一、问题的提出
技术变革不断催生新的财产形式,当前人类正由“小数据”向“大数据”时代升级,传感器、智能设备制造的进步,使得企业可以数据收集、存储海量数据;大数据算法、机器学习等技术进步使得人类可以在短时间内获取、分析大量非结构化数据。这使得大数据集合产生了独立的利用和交易价值,成为一类新的独立生产要素。在法律保护层面,这也催生了不同制度需求:
第一,数据安全法益保障需求,“数据安全”指的是“通过采取必要措施,确保数据处于有效保护和合法利用的状态”。伴随着经济社会生活的数字化转型,数据成为个人参与经济社会生活、企业开展经营活动、社会公共组织以及国家机关履行职能的前提,有必要保护个人、组织的数据安全,即保障数据主体(其不仅仅包括数据生成者,也包括数据存储和利用者)对数据占有、控制和利用状态的稳定,确保数据的机密性、可用性和完整性,防止任何个人或组织未经授权获取、利用和篡改数据内容。因此,2021年6月10日,第13届全国人大第29次会议通过了《数据安全法》,作为我国数据领域第一部专门立法,系统地构建起了我国数据安全制度。《数据安全法》不仅具有维护国家安全、公共利益的公法目的,同时具有保护私人权益的私法功能,其第1条规定,数据安全保护旨在“维护国家主权、安全和发展利益”和“促进数据开发利用,保护公民、组织的合法权益”。因此,除了建立数据分类分级保护机制、数据安全风险评估、报告、信息共享、监测预警机制、数据安全应急处置机制、数据安全审查制度等行政管理机制之外,其第32条还确立了数据处理者一般性的“数据安全保护义务”,规定“任何组织、个人收集数据,必须采取合法、正当的方式,不得窃取或者以其他非法方式获取数据”,这明确了民事主体数据安全法益不受不法侵害的基础性规范,但该条对一般民事主体数据安全保护仅作出了原则和宣示性规定,而缺乏具体适用规则,何为“合法、正当”以及“窃取或者以其他非法方式获取”都未明确,也并未规定违反该条的责任承担方式,仍然有待作出进一步细化解释或者链接其他法律适用。
第二,企业数据财产利益的保障。虽然技术发展赋予了大数据集合独特的利用和交易价值,但数据具有一般信息的公共物品特性,在现行立法缺乏对其产权保护的前提下,存在数据生产、交易市场失灵的风险:一方面,大数据具有体量庞大、类型多样、快速变化、低价值密度的特点,导致大数据经济体现出一定的规模经济、范围经济的特点,即企业必须投资建立一定的数据量规模和范围才能获得实质性的竞争力,从而产生较高的沉没成本;另一方面,数据具有一般信息的非竞争、非排他和非易耗的特征,对其进行复制的边际成本很低。如果法律上缺乏对于大数据集合的恰当定位和保护,竞争对手可以轻松获取和复制数据。这将导致两方面结果,其一,对必须公开才能利用的数据,将抑制企业在该领域的投资积极性甚至出现市场失灵;其二,对企业可以隐匿加以利用的数据,企业可能为了避免数据落入公有领域,将对数据严密保护并避免交易而抑制数据的流动和再利用。因此,有必要以法律之力保障企业数据之上的投资利益,从而恢复市场的资源配置功能。由于传统民法或知识产权法体系都难以对大数据集合进行恰当定位和保护,司法实践主要通过反不正当竞争法一般条款调整大数据纠纷,但存在法律适用标准模糊、不可预见、利益平衡机制不明确等缺陷。借鉴信息财产和有体财产保护的既有经验,理论上认为存在界定数据归属、设立排他性权利的现实需要,对应地提出了数据财产权、新类型知识产权以及完善反不正当竞争法保护等制度模型。立法实践对设置新的财产权类型也进行了一定探索:2016年7月《民法总则(草案)》征求意见稿在第108条第2款第8项中,将数据信息纳入知识产权的客体范围,使之成为和作品、商标、专利等知识产权客体中的一类,但正式颁布的《民法总则》最终删除该项,未来数据财产法益应如何保护有待立法作出专门规定。
关于数据财产保护制度与数据安全保护制度保护的探讨虽然看似独立,两种法益保护彼此关联、密不可分。一般而言,企业数据主要应用于生产经营活动,侵害企业数据安全的行为,如未经允许获取窃取、利用、毁损他人数据的行为,主要体现为对企业数据财产利益的损害,如果在数据安全制度中禁止他人未经授权的数据获取及后续利用行为,则至少可以在一定程度上规制他人的“搭便车”行为而纠正市场失灵;同样,如果在数据之上设置一项排他性权利,数据主体理论上可以通过排他性权利的行使而实现对数据安全的保障。因此,对企业数据财产法益与数据安全法益的保障面临着两种制度的协调和选择问题。如前所述,关于数据财产利益保障的制度路径仍处于争论和探索之中,《数据安全法》虽规定了对他人数据安全利益的保障,却仅作为概括和宣示性条款,有待进行具体可操作性的制度完善。具体而言,第32条规定任何组织或个人“不得窃取或者以其他非法方式获取数据”,在民事立法就数据产权归属以及保护边界不明确的前提下,何为“窃取”或“其他非法方式获取”立法并未真正厘清,需要在未来法律实施中加以解决。理论上可存在两种路径:一是将该条款仅作为引致条款,在民法或知识产权法上明确数据的产权归属和保护边界,何为数据“窃取”或“其他非法方式获取”则应根据数据保护专门立法加以判定;二是未来以法律解释的方式对《数据安全法》“窃取”或“其他非法方式获取”的内涵直接加以界定,明确他人的数据安全保护义务或明确禁止对他人数据采取的不法行为,在此情形下,是否已经足够对企业数据财产利益提供保障,以及仍有必要再构建独立的数据财产保护制度,有待作出进一步的系统评估。因此,《数据安全法》第32条尚处在“十字路口”,以上两种路径如何选择,取决于数据财产法益保护制度如何构建,以及两种法益能否得到恰当协调。
