一、導? 語

近年來，互聯網開始走向萬物皆可相連，在當前的互聯網經濟領域，數據成為最重要的市場競爭資源之一。互聯網經濟加速推動了信息通信技術和數據運算技術的深層次融合。

然而數據領域的“明爭暗斗”也從未停止過，各類法治問題也不斷顯現。其中最典型、最具爭議的莫過于數據爬取行為，尤其是在個人信息保護立法和相關部門提倡“互聯互通”的新背景下，對數據及數據爬取行為的特點和治理更需要進行透徹的理論分析支持。

二、數據與信息應分開考慮

（一）數據與信息的概念應予區分

數據和信息是迥然不同的兩個概念，應當相互區分開來。我國《民法典》采取了對信息和數據分別做出規定的做法，其中第111條規定：“自然人的個人信息受法律保護。任何組織或者個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。”而第127條規定：“法律對數據、網絡虛擬財產的保護有規定的，依照其規定。”此外，《數據安全法》將數據理解為“任何以電子或者其他方式對信息的記錄”；而《個人信息保護法》則將個人信息定義為“以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息”。從上述法律規定可以看出，數據和信息是二分的，應當分別看待。

（二）個人對個人信息/數據僅享有人格權益

長久以來，當談及數據時，人們指的僅僅是個人數據或個人信息。在大數據、人工智能、云計算等信息技術迅猛發展的當今，這樣的認識已不合時宜。

數據權是一種獨立于個人信息權的權利類型。“數據權”，意謂數據控制者對“數據集合”（collection of data）享有的占有、處理、處分的權利。首先，數據權的權利主體是“數據業者”，即依法開展數據收集、存儲、加工、傳輸活動的商事組織及特定條件下的自然人。其次，數據權的權利標的是“數據集合”，即通過計算機技術形成、以二進制信息單元0/1表示的半結構化或多結構化巨量電磁記錄。與“數據庫”（database）不同，它不需要經過嚴格邏輯匯編（“結構化”），亦不要求原創性，并在規模、種類、更新的及時性和速度遠超前者。最后，數據權的權利屬性是對世性的財產權。這意味著它是可轉讓的具有經濟價值的法律關系集合體；同時，憑借著占有或登記的公示方法，它得以對抗任意第三人。

《數據安全法》明確提到“保護個人、組織的合法權益”。那么，個人、組織對數據究竟分別享有什么樣的合法權益？

2021年11月，《上海市數據條例》出臺，筆者也參與到了該條例的制定過程中。條例中提及自然人和法人對于數據的兩種權益的劃分，規定自然人對于與個人信息相關的數據享有人格權益，而對于除此以外的數據則由企業享有財產權益。根據《上海市數據條例》的相關規定，對于互聯網平臺上的數據，互聯網平臺經營企業享有財產權益，而個人僅享有人格權益。需要注意的是，對個人數據享有的人格權益實際上就是對個人信息享有的人格權益，在“個人信息”之上再疊加一層“個人數據”的概念并無意義，兩者僅是同一問題的兩個方面。

（三）個人數據可攜權的相關制度和規定不適用于評價競爭者抓取、移植平臺數據的行為

我國《個人信息保護法》第45條第3款規定了個人信息的轉移權：“個人請求將個人信息轉移至其指定的個人信息處理者，符合國家網信部門規定條件的，個人信息處理者應當提供轉移的途徑。”從該規定可以看出，我國《個人信息保護法》與歐盟對個人信息可攜權的規定完全不同。

首先，我國《個人信息保護法》采取的是將可轉移和訪問權合一的表述方式，即無論訪問、查閱、復制、轉移，指向的對象都是個人信息，查閱、復制等所有這些行為都是要滿足人的可讀而不是機器可讀；而歐盟《通用數據保護條例》（GDPR）規定的個人信息可攜權是與查閱信息權分開的，其第20條單獨規定了“個人數據可攜權”（Right to data portability），第15條中規定了“訪問權”（Right of access by the data subject），且“訪問權”的對象和“可攜權”的對象完全不同。根據GDPR第15條對訪問權的相關規定，訪問的前提是針對數據被處理，訪問目的是了解數據被處理的情況，因此訪問的對象是被處理的數據，涉及的數據類型以被實際處理的數據類型為標準，如果數據主體以電子形式發出請求，信息則應當以通常使用的電子形式被提供。但GDPR中有關可攜權的第20條則規定，所涉及的數據僅僅是個人數據，數據主體有權以結構化的、常用的和機器可讀的格式接收他/她提供給控制者的與他/她有關的個人數據。因此，無論在行為動因、行為對象、執行方式、數據及信息呈現形式等層面上，GDPR對可攜權和訪問權的規定都是完全不同的。

