华诚律师事务所：首例微信数据权益认定不正当竞争案的分析与启示

aizixun8

华诚律师事务所

数据是新时代竞争的战略资源，数据所有权的明确界定尤为重要。在立法缺失的情况下，如何在司法层面平衡用户信息权与平台数据权的关系，成为当前审理涉及互联网不正当竞争纠纷案件的突出问题。 2020年6月，杭州互联网法院宣判首例涉及微信数据权利认定的不正当竞争案件。法院在审理此案时，坚持审慎、包容的态度，以促进创新竞争和消费者长远利益为导向，平衡网络平台、数据使用者和同行业竞争者之间的利益。在保护网络平台权利的同时，也对其权利进行必要的限制，防止其滥用权利限制用户信息权利，造成数据垄断。

介绍

一、案件概要

深圳市腾讯计算机系统有限公司（以下简称腾讯计算机公司）与腾讯科技（深圳）有限公司（以下简称腾讯科技公司）共同开发和运营个人微信产品，为消费者提供即时社交消息服务。两人分别是微信软件的著作权人和个人微信产品的运营者。个人微信产品涉及的数据主要包括：个人微信用户的账户数据、好友关系链数据、用户操作数据等个人身份数据和个人行为数据。

浙江搜道网络科技有限公司（以下简称搜道公司）与杭州聚客通科技有限公司（以下简称聚客通公司）开发运营《聚客通群控软件》，并采用插件技术将“个人账号”功能模块嵌套在个人微信产品中并运行，为购买该软件服务的微信用户在个人微信平台上开展商业营销和企业管理活动提供帮助。两原告认为，两被告对其控制的微信平台数据拥有数据权利，擅自获取、使用微信平台数据，扰乱微信产品的正常运行，构成不正当竞争，遂向法院提起诉讼，请求判令停止。对侵权及侵权行为表示歉意并共同赔偿经济损失（含合理费用）500万元。

2. 索赔

两原告的诉讼请求概括如下：微信的用户体验和数据安全是其核心竞争力，两被告开发、运营的群控软件恶意破坏微信的用户体验和数据安全。

（一）两被告将聚客通的“微信管理系统”群控软件内置于其定制手机中，恶意诱导用户使用该软件和PC上的“微信管理系统”对微信数据进行干扰、抓取，实现批量获取微信数据；微信具有用户信息、监控用户行为、自动与用户进行各种交互等功能。上述功能必然会导致其他用户收到的恶意营销信息大量增加，严重影响微信的产品体验和用户基础，对微信的商誉造成损害。

（二）微信用户的通讯隐私和数据安全本来就受到高度的隐私保护，但两被告利用技术手段，利用群控软件直接捕获微信用户以及其他毫无戒心的与其进行数据交互的人、资金和信息。用户的微信通讯内容，并将这些隐私信息上传到自己的服务器上进行分析和使用。这种行为严重危害了微信用户的信息安全。

综上，两原告认为，聚客通“微信管理系统”群控软件产品的一系列恶意功能，增加了微信的运营负担，严重危害了微信产品营造的优质用户体验和信息安全环境，违反了微信的法律法规。倡导的“合法、真实、善意、责任、公开、拒绝骚扰、尊重权益”的生态规则给他们造成了巨大损失和不良影响，构成《反不正当竞争法》第二条、第十二条。分别为中华人民共和国。因此，两被告应当承担相应的民事责任。

对此，两被告提出如下辩护：

（一）原、被告产品不在同一领域使用，不具有竞争性。

（2）群控软件的使用是基于微业务场景的，是实现高效率的业务手段和方法。其本质是通过技术创新提升效率，这与微信的产品理念是一致的。不存在不正当竞争的意图。

（3）群控软件虽然部分突破了微信产品尚未实现的功能，但其目的是为了提高用户的微信操作效率。这些功能满足了社交电商企业提高自身管理和运营效率的需求。它们属于技术创新，不会阻碍或破坏微信的正常运行。

