律师:以商业秘密为视角,探索“数据”中的法律问题
业务交流:132 2944 8174
作者:何国铭律师 (专于商标犯罪与商业秘密犯罪案件控告与辩护)
数据已成为未来商业竞争的核心动力,有人将“数据”比喻为21世纪的“石油”。尤其是在互联网企业中,数据属于重要的生产资源,在算法模型优化、用户拓展、产品或服务升级与营销推广等方面,数据都起着不可替代的作用,在人工智能领域,数据更是AI深度学习的源泉。基于数据的重要性,我国前后出台了《个人信息保护法》、《数据安全法》及《个人信息安全规范》等法律法规对之进行规制。
数据具有财产属性基本不存在争议,但对数据之本质曾存在争论,究竟是将之视为物权,还是可以将之视为一种人类的智力成果,从而纳入知识产权的范畴?目前,对于侵犯商业数据的行为,在民事领域,我们可以按照反不正当竞争法来处理;在刑事领域,则有可能会涉及到侵犯商业秘密罪。
因商业秘密可分为涉技术信息与涉经营信息,故涉数据的商业秘密,包括涉技术信息类的数据与涉经营信息类的数据。故不论是上述何种类型之数据,当探讨数据中的商业秘密问题时,首先需要分析数据之合法性。权利人的商业秘密能够受到法律的保护,前提条件是其诉称的商业秘密具有合法性。所谓合法性,即当事人对该技术信息和经营信息的获取、使用等均不违反法律的规定以及不损害他人的合法权益。司法实践中,涉诉数据不合法包括主体不合法、手段不合法与目的不合法。判断某项信息是否合法,需要辨析该项商业信息是否符合国家的法律法规,是否符合公共利益,是否符合社会公德,对其进行保护是否会破坏社会公共秩序。当前,关于如何判断涉案商业信息合法与否,尚未有法律明文规定的实操性指引,主流观点认为可参照《专利法》来判断技术秘密合法与否,对经营信息则参照民法中的合同无效情形予以判断。对此,希望最高法及最高检及早出台相关规定,对此问题予以明确。
以上海的一起涉个人信息的商业秘密案件为例。A公司为履行其与B公司的合同,委托C公司打印信封标签共计5000条数据,每条数据包含了姓名、性别、城市、地址、邮政编码等内容。同时,A公司为履行其与D公司的合同,委托C公司打印信封标签共计10000条数据。后来,A公司发现B、C、D公司向其客户发送相关函件,因此认为B、C、D公司擅自使用其掌握的客户信息,认为上述三家公司侵犯其商业秘密,为此向法院提起诉讼。在这起案件中,因A公司所诉的有关数据信息涉及到公民个人的有关信息,与其他技术信息和经营信息相比,具有较大的特殊性。如果不经过合法程序而对这些个人信息进行获取和使用将会造成对公民个人权利的损害。因此,A公司对其主张的有关数据信息商业秘密,应当举证证明其取得及使用这些有关数据信息具有合法的依据。否则,A公司要求保护的商业秘密不能受到法律的保护。从本案的有关证据来看,因无法反映A公司是合法取得该有关数据信息的,也无法反映A公司对于该有关数据信息的使用是经过有关公民的许可。最终,法院对A公司认为其所掌握的客户信息属于商业秘密的主张不予支持。
假定获取数据的手段非法,同样会致使涉诉数据被认定不具有合法性,致使商业秘密的主张不能成立。然而,在辨析手段合法与否的问题上,法庭上常常会出现技术中立之论据。究竟是技术中立、技术无罪,抑或手段非法,当前判断标准难以统一。就司法判例而言,在最高人民法院曾审理的“爬虫技术数据商业秘密案”一案中,被告挑战涉案爬虫技术的合法性,法院认为爬虫技术是否被用于违法活动不等于该技术本身违法,即技术本身是中立的。无独有偶,在微博诉“鹰击”舆情监控系统案中,法院在该案中认为不应对通过用户浏览和网络爬虫等自动化程序获取数据的行为进行区别性对待,实则就否定了利用爬虫获取信息的违法性。
商业秘密的前提是涉案数据符合“秘密性”的要求。商业秘密的“秘密性”要求数据在被诉侵权行为发生时不为所属领域的相关人员普遍知悉和容易获得的,因此若该信息可通过其他公开渠道获得,或无须一定代价而容易获得则应认定为不具有“秘密性”。被企业公开的,能够在企业对外开放的网站中按照普通手段收集到的数据,往往因不能满足该要求而被排除在商业秘密保护的范围之外。
此外,商业秘密的“秘密性”还有第二个门槛,即要求“不容易获得”。司法实践中,法院往往会将其分类为“公开数据”与“非公开数据”,“公开数据”自然是不满足商业秘密的“保密性”条件。即使是“非公开数据”,在数据时代下,企业所拥有的信息多种多样,即使企业的后台数据处于非公开状态,但企业的“非公开信息”是在商业活动中普遍会获得,简单储存在公司而无需付出一定程度的劳动、整合与分析,那么即便数据是非公开的,也有可能无法作为商业秘密受到保护。反之,权利人对此投入了人力、物力和财力,并进行了一定程度的收集、汇总、整合,通过跟踪和挖掘数据,进而了解用户的深度信息,则能认定其具有“不容易获得”性。由此,我们不难看出法院在审理此类案件时会关注企业是否为处理涉案数据而付出一定程度的劳动,毕竟知识产权是一种智力成果。通常来说,对于个人信息的原始数据,一般不将之列入为商业秘密,仅且经过收集、整理、分析的衍生数据,才是具备价值性的商业数据,才能被认定为商业秘密。