其次，歐盟GDPR規定的個人信息可攜權是以個人對其因人身權益而產生的自身數據的控制權即“自我決定權”，以及促進數據流動、推動數字經濟競爭為前提的，但在我國不存在這樣的前提——我國《個人信息保護法》沒有對個人信息可攜權的規定，促進個人信息流動也不屬于《個人信息保護法》的立法目標，《個人信息保護法》通篇沒有談到促進數字競爭。

我國《個人信息保護法》之所以要規定對個人信息的轉移權，是為了適應兩種情形下的個人信息轉移需求：一種是個人醫療信息的轉移需求，另一種情形則是教育、就業場景中個人信息的轉移需求。所以我國《個人信息保護法》規定個人信息的轉移權并非服務于促進市場競爭或數據自由流動，而是服務于個人的人格利益之需要。

在個人數據可攜權所對應的數據類型和欲保護的法益不區分明確的前提下，無論是個人數據可攜權還是個人信息轉移權的相關制度和規定，如果適用于評價競爭者抓取、移植平臺數據，都顯然沒有依據。

（四）數據爬取行為損害了平臺享有的法益

“數據爬取”是在未經數據控制者授權的情形下，由爬蟲程序根據預先設定的策略路徑，對網頁數據進行訪問和爬取，將主要信息存儲于本地服務器中，并進行分析整理。

當數據源自網絡用戶的個人信息時，數據權和個人信息權就成為一對既彼此關聯又相互沖突的權利。需要明確的是，競爭者的數據爬取與個人用戶的信息轉移存在本質上的區別。一些用戶小范圍、小規模地在不同平臺之間轉移或者上傳信息，是零發的個別現象。而數據層面的爬取、利用、移植等行為則不同于這些個別的信息轉移行為。目前司法實踐面對的恰恰是這種大規模的數據爬取、利用、移植行為，在這樣的行為下，數據的財產性權益將首當其沖遭受損害，不僅可能直接帶來數據安全方面的問題，還可能造成數據價值的貶損。

數據爬取行為對平臺數據權益的損害顯而易見。這種損害可以從兩個層面看待——除了作為展示或者結果遭受的損害以外，還存在數據作為輸入品所遭受的損害。目前我國反壟斷法正在修改，2021年10月最新公布的反壟斷法修正草案也強調，經營者不得濫用數據和算法、技術、資本優勢以及平臺規則等排除、限制競爭。這個規定從側面印證了數據是企業獲得競爭優勢的重要生產要素和工具。筆者認為，在考慮數據爬取行為是否損害平臺享有法益的問題時，不僅要將數據作為展示或者結果來考慮，還要考慮數據作為生產要素對于平臺整個價值影響的多少，數據的累積對于市值、商譽的影響。

三、信息和數據層面的互聯互通仍待探索

（一）互聯互通的概念辨析及其層次性

2021年9月，工信部牽頭舉辦的一場“屏蔽網址鏈接問題行政指導會”上，參會的阿里巴巴、騰訊、字節跳動、百度、華為、小米、陌陌、360、網易等企業被要求在9月17日前必須按標準解除屏蔽，否則將依法采取處置措施。這一事件，被大眾解讀為“平臺互聯互通大勢所趨”。

理解平臺間的互聯互通問題，還應回歸到互聯網層級架構上來。通常認為，互聯網層級架構的底層就是基礎設施層面的互聯互通；第二個層面是基礎設施之上的代碼層的互聯互通，多通過行業組織來協調實現互聯互通；再向上是應用層的互聯互通，典型案例如2021年的“臉書案”，主要爭議就在于臉書是否向競爭對手開放APP；再上一層是數據層，可以實現數據層面的共享、遷移；最后才是信息層面。

（二）互聯互通與私益之間的關系

互聯互通的實施，并非一蹴而就，也絕非可以直接實現五個層次的互聯互通，互聯互通的有序推進，需要審慎地保護信息平臺的權益。

互聯互通受到推崇的一個重要原因，是希望培育更多的競爭者，讓競爭者能夠進入市場，但互聯互通首先不應當造成對權益人的損害。當前環境下，實施互聯互通的主體以平臺型企業為主，如果對平臺企業要求超過經濟規律的開放要求，極有可能會損害平臺的合法權益，使其喪失激烈競爭下好不容易積累的優勢地位。互聯互通所追求的價值絕不會是侵犯合法經營者的利益，打擊合法經營者的產業積極性。

