旧版搜索
  • 新版搜索
  • 旧版搜索

历史搜索 全部删除

    热门搜索

      正在阅读:

      谁的大数据?从全国首例大数据产品不正当竞争案看大数据权益

      扫一扫下载界面新闻APP

      其他途径关注界面…

      谁的大数据?从全国首例大数据产品不正当竞争案看大数据权益

      如何平衡和协调提供和产生数据的数据主体、收集数据的数据控制者、和对数据进行分析和整合的大数据产品开发者之间的关系一直是大数据从业人士关注的焦点。本案在明确了大数据产品的财产性权益的同时,尝试从司法角度对此进行指引。与此同时,本案还为大数据从业者如何正当获得数据提供了实务指南,值得相关企业关注。

      段志超 周开辰 何雯 ·

      图片来源:视觉中国

      (作者段志超、周开辰、何雯,系汉坤律师事务所律师。本文首发于公众号“汉坤律师事务所”,界面获授权转发。文章仅代表个人观点。)

      从电商、精准广告、到人工智能,各个行业对大数据的需求从未有今日之高。在数据时代,如何通过法律手段保护基于数据积累和分析产生的竞争优势,愈发受到相关企业的关注。

      近日,杭州互联网法院在某电商平台诉某互联网公司不正当竞争纠纷案(案号:(2017)浙8601民初4034号, 简称“本案”)中,对源于用户信息的大数据产品的财产性权益进行了确认。与此前确认了基于用户原始数据的财产性权益的某社交媒体平台诉某职业网络平台案(“用户数据案”)[1]相比,本案进一步明确了基于原始数据衍生产生的大数据产品的正当性和财产性权益,同时也试图厘清用户信息、原始网络数据和大数据产品的权利边界。相关认定将对大数据业竞争秩序的保护产生深远影响。

      相关事实和认定

      原告某电商平台开发、运营的涉案数据产品是在收集网络用户浏览、搜索、收藏、交易等行为痕迹所产生的巨量原始数据基础上,以特定的算法深度分析过滤、提炼整合并经匿名化脱敏处理后形成的预测型、指数型、统计型等衍生数据,其呈现方式是趋势图、排行榜、占比图等,主要功能是为网店运营提供系统的数据化参考服务,帮助商家提高经营水平。被告某互联网公司运营相关网站,提供远程登录已订购涉案数据产品的用户电脑的技术服务,并基于此招揽、组织、帮助他人获取涉案数据产品中的数据内容,以从中获取利益。

      在本案的判决中,杭州互联网法院认定,某电商平台收集网络用户信息、并利用其开发衍生数据产品的行为符合《网络安全法》的相关规定,具有正当性;某电商平台就相关衍生数据产品具有合法的财产性权益,某互联网公司的相关行为有悖公认的商业道德,构成不正当竞争。基于前述认定,结合具体情节,杭州互联网法院判令某互联网公司赔偿某电商平台人民币二百万元。

      值得关注的问题

      本案在开创性地认定了大数据/衍生数据产品的财产性权益同时,尝试在现有立法框架下对基于用户信息的大数据产品开发的正当性、原始数据和大数据的权利边界、以及具体的信息/数据应用规则进行说明,为大数据行业从业者提供了指引。

      此外,虽然和用户数据案在数据的财产性权益的认定上有相似之处,本案在具体细节的认定上又有了进一步发展,这一方面是由于立法的发展,另一方面也体现了司法者对数据相关权益的进一步思考。

      1. 个人信息与非个人信息的边界

      和用户数据案涉及的教育信息、职业信息、手机号等典型个人信息不同,本案中涉及的原始信息主要是网络用户浏览、搜索、收藏、加购、交易等行为痕迹以及基于此推测出的性别、职业、区域、爱好等标签信息。杭州互联网法院认为,单独或结合使用该类信息并不能识别自然人个人身份,继而将其认定为非个人信息性质的用户信息。

      尽管如此,基于此类信息和隐私以及商户经营秘密的关联度,杭州互联网法院认定,即使其并非个人信息,网络运营者在收集、使用此类数据时,仍然应该比照《网络安全法》中关于网络用户个人信息保护的相应规定[2],即,考虑数据收集的合法正当性以及最小必要性。

