“撞库”还是“拖库”,一起因不当获取数据库信息引发的不正当竞争纠纷案
作者:千慧视点
发布时间:2019-11-04
文章来源:杭州铁路运输法院
10月31日,杭州铁路运输法院对杭州A科技公司、杭州B科技公司与被告浙江C网络科技公司不正当竞争纠纷一案进行了公开宣判,判定被告浙江C网络科技公司立即停止侵权,并赔偿原告杭州A科技公司、杭州B科技公司经济损失共计350000元,承担消除影响的民事责任,一并驳回其他诉讼请求。
两原告诉称,判令被告立即停止侵权,并赔偿经济损失及合理维权费用2000000元,并承担赔偿道歉、消除影响的民事责任。两原告认为,品牌商客户借助“女装网”平台,将其加盟意向匿名发布在平台上,两原告投入了大量人力、物力进行人工审核经销商资料,审核通过的经销商数据,进一步加贴标签并进行人工分类筛选,最终放入平台经销商数据库。后两原告发现被告以“撞库”方式非法获取、使用“女装网”上的账号及密码登录“女装网”并查看经销商数据库信息。被告辩称:其没有实施涉案被控侵权行为,案发后,经调查,涉案被控侵权行为为公司内部个人行为,已经对涉事员工进行处理,且并不构成不正当竞争,两原告网站的服务协议及现行法律规定对会员账号及密码的权属并没有定性,即便有使用会员账号及密码的行为,也应当由用户来主张权利。诉辩焦点:根据双方当事人的陈述、答辩及已查明的案件事实,本案主要争议焦点为:一是涉案被控侵权行为是公司行为还是个人行为;二是涉案被控侵权行为是否构成不正当竞争。《侵权责任法》第三十四条规定:“用人单位的工作人员因执行工作任务造人他人损害的,由用人单位承担侵权责任。”就本案而言:第一,涉案会员账户登录访问的时间和地点显示浙江C网络科技公司员工是在不同时间使用不同的品牌会员账户进行登录、访问“女装网”经销商数据库的,且日常登录时间多为工作日的正常工作时间。登录使用的四个IP地址段也均为浙江C网络科技公司专有。第二,从两名员工实施涉嫌侵权行为与职务是否有内在联系来看,两名员工本身为客服人员,其二人在工作期间和公司办公场所使用客户账户和密码登录网站获取信息,是利用职务之便实施,和本身工作性质和内容密切相关,应属于职务行为。第三,从涉案被控侵权行为的行为表现及利益指向来看,登录达上千余次的持续性登录过程中,访问、登录使用的均是浙江C网络科技公司所属的IP地址,且行为指向最终的利益归属均为浙江C网络科技公司。综上,根据被控侵权行为实施的时间、地点、与职务的内在联系、行为表现及利益归属等因素,本院认定涉案被控侵权行为应为浙江C网络科技公司的行为,而非个人行为。(一)杭州A科技公司、杭州B科技公司是否享有反不正当竞争法所保护的权益杭州A科技公司、杭州B科技公司举证证明其通过宣传推广吸引经销商在“女装网”发布非公开的加盟意向,杭州A科技公司、杭州B科技公司经过简要加盟信息之后,通过人工审核方式深度核实并获取更多的加盟信息进行分析及整合,加贴特殊标签,最终加工形成较为完善的加盟信息。杭州A科技公司、杭州B科技公司认为单个的经销商数据库信息汇集成一定规模的数据之后,可以成为一种资源、要素、财产,涉案经销商数据库是杭州A科技公司、杭州B科技公司长期经营的劳动成果,为此投入劳动及成本,系其核心竞争资源,具有商业意义和商业价值,应当属于《反不正当竞争法》所保护的财产性权益。关于浙江C网络科技公司抗辩“女装网”服务协议及现行法律规定对会员账号及密码的权属并没有定性,即便有使用会员账号及密码的行为,也应当由用户来主张权利的意见。本院认为,会员账号及密码使用权虽然归属用户,但账号所对应的经销商数据库的财产性权益应当属于平台,且涉案经销商数据库中数据内容虽然来源于意向加盟商,但经过杭州A科技公司、杭州B科技公司的深度开发已不同于普通的客户信息。