（4）群控软件获取的微信用户信息来源于用户在淘宝、京东等平台正常交易后留下的数据。软件用户通过此添加好友并等待对方批准确认，这是基于微信的使用规则。用户的社交数据权益应归用户本人所有，微信不享有任何数据权利。因此，两被告的行为不违反商业道德。此外，微信用户与群控软件用户之间的数据虽然通过群控软件上传至服务器，但被告并未对这些数据进行分析和使用。它只是作为软件用户存储和备份的存储通道，上传服务器是阿里云。服务器满足数据安全的存储条件。因此，涉案软件不影响微信的数据安全。

（五）涉案软件被诉功能仅为该软件功能的十分之一。即使构成不正当竞争，最多也只是删除一些促销功能，而不需要关闭整个网站。

（六）群控软件未给微信产品造成实际损失。两原告所描述的因使用群控软件而造成的严重后果均属主观想象。因此，其主张的经济损失及合理费用合计500万元是没有根据的。等待。

三、本案争议焦点

法院认为，本案争议焦点主要有两个：一是涉案被告行为是否构成不正当竞争，损害了两原告的合法权益；二是涉案被告行为是否构成不正当竞争，损害了两原告的合法权益；二是两被告应如何承担侵权责任。本文重点讨论“不正当竞争”的认定。

（一）涉案被诉行为是否违反《反不正当竞争法》第十二条规定②

两原告主张，两被告利用群控技术突破微信产品功能，阻碍、破坏微信产品和服务的正常运行，主要体现在以下行为：（一）使用插件技术、在聚客精灵和聚客通群控软件上操作微信； （2）利用插件技术自动批量操作微信； （3）监控、存储微信数据，破坏微信个人信息保护机制，危及微信产品数据安全。与反不正当竞争法第十二条的规定相比，上述行为的表现不符合该条第二款第一款至第三款规定的禁止行为的特征。因此，有必要从两原告提供的服务性质、微信平台的运行安全性、以及微信产品运行的稳定性和效率。

法院认为，涉案被诉侵权软件突破了个人微信产品现有的功能设置，增加了微信操作自动化、批量化、信息发布等功能。该等功能异化了个人微信产品作为社交平台的基本功能，给用户使用微信产品带来了困扰，扰乱了两原告个人微信平台的正常运行。此外，群控软件的微信产品数据功能中涉及到的聊天、支付等信息的采集、存储和监控都是通过企业用户与其他用户的交互来完成的。非企业用户的单方信息还涉及其他用户的第三方信息。安全。微信用户基于对微信平台信息安全防护能力的信任向微信平台提供信息。群控软件将不知情的微信用户信息擅自转移至自身存储或使用，超出了相关用户保护自身信息安全的初衷。预计其违反了《中华人民共和国网络安全法》的相关规定，对微信平台的安全运营构成威胁。而且，被诉侵权软件采用自动化、批量操作和信息发布的操作方式，会增加微信运营的数据量和数据流量，增加微信产品的运营负担，损害微信产品运营的稳定性和效率，从而阻碍和阻碍微信产品的运营。销毁微信产品。干扰两原告合法提供的网络产品、服务的正常运行，属于第十二条第二款规定的阻碍、破坏其他运营者合法提供的网络产品、服务正常运行的范围； 《反不正当竞争法》第四条。行为构成不正当竞争。

（二）涉案被诉行为是否违反《反不正当竞争法》第二条第三条规定

对此，法院综合考虑了两原告在微信产品数据资源中享有的合法权益、原告与被告之间是否存在竞争关系、两被告前述行为是否违反法律和商业规定等。道德和不公平，以及该行为是否属于技术创新。将从公平竞争、微信用户的数据携带权是否可以作为抗辩等多个角度进行分析。

首先，微信产品数据资源是两原告投入大量人力、物力通过合法运营形成的。该数据资源能够给两原告带来商业利益和竞争优势，理应享有竞争权。

其次，网络数据流量的竞争不仅是对现有产品交易机会的竞争，也是对未来开发衍生产品的生产资料的竞争。网络数据流量的吸引力已成为网络市场主体的核心竞争力。原告与被告在网络数据流量的涨落中实际可能存在的对应关系仍然是市场竞争关系，因而存在竞争关系。

