“遥望”用户数据的商业秘密保护

前几天修手机，上门服务的小哥手艺不错且特别能聊，从正在修的聊到修到过的，从手机本身聊到手机生态，其中还包括华为和腾讯围绕用户数据发生过的争端。2017年的这场“神仙打架”源于华为某款手机及其系统经过用户许可后读取微信数据，并根据读取的关键词推送相关信息，腾讯方面作为微信运营方认为华为此举侵犯了自己的权利。

这场用户数据之争，和在此前后发生的“顺丰vs菜鸟”“京东vs天天快递”“微博vs脉脉”，以及去年刚爆发并且仍在诉讼中的“抖音vs微信”等案皆是围绕用户数据的争议，且完全由涉事企业自顾自博弈，似乎不关数据来源“个人用户”什么事。

而在这些纠纷中，已经成讼的案子几乎都选择了《反不正当竞争法》第二条原则性条款作为攻防的依据和焦点。当然，除了原则性条款这个目前维权的标准套餐外，企业之间围绕用户数据产生的争议，也确实仅有“大众点评网vs爱帮网”汇编作品著作权纠纷等少数例外，并且大众点评网在若干年后和百度再次因数据爬取爆发纠纷时，也转而选择了反法原则性条款的维权“标准套餐”。

那么在目前的网络环境下，尤其是数据爬取作为经营者数据获取的主要渠道时，除了《反不正当竞争法》原则性条款外，真的没有其他路径来维护企业围绕用户数据的法律权益了？

商业秘密或许是一个备选项。

一、十年前曾经有过：以商业秘密保护个人信息数据

上海市第二中级人民法院在2011年宣判的(2010)沪二中民五(知)初字第57号原告万联公司诉被告周某某等人商业秘密纠纷案（下称“万联案”，该案二审案号2011沪高民三知终字第100号），是目前为数不多的以商业秘密对企业用户数据进行保护的案例。

在该案中被告周某某、冯某、陈丙、陈乙、陈甲曾为原告员工，并负责原告网站A的运营，其中周某某更是网站A的实际设计开发者，并且握有访问网站A后台数据库密码。此后因和原告的法定代表人就股权归属问题发生龃龉，五被告离开原告公司成立新公司，并开设网站B，同时还：

1.  通过被告周某某掌握的密码将原告公司包含用户注册信息的数据库及原先开发的软件用于新设网站B；2.  通过网上发布公告等方式将涉案网站的注册用户引导至新设网站B；3.  对涉案网站A软件程序的配置文件进行修改，使涉案网站A无法运行。

前述用户注册信息具体包含“客户名单数据表中的注册用户名字段、注册密码字段和注册时间字段等。”

针对被告行为，原告万联公司以侵害商业秘密为由将五被告起诉至法院，五被告的抗辩理由就包括数据库中的用户信息不具备法定构成要件而不属于商业秘密。法院最终认为涉案个人信息符合不为公众知悉、具有经济价值及已经采取保密措施等要件，据此判定五被告侵害商业秘密责任成立。

二、不能照搬的的胜诉判决

囿于当时的客观局限，上述案件至少在下面几个方面无法完全照搬到目前数据爬取作为主要数据获取手段的网络行业数据战争中：

1、没有明确个人信息来源的合法基础

在万联案中，五被告并没有从个人信息来源合法和个人信息权利归属两方面来根本否定本案原告的诉请基础——原告是涉案个人信息或者个人信息数据的权利人。

针对个人信息来源合法问题，本案起诉的时间为2010年，判决作出时间为2011年，此时距离首次明确个人信息来源合法必须遵循“合法、正当、必要”、“明示告知”、“经同意搜集”等原则的《全国人民代表大会常务委员会关于加强网络信息保护的决定》正式颁布还差一年，更是比《网络安全法》的颁布早了将近五年。

但在近年来互联网行业一系列围绕数据权益的纠纷中，个人信息搜集的合法，是作为原告诉权是否成立的基础，原告无一不强调其数据搜集均经过用户的明确同意，并且也符合法律的其他规定，并且也成为案件评议的重点，如“生意参谋vs咕咕互助”案中，一审法院首先评议的就是原告生意参谋运营方淘宝公司搜集个人数据是否符合法律规定，其认为：

