• 设为首页
  • 加入收藏

安全学习

首页 > 安全学习 > 安全头条 > 正文

安全头条

刘晓春 李梦雪丨2021年数据竞争与个人信息保护典型案件盘点

来源:“数字经济与社会”微信公众号        发布时间:2022-03-30        点击量:

在数据的价值不断被发掘和扩展的当下,数据竞争已经成为公司商业博弈的重要领域,在2021年又有诸多值得关注和讨论的案件涌现。2021年,《个人信息保护法》正式公布并实施,是国家加强个人信息保护的里程碑性实践,回应了实践中的争议问题,个人信息保护总体呈现加强趋势。本文基于2021年的司法实践,整理了2021年度具有典型代表性的数据竞争和个人信息保护领域的案件,探寻司法实践对热议问题的动向,梳理争议问题,提供后续规则建构的借鉴。


01 数据竞争领域
2021年数据竞争领域有不少案例集中在数据抓取方面,对于数据抓取类案例,司法实践中案由主要是不正当竞争纠纷,但判决结果并非完全一致,即使案件事实接近,但由于案件细节的不同,也会出现不同判决的情况,也有的数据抓取类案件的核心争议点不在于技术问题,需要重点考虑用户个人信息权益与企业经营利益之间的衡量。

数据抓取类案件不同判决下的核心考量点的差异

【抖音诉小葫芦直播数据抓取案】
2021年12月,杭州余杭区法院判决了抖音诉小葫芦直播数据抓取案【(2021)浙0110民初2914号】(以下称为小葫芦案),本案中原告抖音公司发现被告六界公司开发运营的“小葫芦”产品未经原告许可,长期采取不正当技术手段,非法抓取“抖音”直播平台的用户直播打赏记录、主播打赏收益相关数据,并以付费方式向其网站用户提供。原告认为被告数据抓取行为突破原告数据防护措施,严重损害抖音用户体验和数据安全,导致抖音流量受损,构成不正当竞争。对此法院认为,抖音公司对直播数据投入了大量运营成本,具有应予保护的商业利益。被告令原本无法通过自然人为方式获取的数据能够通过公开途径获取,容易破坏用户粘性,损害抖音公司竞争优势,且侵犯了打赏用户和主播的个人信息权利,对数据使用没有任何创新。因此,法院认定被告数据抓取行为构成不正当竞争。

【腾讯诉斯氏新媒体公司抓取微信公众号文章数据案】
2021年9月,杭州互联网法院判决了腾讯诉斯氏新媒体公司抓取微信公众号文章数据案【( 2021)浙 8601 民初 309 号】(以下称为斯氏公司案),本案中,原告腾讯公司认为被告斯氏公司利用爬虫技术抓取微信公众平台信息内容及数据,并进行对外提供公众号相关数据服务,原告认为被告的数据抓取行为突破微信公众平台的防护措施,妨碍平台正常运行,构成不正当竞争。法院认为原告对微信公众号数据资源整体具有竞争性利益。被告行为突破微信IP访问限制和封禁措施,给原告服务器造成额外负担,加大原告运营成本,破坏了微信产品的正常运行机制,违反robots协议,违反诚实信用原则,未尊重信息发布主体的意愿,并不属于技术创新,构成不正当竞争。

【智联招聘诉上海逸橙案】
2021年2月,上海杨浦区法院一审宣判了智联招聘诉上海逸橙案【(2019)沪0110民初16688号】(以下称为智联招聘案),本案原告智联招聘公司认为被告上海逸橙公司通过关联外网账号、通过技术手段等方式在原告网站获取原告网站所存个人简历和职位信息,将原告网站简历作为被告企业用户网站简历资源对外有偿许可使用,并将抓取的职位信息公布在被告网站。本案原告同样是认为被告通过多种技术手段攻击原告网站,增加了原告服务器压力,破坏了原告网站正常运行。但是本案法院给出了与小葫芦案和斯氏案完全不同的认定,本案中法院的重要考量点包括用户的意愿与选择、消费者的便利性以及流量损失的有限性。

关于关联外网账号服务,法院认为系被告的企业用户自行选择的是否关联,亦由用户自己使用该技术实现,被告提供的是一项关联同步的技术服务,该技术本身不具有不正当性,且该服务可以给用户带来便利性,实际上对消费者而言具有一定增益。

关于被告通过技术手段抓取、复制原告网站刊登的职位信息,并刊登在被告网站上,法院认为,被告网站对来源于原告网站的职位信息会明确标记来源,且用户如需投递简历,最终还是必须要进入原告网站,被告行为给原告造成的流量损失有限。

法院在本案中也评议了《反不正当竞争法》(以下称为反法)第二条规定的适用,应当有严格的限制条件,只有相关行为难以由反法具体行为规制条款和其他法律规定保护,又存在严重违反诚实信用原则、公认的商业道德的情况下,才适用该条款,对反法在此类案件中的适用体现谨慎态度。