      上述认定一方面明确划定了个人信息和非个人信息的界限,即,基于相关信息是否能够识别特定个人,这和网络安全法第七十六条[3]中关于个人信息的定义一致;另一方面,其又没有忽视信息和个人的关联度对于信息敏感性的影响,认定对此类非个人信息仍然需要参照个人信息的收集和使用规则。该认定体现了司法者对于隐私保护的倡导态度,值得相关企业注意。

      2. 数据共享三重授权原则的进一步发展

      用户数据案中开创性地提出了网络经营者之间共享用户数据需要遵守的“三重授权原则”。即,相关用户数据的共享需要获得包括“用户授权”+“平台授权”+“用户授权”在内的三重授权。

      本案中对该三重授权进行了重申。在论述用户信息使用的正当性时,法院认定,由于网络运营者对于网络用户个人信息的安全负有法定保护义务和审慎注意义务,网络运营者公开使用或许可他人使用其收集的网络用户个人信息的,应事先另行取得被收集者的明示同意。此外,相较于用户数据案,本案还将个人行为痕迹信息纳入到适用三重授权的数据的范围中。

      值得注意的是,在本案中,法院同时明确了上述三重授权原则适用的例外情形,即,其不适用于匿名化脱敏化处理后的用户信息。特别地,法院认为,涉案数据由于已经过匿名化脱敏化处理,其公开或使用不会影响到具体的网络用户,因此不需要再另行获得网络用户的同意。

      3. 大数据产业链下数据的演进和相关的权益

      在数据财产性权益的认定上,本案也相较于用户数据案中笼统的表述有了进一步的发展。其对于用户信息、原始网络数据、和基于原始数据衍生获得的大数据做了划分,并针对不同类型数据对应的权益进行了阐明。

      由上表可见,在相关权益的认定上,本案中采取了分层的处理方式。在认定大数据产品的财产性权益的同时,也明确了单一用户信息并不具有独立的财产权或者财产性权益。该认定无疑对于大数据从业者是利好和促进。

      关于原始网络数据,本案认定,其和用户信息高度关联,网络用户对该部分数据仍然有控制权,而网络运营者对于该类型数据的使用受制于其和网络用户的约定。该部分认定基本和三重授权原则相对应。对于该类型数据的财产性权益,本案判决中并没有详述,仅承认了网络运营者对其付出的劳动。作为参照,用户数据案基于网络经营者对相关数据的收集投入的努力和资源,认可了其对于该类型数据的财产性权益。

      作为本案最大的亮点,法院在论述网络运营者就大数据产品的独立财产性权益时指出,衍生数据产品体现了网络运营者的大量智力劳动投入,且深度开发和整合后已和网络用户信息、网络原始信息没有直接对应关系,因此,由其带来的财产性权益归开发其的网络运营者独立所有。

      趋势和后续关注

      1. 对网络用户权益的保障和大数据行业发展的鼓励

      和用户数据案一样,本案在论证是否应当适用反不正当竞争法第二条的过程中,就相关行为的正当性进行了充分的论述。该正当性一方面指的是某电商平台在收集和使用相关数据时是否具有正当性,即,有没有侵犯网络用户的合法权益;另一方面也指的是某互联网公司的被诉行为是否具有正当性,即,有没有侵犯到某电商平台的合法权益。

      在论述某电商平台的行为时,法院肯定了某电商平台在其服务协议、法律声明以及隐私政策中对个人信息以及非个人信息的采集和使用行为的充分公开,也从最小必要性角度认可了相关行为对于大数据产品而言适度且必要。在论述某互联网公司行为时,法院认可了某电商平台基于大数据产品的开发形成的正当权益,确认某互联网公司藉由某电商平台的劳动成果不当地获取了竞争优势以及商业利益。

      上述两点一方面为大数据公司如何合规地获取基础数据提供了指引,另一方面也体现了法院对大数据行业价值的肯定和正当竞争秩序的引导。

      2. 《个人信息安全规范》作为数据合规的重要指南的地位得到肯定

      《信息安全技术个人信息安全规范》(GB/T 35273—2017,简称“《个人信息安全规范》”)作为非强制性国家标准,其在数据和个人信息保护合规中处于何种地位一直受到广大网络运营者的关注。一方面,相较于框架性的《网络安全法》,其为企业合规工作提供了翔实的操作指南;另一方面,《个人信息安全规范》也的确在《网络安全法》框架下对数据和个人信息保护合规提出了更高的要求,相关企业在采用《个人信息安全规范》所推荐的合规措施时往往有所保留。