综上,本院认为,反不正当竞争法旨在维护合法有序的社会竞争秩序,经营者在经营活动中的行为如符合法律规定,基于合法的经营行为获得的合法权益应受反不正当竞争法保护。根据在案证据显示,杭州B科技公司是涉案经销商数据库的实际运营者,故其亦享有相关权益,杭州A科技公司、杭州B科技公司诉称其对涉案经销商数据库共同享有竞争性财产权益的诉讼主张,本院予以支持。本案中,杭州A科技公司、杭州B科技公司诉请浙江C网络科技公司立即停止针对“女装网”企业会员及经销商数据资料的侵权行为,具体包括三种侵权行为:一是获取、使用杭州A科技公司、杭州B科技公司企业会员在“女装网”的账号及密码的侵权行为;二是访问企业会员后台页面的侵权行为;三是访问企业会员后台,查看、获取、使用经销商数据的侵权行为。综合分析上述三种涉案具体被控侵权行为如下:第一,从上述三种涉案被控侵权行为的方式和手段分析,杭州A科技公司、杭州B科技公司已经举证证明对涉案登录密码和经销商数据库进行了加密处理,而浙江C网络科技公司确认使用四个IP地址登录“女装网”的会员账户中,有24个账户是“中服网”客户委托浙江C网络科技公司员工登录“中服网”的,“中服网”员工得知会员账户和密码后,使用24个会员账户和密码不断尝试登录“女装网”付费会员账户、密码,成功登录“女装网”后随即查看、获取、使用涉案经销商数据库信息。在浙江C网络科技公司无法证明获得客户授权而登录“女装网”的情形下,结合涉案24个账号在“女装网”“中服网”的ID不完全一致的事实,杭州A科技公司、杭州B科技公司主张浙江C网络科技公司以不正当手段完成在杭州A科技公司、杭州B科技公司网站顺利登录的行为的指控,予以认定。综上,本院认为,浙江C网络科技公司系通过不正当手段登录并获取案涉数据信息,其行为手段和方式具有不正当性。第二,从涉案被控侵权行为目的和后果分析,浙江C网络科技公司以不正当的手段获取涉案经销商数据后,在涉案两个网站提供服务同质化的情况下,主观上具有“搭便车”、“不劳而获”的故意,导致的直接后果就是杭州A科技公司、杭州B科技公司客户群的流失和商业合作机会的减少,攫取了不正当的财产性权益,故被控侵权行为不仅仅是一种牟利性的商业行为,更具有明显的指向性。第三,从涉案被控侵权行为是否违反诚实信用原则和公认的商业道德分析,首先涉案经销商数据库具有积极的效果,当互联网服装行业的品牌方会员通过网站获取所需信息,不仅可以直观获取意向加盟商详细信息,还可以了解加盟商对于相关服装品牌的喜好,涉案经销商数据库高效率地提升了品牌方会员的用户体验,丰富了会员选择,具有积极效果。其次,浙江C网络科技公司不正当地超出必要限度使用涉案经销商数据信息,实质性替代了杭州A科技公司、杭州B科技公司在服装网站上给品牌方会员提供的服务,给“女装网”带来负面评价及商誉上的损失,影响了竞争行为正当性的判断。《反不正当竞争法》的立法目的在于通过规制市场主体参与市场竞争的行为,阻止市场主体以不正当方式获取市场竞争优势,维护“平等、公平、诚信”的市场竞争秩序,不仅维护具有直接竞争关系的经营者之间的正当竞争,也维护整个市场的竞争秩序。不正当竞争行为损害对象的多样性决定了竞争行为的广泛性,当经营者以不正当手段谋取竞争优势或是破坏他人竞争优势,由此产生的亦是损害与被损害的关系。本案中的涉案经销商数据库属于正当经营模式,杭州A科技公司、杭州B科技公司注册并经营“女装网”,浙江C网络科技公司注册并经营“中服网”。原被告网站之间的商业模式核心均是以提供优质的精准经销商资料为卖点,进而向企业会员收费的盈利模式,二者属于同业范畴,且二者在为经销商和品牌方提供的服务模式上近乎一致,本质上是在争夺相同的经销商和品牌方这一用户群里。