中文

Base on one field Cast our eyes on the whole world

立足一域 放眼全球

点击展开全部

法律宝库

更多 >>

“撞库”的侵权认定

发布时间:2019-11-01 来源:知产力 作者:叶胜男
字号: +-
563

叶胜男 杭州互联网法院互联网审判二庭副庭长


原标题:知产案评:“撞库”的侵权认定

案情简介

杭州A科技公司、杭州B科技公司系“女装网”的运营方及管理者,“女装网”作为女装行业门户网站,集商务、资讯服务于一体,以服务经销商和女装企业为核心,构建女装行业专业口碑交流互动平台,提供品牌、时尚、行业以及经营等专业资讯,为女装企业提供品牌招商,品牌推广等全方位立体服务,被告C网络科技公司系“中服网”的经营者。两原告认为经销商愿意使用“女装网”发布其加盟意向,借助“女装网”平台,将其加盟意向匿名发布在平台上,杭州A科技公司、杭州B科技公司投入了大量人力、物力进行人工审核经销商资料,审核通过的经销商数据,进一步加贴标签并进行人工分类筛选,最终放入平台经销商数据库,目前经销商数据库共有十几万条经人工审核的数据。后两原告发现被告以“撞库”方式非法获取、使用“女装网”上的账号及密码登录“女装网”并查看经销商数据库信息,导致杭州A科技公司、杭州B科技公司客户的流失,削弱了两公司的市场竞争优势,损害了两公司的核心竞争力,严重扰乱了服装网站行业的竞争秩序。


浙江C网络科技公司辩称:其没有实施涉案被控侵权行为,案发后,经调查,涉案被控侵权行为为公司内部个人行为,已经对涉事员工进行处理,且并不构成不正当竞争,两原告网站的服务协议及现行法律规定对会员账号及密码的权属并没有定性,即便有使用会员账号及密码的行为,也应当由用户来主张权利。

法院判决

根据被控侵权行为实施的时间、地点、与职务的内在联系、行为表现及利益归属等因素,本院认定涉案被控侵权行为应为被告公司的行为,而非个人行为。涉案经销商数据信息可给两原告带来直接的经济利益,属于应当受法律保护的权益。从上述三种涉案被控侵权行为的方式和手段、目的和后果分析,确实违反诚实信用原则和公认的商业道德。原被告双方当事人的商业模式、企业定位、用户群体存在高度重合性,互联网服装领域是直接竞争关系,所以涉案被控侵权行为是否给杭州A科技公司、杭州B科技公司造成了损害。经审理判定被告浙江C网络科技公司立即停止侵权,并赔偿原告杭州A科技公司、杭州B科技公司经济损失共计350000元,同时承担消除影响的民事责任,一并驳回其他诉讼请求。

裁判分析


根据百度百科解释,撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登录其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的账号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网站,这就可以理解为撞库攻击。撞库通常意义上也指用拖库方式获得的用户名和密码在其他网站批量尝试登录,进而盗取更有价值的东西。部分负责任的网站不会将密码明文保存在数据库中,会提前将一些比较简单的密码做MD5运算,将结果保存下来,破译密码的时候直接查,加盐后的明文=明文+盐密文=MD5(加盐后的明文)。


一、公司职务行为如何进行认定


《侵权责任法》第三十四条规定:“用人单位的工作人员因执行工作任务造人他人损害的,由用人单位承担侵权责任。”此处“用人单位”指的是与劳动者形成劳动关系的主体,在劳动者为完成劳动工作而造成他人人身或财产损害的,由单位承担赔偿责任。就本案而言:第一,涉案会员账户登录访问的时间和地点显示浙江C网络科技公司员工是在不同时间使用不同的品牌会员账户进行登录、访问“女装网”经销商数据库的,且日常登录时间多为周一至周五、上午8时至下午5时30分之间,为工作日的正常工作时间。登录使用的四个IP地址段也均为浙江C网络科技公司专有。第二,从两名员工实施涉嫌侵权行为与职务是否有内在联系来看,两名员工本身为客服人员,其二人在工作期间和公司办公场所使用客户账户和密码登录网站获取信息,是利用职务之便实施,和本身工作性质和内容密切相关,应属于职务行为。浙江C网络科技公司抗辩以账号密码登录杭州A科技公司、杭州B科技公司网站已取得会员客户的授权,包括了从会员客户获取账号密码以及会员客户授权登录两个行为,但未提供相应证据证明。相反,杭州A科技公司、杭州B科技公司持续接到“女装网”部分会员关于账号异常登录及账户点金豆异常减少、客户反映登录异常、经销商数据重复等投诉,均表明浙江C网络科技公司的上述陈述与事实不符。第三,从涉案被控侵权行为的行为表现及利益指向来看,登录达上千余次的持续性登录过程中,访问、登录使用的均是浙江C网络科技公司所属的IP地址,且行为指向最终的利益归属均为浙江C网络科技公司。浙江C网络科技公司既没有举证证明涉案员工个人可从中有所获益,也没有提供证据证明其采取了严格的网络安全管理,更未对此作出合理解释。


