大數據知識產權保護與立法：挑戰與應對

何雋

引 言

大數據產業是對數量巨大、來源分散、格式多樣的數據進行釆集、存儲和關聯分析，從中發現新知識、創造新價值、提升新能力的新一代信息技術和服務業態。近年，全球大數據創業企業和開展大數據業務的企業數量激增，產品和服務數量也隨之增長。要實現并深化大數據在各行業的創新應用，就必須有一套完善的頂層設計和規劃。

本文將對大數據知識產權保護和立法展開系統性研究，主要分為兩個部分：首先，厘清大數據面臨的知識產權問題，特別是大數據理念及數據處理技術給現有知識產權法帶來的挑戰；其次，對大數據技術引發的新的權利類型的訴求在法律層面予以回應，這其中不僅考慮要如何適應產業發展的需求，還要考慮如何與現有法律制度相匹配。

大數據面臨的知識產權挑戰

其一，大數據理念構建數據庫面臨缺乏獨創性。根據《著作權法》規定的作品形式，作為大數據載體的數據庫，可以作為匯編作品而受到保護。作為著作權客體的數據庫，要求在內容的選擇或編排上體現獨創性；然而，大數據強調的是數據的量，注重的是數據的混雜性，而非對數據的選擇或編排。著作權法保護獨創性作品的價值取向，與大數據對數據量的追求，兩者之間存在一定的偏差。

因此，著作權法只能在有限的范圍內保護形式上能夠達到匯編作品獨創性要求的數據庫，而眾多追求數據完整性的數據庫則難以獲得著作權保護。也就是說，基于大數據理念的數據集合很難滿足獨創性要求，因而不能成為著作權法所保護的客體。

其二，數據采集網絡爬蟲引發著作權侵權風險。在數據采集過程中經常會使用網絡爬蟲。網絡爬蟲，又稱網絡機器人，是按照一定規則，自動抓取互聯網信息的程序或者腳本。通常情況下，網站都會設置網絡爬蟲排除標準，又稱Robots協議，網站通過Robots協議告知搜索引擎哪些頁面可以抓取，哪些頁面不能抓取。但是，Robots協議本身沒有強制力，只能起到警示牌的作用，如果網站希望能夠切實阻攔不受歡迎的爬蟲，還會設置其他的配套監控措施。反監控策略則模擬正常操作行為，針對一定時間內單個IP地址訪問次數限制，釆用大量不規則代理IP來模擬；針對一定時間內單賬號訪問次數限制，采用大量行為正常的賬號交替進行。通過IP地址和賬號的訪問策略控制，結合網絡爬蟲的反饋，由機器自動學習調整，或者由管理員來進行調整，實現不間斷抓取數據。因此，反監控策略存在違背被訪問網站意志抓取數據的可能，即此類抓取行為存在著作權侵權風險。

針對是否侵犯網站權利人的著作權或信息網絡傳播權，有兩點值得關注：第一，被抓取的網頁是否具有獨創性，是否屬于著作權法保護的客體。通常來說，網頁版式的著作權由互聯網公司所有，網頁刊載的內容則可能屬于其他著作權人。第二，如果被爬蟲抓取的內容具有獨創性，則需要進一步分析是否存在對著作權的限制。通常在搜索引擎通過爬蟲抓取到相關內容后，會以網頁摘要、網頁快照、縮略圖、搜索鏈接等形式向用戶呈現搜索結果。網頁摘要有字數限制，不會對完整的網頁內容形成替代，通常不會影響對網頁的正常訪問，因此不會侵害著作權。網頁快照和縮略圖是自動存儲在搜索引擎服務器中的歷史網頁，用戶可以直接從搜索引擎服務器中獲取，在可以實質性替代網頁內容時，構成侵犯作品的信息網絡傳播權。對于搜索鏈接，根據我國司法實踐中通行的服務器標準，提供搜索鏈接并不構成信息網絡傳播權中的“提供”行為，因此不構成侵權。

其三，數據傳輸存儲帶來技術標準和著作權問題。在數據傳輸存儲過程中涉及數據傳輸技術及協議的技術標準問題。不論是IP骨干網的傳輸還是數據中心的傳輸，其核心都在于兩點：一是，傳輸介質的技術，二是主體之間的傳輸協議。前者通過改進技術來獲取更優的數據傳輸質量，此層面上對技術的知識產權保護主要涉及專利和技術秘密。后者是通過協議標準的更新換代來提高數據傳輸質量，此時最為關鍵的是對制定新協議標準的控制權。

