今天小編分享的互聯網經驗:數據開放流通中競争風險及其法律分析,歡迎閱讀。
圖片來源 @視覺中國
文 | InternetLawReview,作者 | 範凱、馮蜀蘭、巫培石
中國數據交易市場正在蓬勃發展。上海數據交易所發布的《2023 年中國數據交易市場研究分析報告》顯示,至 2025 年,中國數據交易市場規模有望增至 2046 億元。
數據是數字經濟時代的核心資產。研究分析數據開放流通中的競争風險及合規應對,是确保數據要素市場活動有序進行的基礎,也是前提條件。《互聯網法律評論》今日刊發特約專家、卓緯律師事務所競争與反壟斷部負責合夥人範凱律師及其團隊成員撰寫的文章,就當前數據開放流通中的法律風險風險進行分析,并給出應對建議。
引言
數據是數字經濟時代的關鍵生產要素。對于以互聯網企業為代表的數據市場主體而言,數據是其核心資產。而在市場競争的過程中,對于這種無形資產的争奪也逐漸成為當下競争的重點趨勢。如大家所熟知的 2016 年 " 新浪訴脈脈案 "、2017 年 " 順豐菜鳥之争 "、2021 年抖音訴騰訊濫用市場支配地位等都是典型的對數據無序競争的體現。
該等案例究其實質都是基于數據未開放共享引起的糾紛。事實上,相比于其他财產而言,數據具有獨特的非排他性和非競争性。一般情況下,數據作為一種資源要素,不同企業都可同時對其進行采集和開發利用,同一數據被多個主體同時使用并不會降低數據的價值。因此,數據開放共享不僅不會帶來數據使用價值的下降,反而會促進數據開發利用總價值的提高,創造更大的社會價值。1
數據分類及數據開放流通的可行性
國家層面也注意到互聯網時代數據要素的重要性以及數據競争過程中的一些亂象,對數據制度建設做出了一定規制。
2021 年 11 月 14 日,國家網信辦發布《網絡數據安全管理條例(征求意見稿)》,第七條規定 " 國家推動公共數據開放、共享,促進數據開發利用,并依法對公共數據實施監督管理。國家建立健全數據交易管理制度,明确數據交易機構設立、運行标準,規範數據流通交易行為,确保數據依法有序流通 "。
該條例明确個人可以向數據處理者請求轉移信息,請求轉移個人信息次數明顯超出合理範圍的,數據處理者可以收取合理費用;并規定數據處理者可以對重要數據進行共享、交易、委托處理,但應當征得設區的市級及以上主管部門同意(主管部門不明确的,應當征得設區的市級及以上網信部門同意);并厘清了公共數據的定義,指出公共數據是指 " 國家機關和法律、行政法規授權的具有管理公共事務職能的組織履行公共管理職責或者提供公共服務過程中收集、產生的各類數據,以及其他組織在提供公共服務中收集、產生的涉及公共利益的各類數據 ",明确規定互聯網平台運營者在為國家機關提供服務,參與公共基礎設施、公共服務系統建設運維管理,利用公共資源提供服務過程中收集、產生的數據不得用于其他用途,而且國務院有關部門有權在履行法定職責範圍内調取或者訪問互聯網平台運營者掌握的公共數據、公共信息。
與該條例精神相同,2022 年 12 月 2 日,中共中央、國務院發布《關于構建數據基礎制度更好發揮數據要素作用的意見》,《意見》裡提出要" 探索建立數據產權制度,推動數據產權結構性分置和有序流通 ",并将數據分為公共數據、企業數據、個人數據三類,分别提出了相應數據确權授權機制的要求:
(1)公共數據:要加強匯聚共享和開放開發,強化統籌授權使用和管理,推進互聯互通:推動用于公共治理、公益事業的公共數據有條件無償使用,探索用于產業發展、行業發展的公共數據有條件有償使用;
(2)企業數據:市場主體享有依法依規持有、使用、獲取收益的權益,鼓勵探索企業數據授權使用新模式,發揮國有企業帶頭作用,引導行業龍頭企業、互聯網平台企業發揮帶動作用,促進與中小微企業雙向公平授權,共同合理使用數據,賦能中小微企業數字化轉型;
