分类目录归档:数据法

数据权益的新疆界:新浪微博诉超级星饭团App不正当竞争纠纷案

  • 原告:北京微梦创科网络技术有限公司(“新浪微博”)
  • 被告:云智联网络科技(北京)有限公司(“超级星饭团App”)
  • 审理法院:北京市海淀区人民法院
  • 案号:(2017)京0108民初24512号
  • 裁判时间:2020年7月20日
  • 裁判结果:(1)被告停止侵权;(2)被告刊登声明消除影响;(3)被告赔偿经济损失1000万元及合理开支228,554元

一、案情概况:不止于此案

根据App Store内超级星饭团App的简介:“超级星饭团是一款专为粉丝打造的粉丝追星服务平台,让粉丝轻轻松松即时了解爱豆的SNS社交动态信息,随时随地紧紧守护自己的超级明星。”但新浪微博认为,超级星饭团App在未经新浪微博许可的情况下,通过爬虫程序爬取新浪微博中明星的动态,并将从新浪微博获取的明星动态数据与从其他平台获取的数据相结合,提供z明星动态,供“粉丝”所使用,进而侵犯新浪微博对数据的权益,进而构成不正当竞争。

案件中,超级星饭团App也承认部分数据来自于新浪微博,因此双方的主要的争议焦点在于:超级星饭团App抓取新浪微博数据是否侵犯新浪微博的合法权益。

这个案件在诸多层面具有典型意义,涉及到数据、个人信息、爬虫等多个领域,值得认真研讨。此外,本案并不是新浪微博为自己数据权益发起的唯一诉讼,之前(2016)京73民终588号“新浪微博诉脉脉案”开创了“三重授权”原则;(2019)京73民终2799号“新浪微博诉饭友App案”案被北京知识产权法院列为2019年度北京市法院知识产权司法保护十大案例。

二、固定证据:上收手机后的勘验

在涉互联网的案件中,固定证据向来都是难题。本案中,除了常见的公证以外,也通过当庭勘验的方式固定证据。法院同意新浪微博的勘验申请,并在本案庭审前上收双方通讯工具,避免与法庭勘验相关的问题和程序被提前泄露而影响勘验结果的客观真实性。

通过在法庭计算机中安装VPN,新浪微博登入公司内网,在线修改“超级话题”代码,将明星“李子璇”的上线时间修改为12:23,下线时间修改为12:26。随后专家辅助人登录超级星饭团App,发现App中的显示的时间为修改后的时间,而微博App和微博超话App中“李子璇”信息,均未显示勘验代码中记载的上线和下线时间。

尽管超级星饭团App进行了一些反驳,但新浪微博通过现场勘验的“突袭”,向法庭证明了超级星饭团App不仅会抓取超级星饭团App公开的前端数据,也会抓取新浪微博非公开的后端数据。

三、访问权限:公开数据与非公开数据

在知乎上,我最经常被问到的一个问题就是:爬虫程序是否合法?

通过爬虫程序在互联网上爬取数据是一件再正常不过的事情,搜索引擎的基础就是各种爬虫程序,用Python写一个简单的爬虫程序并不困难。但爬虫程序会显著消耗服务器资源,裁判文书网、工商登记信息网、12306等网络系统都饱受爬虫之苦,所以验证码设计愈发诡异。所以这也导致围绕着爬虫程序的“攻防”是互联网上一项热门的生意:爬虫程序越来越能够模拟真人的访问行为;网络平台也越来越能够判断网线对面是真人还是代码。

法庭将涉案数据分为“公开数据”与“非公开数据”两类,以访问权限为判断标准:在无相反证据的情形下,对于微梦公司未设定访问权限的数据,应属其已在新浪微博中向公众公开的数据;但对于其通过登录规则或其他措施设置了访问权限的数据(如用户即便登录新浪微博帐号亦无法访问的数据),则应属新浪微博中的非公开数据。

法庭认为,对于平台的公开数据,虽然是平台经营者重要的经营资源,但对爬虫程序应有容忍的义务:

而对于平台中的公开数据,基于网络环境中数据的可集成、可交互之特点,平台经营者应当在一定程度上容忍他人合法收集或利用其平台中已公开的数据,否则将可能阻碍以公益研究或其他有益用途为目的的数据运用,有违互联网互联互通之精神。且无论是通过用户个人浏览或网络爬虫等技术手段获取数据,只要其遵守通用的技术规则,则其行为本质均相同,网络平台在无合理理由的情形下,不应对通过用户浏览和网络爬虫等自动化程序获取此类公开数据的行为进行区别性对待。当然,如果他人抓取网络平台中的公开数据之行为手段并非正当,则其抓取行为本身及后续使用行为亦难谓正当;如果他人抓取网络平台中的公开数据之行为手段系正当,则需要结合涉案数据数量是否足够多、规模是否足够大进而具有数据价值,以及被控侵权人后续使用行为是否造成对被抓取数据的平台的实质性替代等其他因素,对抓取公开数据的行为正当性做进一步判断。

在庭审中,超级星饭团App并没有证明成功地向法庭证明自己合法正当获取新浪微博的公开数据。法庭认为超级星饭团App是通过伪装成用户登录或模拟用户行为向新浪微博后台服务器发送请求,并按照浏览器规则进行解析等技术手段获取数据,并违反Robots协议,在白名单以外仍然抓取公开数据,因此具有主观恶意。此外,自始至终超级星饭团App未向法庭说明其使用的技术和如何通过该技术实现对涉案数据大规模抓取进行演示或提交相关证据。

Robots协议仅是文本文件(.txt),并不像HTTP、FTP这些协议(protocol)如果不遵守就无法使用,更算不上法律意义上的协议(agreement),因此Robots协议的效力其实值得商榷,且超级星饭团App也并非《搜索引擎服务商自律公约》的签署方。从访问控制的角度来看,Robots协议更像是草坪上竖立的“禁止进入”标识,物理上没有办法阻挡人们踩踏草坪。在(2017)苏01民初2340号“北京焦点诉百度案”中,法庭就建议百度“在现有运行机制包括用户协议中明确法律提示条款、设置robots协议等的基础上,百度公司仍然应当主动积极应对新技术开发、新应用场景、新业态运营在市场拓展过程中可能引发的侵权现象,关注其中可能存在的侵权风险……”。

四、数据权益的边界

本案虽然是围绕不正当竞争的纠纷,但数据权益的保护仍然是重点问题,且可能会在未来影响到一系列类似案件的请求权基础。本案中,法庭对新浪微博的数据权益进行了如下论述:

……在当前的市场环境下,数据已经逐渐成为经营者,尤其是互联网经营者之间相互竞争的基础性资源,获得数据意味着可据此进行分析并改进、完善产品功能,从而获得更多的经营利益。因此,司法不能以数据尚未成为一种法定权利为由而拒绝裁判。当经营者为收集、整理数据,以及维护其互联网产品中的数据运行和安全而付出成本,且该种数据整体上可为经营者进行衍生性利用或开发从而获得进一步的经营利益时,其他经营者未经许可擅自抓取且使用平台数据的行为,当然可以落入反不正当竞争法调整的范围。

