大数据知识产权保护与立法:挑战与应对
2018-09-10何隽
何隽
引 言
大数据产业是对数量巨大、来源分散、格式多样的数据进行釆集、存储和关联分析,从中发现新知识、创造新价值、提升新能力的新一代信息技术和服务业态。近年,全球大数据创业企业和开展大数据业务的企业数量激增,产品和服务数量也随之增长。要实现并深化大数据在各行业的创新应用,就必须有一套完善的顶层设计和规划。
本文将对大数据知识产权保护和立法展开系统性研究,主要分为两个部分:首先,厘清大数据面临的知识产权问题,特别是大数据理念及数据处理技术给现有知识产权法带来的挑战;其次,对大数据技术引发的新的权利类型的诉求在法律层面予以回应,这其中不仅考虑要如何适应产业发展的需求,还要考虑如何与现有法律制度相匹配。
大数据面临的知识产权挑战
其一,大数据理念构建数据库面临缺乏独创性。根据《著作权法》规定的作品形式,作为大数据载体的数据库,可以作为汇编作品而受到保护。作为著作权客体的数据库,要求在内容的选择或编排上体现独创性;然而,大数据强调的是数据的量,注重的是数据的混杂性,而非对数据的选择或编排。著作权法保护独创性作品的价值取向,与大数据对数据量的追求,两者之间存在一定的偏差。
因此,著作权法只能在有限的范围内保护形式上能够达到汇编作品独创性要求的数据库,而众多追求数据完整性的数据库则难以获得著作权保护。也就是说,基于大数据理念的数据集合很难满足独创性要求,因而不能成为著作权法所保护的客体。
其二,数据采集网络爬虫引发著作权侵权风险。在数据采集过程中经常会使用网络爬虫。网络爬虫,又称网络机器人,是按照一定规则,自动抓取互联网信息的程序或者脚本。通常情况下,网站都会设置网络爬虫排除标准,又称Robots协议,网站通过Robots协议告知搜索引擎哪些页面可以抓取,哪些页面不能抓取。但是,Robots协议本身没有强制力,只能起到警示牌的作用,如果网站希望能够切实阻拦不受欢迎的爬虫,还会设置其他的配套监控措施。反监控策略则模拟正常操作行为,针对一定时间内单个IP地址访问次数限制,釆用大量不规则代理IP来模拟;针对一定时间内单账号访问次数限制,采用大量行为正常的账号交替进行。通过IP地址和账号的访问策略控制,结合网络爬虫的反馈,由机器自动学习调整,或者由管理员来进行调整,实现不间断抓取数据。因此,反监控策略存在违背被访问网站意志抓取数据的可能,即此类抓取行为存在著作权侵权风险。
针对是否侵犯网站权利人的著作权或信息网络传播权,有两点值得关注:第一,被抓取的网页是否具有独创性,是否属于著作权法保护的客体。通常来说,网页版式的著作权由互联网公司所有,网页刊载的内容则可能属于其他著作权人。第二,如果被爬虫抓取的内容具有独创性,则需要进一步分析是否存在对著作权的限制。通常在搜索引擎通过爬虫抓取到相关内容后,会以网页摘要、网页快照、缩略图、搜索链接等形式向用户呈现搜索结果。网页摘要有字数限制,不会对完整的网页内容形成替代,通常不会影响对网页的正常访问,因此不会侵害著作权。网页快照和缩略图是自动存储在搜索引擎服务器中的历史网页,用户可以直接从搜索引擎服务器中获取,在可以实质性替代网页内容时,构成侵犯作品的信息网络传播权。对于搜索链接,根据我国司法实践中通行的服务器标准,提供搜索链接并不构成信息网络传播权中的“提供”行为,因此不构成侵权。
其三,数据传输存储带来技术标准和著作权问题。在数据传输存储过程中涉及数据传输技术及协议的技术标准问题。不论是IP骨干网的传输还是数据中心的传输,其核心都在于两点:一是,传输介质的技术,二是主体之间的传输协议。前者通过改进技术来获取更优的数据传输质量,此层面上对技术的知识产权保护主要涉及专利和技术秘密。后者是通过协议标准的更新换代来提高数据传输质量,此时最为关键的是对制定新协议标准的控制权。
云计算等数据存储服务也可能带来著作权侵权问题,特别是涉及内容副本或内容缓存的侵权问题。在美国Cablevision案中,对云端服务提供者的著作权责任进行了界定。有线电视供应商Cablevision公司推出“远程存储数字视频录像机”(RS-DVR),用户可以通过该系统对选定节目进行录制和回放。节目版权方因此起诉Cablevision公司侵犯其作品的复制权和公开表演权。