(3)個人數據:推動數據處理者按照個人授權範圍依法依規采集、持有、托管和使用數據,規範對個人信息的處理活動,不得采取 " 一攬子授權 "、強制同意等方式過度收集個人信息,促進個人信息合理利用。探索由受托者代表個人利益,監督市場主體對個人信息數據進行采集、加工、使用的機制。
該《意見》充分體現了市場化配置的原則,對如何開展數據确權、交易、利用提供了政策指引。
有學者認為《意見》将 " 公共數據 " 與 " 企業數據 " 作為兩種獨立的數據類型,匹配不同的制度予以調整,這表明國家政策層面已經意識到,這兩類數據具有不同屬性不能混為一談,但也需要強調 " 公共數據 " 的概念不應該過分擴張,具有公共屬性的數據,既包括公共數據,也包括非公共數據。例如,在網約車行業,平台企業在提供服務過程中,積累了有關交通路況、司機資質、乘客出行軌迹與偏好等數據信息,此類數據顯然具有公共屬性,但并非公共數據。企業在激烈的市場競争中,投入大量資金、技術等成本而獲得的數據,是企業的核心競争資源。一味将具有公共屬性的數據都納入公共數據可能會引起 " 公地悲劇 "。2
對此,我們也期待最終落地的《網絡數據安全管理條例》能夠從部門規章層面給出解答。但無論最終答案如何,國家層面都賦予了數據開放流通的制度保障。
數據開放流通的限制競争行為分析
鑑于前述分析,數據開放流通有其必要性和可行性,但基于數據的安全需求,數據訪問控制本身是法律法規明确許可的範疇。2019 年 3 月 15 日,國家市場監督管理總局正式發布《信息安全技術網絡安全等級保護基本要求》 ( GB/ T22239-2019 ) ,該标準于 2019 年 12 月 1 日正式實施,其中将網絡安全等級保護按照保護對象在國家安全、經濟建設、社會生活中的重要程度 , 遭到破壞後對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等 , 由低到高劃分為五個安全保護等級并分别提出了不同的數據訪問控制要求。針對企業數據而言,國家層面也只是鼓勵數據流通,并不強制。
因此,若企業對其他主體訪問自身的企業數據進行限制的,是否構成違法還是需要結合相關法律規定來判斷,商業實務中,較為常見的數據限制競争行為主要是數據拒絕交易和數據限定交易。目前我國法律能夠将前述行為納入規制範疇的主要是《反壟斷法》。
(一)數據拒絕交易行為分析
我國《反壟斷法》第 22 條第 1 款第 3 項規定,禁止具有市場支配地位的經營者 " 沒有正當理由,拒絕與交易相對人進行交易 "。對于數據訪問限制如何構成拒絕交易,今年被監管部門叫停的森浦和上海國利之間的排他性合作一案或許可以提供參考。
該案中,上海國利貨币經紀有限公司(以下簡稱 " 上海國利 ")系原中國銀行業監督管理委員會批準設立的第一家貨币經紀公司,是我國批準設立的六家貨币經紀公司之一,國利公司掌握着大量的外匯市場、貨币市場、債券市場和衍生產品經紀行業實時交易數據資源。近年來,國利公司以相關業務行情數據已經獨占許可給寧波森浦信息技術有限公司為由拒絕向其他數據服務商開放數據。而按照銀行采購金融數據服務的管理要求,金融數據服務商需要完全提交五家貨币經紀公司的交易數據,因此銀行最終均以單一來源采購的方式選擇了寧波森浦信息公司。最終,該等行為被舉報至市場監管部門。因反壟斷調查,森浦信息研發的 QB 報價平台在長達半年的時間裡都沒有向用戶提供債市數據報價服務,直到近期才陸續恢復。