综上,根据被控侵权行为实施的时间、地点、与职务的内在联系、行为表现及利益归属等因素,本院认定涉案被控侵权行为应为浙江C网络科技公司的行为,而非个人行为。


二、“撞库”行为能否认定为不正当竞争


(一)杭州A科技公司、杭州B科技公司是否享有反不正当竞争法所保护的权益


杭州A科技公司、杭州B科技公司举证证明其通过宣传推广吸引经销商在“女装网”发布非公开的加盟意向,杭州A科技公司、杭州B科技公司经过简要加盟信息之后,通过人工审核方式深度核实并获取更多的加盟信息进行分析及整合,加贴特殊标签,最终加工形成较为完善的加盟信息。杭州A科技公司、杭州B科技公司认为单个的经销商数据库信息汇集成一定规模的数据之后,可以成为一种资源、要素、财产,涉案经销商数据库是杭州A科技公司、杭州B科技公司长期经营的劳动成果,为此投入劳动及成本,系其核心竞争资源,具有商业意义和商业价值,应当属于《反不正当竞争法》所保护的财产性权益。关于浙江C网络科技公司抗辩“女装网”服务协议及现行法律规定对会员账号及密码的权属并没有定性,即便有使用会员账号及密码的行为,也应当由用户来主张权利的意见。本院认为,会员账号及密码使用权虽然归属用户,但账号所对应的经销商数据库的财产性权益应当属于平台,且涉案经销商数据库中数据内容虽然来源于意向加盟商,但经过杭州A科技公司、杭州B科技公司的深度开发已不同于普通的客户信息。第一,涉案经销商数据库所提供的数据内容不再是原始简单的意向加盟商信息,而是根据网站所留取的信息通过人工电话询问等深度审核方式进行分析及整合,加贴特殊标签、最终形成的完整加盟信息,凝结了杭州A科技公司、杭州B科技公司人力和劳力付出;第二,涉案经销商数据信息涵盖了客户意向加盟模式、意向品牌类别、市场定位、意向说明、经销商姓名、所在地、从业经验、拥有门店、联系方式等信息内容,可直观地显示加盟商的各种意向信息,对服装品牌方联系、评价、洽谈乃至最终发展合作加盟具有较高的参考价值。第三,涉案经销商数据信息通过杭州A科技公司、杭州B科技公司进行深度加工后,以有偿的方式向有需求的服装品牌方提供服务,登录网站的品牌方需要支付会员费且消耗点金豆才能对涉案经销商数据信息进行浏览。可见,涉案经销商数据信息可给杭州A科技公司、杭州B科技公司带来直接的经济利益。


综上,本院认为,反不正当竞争法旨在维护合法有序的社会竞争秩序,经营者在经营活动中的行为如符合法律规定,基于合法的经营行为获得的合法权益应受反不正当竞争法保护。根据在案证据显示,杭州B科技公司是涉案经销商数据库的实际运营者,故其亦享有相关权益,杭州A科技公司、杭州B科技公司诉称其对涉案经销商数据库共同享有竞争性财产权益的诉讼主张,本院予以支持。


(二)涉案被控侵权行为是否具有不正当性


本案中,杭州A科技公司、杭州B科技公司诉请浙江C网络科技公司立即停止针对“女装网”企业会员及经销商数据资料的侵权行为,具体包括三种侵权行为:一是获取、使用杭州A科技公司、杭州B科技公司企业会员在“女装网”的账号及密码的侵权行为;二是访问企业会员后台页面的侵权行为;三是访问企业会员后台,查看、获取、使用经销商数据的侵权行为。综合分析上述三种涉案具体被控侵权行为如下:


第一,从上述三种涉案被控侵权行为的方式和手段分析,首先杭州A科技公司、杭州B科技公司网站的会员登录页面,若第一次无法登录,则需要通过安全验证码完成,在未取得账号和密码的情况下,是无法在页面进行正常的登录,除非通过非法手段侵入服务器获取数据库;其次,浙江C网络科技公司所控制的IP地址,以账号持续在杭州A科技公司、杭州B科技公司网站登录,显然系取得账号密码之后的正常登录;再次,浙江C网络科技公司抗辩认为以账号密码登录杭州A科技公司、杭州B科技公司网站已经取得会员客户的授权,即客户告知其账号和密码允许其在杭州A科技公司、杭州B科技公司网站页面登录,但未提供相应证据证实;最后,杭州A科技公司、杭州B科技公司已经举证证明对涉案登录密码和经销商数据库进行了加密处理,而浙江C网络科技公司确认使用四个IP地址登录“女装网”的会员账户中,有24个账户是“中服网”客户委托浙江C网络科技公司员工登录“中服网”的,“中服网”员工得知会员账户和密码后,使用24个会员账户和密码不断尝试登录“女装网”付费会员账户、密码,成功登录“女装网”后随即查看、获取、使用涉案经销商数据库信息。在浙江C网络科技公司无法证明获得客户授权而登录“女装网”的情形下,结合涉案24个账号在“女装网”“中服网”的ID不完全一致的事实,杭州A科技公司、杭州B科技公司主张浙江C网络科技公司以其自身未加密的会员数据库账号密码,不断尝试杭州A科技公司、杭州B科技公司网站进行登录,在验证了部分账号和密码相同或基本一致之后,最终以不正当手段完成在杭州A科技公司、杭州B科技公司网站顺利登录的行为的指控,予以认定。综上,本院认为,浙江C网络科技公司系通过不正当手段登录并获取案涉数据信息,其行为手段和方式具有不正当性。


第二,从涉案被控侵权行为目的和后果分析,浙江C网络科技公司以不正当的手段获取涉案经销商数据后,在涉案两个网站提供服务同质化的情况下,主观上具有“搭便车”、“不劳而获”的故意,同时涉案经销商数据库作为可以带给杭州A科技公司、杭州B科技公司带来直接经济利益的经营信息,涉嫌被控侵权行为导致的直接后果就是杭州A科技公司、杭州B科技公司客户群的流失和商业合作机会的减少,攫取了不正当的财产性权益,故被控侵权行为不仅仅是一种牟利性的商业行为,更具有明显的指向性。


第三,从涉案被控侵权行为是否违反诚实信用原则和公认的商业道德分析,首先涉案经销商数据库具有积极的效果,当互联网服装行业的品牌方会员通过网站获取所需信息,不仅可以直观获取意向加盟商详细信息,还可以了解加盟商对于相关服装品牌的喜好,涉案经销商数据库高效率地提升了品牌方会员的用户体验,丰富了会员选择,具有积极效果。其次,浙江C网络科技公司不正当地超出必要限度使用涉案经销商数据信息,实质性替代了杭州A科技公司、杭州B科技公司在服装网站上给品牌方会员提供的服务,给“女装网”带来负面评价及商誉上的损失,也可能会使得其他同行业市场主体不愿再就该类信息进行搜集、整理、投入,破坏了正常的互联网服装产业生态,并对竞争秩序产生一定的负面影响,也影响了竞争行为正当性的判断。


综上,《反不正当竞争法》第二条属于原则性条款,在具体适用中,对虽不属于《反不正当竞争法》第二章所列举,但确属于违反诚实信用原则和商业道德而具有不正当性的竞争行为,浙江C网络科技公司通过不正当手段获取涉案经销商数据库可以适用《反不正当竞争法》第二条予以调整。