而且，两被告还利用插件技术，将被诉侵权软件中的“个人账户”功能模块嵌入到两原告的个人微信平台中，明显是对两原告现有数据资源的“搭便车”开展商业活动。行为。该行为危害了微信产品用户的信息安全，对两原告现有的数据资源竞争权益构成实质性损害，违反了《网络安全法》关于侵犯用户个人信息权益的相关规定④。是不公平的。那么，虽然被诉侵权软件突破了微信产品现有的功能设置，增加了一些新功能，但这些新功能的实施从市场贡献来看是弊大于利的。同时，也没有新的想法或者新的技术内容。进步并不具备创新竞争的本质特征。

最后，关于数据迁移权，我国现行相关法律法规并没有提供相应的规定。国外法律还要求各方对数据迁移采取严格的数据安全措施，并明确禁止未经授权的数据传输。本案两被告在未获得微信平台及其授权关联用户充分授权的情况下获取微信数据，不能以可携权为由进行抗辩。

综上，法院认为，两原告对微信产品数据资源享有合法权益，两被告相关被诉行为危害了微信产品数据的安全，不仅违反了相关法律规定，还造成了破坏性地利用其他经营者的经营资源，危害他人的。紫飞公司的经营活动明显违反商业道德，构成违反《反不正当竞争法》第二条规定的不正当竞争行为，两被告的辩护理由不能成立。

四、案例分析及合规启示

网络平台的数据所有权问题及其衍生的保护机制可以概括为三个层面：一是个人和平台对数据分别拥有哪些权益；第二，个人享有的数据权利的认定和保护；第三条 3.平台方享有的数据权利的认定和保护。

（1）个人和平台对数据拥有哪些权利？

数据具有多重效益和属性，大数据时代数据的价值日益凸显。关于数据所有权存在巨大争议，但尚未得出结论。目前，关于数据所有权主要有四种观点：数据归个人所有、数据归平台所有、数据由个人和平台共享、数据是公共资源。在法律实践中，我国采取“数据由个人和平台共享”的观点。在这种观点下，个人和平台在数据中拥有哪些权益并不明确，权益之间的界限也不明确。

本案法院将微信平台数据权利分为两种数据形态，一种是数据资源整体，另一种是单个数据个体。对应于单个数据个体和数据资源整体，网络平台享有不同的数据权利。

就“单一数据个人”而言，两原告仅拥有有限的使用权。本案涉及的数据类型主要包括微信用户账号数据、好友关系链数据、用户操作数据等。此类数据是微信用户的个人身份数据或个人行为数据，即用户信息数据⑤。虽然这类原始数据经过用户信息的数字化转换后可以被计算机网络系统处理并可以在互联网上传播，但原始数据的社会价值仅限于用户信息所包含的信息。在此过程中，平台并没有提高用户信息质量、生成衍生数据信息、提供创造性劳动成果，因此只能依赖用户的个人信息权益。因此，根据平台与用户的协议，平台仅拥有有限的数据使用权。

就“数据资源整体”而言，两原告依法享有竞争权益。如果两被告破坏性地使用数据资源，则构成不正当竞争，两原告有权要求赔偿。即当平台方合法收集用户信息并投入一定的成本，如时间成本、人力成本、材料成本、财力成本等，以在数据收集中获得一定的商业价值和竞争优势时，法院承认平台方在该等数据收集中拥有财产权益。

人们普遍认为数据具有多种利益。同一数据所涉及的利益很难划分。 《深圳数据条例》首次规定数据所有权：自然人对其个人数据依法享有数据权利（第十一条）；公共数据的数据权属于国家（第21条）；数据要素市场主体依法收集数据和自行生成的数据（第五十二条）。