就以上两种制度路径选择,在当前我国尚缺乏数据治理和制度建设经验的前提下,可寻求比较法实践作为参考。数据保护不仅仅是国内法议题,伴随着数字贸易逐渐成为全球贸易新的重点,其也成为了新一轮国际贸易规则制定的焦点问题,国际交往需求和国家利益保障也是大数据保护制度构建需考量的重要维度。2020年9月,中国向世界各国提出了《全球数据安全倡议》;11月22日,习近平总书记出席二十国集团领导人第十五次峰会提出“中方愿同各方探讨并制定全球治理规则”。我国大数据保护路径选择,应考量和顺应全球大数据保护立法趋势,以促进全球共识之达成,乃至引领全球立法趋势,从而保护我国在全球数字贸易中的核心利益。故有必要考察比较法上大数据保护的制度逻辑和保护模式,而为我国提供借鉴和启示。
在全球范围内,美国在大数据分析技术和商业应用领域发展较早,其在数据保护领域进行了早期制度探索。国内学者在数据保护制度探讨和建构时频频诉诸美国法寻求借鉴,但目前缺乏对美国法制度模式和保护逻辑的系统论述。因此,本文主要通过比较法的方法,对于美国法大数据保护实践进行集中考察和经验提炼,从而为我国大数据保护的路径选择提供参考和借鉴。具体而言,与我国在数字经济发展政策需求方面相类似,美国一直将大数据作为未来发展重点战略之一,美国联邦政府先后发布《大数据研发倡议》《联邦大数据研发战略计划》等战略性文件,要求实施国家大数据战略,《联邦数据战略与2020年行动计划》规划了美国联邦政府未来十年的数据愿景和行动计划,确定“将数据作为战略性资源”,提出了加强数据保护、促进数据获取和共享等具体任务。法律制度建设是数据保护、获取和共享的基础,面对大数据保护的现实问题和纠纷,与我国相比,美国法上并没有专门立法或者设立数据财产权的强烈诉求,而是通过既有制度满足对数据法益保护的制度需求。其可分为从知识产权法保护、普通法保护两方面:知识产权法对于部分大数据保护提供了理论上的可能性和片段化保护,在实践中却并未被广泛援引和适用;普通法上,数据爬取早期可通过侵害动产(Trespass to chattels)诉由加以规制,但伴随着判例法中损害证明责任趋于严格而逐渐被废弃;类比于普通法上侵入土地(Trespass to Land)制度,美国法上构建起了其网络安全制度,对计算机入侵(Computer Trespass)行为加以规制,对数据财产利益也纳入网络安全法制下加以保护。藉由对美国法大数据保护制度探讨和经验提炼,本文以下将试图为我国大数据保护路径选择,以及数据财产法益与数据安全法益保障的协调方式提供建议。
二、大数据的知识产权法保护
“数据”,《数据安全法》第3条第1款将其定义为“任何以电子或其他方式对信息的记录”,即信息的机器可读形式。所谓“大数据”(Big Data),指的是以高容量、多样性、高速率为特征的大规模数据集合,其本质上仍然是一种信息的体现形式。知识产权的客体是信息,相较于传统有体财产,无体性的信息财产主要可通过知识产权制度加以保护。故对新出现的大数据集合,首先可以通过知识产权制度加以保护。
事实上,“数据”在知识产权领域并非全新的信息客体形式,在上世纪计算机技术出现之后,知识产权法即对于数据库的保护进行了广泛的探讨。数据库指的是按照事先预定好的关系模型收集、存储收集而形成的数据集合,其相对于大数据虽然具有结构化的特性,但本质上都是作为一定数量累积的数据集合,美国法对大数据集合的知识产权法保护可能性可通过传统数据库保护的路径进行检视。在20世纪90年代,伴随着电子数据库的出现,欧盟为建立“强大的数据库产业”而制定了《数据库保护指令》,率先在全球范围内对付出实质性投资生成的数据库赋予特别权利(Sui Generis Right)保护,基于此,美国也一直存在对数据库保护特别立法的建议,主张按照反不正当竞争法上的盗用侵权原则,在数据库上构建一种排他性财产权保护,1996-2004年间多个立法议案被提交国会,由于担忧对事实性数据提供财产权保护可能对市场竞争和公共信息获取的负面影响,专门立法的方案均未通过。在大数据时代,欧盟委员会进一步提出了一项数据生产者对其机器生成的非个人数据的一项财产性权利,从而保护数据生产者投资不受不当侵害。在美国法上,由于担忧在数据之上设置一项排他性财产权将带来的潜在社会成本和风险,“数据生产者权利”(Data Producer’s right)或者类似于数据库特别权利的数据财产权再次遭到拒绝。在美国知识产权法上,类似于传统数据库,大数据集合可通过版权法、盗用侵权以及商业秘密制度获得部分保护,却存在着较多限制,导致其并未成为保护企业数据财产利益的一般性制度。现分别检讨如下:
(一) 版权法保护
大数据集合首先可寻求版权法上的保护。版权法体系注重对作品的经济利用,独创性要求低于作者权体系下“作者人格”或者“作者精神产物”的标准,作为版权法体系的代表性国家,美国长期以来奉行“额头流汗”理论,只要作者独立创作并付出了劳动和技巧,其表达即可构成作品获得保护。对在汇编作品,只要汇编者在收集相关事实、数据或资料的过程中付出劳动和技巧,即可以获得版权保护。但以Feist案为转折,美国版权法上的独创性标准由“额头流汗”向“最低限度的创造性”的转变,传统数据库如果其数据的选择、协调、编排只有具有“最低限度的创造性”才可以获得保护,以客户姓名字母顺序编排的电话号码簿等单纯事实信息的汇编由于不具有独创性而无法获得版权法上的保护。但“最低限度的创造性”标准仍然低于作者权体系下“作者精神产物”的要求,在数据库制作过程中,如果对于数据的选择、编排和整理具有一定的独创性因素,则可以获得版权法上的保护。然而,大数据集合又区别于传统数据库,其具有典型的非结构化的特点,收集过程具有一定的自动性和机械性,大多数属于单纯事实性汇编而难以作为具有独创性的作品而加以保护。此外,版权法对于数据集合的保护仅及于具有独创性的数据呈现方式而非数据内容本身,难以排除他人对数据内容的不当利用,而无法实现保护数据收集者投资的目的,导致了版权保护在美国大数据保护司法实践中并未成为广泛选择的制度选项。