针对服务器缓存区存储侵犯复制权的指控,一审美国纽约南区联邦地区法院认为,被告通过缓存存取原告节目的信息流构成未经授权的复制行为。被告上诉后,美国联邦第二巡回上诉法院认为,尽管被告服务器缓存中确实呈现出原告的作品,但是持續时间非常短(该案中为1.2秒),因此并不符合美国《版权法》中对侵犯复制权的规定。该案对云端服务提供者的著作权侵权判定具有借鉴价值。美国巡回上诉法院认为载入数据可能导致但并不必然会导致复制作品,是否构成侵权还需要考虑时间因素,但是法院没有规定将该案中1.2秒作为此后类似案件中判断时间因素的基准。
其四,未经授权获取用户数据构成不正当竞争。社交网络、网盘、位置服务等新型信息发布方式使得数据从简单的信息开始转变为一种资源,关系到个人信息保护和网络安全。网络运营者是网络建设与运行的关键参与者,在保障网络安全中具有优势和基础性作用,应当遵循合法、正当、必要的原则,尽到网络运营者的管理义务。第三方应用开发者作为网络建设与运行的重要参与者,在收集、使用个人信息时,应当遵循诚实信用原则及公认的商业道德,取得用户同意并经网络运营者授权后合法获取、使用信息。
新浪微博诉脉脉交友软件不正当竞争纠纷案就是数据产业反不正当竞争的典型案例。涉案的脉脉软件是一款“基于移动端的人脉社交应用”,通过分析用户的新浪微博和通讯录数据,帮助发现新朋友。原告微梦公司是新浪微博的经营人,被告淘友技术公司、淘友科技公司共同经营脉脉软件及脉脉网站。原被告曾签订《开发者协议》并通过微博平台Open API进行合作。根据协议,被告仅为普通用户,可以获得新浪微博用户的ID头像、好友关系、标签、性别,无法获得新浪微博用户的职业和教育信息,但被告违反协议,将大量未注册为脉脉用户的新浪微博用户的相关信息展示在脉脉软件中,且双方合作终止后,被告仍继续上述行为。
该案经北京市海淀区法院和北京知识产权法院两审,2016年12月作出终审判决。法院经审理认为:第一,被告获取新浪微博信息的行为存在主观过错,违背了在Open API开发合作模式中,第三方通过Open API获取用户信息时应坚持“用户授权”+“平台授权”的双重授权原则,违反了诚实信用原则和互联网中的商业道德,因此被告获取并利用新浪微博用户信息的行为不具有正当性。第二,被告未经新浪微博用户的同意及新浪微博的授权,获取、使用脉脉用户手机通讯录中非脉脉用户联系人与新浪微博用户对应关系的行为,违反了诚实信用原则及公认的商業道德,破坏了Open API的运行规则,损害了互联网行业合理有序公平的市场竞争秩序,一定程度上损害了原告的竞争优势及商业资源,因此,被告展示对应关系的行为构成不正当竞争行为。
其五,大数据技术增加商业秘密认定的不确定性。商业秘密在表现形态上是一种信息,大数据技术增加了商业秘密认定的不确定性,涉及保护客体的范围大小、如何确定数据的非公开性,以及对是否釆取合理保密措施的认定。
第一,如何界定商业秘密的客体?大数据时代,企业通过客户端、网页、应用程序联系到庞大的用户群,他们既是信息的接受者、传播者,也是现实或潜在的消费者。对用户数据的挖掘分析,可用于改善现有服务,发掘新的赢利点,创造利润。而获取用户数据需要投入资本、技术和人力。那么,是不是所有的用户数据都可以作为商业秘密加以保护?如果将其全部纳入商业秘密保护范围,会导致商业秘密的客体泛化。
第二,如何确定数据的非公开性?越来越多的商业信息、个人信息在移动客户端、社交软件、电子邮件和浏览器中留下痕迹,这些信息在大数据技术条件下变得易于获取且难以去除标签,甚至在注册使用网络平台、应用程序时,用户在不经意间已经授权网站和客户端获取这些信息。因此,数据的秘密性大打折扣,加之数据获取途径增多,数据分析挖掘工具性能增强,由此导致认定商业秘密非公开性的难度和分歧也随之增加。
第三,如何认定采取合理的保密措施?司法实践中通常要求,只有采取了合理保护措施的信息才能被当作商业秘密,且是否采取合理保护措施的衡量标准需要与其商业价值相适应。网络存储和云技术的发展导致对相关认定产生分歧。比如,权利人将商业秘密存放于云端或者网盘并设置密码,是否属于对数据采取了合理措施?以技术标准划分,存储空间可以分为私有云和公有云,VIP付费网盘和普通免费网盘。因此,有观点认为,如果将数据存放在私有云,云端处于权利人支配之下,且用户设置密码,属于合理的保护措施;如果是公有云,则不然。以意图表示划分,则有观点认为,不论公有云或私有云,VIP付费网盘或普通免费网盘,只要他人能够意识到存在保密措施,比如需要输入用户名和密码才能访问,则应被认为釆取了合理的措施。
大数据的立法问题及应对建议
其一,是否将数据信息纳入知识产权客体?
