商业利用边界与信息隐私保护制度研究

商业利用是指以平台服务商、数据商等为代表的商家，以营利为目的，依据法律，对个人信息进行收集、存储、分析利用和转移等方面的活动。其具有以下几个主要特点：

一是以营利为目的。商业活动与其他活动的一个重要区别就在于以营利为目的。这意味着商家会从数据利用活动中获得利润，但这种获利往往具有外部性，即对个人隐私的侵犯。那么由商家承担一定的信息管理义务就是有缘由、有依据的。

二是以创造价值为要求。个人信息本属于隐私的范畴，是日益显现的数据应用价值使个人信息的利用在法律上获得了一定的正当性。如果没有数据价值的开发，只是通过盗卖个人信息来牟取非法利益，那么这就是法律所禁止的。所以，这里所谈论的商业利用是指正常的行业活动，不包括非法获取和非法提供个人信息的活动。

三是企业之间存在竞争。既然是商业活动，只要不属于独家特许经营，就会存在市场竞争。比如，存储于某个数据公司数据库中的个人数据，能不能由其他公司随意抓取？这既关乎于用户的隐私安全，又涉及企业的权利。这种围绕数据抓取展开的纠纷已经越来越多地出现在各国的司法诉讼中。

善意与规范，似乎是所有企业行为所应当具有的基本要素。因为秉持善意，可以尽最大可能做到不伤害；因为做到规范，接受法律法规的约束，可以尽最大可能做到无过错。作为一内一外两种力量，善意与规范可以说是互联网隐私保护对企业的两个基本要求。

2017年7月，“2017首届中国城市信用建设高峰论坛”在杭州召开，论坛上芝麻信用宣布正式设立首席隐私官一职。首席隐私官将在产品中引入关于个人信息保护的部署，并将不断提高员工隐私保护意识。芝麻信用首任首席隐私官聂正军介绍，此前芝麻信用对个人信息安全的保护分布在业务的各个流程中，现在要建立全面、全流程的统筹部署，更好地进行隐私保护。聂正军提出了芝麻信用数据安全和隐私的“四原则”：尊重用户知情权和选择权；一切以为用户创造价值为依归，对用户隐私心怀尊重和敬畏；技术为数据安全与隐私保护保驾护航；建立“三同时制度”。其中，“三同时制度”是指产品设计时，同时制定数据安全与隐私保护的管理方案；产品方案实施时，同时实施数据安全和隐私保护管理措施；产品上线时，同时上线数据安全和隐私保护管理功能。

芝麻信用隐私官的发言中“对用户隐私心怀尊重和敬畏”不失为其中的一个亮点。在过去的实践中，用户隐私泄露未必是企业有意为之，但确有忽视之过。随着隐私泄露带来的危害接连不断地展现在人们面前，企业应该怀有一份敬畏之心。有了尊重和敬畏的存在，就会有主动的防御准备，正如发言中提到的“三同时制度”，我们希望看到企业在保护用户隐私方面做出的实实在在的努力。

2017年7月27日，作为“个人信息保护提升行动”重要组成部分的“隐私条款专项工作”正式启动，目的在于落实网络安全法中个人信息保护的相关要求，从而提升网络运营者个人信息保护水平。此次工作由中央网信办、工信部、公安部、国家标准委等四部门共同组织实施，对新浪微博、淘宝、京东商城、支付宝、高德地图、百度地图、滴滴出行、航旅纵横、携程网等10款网络产品和服务的隐私条款展开了首批评审工作。评审内容包括隐私条款内容、展示方式和征得用户同意方式等。参与评审的十家企业共同发布了《个人信息保护倡议书》，对尊重用户的知情权、控制权，保障用户信息安全，保障产品和服务的安全可信等做出了承诺。

在此期间，参评企业纷纷更新了注册协议和隐私政策，并在用户登录页面予以展示。以京东为例，同时公布的有三个文件，包括《京东用户注册协议》《用户隐私政策》和《订单共享与安全》。其中的注册协议设置了“用户个人信息保护及授权”条款，并用加粗字体提示用户予以注意。并承诺“除法律法规规定的情形外，未经您的许可京东不会向第三方公开、透露您的个人信息。京东对相关信息采取专业加密存储与传输方式，利用合理措施保障用户个人信息的安全”。同时，在“用户行为规范”条款中，要求用户“不得发布任何侵犯他人隐私、个人信息……合法权利的内容”。