云計算等數據存儲服務也可能帶來著作權侵權問題，特別是涉及內容副本或內容緩存的侵權問題。在美國Cablevision案中，對云端服務提供者的著作權責任進行了界定。有線電視供應商Cablevision公司推出“遠程存儲數字視頻錄像機”（RS-DVR），用戶可以通過該系統對選定節目進行錄制和回放。節目版權方因此起訴Cablevision公司侵犯其作品的復制權和公開表演權。

針對服務器緩存區存儲侵犯復制權的指控，一審美國紐約南區聯邦地區法院認為，被告通過緩存存取原告節目的信息流構成未經授權的復制行為。被告上訴后，美國聯邦第二巡回上訴法院認為，盡管被告服務器緩存中確實呈現出原告的作品，但是持續時間非常短（該案中為1.2秒），因此并不符合美國《版權法》中對侵犯復制權的規定。該案對云端服務提供者的著作權侵權判定具有借鑒價值。美國巡回上訴法院認為載入數據可能導致但并不必然會導致復制作品，是否構成侵權還需要考慮時間因素，但是法院沒有規定將該案中1.2秒作為此后類似案件中判斷時間因素的基準。

其四，未經授權獲取用戶數據構成不正當競爭。社交網絡、網盤、位置服務等新型信息發布方式使得數據從簡單的信息開始轉變為一種資源，關系到個人信息保護和網絡安全。網絡運營者是網絡建設與運行的關鍵參與者，在保障網絡安全中具有優勢和基礎性作用，應當遵循合法、正當、必要的原則，盡到網絡運營者的管理義務。第三方應用開發者作為網絡建設與運行的重要參與者，在收集、使用個人信息時，應當遵循誠實信用原則及公認的商業道德，取得用戶同意并經網絡運營者授權后合法獲取、使用信息。

新浪微博訴脈脈交友軟件不正當競爭糾紛案就是數據產業反不正當競爭的典型案例。涉案的脈脈軟件是一款“基于移動端的人脈社交應用”，通過分析用戶的新浪微博和通訊錄數據，幫助發現新朋友。原告微夢公司是新浪微博的經營人，被告淘友技術公司、淘友科技公司共同經營脈脈軟件及脈脈網站。原被告曾簽訂《開發者協議》并通過微博平臺Open API進行合作。根據協議，被告僅為普通用戶，可以獲得新浪微博用戶的ID頭像、好友關系、標簽、性別，無法獲得新浪微博用戶的職業和教育信息，但被告違反協議，將大量未注冊為脈脈用戶的新浪微博用戶的相關信息展示在脈脈軟件中，且雙方合作終止后，被告仍繼續上述行為。

該案經北京市海淀區法院和北京知識產權法院兩審，2016年12月作出終審判決。法院經審理認為：第一，被告獲取新浪微博信息的行為存在主觀過錯，違背了在Open API開發合作模式中，第三方通過Open API獲取用戶信息時應堅持“用戶授權”+“平臺授權”的雙重授權原則，違反了誠實信用原則和互聯網中的商業道德，因此被告獲取并利用新浪微博用戶信息的行為不具有正當性。第二，被告未經新浪微博用戶的同意及新浪微博的授權，獲取、使用脈脈用戶手機通訊錄中非脈脈用戶聯系人與新浪微博用戶對應關系的行為，違反了誠實信用原則及公認的商業道德，破壞了Open API的運行規則，損害了互聯網行業合理有序公平的市場競爭秩序，一定程度上損害了原告的競爭優勢及商業資源，因此，被告展示對應關系的行為構成不正當競爭行為。

其五，大數據技術增加商業秘密認定的不確定性。商業秘密在表現形態上是一種信息，大數據技術增加了商業秘密認定的不確定性，涉及保護客體的范圍大小、如何確定數據的非公開性，以及對是否釆取合理保密措施的認定。

第一，如何界定商業秘密的客體？大數據時代，企業通過客戶端、網頁、應用程序聯系到龐大的用戶群，他們既是信息的接受者、傳播者，也是現實或潛在的消費者。對用戶數據的挖掘分析，可用于改善現有服務，發掘新的贏利點，創造利潤。而獲取用戶數據需要投入資本、技術和人力。那么，是不是所有的用戶數據都可以作為商業秘密加以保護？如果將其全部納入商業秘密保護范圍，會導致商業秘密的客體泛化。

第二，如何確定數據的非公開性？越來越多的商業信息、個人信息在移動客戶端、社交軟件、電子郵件和瀏覽器中留下痕跡，這些信息在大數據技術條件下變得易于獲取且難以去除標簽，甚至在注冊使用網絡平臺、應用程序時，用戶在不經意間已經授權網站和客戶端獲取這些信息。因此，數據的秘密性大打折扣，加之數據獲取途徑增多，數據分析挖掘工具性能增強，由此導致認定商業秘密非公開性的難度和分歧也隨之增加。

