從國內外典型數據保護案例看如何保護企業數據權益

數據被認為是二十一世紀的“新石油”，數據與人工智能的結合不斷催生新的商業模式和業態，數據驅動的智能經濟與社會呼之欲出。因此各國都高度重視數據經濟（data economy）的發展，如歐盟已提出大力發展數據經濟，認為歐盟數據市場的價值預計在2020年將超過1060億歐元。

在此背景下，國內外都出現了一些數據侵權相關的不正當競爭案件，梳理、分析這些案件對我們探尋數據保護的司法和立法邊界，尋求既促進數據利用又注重數據保護的良性數據治理的重要性是不言而喻的。因此，本文旨在分析相關案例，以為進一步研究數據侵權和數據保護提供出發點。

企業付出投入而得的數據受法律保護，垂直搜索服務實質性替代被引網站構成不正當競爭

案件介紹

原告漢濤公司經營的大眾點評網與被告愛幫聚信公司經營的愛幫網均為網絡分類信息查詢服務。漢濤公司發現愛幫網在經營中大量復制、甚至直接摘取大眾點評網上的商戶簡介及用戶點評內容，遂以不正當競爭為由將愛幫聚信公司訴至法院。一審北京市海淀區法院、二審北京市第一中級人民法院均認定愛幫網構成不正當競爭。

法院判決

一審法院認定愛幫網與大眾點評網提供服務具有同質性，存在直接競爭關系。大眾點評網的商戶簡介和用戶點評系漢濤公司搜集、整理和運用商業方法吸引用戶注冊而來，漢濤公司為此付出了人力、物力和時間等經營成本，由此產生的利益應受法律保護。

愛幫網未付出勞動、未支出成本、未做出貢獻的情況下，直接利用技術手段展示大眾點評網搜集、整理的商戶簡介和用戶點評，并以此獲得商業利益，屬于反不正當競爭法理論中典型的“不勞而獲”和“搭便車”的行，違反了誠實信用原則和公認的商業道德，構成不正當競爭。

對于愛幫網所主張的垂直搜索和摘要等技術行為，法院認為技術實施仍應遵守反不正當競爭法規定。雖然垂直搜索引擎技術本身并不具有違法性，但技術手段須控制在合理范圍之內，不可對被引網站造成市場替代后果。

本案中，用戶通過愛幫網可直接獲取商戶簡介的全部內容和用戶點評的絕大部分內容，其已對全部商戶簡介內容和絕大部分點評內容進行了充分展示，不可能屬于摘錄，已經構成對大眾點評網相應內容的實質性替代，必將不合理地損害漢濤公司的商業利益。

二審法院支持了一審判決。認為漢濤公司通過商業運作吸引用戶在大眾點評網上注冊、點擊、評論，并有效地收集和整理信息，進而獲得更大的商業利潤，該合法權益應受法律保護。愛幫網對大眾點評網信息的使用已超出合理范圍，已經達到了網絡用戶無需進入大眾點評網站即可獲得原網站足夠信息的程度，其引用造成了對大眾點評相應市場內容的實質替代，對漢濤公司的合法利益造成損害，構成不正當競爭。

開放平臺模式下第三方獲取用戶信息應堅持三重授權原則

案件介紹

微夢公司經營的新浪微博為社交媒體平臺，淘友公司經營的脈脈軟件和網站是一款基于移動端的人脈社交應用，雙方曾在2013-2014年通過新浪Open API進行過合作。2014年8月，微夢公司發現淘友公司在新浪微博開設的“脈脈”和“淘友網”賬號數據調用異常，且淘友公司在其獲得開放授權的微博客戶頭像、名稱、標簽之外，還抓取、使用了教育信息和職業信息。

微夢公司因而停止了淘友公司的合作。但在合作終止后，淘友公司并未及時刪除雙方合作期間獲取的新浪微博用戶信息。微夢公司遂以不正當競爭為由將淘友技術公司與淘友科技公司訴至法院。

