清境资讯网-清境最新热点新闻

从“微信群控案”探析数据权属争议

——评腾讯公司诉搜道公司、聚客通公司案①
| 本文作者：吴月琴 陈雪妮
华诚律师事务所
数据是新时代竞争的战略性资源，数据权属的清晰界定尤为重要。在当前立法暂时缺位的情况下，如何在司法层面上平衡用户信息权益与平台数据权益之间关系，已成为当下审理涉网不正当竞争纠纷案件的突出问题。2020年6月，杭州互联网法院宣判了首例涉及微信数据权益认定的不正当竞争案。该案的处理法院坚持审慎包容的态度，以促进创新竞争和有利于消费者的长远利益为指引，在网络平台、数据用户和同行业竞争者之间予以利益平衡。在给予网络平台方权利保护的同时，也对其权利加以必要限制，以防止其滥用权利限制用户信息权益，形成数据垄断。
引言
一、案情提要
深圳市腾讯计算机系统有限公司（以下简称腾讯计算机公司）、腾讯科技（深圳）有限公司（以下简称腾讯科技公司）共同开发运营个人微信产品，为消费者提供即时社交通讯服务。两者分别为微信软件的著作权人和个人微信产品的经营者。个人微信产品中涉及的数据主要有：个人微信用户的账号数据、好友关系链数据、用户操作数据等个人身份数据和个人行为数据。
浙江搜道网络技术有限公司（以下简称搜道公司）、杭州聚客通科技有限公司（以下简称聚客通公司）开发运营“聚客通群控软件”，利用Xposed外挂技术将其中的“个人号”功能模块嵌套于个人微信产品中运行，为购买该软件服务的微信用户在个人微信平台中开展商业营销、商业管理活动提供帮助。两原告认为其对于自己控制的微信平台数据享有数据权益，两被告擅自获取、使用微信平台数据，破坏微信产品的正常运行，构成不正当竞争，遂诉至法院，请求判令两被告停止侵害、赔礼道歉并连带赔偿经济损失（含合理费用）500万元。
二、诉辩主张
两原告的主张归纳如下：微信的用户体验和数据安全是其核心竞争力，两被告开发运营的群控软件存在恶意破坏微信用户体验和数据安全的情形。
（1）两被告在定制手机中内置聚客通"微信管理系统"群控软件，恶意诱导用户使用该软件及PC端的“微信管理系统”，对微信数据进行干扰和抓取，实现批量获取微信用户信息、监控用户行为、自动与用户进行各类互动等功能。上述功能势必会导致其他用户收到的恶意营销信息大量激增，严重影响微信的产品体验和用户基础，造成微信商誉受损。
（2）微信用户的通信私密和数据安全本被给予高度的私密性保护，但两被告通过技术措施直接抓取使用群控软件的微信用户及与之进行数据、资金和信息交互的其他不知情用户的微信通信内容，并将这些私密信息上传到自己的服务器进行分析和使用。该行为严重危害到了微信用户信息安全。
综上，两原告认为，聚客通“微信管理系统”群控软件产品的一系列恶意功能加重了微信的运营负担，严重危害到微信产品所营造的优质用户体验和信息安全环境，违背微信倡导的“合法、真实、善意、负责、开放、拒绝骚扰、尊重权益”的生态规则，对其造成巨大损失和恶劣影响，分别构成《中华人民共和国反不正当竞争法》第二条和第十二条规定的不正当竞争行为，故两被告理应承担相应的民事责任。
对此，两被告做出抗辩如下：
（1）原、被告的产品并非用于同一领域，不具有竞争关系。
（2）群控软件的使用是基于微商场景、是实现高效率的经营手段和方式，本质是以技术创新推动高效，与微信产品理念一致，不存在不正当竞争的故意。
（3）群控软件虽部分突破了微信产品未实现的功能，但目的是为了提升用户的微信经营效率。此类功能契合了社交电商提升自身管理与运营效率的需求，属于技术创新，且未达到妨碍或破坏微信正常运行的程度。
（4）群控软件所获得的微信用户信息均来自用户在淘宝、京东等平台上正常交易后留下的数据，软件用户借此添加好友并等待对方同意确认，均是基于微信的使用规则。用户的社交数据权益应当归用户自行所有，微信不享有任何数据权益。所以两被告行为未违反商业道德。此外，微信用户与群控软件用户之间的数据虽经群控软件上传至服务器，但被告方未对数据进行分析和使用，仅作为存储通道为软件用户进行存储备份，且上传服务器为阿里云服务器，符合数据安全的存储条件。故案涉软件未对微信的数据安全产生影响。
（5）涉案软件的被诉功能仅为软件功能的十分之一，即便构成不正当竞争，最多是删除部分宣传功能，无需关闭全部网站。
（6）群控软件并未造成微信产品的实际损失，两原告描述的因使用群控软件产生的种种严重后果均系其主观臆想，故其主张的经济损失及合理支出共计500万元无依据等。
三、案件争议焦点