简评
前述小葫芦案、斯氏公司案,法院在判决中,主要考量因素是竞争法意义上的,主要是原告对平台的运营进行了巨大投入,具有应受法律保护的利益,被告行为破坏了原告的正常运营逻辑,造成流量损失,削弱竞争优势,并且破坏技术措施增加了原告服务器压力,增加原告运营成本。另外,法院还重点关注了被告产品是否有较强的创新增益,关注了用户的意愿与个人信息、隐私权益。但两案也有事实上的差异,小葫芦案案涉数据为未公开数据,但是斯氏公司案为公开数据,以此推论原告为不同类型数据设置的技术保护措施的等级也是不同的,这也是后续可以留待讨论的问题,不同等级的技术措施、不同类型的数据对于数据爬取方行为的定性是否会有影响。

智联招聘案中,法院的倾向是反法第二条一般条款的适用应当严格限制,在本案中,法院更加关注了被告获取数据量的有限性,基于此并结合其他因素,认为原告的流量损失有限;并更加关注了被告产品的创新性,对公众带来了便利。重点提到被告对原告很多数据的调用,是基于用户的授权和意愿,是用户自主选择、自主操作。

用户对UGC内容的个人信息权益与企业数据利益的博弈

【微博诉微头条案】
2021年5月,北京海淀法院一审宣判了微博诉微头条案【(2017)京0108民初24530号】(以下称为微头条案),本案中,原告新浪微博认为字节利用技术手段抓取或由其公司员工以人工复制方式大规模获取源发自新浪微博的内容,并紧随其后发布、展示在今日头条中,向用户进行传播的行为构成不正当竞争,遂诉至法院。本案的主要争议点,也是微头条方的重要抗辩的点在于微头条的同步行为获得了用户授权同意。一审法院的判决思路在于,首先头条方提供的一些用户授权在举证方面是有瑕疵的;并且,用户也不应授权超过其权利范围的内容,头条抓取的是通过新浪微博平台展示和传播的内容,并非单纯用户生成内容,比如微博平台为用户内容添附的内容,如@其他微博账号,特有的表情符号等等。此外,微头条的“移植”行为,使得微博公司投入大量资金、技术等成本建立的竞争优势,在短期内被严重削弱甚至消失,而字节公司能够借此迅速建立竞争优势,是损人利己的行为,长此以往,会严重扰乱市场竞争秩序,引发市场激励失灵,损害消费者长远利益。

简评
对于本案一审判决,首先虽然法院认定微头条仅有小部分获得的用户授权是有效授权,但在对用户对平台进行了有效授权的情况下,经授权的平台能否在原平台上获取内容,是目前商业中关注的重点,一审判决却并未展开论述,回避了本案的重要争议点。判决中提到用户数据可携权,判决当时,法院提出数据可携权缺乏法律依据,但在《个人信息保护法》生效后,四十五条第三款已明确规定了“个人请求将其个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径”,根据该规定,“数据主体应有权从数据控制者处获取个人信息副本,以及请求数据控制者直接将其个人信息传输给另一实体。”在我国法律有相关规定的前提下,数据可携权能否通过经授权平台协助用户抓取前平台内容的方式实现,也是后续可以讨论的问题。

02 个人信息权益保护

个人信息范围的考量因素逐步清晰

【余某某诉查博士案】
2021年3月,广州互联网法院一审判决了余某某诉查博士一案【(2021)粤0192民初928号】,本案中,原告有意出售自己的车辆,在与有意向购买人的洽谈过程中,知悉自己车辆的信息可以在被告App上查询,因为查询记录中有较多维修记录,导致余某某车辆的出售价格受到影响。原告据此认为其个人权益受损,遂对被告提起诉讼。本案争议焦点在于案涉信息是否属于个人信息或隐私,法院认为,历史车况信息,无法与特定自然人关联,与在车辆交易场景下,与其他信息结合关联识别到个人的可能性较低,不能认定为个人信息。而案涉历史车况信息是否为隐私,法院认为,案涉信息的公开并未打扰余某的私生活安宁,历史车况信息不具有私密性,且案涉信息的公开有利于保障消费者的知情权,不应认定为个人隐私。

简评
本案涉及到个人信息及隐私的认定,实践中,在众多相关司法案件中,都会将案涉信息是否属于个人信息或隐私的作为一项前置性考量问题,目前司法实践中,原告在诉讼时,通常会起诉被告同时侵犯其个人信息权益及隐私权,法院会在判决中分别判定。个人信息的认定中,法院的主要区分标准是“识别性”标准,识别的路径包括:1. 识别,从信息到个人(由信息本身的特殊性可以识别出特定自然人,可以是单独的信息,也可以是信息组合);2. 关联,从个人到信息(已知特定自然人,则在该特定自然人活动中产生的信息即为个人信息)。在隐私的认定中,主要包括:1. 自然人的私人生活安宁,法院通常会结合当事人个人生活状态进行考量。2. 自然人不愿为他人知晓的私密空间、私密活动、私密信息;法院将综合考量社会一般合理认知以及有无采取相应保密措施等因素进行判断。