(二)盗用侵权
对大数据集合,还可通过反不正当竞争法中的盗用侵权规则加以保护,我国学者也有在借鉴美国法上的盗用侵权规则在《反不正当竞争法》中引入盗用条款调整数据纠纷的建议,然而,盗用侵权的适用在大数据领域却受严格条件限制。
具体而言,盗用侵权规则可追溯至1918年 International News Service v.Associated Press案,在该案中,美国联邦最高法院首次提出了盗用侵权规则,其涉及版权法保护之外但付出实质性投资收集的新闻信息如何避免被他人不当利用的问题,联邦最高法院基于防止“不劳而获”的正义良知而确立了对新闻信息的“准财产权”,美国联邦最高法院认为:“在衡平法庭上,当涉及到不正当竞争问题时,如果原告花费实质性成本正当获得的东西能够以实质性利润正当销售,盗用了这种东西的竞争对手为自己的利益和损害原告的目的而对其进行处分,就不能判决这种东西太难以捉摸或易于消失以至于不认为是财产。它具有判定竞争对手对它的盗用由于违背正义良知而构成不正当竞争所需要的全部财产属性。” 该判例作出后,下级法院对该原则的适用产生了广泛争议,不同州法院对此也持不同态度,例如,纽约州、加利福尼亚州、佛罗里达州迅速采纳该规则,马萨诸塞州、伊利诺伊州等最初否决而转向接受,多个州法院完全拒绝遵循。就该规则也可作出不同解释:如威斯康星州最高法院对此采取了宽泛解释,认为只要:(1)在信息生产过程中花费时间、劳动、金钱;(2)双方存在竞争关系;(3)对原告造成商业损害即构成盗用侵权。该解释类似于我国法院在适用《反不正当竞争法》一般条款时对“商业道德”的引用,存在着极强的劳动财产权的痕迹,有可能在知识产权制度之外赋予事实性信息的严格保护,第一个投入实质性资源开发特定产品的人(无论其是否具有创造性)将对其享有独占权,直到榨取全部商业价值为止,其将造成一种无限拓展的、永久的知识产权形式。此外,有的法院对该规则作出了更狭窄的限定解释,如在 Cheney Bros.v.Doris Silk案中,第二巡回法院将其严格限定在与该案事实实质相似的情形。
该判例颁布后不久,联邦最高法院先后出台判例废除了其在联邦层面的适用,并限制了其在州法上的适用范围:1938年,在Erie Railroad v.Tompkins案中,美国联邦最高法院废除了联邦普通法也即废除了联邦层面的盗用规则,其提出美国没有独立的联邦普通法,而普通法在每一个州都是一个独立的实体,由于International News Service v.Associated Press案即联邦判决,各州法院可将其置之不理,而不再具有任何拘束力。此后,盗用侵权规则实质上仅存在于有限的州层面的司法实践中。在州法层面,1964年以后,联邦最高法院在Sears, Roebuck & Co.v.Stiffel Co.案中提出了联邦先占规则(Federal Pre-Emption)限制了州法上盗用侵权的适用范围。根据先占规则,如果知识产权法已经对规定的客体进行调整,原告就不能再依靠盗用侵权,除非其诉讼请求涉及到某种附加要素的主张,这种附加要素超出了证明违反相关知识产权立法所需要的要素范围。根据联邦先占规则,对不受版权法保护的信息集合本身不能适用盗用侵权,除非涉及到不法行为的附加要素主张。如在 NBA v.Motorola案中,美国第三巡回法院认定盗用侵权原则的适用应限定在与 International News Service v.Associated Press案情相似的较窄领域,一般要求:(1)原告以一定成本收集信息;(2)信息具有时间敏感性;(3)被告对该信息搭便车利用;(4)被告与原告存在直接竞争;(5)该搭便车行为会削弱投资者生产产品或服务的激励,对其产品或服务的存在或品质存在实质性威胁。因此,盗用侵权规则主要在新闻信息、金融信息等有限领域适用,无法承担起一般性地调整大数据归属、利用纠纷的功能。
(三)商业秘密保护
除版权法保护、盗用侵权外,非公开数据可作为商业秘密加以保护。美国各州法均对于具有秘密性、价值性、采取保密措施的信息给予商业秘密保护,排除他人未经许可获取、使用、披露其秘密信息的行为。2016年,美国国会正式通过了《2016年商业秘密保护法案》(DTSA),赋予联邦法院对于侵犯商业秘密案件的管辖权,统一法律标准和加强商业秘密保护。在大数据保护中,对网络上完全公开可访问的数据,将无法满足秘密性、保密性要件,一般难以获得商业秘密保护;对大部分用户以及设备生成数据,企业一般都通过技术措施加以控制而排除他人的任意访问和获取,其可以满足秘密性、保密性要件,理论上,针对他人未经授权获取、利用和披露其数据的行为,企业可以主张通过商业秘密保护。