《京东隐私政策》更是对用户的信息隐私保护做出了详尽的介绍。正文一开始，便在“引言”中表示：“我们非常重视用户的隐私和个人信息保护。您在使用我们的产品与/或服务时，我们可能会收集和使用您的相关信息。我们希望通过本隐私政策向您说明我们在您使用我们的产品与/或服务时如何收集、使用、保存、共享和转让这些信息，以及我们为您提供的访问、更新、删除和保护这些信息的方式。”接着，依次介绍了“我们如何收集和使用您的个人信息”“我们如何使用Cookie和同类技术”“我们如何共享、转让、公开披露您的个人信息”“我们如何保护和保存您的个人信息”“您如何管理您的个人信息”，“未成年人的个人信息保护”“通知和修订”以及“如何联系我们”。

这些文件的制作和公布，可谓在用户隐私保护上迈出了一大步，改变了之前只见立法不见执行的局面。至少在规范性上，各大互联网企业做出了实际行动。

作为规范个人信息利用活动的重要法律，《全国人大常委会关于加强网络信息保护的决定》和《网络安全法》中都要求在收集用户个人信息以及向用户推送信息时必须“经过用户同意”。对于推送阶段而言，不大可能在信息推送前就取得用户同意，因为只有先进行了信息推送，用户才知道所推送信息的内容是什么，也才知道这些信息对自己有没有用处。这时候，退出机制的设置就显得尤为重要，这是隐私主体行使决定权的重要方式。

在向用户进行信息推送的实践中，服务商通常是直接推送，同时提供退出机制。比如，当商家获知用户在近期购房的信息后就会向其推送装修广告，当商家获知用户经常浏览母婴产品后就会向其推送早教广告，还有汽车保险、理财产品、旅游购物等各种类别的商业信息。与以前的“垃圾短信”乱象相比较，现在的信息推送活动更加注重合规化，大多都同时带有退出机制，即“如需退订请回复TD”（图8-2-1，图8-2-2）。这种将“事前同意”转化为“事后选择”的变通做法由于更具有可操作性，也得到了相关部门的默认。相较于手机而言，电子邮件的信息推送，主要是通过在标题标注“推广邮件”等字样来标明邮件性质，用户可以选择打开，或者直接将发件人拉入黑名单。无论是哪种信息终端，实质上服务商都是在以适当的方式赋予用户自由选择是否继续接收信息推送的权利，以保证行为活动的合法合规。

图8-2-1 亚马逊广告推送页面

图8-2-2 摩拜单车广告推送页面

美国联邦通信委员会官方网站于2014年9月3日宣布与威瑞森通信公司达成和解，以对方支付740万美金的代价终结了对其侵犯个人隐私的调查。威瑞森的违法行为主要是没有对大约200万用户进行事前告知，而是直接获取了用户的个人信息并用于营销，并且没有提供给用户“选择退出”的机会。^[14]事先告知制度虽然在欧洲国家普遍存在，但由于其高昂的履行成本而饱受争议，向用户提供退出机会则是各方的共识。与事先通知相比，设置退出机制的成本要低廉很多，与信息推送几乎可以同步进行，并无明显的额外支出，是一项比较理想的机制。

商业利用中还有一个亟须确立边界的领域，即互联网公司之间的数据抓取。随着个性化服务、人工智能等对数据资源需求的增长，数据的流动将更为活跃。但是，公司之间能否任意地抓取数据，以及按照何种原则来确立数据在商业利用中的权利归属，就成为平息企业之间的数据争夺、让数据有序流动的关键。

2014年8月7日，在数据抓取问题上具有代表性意义的国内“机器人协议案”在北京宣判。围绕360搜索引擎是否违反Robots协议而引发的不正当竞争纠纷一案，由北京市第一中级人民法院做出一审判决，法院认为被告北京奇虎科技有限公司（以下简称奇虎公司）的行为违反了《反不正当竞争法》的相关规定，应赔偿原告北京百度网讯科技有限公司、百度在线网络技术（北京）有限公司（以下简称百度公司）经济损失及合理支出共计70万元，同时驳回百度公司的其他诉讼请求。此案从立案到做出判决，历经一年多的时间。

1.案件背景

Robots协议，又称机器人协议或爬虫协议，该协议就搜索引擎抓取网站内容的范围作了约定，包括网站是否希望被搜索引擎抓取，哪些内容不允许被抓取，网络爬虫据此“自觉地”抓取或者不抓取该网页内容。自推出以来，Robots协议已成为网站保护自有敏感数据和网民隐私的行业惯例。

百度公司表示，2012年8月，360搜索悄然上线后不久即违反Robots协议，强行抓取百度旗下百度知道、百度百科、百度贴吧、百度旅游等网站的内容。360搜索在百度Robots文本中还未将360爬虫写入的情况下，违反Robots协议内容，强行对“百度知道”“百度百科”等百度网站内容进行了抓取。(www.xing528.com)