      本案从若干方面对《个人信息安全规范》中的相关规定直接或间接地做了肯定,凸显了《个人信息安全规范》作为数据合规重要指南的地位,值得相关企业注意。这些方面包括:

      • 对于个人行为痕迹信息的合规要求

        相较于《网络安全法》,《个人信息安全规范》拓展了个人信息的定义,基于关联性标准,将诸如个人行为痕迹信息的反应特定自然人活动情况的各种信息纳入其中,要求相关企业对这部分信息采取更高的合规要求。

        本案中,虽然法院沿用了《网络安全法》中对于个人信息的定义,但同时认定了对诸如个人行为痕迹信息的非个人信息,考虑到其对隐私保护可能产生的影响,仍然需要参照个人信息的收集和使用规则。

      • 对于用户自行公开披露的信息的例外

        本案在认定对于个人行为痕迹信息的收集和分享应该参照个人信息的收集和使用规则的同时,也明确了网络用户已自行公开披露的信息不纳入其中。该点和《个人信息安全规范》第5.4条(授权同意的例外)相对应。该条明确,对于个人信息主体自行向社会公众公开的信息,个人信息控制者收集和使用的,无需征得个人信息主体的授权和同意。

      结语

      如何平衡和协调提供和产生数据的数据主体、收集数据的数据控制者、和对数据进行分析和整合的大数据产品开发者之间的关系一直是大数据从业人士关注的焦点。本案在明确了大数据产品的财产性权益的同时,尝试从司法角度对此进行指引。与此同时,本案还为大数据从业者如何正当获得数据提供了实务指南,值得相关企业关注。

      对于大数据行业,这是最好的时代,也是最坏的时代。隐私保护和大数据应用并非天生的对立面,只是需要找到恰当的共存方式。合规、有序的大数据行业,未来可期。

       

      [1] 北京知识产权法院,案号:(2016)京73民终588号。

      [2]《网络安全法》第41条规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”

      《网络安全法》第42条规定:“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”

      [3]《网络安全法》第76条规定:“…个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”

       
      本文为转载内容,授权事宜请联系原著作权人。
      界面商评大数据
      点赞
      收藏
      看评论
      沉浸模式

      评论

      暂无评论哦,快来评价一下吧!

      下载界面新闻

      微信公众号

      微博

      谁的大数据?从全国首例大数据产品不正当竞争案看大数据权益

      如何平衡和协调提供和产生数据的数据主体、收集数据的数据控制者、和对数据进行分析和整合的大数据产品开发者之间的关系一直是大数据从业人士关注的焦点。本案在明确了大数据产品的财产性权益的同时,尝试从司法角度对此进行指引。与此同时,本案还为大数据从业者如何正当获得数据提供了实务指南,值得相关企业关注。

      段志超 周开辰 何雯 · 2018/08/27 07:36

      图片来源:视觉中国

      (作者段志超、周开辰、何雯,系汉坤律师事务所律师。本文首发于公众号“汉坤律师事务所”,界面获授权转发。文章仅代表个人观点。)

      从电商、精准广告、到人工智能,各个行业对大数据的需求从未有今日之高。在数据时代,如何通过法律手段保护基于数据积累和分析产生的竞争优势,愈发受到相关企业的关注。

      近日,杭州互联网法院在某电商平台诉某互联网公司不正当竞争纠纷案(案号:(2017)浙8601民初4034号, 简称“本案”)中,对源于用户信息的大数据产品的财产性权益进行了确认。与此前确认了基于用户原始数据的财产性权益的某社交媒体平台诉某职业网络平台案(“用户数据案”)[1]相比,本案进一步明确了基于原始数据衍生产生的大数据产品的正当性和财产性权益,同时也试图厘清用户信息、原始网络数据和大数据产品的权利边界。相关认定将对大数据业竞争秩序的保护产生深远影响。

      相关事实和认定

      原告某电商平台开发、运营的涉案数据产品是在收集网络用户浏览、搜索、收藏、交易等行为痕迹所产生的巨量原始数据基础上,以特定的算法深度分析过滤、提炼整合并经匿名化脱敏处理后形成的预测型、指数型、统计型等衍生数据,其呈现方式是趋势图、排行榜、占比图等,主要功能是为网店运营提供系统的数据化参考服务,帮助商家提高经营水平。被告某互联网公司运营相关网站,提供远程登录已订购涉案数据产品的用户电脑的技术服务,并基于此招揽、组织、帮助他人获取涉案数据产品中的数据内容,以从中获取利益。