然而,商业秘密保护却并未在大数据保护实践中被广泛援引和主张,其功能很大程度上为一种类商业秘密制度——计算机入侵(Computer trespass)制度所代替。为维护网络安全,美国1986年《计算机欺诈与滥用法》(Computer Fraud and Abuse Act, CFAA)规定了计算机入侵制度,即禁止任何未经授权或超出授权,故意访问他人计算机并获取受保护计算机信息。在大数据保护实践中,该制度在很大程度上作为商业秘密的替代性机制而成为了投资者保护其数据集合的主要方式。因为二者相较而言,在保护条件上,商业秘密以严格的秘密性、保密性和价值性要件为前提,因此,公开数据将无法获得商业秘密保护,即使对于可获得商业秘密保护的非公开数据,数据收集者也应当限制其交易、利用的范围而避免数据被公开而丧失其秘密性,也由于此局限性,在如欧盟日本等数据立法中并未将商业秘密作为数据保护的一般性制度。计算机入侵制度突破了商业秘密的秘密性、保密性要件而扩展了商业秘密的保护范围并提供了同等程度的法律保护:其仅仅要求权利人排除或者限制他人对其计算机系统的访问,而并不要求符合严格的秘密性、保密性和价值性要件,公开数据通过施加技术手段限制访问也可以获得保护,数据收集者也不必担心其数据因广泛交易和利用失去保护的问题;在保护效果上,其禁止一切未经授权、超出授权访问他人计算机并获取计算机上所存储信息的行为,类似于商业秘密制度排除第三人未经许可获取、利用和披露他人合法控制信息的宽泛效力。由于伴随着企业对信息存储的电子化依赖逐渐增加,数据获取一般通过入侵他人计算机系统而实施,故所有的网络侵犯商业秘密案件基本都可以主张计算机入侵之诉,后者更具保护周延性和诉讼效率上的优势,尤其在《2016年商业秘密保护法案》通过之前,美国商业秘密主要通过各州法进行保护,对跨州案件当事人必须分别提起诉讼,但对计算机入侵行为却可以在联邦法院统一主张和诉讼。在此背景下,《计算机欺诈与滥用法》成为了网络环境下商业秘密保护的替代性和扩张性机制,也在目前大数据保护法律实践中发挥着最主要的作用。为进一步探讨其对我国的可借鉴性,现就其制度原理、保护机制以及与传统知识产权法保护之间的关系具体探讨如下。
三、大数据的普通法保护
在知识产权制度难以为大数据集合提供专门保护的前提下,美国法并未试图积极设立新的的知识产权或财产权,而是尝试“旧瓶装新酒”,通过解释或类比的方式将计算机系统或者网站容纳于传统动产(Chattels)或不动产(Land)的内涵之下,以传统财产法对计算机系统以及其存储的数据信息加以保护。将传统财产法适用于计算机系统以及网络虚拟空间,首先面临着分类上的困难,其属于财产法上的不动产(Land)或动产(Chattel)本身具有争议性,如果仅仅从其载体(计算机硬件或服务器)来看其应当属于动产,对于有具体地址路径的虚拟空间而言其又具有不动产不能移动、不可灭失属性。因此,美国法上分别曾通过侵犯动产(Trespass to chattels)及类推入侵土地(Trespass to chattels)建立的入侵计算机(Computer trespass)制度两种方式对网络虚拟空间及其内部数据提供保护。
(一)侵害动产
普通法上,侵害动产主要包括两种方式:侵害动产(Trespass to chattels)和动产侵占(Conversion)。前者主要指他人故意以法定可感知的方式侵害原告对于动产的占有的行为,包括干扰原告对其动产的接触和使用等;后者指他人故意对他人动产进行实质控制严重损害原告占有权利的行为。伴随着计算机互联网的出现,有学者认为普通法上的财产不仅仅限于有体物,像域名应当成为一类新的动产类型,相对于版权保护,侵害动产是控制网站访问和获取相关内容的更为直接的方式。该观点在美国司法判例中被吸收采纳,1996年在 Thrifty-Tel v.Bezenek案中,美国加州上诉法院认为电子信号具有足够的物理性和有形性而构成相互干扰,对于电话系统的电子入侵可以适用于侵犯动产。1997年,在CompuServe v.Cyber Promotions案中,俄亥俄州南区法院首次将该原则适用到互联网领域中,法院认为,电子邮件服务器属于普通法意义上的动产,被告向原告大量发送未经请求的垃圾电子邮件,虽然并未真正地占有原告的计算机服务器,但发送电子邮件导致其计算机系统运行速度变慢,减少了原告付费订户可利用资源价值而导致其经济损失,而构成对于动产的侵害。此后,该原则从规制垃圾邮件逐渐扩展到对网络抓取数据的调整。在 eBay v.Bidder's Edge案中,被告通过网络爬虫爬取原告eBay网站上的商品销售信息并在自己的网站上展示,eBay主张其网络爬虫爬取行为构成侵犯动产。根据侵害动产原则,eBay需证明被告未经授权干扰其计算机服务器且造成了实质性损害,被告网络爬虫的访问无疑会构成对其计算机服务器的干扰,但如何定义对其计算机系统的实质损害则存在争议。法院对此采取了宽泛解释,即认为虽然Bidder's Edge的网络机器人只占据了eBay服务器空间的一小部分或者微不足道,但是其仍然剥夺了eBay利用该部分的能力,使用他人财产的行为即足以构成侵犯动产。这事实上赋予了网站所有者排除他人未经允许访问其网站的权利,进而可以控制其网站上数据的传播与利用。此后,该原则在后续案件中被广泛援引。
然而,该原则广泛适用却可能导致默认自由开放的公共网络空间转向私有和封闭化,从而限制用户自由访问和信息传播。因此,2003年加州最高法院在 Intel v.Hamidi案中推翻了eBay案的在先判例,重新对于侵犯动产中损害的含义进行了澄清,即侵害动产成立是对动产价值造成损害,原告必须证明对于计算机系统网络的物理功能存在实际干扰,或者未来出现干扰的可能性。在技术层面,伴随着服务器承载力和网络带宽的发展,通过用户访问或者网络爬虫对于计算机系统网络的物理功能产生的实际损害往往微乎其微且难以证明,这使得实践中网站所有者难以援引该诉由排除他人对其网络空间的访问而实现数据保护的目的。