法院认为，案件的争议焦点主要有两项：第一，涉案被诉行为是否构成不正当竞争，损害两原告的合法权益；第二，两被告应如何承担侵权责任。本文重点分析“不正当竞争行为”的认定。
（一）涉案被诉行为是否违反《反不正当竞争法》第十二条②
两原告主张两被告利用群控技术突破微信的产品功能，妨碍和破坏微信产品和服务的正常运行主要体现在以下几个行为：(1)采用Xposed外挂技术，在聚客精灵和聚客通群控软件上操作微信；(2)采用Xposed外挂技术，自动化、批量化操作微信；(3)监控并存储微信数据，破坏微信的个人信息保护机制，危害微信产品数据安全。对照《反不正当竞争法》第十二条的规定，上述行为的表现形式并不符合该条第二款第一至三项所明列禁止行为的特征。故须从两原告提供服务的性质、微信平台运营安全和微信产品运行的稳定与效率三方面判断上述被诉行为是否违反该条第二款第四项的兜底性规定。
法院认为涉案被诉软件突破了个人微信产品既有功能设置，新增了自动化、批量化操作微信、发布信息的功能。此类功能异化了个人微信产品作为社交平台的基本功能，会给用户使用微信产品造成困扰，破坏了两原告个人微信平台的正常运行秩序。此外，群控软件的收集、存储及监控微信产品数据功能涉及的聊天、支付等信息系经营性用户与其他用户交互完成的，非经营性用户的单方信息，还涉及到其他用户的第三方信息安全。微信用户向微信平台提供信息是基于其对微信平台信息安全保护能力的信赖，群控软件擅自将不知情的微信用户信息移作由自己存储或使用，超出了相关用户对自身信息安全保护的原有预期，违反了《中华人民共和国网络安全法》相关规定，已威胁到微信平台的安全运行。且被控侵权软件自动化、批量化操作与发布信息的运作方式会增加微信运行的数据量和数据流，导致增加微信产品的运行负担，减损微信产品运行的稳定性和运行效率，进而妨碍、破坏了两原告合法提供的网络产品与服务的正常运行，属于《反不正当竞争法》第十二条第二款第四项所规定的妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为，构成不正当竞争。
（二）涉案被诉行为是否违反《反不正当竞争法》第二条③
对此，法院从两原告对微信产品数据资源享有的合法权益、原被告之间是否存在竞争关系、两被告前述被诉行为是否有违法律和商业道德具有不正当性、该行为是否属于技术创新的公平竞争、是否能以微信用户的数据可携带权进行抗辩几个角度进行分析。
首先，微信产品数据资源系两原告投入了大量人力、物力，通过合法经营而形成的，该数据资源能够给两原告带来商业利益与竞争优势，故其对于此应当享有竞争权益。
其次，网络数据流量的竞争不仅是既有产品交易机会的竞争，更多的是将来开发衍生产品的生产资料竞争，网络数据流量吸引力已成为网络市场主体的核心竞争力。原被告双方实际存在的此种网络数据流量此消彼长的或然性对应关系，仍属于市场竞争关系，故存在有竞争关系。
再者，两被告利用外挂技术，将被控侵权软件中的"个人号"功能模块嵌套于两原告个人微信平台运行，明显属于利用两原告既有数据资源"搭便车"式地开展经营活动的行为。该行为危及微信产品用户信息安全，对两原告既有数据资源竞争权益构成了实质性损害，且违反了《网络安全法》中侵犯用户个人信息权益的相关规定④，具有不正当性。然后，被控侵权软件虽然突破了微信产品既有功能设置新增了部分功能，但该部分新增功能的实现对于市场贡献而言，弊大于利，同时在技术含量上并无新创意、新进步，不具有创新性竞争的本质特征。
最后，对于数据可携带权，我国目前相关法律、法规并未作出相应规定，国外法律对于数据迁移也要求每一方均需采取严格的数据安全措施，并明确禁止未经授权的数据转移。本案两被告获取微信数据并未获取微信平台及授权及关联用户的完全授权，故不能以可携带权进行抗辩。
综上，法院认为，两原告对于微信产品数据资源享有合法权益，两被告的相关被诉行为已危及微信产品数据安全，不仅违反了相关法律规定，且此种破坏性利用其他经营者经营资源损人自肥的经营活动明显有违商业道德，属于违反《反不正当竞争法》第二条规定的不正当竞争行为，且两被告的抗辩理由不成立。
四、案件评析与合规启示
网络平台的数据权属及其衍生的保护机制问题，可概括为三个层次：第一、个人与平台方分别对数据享有何种权益；第二、个人享有的数据权益的认定及保护；第三、平台方享有的数据权益的认定及保护。
（一） 个人与平台方分别对数据享有何种权益