      在本案的判决中,杭州互联网法院认定,某电商平台收集网络用户信息、并利用其开发衍生数据产品的行为符合《网络安全法》的相关规定,具有正当性;某电商平台就相关衍生数据产品具有合法的财产性权益,某互联网公司的相关行为有悖公认的商业道德,构成不正当竞争。基于前述认定,结合具体情节,杭州互联网法院判令某互联网公司赔偿某电商平台人民币二百万元。

      值得关注的问题

      本案在开创性地认定了大数据/衍生数据产品的财产性权益同时,尝试在现有立法框架下对基于用户信息的大数据产品开发的正当性、原始数据和大数据的权利边界、以及具体的信息/数据应用规则进行说明,为大数据行业从业者提供了指引。

      此外,虽然和用户数据案在数据的财产性权益的认定上有相似之处,本案在具体细节的认定上又有了进一步发展,这一方面是由于立法的发展,另一方面也体现了司法者对数据相关权益的进一步思考。

      1. 个人信息与非个人信息的边界

      和用户数据案涉及的教育信息、职业信息、手机号等典型个人信息不同,本案中涉及的原始信息主要是网络用户浏览、搜索、收藏、加购、交易等行为痕迹以及基于此推测出的性别、职业、区域、爱好等标签信息。杭州互联网法院认为,单独或结合使用该类信息并不能识别自然人个人身份,继而将其认定为非个人信息性质的用户信息。

      尽管如此,基于此类信息和隐私以及商户经营秘密的关联度,杭州互联网法院认定,即使其并非个人信息,网络运营者在收集、使用此类数据时,仍然应该比照《网络安全法》中关于网络用户个人信息保护的相应规定[2],即,考虑数据收集的合法正当性以及最小必要性。

      上述认定一方面明确划定了个人信息和非个人信息的界限,即,基于相关信息是否能够识别特定个人,这和网络安全法第七十六条[3]中关于个人信息的定义一致;另一方面,其又没有忽视信息和个人的关联度对于信息敏感性的影响,认定对此类非个人信息仍然需要参照个人信息的收集和使用规则。该认定体现了司法者对于隐私保护的倡导态度,值得相关企业注意。

      2. 数据共享三重授权原则的进一步发展

      用户数据案中开创性地提出了网络经营者之间共享用户数据需要遵守的“三重授权原则”。即,相关用户数据的共享需要获得包括“用户授权”+“平台授权”+“用户授权”在内的三重授权。

      本案中对该三重授权进行了重申。在论述用户信息使用的正当性时,法院认定,由于网络运营者对于网络用户个人信息的安全负有法定保护义务和审慎注意义务,网络运营者公开使用或许可他人使用其收集的网络用户个人信息的,应事先另行取得被收集者的明示同意。此外,相较于用户数据案,本案还将个人行为痕迹信息纳入到适用三重授权的数据的范围中。

      值得注意的是,在本案中,法院同时明确了上述三重授权原则适用的例外情形,即,其不适用于匿名化脱敏化处理后的用户信息。特别地,法院认为,涉案数据由于已经过匿名化脱敏化处理,其公开或使用不会影响到具体的网络用户,因此不需要再另行获得网络用户的同意。

      3. 大数据产业链下数据的演进和相关的权益

      在数据财产性权益的认定上,本案也相较于用户数据案中笼统的表述有了进一步的发展。其对于用户信息、原始网络数据、和基于原始数据衍生获得的大数据做了划分,并针对不同类型数据对应的权益进行了阐明。

      由上表可见,在相关权益的认定上,本案中采取了分层的处理方式。在认定大数据产品的财产性权益的同时,也明确了单一用户信息并不具有独立的财产权或者财产性权益。该认定无疑对于大数据从业者是利好和促进。

      关于原始网络数据,本案认定,其和用户信息高度关联,网络用户对该部分数据仍然有控制权,而网络运营者对于该类型数据的使用受制于其和网络用户的约定。该部分认定基本和三重授权原则相对应。对于该类型数据的财产性权益,本案判决中并没有详述,仅承认了网络运营者对其付出的劳动。作为参照,用户数据案基于网络经营者对相关数据的收集投入的努力和资源,认可了其对于该类型数据的财产性权益。