(三)原被告双方是否属于竞争关系


《反不正当竞争法》的立法目的在于通过规制市场主体参与市场竞争的行为,阻止市场主体以不正当方式获取市场竞争优势,维护“平等、公平、诚信”的市场竞争秩序,不仅维护具有直接竞争关系的经营者之间的正当竞争,也维护整个市场的竞争秩序。不正当竞争行为损害对象的多样性决定了竞争行为的广泛性,当经营者以不正当手段谋取竞争优势或是破坏他人竞争优势,由此产生的亦是损害与被损害的关系。本案中的涉案经销商数据库属于正当经营模式,杭州A科技公司、杭州B科技公司注册并经营“女装网”,浙江C网络科技公司注册并经营“中服网”。原被告网站之间的商业模式核心均是以提供优质的精准经销商资料为卖点,进而向企业会员收费的盈利模式,二者属于同业范畴,且二者在为经销商和品牌方提供的服务模式上近乎一致,本质上是在争夺相同的经销商和品牌方这一用户群里。本院认为,原被告双方当事人的商业模式、企业定位、用户群体存在高度重合性,存在经营中争夺用户资源或相同用户的注意力、交易机会的情形,故在互联网服装领域是直接竞争关系,彼此的利益存在此消彼长的情况,故浙江C网络科技公司使用不正当手段登录、使用、获取涉案经销商数据库应纳入反不正当竞争法规制的范围。


(四)被控侵权行为是否给杭州A科技公司、杭州B科技公司造成损害


在互联网服装领域,扩大用户数量、维护用户忠诚度、保障平台交易秩序和商业信誉、完善系统建设,意味着赢得市场空间,获取流量利润,也是杭州A科技公司、杭州B科技公司的商业利益。涉案经销商数据库是需要通过点击消耗点金豆的方式登录查看的,而点金豆需要品牌商用户充值购买会员服务才可获取,浙江C网络科技公司不正当使用用户账号和密码登录使用,实质性替代付费会员获取经销商信息,不正当地获取了额外商业机会和竞争优势,直接损害了杭州A科技公司、杭州B科技公司的商业利益,导致杭州A科技公司、杭州B科技公司的核心竞争力及财产性权益受损,因此浙江C网络科技公司的行为与杭州A科技公司、杭州B科技公司所受损害之间具有因果关系。


互联网领域适用《反不正当竞争法》原则的适用条件应为不正当竞争行为确实损害了竞争对手的利益,限制网络用户的自主选择权,未保障网络用户的知情权,破坏了互联网环境中的公开、公平、公正的市场竞争秩序,从而引发恶性竞争或者具备这样的可能性。超越边界的获取数据库行为也可能会损害未来网络用户的利益,网络用户利益的根本提高来自于经济发展,而经济的持续发展必然依赖于公平竞争的市场秩序。如果研发数据库者的利益不能得到有效保护,必然使得同行业之间出现恶意竞争,网络用户能获取信息的渠道和数量亦将减少。


该案针对目前的数据库信息市场提出三个问题:第一个是互联网网站能不能基于自身经营所收集、整理的用户数据库信息主张权利的问题。目前能够达成共识的是,数据就是一种财产,是一种利益,是可以被保护的,互联网网站可以在用户同意的情况下,基于自身经营活动,就收集并进行商业性使用或具有商业价值的用户数据库信息主张权益。第二个是明确适用《反不正当竞争法》第二条认定互联网中的竞争行为是否属于不正当竞争行为时需要综合考虑同行业竞争者、网络用户和社会公众的利益,需要在各种利益之间进行平衡。第三个是账号秘密的信息技术特性决定了其为身份认证信息,账号密码内产生的网络虚拟财产或数据具备计算机信息系统数据的法律属性,故账号密码内的财产性权益应当归属平台。


该案指出,就数据库信息而言,其规模及质量反映了网络平台用户的活跃度,影响到互联网企业的吸引力。掌握用户数据越多,越有可能拥有更大的用户规模,显然只有维持已有用户并不断吸引新用户,才能推进企业经营发展。另一方面,用户数据库信息是网络经营者分析整理用户需求,开发特色产品和服务,提升用户体验的重要来源,故本案中的经销商数据库不仅是杭州A科技公司、杭州B科技公司的竞争力,也是生产力。


因此,该案的裁判也为数据库的获取提供了清晰的指引——即在获取相关数据库信息时,应遵循合法、正当、必要限度的原则,且不能通过不正当手段实质性替代原数据库开发者的服务,可以在一定程度上从实现积极效果的目的出发对数据库信息进行利用。

评论

在线咨询