数据具有多重利益属性，再加上数据价值在大数据时代日益凸显，有关数据权属问题的争论较大，尚无定论。目前，对数据权属主要有四种观点：数据归个人所有、数据归平台所有、数据归个人和平台共有以及数据为社会公共资源。我国在法律实践中采纳“数据归个人和平台共有”的观点，在此观点下，个人与平台对数据各自享有何种权益、权益划分的边界并不明晰。
本案法院将微信平台数据权益分为两种数据形态，一是数据资源整体，二是单一数据个体。对应单一数据个体与数据资源整体，网络平台方所享有的是不同的数据权益。
就“单一数据个体”而言，两原告仅享有有限使用权。本案所涉及的此类数据主要有微信用户账号数据、好友关系链数据、用户操作数据，此类数据均为微信用户的个人身份数据或个人行为数据，即用户信息数据⑤。虽然这类原始数据将用户信息作了数字化转换后可以被计算机网络系统所处理，可以在网络上进行传播，但原始数据的社会价值仅限于用户信息包含的资讯。平台方在此过程中并未提升用户信息的品质、产生衍生数据信息，未提供创造性劳动成果，故其只能依附于用户个人信息权益。故依照平台与用户的约定，平台仅享有数据的有限使用权。
就“数据资源整体”而言，两原告依法享有竞争性权益，如果两被告破坏性使用该数据资源，则构成不正当竞争，两原告有权要求赔偿。即在平台方对用户信息进行合法收集，并投入一定成本，如时间成本、人力成本、物力成本、财力成本，从而获得一定的商业价值和竞争优势的数据集合的情况下，法院认可平台方对此类数据合集享有财产权益。
数据的多重利益属性是普遍共识，对于同一数据所涉利益归属如何划分难度较大。《深圳数据条例》首次对数据权属进行了规定：自然人对其个人数据依法享有数据权（第11条）；公共数据的数据权属于国家（第21条）；数据要素市场主体对其合法收集的数据和自身生成的数据享有数据权（第52条）。
本案中，法院仍未将数据权益从《反不正当竞争法》第二条依据诚实信用原则和公认的商业道德认定的竞争性权益认定中剥离出来，亦未明确个人权益与企业权益的价值位阶，仅对两者享有的数据权益做了初步划分：通过原始的个人数据可还原出特定的个人信息，故个人对原始数据享有个人信息权益合情合理。企业对用户信息的收集投入了一定的成本，据此应享有一定的财产权益。有学者指出，可用算法作为衡量数据权益的依据，进而将数据分为包含个人信息的“单一原始数据”、“经过算法处理的数据”以及分析整合所得的“衍生数据”，此三类数据价值依次递增。该观点与本案法院的数据类型划分有相似之处。虽然目前数据权益归属问题的划分边界尚无定论，但区分个人信息权益和企业数据财产权益已成为法律共识。
（二）个人享有的数据权益的认定及保护
首先，从数据创立主体考量，原始数据只是用户信息转换为电子符号的外在形式，数据采集主体在此过程中虽然付出了一定的劳动，但并未提供创造性劳动成果，故数据采集、控制主体只能依其与用户的约定享有原始数据的有限使用权。其次，从实践理性考量，过分强调网络平台方对于原始数据的控制权，赋予其对于原始数据使用许可权，不仅会阻碍网络用户信息权益的实现，造成相关主体间权利义务关系的失衡，同时易形成数据垄断，窒碍数据信息的流通。联系本案而言，擅自使用他人控制的数据是否构成侵权，重点在于审查其是否征得了用户同意，数据控制者不能仅因其他网络经营者擅自使用了其控制的数据，径行主张求偿权。
在数据采集方面，《信息安全技术个人信息安全规范》（GB/T 35273-2020）（以下简称《个人信息安全规范》）提出收集个人信息需经过授权同意，并符合最小必要原则。⑥对于授权同意这一要求，第三方间接获取用户数据的情况较为复杂。平台方收集用户数据，⑦需获得用户授权；第三方平台通过数据控制平台以Open API接口间接获取用户数据的，需要获得用户授权和控制数据的平台方授权，此三者缺一不可。上述规定对用户信息的取得加以限制，尽量避免平台方获取过多无关联数据，对用户的隐私等造成威胁。本案中，法院亦考虑到部分关联用户的信息未经授权就被获取，该行为超出了相关用户对自身信息安全保护的原有预期，可能导致其信息出现安全隐患，威胁到微信平台的安全运行。
对于已采集到的数据，平台方的使用权也同样受到制约。《个人信息安全规范》5.5a)向个人信息控制者提出了一系列关于个人信息保护政策的要求，包括个人信息的保护范围、个人信息主体的权利及实现机制、保护措施等。⑧此外，正在拟定中的《中华人民共和国个人信息保护法(草案)》对个人信息处理者处理个人信息的情形做出规定，⑨同时要求对个人信息处理者向第三方提供其处理的个人信息的，需告知并取得个人的单独同意，且第三方仅能在个人被告知的范围内处理其个人信息。⑩