（1）  从规则公开方面来看，淘宝公司已向淘宝用户公开了涉及个人信息、非个人信息收集规定的《法律声明及隐私权政策》；

（2） 从取得用户同意方面来看，淘宝公司在其用户注册账号时通过服务协议、法律声明及隐私权政策的形式取得了授权许可；

（3） 从行为的合法正当性来看，淘宝公司经授权后收集使用的原始数据均来自于淘宝用户的主动提供或平台自动获取的活动痕迹，不存在非法渠道获取信息的行为；

（4） 从行为必要性来看，淘宝公司收集、使用原始数据的目的在于通过大数据分析为用户的经营活动提供参谋服务，其使用数据信息的目的、方式和范围均符合相关法律规定。【1】

而在“微博vs脉脉”案中，二审法官对原告微博运营方微梦公司权利正当性评议时，再次强调“需要明确的是上述数据均为征得用户同意收集并在用户同意的前提下进行使用的数据。”【2】

那么在目前类似案件中如果被告不从合法搜集的角度，对原告个人信息权利提出异议的话，法官是否必然需要进行评议呢？答案恐怕仍然是肯定的，毕竟个人信息保护制度的就是根植在合法、正当、必要、通知同意等基础之上的。

2、没有厘清个人信息和个人信息数据的关系

在明确了个人信息来源必须合法及合法的判定标准后，另一个绕不开的话题是，商业主体可以对个人信息主张权利吗？这个问题在2017年10月《民法总则》施行后，更加需要明确且看似难以回答，因为按照《民法总则》的规定个人信息属于人身权利，而人身权利最基本的一个特点就是专属于个人。

关于这个问题，万联案发生时《民法总则》尚未颁布，而且上述案例也有意无意地回避了这个问题。法院仅仅是笼统地认定“原告作为涉案网站的域名所有者和实际经营者对该网站在运营过程中形成的数据库享有所有权。”对于从单条个人信息到整个数据库形成中的权利构成和分界未做评议。

但在“生意参谋vs咕咕互助”案中，法院对此过程的财产权演变却有精彩的论述：

（1） 网络用户信息作为单一信息加以使用，通常情况下并不当然具有直接的经济价值，在无法律规定或合同特别约定的情况下，网络用户对于其提供于网络运营者的单个用户信息尚无独立的财产权或财产性权益可言；

（2） 鉴于原始网络数据，只是对网络用户信息进行了数字化记录的转换，网络运营者虽然在此转换过程中付出了一定劳动，但原始网络数据的内容仍未脱离原网络用户信息范围，故网络运营者对于原始网络数据仍应受制于网络用户对于其所提供的用户信息的控制，而不能享有独立的权利，网络运营者只能依其与网络用户的约定享有对原始网络数据的使用权；

（3） 网络大数据产品不同于原始网络数据，其提供的数据内容虽然同样源于网络用户信息，但经过网络运营者大量的智力劳动成果投入，经过深度开发与系统整合，最终呈现给消费者的数据内容，已独立于网络用户信息、原始网络数据之外，是与网络用户信息、原始网络数据无直接对应关系的衍生数据。网络运营者对于其开发的大数据产品，应当享有自己独立的财产性权益。【3】

3、爬虫技术带来的挑战一：公开的新定义

判定信息或数据是否构成商业秘密的第一个要件就是能否在公有领域获得，即是否公开。

就万联案中个人信息数据的公开性，法院是这么认为的：“虽然单个用户的注册用户名、注册密码和注册时间等信息是较容易获取的，但是该网站数据库中的50多万个注册用户名、注册密码和注册时间等信息形成的综合的海量用户信息却不容易为相关领域的人员普遍知悉和容易获得。”

法院的这段评议谈到了信息量变引起的关于“公开”认定的质变。这种质变是互联网信息爆炸和信息聚合的内在特点所引起的。但万联案中的“不容易为相关领域的人员普遍知悉和容易获得”，在十年后面对已不鲜见的爬虫技术时，是否还会被当然地等同于“公开领域无法获取”值得思考，因为爬虫技术一定程度上就是解决面对海量信息时，基于特定目标搜索整理的无所适从。

再进一步来看，爬虫技术作为一项专门技术，即便可以解决海量数据的抓取问题，进而提供破解“非公开性”的可能，但是当这项技术并不是某个行业或者企业业务模式必需和必备的，或者说即便需要也只能在付出相当成本后使用时，其是否因为不符合《最高人民法院关于审理不正当竞争民事案件应用法律若干问题的解释》第九条所规定的“该信息无需付出一定的代价而容易获得”，进而仍然属于不为公众知悉的范畴？前面这个疑问，在以UGC内容作为产品主要形式的情况下，尤其值得思考。

