6月2日晚,国家邮政局的强力介入,暂时平息了菜鸟网络(下称“菜鸟”)与顺丰速运(下称“顺丰”)因互通数据接口关闭引发的纷争。不过,事情远未结束。菜鸟表示,未来一个月,它将和顺丰继续就丰巢快递柜信息安全问题进行谈判。可以想见,如果不厘清这场纷争背后的利益逻辑和法律困局,那么后续的谈判很难不演化为另一场互怼。因此,本文将回到论争现场,解读双方主张,发现真正的症结所在。由于无法获得双方之间的法律文件,这里的分析仅以双方网络公开资料为基础。
信息安全vs.个人隐私:言辞而已
复盘整个纠纷,菜鸟先发制人,以丰巢快递柜大量调取淘宝用户电话号码信息、存在严重安全隐患为由,要求顺丰将所有的快递柜取件码信息和包裹信息提供给菜鸟。在遭到顺丰拒绝后,菜鸟停止了和丰巢的合作,并在6月1日0点下线丰巢接口信息。为了反击,6月1日凌晨,顺丰关闭了丰巢数据信息回传,同日10点,进一步关闭了淘宝平台物流信息的回传。对此,顺丰的解释是:菜鸟要求提供与其无关的客户隐私数据,此类信息隶属于客户,本着“客户第一”的原则,顺丰无法接受。无论是菜鸟提出的信息安全,还是顺丰主张的个人隐私,貌似均有着无可辩驳的合法性与正当性,但其实不然。
一方面,菜鸟所谓“信息安全”可能只是夸大其词。根据菜鸟和顺丰的合作模式,顺丰对淘宝用户信息的获取只能通过Open API,即开放应用编程接口进行。作为服务型网站常见的一种应用,网络服务商将服务和数据封装成一系列API开放出去,第三方必须在满足相应权限的前提下才能访问相关资源。根据0pen API的运作原理,无论是授权有效期、调用频次,还是接口调用高级权限,均需要由顺丰提出申请,由菜鸟批准。正是这种对Open API的绝对控制,使得顺丰难以随意调用菜鸟的数据。菜鸟对顺丰的指控即使确有其事,也是在其控制之内,无须大费周章地索取数据。
另一方面,顺丰所谓“维护隐私”也未必属实。事实上,虽然顺丰的《隐私政策》禁止其出售用户个人信息,但并不妨碍顺丰与为完成货物交付服务的第三方以及顺丰的关联公司共享个人信息。菜鸟系仓配物流数字平台,基本属于上述提供服务的第三方。更重要的是,顺丰曾向菜鸟出资5000万元,菜鸟还可以顺丰关联公司的身份共享数据。其次,菜鸟所力推的是对物流数据的多重交叉验证,在理论上,顺丰可以将部分信息匿名化后交由菜鸟配对测试即可,这种无法识别到个人的信息并不会侵犯用户权利。最后,顺丰声称菜鸟封杀丰巢的实质是以信息安全为由要求顺丰加入到阿里云。可浏览阿里公司《云服务器服务(ECS)服务条款》可知,即便顺丰将用户个人信息上传到阿里云,也不影响顺丰享有使用、分享、交换、转移、删除的完整权利,阿里云则不得进行任何未获授权的使用及披露。
倘若“信息安全”和“个人隐私”只是双方的修辞表达,那么他们所在意的到底是什么呢?