在立法层面,立法者对是否将数据信息纳入知识产权客体的态度发生过转变。2016年7月《民法总则(草案)》征求意见稿在第一百零八条第二款第八项中,将数据信息纳入知识产权的客体范围,使之成为和作品、商标、专利、集成电路布图设计、植物新品种等知识产权客体中的一类。然而,3个月之后,同年10月《民法总则(草案)》第二次审议稿中,数据信息就从知识产权客体中删除。2017年3月15日颁布的《民法总则》也并未再将数据信息纳入知识产权的客体范畴。
《民法总则》将数据信息从知识产权客体中删除的原因之一是对可能侵害个人权利的担忧。数据信息中包含可识别个人身份和行为的信息,如果将其纳入到知识产权客体范畴,会出现数据釆集者、数据开发者代替用户成为数据权利人的情况,从而可能导致用户的个人信息和隐私被网络服务提供者以知识产权加以控制。基于这种担忧,立法釆取了谨慎态度。
学界对是否将数据信息纳入知识产权客体也存在争议。有学者认为,数据信息的本质属性是否为智慧成果,数据信息的内容是否具有财产价值和人身价值并不确定,因此,用知识产权保护数据信息在正当性、科学性和可操作性方面都存在疑问。也有学者认为应当将数据信息纳入知识产权客体,这将对中国数据产业的发展产生巨大的推动力,同时对世界有关立法发挥引领性作用。
作为知识产权客体的智力成果,一般均表现为一定的信息,但并不是所有的信息都是知识产权客体。建议对数据信息划分为两个层次:一是未经处理针对个体的数据信息,此类数据信息涉及个人的活动方式、活动空间、活动内容,与个人相联系,具有明显的身份特征,通过此类数据信息可以定位到个人。因此,应将此类数据信息纳入个人隐私权的保护范畴。二是经过处理后的数据信息,此类数据信息是通过大数据技术对采集的海量数据经过清洗、分析、挖掘等一系列的数据处理加工后得到的数据信息。对于第二层次经过处理后的数据信息,已经不再具有原生数据的个人身份因素,同时经过分析、挖掘后得到的数据信息再经过结构性组合,形成了具有创造性的智力成果,可以纳入知识产权客体。将此类数据信息作为独立的知识产权客体加以保护,可以避免大数据产业在传统知识产权框架下面临的困境,如基于大数据理念构建的数据库因缺乏独创性不能享受著作权保护;或由于对数据信息是否具有商业价值难有定论而无法作为商业秘密保护。
其二,是否将被遗忘权引入中国法?