4、爬虫技术带来的挑战二：保密措施的新界定

商业秘密的认定和保护中还有一个不可或缺的环节就是已经采取保密措施，同样在爬虫技术的语境下，能不能够爬取是一个客观技术问题，应不应该爬取则是一个行业道德和法律问题，而这种道德与法律的边界就是Robots协议。

那么如果在互联网环境下，假设特定案例中禁绝外部抓取数据的仅有方式就是Robots协议，即保密措施完全依赖于Robots协议，此时队Robots协议的评价就显得尤为重要，而这种评价最为关键的就在于互联网强调公开的情况下，是否有必要设置Robots协议。

关于这种“必要”，在百度公司诉奇虎公司关于搜索引擎Robots协议纠纷的案件中，法院的评议颇值得玩味。

其一方面认为“Robots协议被认定为搜索引擎行业内公认的、应当被遵守的商业道德，被告奇虎公司在推出搜索引擎的伊始阶段没有遵守百度网站的Robots协议，其行为明显不当，应当承担相应的不利后果。”

而在另一方面，法院又认为“市场竞争亦需要给予每一个竞争者公平的竞争环境，即使是后进入市场的竞争者，也应当获得公平的竞争机会。在本案中，原告网站在不知晓被告提供搜索引擎服务的前提下，没有将被告搜索引擎加入其Robots协议的白名单内并无不当。但是在被告推出搜索引擎之后，尤其是在双方争议短时间内快速升级，行政机关和行业协会已经积极介入调处，被告也明确表示希望抓取原告网站内容的前提下，原告既没有充分阐明如此设置Robots协议的理由，又拒绝修改其Robots协议，故而其请求法院判令禁止被告抓取原告网站的主张不应得到支持。”

当然本案仍然是适用《反不正当竞争法》原则性条款进行审理，但是上述针对Robots协议的评议，对将协议作为商业秘密唯一或者主要保密措施的情况下，颇具有参考价值。这种价值就在于明确了Robots协议本身可以进行必要性评价，必要性评价依赖于细分行业的特点，和业务开展的具体阶段。

三、“遥望”后的展望

万联案后鲜见以同样路径解决相似纠纷，多以原则性条款作为审判抓手，但客观而言，实践中谋求原则性条款的保护是一种诉讼风险较小的尝试，原则性条款的抽象性决定了其“可塑性”，当然既有案例已经尝试通过归纳共性原则来限制原则性条款的无限制扩张，比如“微博vs脉脉案”中法院提出在适用原则性条款时除遵循海带配额案提出的三原则外，还应当进一步考量：

1.  该竞争行为采用的技术手段确实损害了消费者的利益，限制了消费者的自主选择权，未保障消费者的知情权，损害了消费者的隐私权；2.  该竞争行为破坏了互联网环境中的公开、公平、公证的市场竞争秩序，从而引发恶性竞争或者具备这样的可能性；3.  互联网中采用新技术，推定具有正当性，不正当性需要证明。

上述原则在互联网新技术不断涌现的大背景下，尝试在抽象的原则规定和具体的个案评价间搭起解释的路径和桥梁，同时也体现了《反不正当竞争法》在市场秩序、市场主体利益和消费者权益之间的平衡。

但这种“求解”努力的背后，鉴于互联网新技术出现都具有不同程度正当性，个案判定难免遭到“主观”的指摘，而这种主观是不是会不当地妨害新业务模式的创新，值得斟酌。同时，在商业秘密保护制度相对具体和详细的情况下，有学者就认为企业在保护用户数据或者源于用户的数据时，选择《反不正当竞争法》原则性条款，而不适用商业秘密保护制度，本质上是舍近求远。 【4】

回到实践，在不正当竞争纠纷中同时提出具体行为侵权和原则性条款并行不悖的情况下，大胆尝试商业秘密的侵权主张，不仅对进一步激活商业秘密保护这项制度和厘清用户数据的法律本质大有裨益，而且诉讼风险也不见得就高出了许多。

注释：

[1]（2017）浙8601民初4034号  

[2]（2016）京73民终588号

[3]（2017）浙8601民初4034号

[4]《大数据有限排他权的基础理论》，崔国斌，清华大学法学院副教授。