三、个人数据权益竞争及场景化分析
在个人数据流通与利用的过程中,首先产生的是数据创造者与数据处理者之间的冲突。用户一方面想要保障其人格权益不受侵犯、财产权益得到保障,另一方面为了获得相应的服务而又不得不部分让渡其个人数据的处理权、加工权;[11]平台和第三方机构为收集、处理和加工用户个人数据而支付了高昂的对价,并使得汇聚的个人数据产生了更高的价值,因而不希望用户将其对数据的控制延伸至自身利益范围内,同时为了使数据的价值变得更高而不断地收集更多的个人数据。其次,不同数据处理者之间的利益冲突同样无法避免。作为数字经济时代的核心资源之一,数据已成企业间的“兵家必争之地”,每个平台都希望获取更多而共享更少。此外,随着互联网商业模式的不断更新,平台都在朝着跨行业、跨地区方向发展,相关市场难以准确界定,平台的潜在竞争对手不断增加,这也使得各平台严格限制自身数据的流通共享。
对于当前个人数据流通利用过程中所出现的权益冲突,目前立法尚难以确定权属。从实践中来看,针对已经出现的纠纷案例,司法领域多倾向于运用反不正当竞争法和反垄断法的原则性条款进行类型化和要件化的考量,从而确定网络开放平台的数据权益归属。此外,我们可以看出,这些相关涉数据的纠纷通常涉及不同的个案场景,涉及不同数据类型(原始数据、衍生数据,公开数据、非公开数据,用户个人信息数据、用户内容数据等)、不同数据获取手段(爬虫抓取、API接口[12]合作、破坏技术手段获取数据等)、不同数据使用方式(复制发布、加工开发商业化产品、内部分析使用等)、数据使用方不同的权益来源基础(获得用户授权、获得企业授权等)等多种情形。虽然法院最终都诉诸反不正当竞争法的原则性条款,但是每一个具体案例中法院所选取的依据不尽相同,分别考量了用户的三重授权、对协议的诚实信用、平台创新付出的汗水、第三方产品的实质替代性、社会公共利益以及整体产业发展等因素,对不同场景下不同类型的个人数据权益纠纷进行了个案化判断。
个人数据的价值主要在于其商业化利用。场景化的设置会激发个人数据的潜在价值,只有将个人数据置于一个现实的场景之中,才能有针对性地对数据进行分析,实现数据价值。无论是财产法、合同法还是侵权法,都不可能对平台之间的数据争议提供确定性的规则。相比而言,在具体场景中诉诸反不正当竞争法与行业惯例,进行个案化的判断,则可能进行较为合理的判断。[13] 基于此,在评价数据的获取、使用行为是否具有不正当性时,应当进行场景化的判断,即应在个案中对数据类型、获取方式、使用方式、数据使用方是否有用户授权等基础情形加以区分。
(一)社交平台场景
社交平台场景中个人数据的收集、处理和交换一直是数据权益划分讨论的一个热点,社交平台场景中用户个人数据利益如何分配更是成为学界和实务中的讨论焦点。
1.经同意和授权的数据交换
在社交场景下的个人数据利用场景中,非常典型的是由用户授权发起的在不同社交平台之间的个人数据获取和转移。例如,社交平台常常向注册账户的新用户提供以另一社交平台已存在的账户直接注册或登录的服务,在经用户同意和授权后,会调取该用户在另一社交平台中的昵称、头像等个人数据以完成新账户的注册和登录。
在以上数据交换场景中,需要处理的是平台、用户以及第三方机构之间的数据权益冲突。在调取昵称、头像等基本信息用以注册新账户的场景中,核心冲突是平台数据利益和个人数据权益的冲突。在用户授权转移个人数据的过程中,体现的实际上是用户对个人数据的“可携带权”。欧盟在《一般数据保护条例》(GDPR)中已经明确规定了数据可携带权,即数据主体有权以结构化、通用化和可机读的格式接收其向数据控制者提供的个人数据,并且有权将这些数据传输给另一个数据控制者。[14] 然而,在考虑用户就个人数据的可携带权时,也不能忽略平台的数据控制权,因为个人数据不能脱离平台提供的技术而存在。在以上场景中,个人数据的形成在很大程度上依赖于平台技术的搜集和加工,如果没有平台提供的技术,用户提供的个人数据就无法在该种互联网场景下得以应用并产生数据价值。[15] 因此,同样需要承认平台对于个人数据的形成具有一定的贡献,并应得到相应的权益。