法院判決

海淀法院一審認定二被告行為構成不正當競爭，須立即停止涉案行為，并刊登聲明、消除影響。二被告不服，上訴至北京知識產權法院，二審駁回上訴，維持原判。

一審法院認為原被告同為網絡社交服務提供者，存在競爭關系；被告獲取并使用涉案新浪微博用戶信息的行為，以及獲取、使用脈脈用戶手機通訊錄聯系人與新浪微博用戶對應關系的行為，沒有合同依據，也缺乏正當理由，主觀惡意明顯，構成不正當競爭。

第一，對于是否非法抓取、使用新浪微博用戶信息，法院認為二被告在合作期間抓取、使用涉案新浪微博用戶的職業信息、教育信息以及在合作結束后使用涉案新浪微博用戶的頭像、名稱、職業、教育等信息的行為，一方面不符合微博《開發者協議》的約定，存在超出授權許可范圍抓取教育和職業信息的情況；另一方面未取得用戶許可即獲取并使用涉案非脈脈用戶的相關新浪微博信息。因此該行為具有不合法性。

第二，對于二被告是否非法獲取、使用脈脈用戶手機通訊錄聯系人與新浪微博用戶對應關系，法院認為包括手機號在內的相關用戶精準信息與新浪微博之間的對應關系,為新浪微博用戶信息構成中重要的組成部分,這種對應關系也是微夢公司重要的經營利益所在。在本案缺乏充分證據證明二被告能從新浪微博合法獲取此類精準信息的情況下,二被告獲取涉案對應關系不具有合法性。二被告將涉案對應關系在軟件一度人脈中予以展示，使大量非脈脈用戶的新浪微博信息及好友關系展現在脈脈軟件中，以便于脈脈軟件拓展自身用戶群，獲取經濟利益，具有較強的主觀故意。

二審法院肯定了數據信息的價值和Open API運行規則的合理性，同時認為新浪微博有權就第三方應用使用其用戶數據的不正當行為主張權益。對于涉案數據獲取行為，法院認為上訴人淘友技術公司、淘友科技公司獲取新浪微博信息的行為存在主觀過錯,違背了在0pen API開發合作模式中第三方通過0pen API獲取用戶信息時應堅持“用戶授權”+“平臺授權”+“用戶授權”的三重授權原則,違反了誠實信用原則和互聯網中的商業道德，不具有正當性。

對于涉案的獲取并展示對應關系的行為，上訴人淘友技術公司、淘友科技公司未經用戶同意且未經被上訴人微夢公司授權，獲取、使用脈脈用戶手機通訊錄中非脈脈用戶聯系人與新浪微博用戶對應關系，并將新浪微博用戶的相關信息并展示在脈脈應用的人脈詳情中,侵害了被上訴人微夢公司的商業資源,不正當的獲取競爭優勢,這種競爭行為已經超出了法律所保護的正當競爭行為。

企業付出投入而得的數據具備無形財產屬性，他人利用技術手段獲取構成不正當競爭

案件介紹

原告谷米公司與被告元光公司分別為實時公交信息查詢APP“酷米客”和“車來了”的運營者。原告谷米公司為提高公交信息準確度，與公交公司達成合作，通過安裝定位器獲取實時公交位置數據。元光公司為避免公交信息延遲、獲取精準數據，破解了谷米公司的酷米客APP加密系統，并利用爬蟲技術爬取了酷米客APP內實時數據。被告元光公司邵凌霜、陳昴、劉江紅、劉坤朋等人被依法追究刑事責任，谷米公司以不正當競爭為由起訴元光公司。

法院判決

法院認為存儲于APP后臺的公交實時信息系人工收集、分析、整合并配合GPS精準定位所得，酷米客APP憑借信息的準確度和精確性獲得同類軟件中的競爭優勢，因此該信息具備無形財產屬性。

該信息雖可供公眾免費查詢，但數據需以不違背權利人意志的合法方式獲得，被告元光公司利用爬蟲技術大量獲取、無償使用他人數據的行為，非法占用了他人無形財產權益，破壞了他人的市場競爭優勢，具有為自己謀取競爭優勢的主觀故意，其行為違反了誠實信用原則，擾亂了市場競爭秩序，構成不正當競爭。