（三）信息和數據層面的互聯互通的正當行為方式

從底層的物理層到頂層的信息層，關于互聯互通的爭議也逐步加大，從底層向上呈現共識愈來愈少的趨勢。物理層的互聯互通目前已成基本共識。到代碼層國家就已經退居幕后了，主要依靠國際組織或者行業組織連接。到應用層，經營者沒有義務向競爭對手開放自己的競爭場所，這一層面，除了惡意不開放外正常經營都不會造成影響。數據層面，互聯互通只有少數國家、地區特別立法，如英國的開放銀行或者歐盟的可攜權，這些措施皆非任何國家或第三方可以隨意仿效的。信息層面互聯互通的立法或實踐目前還十分鮮有。

在當下環境中，實現信息和數據層面的互聯互通仍缺乏客觀環境，實現這一層面的互聯互通仍需在尊重市場經濟規律的前提下，尊重市場主體的合法權益，維護正常的競爭秩序。

四、爬取數據的不正當性

（一）個人對平臺數據不享有權益

當互聯網平臺數據中包含有個人信息時，個人當然對于這些與個人有關的信息享有一種個人信息權益。但是，當這些信息進一步上升成為知識產權的載體（包括融入了平臺的正當競爭者利益）時，就需要審視企業和個人之間對于這些UGC（用戶生成內容）的權益分配。

《個人信息保護法》第4條規定，個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。

平臺在用戶內容基礎上進行收集、存儲、編排、管理、傳播等一系列處理之后所形成的數據和數據集合，有賴于平臺投入的經濟成本、人力成本及智力勞動，這些平臺數據的權益應歸屬于平臺，而非個人。

互聯網平臺經營企業對數據享有財產權益，這樣的規定也沿襲了《民法典》第127條中將數據和虛擬財產并列提及的思路。司法實踐中對這種財產權益有進一步的限縮，通常稱為“競爭性財產權益”，而個人對于這些數據是不享有任何財產權益的。

（二）無論用戶是否“授權”，爬取數據均具有不正當性

實踐中，爬取數據的一方，往往使用“用戶授權”作為抗辯理由，對此，有兩點值得思考：

第一，現行法律下，“個人授權”是站不住腳的。《個人信息保護法》中，并未提到個人信息“授權”，而是用“同意”，同意并不是一個可以確定發生最終效果的法律行為，可以理解成是一個準法律行為，它僅僅代表一方的意愿，而不能代表對他方權益的有效處分。

民事主體對其權利的處分不得超出自身所享有的權利范圍，《個人信息保護法》保護的是個人信息背后的人格利益，就個人信息本身來說，個人并不享有任何權益授予第三方，更不用談，個人將本不屬于自己的平臺數據，授權給第三方進行爬取。

第二，爬取數據的行為，將幫助爬取者攫取競爭優勢，極大損害被爬取平臺利益，長遠來看還將損害廣大消費者利益、擾亂市場競爭秩序。爬取者將平臺數據移植到自己平臺，將使被爬取平臺失去數據的源發優勢、先發優勢等，在用戶之爭日趨激烈的今天，這將使得被爬取平臺投入大量資金、技術、服務等成本建立起來的競爭優勢遭到極大削弱，如果允許這種不勞而獲、侵害他人權益建立自己市場優勢的行為存在，將造成被爬取者無法從市場競爭中獲得相應的回報和有效的激勵，從而使其降低對相應產品和服務的研發與投入，甚至退出市場，還會間接鼓勵其他經營者對其競爭資源不當攫取、坐享其成的行為，長期來看，將嚴重擾亂競爭秩序，引發市場激勵機制失靈，導致符合社會需求的產品和服務供應不足，最終阻礙社會總體福利的提升，損害消費者的長遠利益。

五、結? 語

個人信息與平臺數據具有高度區分性，個人對數據中包含的個人信息只享有人格權，而其財產性權益則歸屬于企業所有。我國對個人信息保護并不體現于數據可攜權，數據轉移過程中的“用戶授權”問題，實質上是指用戶對個人信息的授權，而不對信息授權，個人在數據、信息移植行為中并不享有權益，不存在通過授權的方式讓渡給第三方的可能性。對平臺數據的爬取行為，侵害了平臺的合法權益，其行為不具有正當性。

互聯網經濟進入新階段，數據與信息成為大型互聯網平臺的核心利益所在，為保障市場競爭秩序、促進互聯網經濟發展活力，應對平臺合法享有的數據權益給予充分保障，對平臺之間濫用技術手段爬取數據的無序擴張行為加以規制，保障互聯網平臺經濟健康有序發展。