在平台的数据控制权与用户个人数据权益博弈方面,当前的法律体系尚未对数据权益有明确的界定和划分,目前主要是通过在司法个案中根据一般法律原则对其进行处理。相较于企业的数据控制权,用户的个人数据权益因数据本身天然具有的人格属性而常常被认为具有更高的法律价值位阶。特别是对于上述昵称、头像等个人身份属性较为强烈的数据,因为平台对这些数据的产生并没有很大贡献,所以在平台和个人的数据权益冲突中后者往往更有正当性。[16] 对此,平台在主张权益时往往诉诸反不正当竞争法,将焦点转移至与第三方平台之间的利益冲突。
在上述场景中,大部分第三方平台对数据的投入相对于原平台而言较少。在不同平台的数据权益冲突中,第三方平台是否会构成使用原平台的核心竞争性资产以及产生明显的替代性效果也是一个重要的考虑因素,[17] 如果第三方平台在此中有市场竞争方面的“搭便车”行为,损害了原平台核心竞争优势,则其对原平台数据的获取和利用便是不正当的。
2.第三方平台对公开数据的爬取
除了上述以用户为主导的不同平台间的数据交换,第三方平台未经用户和网络平台同意而爬取公开数据的行为也广受关注。用户在社交平台上公布的性别、教育背景、职业等个人信息属于个人主动公开的信息,常常成为第三方平台爬取的对象。且在社交平台上,用户也会发布一些关于购物、饮食或者出行等动态或信息,也会被第三方平台出于特定商业目的而收集并加以使用。在此场景中,最突出的是平台与第三方平台之间的数据利益冲突。一方面,平台对其上面的数据享有一定的控制权;但另一方面,这些数据已经发布于公开的网络空间,基于数据的公共性,第三方平台也有权对其进行收集、分析和利用。那么,平台和第三方平台的权益边界该如何划定?
目前,我国司法主要是从第三方平台是否构成不正当竞争的角度考虑其行为的合法性。在目前的司法案例中,法院主要通过考察第三方平台在收集数据时是否侵害了平台的商业秘密或财产权益来判断其是否构成不正当竞争。因这些公开数据明显不具有秘密性而很难被确定为商业秘密,故在多数被认定为不正当竞争的案件中,第三方平台被认定为侵犯了平台对其开发的数据产品所享有的财产权益。然而,有学者提出,此种财产权益应是有边界的,过度保护平台的数据财产利益会不合理地限制数据在各平台之间的流通,极可能导致某些大平台的数据垄断,从而压制后来竞争者的发展与创新。[18] 因此,主张平台对其数据完全排他的财产性利益不利于产业的良性发展。
在这种场景下,应充分考虑原平台与第三方平台对数据的投入创新成本,如果该数据是原平台收集的用户原始数据,平台除简单存储外并未付出其他处理成本,那么其对该部分数据的控制就不应是绝对的。如果第三方机构在获取该数据时同样付出了较多对价并对其进行了创新性处理,对原平台产生的替代效果也较小,则应对其进行合理的保护,在认定是否构成不正当竞争时应保持审慎的态度。
(二)电子商务场景
1.定向营销或风险评估
在电子商务场景中,用户的搜索记录、浏览记录和购买记录等行为信息常常被企业收集并用以分析用户购物行为,从而对用户进行画像,评估其购物偏好或信用情况,并将这些信息用于对用户的定向营销或风险评估。而且,随着平台间的商业合作和数据交流的加深,个人在社交平台等非电子商务平台的数据也会通过数据交易或交换被关联的电子商务平台获取,进一步用于更为及时和深入的用户画像。随着对于个人数据的收集和利用程度不断扩大和加深,电子商务平台与用户个人的数据权益的冲突也日益凸显。即便消费者在之前的交易中将个人数据提供给电子商务平台,平台也对这些数据进行了匿名化和脱敏处理,但是否能认为这些数据完全归属于企业?个人对这些数据可以在何种程度和范围内主张权益?