据此,结合涉案数据系新浪微博产品的重要基础,微梦公司为运营新浪微博,维护涉案数据安全付出了相应成本(如前述部分明星要求其动态信息不予公开,微梦公司显然需要为此进行产品功能的设计),微梦公司对涉案数据进行衍生性利用或开发,以及《微博服务使用协议》中关于涉案数据归属的约定等因素,微梦公司可基于其对涉案数据享有的经营利益,依据反不正当竞争法对云智联公司擅自抓取并使用涉案数据的行为提出相应主张。

……微梦公司所主张的涉案数据虽系来源于微博用户数据,但并非该些零散且相对独立的数据的简单集合,而是微梦公司进行了数据安全保护等加工后形成的数据(例如,根据《微博服务使用协议》第1.2.3条,用户可通过设置功能自行控制、把握查阅其信息的帐号类型);此外,涉案数据中亦有非微博用户生产的数据,如涉案数据中的明星在线时间,显然系微梦公司根据微博用户在线时间计算、整理得出。因此,微梦公司主张的涉案数据系新浪微博平台数据,与微博用户个人数据存在本质不同……。

对于新浪微博来说,除了通过《反不正当竞争法》进行维权,另一个“解题思路”是直接通过《民法总则》/《民法典》第一百二十七条(数据条款)进行维权,比如(2018)苏0684民初5030号“浙江淘宝网络有限公司诉杜某等网络侵权责任纠纷案”中淘宝公司便是按照此思路对恶意评价行为进行追责,认为恶意评价侵犯了自己的数据权益,并得到了法庭的支持。当然选择何种方式原告与律师会有自己的考量,我也无需赘言。

五、违法关键点:数据利用

在竞争法的角度,超级星饭团App在获取数据后的使用行为更值得关注,即超级星饭团App在获得数据后的利用方式是否会减损新浪微博的商业机会。

在本案中,法庭认为涉案数据均系与明星动态相关的数据,而关注涉案信息的主要用户群体即明星粉丝,与超级星饭团App的用户类型一致,且构成替代关系,用户可以不使用新浪微博就能获得明星数据,直接影响新浪微博的广告收益。(2019)京73民终2799号“新浪微博诉饭友App案”中,法庭也使用过类似的思路,认为:微梦公司对新浪微博数据享有合法权,在案证据可以认定复娱公司系通过绕开或破坏微梦公司技术保护措施的手段,实施了抓取和展示新浪微博数据的行为,使得饭友×××用户无需注册或登录新浪微博帐号即可查看新浪微博全部内容,复娱公司的行为必然会影响微梦公司与用户间协议的履行,导致微梦公司的独家权益无法得到保障,对数据维护等的投入无法获得相应回报,或将减损用户数据安全程度,妨碍、破坏了新浪微博的正常运营。

在(2016)沪73民终242号“大众点评诉百度案”中,争议焦点并不在于数据的获取,而在于对数据进行收集后如何进行利用才算合法。“大众点评诉百度案”案件的裁判为数据收集后的利用提供了清晰的指引——即在数据利用时不能实质替代原服务,应采取对原服务影响更小,并能在一定程度上实现积极效果的措施对数据进行利用。

六、公开数据中个人信息合规隐忧

案件中,个人信息主体的角色也不应忽视,法庭认为:

对于涉案数据中的公开部分,正常情况下,新浪微博用户可随时选择修改或删除相关数据,微梦公司基于其与用户之间的协议亦应维护用户处理其数据之权利;但云智联公司的抓取和展示涉案数据的行为会使这部分数据脱离用户自身和微梦公司的控制,减损其处理数据的权利。而对于涉案数据中的非公开部分,往往包含与用户个人隐私相关的信息(如用户设置仅自己可见)或其不希望他人收集或查看的信息(如用户发布后自行删除的信息或前述明星限制公开的数据),云智联公司对其进行抓取和展示可能导致此类用户个人信息的泄露和被侵害,而这必然影响新浪微博数据安全进而破坏微梦公司所提供服务的正常运行,也可能侵害用户对其个人隐私等信息所享有的合法权益。

在《民法典》第一千零三十六条中,规定合理处理该自然人自行公开的或者其他已经合法公开的信息,行为人不承担民事责任,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外。这意味着通过爬虫程序爬取前端公开的个人信息并不违反法律,但是个人信息的主体有权拒绝。《民法典》对已公开个人信息的态度延续于《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十二条的规定。

程啸教授认为:“一方面,即便是已经合法公开的个人信息依然受到法律的保护,自然人对这些个人信息并不因其公开而失去控制的权利,其有权拒绝他人对这些信息进行处理;另一方面,由于个人信息的保护对于维护自然人的人格尊严和人格自由具有很重要的意义,所以,即便是已经合法公开的个人信息,也不得任意进行处理,如果处理该信息将侵害自然人的重大利益的,也要承担民事责任。”(《论我国民法典中的个人信息合理使用制度》,载《中外法学》2020年第4期)

当然明星们可能不会要求超级星饭团App删除自己的个人信息,但在其他场景下,大量裁判文书信息、新闻报道公开的个人信息保护一直也都是一个棘手的问题。个人信息主体其实是有权利要求爬取数据的平台删除其个人信息,需要爬取数据的平台具备响应机制。但有一点需要留意,根据《征信业管理条例》第十三条第二款:“企业的董事、监事、高级管理人员与其履行职务相关的信息,不作为个人信息。”但如果超出董监高的履行职务相关的信息的范围,则仍然属于个人信息。

简而言之,对于已公开的个人信息,个人信息主体并未丧失掌控的权利,仍然可以要求停止处理、删除、修正错误。

数据安全顶层设计奠基:《数据安全法(草案)》公开征求意见

2020年7月伊始,《数据安全法(草案)》在千呼万唤中得以亮相,成为总体国家安全观下新的拼图,与《国家安全法》《网络安全法》《核安全法》及未来的《生物安全法(草案)》并立。

《数据安全法(草案)》目前只是初次公开征求意见,条文距离最终文本还存在很大的不确定性,但更为重要的是揭示出的立法趋势。

一、界定概念

《数据安全法(草案)》对一些基础概念进行明确:

二、设立义务

对于大多数企业来说,更为关注的是《数据安全法(草案)》新设立了哪些义务,企业需要新采取哪些合规措施。在《数据安全法(草案)》中列明了以下项目:

其中处理重要数据需要报送风险评估报告需要包括以下内容:

如果违反,则可能面临以下行政处罚:

三、数据交易

在2020年4月,《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》提出“引导培育大数据交易市场,依法合规开展数据交易”,并将数据列为一种生产要素,要求:

(二十二)加强数据资源整合和安全保护。探索建立统一规范的数据管理制度,提高数据质量和规范性,丰富数据产品。研究根据数据性质完善产权性质。制定数据隐私保护制度和安全审查制度。推动完善适用于大数据环境下的数据分类分级安全保护制度,加强对政务数据、企业商业秘密和个人数据的保护。

在《数据安全法(草案)》对数据交易的中介机构专门要求,如果违反,最高也会面临100万元的罚款或吊销经营许可:

  • 提供方说明数据来源
  • 审核交易双方的身份
  • 并留存审核、交易记录

国家标准《信息安全技术 数据交易服务安全要求》(GB/T 37932-2019)会成为《数据安全法》适用所倚重的对象,对交易过程的技术措施与管理措施进行了框架性的规定。此外在该国家标准中设计了数据交易服务的参考框架:

四、立法与监管方向

相较于草案阶段的义务,未来立法与监管的方向同样值得留意。

《数据安全法(草案)》不仅在关注境内的数据获得,同样赋予了管辖境外数据活动的“长臂”,并且加入了“对等原则”,即如果境外国家(地区)在与数据和数据开发利用的投资、贸易方面对中国采取歧视性措施,中国也会采取对等措施。但具体如何判断歧视性措施,对等措施如何采取则有待未来立法进一步明确,这恐怕需要不短的时间。

除了设置自己的“长臂”,《数据安全法(草案)》对海外的“长臂”(如欧洲GDPR、美国“云法案”)同样进行了回应,针对海外执法机构在境内调取数据,同样进行了限制。要求向主管机关报告并获得批准或依据中国加入的国际条约,方可提供数据。

此外,未来围绕数据的立法与监管可能会在以下方向着力:

  • 管辖境外影响境内合法权益的数据活动
  • 向境外执法机构提供数据的流程
  • 数据分级分类,由各地区、部门制定重要数据保护目录
  • 统一的数据安全风险评估、报告、信息共享、监测预警机制
  • 数据安全应急处置机制
  • 数据安全审查制度,且审查是最终决定
  • 出口管制拓展至数据领域
  • ……

《网络安全法》从首次公开征求意见到最终生效历时接近两年,《数据安全法》也正在开始同样的进程:

航班隐私泄露的“三连”司法案例

一、正在扭转的趋势

航班信息泄露是大量旅客都经历过的事情。旅客在购买机票后莫名收到短信说之前预订的航班被取消,并告知旅客退款需要银行账号和密码。有大量旅客因此浪费时间查询航班是否真实取消,甚至会损失钱财,而这背后的罪魁祸首就是旅客购票的信息泄露。

长期以来,旅客在案件中处于不利地位,因为旅客无法证明平台或航空公司的信息安全措施存在过错,实际是难以尽到举证责任。比如在“朱盈盈与北京趣拿信息技术有限公司合同纠纷案”((2017)陕0112民初1252号)中,法院认为:

当事人对自己提出的诉讼请求所依据的事实或反驳对方诉讼请求所依据的事实,应当提供证据加以证明,没有证据或者证据不足以证明当事人主张的,由负有举证责任的当事人承担不利后果。本案的争议焦点为是否被告对原告个人信息泄露负有违约责任。原告通过被告的网站进行购票,双方形成委托关系。但原告提供的证据不能证明被告系掌握原告个人信息的唯一主体,亦不能证明原告个人信息由被告泄露。同时,本案被告在原告购票成功后,及时发送短信对原告进行了必要的提醒和告知义务。原告的损失系第三人实施诈骗的直接后果,原告作为完全民事行为能力人,自身负有必要的安全注意义务。故对原告主张被告赔偿损失的诉讼请求,证据不足,本院不予支持。

这也只是云云案件中的一例,在其他领域用户个人信息泄露以后通过诉讼维权同样会面临无法举证的高墙,因此用户屡屡败诉。个人信息泄露问题自然也无法引起占据优势地位的企业的重视。但是,从“庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案”开始,法院突破性地将举证责任给予占据优势地位的企业,进而让消费者/用户/旅客有可能胜诉。该案件在2018年被最高院列为“第一批涉互联网典型案例”,并在2019年12月乌镇的“世界互联网法治论坛”再次被最高院选为“中国互联网司法典型案例”。

也正是由“庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案”开始,旅客在越来越多案件中能够在一定程度上挽回损失。以下选择了包括庞理鹏案在内的三个案件,涉及去哪儿网、东方航空、携程、支付宝、美团这些大家耳熟能详的企业。

二、认定的事实

庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案:

2014年10月11日,庞理鹏委托鲁超通过去哪儿网平台(http://www.qunar.com)订购了东航机票1张,所选机票代理商为长沙星旅票务代理公司(以下简称星旅公司)。去哪儿网订单详情页面显示该订单登记的乘机人信息为庞理鹏姓名及身份证号,联系人信息、报销信息均为鲁超及其尾号**58的手机号。2014年10月13日,庞理鹏尾号**49手机号收到来源不明号码发来短信称由于机械故障,其所预订航班已经取消。该号码来源不明,且未向鲁超发送类似短信。鲁超拨打东航客服电话进行核实,客服人员确认该次航班正常,并提示庞理鹏收到的短信应属诈骗短信。2014年10月14日,东航客服电话向庞理鹏手机号码发送通知短信,告知该航班时刻调整。当晚19:43,鲁超再次拨打东航客服电话确认航班时刻,被告知该航班已取消。

申瑾与上海携程商务有限公司、支付宝(中国)网络技术有限公司等侵权责任纠纷案:

申瑾通过携程公司手机APP平台订购机票,因订购机票行为而产生的出行人姓名、航班日期、起落地点、航班号、航空公司信息、订票预留手机号信息被整体泄露,诈骗分子根据泄露的信息内容发送诈骗短信,引导申瑾使用支付宝亲密付功能消费及工商银行网上银行转账,最终导致申瑾银行卡内个人财产受损。

付全贵与北京三快信息科技有限公司等网络侵权责任纠纷案:

原告受单位指派乘飞机从张家口到上海出差。原告委托同事梁某从美团手机客户端应用程序订购了东方航空公司的航班。后梁某收到诈骗短信。梁某看到航班消息与原告预订机票信息完全吻合,将短信内容转发原告。原告看到短信后非常着急,因第二天已跟上海客户约好商谈合同,航班突然取消让其不知所措,便拨打了短信里的固定电话。对方冒充东方航空公司工作人员,让原告提供了身份证号、手机号、银行卡等信息,并告知该预订航班确实因起落架故障取消,建议原告退票或改签,且称未防止客户收到退票款后不认账,需要知道其银行卡余额。原告按照其指导操作退票手续,却被诈骗22400元。

三个案件的事实基本雷同,属于同一套路,都是收到航班取消的短信,只是庞理鹏并未因此遭受更大的损失。

三、法院观点

庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案:

庞理鹏被泄露的信息包括姓名、尾号**49手机号、行程安排等,其行程安排无疑属于私人活动信息,应该属于隐私信息,可以通过本案的隐私权纠纷主张救济。从收集证据的资金、技术等成本上看,作为普通人的庞理鹏根本不具备对东航、趣拿公司内部数据信息管理是否存在漏洞等情况进行举证证明的能力。因此,客观上,法律不能也不应要求庞理鹏证明必定是东航或趣拿公司泄露了其隐私信息。东航和趣拿公司均未证明涉案信息泄漏归因于他人,或黑客攻击,抑或是庞理鹏本人。法院在排除其他泄露隐私信息可能性的前提下,结合本案证据认定上述两公司存在过错。东航和趣拿公司作为各自行业的知名企业,一方面因其经营性质掌握了大量的个人信息,另一方面亦有相应的能力保护好消费者的个人信息免受泄露,这既是其社会责任,也是其应尽的法律义务。本案泄露事件的发生,是由于航空公司、网络购票平台疏于防范导致的结果,因而可以认定其具有过错,应承担侵权责任。(来自最高院对该案重要意义的阐述)

申瑾与上海携程商务有限公司、支付宝(中国)网络技术有限公司等侵权责任纠纷案:

应当指出,在公司利用个人信息进行经营活动产生的纠纷中,个人相对于具有一定数据垄断地位的公司实体在证据搜集和举证能力上处于弱势地位。因此,应顾及双方当事人之间实质公平正义进行举证责任的分配。本案中,申瑾已举证证明其将个人信息提供给携程公司,后在较短时间内发生信息泄露,已完成相应合理的举证义务。携程公司应就其对申瑾的个人信息泄露无故意或过失之事实负举证责任。现携程公司的举证为两方面,即其在信息安全管理上无漏洞,以及个人信息存在被其他主体泄露的可能性。但从现有证据看,携程公司在信息安全管理的落实方面存在漏洞,未尽到对个人信息负有的信息保管及防止泄露义务,具有过错。至于其他主体获得个人信息问题,涉案信息的传递是因携程公司出于经营需要而发生,携程公司主张其他主体泄露信息,依法应由其进行举证。现携程公司仅提出理论上存在其他主体泄露的可能性而未完成举证。故综合来看,申瑾对于个人信息泄露已完成举证,携程公司提出的主张及举证不充分。综上,携程公司在信息安全管理的落实方面存在漏洞,未尽到对个人信息负有的信息保管及防止泄露义务,具有过错,应承担侵权责任。
《侵权责任法》第三十七条有关安全保障义务的规范价值取向,在于公共秩序与公共安全的维护。网络空间是否存在公共性,是我们理解适用该法律条文时的关键问题。网络空间的运行和信息交互活动,与现实场景下的社会性场所、群众性活动有行为模式的相似之处。物理世界中,先存在着一个公共空间,而后产生聚合的公共行为;而网络空间的虚拟性打破了传统的模式,先有人与人之间的互动,而后形成了一个虚拟的公共空间,虚拟性成就了网络空间所特有的公共性。网络服务提供者具备开启、参与社会交往服务及给他人权益带来潜在危险两项特征,因此虚拟数字世界中的网络服务提供者与现实世界中的安全保障义务主体一样,应对针对其服务用户发生的侵权负有排除义务,并对未来的妨害负有审查和控制义务。本院认为,该义务的法理基础与《侵权责任法》第三十七条所确立的安全保障义务系属同源,法理体系一脉相承。

付全贵与北京三快信息科技有限公司等网络侵权责任纠纷案:

三快科技公司主张其在信息安全管理上不存在漏洞。虽然其提供的证据可以证明其采取了一定的安全保护措施,如将可识别的信息去标识化处理,对用户姓名、手机号和证件信息都进行了部分隐藏,相关信息的管理需要经过授权许可等,但对其内部安全管理制度和操作规程、具体访问涉案信息的授权规则、授权人员范围、监控情况等,三快科技公司均未清楚、准确地予以说明。特别引起本院注意的是,三快科技公司所称系统自动发送的风险提示短信包含有完整的涉案信息,在其系统平台上所保存的记录亦未进行去标识化处理,该短信在发送之后相关记录会留存在美团平台的数据库中,可以再次访问。综上,本院认为三快科技公司在其信息安全管理无漏洞方面举证并不充分,无法证明其已制定了管理制度和操作规程,采取了必要的技术措施来确保其收集的个人信息安全。
一方面,从现有证据看,三快科技公司并未提供充分证据证明涉案信息由其他主体泄露,其提供的商家导出订单报表等证据反而显示在商家处已将旅客手机号码进行了加密处理。另一方面,在因交易必要需将个人信息提供给第三方的情况下,网络运营者作为信息采集方,同样负有采取相应措施保护信息安全的义务。在其提供过程中,至少应做到三点:一是同样遵循合法、正当、必要的原则,将提供信息的范围严格限制在订票所必需的范围内;二是应当采取技术措施确保信息传输过程中的安全,如采用技术手段进行匿名化处理;三是作为交易模式的设计者,三快科技公司应清楚知晓其采集信息的流向、范围及可能有泄露风险的环节。而对于提供信息的个人来说,在其将个人信息提供给网络运营者之后,很难对信息的使用进行有效控制。与个人相比,网络经营者应当也有能力通过完善经营模式或协议安排来分散风险和分担责任。故,本院对三快科技公司主张涉案信息亦可能被航空公司等其他主体泄露的意见不予采信,该项意见亦不构成免责或减责的事由。综上,本院认为三快科技公司未能充分证明其已经尽到了保护涉案信息安全的义务。

三个案件虽然事实与判决结果相似,但法院的说理却各有侧重。“庞理鹏案”的重点在举证责任,法院认为作为普通人的庞理鹏根本不具备对东航、趣拿公司内部数据信息管理是否存在漏洞等情况进行举证证明的能力。“申瑾案”的重点是法院将《侵权责任法》第三十七条中实体公共场所(宾馆、商场、银行、车站、娱乐场所等公共场所)的安全保障义务扩展到网络空间,进而认为在线提供服务的公司有义务保障旅客信息安全。“付全贵案”中,法院绕开了《侵权责任法》第三十七条能否适用于网络空间的问题,直接援引《网络安全法》作为企业的义务,这当然与新法生效有关。

四、个人信息保护趋势

这三个案件虽然都局限于旅客出行的场景,但仍反映出一个清晰的趋势,即只要用户个人信息泄露,无论厂商合规措施有多完善都可能需要承担责任,当然合规措施的完善程度会与需要承担责任的多寡也会相关。

根据这一逻辑:

  • 个人信息泄露后,如果厂商主张黑客的攻击是个人信息泄露的主要原因,那么法院就会就可以像“付全贵案”中一样认为:“事实证明相关措施并未确保其收集的个人信息安全”;
  • ​如果厂商主张是未被起诉的航空公司或中航信可能泄露个人信息,那么法院就可以认为厂商有义务管控第三方的信息安全保障能力,也可以像原告具有选择权,以及在对外关系上即便是第三方(中航信或航空公司)泄露了旅客的隐私信息,也应由平台或厂商首先承担责任,再去追责。