公开个人信息的再利用出现与以往案例不同倾向

【梁某诉汇法网案】
2021年4月,北京四中院二审宣判了梁某诉汇法网一案【(2021)京04民终71号】,本案案情与“启信宝案”【(2019)苏05民终4745号】高度近似,但最终法院的判决结果却大相径庭。本案中,被告经营的汇法正信网站爬取了带有原告信息的判决书在其网站上向公众展示。原告曾要求被告删除,但并未得到妥善的处理,原告认为被告行为侵犯其个人信息权益,故起诉。一审法院认可裁判文书涉及的信息属于个人信息但不属于个人隐私,被告的收集手段合法、利用方式正当,为了保证司法权运行的正当性和公正性,必要要将裁判文书置于社会公众监督之下。对于裁判文书的公开和再利用需要在公共利益和个人信息利益之间衡量,案涉利用方式不侵犯原告的个人信息权益。二审法院着重提出,裁判文书转载再利用时,需着重考虑:来源是否可靠有效,转载发布信息是否真实、无变动,是否引人误解,是否添加了侮辱性、诽谤性内容等因素,在考虑了前述因素后,同样认为被告的利用方式不侵犯原告个人信息权益。

简评
该判决与此前“启信宝案”判决结论产生了较大差异,两案均涉及公开个人信息再利用,此前案件的主要倾向在于认为:个人信息权益的核心在于自然人对其个人信息的知情同意权和对信息传播的控制权,个人信息主体对信息传播控制的人格权益显然高于已经合法公开的个人信息流通所产生的潜在财产权益。但本案更关注裁判文书本身即应置于公众监督之下,转载行为只要保持裁判文书的真实性、可靠性以及不添加侮辱性、诽谤性内容,此类利用方式就不侵犯原告的个人信息权益。本质而言,两案差异点在于个人对公开个人信息再传播的控制权与裁判文书公开制度所体现的利益之间的冲突。

个人信息跨App授权使用需谨慎

【用户诉微视侵犯隐私和个人信息案】
2021年1月,深圳市南山区法院一审判决了用户诉微视侵犯隐私和个人信息案【(2020)粤0305民初825号】(以下称为微视案),原告王某诉称其使用微信账号登录腾讯公司运营的微视App,微视App会获取原告的微信个人信息,包括地区、性别、微信好友关系等,但微视App从未告知原告,原告也从未明确授权,原告认为微视App侵害其隐私及个人信息权益。一审法院由于微信和微视的运营主体为同一主体,被告在符合法律规定的前提下,可以将其开发、运营微信App所积累的用户关系信息在其关联产品中合理使用,微视产品的收集、使用行为不违反必要性原则。对于是否符合合法性、正当性问题,关键在于被告是否保障了用户的知情权、选择权和删除权。基于腾讯相关隐私协议,法院认为被告对原告主张的三类信息的收集使用是会获得用户的明示授权的,微视App对用户微信好友关系的收集使用为可选项,对用户性别、地区等基本信息的收集使用为强制性选项,这是微视App运营模式的选择,具有合理性。且,用户在升级后的微信和微视App实现对微信好友关系授权的撤销,法院认为保障了用户的知情权、选择权和删除权。一审驳回了原告的所有诉请。

近期深圳中院二审判决显示,法院纠正了一审判决中的部分观点,深圳中院认为,微视App强制获取用户地区、性别信息未满足收集用户信息的必要性原则。关于正当性的原则。原告在卸载微视App重新使用同一账号登录微视App并未勾选同意授权的情况下,原告作为用户有合理理由相信其已经不再授权微视App使用微信好友关系,微视App后台仍然将“通知推送”界面中“好友加入微视”默认为开启状态,在后台对已储存的微信好友关系继续使用的行为不符合王某对其授权行为意思后果的“合理预判”,故微视App在原告二次下载微视App未予授权的情况下继续使用其微信好友关系的行为并未获得有效的用户知情同意,不符合正当性原则。法院最终认为,被告行为对个人信息权益造成的损害未达到要求损害赔偿的程度,故改判被告支付原告参加诉讼产生的合理费用。

