许 娟：互联网疑难案件中数据权利保护的风险决策树模型

互联网疑难案件的风险决策树模型是在不同场景下的数据权利结构变迁过程中逐步形成的，每一次权利的规范选择也是一次权利的风险过滤。随着技术发展，无论是同意权的行使，数据控制权的隐私边界，数据垄断的认定，数据泄露的风险安全规制，还是关联公司数据利用的风险责任认定，都需要以博弈的决策树将权利保护模型化。从新浪诉脉脉案与领英诉hiQ案的对比可知：以自由优先、反向禁止抗辩、过程平衡选择和司法保守选择等相关的议题进行权利的规范选择。法院应当根据互联网市场发育的阶段性特征，围绕数据经营自由权与其他相关权利的博弈，设立“私法自我设权被高权行为禁止”“允诺禁反言”“禁止瓶颈设置”等公权原则，减少数据权利保护的行为选择风险。

文章摘要

与一般案件不同，互联网疑难案件是无固定概念、无固定形态、无固定场景的信息根据算法的改变产生出节点性权利的博弈。法院审判委员会（以下简称审委会）作为疑难案件的集体决策机构需要根据复杂的、动态的数据权利结构的决策树做出规范选择。目前可知的四种分布式决策场景分别为：一是底层数据安全及其个人隐私权保护的代码1.0场景；二是数据交易民事权利保护的代码2.0场景；三是大数据平台企业信息产权保护的代码3.0场景；四是国家对大数据治理的代码4.0场景。

一、数据权力结构变迁过程中的决策树

基于个人信息的立法不足，法学界对个人信息权是权利还是法益争点不明，审委会作为负责疑难案件决策机构，其决策依据是权利结构的有效配置，考虑的是在相互冲突的权利之间选取一个利益最大化和风险最小化的决策。由于疑难案件的权利冲突非常复杂，审委会难以通过一次博弈就形成一个最终有效的决策，需要经过多次反复博弈不断结出决策分叉节点。一个司法决策可以化约为多个决策节点下的最终决策节点。基于信息法律体系的变动性的根本特征，审委会通过对不同类型的数据权利进行双边博弈，然后在分布式决策场景下进行多议题多相关自动谈判，形成决策树。

1.个人信息权（视为）与数据经营自由权的初始博弈均衡解。总体而言，网络服务商占有、使用、收益权与个人信息的支配权形成一组均衡态，法院必须根据时空迁移带来的场景变迁的元法律关系，即请求权、支配权、形成权、抗辩权等权利形式进行权利配置。具体而言，在信息开始流动，市场开始发育，法院在个人信息权（视为）和数据经营自由权之间进行法益衡量（①vs②）。

随着我国互联网市场的急剧发展，互联网步入了代码2.0场景，各国为了加大数据利用的空间，日益减少对代码1.0下同意权以及底层数据安全的关注，转向强调对代码2.0场景导向和数据利用中的风险管理。在数据商业化利用的市场激励过程中，强市场自由+弱国家干预的整体比例模型可以满足大数据利用和隐私保护均衡的需要，强市场的数据权利结构是强②＞弱①的优选决策。

2.数据经营自由权与企业数据责任的次级博弈均衡解。一般情况下，数据权是在经过用户同意条件下自由行使的，在数据权行使过程中有可能出现对用户权利造成侵害的数据权滥用。在代码3.0场景下，数据业者提供产品、服务、内部经营、反欺诈场景、履行法定义务、维护合法利益以及实现公共利益等，均被视为合理行使，而无须再次取得用户的同意，形成“经营自由权+企业数据责任”（②+③）的均衡解。自由责任决策模型是通过企业享有数据经营自由权和企业内设隐私责任的博弈均衡解，基于企业内设隐私责任将代码1.0下的侵犯隐私权行为的最小化，形成与代码2.0场景下数据充分利用的数据经营自由权的均衡解。

数据请求权大体上有物上请求权、债权请求权以及侵权请求权之分，物上请求权和债权请求权的不同在于：债权请求权保护本身比物上请求权保护要弱，加上其债权合同自我设定的强制性条款会进一步弱化债权保护。为了增加数据债权保护的强度，需要通过物权的期待以强化债权的保护。法院除了考察数据合同外，还需要考察数据用益权及数据信赖利益的侵权，形成①vs②（C+R+T）的决策模型依据，其中C是债权的英文缩写（creditor’s rights），R是物权的英文缩写（real right），T是侵权的英文缩写（tort）。在代码3.0场景下，审委会对数据运营商自由责任决策模型做出向后无效的集体决策；如果第三人对数据侵权，那么审委会可以做出撤销或者终止合同履行的集体决策。

3.数据经营自由权与数据垄断、不正当竞争的再博弈均衡解。为了平衡数据权利并防止其被滥用，法院必须在数据经营自由权与其权利滥用之间形成一组法益衡量。其体现在信息流动的全过程中，在代码1.0个人隐私权向代码2.0网络服务商开放权利，代码3.0下的企业数据责任和代码4.0下的禁止权利滥用，在网络服务商及其他供应商的不法行为与数据经营自由权之间形成均衡解。法院集体决策认定网络供应商不法的依据是反向推理，包含代码4.0下的数据垄断责任（道德责任），代码3.0下的企业内部自我设定的数据隐私责任（行业惯例），还包含代码2.0下的网络服务商之间通过契约约定一些强制性条款。法院审判委员会根据三种不法情形做出集体决策：违反④绝对无效，违反③部分无效，违反②相对无效。