随着举证责任天平的倾斜,以及《民法典》即将生效。用户在遭遇个人信息泄露后向厂商、平台起诉的案件只会越来越多,甚至消费者协会也会越来越频繁地直接上场起诉,比如江苏消保委在2017年曾就百度App违法处理个人信息发起诉讼,后在百度完成整改后撤回诉讼。面对诉讼的压力,唯愿掌握大量个人信息的企业、航空公司、平台、厂商能够做好自己的信息安全工作,审查好外部第三方,不要让个人信息的泄露成为家常便饭。

网络安全等级保护行政诉讼第一案(疑似):徐望仁诉耒阳市公安局公安行政处罚案

  • 案件名称:徐望仁诉耒阳市公安局公安行政处罚案
  • 审理法院:衡阳铁路运输法院
  • 案号:(2019)湘8602行初118号
  • 裁判日期:2019.09.26
  • 原告:徐望仁
  • 被告:耒阳市公安局
  • 被诉行政处罚:警告
  • 相关法条:《中华人民共和国网络安全法》第二十一条第三项
  • 裁判结果:维持

直播视频:http://tingshen.court.gov.cn/live/8105887(只能听到原告的声音,两被告收音不佳)。根据仅能听清的原告的陈述,原告关注重点并不在于是否履行网络等级保护的义务,而在于两被告对原告打击报复。

简而言之,这是我能检索到的因为未履行等级保护义务的第一起行政诉讼,但庭审并未就此展开充分的辩论,也没有对证据进行深入质证,因此参考价值有限。

一、案件事实

2019年4月3日,被告一(耒阳市公安局)对耒阳市城市论坛网站进行网络安全执法检查,发现该网站的日志只保存了2019年1-4月四个月。耒阳市公安局通过立案调查,查明耒阳城市论坛网站系以资慧兰名义注册,实际运营者为原告。

2019年4月25日,被告一对原告作出耒公(网)责通字【2019】第0267号《责令予以改正通知书》,责令徐望仁立即予以改正。同日,被告一根据《网络安全法》第五十九条第一款的规定,作出0401号处罚决定,对原告处予警告的行政处罚。原告不服该行政处罚决定,于2019年5月20日向被告二耒阳市人民政府提出行政复议申请,被告二当日予以受理。

二、法律依据

《网络安全法》

第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
……
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;

《公安机关互联网安全监督检查规定》(被告检查时未予以援引)

第十条 公安机关应当根据互联网服务提供者和联网使用单位履行法定网络安全义务的实际情况,依照国家有关规定和标准,对下列内容进行监督检查:
(七)是否履行法律、行政法规规定的网络安全等级保护等义务。

三、证据与认定

原告证据:

被告一证据:

被告二证据:略(关于行政复议)

四、法院观点

根据本案证据,耒阳城市论坛网站的实际运营者为原告,被告一2019年4月3日对该网站进行执法检查时,该网站只保存了2019年1-4月的日志。被告一通过开展现场检查、调查取证、询问查证,认定原告存在上述违法事实。被告一对原告作出行政处罚决定前,告知原告其作出行政处罚的事实、理由、依据及原告享有的陈述和申辩权。在作出行政处罚决定后,及时向原告进行宣告、送达,符合法定程序。

法考引发的隐私之争:王庆辉诉青岛天一精英人才培训学校侵犯隐私权纠纷案

  • 案件名称:王庆辉诉青岛天一精英人才培训学校侵犯隐私权纠纷案
  • 裁判法院:山东省青岛市中级人民法院
  • 案号:(2019)鲁02民终7482号
  • 上诉人(原审被告):青岛天一精英人才培训学校(“培训学校”)
  • 被上诉人(原审原告):王庆辉
  • 裁判结果:撤销一审判决,驳回原告诉讼请求

一、案件事实

2018年法考成绩发布后,培训学校要求所有学员查出成绩后自愿报给培训学校后上报给烟台市公安局。王庆辉通过微信上报成绩。

后培训学校公众号发布推送《重磅!天一教育法考烟台考点创造98.3%的通过奇迹!》,其中显示天一烟台教学点过关名单中包含王庆辉的成绩。王庆辉认为该推送构成侵犯自己的隐私权。

一审法院认为培训学校的推送侵犯王庆辉隐私权。

二、二审法院观点

隐私权是指自然人享有的对其个人的、与公共利益无关的个人信息、私人活动和私有领域进行支配的人格权。随着信息化的发展,隐私权保护的范围除包括个人的生活私密领域,也包括个人信息自主。本案中,天一学校通过互联网发布的天一烟台教学点过关名单中包含王庆辉的名字及考试成绩,王庆辉认为该行为侵犯了其隐私权。本院认为,首先,由于个人观念的不同,隐私的定义具有一定主观性,但法律意义上隐私范围的界定应当具备一定客观性标准,并根据案件具体情况进行分析。

一般而言,自然人的基因信息、证件信息、联络方式、财务情况、婚姻状况、健康状况、医疗信息、犯罪记录等可以识别该个人的资料应当属于隐私权保护的个人信息。姓名、考试成绩均非私生活中绝对自我空间的范畴,不属于隐私的范围。此外天一学校发布的“115,王庆辉,男,90,91,181”的信息内容仅涉及王庆辉姓名和成绩,并未涉及其他私人信息,该过关学员名单面向社会不特定公众发布,社会公众并不必然能凭此条信息与王庆辉本人建立特定联系,故不构成法律概念上的特指,不具备识别性。

其次,侵犯隐私权承担的是一般侵权责任,适用过错责任原则,应当由权利主张一方举证证明存在加害行为、损害结果、因果关系、行为人具有过错。天一学校通过互联网发布“重磅!天一教育法考烟台考点创造98.3%的通过奇迹!”的行为旨在宣传该学校通过率,其中包含的“115,王庆辉,男,90,91,181”的信息内容并未逾越此目的的必要范围,不具有侵犯王庆辉隐私权的故意或过失,主观上无过错。故天一学校不具备隐私权侵权的构成要件,不构成对王庆辉隐私权的侵犯。

EDPB关于GDPR下同意的指引:示例

2020年5月4日,EDPB(European Data Protection Board)发布Guidelines 05/2020 on consent under Regulation 2016/679,对2018年WP29的文件进行了更新。此次更新重点关注“饼干墙”(Cookie Walls)和第16个案例(关于滑动与同意)。

本文仅就案例部分及相应的标题进行了翻译。

来源: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_en

3.有效同意的要素

3.1 自由给予

例1:一个用于照片编辑的移动应用要求用户激活GPS定位功能,以使用其服务。该应用程序还告诉用户,它将使用收集到的数据进行行为广告宣传。无论是GPS定位还是在线行为广告,都不是提供照片编辑服务所必需的,也超出了提供核心服务的范围。由于用户在没有同意这些目的的情况下不能使用该应用,因此不能认为该同意是自由给予的。