(二)类推入侵土地——入侵计算机系统
除侵害动产之外,美国法上还将计算机系统或网络虚拟空间类比于不动产加以保护。与侵害动产不同的是,普通法对不动产通过入侵土地之诉加以保护,入侵土地属于本身可诉的侵权,原告无需证明存在具体的损害事实,即被告本身或者故意导致某一物体进入原告占有的土地,即构成侵权。面对计算机和互联网技术出现后的黑克入侵行为,类推入侵土地制度,美国法上构建起了其网络安全制度,赋予了计算机系统所有者对其虚拟空间的排他性权利,并延及对其内部存储信息的保护,这也为当下大数据保护提供了制度基础。
具体而言,1986年美国联邦通过了《计算机欺诈与滥用法》,旨在打击危害联邦利益的计算机入侵犯罪,伴随着互联网的发展,美国国会多次修改该法案扩大适用范围而将保护私人计算机网络安全,其包括两方面:第一,在保护对象方面,立法最初仅保护“联邦利益计算机”(Federal Interest Computer,主要包括联邦政府以及金融计算机),1996年立法修改扩张到任何用于或影响州际以及国外商业或通讯的“受保护计算机”(Protected Computer), 几乎所有接入互联网计算机都被纳入受保护范围;第二,赋予了民事主体请求救济的权利,最初违反该法案的行为将构成联邦犯罪,仅由联邦检察院进行追诉,1994年立法修改后将之作为民事主体一般民事权利,受害者有权提起独立民事诉讼,即“任何因违法该规定遭受损失者,对违法者提起民事诉讼要求损害赔偿、禁令救济以及其他衡平救济”。在保护范围上,第1030(a)(2)条规定禁止计算机入侵行为,即任何人未经授权或者超出授权故意访问受保护计算机,并获得来自任何受保护计算机信息的行为。这在事实上赋予了计算机所有者排除他人未经允许访问其计算机以及获取相关信息的排他性权利,对未经授权、超出授权的访问行为,其有权基于CFAA向联邦法院提起诉讼,实践中,该条款成为企业主张数据保护的主要法律基础。
在计算机系统保护中,如何认定“未经授权”和“超出授权”,决定了计算机所有者对其虚拟空间利用和排他权利范围。理论上,要首先确定所有者设置的计算机访问“门槛”(gate),才能进而判断他人访问行为是否构成“未经授权”或“超出授权”,但如何认定该访问“门槛”确并不明晰。CFAA并未解释何为“未经授权”,仅规定“超出授权”指“经授权访问计算机,并通过从访问获得或者修改该计算机上访问者未被授权获取或者访问的信息”。实践中就“未经授权” “超出授权”的认定存在广泛争议,认定为“未经授权”或“超出授权”的情形可归纳为五种行为类型:(1)代理范式,即计算机所有者与访问者之间存在某种雇佣关系,雇员违背雇主利益或授权目的而访问,即构成“超出授权”;(2) 合同范式,即计算机所有者与用户存在明确协议,用户超出协议约定范围获取、利用相关信息,即构成“超出授权”;(3) 政策范式,计算机所有者对外公布其用户访问政策,他人违背该用户访问政策而访问计算机系统,即构成“未经授权”或“超出授权”;(4)访问规范范式,即计算机系统存在通常的访问方式和存储信息的预期功能,他人超出一般惯例而访问获取信息,即构成“未经授权”或“超出授权”;(5) 代码范式,计算机系统所有者通过代码限制界定其计算机系统可访问区域,他人破坏或者违反代码限制而访问,即构成“未经授权”。自互联网出现以来,美国法院对计算机入侵行为的认定经历了一个螺旋式前进的过程:2000年之初,美国法院将前述五种行为都认定为计算机系统入侵;为了避免CFAA过度适用对网络空间自由访问的限制,2009年以后法院回归CFAA到防止黑克入侵、维护网络安全的立法目标,对“未经授权”或“超出授权”作了限缩解释,将之限定在破坏绕过计算机代码限制访问的情形,违反合同义务、代理义务、访问政策等均不在调整范围之内;以2013年Craigslist v.3Taps案为转折,计算机入侵的范围又迎来了实质性扩张,在该案中尽管第二巡回上诉法院遵循先例认可只有代码控制措施构成有效的访问限制,同时其认为计算机系统所有人可以通过任何可以为他人识别的方式撤销其计算机系统的访问授权,可以以技术上或非技术的方式,在授权被撤销后他人仍然访问的,将构成对他人计算机系统的入侵。此后,即只要所有者以可识别的方式向他人作出禁止或限制访问的意思,无论其是否通过技术方式,均可以排除他人对其计算机系统的访问,赋予了计算机所有者对其计算机空间及其控制内容的完全排他性权利。Craigslist v.3Taps案之后CFAA的再次扩张导致了广泛的社会批评,有学者称之为“技术领域最糟糕的法律”,因为互联网的内在特质在于其开放性,互联网协议的本质是其默认允许所有人自由访问,CFAA赋予了计算机所有者对默认开放网络空间的排他性权利,在社会公众尚未就网络空间的行为规范达成共识时,以目的功能、用户政策、使用合同界定其访问授权范围,难以清晰地向一般网络用户界定外部责任范围,换言之,网络所有者的排他性权利不具有社会公开性,从而导致在互联网中大多数访问行为都有可能被界定为违法,这也极大地限制了网络空间的信息传播自由。因此,理论上不断有学者主张重新回归代码范式,通过技术措施明确地向所有用户释放其“拒绝访问”的信号。