4.数据企业之间的多场景间叠代优化博弈均衡解。面对严重的危害国家安全和公共安全的信息泄露事件，互联网步入代码3.0和代码4.0场景，国家不得不选择加强防范风险控制。通过代码3.0场景下的企业专门委员会和公共官员整体评估数据及处理行为的风险控制，将“隐私即合规”代入到整体企业管理层之中。尤其是运用公共行政规制的方式保障数据交易安全，评估企业乃至国家公共财政在数据安全保护上的投入产出，甚至进入代码4.0，将未来人类生存与发展权代入到数据权的考量之中，形成③+④的强国家监管模型。

面对数据权利结构中的市场化运作曲线呈现出保护和利用的非均衡状态，为了扭转数据市场的激励不足和保护不力，数据市场的制度化运作对于数据市场发育起到重要作用。法院在自然人的人格权、隐私权、底层数据安全及其国家安全，财产性利益保护，公共财政的稳定，未来人类生存与发展权等受保护的法益之间按照比例进行选择。至此，从代码1.0到代码4.0场景更迭之中，变换市场场景，直到权利行使的完整闭环，在代码交叠场景下进行权利合理配置，不断优化决策模型。

图1  博弈均衡模型图

①个人信息权（视为）/请求权

③数据隐私责任/数据登记责任（形成权）

②数据经营自由权/支配权

④数据垄断责任/抗辩权（禁止权利滥用）

二、与法院风险决策树相关的权利保护议题

法院在分布式决策场景下不是根据权利的因果关系，而根据多组相关的权利进行决策，其相关权利保护议题包括自由优先、反向禁止抗辩、过程平衡选择和司法保守选择等。

1.自由优先选择。在个人信息权尚未确立的条件下，在特定场景下，要在一组相互关联的权利之间做出有效选择，目前有效的做法是在数据经营自由权与个人信息权（视为）之间进行相关的法益权衡。为了避免个人权利对社会权利的利益减损，在相互竞争的权利之间形成均衡解，法院采取在请求权和结构性不法之间进行法益衡量，形成①bl②的反题③+④的决策模型，法院需要等待证明没有反向禁止，才能进行数据用益权的确权。

在互联网疑难案件新浪诉脉脉案中，与一、二审法院都做出淘友公司构成反不正当竞争的裁决⑥的结论相反：三重授权原则不符合效益决策模型。一个效果策略是：强市场的数据权利结构是强②＞弱①，数据权是指数据控制者基于数据收储形成的占有、使用、处分的权利，为了鼓励市场充分竞争，反对市场的不正当竞争，在从淘友公司与微梦公司属于关联公司的事实上可以推论淘友公司事前已经获得微梦公司合法授权，只要淘友公司对用户数据使用并未超出社交平台的目的性，便不构成危害市场的不正当竞争行为，这种情况下强②＞弱①的效果决策生效。新浪诉脉脉案一、二审法院决策既不利于技术创新，反而有伪隐私保护的嫌疑。

这与新浪诉脉脉案相提并论的领英诉hiQ案形成鲜明对照。由于微梦公司没有取得数据用益物权的保护，其只能获得债权在流转过程中的商法保护，包括知识产权的技术利用以及反不正当竞争法的保护，而技术秘密和不正当竞争的严格证明责任是为了促进技术资源的有效配置，从自由优先的目的性解释看，淘友公司对用户数据使用的行为不构成侵权。为了避免信息孤岛，也必须促进推动数字市场经济的发展。在数据②（C+R）不当行使的时候，法院可以根据①做出一方无效的决策，但是在新浪诉脉脉案中，没有证据显示淘友公司构成对用户隐私权的侵犯，并且在经过微梦公司抓取用户数据的时候，用户已经同意这种抓取行为，经过一度人脉到二度人脉，无需再度经过用户授权。相反，微梦公司禁止淘友公司通过公开的API抓取数据，违反了《反不正当竞争法》第12条规定：“经营者不得利用技术手段，通过影响用户选择或者其他方式，实施下列妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为。”

2.反向禁止抗辩。自由优先选择与反向禁止抗辩形成平衡保护，法院需要对反向禁止做出抗辩，才能进行数据用益权的确权。排除非法的主要手段是需要证明结构性不法，如前文所言，开放性是互联网的生命所在。从民事权利来看，没有了Robots协议抓取自由，就没有互联网搜索引擎的根基，搜索引擎对抓取网页提供一般连接和深度链接享有自由权，对提供埋置链接时享有有限自由权，对提供加框链接时则没有自由权。在新浪诉脉脉案中，首先需要排除的是对Robots协议（网络爬虫排除标准）的不法侵害，该Robots协议通过中国互联网协会发布的《互联网搜索引擎服务自律公约》第7条被普遍接受的商业道德和行业惯例予以确认，但该Robots协议抓取的数据只是一般连接数据，不涉及埋置连接和加框连接。作为网络交友平台的淘友公司通过初级链接和次级链接访问了微梦公司的文件，这并不足以作为限制其自由抓取数据的理由。