合规启示
平台方在采集用户信息时，应满足最小必要原则，不应额外要求用户提供对其业务功能无直接关联的其他信息。在管理数据的过程中，制定个人信息保护合规政策，履行信息网络安全管理义务，如在平台方有意向与第三方合作时，需展开尽职调查，预先防范违法风险；平台方可拟定数据授权许可协议，明确权责机制，对数据的使用者浏览、信息获取、重制衍生等行为做出规范，使数据的使用边界更为明晰；在第三方以其他方式获取平台数据的，平台方对侵害用户个人数据安全的行为应当予以禁止。对于第三方平台而言，应当遵循“授权同意原则”，在获取信息时需考虑信息采集范围，避免出现本案诉争行为。
（三）平台方享有的数据权益的认定及保护
当前，数据资源的积累与开发已成为网络业界获取市场收益的基本商业模式及核心竞争力。但相较于个人数据权益，企业对数据权益享有何种绝对性的权益，尚未有法律规定。在数据竞争纠纷中，法院目前主要适用《反不正当竞争法》予以保护。本案中，法院依据该法第二条，认为数据资源系网络平台方投入大量人力、物力，经过长期经营积累而成，能够给经营者带来商业利益与竞争优势，因此，数据资源网络平台方应当享有竞争权益。第三方平台以“搭便车”的方式利用了数据控制平台的增值数据，从而削弱了数据控制平台原有的竞争优势，该行为损害了数据控制平台的利益。在大众点评诉爱帮网案等多个案件中，?法院持有相似观点，认为平台方通过商业运作吸引用户，并有效地收集和整理用户信息，进而获得更大的商业利润时，该合法权益应受法律保护。综上，现有法律中并未对企业享有数据权益的内涵和外延做出明确的规定，实践中只能灵活适用相关法律法规定纷止争。
合规启示
网络经济是共生经济，网络平台所掌握的数据资源更多地具有开放性与共享性。因此，涉及数据不正当竞争行为的考察重点在于第三方（被诉行为方）行为是否对平台方数据资源产生破坏性利用。如果其他经营者“搭便车”式地利用了网络企业所掌握的数据资源开展经营活动，只要不是对他人数据资源破坏性利用或有违法律规定，且能够给消费者带来全新体验的，一般不应被认定为不正当竞争。
第三方平台在获取他人数据资源用以经营性活动时，应重点分析、评估其商业模式及行为涉及数据竞争的合理边界，特别是该等数据应用行为是否会导致数据控制方的商业利益受损，以及市场竞争秩序是否因此遭到破坏。但平台方享有的数据权益是有限的，数据保护还需要平衡个人权益、平台权益以及公共利益三方面。故第三方平台利用他方数据时，除了避免对数据造成破坏性利用之外，还需考虑创新性，给消费者带来全新体验。在不损害其他平台权益的情况下，保护个人权益且有利于公共利益的产品或服务，能更好地规避风险。
五、结语
对于数据权属界定的目的在于明确数据权益的分配机制，从而规范、推动数据产业的进步，顺应大数据时代发展的趋势。明确个人和企业所享有的不同权益，能够使企业在数据竞争中尽可能规避风险，合理获取并利用数据，取得商业利益的同时，也能保障公共利益以及数据提供者的个人权益。而数据提供者也能据此更有效地维护自身应有的权益。
注释：
①杭州铁路运输法院 (2019)浙8601民初1987号判决。
②《中华人民共和国反不正当竞争法》第十二条：经营者利用网络从事生产经营活动，应当遵守本法的各项规定。
经营者不得利用技术手段，通过影响用户选择或者其他方式，实施下列妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为：（一）未经其他经营者同意，在其合法提供的网络产品或者服务中，插入链接、强制进行目标跳转；（二）误导、欺骗、强迫用户修改、关闭、卸载其他经营者合法提供的网络产品或者服务；（三恶意对其他经营者合法提供的网络产品或者服务实施不兼容；（四）其他妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为。
③《中华人民共和国反不正当竞争法》第二条：经营者在生产经营活动中，应当遵循自愿、平等、公平、诚信的原则，遵守法律和商业道德。
本法所称的不正当竞争行为，是指经营者在生产经营活动中，违反本法规定，扰乱市场竞争秩序，损害其他经营者或者消费者的合法权益的行为。
本法所称的经营者，是指从事商品生产、经营或者提供服务（以下所称商品包括服务）的自然人、法人和非法人组织。