对涉诉数据进行非公知性鉴定,是需要技术查新的,当前的检索机构只能支持以文字的方式进行查新。因此,对于技术数据而言,权利人需要将数据中所蕴含的技术信息,以文字的方式进行表达,撰写书面的技术说明,再委托检索机构查新。在这个过程中,需要熟悉该领域的技术人员、代理律师及鉴定人共同探讨,撰写一份合格且符合案件事实的技术说明,这在办理侵犯商业秘密案件中尤为重要。
“价值性”是商业秘密其中的一个构成要件,数据要成为商业秘密,也需先肯定其具有“价值性”。价值性,指的是该数据能够给权利人在行业角逐中带来竞争优势,能够带来经济价值。商业秘密的“价值性”可以是正价值,也可能是负价值,关于技术研发过程中的阶段性数据是否具有价值性的问题。目前,可以肯定的是,阶段性数据也是具有价值性的,即使是失败实验的数据也是可以被认定具有“价值性”。成功的阶段性数据能够替被告人节省了大量的研发时间与成本,能够降低试错的概率,无疑这也是一种竞争优势,具有现实或潜在的经济价值,假定被告人侵犯了该“阶段性成果”,无疑是为获得经济价值而实施不正当竞争行为。负面的、失败的阶段性数据同样可以节省了被告企业的研发时间,指导其少走弯路,故其数据依然是具有价值性的。放在网络商业数据上,数据经营者首先通过收集、汇集或交易所得的原始数据,在经去标识化和匿名化等脱敏加工后形成一个数据产品。在原始数据到数据产品,其中需要对数据集合进行不同程度的加工,在此过程是付出了相对应的劳动,因此其亦是具有价值的数据资产。
商业秘密要求数据具有“保密性”,权利企业对涉诉数据采取了相应的保密措施。企业在主观上要有保护这些数据的意愿,客观上采取了防止信息泄露的措施,且其采取的保密措施与数据的商业价值是适应的。总体而言,在判断保密性的问题上,法院会综合保密措施的可识别性、适应性、权利人的保密意愿等来考量。
数据之权属问题。数据可分类为“原始数据”与“衍生数据”,对用户的基本信息等原始数据,经营者仅有与用户间协议所约定的使用权,而无所有权,但经营者基于该原始数据而分析、整理的衍生数据是在原始数据的基础上,花费了一定的时间精力整理而成的,经营者对该数据产品是拥有所有权的。个人身份数据或个人行为数据,这部分数据只是将用户提供的信息作了数字化记录后而形成的原始数据,并非使用产品所产生的衍生数据。因此,根据《网络安全法》的规定,网络用户网上浏览、搜索、交易等行为信息,属于痕迹信息和标签信息,网络运营者收集、使用时应遵循正当、合法、必要的原则,网络运营者收集、使用留有个人身份信息的会员用户行为信息的,除用户已自行公开披露的信息,应比照《网络安全法》第四十一条、第四十二条规定予以严格规制。在无法律规定或合同特别约定的情况下,网络用户对于其提供于网络经营者的用户信息不具有财产权属性;网络运营者对于原始数据只能依其与网络用户的约定享有有限使用权;网络运营者对于其开发的大数据产品,享有竞争性财产权益。未经许可,直接将他人数据产品作为自己获取商业利益工具的,则有可能构成侵权。
我们可以这样理解:商业数据分为两种数据形态,一是单一原始数据个体,二是数据资源整体。就平台方而言,对于原始数据个体与数据资源整体所享有不同的数据权益。就单一原始数据个体而言,数据控制主体只能依附于用户信息权益,依其与用户的约定享有原始数据的有限使用权。使用他人控制的单一原始数据只要不违反“合法、必要、征得用户同意”原则,一般不应被认定为侵权行为,数据控制主体亦无赔偿请求权。就数据资源整体而言,因系网络平台方经过长期经营积累聚集而成,且能够给网络平台方带来开发衍生产品获取增值利润和竞争优势的机会,网络平台方应当就此享有竞争权益。如果擅自使用他人数据资源的,权利人有权提起诉讼。
企业因采购数据而被诉侵犯商业秘密之风险。部分企业会选择通过采购数据的方式获取信息,并将该数据投入使用,而该环节上,企业可能存在被诉侵犯商业秘密的风险。在多种多样的数据中,不乏一些数据可能包含有其他企业的商业秘密,出售或采购这些数据,就有可能会涉及到侵犯其他企业的商业秘密。例如,数据供应商以盗窃、贿赂、欺诈、胁迫、电子侵入或者其他不正当手段获取了商业秘密,又或者数据供应商违反了相关保密义务,向数据采购商出售该数据,而数据采购商又明知上述数据是侵犯商业秘密的数据。此时,数据供应商与采购商均涉嫌侵犯商业秘密罪。因此,数据供应商与采购商在进行数据供销活动时,应当对数据实质审查,以确保数据中不包含他人的商业秘密,避免在数据供销活动让企业承担侵犯商业秘密的责任。
结语:在大数据时代,数据之重要性无需多言,但对于数据是否能被认定为商业秘密,数据如何才会以商业秘密的形式获得法律保护,当前还处于探索阶段。