿利用的信息相同的数据”来将某些商业数据排除在保护范围外,看似与日本法条表述相同,均以“信息”来限定“数据”,但却有较大差别。原因是日本《不正当竞争防止法》并未严格区分“データ”和“情報”,甚至所谓的“限定提供数据”(限定提供データ)也可称为“限定提供信息”(限定提供情報)。反观我国,“数据信息区分说”已被立法(47)和学界(48)广泛接受,多认为数据是载体且偏向于形式,信息是内容且偏向于实质,前者与后者是记载与被记载的关系。毕竟,“对于一个(组)信息内容,可以形成多个不同的数据结构或结构化数据”。(49)假如不对数据和信息作明确区分,那么按照《征求意见稿》第18条第3款的规定,只要某个数据荷载的信息是公众可以无偿利用的,不论该数据的何种形式,均不能得到商业数据专条的保护。但因不同形式或格式的数据具有不同特征,所能发挥的价值可能相差较大。简单以“信息”限定“数据”,进而将与公众可无偿利用信息相同的商业数据排除在保护范围之外,不仅有碍商业数据专条所欲目标的实现,也不符数据行业实践及共识。因此,本文以为应以数据限定数据,来调适商业数据专条的保护范围。
就“无偿开放数据”的内涵界定而言,日本《限定提供数据指南》第2部分第6节分为“无偿向公众提供的数据”(等价于“无偿开放数据”)和“相同”两个小节,专门针对《不正当竞争防止法》第19条第1款第8项第2目作出具体解读,可为我国提供借鉴。
在“无偿向公众提供的数据”(50)界定部分,日本认为“无偿”是指在接收数据时无须支付金钱;需支付金钱才可获得数据的场景属典型的有偿情形。但即使未被要求支付金钱,如果要求提供自己掌控的数据、或要求购买该数据的附加产品(如仅向购买汽车导航系统的用户追加提供的地图更新数据)等为代价,也不属于“无偿”情形。《限定提供数据指南》也列举了“无偿”的典型例证:(1)未要求支付金钱,仅要求标明该数据的出处;(2)要求支付存储数据介质的费用或邮寄存储介质的费用,未要求对数据本身付费;(3)即使数据持有者在数据中植入广告来获益,但该数据可供任何人获取。
“无偿向公众提供的数据”的把握,还须注意两点。第一,即使向任何人提供也可能不属于“无偿”提供。如以只读CD形式售卖的行业调查报告数据,即使未对数据施加基于ID、密码等用户认证技术,依旧属于有偿提供。第二,即使向特定人提供也可能属于“无偿”提供。免费注册某网站或软件就可获得的数据,如需要用户登录后方可免费查看的博文数据,也是无偿提供的数据。
在“相同”(51)的认定上,《限定提供数据指南》要求无偿开放数据与涉案数据相同。如简单且机械地改变无偿开放数据的排列顺序,则两种数据相同。就限定提供数据而言,若能确定该数据中部分数据属无偿开放数据,那么此部分数据不应保护,但余下部分仍可被保护。并且,《限定提供数据指南》以政府公开的统计数据为例,说明以下情形均构成“相同”:(1)不对政府公开的统计数据进行任何加工而直接提供的;(2)将统计数据的一部分或全部作简单且机械地重排(如将按年排列的数据按升序排列),或简单且机械地剪切部分统计数据;(3)简单且机械地组合政府不同批次公开的统计数据;(4)政府统计数据系以纸质媒介无偿向公众提供,与其相同的电子数据。
可见,“无偿开放数据”例外情形主要限于“无偿”“相同”这两个规范性术语的界定上,从严解释对商业数据持有者有利,从宽解释对公众有益。当然,平台的“无偿开放数据”,若与用户权利相冲突,仍应考量用户对自身数据处分或利用的权利。如何确定具体的解释规则,不仅要据我国数字经济规模和发展情况确定,也需与数字技术水平和规则健全程度结合。为此,可借鉴日本经验并结合我国商业数据竞争态势,以发布指导性案例和司法解释的方式,细化“无偿开放数据”的认定规则。
(二)规避或破坏数据保护措施的例外情形