百度公司认为，奇虎公司的行为违背了国际通行的行业规则，不顾百度的权利声明和技术措施，非法抓取、复制百度网站内容，直接以快照形式向网民提供，严重侵害了百度公司的合法权益，构成了不正当竞争，遂向法院提起诉讼。该案于2013年2月正式立案，10月16日开庭审理。

2.庭审中的双方意见

在庭审中，百度公司表示，奇虎公司在经营360搜索引擎的过程中存在对百度公司的不正当竞争行为，具体行为包括：一、违反搜索引擎的机器人协议（Robots协议），擅自抓取、复制原告网站并生成快照向用户提供；二、在原告明确函告被告后，仍擅自抓取、复制原告网站并生成快照向用户提供；三、绕过原告网站，在用户点击搜索结果中原告的网站地址后，直接向用户提供快照服务。为此，百度公司请求法院判令被告立即停止对原告的不正当竞争行为，在www.360.cn等网站首页及《法制日报》等媒体显著位置连续30天刊登道歉声明，消除影响，赔偿经济损失1亿元以及为制止侵权的合理支出20万元。

被告奇虎公司辩称：第一，百度滥用Robots协议，以设置robots.txt文件为手段排斥同业竞争者，以达到限制同业竞争者正当竞争的目的；第二，百度公司滥用Robots协议的行为如果被司法判决确认保护，将给中国互联网搜索引擎服务行业的发展带来极为不利的影响，并将严重损害互联网用户的利益；第三，360搜索以网页快照而非原始网页链接方式显示百度公司内容网站的内容是由于百度恶意技术干扰所致，且360搜索早已不再通过网页快照方式显示百度内容网站搜索结果，百度公司在本案中控诉的所谓相关不正当竞争行为已不存在；第四，百度公司在本案中控诉的360搜索违反百度设置的robots.txt文件、抓取百度公司网站内容的行为不属于不正当竞争行为。综上，请求法院驳回原告的诉讼请求。

3.法庭之外的争论^[16]

百度公司公关部郭彪向媒体表示，Robots协议是网站信息和网民隐私保护的国际通行规范之一，理应得到全球互联网公司的共同遵守。360公司回应称，Robots协议的本质是网站和搜索引擎爬虫的沟通方式，用来指导搜索引擎更好地抓取网站内容，Robots协议的创始人Martijn Koster从一开始即预测到，有的商家可能用其作为不正当竞争的工具。因此，他在1994年该协议创制伊始便告诫人们：“如果该协议被当成市场竞争工具，爬虫不需要采纳。”

同时，360公司认为，谷歌、雅虎、微软等的Robots协议都是旨在防止搜索爬虫抓取涉及用户登录的信息，同时对所有爬虫一视同仁。而百度Robots协议允许谷歌、必应、搜狗、搜搜、即刻、盘古等其他搜索引擎抓取百度知道、百度贴吧等的内容，唯独禁止搜索市场份额排名第二的360搜索抓取，这是滥用Robots协议维持其搜索市场垄断地位的行为。

百度公司则表示，不尊重Robots协议将可能导致网民隐私大规模泄露。此前，360服务器抓取网民隐私存储在自己的服务器上，因自身网站的漏洞被谷歌搜索抓取，导致奇瑞汽车内部采购文件、三峡集团财务报表等商业秘密，以及140万网民的隐私被泄露和传播。违反Robots协议再次暴露了奇虎360无视网站版权和网民隐私的一贯思维。奇虎360也因此遭到国家版权局、国家工商总局等权威部门的严厉批评。对此，奇虎360回应称，对于这项指责，奇虎360已多次公开澄清，并上报政府主管部门。并称：“百度公司再次散播谣言，这是对360公司的商业诋毁，我们将对其进行起诉。”奇虎360回击百度公司道：“百度曾多次被网友曝光百度搜索蜘蛛抓取了大量网站后台信息，甚至著名主持人撒贝宁的机票订单信息，包括撒贝宁本人的身份证号、手机号码、支付宝等敏感资料也可以在百度的网页上被搜索到。”百度公司也不甘示弱，指出奇虎360最为恶劣的，并非是其搜索爬虫故意违反Robots协议的做法，而是它利用360浏览器等客户端，强行抓取网民的浏览数据和信息到搜索服务器，完全无视Robots协议。这一做法目前已经导致大量企业内网信息被泄露。百度公司工程师通过一个名为“鬼节捉鬼”的测试，证明了360浏览器存在私自上传“孤岛页面”等隐私内容到360搜索的行为。这类利用客户端上传信息并放到其搜索上的行为，可能引发网民隐私的大范围泄露。如果一位证券公司的工作人员，不慎用360浏览器查看了客户的姓名、银行账号、密码等信息，那么客户账号和密码可能就会被公之于众；如果一个公司高层，用360浏览器查看了公司内部机密数据，那么这个公司的核心商业机密也可能就会被竞争对手直接搜索到。