2019年以hiQ Labs v.LinkedIn案为转折,第九巡回上诉法院再次回归到代码范式,明确对于公众获取数据不适用于访问“撤销”的规定,确立了数字时代网络空间访问和数据抓取的确定性规则。第九巡回上诉法院认为,CFAA必须在其制定的历史背景下进行解释,并考虑立法目的。其并非为了管控互联网上公共网站的访问,而是旨在处理黑客攻击或非法入侵私人的、经常是受到密码保护的大型计算机,将CFAA应用于访问向公众开放的网站将会阻碍公众获取信息的自由。借鉴Orin Kerr教授关于“网络假定开放”的理论,其认为网络本质上是开放的,因为它允许世界上的任何人发布信息,并允许在其他任何人在没有授权的情况下接触此信息,CFAA只保护创建起必要的屏障分隔互联网中的开放与封闭空间(如登录身份认证、密码保护),“未经授权”“超越授权”只有在绕过身份验证而接入网站的情况下存在。CFAA中使用的“授权”,一般强调访问计算机或网站的主体限制,而并非访问方式限制,该案中。被告虽然绕过了Robot协议和IP地址限制措施,但其访问的仍然是公开可见的数据,故并未违反CFAA。此后,原告LinkedIn向联邦最高法院提出申诉。期间,在Van Buren v.United States案中,美国联邦最高法院对CFAA中“超出授权”作出了新的解释,联邦最高法院撤销了第九巡回上诉法院hiQ Labs, Inc.v.LinkedIn Corp.案的判决,并要求基于Van Buren v.United States案意见重新作出判决。但联邦最高法院Van Buren案的判决实质上支持了LinkedIn案法院的观点,第九巡回法院重新审查之后维持了其原判决观点,其认为“当某一用户规避计算机关于访问权限的一般规则(如用户名和密码要求)将构成对于CFAA‘未经授权’访问计算机规定的违反,当某一计算机网络一般性地允许公众访问其数据,用户访问其公共可获取数据,则并不构成CFAA下未经授权的访问行为”,即“未经授权”以及“超出授权”的认定仍应以代码范式为前提。
综上所述,美国法上CFAA成为了企业维护网络空间秩序和保护数据资产的主要法律依据,面对数字时代的法律挑战,其并未寻求构建新的财产权,而是以普通法上入侵土地制度为基础,允许企业通过代码措施自我构建和界定其网络空间数据资产的保护秩序,法律仅提供补充性救济措施,从而实现网络空间访问自由和企业创新投资利益之间的平衡。
四、美国法大数据保护的内在机理与制度启示
如前所述,伴随着数据成为一类新的生产要素,而产生了对企业数据财产利益和数据安全利益保护的制度需求。安全利益通常指的是保护主体对资产(如货物、设备、建筑物、土地等,在某些情况下还包括人身)的控制和利用不受威胁,数据安全指的是确保数据与之主体关系的稳定性,包括主体对数据的控制、占有、利用状态的稳定,要求防止他人删除、篡改、窃取数据,确保数据的机密性、可用性和完整性,要求相关人员在需要时数据准确、可用,同时也避免他人通过数据利用行为对现实安全秩序的破坏。财产利益在一般意义上指的是个人通过对资产的利用或者交易而直接或间接获得其价值的能力;数据财产利益指的是数据生成和投资者对其数据分析、利用以及交易可以实现的经济利益。二者保护密切相关,在传统有体财产保护之中,安全利益与财产利益的保护具有一致性,物权法上的所有权系对标的物全面支配之物权,通过赋予所有权人对标的物的占有、使用、收益、处分的权能,排除他人对其动产或不动产的干涉,通过对物之占有即权利人对物排他性控制和利用的保护,既可以实现对其安全利益的保障,也可以保障物之上财产利益的实现。在信息财产保护中,两种利益保护却面临着一定程度的疏离,由于信息具有非竞争、非排他、费易耗的公共物品特性,对他人付出投资创造的有价值信息,有必要保护其产权而避免市场失灵,但传统物权法保护方式却难以直接适用于信息领域,因为在传统信息传播环境下,信息一经公开便“不胫而走”失去控制,可由多数人在不同时间、地点获得并利用,故除了少数秘密信息之外,难以通过保护主体对其信息的占有而保护其财产利益。因此,知识产权法对于信息财产一般采取“客体共享,利益排他”的模式,即区别于传统物权基于有体物的天然排他性而保障其财产利益,而是将信息的占有与收益、使用、处分权能相分离,允许信息在全社会传播、共享,同时就信息的商业化利用方式设定一系列法定排他权利,使得权利人独占信息商业化利用的经济利益。就信息安全法益,即相关主体对其信息控制、利用的稳定状态,则需要建立独立和专门的制度保护,例如,对个人隐私、个人信息、商业秘密、国家秘密以及计算机信息的保护等。
在大数据保护立法中,我国目前也遵循着数据安全法益与财产利益二分的制度建构路径,《数据安全法》保障主体对其数据控制、利用的稳定状态,防止他人对数据的窃取、篡改、删除等行为;同时,立法实践正探索建立专门的数据财产保护制度。通过考察美国法实践可发现,其并未设置专门财产权或知识产权制度保护企业数据财产权益,而是回归到传统财产法的框架下对数据加以保护,基于数据主体对其数据在事实上的控制,禁止他人“未经授权”和“超出授权”的网络访问和数据处理行为,在同一制度体系下实现数据安全法益和数据财产利益的协调和周延保护,完成了大数据保护法律秩序的构造。这为大数据保护提供了新的路径可能,通过对“未经授权”和“超出授权”网络访问行为的禁止和处罚,首先可禁止他人未经允许的数据获取、修改和删除而保障数据安全;存在疑问的是,从传统经验来看,由于信息具有一经公开便失去控制的特性,仅通过类似于传统财产法的方式能否充分保护数据收集者的财产利益?该路径对我国大数据保护是否具有可借鉴性及如何借鉴?现具体分析如下。