前文已明确将“以规避或破坏数据保护措施方式获取他人商业数据的行为”和“故意为他人规避或破坏数据保护措施提供帮助的行为,或专门提供用于规避或破坏数据保护措施的设备、服务的行为”确定为不正当竞争行为。但是为了发展数据保护措施,研究与测试必不可少,为科学研究目的制造规避或破坏数据保护措施的设备或其部件,就不应被定性为不正当竞争行为。此种行为被确认为正当行为,主要是因行为人的目的并非旨在规避或破坏数据保护措施以获取商业数据,或者帮助他人以此种方式获取商业数据,而是出于研究目的,且不损害商业数据持有者利益。故而,韩国《防止不正当竞争和保护商业秘密法》第2条第1款第11项第4目第2句(52)明确将“为科学研究目的制造规避或破坏数据保护措施的设备或其部件的行为”排除在不正当竞争行为之外。此种理念在我国《著作权法》第50条中亦体现,即为研究目的避开他人作品技术保护措施的行为,在符合相应条件下,行为人不承担侵权责任。
就商业数据保护而言,为避免此种例外情形范围过广而损害商业数据持有者利益,应慎重确定其范围。首先,就研究目的而言,应将其限定在对数据保护措施的安全性能进行测试、进行加密研究、反向工程研究等情形,尤其是应秉持审慎态度对“研究目的”从严把握。其次,还需明确在此种情形下的行为人不得向他人提供其为研究目的制造的设备或组件,否则其行为具有不正当性。最后,行为人制造规避或破坏数据保护措施组件或设备的行为不得侵犯数据持有者的其他合法权利,否则仍构成不正当竞争。原因在于此种例外情形仅赋予相关研究人员研究数据保护措施的自由,该种研究行为应不对商业数据持有者的合法权益产生不利影响,否则就不具有正当性。例如,行为人虽为了研究目的制造了规避或破坏数据保护措施的设备或组件,但利用该设备或组件破坏了商业数据持有者系统的安全性或可用性,或获取了他人商业数据,其行为就应被禁止。
四 代结语:商业数据专条的条文设计
综上,《征求意见稿》第18条在商业数据范围、不正当竞争行为类型和例外规则方面仍存不足,本文认为应该从以下方面予以完善:
就商业数据范围而言,应在“合法收集”“具有商业价值”和“采取数据保护措施”的基础上进一步限缩数据范围,将商业数据界定为:经营者向特定人提供的以合法方式收集的、采取数据保护措施并达到一定规模且具有商业价值的电子数据或者机器可读数据。
就所规制的行为类型而言,首先,应明确商业数据专条主要调整不正当的获取、使用或披露行为;其次,应区分“一手获取”和“非一手获取”,并根据行为人的主观样态区分处理;最后,应将帮助行为纳入调整范围。具体设置如下:(1)以盗窃、欺诈、胁迫、非法入侵,或者违反正当且合理的爬取协议等不正当手段获取他人商业数据的行为,或者使用、披露通过不正当手段获得的商业数据的行为;(2)以合法或者正当方式获取他人商业数据后,超越权限披露数据的行为,或者为损害商业数据持有者合法权益或者牟取不当利益而使用数据的行为;(3)明知商业数据系他人以不正当方式获取或者披露的,仍获取、使用、披露该数据的行为;(4)在获取商业数据时,不知道该数据系以不正当手段获取或者披露的,事后知晓且超越权限披露该数据的行为;(5)未经授权,以规避或者破坏商业数据保护措施为主要目的,提供、制造或者传输技术、服务、设备或者此类设备组件的行为。此外,无须在商业数据专条设置不正当竞争行为的兜底条款。
就保护的例外情形而言,商业数据专条中应明确以下两种情形不属于不正当行为:(1)获取、使用或者披露与公众可以无偿利用的数据相同的商业数据;(2)在不向他人提供且不侵犯商业数据持有者其他合法权利的情况下,以研究商业数据保护措施为目的,制造规避或者破坏数据保护措施的设备或者组件的行为。
来源:《环球法律评论》(京)2023年第6期 第80-96页