首先,用户的行为数据不应全然归属于企业。在目前的技术条件下,即便是已经匿名化和脱敏的用户数据,仍然有不可忽略的个人色彩。而且,这些信息一旦泄露,很有可能被利用技术手段去匿名化,从而给用户带来风险。因此,无论是从数据来源还是风险规制的角度考虑,用户对其行为数据都应享有一定的权益。但同时,不能过分限制电子商务平台收集和利用用户的行为数据,因为对用户行为数据的合理利用有助于推动商业发展。对于消费者和商家而言,用户画像辅助的商业营销减少了由于信息不对称而导致的交易成本,这特别有利于中小企业通过精准推荐产品破除大平台的流量垄断。
由上可见,对于电子商务平台利用用户行为数据的行为不能过度限制,但应重点考虑其中的个人数据风险问题。对此,有学者认为,[19] 应当对不同阶段涉及的不同风险进行具体讨论:在信息收集阶段,要优先保障消费者的知情权和选择权,通过明确的告知保证对信息的收集和利用符合消费者的预期;而在信息分析和处理阶段,应当在保证数据收集合法的基础上允许企业进行用户画像以真正发挥数据的价值。
2.与第三方的数据交互
出于不同的商业目的,电子商务平台在收集和处理用户的个人数据后向外部第三方共享数据,或如上文所述从第三方处获取数据以丰富用户画像。此场景下的数据交流由于是电子商务平台基于商业利益主动发起,平台双方的利益冲突往往可以通过商业手段解决,目前争议最大的仍然是平台与用户之间的权益冲突。[20]在冲突中,最受关注的仍然是数据使用中可能导致的个人信息安全问题。因为在该场景的信息交互下,往往会涉及数据的不同场景运用,这往往会超出用户最初向平台提交个人信息时的使用场景预期。
由此,在电商平台与第三方的数据交互中,需要着重考虑保护用户的个人数据和个人信息安全。在需要跨场景利用数据时,电商平台应基于不同的场景,分析共享情形可能产生的不同风险和义务,并对用户进行相关的提示和征求同意。而且,在本平台履行应有的谨慎管理义务的同时,也要确保和监督与之交易的第三方平台同样有足够的数据安保能力和尊重用户的授权范围。
(三)物联网场景
1.“新零售”场景
在“新零售”的背景下,众多互联网巨头纷纷以互联网技术连通线上网络和线下门店,搭建以零售为中心的互联网,重构零售业的供应链。有学者认为,“新零售”是以消费者为中心,通过互联网技术有机结合线上线下,改善消费环境和物流,进而提升用户体验。[21] 在这种销售模式下,企业为了优化服务,也会大量收集和分析客户信息。比如,电商会追踪并记录用户完整的行为轨迹,不仅记录其在线上的浏览和购买情况,也会记录线下门店中关联用户的消费行为,以此对用户的行为特征与偏好进行分析和统计,进而优化各门店的供货和物流配置。在该情境中,不同于上文对电子商务平台的用户画像的讨论,“新零售”场景中的数据权益冲突更要关注在线下门店中进行的数据收集和使用行为。
首先,线下门店在收集个人数据时要尽到充分的提醒义务,以保障消费者的知情权和选择权。比如,目前有的门店开始收集和使用消费者的生物识别信息,而在此过程中常常没有征求消费者的明确同意。其次,与其他领域类似,零售门店中收集的生物识别信息面临被滥用的风险,对此,企业在收集和使用消费者的生物识别信息的同时要明确告知其信息的使用范围,并对用户数据尽到应有的管理和保护义务。最后,在新零售线上线下连通的场景中,向用户明确告知信息的使用范围尤为重要,特别是涉及线下收集的数据是否会流入其他线上业务场景或者被用于数据交互。
2.车联网场景
车联网是物联网应用的典型例子。车联网将互联网和大数据技术应用于汽车的生产、销售和售后服务等环节,使汽车行业总体呈现出网络化和自动化趋势。在此发展中,车联网需要不断收集车辆、用户甚至路面的信息和动态数据,也因此面对复杂的数据权益问题。车联网的数据生态牵涉了复杂的参与主体,主要包括车主、驾驶人、搭乘人等个人数据主体和第三方服务主体、车联网运营者、汽车制造商等数据处理者。[22]车联网场景下的数据权益冲突问题与新零售场景类似,主要是作为线下端口的车辆在收集信息时如何尊重数据主体的权益。
首先,车联网运营商要充分保障有关数据主体的知情权和选择权,在收集数据之前尽到充分的告知义务,并特别注意将数据收集和储存控制在最小的必要范围。比如,目前一些打车软件出于安全保障目的会在车内安装摄像和录音设备,其在车内收集信息之前应对乘客有及时和明确的告知,且出于保障隐私的原则,应向乘客提供屏蔽信息收集的选项。其次,车辆本身和车载其他器件收集的数据可能归属于不同的数据控制方,并在后期会通过数据交互用于其他场景或者目的,这也需要对数据主体尽到充分的告知义务。
(四)医疗场景
随着医疗信息化的推进和健康医疗大数据的发展,医疗场景中的个人数据应用也饱受关注。[23] 医疗数据的应用场景主要分为三种:药品和医疗器械的研发和监督决策、公共卫生决策、疾病发生机制与发展规律等临床研究。
患者作为医疗大数据的提供者,如果大数据持有者在搜集、储存这些数据时,不只是将提供者视为纯然的工具对待,而是出于尊重的目的,患者自身的权益自然不能被忽视。医院方可以说是中介身份,作为公共卫生管理部门搜集患者医疗数据的中介方,医院方向患者收取医疗服务费用的同时向公共卫生管理部门申报相关医疗服务费用。此外,学术研究单位及产业研究单位虽然同样是需要通过加值付费的方式取得医疗大数据进行研究,但是所产出的研究成果是否应无偿或合理地回馈给管理部门、社会和个人,是在讨论利益分享伦理争议时最关键的症结点。