数据之争:没有说出的隐衷
追根溯源,数据是这场纷争的实质。2017年5月,《经济学人》杂志刊发封面文章,标题为“世界上最有价值的资源不再是石油,而是数据”(The world’s most valuable resource is no longer oil, but data)。这并非故作惊人语。实际上,2016年的中国十三五规划纲要,就已经把数据列为基础性战略资源,与土地、矿藏等并列。就如阿里在《数据保护倡议》所宣称的那样:“数据大爆炸正在加速来临,一个全新的时代正在孕育中。可以清晰地看到,未来,一切社会和商业活动,互联网是基础设施,云计算是公共服务,数据是要素资源。这意味着,在可见的未来,数据将是每一个个体和机构最有价值的资产。”
在从IT(Information Technology)到DT(Data Technology)的时代演进中,数据已经成为企业最重要的竞争力,由阿里发起的菜鸟对此洞若观火。从一开始,菜鸟就以数据为核心,以大数据联通、数据赋能、数据基础产品为重点,以一个数据驱动、社会化协同的物流及供应链平台为愿景。相反,顺丰有着37架飞机、1.5万辆车、3.5万个快递柜和近40万快递员,这种以实物资产为中心的经营模式使它在数据竞争中处于守势,但顺丰并非没有优势,它所掌握的巨量快递用户信息就是砝码。顺丰对此心知肚明,其《隐私政策》特别约定:“顺丰保留在出售或转让所有或部分自身业务或资产时(包括在重组、解散或清盘时)转让与您(用户)相关的信息的权利。”
有利益之争并不可怕,事实上,恰恰是企业之间激烈、甚至残酷的竞争才有了经济的迅速发展。但问题是,菜鸟和顺丰的这场纷争中,似乎双方都不是真正的赢家,而广大的网络用户除了莫名地成为双方的武器外,还在实质上承受了种种不便。我们不禁要问:这种“多输”的局面由何而来?
数据权利缺失:数字经济的短板
菜鸟和顺丰之所以不能用市场方式达成数据的双赢,实因数据权利的缺失。其实,只要交易成本足够低,无论是否存在法定的权利,各方都能通过讨价还价得到各自满意的结果,这就是“科斯定理”告诉我们的道理。然而,问题恰恰在于,数据——这种商品的固有特性使得谈判很难进行。数据不同于实物,其价值取决于其所附带的信息,数据的买方不愿意在确认信息的价值之前就购买数据,而卖方则担心信息一旦被买方知悉,买方就无须再履行承诺。美国学者Robert Cooter曾用一封写给波士顿投资银行的信形象说明了这种窘境。信是这样写的:“我知道如何让你们银行赚一千万美元。如果你肯给我一百万,我就告诉你。”显然,写信人和银行都不会因此赚到任何美元。所以,为了让数据流动起来,必须给双方提供一种信任机制,此即法定化的数据权利,而这也正是“科斯第三定律”的应用——“当存在交易成本时,通过明确分配已界定权利所实现的福利改善,可能优于通过交易实现的福利。”
不幸的是,传统法律对数据这一新兴事物并无经验。刚刚出炉的《中华人民共和国民法总则》第127条规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”可是,由于目前尚无具体法律规范,这一规则仅有宣示的意义。在2016年末“新浪微博诉脉脉反不正当竞争案”中,北京知识产权法院对于脉脉利用Open API等不当手段,获取新浪微博用户信息的行为,既没有将数据视为“商业秘密”,更没有将其认定为“法定权利”,而是通过《反不正当法》第2条的一般条款,判定脉脉违反了诚实信用的原则和公认的商业道德,损害新浪微博的合法权益,构成了“不正当竞争行为”。这一判决回避了对数据的定性,增加了数据方的维权难度,间接影响了通过Open API的数据共享。无独有偶,2017年5月,在全国首例服务器提供商责任的案件中,北京石景山法院以阿里云就存储在云端上的侵权数据承担责任为由,判决阿里云赔偿乐动卓越公司经济损失及合理费用26万元。这一判决事实上否定了阿里云无权读取服务器租用人存储于服务器数据信息的行业惯例,在增加了阿里云风险的同时,增加了顺丰这样的第三方对云端数据安全的忧虑。不仅于此,尽管《中华人民共和国民法总则》第111条规定了对个人信息的保护,但个人信息能否成立一项独立的人格权,它与隐私权和数据权利如何协调,当下尚无定论,这从另一个侧面加剧了数据利用的不确定性。
在以人工智能、大数据和云计算为基础的数字经济2.0时代,包括个人信息在内的数据,只有充分地流动、共享和交易,才能实现集聚和规模效应,最大程度地推动新经济的发展。而这迫切需要法律将归属清晰、内容明确的数据权利赋予企业,在降低交易成本的同时尊重网络用户的个人隐私,最终在数据独占与数据开放之间,在数据利用与信息保护之间,找到社会变迁的平衡之道。
作者:许可;管理学博士,工业和信息化部电信研究院通信政策与管理研究所战略咨询部主任,专注于电信运营公司的战略管理咨询领域。