結合反壟斷法的相關規定可以看出,上海國利将數據獨占許可給寧波森浦,而其他數據商與寧波森浦為競争關系,因為該獨占許可,導致其他數據商無法從上海國利處購買數據,該行為的本質就是上海國利對其他數據服務商的拒絕交易,當然,該行為觸發反壟斷法規制的前提仍然是需要先界定 " 數據提供企業是否具有市場支配地位 "、" 拒絕數據交易是否構成濫用 " 等問題。盡管該案舉報到現在沒有下文,但結合 2023 年 8 月 30 日國家金融監督管理總局、人民銀行、證監會等五部委發布的《關于規範貨币經紀公司數據服務有關事項的通知》可以管窺蠡測,該通知中明确強調 " 貨币經紀公司不得濫用自身特殊地位,從事數據壟斷行為或與第三方達成排他性數據合作 ",盡管其未使用 " 支配地位 " 一詞,但該等措辭可以看出監管部門對貨币經紀公司不得排他性交易數據的态度。
除卻前述案例中的獨占許可使用外,數據交易中更為常見的訪問控制是數據提供商拒絕向數據需求方開放接口。此前,抖音訴騰訊濫用市場支配地位一案即是如此。
2021 年 2 月 2 日,抖音宣布向北京知識產權法院正式提交訴狀起訴騰訊涉嫌壟斷。抖音主張,自 2018 年 4 月起,騰訊旗下產品微信、QQ 以 " 短視頻整治 " 為由,開始了對抖音等產品長達 3 年的持續封禁和分享限制,限制用戶分享來自抖音的内容,騰訊以 " 短視頻整治 " 為由封禁抖音,自己卻推出大量短視頻產品,系濫用市場支配地位排除、限制競争;另一方面,騰訊将用戶數據作為自己的 " 私產 " 要求其他產品在騰訊的同意下才能使用,既侵害了用戶本人的權利,也嚴重影響行業的發展。而騰訊對此回應稱該等封禁是因抖音通過各種不正當競争方式違規獲取微信用戶個人信息,破壞平台規則,已被法院多個禁令要求立即停止侵權,還存在諸多侵害平台生态和用戶權益的違法違規行為。
綜觀雙方的主張,該訴訟的争議焦點仍然是騰訊是否濫用市場支配地位、拒絕接入抖音是否具有正當理由。該案截至目前沒有公開的進展,今年 4 月份,抖音和騰訊雙方分别發表聲明表示将與對方圍繞長短視頻展開合作。這場 " 世紀大和解 " 是否也意味着前述訴訟不了了之仍不得而知,但截至本文發表日,抖音在微信分享的鏈接仍然無法直接跳轉,需要復制鏈接後返回抖音才可以打開。若前述訴訟仍然在進行中,我們期待最終的判決書能夠為類似的案例樹立一定借鑑意義。
如前分析,數據訪問限制行為較為常見,且将成為數據競争中的主要手段,對其進行規制具有必要性和緊迫性,但目前适用反壟斷法進行規制的門檻較高。對此,有觀點提出可以考慮以 " 必要設施 " 代替市場支配地位作為反壟斷法規制數據訪問限制行為的構成要件:若某類數據由某個網絡平台經營者獨控,其他任何網絡平台經營者無法開發、復制或者通過交易獲得且該類數據沒有替代品,涉及到行業内除掌控該類數據的經營者外其他所有經營者的生死存亡,掌控該類數據的網絡平台經營者提供數據具有技術上的可行性,那麼在這種情況下,該經營者的拒絕交易行為應當被認定為壟斷行為。當然,存在兩種除外情形:請求訪問數據者提出的對價不合理;數據本身不适宜開放。3
該等觀點在今年 3 月發布的《禁止濫用市場支配地位規定》第 16 條中有所體現,該條第一款第五項禁止具有市場支配地位的經營者 " 拒絕交易相對人在生產經營活動中,以合理條件使用其必需設施 ",第二款規定 " 在依據前款第五項認定經營者濫用市場支配地位時,應當綜合考慮以合理的投入另行投資建設或者另行開發建造該設施的可行性、交易相對人有效開展生產經營活動對該設施的依賴程度、該經營者提供該設施的可能性以及對自身生產經營活動造成的影響等因素 "。可見,盡管拒絕交易必要設施仍然需要以具有支配地位為前提,但在認定支配地位時不再局限于市場份額,而是需要綜合考慮交易相對人對該設施的依賴程度以及經營者提供該設施對自身的影響。
該條還規定 " 與交易相對人進行交易将使經營者利益發生不當減損 " 可以成為拒絕交易的正當理由。因此,若數據需求方與數據提供方事實上屬于競争者,對其開放數據會導致經營者利益受損的,該經營者可以拒絕向其提供數據。
(二)數據限定交易行為