本案中，法院依然没有根据《反不正当竞争法》第二条规定的诚实信用原则和公认的商业道德将数据权与竞争权益认定区分开来，也没有明确个人数据的价值。权利和公司权利。现阶段仅对两者享有的数据权利进行了初步划分：通过原始个人数据可以恢复特定的个人信息，因此个人对原始数据享有个人信息权利是合理的。企业投入一定的资金收集用户信息，应当相应地享有一定的产权。有学者指出，可以以算法作为衡量数据权利的基础，进而将数据分为包含个人信息的“单一原始数据”、“算法处理后的数据”和分析整合得到的“衍生数据” 。这三类数据的价值越来越大。这一观点与法院对本案数据类型的划分类似。尽管数据权的归属边界尚未确定，但区分个人信息权和企业数据产权已成为法律共识。

（二）个人数据权益的认定和保护

首先，从数据创造主体的角度来看，原始数据只是用户信息转换为电子符号的外在形式。尽管数据收集主体在此过程中投入了一定的劳动，但并未提供创造性的劳动成果，因此数据收集和控制主体只能按照其与数据主体的约定享有有限的使用原始数据的权利。用户。其次，从现实和理性考虑，过分强调网络平台对原始数据的控制权并授予其使用原始数据的权限，不仅会阻碍网络用户信息权益的实现，还会造成权利失衡。以及相关主体之间的义务。形成数据垄断，阻碍数据信息流通。就本案而言，未经授权使用他人控制的数据是否构成侵权，关键在于审查是否取得了用户的同意。数据控制者不能仅因其他网络运营者未经授权使用其控制的数据而直接主张赔偿权利。

在数据收集方面，《信息安全技术个人信息安全规范》（GB/T 35273-2020）（以下简称《个人信息安全规范》）规定，收集个人信息需要获得授权同意并遵守最低必要原则。 ⑥ 关于授权同意的要求，第三方间接获取用户数据的情况较为复杂。平台收集用户数据，必须获得用户授权；第三方平台若通过数据管控平台的Open API接口间接获取用户数据，必须获得用户授权并获得数据管控平台的授权。三者缺一不可。上述规定对用户信息的获取进行了限制，试图防止平台获取过多的无关数据，从而对用户隐私构成威胁。本案中，法院还认为，部分相关用户的信息是未经授权获取的。该行为超出了相关用户对自身信息安全保护的原有预期，可能导致其信息存在安全风险，威胁微信平台的安全运营。 。

平台使用所收集数据的权利也受到限制。 《个人信息安全规范》5.5a)向个人信息控制者提出了一系列关于个人信息保护政策的要求，包括个人信息的保护范围、个人信息主体的权利和实施机制、保护措施等。此外，正在起草的《中华人民共和国个人信息保护法（草案）》规定了个人信息处理者处理个人信息的情形，⑨还要求个人信息处理者向第三方提供其个人信息。过程。 ，必须通知个人并单独取得个人同意，第三方只能在告知个人的范围内处理个人的个人信息。 ⑩

合规性影响

平台收集用户信息时，应当遵循最少必要的原则，不得额外要求用户提供与其业务功能不直接相关的其他信息。在数据管理过程中，制定个人信息保护合规政策，履行信息网络安全管理义务。例如，平台拟与第三方合作时，必须进行尽职调查，提前防范违法风险；平台可制定数据授权许可协议，明确权利和责任机制，规范数据用户浏览、信息获取、复制和衍生等，使数据使用边界更加清晰；第三方以其他方式获取平台数据时，平台方应当禁止侵犯用户个人数据安全的行为。对于第三方平台，应遵循“授权同意原则”，在获取信息时必须考虑信息收集的范围，以避免本案中的诉讼。

