返回上一页 文章阅读 登录

丁晓东:数据到底属于谁?

更新时间:2019-10-28 22:26:03
作者: 丁晓东  
公众对于数据的使用也不会对数据产生损耗。美国联邦最高法院明确否定了下级法院的“额头汗水”的教义,即强调版权保护只及于创新部分,而数据本身仍然应当维持公众所有。美国联邦最高法院明确,如果法律对数据库的保护延伸至基础数据,这将“损害版权法的基本原理”。

  

   其次,合同法也很难为平台数据权利确定边界。Robot协议是否可以构成合同要约,这在各国的司法与法律教义上均存在很大争议。Robot协议可以被视为一种合同的意思表示,对外传递当事人的意愿,但当爬虫方阅读了这种告示之后,是否就意味着合同已经成立?在法律实践中,各国对于此类单方告知的合同常常做出不同的判决,例如,对于软件安装包内的格式合同或拆封许可(shrink-wrap license),有的法院认为,当推定消费者可以看到此类告示而继续选择安装软件时,此时单方告知就能被视为合同;但在另外的法院判决中,法院则又认为此类合同无效。

  

   从性质上来说,Robot协议非常类似于中国很多小商铺上挂的“同行免进” “××类人免进”的告示。对于此类告示是否可以被认为合同要约,私法上并无确切答案。一方面,此类告示具有一定的合理性,因为它符合了私主体的意思自治原则,明确传递了商家的意愿。但另一方面,此类告示也可能被认定为自始无效。如果此类告示针对的是特定的人群,此类告示可能会被认定为违反民法上的公序良俗原则而无效, 或者也可能会被认定为违反公法上的反歧视原则而无效。 此外,即使此类告示具有合同要约的效力,这也不等于看到告示牌的人就同意了这一告示,看到告示牌的人可能会将这一告示等同于善意提示而非要约,因此进入商铺内部查看并不等同于合同成立。

  

   再次,从侵权法与刑法的角度看,违反Robot协议是否属于侵权或者侵入计算机系统,这也没有明确标准。从一般侵权责任来说,其构成要件包括加害行为、行为人过错、损害事实和因果关系,但在数据爬虫的情形中,很难说存在损害事实。在大部分情况下,网络平台之间的数据爬虫都是持续性和长时间段的,不会占据被爬虫网络平台的过多流量或造成被爬虫网络平台的网速变慢。而从普通法上的非法入侵(trespass)或我国《刑法》上的非法获取计算机系统数据罪来看, 数据爬虫是否属于非法侵入计算机系统,本身就取决于法律如何界定数据爬虫的性质。

  

   科尔教授曾经从线上线下对比的角度对互联网非法侵入问题进行系统分析。科尔教授将网络企业设置的反爬虫技术障碍(如Robot协议、设置验证码、设置密码)类比为线下世界的无力障碍(商店设置告示、栅栏、关门、锁门)。 科尔教授指出,此类物理障碍或网络技术障碍是否不可逾越,非法侵入的边界如何确定,法律并不提供规范性的规则指引。如同科尔所言,“和物理世界一样,计算机非法侵入的特点是文本并不能提供指引。法律文本禁止未经授权不得访问计算机,这就像非法侵入法规定,未经授权不得进入物理空间一样。”无论是在物理世界还是线下世界,“法律的含义都依赖于社会所理解的相关空间中信号所传递的访问权限,法院必须根据对相关侵入规范的理解来确定不同空间的规则”。

  

   最后,从不正当竞争法的角度来看,不正当竞争法也面临类似的问题。在我国当前的网络数据争议中,不少案件都援引了《反不正当竞争法》第2条关于商业道德的规定。 例如,在新浪诉脉脉案、 大众点评诉百度案中, 法院都以数据爬虫违反商业道德和不正当竞争作为判决理由。但需要指出的是,法院的判决主要建立在对具体个案与具体场景的判断之上,《反不正当竞争法》本身并没有对何谓商业道德给出非常刚性的规则指引。如同很多专家所言,不正当竞争法需要借助其他法律规定与商业习惯来确定何谓不正当竞争,反不正当竞争法本身常常具有很大的不确定性。

  

四、数据权属:实用主义的后果分析

  

   如果说法律条文与法律教义分析无法为数据权属问题提供确切答案,那么基于实用主义的后果分析是否可以确立数据的权利归属?结合上文所总结的数据权属的四种观点,可以发现任何一种观点都无法完全成立。

  

   首先,将数据权属完全配置给个人是不现实的,将产生极高的交易成本与沟通成本。如果个人对数据拥有完全的产权,那就意味着平台或个人对此类数据的访问都需要获得个人同意。在这种制度设计下,搜索引擎等普通网络爬虫行为将无法运转,甚至连个人对于他人数据的阅读也属违法。 此外,将数据权利完全界定为个人所有,这也将架空平台对于数据所享有的某些权利,使得平台无法进行某些正常的商业活动。例如,平台就无法和大V等用户签订独家使用协议;人人网出售其网站就不但是非法的商业活动,甚至还可能构成侵犯公民信息罪。

  

   其次,将数据权属完全配置给平台,这也不符合常理。对此,上文已经有所论述。数据平台所有不仅可能对个人的著作权等知识产权权利造成影响,而且可能无法保护公民的数据隐私。即使是公开的互联网上的数据,也并不意味着这些数据就可以被第三方平台随意使用。关于这一点,最为著名的例子当属Facebook所涉及的剑桥分析公司事件。在此事件中,剑桥分析公司通过一款App收集了30万的用户信息,并通过Facebook的授权而获得了这30万人的朋友圈约5000万人的信息。 这些信息虽然都是在网上公开的,但其公开显然有特定的对象和场景。剑桥分析公司在未获得用户同意的情况下收集这些信息,并且在完全不同的场景下利用这些信息,构成了对用户数据隐私的侵犯。