奇虎360则称：“这是严重的造谣行为，360浏览器推出‘拇指计划’，用户在浏览网页时，可将自己认为优质的网站通过浏览器下方的“拇指”按钮提交给360搜索，增加该网站在360搜索上的评级，使高质量的网站更容易被更多用户搜索到。只有在用户选择点击“拇指”按钮后，360搜索才会收录当前网页，否则不会进行收录。所谓360浏览器泄露证券公司信息不属实，证监会早在今年7月5日召开新闻发布会就已经辟谣。”

IT评论人洪波（微博）指出，“（360无视Robots协议）这样的行为（如果）不及时从法律和政府监管上制止，所有网站都可以像360一样践踏行业规则的底线，整个互联网行业将大乱。”

知识产权律师赵占领认为，奇虎360采用技术手段避开了百度公司设置的版权保护措施，未经许可直接抓取并复制相关产品网页，涉嫌著作权侵权。同时奇虎360通过隐蔽访问来源等技术绕开了百度公司设置的保护措施，未经许可加以抓取，则涉及不正当竞争。赵虎律师也表示，根据《侵权行为法》和《民法通则》等一系列法律法规的规定，360搜索行为已经违法，由于360搜索的违法行为涉及面广、涉及人多，已经侵犯了社会公共利益，政府部门不能坐视不管，必须进行调查和处理。

4.法院意见

北京市第一中级人民法院在其新闻稿中指出：“原告既没有充分阐明如此设置Robots协议的理由，又拒绝修改其Roberts协议，故而其请求法院判令禁止被告抓取原告网站的主张不应得到支持。”^[17]这句话表面上是没有支持百度公司提出的诉讼请求，但实际上绕过了诉讼请求，对百度的数据库权利给予了默认：一方面百度公司设置了Roberts协议来阻止360爬虫的进入，这是一个已经发生并继续存在的事实，法院对此予以默认；另一方面，法院表示不会禁止360爬虫抓取百度公司的数据，因为百度公司已经有Roberts协议这个工具了，言下之意是百度已经具备自力救济的能力，无须法院的他力救济再介入。更重要的是，法院判决奇虎公司“赔偿百度经济损失50万，网站建设费20万”，这意味着如果360爬虫无视Roberts协议擅自进入百度公司数据库抓取信息，那么将承担经济赔偿责任。这就形成了以Roberts协议自力救济为主，在强行进入情况发生时法院判赔为辅的数据库权利保护机制。在其新闻稿的上方，法院还特别强调了“应依法公平竞争，杜绝‘以牙还牙’行为。”

2017年8月，美国地区法院审理了一起关于数据公司之间未经授权抓取用户数据的案件。但判决结果与国内百度诉奇虎案相差甚远：第一，被告LinkedIn公司不得阻止hiQ公司进入、复制并使用LinkedIn网站的公开信息，也不得采取法律或技术措施进行阻碍，若有则必须在24小时内撤除；第二，在临时禁制令期间，被告LinkedIn公司须撤回并禁止再向hiQ公司发送禁止其使用数据的法律声明。这意味着法院允许第三方公司从LinkedIn公司的网站上爬取LinkedIn公司的用户信息（主要是用户表示公开的那部分信息）。

LinkedIn公司是一家拥有5亿用户的数据公司，于2016年12月被微软公司以262亿美元进行收购。在LinkedIn网站上，用户可以自行选择注册不同等级的隐私保护体系，包括完全公开、对联系人公开、关系网公开等，如果用户选择完全公开信息，则其资料可以向LinkedIn以外的人士公开。另外，LinkedIn允许例如谷歌在内的全网搜索引擎收录其信息。

作为原告的hiQ公司，它的商业模式基本上是建立在对LinkedIn用户数据的分析之上的。hiQ公司认为LinkedIn是职业关系网领域内的绝对支配者，而hiQ公司为市场提供的两类产品分别是：为雇主分析哪些员工存在高离职风险的“监控者服务”和提供个体技能拥有者信息的“技能地图”。