(一)网络安全视角下保护大数据的内在机理
在经济学视角下,对企业数据财产利益提供法律保护的正当性基础在于,由于信息生产的高成本、复制的低成本、非排他性占有特点,如果在完全自由市场条件下会存在信息利用的搭便车和外部性问题,从而导致信息生产的市场失灵,故有必要建立产权保护恢复市场运行从而实现创新资源配置的最优。在传统物理世界中,信息要通过纸质书本等有形载体进行传播,一旦公开传播或载体转移信息将不胫而走而成为社会共识,创造者将失去对信息的控制,故而需要设立法定的知识产权排除他人未经许可对信息的传播和利用行为,在信息由全社会共享的前提下,由创造者独占信息的商业化利益。美国法类推有体动产和不动产的保护方式保护数据等信息财产,并未采取传统知识产权“客体共享,利益排他”的模式,根本原因在于,网络信息技术发展导致了信息传播方式的改变,企业对于信息的控制能力在不断增强,信息一经公开即不胫而走的“共识性”特点发生了变化,从而可以类推有体财产的制度模式保护信息财产,实现安全法益与财产利益保障的一致性。具体而言,这种转变主要体现在以下两个方面:
第一,信息传播由“商品范式”转向“服务范式”,逐渐与物理载体相脱离而转向网络空间访问为中心。传统上信息传播依靠有形载体的移转加以实现,伴随着技术发展信息存储、传递的成本不断降低,直到计算机和互联网技术的出现,网络空间的非竞争性且低成本、不受时间、物理距离限制的访问形式,使得信息传播可以完全不依靠有形载体移转,内容提供者可以在其网络空间内集中提供和传播其信息,信息传播由商品交易转变为网络空间访问的服务提供信息接收者或购买者购买到的是网络空间的访问权限,在其中其可以接触利用特定信息或者计算能力。如在大数据交易中,其与传统的发行图书、CD、计算机软件等不同,往往不是直接的数据文件/产品转让,而是作为一种服务向他人提供数据库访问的权限,例如,数据分析服务、数据库服务、原始数据服务。两种传播形式的核心区别在于,类似于物的占有,如果进行信息产品的交易,同时也转移了对信息的事实控制(如载体转让后他人可对图书、CD进行复制,对计算机软件可以进行反编译),产品购买者原则上永久性地获得了对信息的控制权并可无限转让;在服务范式下,数据库访问权的授予并不带来对数据控制的实质转移,网络空间所有者可以通过对网络空间访问的控制来实现对信息传播利用的控制。
第二,计算机系统的所有者可以在网络空间中以代码设置用户行为规则,建立信息财产流转、利用的“私人秩序”。在传统信息传播环境下,信息是人与人之间、就语义信息进行的直接传递,但伴随着信息传播对于信息网络的依赖性逐渐增强,人与人之间的信息传递首先以计算机传递为媒介,一些信息其接收和处理主体已经不再是人,例如,软件、大数据集合等首先经过机器处理过滤之后再传递给人。对于计算机的访问,互联网空间的架构或预设环境决定着访问者的行为方式,企业可以通过代码设定划分不同网络空间,决定人够在其中能够做什么、不能够做什么,故有学者称之为“代码即法律”。这种变化导致企业可通过代码设置建立对信息传播的事实控制,并不因信息公开或传播而失去其控制,因此,美国学者劳伦斯·莱斯格评价,“在网络空间中,代码能够取代法律成为保护知识产权的主要武器,而且它的作用越来越大。这是一种私人的防护,而非国家法律的保护。”
在此社会现实基础上,法律对于信息之上财产利益的保护已不再必要去抽象地界定信息归属、设定新权利类型、划定权利边界,而是通过构建安全可靠的网络环境,保护企业对其网络空间的排他性控制,即可有效保护企业对信息的事实产权,实现避免市场失灵、促进市场竞争之目的。由于数据收集、利用、交易基本完全在信息网络环境下进行,大数据保护尤其遵循着这一规律,现实中企业所创造或收集的数据在绝大多数情形下处于企业的实际控制之下,数据在被生成、收集之后,首先存储在企业服务器之中并由企业进行独占性控制,企业根据商业模式不同,其可以选择不对外开放进行独占性利用,或通过开放应用程序接口有限公开利用,或完全公开由公众自由访问其内容但通过代码措施限制数据爬取。在此基础上,对网络空间通过类似于有体财产的方式加以保护,禁止“未经授权”“超出授权”的访问行为,即可以实现企业对其数据的排他性控制和利用,实现产权保护、创新激励之目标。
对比设立新的知识产权或者数据财产权模式,美国法通过保护计算机系统安全而禁止未经许可的访问和信息获取行为,不仅仅可以实现对企业数据投资利益的有效保护,可实现传统知识产权法避免市场失灵的制度目标,同时具有效率上的优势:首先,如果设置一项新的财产权或知识产权,必须清晰地界定其保护客体和范围,但大数据集合往往具有动态性和不断变化的特点,一般公众很难明确了解其保护的实质内容所在而明确其权利边界,如在欧盟数据库特别权利对数据库的保护中即面临着此问题;根据企业对于数据的事实控制提供法律上的补充保护,其保护的前提是企业通过代码等方式明确访问限制,将受保护数据区别于公众可自由获取数据而对外公示其保护范围,更加具有法律上的确定性而降低交易成本。其次,大数据保护现实中,企业首先通过技术措施等方式对其数据采取一定的私力保护措施,区别于公共立法保护,直接相关的私人主体通常能更加准确地反映其保护需求,存在一定界权成本的限制下,其会谨慎地根据业务竞争需要准确地选择数据客体范围甚至访问对象施加技术措施保护,其他的则贡献给公众自由获取,并且其可以更加灵活随时选择保护或者放弃产权。如果在企业的私人保护措施之上构建新的法定权利,新的法定权利“一刀切”式的保护,可能会导致企业私人保护秩序与法定秩序的重叠,即原来数据控制者放弃保护进入共有领域数据重新进入其排他性范围;美国法以一种对现实交易秩序侵入性更弱的方式,即以法律维护企业通过技术措施建立的私人秩序,避免了通过法定权利进一步扩大数据主体的排他性范围而压缩公共创新空间。因此,这一路径不仅并未导致对企业财产利益的保护不足,而恰恰证明了数据安全保障与投资利益保护的调和一致可能性,以及基于私人控制措施提供法律保护的效率优势,这为传统权利进路之外为网络空间中信息财产保护提供了新的范式。