区别于纸张记录的信息,在电子介质或云端存储的数字化信息,除非人工干预,否则永远不会被遗忘,某些已经公开的信息已经过时,但却会给当事人带来不利影响,由此就引发了“被遗忘权”问题。
2014年谷歌西班牙案中,被遗忘权第一次出现在司法实践中。1998年,西班牙《先锋报》刊登了西班牙公民冈萨雷斯因无力偿还债务而遭拍卖物业的公告。2009年,冈萨雷斯发现谷歌搜索收录了该公告,并指向《先锋报》报道的链接。冈萨雷斯认为这些信息已经过去多年,不再有相关性,要求谷歌删除其链接。欧盟法院根据《数据保护指令》认为,谷歌属于数据处理者和控制者,其对搜索结果负有注意义务。该案中,带有冈萨雷斯个人数据的新闻报道是“不必要、不相关和已过时的”,因此,欧盟法院要求谷歌在搜索引擎中删除链接,保证通过谷歌的搜索服务无法打开该链接。
2016年欧盟《通用数据保护条例》在《数据保护指令》的基础上,明确规定了被遗忘权的实质性内容,并将删除对象从搜索服务提供商进一步扩展到存储服务提供商和缓存服务提供商等所有的数据控制者,并将删除的定义从切断搜索结果链接进一步扩展到直接删除源网站的数据。被遗忘权的确立增加了搜索引擎的审查和注意义务,谷歌甚至专门成立了一支經过培训的审核团队,在具体执行上,谷歌采用关键词、域名、访问地址等技术措施,将被遗忘权的影响范围降到最低,甚至可以通过优化检索策略来加以规避。另一方面,为了避免相关诉讼,谷歌将某些负面报道的链接主动删除,由此也引发了“选择性遗忘”的争议。
2015年,国内也出现第一例与被遗忘权相关的案件。原告任甲玉曾在陶氏生物科技公司从事教育培训工作并于2014年离职,但直至2015年起诉前,在百度搜索“任甲玉”,搜索结果的相关搜索处仍显示“陶氏教育任甲玉”等关键词。同时,搜索“陶氏教育”会显示“陶氏教育骗局”等相关搜索词条。任甲玉认为由于百度搜索将其姓名与业界口碑不好的陶氏教育相关联,导致其多次丢失工作机会与客户,因此要求百度断开其姓名与陶氏教育的关联性搜索链接。该案经北京市海淀区法院和北京市一中院两审,2015年12月作出终审判决,法院驳回了原告的全部诉讼请求。对于原告主张被遗忘权,法院认为,我国现行法律中没有对被遗忘权的规定,也没有被遗忘权的权利类型。因此,原告依据一般人格权主张被遗忘权属于一种人格利益,就必须证明其在该案中的正当性和应予保护的必要性,但原告未能加以证明,因此,法院对原告的诉讼请求没有给予支持。
从欧盟适用被遗忘权的效果来看,直接在中国法律中引入被遗忘权并不是解决相关争议的最佳途径。同时,即使适用被遗忘权也必须进行严格的适用情境测试,需要考虑产生争议的数据信息是否属于私人性质;是否涉及公共利益,数据主体是否是公众人物;数据是否是公共记录的一部分,数据主体是否受到了实质性的伤害以及数据信息的时效性等诸多因素。
因此,当务之急是在现有法律体系框架内寻找解决方案。事实上,妥善利用《侵权责任法》的“通知-删除规则”和《网络安全法》赋予个人的要求更正权就可以解决被遗忘权的问题。《侵权责任法》第三十六条规定,网络用户、网络服务提供者利用网络侵害他人民事权益的,应当承担侵权责任。该条进一步明确了网络侵权的“通知-删除”规则,即网络用户利用网络服务实施侵权行为的,被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。根据这一规定,只要存在侵权行为,无论是侵犯知识产权,还是侵犯当事人姓名权、名誉权、隐私权等法定权利,权利人都可以据此要求网络服务提供者删除、屏蔽相关侵权信息。2017年6月起施行的《网络安全法》进一步扩大了个人信息的范围,即便是碎片化的网络信息,只要与其他信息结合后能识别出特定主体的身份,都属于个人信息范畴。该法第四十三条规定,个人发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当釆取措施予以删除或者更正。
因此,通过要求网络服务提供者履行《侵权责任法》和《网络安全法》规定的删除侵权信息或错误信息的义务,基本可以达到适用被遗忘权的效果。后续的关键是如何在个案中解释和确定哪些信息属于侵权信息或错误信息,这不仅要求对法定权利的准确理解,更涉及如何在个人权利和公共利益之间寻求平衡。
基金项目:本文为国家知识产权局软科学项目“大数据产业知识产权保护研究”(项目编号:SS16-C-29)的部分研究成果。
(来源:《中国发明与专利》2018年03期)
(作者单位:清华大学深圳研究生院)