  

   再次,将数据权属配置给个人和平台共有,将存在类似的妨碍数据流通与数据共享问题。如同上文所说,当平台进行数据交易或共享时,此时可能面临难以获取用户同意的困境。而当普通用户希望转移其个人数据时,如果需要获取平台的同意,那么这种转移也将很难实现,因为很多平台可能不愿意看到用户的流失,就像微博在其用户协议中所规定的那样。总之,数据个人与平台共有,这会进一步增添数据流通与数据共享的制度成本。

  

   最后,将数据认定为公共产品,这虽然可以促进数据流通与数据共享,但却可能无法保护个人数据权利与平台的合理数据权益。一方面,互联网的公共性与互联网的联通性并不意味着公开性的个人数据就不存在隐私问题,也不意味着这类数据完全属于公共产品。在具体场景中,个人数据完全可能遭遇一系列数据隐私问题,而个人数据也可能是个人“数字劳动(digital labor)”的产物,凝结了个体的劳动与付出。 另一方面,平台也在平台搭建与数据收集过程中投入了大量的资金与劳动,如果对企业的正当数据权益不加任何保护,那么此种制度设计就可能出现经济学上所说的搭便车行为,无法保护和促进投资和维护市场的竞争秩序。

  

   数据权属无论配置给哪一方都存在问题,深层次原因在于,数据的属性往往高度依赖于具体场景。数据与普通物品不同。一件具体的物品,在不同的场景下性质基本不变,都受到法律上的物权或财产权的保护,但数据在不同的场景中可能呈现完全不同的特征。同样的一组数据,在不同的场景中对于不同的对象而言可能分属不同类型的数据。以社交网络中的用户数据为例,此类用户数据对于朋友圈的对象来说无疑属于公开数据,因为这类数据的本意就在于朋友圈的传播。但对于平台与第三方企业来说,此类用户数据又属于数据隐私所保护的对象,因为其中包含了大量可识别的个人信息。此外,对于具有竞争关系的第三方平台而言,此类用户数据的集合又具有类似数据库的性质,或者需要法律的某种保护。因为此类数据具有极高的商业性价值,而且平台为此投入了大量的资金,付出了大量的劳动。

  

五、数据权属的场景化界定

  

   (一)数据权益的场景化保护

  

   数据权属问题高度依赖场景,这意味着,维护个人数据权益与企业数据权益必须采取场景化的保护方式。通过在具体场景中确定数据的性质与类型,并根据具体场景中各方的合理预期来确定相关主体的数据权益,这是解决数据权属与数据争议的更好方式。

  

   在数据隐私的学术研究中,个人数据的场景化保护进路已经为很多学者认可。例如,以隐私场景理论著称的海伦?尼森鲍姆(Helen Nissenbaum)教授曾经指出,数据隐私保护的基本原则与关键在于实现数据的“场景性公正”(contextual integrity), 即要在具体场景中实现个人数据与信息的合理流通。 尼森鲍姆的理论之所以影响巨大,其理论中的“尊重场景”(respect for context)成为奥巴马政府时期起草的《消费者隐私权利法案》的指导思想,最重要的原因就在于其理论契合了个人数据保护的基本特征。另一个例子是数据隐私法的权威学者丹尼尔?索洛夫(Daniel Solove)的隐私分类理论。索洛夫借用维特根斯坦的语境理论,指出隐私并不存在一个核心或本质特征,保护隐私实际上是保护具体场景中的某些个人权益不受侵害。 此外,阿里?瓦尔德曼(Ari Ezra Waldman)教授也指出,不能以个人权利来理解隐私与个人信息或个人数据, 因为隐私问题的本质在于信任,其权利的边界需要根据具体场景中的合理期待来确定。

  

   在实践中,个人数据保护也采取了场景化的保护进路。在美国,联邦层面没有对个人数据保护进行太多立法, 但美国联邦贸易委员会(FTC)通过执法在具体案例中逐渐确立了数据隐私保护的规则。 这种保护方式无疑是高度场景化的,以至于有的学者将其总结为普通法的保护模式。在欧洲,尽管《一般数据保护条例》等法律设立了很多关于个人数据保护的规则体系,但这些规则体系实际上犬牙交错,相互抵牾冲突之处比比皆是;同时,这些规则还常常受到法律原则的约束。 因此,即使欧洲采取了统一立法的模式,但这一立法并未确立个人数据保护的明确边界,未来欧盟个人数据保护的走向仍然取决于具体场景与具体个案中的规则演进。

  

以场景化的视角看待个人数据保护,一些数据权属难题就会迎刃而解。以上文提到的Facebook与剑桥分析公司丑闻案与人人网出售案为例。以非场景化的个人数据保护观来看,很难解释为何剑桥分析公司对于某些个人数据的利用成了丑闻,而人人网整体的个人数据的控制者转移却没有引起过多争议。从场景化的个人数据保护视角,则可以非常容易理解二者的差别。在Facebook与剑桥分析公司的案例中,Facebook与剑桥分析公司对某些个人数据的利用打破了个体的合理预期,而且并未获取个体的同意,这才造成了数据隐私保护的失败。而在人人网的出售案例中,人人网出售前虽然也并未征求个体的同意,但由于人人网的出售并没有改变个人数据所使用的场景和预期,因此即使人人网的出售行为改变了网站数据的控制者,此种行为也并未直接对个人数据隐私造成威胁。 只要人人网的购买者承担起个人数据保护的责任,在个人的合理预期内使用平台数据,个人的数据隐私就能得到合理的保护。(点击此处阅读下一页)


爱思想关键词小程序
本文责编:limei
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/118748.html
文章来源:《华东政法大学学报》2019年第5期
收藏