第三，如何認定采取合理的保密措施？司法實踐中通常要求，只有采取了合理保護措施的信息才能被當作商業秘密，且是否采取合理保護措施的衡量標準需要與其商業價值相適應。網絡存儲和云技術的發展導致對相關認定產生分歧。比如，權利人將商業秘密存放于云端或者網盤并設置密碼，是否屬于對數據采取了合理措施？以技術標準劃分，存儲空間可以分為私有云和公有云，VIP付費網盤和普通免費網盤。因此，有觀點認為，如果將數據存放在私有云，云端處于權利人支配之下，且用戶設置密碼，屬于合理的保護措施；如果是公有云，則不然。以意圖表示劃分，則有觀點認為，不論公有云或私有云，VIP付費網盤或普通免費網盤，只要他人能夠意識到存在保密措施，比如需要輸入用戶名和密碼才能訪問，則應被認為釆取了合理的措施。

大數據的立法問題及應對建議

其一，是否將數據信息納入知識產權客體？

在立法層面，立法者對是否將數據信息納入知識產權客體的態度發生過轉變。2016年7月《民法總則（草案）》征求意見稿在第一百零八條第二款第八項中，將數據信息納入知識產權的客體范圍，使之成為和作品、商標、專利、集成電路布圖設計、植物新品種等知識產權客體中的一類。然而，3個月之后，同年10月《民法總則（草案）》第二次審議稿中，數據信息就從知識產權客體中刪除。2017年3月15日頒布的《民法總則》也并未再將數據信息納入知識產權的客體范疇。

《民法總則》將數據信息從知識產權客體中刪除的原因之一是對可能侵害個人權利的擔憂。數據信息中包含可識別個人身份和行為的信息，如果將其納入到知識產權客體范疇，會出現數據釆集者、數據開發者代替用戶成為數據權利人的情況，從而可能導致用戶的個人信息和隱私被網絡服務提供者以知識產權加以控制。基于這種擔憂，立法釆取了謹慎態度。

學界對是否將數據信息納入知識產權客體也存在爭議。有學者認為，數據信息的本質屬性是否為智慧成果，數據信息的內容是否具有財產價值和人身價值并不確定，因此，用知識產權保護數據信息在正當性、科學性和可操作性方面都存在疑問。也有學者認為應當將數據信息納入知識產權客體，這將對中國數據產業的發展產生巨大的推動力，同時對世界有關立法發揮引領性作用。

作為知識產權客體的智力成果，一般均表現為一定的信息，但并不是所有的信息都是知識產權客體。建議對數據信息劃分為兩個層次：一是未經處理針對個體的數據信息，此類數據信息涉及個人的活動方式、活動空間、活動內容，與個人相聯系，具有明顯的身份特征，通過此類數據信息可以定位到個人。因此，應將此類數據信息納入個人隱私權的保護范疇。二是經過處理后的數據信息，此類數據信息是通過大數據技術對采集的海量數據經過清洗、分析、挖掘等一系列的數據處理加工后得到的數據信息。對于第二層次經過處理后的數據信息，已經不再具有原生數據的個人身份因素，同時經過分析、挖掘后得到的數據信息再經過結構性組合，形成了具有創造性的智力成果，可以納入知識產權客體。將此類數據信息作為獨立的知識產權客體加以保護，可以避免大數據產業在傳統知識產權框架下面臨的困境，如基于大數據理念構建的數據庫因缺乏獨創性不能享受著作權保護；或由于對數據信息是否具有商業價值難有定論而無法作為商業秘密保護。

其二，是否將被遺忘權引入中國法？

區別于紙張記錄的信息，在電子介質或云端存儲的數字化信息，除非人工干預，否則永遠不會被遺忘，某些已經公開的信息已經過時，但卻會給當事人帶來不利影響，由此就引發了“被遺忘權”問題。

2014年谷歌西班牙案中，被遺忘權第一次出現在司法實踐中。1998年，西班牙《先鋒報》刊登了西班牙公民岡薩雷斯因無力償還債務而遭拍賣物業的公告。2009年，岡薩雷斯發現谷歌搜索收錄了該公告，并指向《先鋒報》報道的鏈接。岡薩雷斯認為這些信息已經過去多年，不再有相關性，要求谷歌刪除其鏈接。歐盟法院根據《數據保護指令》認為，谷歌屬于數據處理者和控制者，其對搜索結果負有注意義務。該案中，帶有岡薩雷斯個人數據的新聞報道是“不必要、不相關和已過時的”，因此，歐盟法院要求谷歌在搜索引擎中刪除鏈接，保證通過谷歌的搜索服務無法打開該鏈接。