（三）平台方享有的数据权利的认定和保护

当前，数据资源的积累和开发已成为网络行业获取市场收入的基本商业模式和核心竞争力。然而，与个人数据权益相比，法律并没有规定企业对数据权益拥有绝对的权益。在数据竞争纠纷中，法院目前主要适用《反不正当竞争法》进行保护。本案中，法院依据该法第二条的规定，认为数据资源是网络平台投入大量人力、物力经过长期运营积累起来的，能够为企业带来商业利益和竞争优势。运营商。因此，数据资源网络平台应享有竞争权利。第三方平台以“搭便车”的方式利用数控平台的增值数据，从而削弱了数控平台原有的竞争优势。这种行为损害了数据控制平台的利益。在大众点评诉爱帮网等多起案件中，⑪法院也持类似观点，认为平台通过商业运营吸引用户，并有效收集、整理用户信息以获取更大商业利润时，属于合法权益。受法律保护。综上所述，现行法律并没有明确界定企业享有的数据权利的内涵和外延。实践中只能灵活适用相关法律规定来解决纠纷。

合规性影响

网络经济是共生经济，网络平台所持有的数据资源更加开放和共享。因此，不正当数据竞争行为查处的重点是第三方（被诉行为人）的行为是否对平台数据资源具有破坏性利用。如果其他运营商“搭便车”网络公司持有的数据资源开展经营活动，只要不是破坏性利用他人的数据资源或者违反法律规定，并且能够给消费者带来新的体验，一般都应该不被视为不正当竞争。

第三方平台获取他人数据资源进行经营活动时，应重点分析评估其商业模式和行为所涉及的数据竞争的合理边界，特别是此类数据应用行为是否会对自身商业利益造成损害。数据控制器。以及市场竞争秩序是否会因此被破坏。但平台享有的数据权利是有限的，数据保护还需要个人权利、平台权利和公共利益之间的平衡。因此，第三方平台在使用其他方数据时，除了避免数据的破坏性利用外，还需要考虑创新，给消费者带来新的体验。保护个人权益、有利于公共利益的产品或服务，可以在不损害其他平台权益的情况下，更好地规避风险。

5. 结论

界定数据所有权的目的是为了明确数据权利的分配机制，从而规范和推动数据产业的进步，顺应大数据时代的发展趋势。明确个人和企业享有的不同权益，可以使企业在数据竞争中尽可能规避风险，合理获取和利用数据，在获取商业利益的同时，也能保护公共利益和数据提供者的个人权益。数据提供者也可以更有效地保护自己的权益。

笔记：

①杭州铁路运输法院（2019）浙8601民初1987号判决书。

②《中华人民共和国反不正当竞争法》第十二条：经营者利用互联网从事生产经营活动，必须遵守本法的规定。

运营者不得利用技术手段影响用户选择或者其他方式实施下列阻碍、破坏其他运营者合法提供的网络产品或者服务正常运行的行为： （一）未经其他运营者同意，在网络中其他经营者合法提供的产品或者服务，在网络产品或者服务中插入链接并强制目标跳转； （2）误导、欺骗或者强迫用户修改、关闭、卸载其他运营者合法提供的网络产品或者服务； （三）恶意侵犯其他运营者合法提供的网络产品或者服务的；网络产品或服务的实施不兼容； （四）其他妨碍、扰乱其他运营者合法提供的网络产品或者服务正常运行的行为。

③《中华人民共和国反不正当竞争法》第二条：经营者在生产经营活动中应当遵循自愿、平等、公平、诚信的原则，遵守法律和商业道德。

本法所称不正当竞争，是指经营者在生产经营活动中违反本法规定，扰乱市场竞争秩序，损害其他经营者或者消费者合法权益的行为。

本法所称经营者，是指从事商品生产、经营或者提供服务（以下统称商品含服务）的自然人、法人和非法人组织。

④《中华人民共和国网络安全法》第四十一条：网络运营者收集、使用个人信息，必须遵循合法、正当、必要的原则，公开收集、使用规则，明确说明收集、使用个人信息的目的、方式和方式。收集和使用信息的目的。范围，并经被征收人同意。

网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和当事人的协议收集、使用个人信息，并按照法律、行政法规以及与用户的协议。个人信息。