在这个案件中，存在两个关键问题：一是LinkedIn在hiQ抓取数据的活动中遭受了何种损失；二是LinkedIn提出的hiQ的数据抓取行为侵犯了用户的隐私能否站得住脚。

就第一个问题而言，LinkedIn在庭审中并未有力地证明自己在第三方的抓取活动中遭受了明显的损失。这也是判决书中不断指出的问题。一家公司要阻止另一家公司使用自己数据库中的数据，却提不出具有说服力的理由，听上去似乎难以理解，但事实上这种尴尬状态并非LinkedIn一家公司的遭遇。

那么审理的焦点就聚集到了第二个问题上：hiQ的数据抓取行为是否侵犯了用户的隐私？这也是LinkedIn在庭审中提出的主要抗辩理由。但是，法官指出，hiQ所抓取的数据属于用户声明“可以公开”的数据，并未侵犯用户的隐私，从而LinkedIn无权干涉。LinkedIn进一步应对，声称即便是那些用户选择同意公开的信息，也可以由用户在其上设置“不予广泛通知”的标签，即在用户对其信息进行修改或更新后，这些打有标签的信息的更新情况不向其他人公布。事情似乎出现了转机，但hiQ的出击为自己赢得了优势。hiQ指出，对于那些带有标签的信息，LinkedIn自己一直在自由地使用着，并没有完全遵守“不予通知”的要求。LinkedIn辩称自己虽然使用了这些信息，但同时向用户做出了承诺，要保护他们的隐私安全，而用户默许这么做是基于对LinkedIn的信任。这一点被对方抓住，因为信任并非只能在LinkedIn与用户之间建立，包括hiQ在内的其他公司也可以与这些数据的主体（用户）建立信任，hiQ表示自己也很重视用户的数据安全。

发生在中国北京的百度公司诉奇虎公司案，从其争议的焦点来看，正好击中了互联网公司数据争夺战的肯綮，即在未获得允许的情况下，能否任意抓取别人数据库里的内容。该案中，百度公司并未将奇虎公司经营的360搜索引擎写入“机器人协议”，也就是说百度公司并未允许360搜索从百度公司的数据库中抓取内容。但是，360搜索不顾主人在门口悬挂的“非请勿入”提示牌，径直进入百度公司的数据库中抓取数据。对此，奇虎公司认为百度公司允许其他引擎抓取数据，唯独排斥360搜索是为了保持百度公司在搜索引擎领域的垄断地位，从而360搜索对百度公司数据库内容的抓取是基于受到了百度公司方面的不公平待遇。法院的判决饶有趣味，从表面上看驳回了百度公司的诉讼请求，但仍然判令奇虎公司向百度公司赔偿经济损失和网站建设费。这主要是因为国内目前还没有关于数据库权利的明确规定，法院判决的表述是采取了一种迂回曲折的办法。从内容上看，判决书里否定了360搜索的任意抓取行为，支持了百度公司利用技术手段进行救济的做法。这在实质上是认可了百度公司对自己数据库的排他性权利。

发生在美国加州的hiQ v. LinkedIn案，其案情与中国的百度公司诉奇虎公司案非常相似。唯一不同的是，LinkedIn在自己的数据库管理过程中设置了关于信息私密程度的选项，供用户自己选择是否公开上传的信息，以及在何种程度上公开这些信息。实际上，互联网公司之间抓取用户信息，本来就涉及两个层面的问题：第一个层面是用户是否同意自己的个人信息被别的公司抓取；第二个层面是在用户同意的情况下，作为服务提供商的互联网公司是否同意别的公司来自己的数据库中抓取数据。这在逻辑上属于一票否决制，即只要用户或互联网公司有一方不同意，别的公司就不能抓取。因为在第一个层次上，涉及用户个人的隐私权；而在第二个层次上，又涉及互联网公司的数据库专有权。但hiQ v. LinkedIn案的审理过程并未按照这里本应有的逻辑进行，而是把整个问题只是集中在是否侵犯用户隐私权的层面，对互联网公司LinkedIn的数据库权利只字未提。这是LinkedIn方面诉讼策略的失误，同时也反映出数据库商业利用权属问题尚未获得足够的重视。该案以LinkedIn的完败结束。

从以上两个案例的对比中可以看到，数据库权属原则已经成为阻碍互联网信息有序流动的一个重要因素，而既有法律尚未对此做出明确规定，法院判决也出现因人（审判员）而异，因案（诉讼策略）而异的状况。数据库权利作为互联网公司之间进行数据利用的边界，亟须得到确立，这是不同数据库之间实现规模化有序融会贯通的前提条件。