除卻較為常見的數據訪問限制以外,數據領網域還可能出現的壟斷行為主要是數據限定交易。我國《反壟斷法》第 22 條第 1 款第 4 項規定,禁止具有市場支配地位的經營者 " 沒有正當理由,限定交易相對人只能與其進行交易或者只能與其指定的經營者進行交易 "。其中,可能出現的形式為,大數據公司要求數據的使用者與其籤訂獨家合作協定,該數據的使用者不得再使用其他數據公司提供的數據服務,從而使得該大數據處理公司獲取壟斷利益。
目前,我國暫無數據企業因實施了數據排他性交易行為而被處罰的案例,主要原因可能在于:
一方面,對于數據需求方而言,數據的全面性和及時性至關重要,若數據提供方限定需求方只能與其交易,而不得與其他數據提供方交易,會導致需求方無法接受,因此,這種交易條件在商業實踐中較為少見。
另一方面,數據型企業的市場支配地位界定困難。市場支配地位的認定,是判定行為主體濫用市場支配地位的基礎工作。但對于數據壟斷行為而言,實施行為的主體為互聯網企業,而這類企業的市場份額的評估要素較為復雜,不能僅從單一的營業收入、用戶規模等來确定,即使互聯網企業營業收入或利潤在相關市場内較低,也無法推定其一定不具備市場支配地位。由于數字經濟的競争激烈,互聯網企業往往通過低價或補貼等手段搶占用戶市場,增加用戶黏性,在用戶消費習慣養成後,再提高服務價格來獲取利潤。此外,市場份額也并不能完全反映這類企業在同類市場中的控制力,過度依賴市場份額指标往往無法衡量互聯網企業的壟斷優勢。且即使互聯網企業短期占據大量市場份額,但如果該市場份額不具有持續性,也難以認定其擁有市場支配地位。這就導致即使存在大數據公司涉嫌實施了數據排他性交易行為,司法實踐也難以認定,最終造成相關案例的缺失。
但案例的缺乏并不代表該等行為不值得關注,若具有市場支配地位的數據企業實施限定交易的行為,仍然會觸發反壟斷法的規制。
數據開放流通中的非法抓取等不正當競争行為
除前述數據限定交易和拒絕交易以外,數據競争中較為常見的不正當競争行為為非法抓取行為。目前,我國法律中僅刑法規定了 " 非法獲取計算機信息系統數據罪 ",但該罪名要求 " 違反國家規定 " 且 " 情節嚴重 ",對于情節不足以構成刑事犯罪的數據抓取行為如何定性,法律法規并無明确具體的規定。
司法層面,我國非法抓取數據行為的典型案例為新浪訴脈脈案。該案中原告新浪微博與被告脈脈公司通過微博平台 Open API(開放應用編程接口)進行合作,雙方曾籤署《開發者協定》,新浪微博授權脈脈公司獲取微博平台上包括用戶名稱、性别、頭像、标籤等相關用戶信息。但是在 2014 年,新浪微博發現脈脈公司的後台調用數據異常,脈脈在授權範圍之外,還抓取、使用了新浪微博用戶的教育信息和職業信息,因此,新浪微博向法院提起不正當競争之訴。審理過程中,一審法院僅以脈脈公司違反誠信原則的概括性條款,認為其構成不正當競争。後續二審法院指出數據獲取企業在通過開放平台數據獲取協定模式獲取個人數據時,應當獲得 " 三重授權 "4,并據此認定脈脈公司在授權範圍外進行數據抓取行為并未獲得平台和用戶授權,脈脈公司的行為達到了非法抓取數據行為的認定标準。
該案被列為 2016 年北京市法院知識產權司法保護十大典型案例,原因在于法院提出了 " 三重授權原則 ",成為後續企業數據獲取民事糾紛審判的重要依據,該原則系對《個人信息保護法》第 23 條 5 規定的具體應用,也是企業在獲取其他企業控制的個人數據時應當遵守的準則。
與之形成對比的,是網域外 2017 年的領英訴 HiQ 案,該案中,雙方并未像新浪微博與脈脈公司一樣籤署協定約定數據使用範圍,而是 HiQ 長期使用 " 爬蟲 " 軟體抓取領英的公開用戶數據來提供招聘信息服務。HiQ 在產業鏈上屬于領英的下遊企業,其提供的招聘信息服務高度依賴于用戶信息,因此,在領英采取技術措施限制 HiQ 爬取其平台上的公開用戶數據後,HiQ 便針對該項禁令提起了訴訟。