④《中华人民共和国网络安全法》第四十一条：网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。
⑤依据数据生成过程的不同，数据可分为四类：用户的信息数据、用户发布的数据、平台自采的数据和衍生的数据信息。
⑥《信息安全技术个人信息安全规范》（GB/T 35273-2020）5.2 收集个人信息的最小必要
对个人信息控制者的要求包括：a)收集的个人信息的类型应与实现产品或服务的业务功能有直接关联；直接关联是指没有上述个人信息的参与，产品或服务的功能无法实现；b)自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率；c)间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。
5.4 收集个人信息时的授权同意
对个人信息控制者的要求包括：a)收集个人信息，应向个人信息主体告知收集、使用个人信息的目的、方式和范围等规则，并获得个人信息主体的授权同意。
e)间接获取个人信息时：1)应要求个人信息提供方说明个人信息来源，并对其个人信息来源的合法性进行确认；2)应了解个人信息提供方已获得的个人信息处理的授权同意范围，包括使用目的，个人信息主体是否授权同意转让、共享、公开披露、删除等；3)如开展业务所需进行的个人信息处理活动超出已获得的授权同意范围的，应在获取个人信息后的合理期限内或处理个人信息前，征得个人信息主体的明示同意，或通过个人信息提供方征得个人信息主体的明示同意。
⑦API全称为Application Programming Interface（应用编程接口）。在互联网时代，把网站的服务封装成一系列计算机易识别的数据接口开放出去，供第三方开发者使用，这种行为就叫做开放网站的API，与之对应的，所开放的API就被称作openAPI。
⑧：《信息安全技术个人信息安全规范》（GB/T 35273-2020）5.5a)应制定个人信息保护政策，内容应包括但不限于：1)个人信息控制者的基本情况，包括主体身份、联系方式；2)收集、使用个人信息的业务功能，以及各业务功能分别收集的个人信息类型。涉及个人敏感信息的，需明确标识或突出显示；3)个人信息收集方式、存储期限、涉及数据出境情况等个人信息处理规则；4)对外共享、转让、公开披露个人信息的目的、涉及的个人信息类型、接收个人信息的第三方类型，以及各自的安全和法律责任；5)个人信息主体的权利和实现机制，如查询方法、更正方法、删除方法、注销账户的方法、撤回授权同意的方法、获取个人信息副本的方法、对信息系统自动决策结果进行投诉的方法等；6)提供个人信息后可能存在的安全风险，及不提供个人信息可能产生的影响；7)遵循的个人信息安全基本原则，具备的数据安全能力，以及采取的个人信息安全保护措施，必要时可公开数据安全和个人信息保护相关的合规证明；8)处理个人信息主体询问、投诉的渠道和机制，以及外部纠纷解决机构及联络方式。
⑨《中华人民共和国个人信息保护法（草案）》第十三条
符合下列情形之一的,个人信息处理者方可处理个人信息: (一)取得个人的同意; (二)为订立或者履行个人作为一方当事人的合同所必需; (三)为履行法定职责或者法定义务所必需; (四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需; (五)为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息; (六)法律、行政法规规定的其他情形。
⑩《中华人民共和国个人信息保护法（草案）》第二十四条
个人信息处理者向第三方提供其处理的个人信息的,应当向个人告知第三方的身份、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收个人信息的第三方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。第三方变更原先的处理目的、处理方式的,应当依照本法规定重新向个人告知并取得其同意。
?北京市海淀区人民法院（2010）海民初字第24463号民事判决；北京市第一中级人民法院（2011）一中民终字第7512号民事判决。
来源： 华诚律师事务所关注徐汇司法行政工作
请关注“徐汇区司法局”
原标题：《从“微信群控案”探析数据权属争议 ——评腾讯公司诉搜道公司、聚客通公司案》
阅读原文