3.1.1 权力的不平衡

例2:一个地方市政当局正在计划进行道路维修工程。由于道路工程可能会在很长一段时间内影响交通,该市政当局提供机会让市民订阅一个电子邮件列表,以接收关于工程进度和预期延误的最新信息。市政府明确表示,市民没有参与的义务,并要求同意将电子邮件地址用于此目的。不同意的市民不会错过市政府的任何核心服务或行使任何权利,因此,他们可以自由地给予或拒绝同意使用数据。有关道路工程的所有信息也将在市政府网站上公布。

例3:一个拥有土地的个人需要从其所在的地方市政府和所在的省政府获得某些许可证。这两个公共机构在发放许可证时要求提供相同的信息,但没有访问对方的数据库。因此,两者要求的信息是一样的,土地所有者向两个公共机构发送她的详细信息。市政府和省厅要求她同意合并档案,以避免重复的程序和通信。两家公共机构都保证,这是她的选择,如果她决定不同意合并她的资料,许可申请仍将单独处理。土地所有权人可以自由选择同意合并档案的机关进行合并。

例4:某公立学校要求学生同意在印刷的学生杂志上使用他们的照片。在这种情况下,只要学生不会被拒绝接受教育或服务,并可以拒绝使用这些照片,而不会对学生造成任何损害,那么在这种情况下的同意将是一种真正的选择。

例5:一个摄制组要在办公室的某个区域进行拍摄。雇主要求所有坐在该区域的员工同意被拍摄,因为他们可能会出现在视频的背景中。不愿意被拍摄的员工不会受到任何处罚,而是在拍摄期间,在大楼其他地方给他们安排同等的办公桌。

3.1.2 条件性

例6:某银行要求客户同意允许第三方使用其付款资料进行直销。这种处理活动不是履行与客户的合同和提供普通银行账户服务所必需的。如果客户拒绝同意这一处理目的,将导致银行拒绝提供银行服务、关闭银行账户,或视情况增加费用,则不能随意给予同意。

例6a: 一个网站提供商设置了一个脚本,除了要求接受cookie以及关于设置了哪些cookie和数据处理目的的信息外,其他内容将被屏蔽。如果不点击 “接受cookies “按钮,就无法访问内容。由于没有向数据主体提供真正的选择,因此不能自由给予其同意。这并不构成有效的同意,因为服务的提供有赖于数据主体点击 “接受cookies “按钮。接受cookie “按钮。它没有呈现真正的选择。

3.1.3 颗粒度

例7:在同一个同意请求中,零售商要求客户同意使用他们的数据通过电子邮件向他们发送营销信息,并与集团内的其他公司分享他们的信息。这种同意是不细化的,因为这两个不同的目的没有单独的同意,因此该同意是无效的。在这种情况下,需要征得特定的同意才能将联系信息发送给商业合作伙伴。该特定同意将被视为对每个合作伙伴有效(另见第3.3.1节),在收集数据主体同意时,其身份已被提供给数据主体,只要是为了同一目的(在本例中:营销目的)而发送给他们的,该特定同意将被视为有效。

3.1.4 危害性

例8:在下载一个生活方式手机APP时,APP会要求用户同意访问手机的加速度计(accelerometer)。这对于APP的工作来说并不是必要的,但对于希望了解用户的运动和活动水平的控制者来说是很有用的。当用户后来撤销了这一同意后,她发现这个应用现在只能在有限的范围内发挥作用。这是GDPR立法理由第42段中的一个损害的例,这意味着从未有效地获得同意(因此,控制者需要删除所有以这种方式收集的用户运动的个人数据)。

例9:数据主体订阅时尚零售商的简讯以获得折扣。零售商要求数据主体同意收集更多关于购物喜好的资料,以便根据其购物记录或自愿填写的问卷,为其提供切合其喜好的优惠。当数据主体其后撤回同意时,他或她会再次收到非个人化的折扣。这并不构成损害,因为这只是损失了数据主体允许的刺激措施。

例10:某时尚杂志在正式上市前,向读者提供购买新的彩妆产品的机会。这些产品很快就会上市销售,但该杂志的读者可以获得这些产品的独家预览。为了享受这一福利,人们必须提供自己的邮寄地址,并同意订阅该杂志的邮寄名单,才能享受到这一福利。邮寄地址是邮寄的必要条件,邮件列表是用来发送化妆品或T恤衫等商品的商业优惠,一年四季都有。公司解释说,邮寄名单上的数据仅用于杂志社自己发送商品和纸质广告,不得与任何其他机构共享。如果读者因此而不愿意透露自己的地址,也不会有任何损害,因为无论如何都可以得到产品。

3.2 具体的

例11:某有线电视网络在用户同意的基础上收集用户的个人数据,根据用户的观看习惯,向他们提供他们可能感兴趣的新电影的个人建议。一段时间后,电视网络决定让第三方根据用户的收视习惯发送(或显示)有针对性的广告。鉴于这种新的目的,需要新的同意。

3.3 告知

3.3.2 如何提供信息

例12:X公司是一家控制者,它收到投诉,称数据主体不清楚他们被要求同意使用数据的目的是什么。该公司认为有必要核实同意请求中的信息是否为数据主体所理解。X公司会组织特定类别客户的自愿测试小组,在向这些测试对象展示其同意信息的更新,然后再对外使用。测试小组的选择尊重独立性原则,并根据确保测试结果具有代表性、无偏见的标准进行选择。小组收到调查问卷,并指出他们对信息的理解,以及他们将如何对这些信息进行打分,以了解相关信息。控制者继续测试,直到小组表示可以理解的信息为止。X起草了一份测试报告,并将其保存下来,以备日后参考。这个例显示了X可能的一种方式,说明数据主体在同意X进行个人数据处理之前,已经收到了明确的信息。

例13:某公司在同意的基础上进行数据处理。该公司使用包含同意请求的分层隐私通知。该公司披露了控制者的所有基本细节和所设想的数据处理活动。然而,该公司没有在通知的第一层信息中说明如何联系到他们的数据保护官。为了具有GDPR第6条要求的法律依据,该控制者获得了有效的 “知情 “同意,即使根据 GDPR 第13(1)(b)条或第14(1)(b)条,数据保护官员的联系方式没有被告知数据主体(在第一信息层),该控制者也获得了有效的 “知情 “同意。

3.4 明确表示意愿

例14:在安装软件时,应用程序要求数据主体同意使用非匿名的崩溃报告来改进软件。在请求同意的同时,会有一个提供必要信息的分层隐私通知。通过主动勾选注明 “我同意”的可选框,用户能够有效地执行 “明确的肯定行为”来同意处理。
例15:只要提供明确的信息,并清楚地表明该动作表示同意某项具体请求(例如,如果你向左划动此条,则表示你同意将信息X用于Y目的,重复该动作以确认),在屏幕上划动该条,在智能摄像头前挥手,顺时针转动智能手机,或以数字八的动作表示同意,都可以成为选项。控制者必须能够证明同意是通过这种方式获得的,而且数据主体必须能够像给予同意一样容易撤回同意。