⑤根据数据生成过程的不同，数据可分为四类：用户信息数据、用户发布数据、平台自采集数据和衍生数据信息。

⑥“信息安全技术个人信息安全规范”（GB/T 35273-2020）5.2最少必要的个人信息收集

个人信息控制器的要求包括：a）收集的个人信息类型应与产品或服务业务功能的实现直接相关；直接相关性意味着，如果没有上述个人信息的参与，则无法实现产品或服务的功能； b）自动收集个人信息的频率应是实现产品或服务业务功能所需的最小频率； c）间接获取个人信息的数量应是实现产品或服务业务功能所需的最低金额。

5.4收集个人信息时授权和同意

个人信息控制器的要求包括：a）在收集个人信息主题时，应告知收集和使用个人信息的目的，方法，范围和其他规则，以及对个人信息的授权和同意。得到。

e）间接获得个人信息时：1）应要求个人信息提供者解释个人信息的来源并确认个人信息来源的合法性； 2）应将个人信息提供者告知个人信息提供商处理个人信息的授权和同意。范围，包括使用的目的，个人信息的主题是否授权和同意转让，共享，公开披露，删除等； 3）如果开展业务所需的个人信息处理活动超过获得授权同意的范围，则在获得个人信息后应处理个人信息。在合理的时间或处理个人信息之前，获得个人信息主题的明确同意，或通过个人信息提供商获得个人信息主题的明确同意。

⑦API代表（应用程序编程接口）。在互联网时代，网站的服务被封装成一系列数据接口中，这些数据接口可以通过计算机易于识别并供第三方开发人员使用。此行为称为打开网站的API。相应地，打开的API被调用。

⑧：“信息安全技术个人信息安全规范”（GB/T 35273-2020）5.5a）应制定个人信息保护政策，该政策应包括但不限于：1）个人信息控制器的基本信息，包括主题的身份，联系信息； 2）收集和使用个人信息的业务功能以及每个业务功能收集的个人信息类型。如果涉及敏感的个人信息，则必须清楚地识别或突出显示； 3）个人信息处理规则，例如个人信息收集方法，存储期和数据导出情况； 4）外部共享，转移和公开披露个人信息的目的，以及涉及信息类型的个人，收到个人信息的第三方类型及其各自的安全和法律责任； 5）个人信息主体的权利和实施机制，例如查询方法，校正方法，删除方法，帐户取消方法以及撤回授权同意的方法，获取个人信息副本的方法，用于抱怨自动决策的方法 - 使信息系统的结果等。 6）提供个人信息后可能会有安全风险，以及不提供个人信息的可能影响； 7）遵循个人信息安全原则，数据安全功能和个人信息安全保护措施的基础。在必要时可以披露与数据安全和个人信息保护有关的合规证书； 8）处理个人信息主题的查询和投诉的渠道和机制，以及外部争议解决组织和联系方式。

“中华人民共和国的个人信息保护法（草案）”的第13章

个人信息处理器只有在满足以下情况之一的情况下才能处理个人信息：（1）获得个人的同意； （2）有必要签订或履行个人是当事方的合同； （3）履行义务所必需的法律义务或法定义务； （4）有必要应对公共卫生紧急情况，或保护自然人在紧急情况下的生活，健康和财产安全； （5）在合理的个人信息范围处理中执行新闻报道，公众舆论监督和其他行为； （6）在法律和行政法规中规定的其他情况。

“中华人民共和国的个人信息保护法（草案）”的第24章

如果个人信息处理器向第三方提供了它处理的个人信息，则应将第三方的身份，联系信息，处理目的，处理方法和个人信息的类型告知个人，并获得个人的单独同意。接收个人信息的第三方应在上述处理目的，处理方法和个人信息类型的范围内处理个人信息。如果第三方更改了原始目的或处理方法，则应再次告知个人，并根据本法律的规定获得其同意。

⑪地区人民法院（2010年）Hai  Zi民事判决24463；北京第1号中级人民法院（2011年）Yi Zhong Min Zhong Zi民事判决第7512号。