大數據產品具有財產性權益，受反不正當競爭法保護

案件介紹

淘寶公司系“生意參謀”零售電商數據產品的開發者和運營者，該數據產品通過記錄、采集用戶在淘寶電商平臺（包括淘寶、天貓）上瀏覽、搜索、收藏、加購、交易等活動留下的痕跡，進行深度加工處理，最終形成的統計、預測型衍生數據可為商家店鋪運營提供參考。

在該數據平臺經營過程中，淘寶公司發現，美景公司運營的“咕咕互助平臺”及“咕咕生意參謀眾籌”網站，通過提供遠程登錄服務的方式，招攬、組織、幫助他人獲取“生意參謀”數據產品中的數據內容，并從中獲益。淘寶公司認為美景公司行為構成不正當競爭，遂將其訴至杭州鐵路運輸法院，一審判決美景公司行為構成不正當競爭。美景公司對一審判決不服，上訴至杭州市中級人民法院，二審判決駁回上訴，維持原判。

法院判決

一審法院認為網絡數據產品的開發與市場應用已成為當前互聯網行業的主要商業模式，數據信息是網絡運營者的市場優勢來源。在本案中，“生意參謀”數據產品系淘寶公司耗費人力、物力、財力，經過長期經營積累形成，數據收集、整理、使用具有合法性，經過深度開發與系統整合，信息可供消費者參考、使用，淘寶公司對“生意參謀”大數據產品應享有獨立的財產性權益。

美景公司未付出勞動創造，即將“生意參謀”數據產品直接作為獲取商業利益的工具，其開發的“咕咕互助平臺”對原告數據產品構成實質性競爭，這種不勞而獲的“搭便車”行為有悖于商業道德，構成不正當競爭。如不加禁止將會嚴重挫傷大數據產品開發者的創造積極性，阻礙產業發展。

二審法院支持了一審判決，認為“生意參謀”數據產品具有商業價值，獨立于原始網絡數據，能夠帶來直接經濟收入，且因其決策參考的獨特價值，構成淘寶公司的競爭優勢，故該大數據產品屬于競爭法意義上的財產權益。美景公司經營的“咕咕互助平臺”對于淘寶公司“生意參謀”賬號的分享行為直接導致了原平臺用戶減少，其損害行為存在主觀故意，行為擾亂市場秩序，對淘寶公司合法權益造成損害，構成不正當競爭。

未經授權侵入計算機系統并獲取數據構成侵權

案件介紹

該案中，社交聚合網站Power.com允許用戶在Power.com上同時登錄多個社交網站（LinkedIn、Twitter、Facebook和MySpace等）的用戶名和密碼，并與好友互動，還可以獲得這些社交網站上的聯系人和照片等等。通過Power.com，用戶可同時查看自己在所有社交網站的活動情況。

當時，Power.com發起了名為"Power 100"的活動，鼓勵用戶去邀請好友也來使用該網站的服務，成功邀請到100名好友的用戶可獲得100美元獎勵。為此，Power.com允許用戶通過域名為@facebookmail.com的郵箱向好友發送邀請郵件，但由于郵件中包含“Facebook團隊”的字眼，看起來就像是Facebook官方發送的郵件。

2008年12月1日，Facebook給Power公司發出書面停止和終止信，但Power公司的活動并沒有停止。2008年12月30日，Facebook把Power公司告上了法庭。Facebook的起訴指控Power公司未經Facebook許可闖入Facebook的計算機系統，擅自收集Facebook用戶的數據，違反了《計算機欺詐與濫用法》(Computer Fraud and Abuse Act，簡稱CFAA)和《加州刑法典》（California Penal Code section 502）。

2012年，聯邦法官再次判決Power公司違反CFAA，裁定Power公司賠償300多萬美元給Facebook，Power公司隨之宣告破產。但創始人Vachani依舊上訴至第九巡回上訴法院。

法院判決

違反CFAA的行為可能有兩種情況：第一，未經授權侵入他人計算機；第二，經過授權接入計算機但通過接入實施了不當行為。首先，法院認為Facebook在CFAA的意義上遭受了損失。當一方在一年期間損失至少5000美元時，該法規允許私人訴訟權利。