例16:根据GDOR立法理由第32段,滚动或浏览网页或类似的用户活动等行动在任何情况下都不符合明确和肯定行动的要求:这类行动可能难以与用户的其他活动或互动区分开来,因此也不可能确定已获得明确的同意。此外,在这种情况下,很难为用户提供一种像给予同意一样容易的方式来撤销同意。

4. 获得明确同意

例17:数据控制者也可以通过提供一个包含 “是 “和 “否 “复选框的明确同意屏幕,从网站访问者那里获得明确的同意,条件是文字上清楚地表明同意,例如 “我在此同意处理我的数据”,而不是 “我很清楚我的数据将被处理”。不言而喻,知情同意的条件以及获得有效同意的其他条件都应该得到满足。

例18:某整形美容诊所征求患者的明确同意,将病历转给专家,专家对患者的病情提出第二种意见。该病历是一个数字文件。鉴于有关信息的特殊性,诊所要求数据主体的电子签名,以获得有效的明确同意,并能够证明已获得明确同意。

例19:一家名为假日航空公司的航空公司为因残疾等原因不能在无人协助的情况下旅行的旅客提供协助旅行服务。一位顾客预订了从阿姆斯特丹飞往布达佩斯的航班,并要求提供旅行辅助服务,以便能够登机。假日航空公司要求她提供有关其健康状况的信息,以便为她安排适当的服务(因此,有多种可能性,例如,在到达登机口处有轮椅,或有助理陪同她从A到B的旅行)。假日航空要求该客户的明确同意处理其健康数据,以安排所需的旅行协助。在同意的基础上处理的数据应该是所要求的服务所必需的。此外,飞往布达佩斯的航班仍然可以在没有旅行协助的情况下使用。请注意,由于这些数据是提供所要求的服务所必需的,因此GDPR第7条第4款不适用。

例20:一家成功的公司专门为户外运动提供定制滑雪和滑雪板护目镜以及其他类型的定制眼镜。该公司的想法是,人们可以在不戴眼镜的情况下佩戴这些眼镜。该公司在一个中心点接受订单,并从整个欧盟各地的单一地点交付产品。为了能够为近视的客户提供定制化的产品,该控制者要求同意使用客户的眼睛状况信息。顾客在网上下单时提供了必要的健康数据,如顾客的处方数据等。如果没有这些数据,就无法提供所要求的定制眼镜。该公司还提供了一系列具有标准化矫正值的护目镜。不希望共享健康数据的客户可以选择标准版的产品。因此,根据第9条的规定,需要得到明确的同意,可视为自由同意。

5.额外的有效同意条件

5.1 证明同意例

21:某医院设立了一个名为X项目的科学研究计划,为此需要真实患者的牙科记录。参与者通过打电话给自愿同意列入可能为此目的而接触的候选人名单的病人招募。控制者在使用其牙科记录时,会征得数据主体的明确同意。同意是在电话中通过记录资料当事人的口头声明来获得的,在此声明中,资料当事人确认同意将其资料用于X项目的目的。

5.2 撤回同意

例22:某音乐节通过在线票务代理销售门票。在每次在线售票时,都需要征得客户的同意,以便将联系信息用于营销目的。为了表示同意,客户可以选择 “否 “或 “是”。控制者会告知客户,他们可以撤销同意。要做到这一点,他们可以在工作日上午8点至下午5点之间免费联系呼叫中心。本例中的控制者不符合GDPR第7(3)条的规定。在这种情况下,撤销同意需要在营业时间内拨打电话,这比通过在线票务供应商24小时开放的在线票务供应商的鼠标点击同意要麻烦得多。

7.GDPR中特别关注的领域

7.1.4 儿童的同意和父母的责任

例23:某在线游戏平台想确保未成年用户只有在父母或监护人同意的情况下才会订阅其服务。控制者按照以下步骤进行操作。第一步:要求用户说明他们是否已满16岁(或其他年龄)。如果用户说明他们未满相应的年龄:第二步:服务告知孩子,在向孩子提供服务前,需要父母或监护人同意或授权处理。用户被要求透露父母或监护人的电子邮件地址。第三步:服务方联系家长或监护人,通过电子邮件取得家长或监护人的同意进行处理,并采取合理的步骤确认该成人有父母的责任。第四步:如果有投诉,平台会采取额外步骤核实用户的年龄。如果平台已经满足了其他同意要求,平台可以通过这些步骤来遵守GDPR第8条的附加标准。

《民法总则》虚拟财产/数据条款的适用

法律对数据、网络虚拟财产的保护有规定的,依照其规定。

《民法总则》第一百二十七条

在《民法总则》中,关于网络虚拟财产的保护有着语焉不详的一条,给法官留下了巨大的发挥空间。在最早版本的《民法总则(草案)》中,数据与知识产权一度被作为知识产权的客体,但随着修改其地位日益模糊。

在2019年12月版的《民法典(草案)》中,对数据、网络虚拟财产有着与《民法总则》一模一样的规定。看来,立法者把更多的悬念留给司法去适用。

自《民法总则》生效以来,已经有不少案件援引了第一百二十七条,稍微汇总了一下,以后可能会从中总结出更多规律吧。

1.冯亦然与北京乐酷达网络科技有限公司合同纠纷案

案号:(2018)京01民终9579号

冯亦然诉讼请求的法律基础。民事权利是受法律保护的特定利益,其因种类不同而有不同的客体。所有权的客体是物,债权的客体是债务人的给付行为。本案冯亦然请求交付比特币现金系基于何种权利,是首要解决的基本问题。《中华人民共和国民法总则》第一百二十七条规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”虽然比特币本身不包含固有价值,比特币持有人须通过分布存储且全网确认的“公共记账簿”(数据库)所记载的信息而行使占有、使用、收益、处分的权能,但鉴于我国现行法律没有将比特币等网络虚拟财产规定为物权法上的“物”,因而基于物权法定原则,冯亦然无法按照所有权的法律规定(如孳息)而要求乐酷达公司交付比特币“分叉”所产生的比特币现金。应当看到,比特币的交易现实存在,持有者仍然希望藉此获取利益,在网络环境下的商品交换过程中,比特币的价值取决于市场对比特币充当交易媒介的信心,所以,比特币属于合同法上的交易对象,具有应当受到法律保护的“民事利益”。冯亦然的诉讼请求,存在合同法上的依据。

2.王洋与方勇民间借贷纠纷案

案号:(2018)皖0403民初1927号

本院认为,公民之间合法的借贷关系应当受到法律保护,债权人有权要求债务人按照合同的约定或者依照法律的规定履行义务。本案涉案财物属于通过网络游戏投资挣钱,根据《中华人民共和国民法总则》第一百二十七条之规定,属于“网络虚拟财产”,适用财产的一般规定;被告拖欠原告王洋1061元有欠条为证,双方之间形成债权债务关系,原告王洋在庭审中对于被告方勇已归还其325元的事实予以认同,本院依法予以确认;原告王洋要求被告方勇归还尚欠余款736元的诉讼请求,本院依法予以确认。被告方勇经本院依法送达开庭传票,无正当理由未到庭,视为放弃答辩的权利。