此外,从全球竞争的视角出发,如果将数据作为一类知识产权保护,则必然要受知识产权地域性限制,其权利效力仅及于本国边界之内。在网络安全法下,美国《计算机欺诈与滥用法》不仅保护美国境内计算机,还包括一切位于境外但影响其商业或通讯的计算机。我国《数据安全法》也明确赋予了该法的域外效力,其第2条第2款规定:“在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。”在数据全球化以及美欧不断扩张其长臂管辖的背景下,将数据保护定位于数据安全法之下也更有利于维护国家利益。
(二)大数据保护制度建构路径选择
借鉴美国法经验,数据财产权益保障并非必然要采取设立新型财产权或知识产权的模式,我国可搁置当前数据归属和界权的争论,在《数据安全法》安全保护的立法逻辑之下,保护主体与其数据之间的稳定关系,同时实现对于企业数据财产利益和市场竞争秩序的维护。具体而言,可以对《数据安全法》第32条“窃取或者以其他非法方式获取数据”进行具体界定而完成大数据保护法律秩序的构建,存在两种路径可供选择:
第一,借鉴美国法方式,排除未经授权的计算机系统访问行为。与美国法类似,我国法上也规定了对于网络安全、计算机系统的法律保护,我国《刑法》第285、286条专门规定了非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪和破坏计算机信息系统罪,对非法侵入计算机系统、获取数据以及严重干扰计算机系统运行的严重行为进行刑事处罚。但民事立法上却缺乏对于计算机系统所有者民事权益的承认和保护制度,在理论探讨中,由于“网络经济联系中的经济组织形式已开始脱离传统的单个商品和市场交易这样的概念而形成新的组织形式,商品和服务的概念在变得模糊,企业通过代码技术形成代码空间,将自己的商品、服务、劳动、智慧以及创意等综合在一起形成新的社会供给而不断和实时地提供给社会,代码空间已经成为社会成员相互组织和配合的重要媒介”,有学者主张设置为一种新型民事权利“代码空间权”,禁止他人非法侵入代码空间、破坏代码空间规范秩序的行为,从而实现对其内部虚拟财产的保护。比较法上,如德国法虽然并未专门规定计算机系统所有者的权利,德国法院基于《民法典》第858条和第1004条规定的占有和所有权的保护,发展出了不动产所有人和占有人对其不动产的“家宅权”(Hausrecht),类比于此,司法实践中也广泛承认网站所有者、占有者对其网络虚拟空间的“虚拟家宅权”(virtuelles Hausrecht),实现对其网站访问和内部秩序的管理。我国法上,也可以基于物权法上占有和所有权保护,从解释论的角度构建“代码空间权”或“虚拟家宅权”,允许计算机系统所有者排除他人未经授权、超出授权的访问行为,对于任何未经授权、超出授权获取数据的行为可解释为《数据安全法》第32条禁止的“窃取或者以其他非法方式获取数据”的行为加以规制。
第二,建立专门数据保护制度,保护企业对数据事实上的控制。如前所述,在美国法上,对于计算机系统的宽泛保护可能会使得访问者动辄得咎,限制网络空间自由访问而对现实交易秩序产生过度冲击,这也导致了《计算机欺诈与滥用法》实施的广泛争议。相对保守的制度方案是,并不设置所有者或占有者对其计算机系统的一般性权利,而仅基于当前数据保护的现实需求,保护企业对其数据事实上的控制,在保护企业数据产权的同时将公众自由限制最小化。比较法中,2018年日本《不正当竞争防止法》修改针对大数据确立了“限定提供数据”保护制度,其借鉴了美国法上的规制逻辑而构建了一种“类商业秘密制度”,对以电磁方式控制向有限对象提供、累积到一定价值规模的数据,禁止他人未经允许的获取、利用、公开行为;紧随其后,2021年韩国《反不正当竞争及保护商业秘密法》也作出了基本相同的制度安排。日韩的数据保护专门立法虽然与美国法直接规制对象不同,但规制手段和保护范围却并不存在实质上差异,即均根据企业代码控制措施界定保护范围,保护企业对其数据控制、利用的稳定状态,排除未经许可的数据获取、利用、公开行为。
借鉴该模式,我国未来可通过法律解释或者立法专门规定的形式对“窃取或者以其他非法方式获取数据”的内涵加以明确,对他人通过合法方式收集并加以控制的数据,禁止他人未经许可的获取、利用和公开行为,否则即为“窃取或者以其他非法方式获取数据”。参考日本和韩国反不正当竞争法,他人控制之下的受保护数据,指的是通过技术手段控制而仅向特定主体提供、具有相当数量累积而产生独立分析和利用价值的数据,其所禁止行为应当包括他人未经授权进行访问而获取、利用、公开相关数据,他人超出授权利用、公开相关数据,以及第三人明知存在前述违法情形继续获取、利用、公开相关数据的行为。以此方式可以实现对企业数据安全法益和财产法益保护的兼顾和协调,在保护企业对企业数据控制利用稳定状态的同时,维护数字市场的良性竞争和运转。
作者:张浩然,中国社会科学院法学研究所助理研究员、中国社会科学院知识产权中心研究员。
来源:《法律适用》2022年第9期。