2016年歐盟《通用數據保護條例》在《數據保護指令》的基礎上，明確規定了被遺忘權的實質性內容，并將刪除對象從搜索服務提供商進一步擴展到存儲服務提供商和緩存服務提供商等所有的數據控制者，并將刪除的定義從切斷搜索結果鏈接進一步擴展到直接刪除源網站的數據。被遺忘權的確立增加了搜索引擎的審查和注意義務，谷歌甚至專門成立了一支經過培訓的審核團隊，在具體執行上，谷歌采用關鍵詞、域名、訪問地址等技術措施，將被遺忘權的影響范圍降到最低，甚至可以通過優化檢索策略來加以規避。另一方面，為了避免相關訴訟，谷歌將某些負面報道的鏈接主動刪除，由此也引發了“選擇性遺忘”的爭議。

2015年，國內也出現第一例與被遺忘權相關的案件。原告任甲玉曾在陶氏生物科技公司從事教育培訓工作并于2014年離職，但直至2015年起訴前，在百度搜索“任甲玉”，搜索結果的相關搜索處仍顯示“陶氏教育任甲玉”等關鍵詞。同時，搜索“陶氏教育”會顯示“陶氏教育騙局”等相關搜索詞條。任甲玉認為由于百度搜索將其姓名與業界口碑不好的陶氏教育相關聯，導致其多次丟失工作機會與客戶，因此要求百度斷開其姓名與陶氏教育的關聯性搜索鏈接。該案經北京市海淀區法院和北京市一中院兩審，2015年12月作出終審判決，法院駁回了原告的全部訴訟請求。對于原告主張被遺忘權，法院認為，我國現行法律中沒有對被遺忘權的規定，也沒有被遺忘權的權利類型。因此，原告依據一般人格權主張被遺忘權屬于一種人格利益，就必須證明其在該案中的正當性和應予保護的必要性，但原告未能加以證明，因此，法院對原告的訴訟請求沒有給予支持。

從歐盟適用被遺忘權的效果來看，直接在中國法律中引入被遺忘權并不是解決相關爭議的最佳途徑。同時，即使適用被遺忘權也必須進行嚴格的適用情境測試，需要考慮產生爭議的數據信息是否屬于私人性質；是否涉及公共利益，數據主體是否是公眾人物；數據是否是公共記錄的一部分，數據主體是否受到了實質性的傷害以及數據信息的時效性等諸多因素。

因此，當務之急是在現有法律體系框架內尋找解決方案。事實上，妥善利用《侵權責任法》的“通知-刪除規則”和《網絡安全法》賦予個人的要求更正權就可以解決被遺忘權的問題。《侵權責任法》第三十六條規定，網絡用戶、網絡服務提供者利用網絡侵害他人民事權益的，應當承擔侵權責任。該條進一步明確了網絡侵權的“通知-刪除”規則，即網絡用戶利用網絡服務實施侵權行為的，被侵權人有權通知網絡服務提供者采取刪除、屏蔽、斷開鏈接等必要措施。網絡服務提供者接到通知后未及時采取必要措施的，對損害的擴大部分與該網絡用戶承擔連帶責任。根據這一規定，只要存在侵權行為，無論是侵犯知識產權，還是侵犯當事人姓名權、名譽權、隱私權等法定權利，權利人都可以據此要求網絡服務提供者刪除、屏蔽相關侵權信息。2017年6月起施行的《網絡安全法》進一步擴大了個人信息的范圍，即便是碎片化的網絡信息，只要與其他信息結合后能識別出特定主體的身份，都屬于個人信息范疇。該法第四十三條規定，個人發現網絡運營者收集、存儲的其個人信息有錯誤的，有權要求網絡運營者予以更正。網絡運營者應當釆取措施予以刪除或者更正。

因此，通過要求網絡服務提供者履行《侵權責任法》和《網絡安全法》規定的刪除侵權信息或錯誤信息的義務，基本可以達到適用被遺忘權的效果。后續的關鍵是如何在個案中解釋和確定哪些信息屬于侵權信息或錯誤信息，這不僅要求對法定權利的準確理解，更涉及如何在個人權利和公共利益之間尋求平衡。

基金項目：本文為國家知識產權局軟科學項目“大數據產業知識產權保護研究”（項目編號：SS16-C-29）的部分研究成果。

（來源：《中國發明與專利》2018年03期）

（作者單位：清華大學深圳研究生院）