該案在美國法院歷經一審、二審、發回重審、再審等程式,最終于 2022 年底以雙方達成和解而告終。值得注意的是,雖然最後的和解結果為 HiQ 不得再抓取領英的公開用戶信息,但是美國法院在一審、二審、再審中均認為從公共利益考慮出發,企業的公開數據被抓取不違反美國任何法律,相反,通過數據共享和利用,可以促進數據經濟發展。最終,迫于公司的經營壓力,HiQ 與領英達成和解,但該 " 和解判決 " 不具有判例法效力,關于未經許可抓取公開網絡數據是否違法的問題并未得到實質解決。
通過上述國内外案例可以看出,目前對于抓取數據行為,國内外基本都将是否取得 " 授權 " 作為判斷違法性的實質标準,但二者判斷的标準不同。新浪訴脈脈案中,脈脈公司未經平台和用戶許可在授權範圍外抓取了微博用戶的教育信息和職業信息,最終被認為構成不正當競争。而 HiQ 訴領英案中,HiQ 抓取的數據是領英平台上的公開用戶信息,大部分法官認為領英并未與用戶籤署協定來規定這些數據僅由領英平台加工、使用,因此 HiQ 的抓取行為不構成違法,法官實際上對用戶的公開數據持 " 未禁止抓取則等同于授權 " 的态度。造成前述案例差異的原因可能在于該等數據是否公開。
因目前法律的缺失,我國 2022 年公布的《反不正當競争法(修訂草案征求意見稿)》中第 18 條新增了對于數據保護的規定,明确 " 經營者不得實施下列行為,不正當獲取或者使用其他經營者的商業數據,損害其他經營者和消費者的合法權益,擾亂市場公平競争秩序:
(一)以盜竊、脅迫、欺詐、電子侵入等方式,破壞技術管理措施,不正當獲取其他經營者的商業數據,不合理地增加其他經營者的運營成本、影響其他經營者的正常經營;
(二)違反約定或者合理、正當的數據抓取協定,獲取和使用他人商業數據,并足以實質性替代其他經營者提供的相關產品或者服務;
(三)披露、轉讓或者使用以不正當手段獲取的其他經營者的商業數據,并足以實質性替代其他經營者提供的相關產品或者服務;
(四)以違反誠實信用和商業道德的其他方式不正當獲取和使用他人商業數據,嚴重損害其他經營者和消費者的合法權益,擾亂市場公平競争秩序。
本法所稱商業數據,是指經營者依法收集、具有商業價值并采取相應技術管理措施的數據。
獲取、使用或者披露與公眾可以無償利用的信息相同的數據,不屬于本條第一款所稱不正當獲取或者使用其他經營者商業數據。"
該條第 1 款第 2 項的規定與前述新浪訴脈脈案的标準相同,要求經營者不得違反約定或數據抓取協定(如 robots 協定6)獲取他人商業數據,但也提出了另一個構成要件:需要抓取數據的主體 " 足以實質性替代 " 被抓取者的產品或服務。這也意味着,若不處于相同市場,抓取行為可能不構成不正當競争。若最終該修訂稿成為定文,或許能夠解決法律層面的缺失問題,統一裁判标準。
四、數據開放流通風險應對及建議
在數字經濟時代,數據成為市場經營者的核心資產之一,為了各市場主體能夠有序參與數據競争,結合我國目前法律規定及執法、司法案例,我們認為企業在進行數據開放流通時應當注意如下幾點:
(一)重視建立健全數據合規管理組織體系和制度體系。
企業開展數據處理活動應當依照法律、法規的規定,建立健全數據合規管理組織體系和數據合規管理制度體系。明确數據合規責任主體,組織開展數據合規教育培訓,加強人力資源考核與保障,強化數據合規意識。
目前,我國已有上海、深圳等部分地區發布了《數據合規指引》,2022 年 1 月 27 日,上海市楊浦區人民檢察院、上海市楊浦區工商業聯合會、上海市信息服務業行業協會,以及上海數據合規與安全產業發展專家工作組聯合發布了《企業數據合規指引》,2023 年 9 月 11 日,深圳市深圳市人民檢察院、深圳市互聯網信息辦公室、深圳市發展和改革委員會、深圳市司法局、深圳數據交易所共同發布了《深圳市企業數據合規指引》,該等指引均詳細列舉了企業進行數據合規可以參照的标準,各企業應當對此類指引予以關注,用以建立健全自身的數據合規體系。