法規將“損失”定義為“對任何受害者的任何合理成本，包括應對違法行為的成本，進行損害評估的成本，以及在犯罪發生前將數據、程序、系統或信息進行恢復的成本，以及由于服務中斷而導致的任何收入損失，包括已發生的費用或其他間接損失。” 無可爭議，Facebook員工花了很多時間來分析、調查和回應Power公司的行動，總計超過5000美元的成本。因此，Facebook在CFAA下遭受了損失。

其次，Power公司未經Facebook允許繼續侵入其計算機并訪問其用戶數據，尤其是在Facebook明確發出書面停止和終止信后，Power公司的行為已經很明顯地表現出其已經了解到Facebook的禁令，卻還繼續訪問Facebook的計算機。這明顯違反了CFAA。

網站經營者可以通過服務條款來禁止第三方擅自抓取不受版權或數據庫權保護的數據

案件介紹

本案中，被告PR Aviation作為機票比價服務提供者，使用自動系統直接從Ryanair航空網站和可公開訪問數據庫來擷取航班信息，然后由收費用戶支付傭金從其網站上進行預定。不過，Ryanair網站的訪問者都必須通過勾選來接受Ryanair航空的一般條款和條件。

據此，除非第三方直接與Ryanair航空簽署了書面許可協議，網站信息均只能用于私人和非商業目的，且禁止使用自動化系統或軟件從網站提取數據用于商業目的。Ryanair航空聲稱，PR Aviation侵犯了著作權法和數據庫的特殊權利，并且違反了PR Aviation所接受的網站使用條款和條件。

初審時，烏得勒支地方法院判決PR Aviation侵害了Ryanair公司就其數據享有的著作權，并賠償因未經授權使用數據而造成的損害。阿姆斯特丹上訴法院撤銷了烏得勒支地方法院的裁決，認為PR Aviation并未侵犯任何權利，因為根據荷蘭著作權法，對Ryanair航班數據的使用屬于合法使用。而Ryanair公司的網站條款試圖排除第三方使用，其與荷蘭著作權法相抵觸而無效。

法院補充說，Ryanair航空在創建數據庫時并沒有“實質性投入”，所以無法獲得數據庫的保護。隨后，Ryanair公司對荷蘭最高法院提出上訴。為此，就線上數據庫能否適用《數據庫指令》，以及能否通過合同限制該等數據庫自由使用問題，荷蘭最高法院請求歐盟法院作出答復。

法院判決

就Ryanair公司是否享有數據庫權，歐盟法院認為數據庫權應當以對數據的獲取、核實或輸出進行實質性的投入為前提，且根據“副產品原則”，數據庫和數據內容、獲得數據庫而進行投入和為生成數據內容而進行的投入均被嚴格區分。顯然，倘若獲得數據的行為與該數據的生成過程無法分離，那么制作者就難以證明其為數據庫進行了實質投入，從而不能享有數據庫權的保護。

當然，歐盟法院亦指出，如果數據內容的創造未經事前計劃，且其收集、核實、編排、呈現需要額外的實質性支出，那么制作者同樣可以取得數據庫權。基于上述理解，法院認為Ryanair的數據庫不過是其經營的副產品，且未就相關數據的收集進行額外投入，因此構成典型的“單一數據源數據庫”，并非《數據庫指令》的保護對象。

在Ryanair案中，PR Aviation根據《數據庫指令》第8.1條“一旦數據庫處于公眾可獲得的狀態，數據庫的制作者不能阻止合法使用者為任何目的的引用或重新利用小部分數據庫內容”和第15條“違反第8條的合同條款無效”的規定，提出數據庫合法使用（lawful use）的抗辯。但是，正如法院在判決中所言，既然《數據庫指令》并不能涵蓋Ryanair的數據，那么Ryanair自然能通過合同條款對他人的使用自由地設定限制。

因此，歐盟法院認為，Ryanair公司網站提供的航班數據，尚不能受到著作權法或數據庫權的保護，并進一步肯定當網站經營者就其本身數據內容，無法透過著作權排除他人未經授權使用時，仍得以服務條款限制其他企業以擷取方式自動抓取、收取網站資料的行為。2015年1月，法院最終裁定Ryanair公司有權禁止PR Aviation以自動化系統抓取網站數據后轉為商業使用。