平台与合作伙伴对个人信息的共享使用应合规

【某电商平台违法处理公民个人信息案】
2021年10月,杭州互联网法院宣判了某大型电商平台违法处理公民个人信息案(以下称为电商平台案),本案被告A公司是某电商平台经营者,被告B公司是该电商平台内置支付软件的运营者。原告吴某是该电商平台的注册用户。原告诉称,其误触了列表中的银行关联功能,得到“暂无银行卡可以绑定”的反馈。原告认为上述反馈出现的原因在于被告向银行泄露原告信息,被告A公司在未经其同意的情况下,将原告真实身份信息传输给被告B公司,严重侵害原告个人信息权益等合法权益,故诉至法院。法院认为本案涉信息为敏感个人信息,A公司对外提供原告个人信息的行为未获得用户的单独同意,也不符合其他法定义务情形,A公司的对外提供行为侵害个人信息权益。B公司收集原告个人信息的行为,同样侵害了原告个人信息权益。

简评
微视案和电商平台案中均涉及了个人信息的共享使用,根据《个人信息保护法》第二十三条的规定“个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意”,但是实践中,如何认定同一个人信息处理者,尤其是关联公司、合作伙伴之间如何认定。有些公司在不同的产品App中使用同样的隐私协议,署名为同一概括的主体,那是否个人信息可以跨App使用,都仍存在一定模糊空间,仍待实践进一步明确规范。在微视案中,一审法院认为“微信和微视的运营主体为同一主体,可以将其开发、运营微信App所积累的用户关系信息在其关联产品中合理使用。”这一观点在北京互联网法院判决的“微信读书案”【(2019)京0491民初16142号】中也予以了认可,但是微信读书案为个人信息的跨App使用限定了更严格的条件,认为要符合用户的合理预期,需获得用户有效的知情同意,深圳市南山区法院的一审判决的认定尺度相比之下是更宽松的,深圳中院予以了一定程度的收紧。

在电商平台案中,杭州互联网法院同样把握了相对严格的标准,认为平台未经许可向内置软件(应属于合作伙伴范畴)提供用户信息,侵犯用户个人信息权益,应获得用户的单独同意。

03趋势展望

关注数据垄断
2021年是反垄断执法较为集中的一年,除了备受关注的抖音诉腾讯的屏蔽封禁案件外,在数据垄断领域,也有新起诉的案件值得关注。如2021年11月,新浪微博因拒绝许可数据被蚁坊公司起诉数据垄断。蚁坊公司认为,国内已不存在能与新浪微博形成有效竞争的微博平台。蚁坊公司称,自己开发的舆情监测分析系统在主管部门及时发现、消除不良信息,净化网络环境的过程中发挥了重要作用。微梦公司拒绝许可其使用新浪微博数据提供政务舆情监测服务,严重损害了社会公共利益,并将严重限制相关市场的竞争及技术创新,构成滥用市场支配地位的垄断行为。目前,该案已经被长沙市中级人民法院正式受理。该案被媒体报道称为我国数据垄断第一案,与数据垄断相关的规则有望在接下来的司法实践中进行检验和建构。

关注数据流通
从根本上讲,数据价值的最大化发掘在于推动数据流通,无论是用户个人信息的共享利用,还是数据抓取,都是数据流通的重要方式。在数据抓取类案件中,法院主要还是会关注被告行为是否突破原告技术保护措施,数据类型是前台公开数据还是后台数据,并且也会着重考虑被告的行为是否对社会和公众具有创新增量。除此之外,也应考虑原告采取的技术措施的级别和效用层次,在后续的司法实践中也应有所区分,对前台技术保护措施较弱的公开数据的保护力度和突破后台较强等级的保护措施应有所区分。在国家深入推进建设大数据要素市场的背景下,推动数据开放、共享、交易是大势所趋,企业的数据应当以何种方式推动哪些数据在企业间及政企间流通,都是值得探讨的问题。

关注个人信息主体权利意识的提升
个人信息保护领域,2021年还有很多新起诉的案件涉及到个人信息保护,体现了个人信息主体权利意识的觉醒和提升,包括未经用户同意推送商业短信,用户主张侵害个人信息及隐私权;并且在很多大楼、居民区仍然强制要求进行人脸识别时,有公民提起诉讼。《个人信息保护法》等相关法律法规也为公民个人信息的强化保护提供了重要的法律武器,企业应更加关注。并且,在涉及到个人信息的流通和利用时,司法实践把握尺度较为严格,企业需要谨慎对待,遵照《个人信息保护法》等相关要求,做好个人信息流通的合规工作,尤其是同一平台企业内跨App的使用以及与合作伙伴之间的信息共享,都也值得司法、行业和理论界共同探索出符合行业实践和法律规范的标准。
(文 / 刘晓春 李梦雪 作者单位:中国社会科学院大学互联网法治研究中心,原载于《中国对外贸易》2022年第2期)


关闭

版权所有:西安交通大学网络安全专题网    电话:82664996
地址:陕西省西安市咸宁西路28号西安交通大学 主楼1703    邮编:710049