(二)提供數據服務應當符合國家政策、法律法規和行業規範,避免壟斷、不正當競争等風險
結合前文中共中央、國務院發布的《關于構建數據基礎制度更好發揮數據要素作用的意見》,數據開放流通将成為數據經濟的主流趨勢,企業應當響應國家政策,在提供數據服務時應當盡可能全面地關注有關數據的法律法規,如《反壟斷法》、《反不正當競争法》、《網絡安全法》、《電子商務法》、《個人信息保護法》以及在起草過程中的《網絡數據安全管理條例》等,注意防範數據的訪問限制、限定交易等風險。同時,由于司法機關對數據壟斷行為大多采取實質審查模式,數據型企業應當避免機械地适用法條制定合規,避免因不熟悉國家政策、執法司法實踐或行業規範而使公司利益受損。
(三)籤署數據協定時應當明确授權使用範圍,并禁止違約方繼續使用數據
互聯網企業為了保護自身核心數據不被合作公司私自抓取利用,應當明确核心數據的非公開性,在合作公司籤署數據協定時明确對于數據的使用權限,包括數據的使用範圍、使用方式、使用期限,以及對方公司違約使用數據所需承擔的法律責任,通過合規的方式降低核心數據信息洩露的風險。
(四)籤署數據合作協定時盡量避免出現排他性條款
雖然當前數據平台的市場支配地位較難舉證證明,但司法機關仍有适用反法的一般條款進行處罰或者采用 " 必要設施 " 标準跳過支配地位認定的可能性。因此,數據平台在籤署數據合作協定時,應當避免出現含有排他性描述的條款。對于條件完全相同的交易者,不得無正當理由只接受其中一者而拒絕另一者,同時也不能限制數據的使用者 / 提供者選取其他數據合作夥伴的權利。
腳注:
1. 唐要家、唐春晖:《" 數據壟斷 " 的反壟斷監管政策》,《經濟縱橫》2022 年第 5 期,第 31-38 頁。
2. 王錫鋅、王融:《公共數據概念的擴張及其檢讨》,《華東政法大學學報》2023 年第 4 期;
3. 李世佳:《數據訪問限制行為的拒絕交易認定——以必要設施取代市場支配地位作為規制的前端要件》,《科技與法律 ( 中英文 ) 》2021 年第 2 期,第 22-31 頁。
4. 第一重授權:數據主體授權數據持有企業(例如新浪微博)共享其數據;第二重授權:數據持有企業授權數據獲取企業(例如脈脈)獲取數據;第三重授權:數據主體對數據獲取企業的授權,允許其處理、控制和使用其數據。
5.《個人信息保護法》第 23 條:" 個人信息處理者向其他個人信息處理者提供其處理的個人信息的,應當向個人告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類,并取得個人的單獨同意。接收方應當在上述處理目的、處理方式和個人信息的種類等範圍内處理個人信息。接收方變更原先的處理目的、處理方式的,應當依照本法規定重新取得個人同意。"
6.2012 年 11 月 1 日,中國互聯網協會在北京舉行《互聯網搜索引擎服務自律公約》 ( 以下簡稱 " 公約 " ) 籤約儀式,百度、360 等 12 家搜索引擎服務企業現場籤署了公約。公約規定,各籤約方遵循 robots 協定。該公約第 7 條規定 " 遵循國際通行的行業慣例與商業規則,遵守機器人協定 ( robots 協定 ) 。機器人協定 ( robots 協定 ) 是指互聯網站所有者使用 robots.txt 檔案,向網絡機器人 ( Web robots ) 給出網站指令的協定。網絡機器人 ( Web robots 也叫網絡遊客、爬蟲程式、蜘蛛程式 ) ,是自動爬行網絡的程式。搜索引擎利用這些程式索引網站内容,垃圾郵件發送者使用網絡機器人掃描獲取電子郵件地址,網絡機器人還有很多其他用途。"