社交软件场景下的数据利益分配规则
数据权属的问题,究其根本,是一个数据之上不同相关主体利益如何分配的问题。在数据的产生、收集、处理、利用、共享等链条中,会出现不同的利益相关方,进行不同的要素投入,并有可能对数据从不同角度提出利益诉求,例如基于民法、不正当竞争原则条款等法律依据,主张获得法律上认可保护的法益。数据利益分配需要通过场景化的讨论来获得更加清晰的规则,并提供进一步形成抽象规则的可能性。社交软件作为用户登录渠道的数据冲突事件,提供了一种可供分析的典型场景。
一、数据利益分配涉及的不同主体
个人数据可以被认为是数据利益分配的一个特定情形,并且基本已经在国内外立法和实践中达成共识,即与识别个人身份有关的数据,根据其与主体的特定联系,可以由个人来取得相应控制权,控制的具体表现形式可能根据不同的立法例和实践模式有所不同,以被称为“史上最严”的欧盟《一般数据保护条例》(GDPR)为例,个人针对其个人数据的权利包括同意权、访问权、更正权、删除权(即被遗忘权)、可携带权等。
因此,在与个人身份识别相关度较高的领域,个人作为一种主体,对于其个人信息或数据的权利/法益已经获得确认,尤其是因为通常被认为具有人格属性,而具有相对较高的法律价值位阶。但是,如前所述,如果说个人是数据产生和利用的一个输入要素,那么在数据的整个生产、加工、流转的产业链中,有很多其他主体也进行了要素投入,对于作为产出的数据,也都产生了控制甚至是排他控制的权利诉求,从而引发了多种形式的数据冲突和利益分配的主张。
在实践中,个人数据通常会被商业主体进行收集、处理、加工、集聚,而成为一种经营性资产,在很多领域有可能成为体现核心竞争力的资产,而对这些数据的争夺,会成为其他企业进行用户推广、精准营销等的重要助力。但是由于数据并未在立法中明确法定权利的地位,主要是通过司法实践的个案探索,运用法律一般原则条款进行准赋权性质的保护,因而具有相当大的不确定性,企业对于数据的控制主张,是否可以得到法官的认可,需要取决于具体的事实情况,和相关的各种利益权衡,而不能认为在法律上必然成立。
二、个人数据利用行为正当性认定中的用户意志
目前看来,通过反不正当竞争法原则条款来认定的不正当数据利用行为,如典型的微博诉脉脉案,还需要特别考虑数据获取方对于用户主观意志的违反,该案中三重授权原则的提出,一方面考虑的企业的诉求,但是用户意志的违反依然是具有重要权重的考虑因素。可以认为,微博诉脉脉案的结论是建立在未经用户许可这一前提之上的。
在社交软件的众多数据利用场景中,较为典型的恰恰是经过用户同意/授权,甚至是用户主动发起的对自己数据的获取行为。以通过调取社交软件数据进行新账户的注册或登录行为为例,用户在注册或者登录A软件的账户时,为了方便起见,有可能选择B社交软件的账户直接注册或者登录。实践中,微信是最常见的被用来注册/登录新软件的渠道,与利用手机号码或者通过选取个性化的用户名来进行注册或登录相比,微信注册/登录存在快捷、方便、自动登录等良好的用户体验,因而成为比较受欢迎的一种登录方式。微信也通常会通过开放数据交换端口,来为其他软件的用户提供这一登录渠道。
在这样的场景下,通过用户的主动发起,经过用户的授权,这一过程通常会调用到社交软件的昵称、头像等指向用户网络身份的数据,一般可以构成用户的个人信息。由于账户的注册和登录过程整体上是由用户来主导和控制的行为,社交软件在这一过程中主要承担了一个辅助性的渠道功能,通过一定程度的自动化方式,在接收到用户的指令之后,来辅助用户调用其个人数据,完成第三方账户的注册和登录。相对于用户手动设定昵称和上传头像图片的行为,利用社交账号登录的行为只是把其中一个环节转变为自动化处理,为方便用户“移植”自己的个人数据提供了技术手段。在GDPR里,这体现为用户的“可携带权”,对应的是企业需要根据用户指示承担提供“结构化、通用化和可机读的”数据、并向其他企业去转移这些数据的义务。
三、社交软件场景下企业数据利益的认定及边界
那么,社交软件是否可以拒绝提供这种数据开放和交换功能呢?或者,对于已经被第三方软件通过上述交换功能获取的数据,是否可以主张排他性的权利,随时要求第三方软件停用呢?如前所述,如果在GDPR的管辖范围内,根据可携带权的规定,社交软件不仅不能拒绝或者要求排他权利,反而负有提供标准化数据、协助数据转移的义务。当然,可携带权目前为止还没有引入中国立法,但是其中体现的用户利益考量,未必不应该进入司法和立法的利益权衡视野。
回到中国法的场景,要回答上述问题,实践中需要考虑两个方面的维度:第一,社交软件主张对于数据控制权的权利基础何在。第二,即使社交软件对于特定数据存在一定的利益主张可能性,这种主张是否可以优先于用户对于其个人数据的控制权利而存在。
社交软件最有可能的进路,是遵循微博诉脉脉、大众点评诉百度等近期知名案例的思路,主张自己通过收集、加工或者提供基础设施,对于数据进行了实质性的投入,从而形成一种可以援引反不正当竞争法原则条款来进行保护的法益。其背后的理论是投资产生财产性利益、激励理论和防止“搭便车”的宽泛理念。