3.张凤美与黄灿煌合同纠纷案

案号:(2017)鲁0303民初1733号

本院认为,虚拟财产权受法律保护。原告张凤美作为(https://jiyoujia36739403.jiyoujia.com/)ID米陶乐账号的注册人,其对该虚拟店铺享有受法律保护的财产权利。且根据原、被告签订的《网店店铺使用协议》,被告对该店铺归属于原告并未提出异议,且双方在协议中约定使用期满后店铺应归还持有人张凤美,现使用期满后被告拒绝归还,既无法律依据,亦不符合合同约定,被告的行为构成违约,故对于原告要求被告返还店铺并支付赔偿金20万元的诉讼请求,本院予以支持。双方在签订补充协议时将违约损失由5万元调整为20万元,该调整系双方自愿协商且充分考虑店铺使用价值及经营情况作出的约定,被告黄灿煌无正当理由拒绝返还原告店铺,给原告造成较大财产损失,故对于原告要求被告赔偿违约损失20万元,本院予以支持。“1号家装馆”标志在长期使用过程中,已经具备一定的商业价值,且双方在补充协议中约定该标志归被告黄灿煌所有,由被告支付原告标志转让费2万元,故原告要求被告支付该转让费,符合合同约定,且不违反法律规定,本院予以支持。原、被告共同经营使用涉案店铺,并在经营过程中形成涉案店铺所占有的网络权重,现被告黄灿煌主张涉案网店的权重应与网店分离,由被告黄灿煌所有,于法无据,本院不予支持。

4.李某某、韩某返还原物纠纷案

案号:(2018)冀01民终13196号

一审法院认为,原告在网络游戏《大话西游0nlineII》中所实际控制的四个游戏账号中的游戏角色及附带物品属于《中华人民共和国民法总则》第一百二十七条所规定的网络虚拟财产,对该财产的合法权利应当予以保护。根据庭审确认的事实,原告韩某将自己实际控制的游戏账号交给被告李某某使用,被告在此使用过程中应当基于善意、合理的原则,不得对原告的权利造成损害。而被告在使用原告账号过程中,在没有经过原告同意的情况下,擅自将游戏中的角色和装备以明显不合理的低价出售给自己,明显侵害了原告的网络虚拟财产权利,故原告要求被告返还原物或赔偿损失的请求,本院予以支持。

5.中国电信股份有限公司厦门分公司、赖孝君电信服务合同纠纷案

案号:2018闽02民终3796号

本院认为,赖孝君与电信公司签订了《业务服务协议》,二者之间成立合法有效的电信服务合同关系,赖孝君基于此合法享有对案涉优号的使用权和处分权。根据我国《民法总则》第一百二十七条,公民的虚拟财产受法律保护,现赖孝君要求将案涉优号过户给陈太勇,系对其合法财产权益的正当处分,并未违反法律或者双方合同的约定,电信公司无权拒绝为其办理过户手续。

6.徐咪咪与陈小波返还原物纠纷案

案号:(2019)赣0922民初1113号

本院认为,关于比特币的法律性质,2013年12月5日中国人民银行等五部委《关于防范比特币风险的通知》中明确规定“比特币应当是一种特殊的虚拟商品,不具有与货币同等的法律地位,不能且不应当作为货币在市场上流通使用”,由此可以看出,我国只是禁止比特币作为货币流通使用,但对比特币作为特殊商品的即物的持有和使用以及流转并未禁止。2017年9月4日,中国人民银行等七部门发布《关于防范代币发行融资风险的报告》规定任何组织和个人不得非法从事代币发行融资活动以及代币融资平台不得买卖“虚拟货币”,但并未禁止比特币等“虚拟货币”的持有和合法流转。故原、被告之间就比特币的借用不违反法律规定,原告向被告出借比特币后,被告应按双方约定期限归还所借之物。被告抗辩称原告并非标的物的所有人,不享有标的物的返还请求权,本案中被告基于借用关系收到原告交付的比特币情况属实,其并无证据证明收到的比特币为他人所有,故负有向原告返还的义务。因此,对原告要求被告返还比特币30个的诉讼请求,本院予以支持。依照《中华人民共和国民法总则》一百二十七条、《中华人民共和国合同法》第六十条、《中华人民共和国民事诉讼法》第一百四十二条之规定,判决如下:……

7.蒋波与赵元军不当得利纠纷案

案号:2018川0823民初793号

本院认为,法律对数据和网络虚拟财产应当予以保护。随着科技和互联网金融的发展,财付通和支付宝日益成为商品交易和代替货币流通的重要媒介,微信支付平台通过互联网与银行等金融机构链接和绑定账号,可以自由提现,具有货币价值。同时,人民法院对财付通账户资金已具有查控和划扣功能。因此,原告转出的微信资金具有财产属性。被告在本案中获得财产利益没有法律根据,原告财产利益因此受到损害,有权依法要求被告返还。

8.张明生与李柏超占有物返还纠纷案

案号:(2018)黑0110民初5010号

本院认为,雷达币具有了一般商品的属性,具有价值和使用价值及交换属性,亦具备了真实财产的基本特性,其虽然是网络虚拟财产的一种,即无形财产,但雷达币的所有人对自己的虚拟财产依法享有占有、使用、收益、处分的权利。根据我国法律规定,法无明文禁止即可为的民事法律原则,当前我国法律并未禁止虚拟货币在网络空间交易,所以雷达币作为虚拟财产的一种,在民事活动中,应受到法律保护。具体到本案,被告李柏超利用原告张明生委托其注册雷达钱包账号的机会私自将原告雷达币转走,其行为侵犯了原告的财产权益,由于雷达币的交易流通是通过互联网交易平台进行交易流通,其兑价比率适时变化,难以确定雷达币的市场现值和孳息的计算,故本院认为对于原告张明生的诉讼请求应以原物返还予以支持为宜。

新冠病毒基因数据之争

南开大学高山团队在没有与张永振教授团队进行沟通的情况下,利用张永振教授团队共享的信息,发表科研。网上对其产生了很多争议,称涉嫌剽窃成果、抢论文。不能空谈(学术)道德,该看看法律如何看待此事。

一、相关事实

2020年1月5日复旦大学张永振教授团队率先在NCBI数据库上发布了新型冠状病毒的基因数据

preview

南开大学高山老师作为通讯作者,利用张永振教授团队发布的数据在《生物信息学》刊物发表了题为《武汉2019冠状病毒基因组的生物信息学分析》的论文。

preview

二、什么权利

讨论法律问题需要按照法律的思维方式,即谁有何种权利,如果该权利被侵犯可以如何救济。

继续阅读