      作为本案最大的亮点,法院在论述网络运营者就大数据产品的独立财产性权益时指出,衍生数据产品体现了网络运营者的大量智力劳动投入,且深度开发和整合后已和网络用户信息、网络原始信息没有直接对应关系,因此,由其带来的财产性权益归开发其的网络运营者独立所有。

      趋势和后续关注

      1. 对网络用户权益的保障和大数据行业发展的鼓励

      和用户数据案一样,本案在论证是否应当适用反不正当竞争法第二条的过程中,就相关行为的正当性进行了充分的论述。该正当性一方面指的是某电商平台在收集和使用相关数据时是否具有正当性,即,有没有侵犯网络用户的合法权益;另一方面也指的是某互联网公司的被诉行为是否具有正当性,即,有没有侵犯到某电商平台的合法权益。

      在论述某电商平台的行为时,法院肯定了某电商平台在其服务协议、法律声明以及隐私政策中对个人信息以及非个人信息的采集和使用行为的充分公开,也从最小必要性角度认可了相关行为对于大数据产品而言适度且必要。在论述某互联网公司行为时,法院认可了某电商平台基于大数据产品的开发形成的正当权益,确认某互联网公司藉由某电商平台的劳动成果不当地获取了竞争优势以及商业利益。

      上述两点一方面为大数据公司如何合规地获取基础数据提供了指引,另一方面也体现了法院对大数据行业价值的肯定和正当竞争秩序的引导。

      2. 《个人信息安全规范》作为数据合规的重要指南的地位得到肯定

      《信息安全技术个人信息安全规范》(GB/T 35273—2017,简称“《个人信息安全规范》”)作为非强制性国家标准,其在数据和个人信息保护合规中处于何种地位一直受到广大网络运营者的关注。一方面,相较于框架性的《网络安全法》,其为企业合规工作提供了翔实的操作指南;另一方面,《个人信息安全规范》也的确在《网络安全法》框架下对数据和个人信息保护合规提出了更高的要求,相关企业在采用《个人信息安全规范》所推荐的合规措施时往往有所保留。

      本案从若干方面对《个人信息安全规范》中的相关规定直接或间接地做了肯定,凸显了《个人信息安全规范》作为数据合规重要指南的地位,值得相关企业注意。这些方面包括:

      • 对于个人行为痕迹信息的合规要求

        相较于《网络安全法》,《个人信息安全规范》拓展了个人信息的定义,基于关联性标准,将诸如个人行为痕迹信息的反应特定自然人活动情况的各种信息纳入其中,要求相关企业对这部分信息采取更高的合规要求。

        本案中,虽然法院沿用了《网络安全法》中对于个人信息的定义,但同时认定了对诸如个人行为痕迹信息的非个人信息,考虑到其对隐私保护可能产生的影响,仍然需要参照个人信息的收集和使用规则。

      • 对于用户自行公开披露的信息的例外

        本案在认定对于个人行为痕迹信息的收集和分享应该参照个人信息的收集和使用规则的同时,也明确了网络用户已自行公开披露的信息不纳入其中。该点和《个人信息安全规范》第5.4条(授权同意的例外)相对应。该条明确,对于个人信息主体自行向社会公众公开的信息,个人信息控制者收集和使用的,无需征得个人信息主体的授权和同意。

      结语

      如何平衡和协调提供和产生数据的数据主体、收集数据的数据控制者、和对数据进行分析和整合的大数据产品开发者之间的关系一直是大数据从业人士关注的焦点。本案在明确了大数据产品的财产性权益的同时,尝试从司法角度对此进行指引。与此同时,本案还为大数据从业者如何正当获得数据提供了实务指南,值得相关企业关注。

      对于大数据行业,这是最好的时代,也是最坏的时代。隐私保护和大数据应用并非天生的对立面,只是需要找到恰当的共存方式。合规、有序的大数据行业,未来可期。

       

      [1] 北京知识产权法院,案号:(2016)京73民终588号。

      [2]《网络安全法》第41条规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”

      《网络安全法》第42条规定:“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”

      [3]《网络安全法》第76条规定:“…个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”

       
      本文为转载内容,授权事宜请联系原著作权人。