需要注意的是,反不正当竞争法一般条款的适用虽然在实践中屡见不鲜,但对其批评的观点也从未停止出现。最主要的批判,是认为通过一般条款的适用,扩大保护未被法定权利涵盖的利益,一方面会造成对于法定权利制度框架和价值判断的架空,使得原有法律体系中,明确不受保护的“纯粹经济损失”以曲线地方式不停地被纳入法律保护,打破了法律体系的整体平衡。另一方面,缺乏细致论证和前提限定的原则条款应用,创设了巨大的不确定性,给数据利用相关的产业带来实质性的成本和障碍。较为合理和理性的方案,是对原则条款的应用进行类型化、要件化,充分考虑多个要素和标准、多方主体的利益,特别是在技术过程相对复杂并存在证明难点的情况下,需要在对事实和证据进行全面、深入调查的前提下,谨慎作出判断,防止利益失衡。
1. 保护数据利益的考虑因素
回到社交软件数据调用的具体场景,判断特定的数据利用行为,是否构成对于反法原则条款的违反,至少需要考虑以下因素:数据本身的属性和特点;主张数据权利的企业对于数据进行的加工和投资情况(贡献程度);第三方的数据获取或利用行为的特点;数据利用行为对于主张权利一方企业产生的损害情况,特别是替代性效果分析。这一思路目前在司法实践中日渐获得认可,也体现在大众点评诉百度等典型案例的论证之中。
关于数据本身的属性和特点,以微信用户昵称和头像图片为例,数据本身具有较强的个人数据属性,有时候可能图片还构成作品从而受到著作权保护,而每一次第三方数据调用,是在用户指示下单独调用该用户的数据,不涉及到数据的结构化或非结构化的批量调用,这一点,与微博诉脉脉案有可能存在重要区别。
关于第二个因素,腾讯作为微信的运营商,固然可以主张数据曾经在其运营的软件程序中存在,但是单就用户昵称和头像图片,难言腾讯对其进行了实质性的投资、加工、管理,本质上还是由用户自行选取、上传。如果存储本身就可以构成一种法律上认可的实质性投资,这一宽泛的认定很有可能把实质性投资的门槛降到极低。所有信息存储空间服务提供者或许都有可能据此主张对于所存储信息的权利,这显然与我们认知常识产生了冲突。
关于第三个因素,第三方的数据获取/利用行为,在用户主动发起调取数据指令的假设下,显然与微博诉脉脉案产生了重要的分野。如前所述,在用户主导的行为过程中,第三方对于数据的获取,与微信提供数据交换端口一样,都是在用户意志主导下对其自己个人数据利用过程的一个环节,因而比较容易被认为具有正当性。
第四个因素常常成为判断的最关键要素,对应的是“激励理论”,防止有可能导致市场失灵的“搭便车”行为。实践中,法官们倾向于认为,如果被告的行为导致原告的核心竞争性资产被无偿或者低成本占有,并产生了较为明显的替代性效果,那么,就更有可能产生法律上值得保护的利益。这种替代性效果分析,是在信息保护领域进行利益平衡的最重要思路之一,包括著作权的合理使用分析,也特别注重这一效果。回到微信用户昵称和头像图片,对于腾讯而言,开放第三方账户注册/登录数据端口是普遍的实践,这意味着此类数据调取行为总体上是有利于加强微信本身的竞争优势的。当然,在经过缜密的反垄断法分析之前,不能直接简单认定微信负有开放数据交换端口的法定义务,但是,普遍开放端口的实践至少可以说明,调用用户昵称和头像图片进行第三方登录,通常不会导致微信核心竞争优势的流失,或者导致第三方的数据利用行为产生替代性的市场效果。如若想要证明替代性效果在这一场景存在,恐怕需要十分强大的证据组合。
2.企业数据利益与个人数据权利的冲突处理
即使能够认定企业针对特定数据获取/利用行为存在一定值得保护的利益,当这种利益与法律价值位阶上更加优先的权利产生冲突时,有可能要让位于这种明确获得认可的权利。在社交软件账号数据调用的场景下,针对用户昵称和头像图片这些特定数据,其个人数据属性显然更为强烈,一方面用户对其拥有完全的选取和决定权,企业并没有参与这些数据的原始产生,亦没有进行实质性的加工,另一方面,个人数据在立法上被通常认可的人格属性,使得它们与用户主体关联更加密切。当用户的控制权与企业主张的稀薄利益产生直接冲突时,特别是考虑到这种数据的利用不会对企业的核心竞争优势造成替代性的破坏,两相权衡,个人数据权利处于优先位阶,应该是不难得出的合乎逻辑的结论。即使企业和用户之间通过格式合同进行了特殊的约定,一方面这可能违反了个人信息保护法律规则的要求,属于过度约定,不符合最小化原则,另一方面,格式条款亦有可能因为实质性单方面限制了用户权利而面临无效的质疑。
四、结论
数据在数字经济时代的基础性价值不言而喻,但是数据包罗万象,几乎涵盖所有行业和信息类型,因此,脱离场景化而进行一般意义的赋权讨论,缺乏现实意义。通过反不正当竞争法原则条款进行司法上的“准赋权”行为,务必慎之又慎。一方面要考虑到法律技术和逻辑的自洽,在充分尊重事实和证据的前提下,在实践中已有探索的要件框架下,对各方利益进行动态和周全的衡量。另一方面,在数字经济随时面临跨越式发展可能性的当下,基于数据的创新常常在边缘地带发生,开放、共享、流动应当作为默认规则进行倡导,主张控制和封闭的一方,应当承担更多的举证责任,来证明例外的成立。这并不是数据带来的新问题,是信息财产理论一以贯之的立场,只有在可能出现市场失灵、公共利益受损等被证实的特定场景下,才有必要创设对于信息的控制性权利,否则,信息的流动、共享和融合,应是最为有利于边缘化创新的基础条件。
作者:刘晓春 中国社会科学院大学互联网法治研究中心执行主任