3.过程平衡选择。新浪诉脉脉案中，法院通过剥夺淘友公司抓取数据经营自由权，加大了微梦公司作为数据源代码搜集企业的数据经营自由权，由此后续类似案件也会采用三重授权原则去阻碍关联数据企业的抓取行为。司法终局裁判与结果导向难以做出过程平衡选择。法院需要平衡市场主体之间的竞争关系，采取最为平衡的策略保障市场运作，以适应代码升级场景下合理的、系统的决策模型。法院可以采取的数据权利结构运行全过程平衡决策是：国家既可以采取对淘友公司企业委员会和公共官员的履职履责情况的结构性合法性审查，也可以撤销或者终止微梦和淘友之间的合同履行，并判定赔偿隐私侵权损害赔偿费，以保障数据利用和保护的平衡。从法院决策结果来看，由于缺乏淘友公司的数据经营自由权与企业内部管理之间的平衡，也就无法判断企业履行内部管理职责和资源调度职责情况，也就无法通过企业合法性审查保障数据权利的实现。

4.司法保守选择。法院通常徘徊在理性选择和政治决策行为之间，审委会按照意识形态标准被划分为保守或自由阵营，现行的司法责任制更加重了法院的保守主义倾向。在近几年来的数据权争议案件中，大多被抓取的公司在经过前期抓取行为的默认之后，对超出了合理使用的限度的后期爬取行为表示不满而导致诉讼，这违背“允诺禁反言”原则。法院选择判决原告胜诉，表明我国法院对互联网疑难案件持司法保守主义立场。由于司法决策受制于司法环境及其司法认知，使得“事实上的利益与法律对该利益的承认之间存在显著的区别”，为迎合公众对信息主观预期和风险恐慌情绪，在开放数据利益的同时，司法决策中的三重授权呈现叠加的司法保守主义。在技术上升发展期，为了促进技术创新同时兼顾公平，法院不应该采取剥夺数据经营自由权的保守主义，而应当通过集中监管，降低数据利用的风险。

 图2  互联网疑难案件的风险决策树

三、风险决策树上的公权原则

法院应当围绕大数据生命周期各场景需求，支持数据采集、清洗、分析、交易、安全防护等共性关键技术研究，在提高数据一致性协议的可扩展性基础上，保证数据可靠管理，消解数据间冲突，形成风险决策树上的公权原则。

1.私法自我设权被高权行为禁止。格劳秀斯很早就对私权行为与高权行为进行划分，针对公共机构所实施的那些同样可以由其他人实施的行为，民法可以适用，公共机构作为私主体所实施的行为一般被称为财政行为，而与这一财政行为对立的是高权行为。在新浪诉脉脉案中，微梦与淘友抓取数据的行为应适用私权规范，法院遵循私法意思自治原则，裁决淘友公司承担违约或侵权责任。除了私权考虑外，审委会应当依据“双阶理论”。微梦公司涉嫌市场高权行为以阻碍市场发展，淘友公司也可能因为无法抓取后丧失生计预备，受到高权行为的保护。将Robot协议项下的open API作为公共设施加以管理，以使得这一设施的利用受到公法管辖。为促进淘友的脉脉用户的二度人脉的合理利用，法院不能将微梦的新浪微博运用私法约定技术壁垒视为当然。在公共设施利用过程中，私法自治的设权行为将受到限制，其法律关系应当适用于Robot协议项下的open API的公开、公共二属性，其合同自我设定受到了公权原则的限制乃至禁止。

2.在私权上设置的禁止反向设置瓶颈。公权有两种规范形态：一种是直接监管信息安全的公权规范，另一种是依托私权规范的公权介入私权监管。“反对设置瓶颈”是附着在私权规范之中以防止数据垄断的一项反垄断公权原则。高权原则旨在公共利益保护以增进私人利益，既然社会选择机制从个人行使权利之后的社会状态集合中选出一个结果，那么社会选择作为约束的权利已经被不同形态的决策树给形式化了。“在各种形式化的决策机制中，不存在帕累托自由和普遍自由的实现”，通过高权行为禁止反向设置瓶颈是约束自由权的衡平法则。面对互联网疑难案件，审委会运用公权原则平衡司法保守主义等各种环境因素，对权利保护进行重新排序。

四、结    语

法院从个人信息权分离并创生的数据权利结构中提取出基本法律概念，在基本法律概念中进行法律选择，形成以四个场景下的四对法益衡量，即隐私权、同意权与数据经营自由权之间的法益衡量，侵权请求权与数据经营自由权之间的法益衡量，数据经营自由权与数据企业隐私保护之间的法益衡量，数据经营自由权与数据垄断之间的法益衡量，法院应当根据四组数据法益决策树模型进行决策。

编辑：吴悠