如今，數據日益成為人工智能時代的商業和商業競爭的核心，圍繞數據的爭議日益凸顯，中美歐等持續探索數據保護立法，并在數據侵權案例中嘗試明確數據利用與數據保護的邊界。綜合既有立法和判例，主要存在以下趨勢。

第一，判例承認企業對投入勞動而得的數據享有競爭法上的財產性權益。當企業投入大量勞動（無論其為機械勞動還是智力勞動）進行大數據開發并形成數據集、數據庫等大數據成果時，即使這些成果因為缺乏獨創性或創造性而不能獲得版權等知識產權保護，也可以因為這些成果中所體現的勞動投入而獲得某種程度的法律保護。

比如，在International News Service v. Associated Press中，美國最高法院就認為，信息、設計等無形物可以因勞動、金錢等投入而產生一種“準財產權”（quasi-property right），從而可以基于反不正當競爭法禁止他人不當盜用。 

在大眾點評訴愛幫網、淘寶訴美景、酷米客訴車來了等案件中，國內法院逐步認可大數據成果的無形財產性質或競爭法上的財產權益性質。此外，判例也開始承認企業對其經營的用戶信息的權益，如在新浪訴脈脈案中，法院認為用戶信息是新浪微博作為社交媒體平臺開展經營活動的基礎，也是其向第三方應用提供平臺資源的重要商業資源，第三方未經用戶及新浪微博的同意，不得使用新浪微博的用戶信息，明確了開放平臺模式下用戶信息使用的三重授權原則。表明在數據產權未明確的情況下，國內法院通過反不正當競爭法來加強數據保護的趨勢。而歐盟則在考慮針對非個人信息建立數據產權制度，明確數據權屬、流轉和數據侵權等規則，通過賦權的形式更積極主動地保護數據產權。

第二，對于未經授權爬取數據的規制，中美歐殊途同歸。由于我國著作權法只保護具有獨創性的數據庫，且對數據庫的保護并不及于其中的數據，所以我國更多從反不正當競爭法和刑法（如非法獲取計算機信息系統數據罪）的角度來規制未經授權的數據爬取行為。

而在歐盟，由于《數據庫權指令》為數據庫的保護在著作權之外創設了特殊權利，且不要求獨創性，所以可以通過數據庫權來規則數據爬取行為；而對于既不能獲得著作權法保護也不能獲得數據庫權保護的數據，在Ryanair訴PR Aviation案中，歐盟法院的觀點表明，網站經營者可以通過服務條款來禁止第三方爬取數據，訪問網站的第三方違反服務條款則行為不具有合法性。

在美國，除了反不正當競爭法對數據盜用的規制，網站經營者更多依靠1986年制定的《計算機欺詐與濫用法》(Computer Fraud and Abuse Act，簡稱CFAA)中提供的私權救濟來打擊網絡數據爬取行為。但企業需要證明沒有權限或超出權限的第三方侵入了其計算機系統。這一規定往往要求網絡運營者采取安全措施。但在一些案件中，法院認為僅僅違反網站的服務條款就可能承擔CFAA下的侵權責任，表明通過擴大解釋法律規則來加強數據保護。 （作者 | 騰訊研究院 曹建峰 田小軍）

-- END --

【注】

[1] 北京市海淀區人民法院（2010）海民初字第24463號民事判決；北京市第一中級人民法院（2011）一中民終字第7512號民事判。

[2] 北京市海淀區人民法院 （2015）海民（知）初字第12602號民事判決；北京知識產權法院（2016）京73民終588號民事判決。

[3] 深圳市中級人民法院（2017）粵03民初822號民事判決。

[4] 杭州鐵路運輸法院（2017）浙8601民初4034號民事判決；杭州市中級人民法院（2018）浙01民終7312號民事判決。

[5] Facebook, Inc. v. Power Ventures, Inc., 844 F.3d 1058 (9th Cir. 2016).

[6] Case C?30/14

[7] International News Service v. Associated Press, 248 U.S. 215 (1918).

[8] https://www.finnegan.com/en/insights/the-computer-fraud-and-abuse-act-and-third-party-web-scrapers.html