本院认为,原被告双方当事人的商业模式、企业定位、用户群体存在高度重合性,存在经营中争夺用户资源或相同用户的注意力、交易机会的情形,故在互联网服装领域是直接竞争关系,彼此的利益存在此消彼长的情况,故浙江C网络科技公司使用不正当手段登录、使用、获取涉案经销商数据库应纳入反不正当竞争法规制的范围。(四)被控侵权行为是否给杭州A科技公司、杭州B科技公司造成损害浙江C网络科技公司不正当使用用户账号和密码登录使用,实质性替代付费会员获取经销商信息,不正当地获取了额外商业机会和竞争优势,直接损害了杭州A科技公司、杭州B科技公司的商业利益,导致杭州A科技公司、杭州B科技公司的核心竞争力及财产性权益受损,因此浙江C网络科技公司的行为与杭州A科技公司、杭州B科技公司所受损害之间具有因果关系。
综上所述,本院认为涉案被控侵权行为已经给杭州A科技公司、杭州B科技公司造成了损害,故浙江C网络科技公司的行为已经构成不正当竞争。
根据百度百科解释,撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登录其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的账号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网站,这就可以理解为撞库攻击。撞库通常意义上也指用拖库方式获得的用户名和密码在其他网站批量尝试登录,进而盗取更有价值的东西。部分负责任的网站不会将密码明文保存在数据库中,会提前将一些比较简单的密码做MD5运算,将结果保存下来,破译密码的时候直接查,加盐后的明文=明文+盐密文=MD5(加盐后的明文)。互联网领域适用《反不正当竞争法》原则的适用条件应为不正当竞争行为确实损害了竞争对手的利益,限制网络用户的自主选择权,未保障网络用户的知情权,破坏了互联网环境中的公开、公平、公正的市场竞争秩序,从而引发恶性竞争或者具备这样的可能性。超越边界的获取数据库行为也可能会损害未来网络用户的利益,网络用户利益的根本提高来自于经济发展,而经济的持续发展必然依赖于公平竞争的市场秩序。如果研发数据库者的利益不能得到有效保护,必然使得同行业之间出现恶意竞争,网络用户能获取信息的渠道和数量亦将减少。该案针对目前的数据库信息市场提出三个问题:第一个是互联网网站能不能基于自身经营所收集、整理的用户数据库信息主张权利的问题。目前能够达成共识的是,数据就是一种财产,是一种利益,是可以被保护的,互联网网站可以在用户同意的情况下,基于自身经营活动,就收集并进行商业性使用或具有商业价值的用户数据库信息主张权益。第二个是明确适用《反不正当竞争法》第二条认定互联网中的竞争行为是否属于不正当竞争行为时需要综合考虑同行业竞争者、网络用户和社会公众的利益,需要在各种利益之间进行平衡。第三个是账号秘密的信息技术特性决定了其为身份认证信息,账号密码内产生的网络虚拟财产或数据具备计算机信息系统数据的法律属性,故账号密码内的财产性权益应当归属平台。该案指出,就数据库信息而言,其规模及质量反映了网络平台用户的活跃度,影响到互联网企业的吸引力。掌握用户数据越多,越有可能拥有更大的用户规模,显然只有维持已有用户并不断吸引新用户,才能推进企业经营发展。另一方面,用户数据库信息是网络经营者分析整理用户需求,开发特色产品和服务,提升用户体验的重要来源,故本案中的经销商数据库不仅是杭州A科技公司、杭州B科技公司的竞争力,也是生产力。
因此,该案的裁判也为数据库的获取提供了清晰的指引——即在获取相关数据库信息时,应遵循合法、正当、必要限度的原则,且不能通过不正当手段实质性替代原数据库开发者的服务,可以在一定程度上从实现积极效果的目的出发对数据库信息进行利用。