網絡平臺間用戶數據授權規范現狀與對策研究

明思君

摘 要：用戶數據是網絡平臺發展的命脈，數據授權是網絡平臺獲取用戶數據最主要的途徑。這種新型商業模式在創造價值的同時，也使得不正當的數據競爭行為日益增多，嚴重影響行業競爭秩序與用戶數據安全，須通過相關立法加以規制。然而當前用戶數據授權規范立法滯后，無法充分保護數據權益并正確處理競爭關系。鑒于網絡用戶、數據持有平臺與第三方企業在數據流轉中的交互作用，有必要對用戶數據進行類型化區分，明確相應的獲取規則，并補充適用其他規范以緩解當前的現實困境。

關鍵詞：用戶數據;網絡平臺;授權規范;類型化區分

中圖分類號：F49? ? ? ? 文獻標志碼：A? ? ? 文章編號：1673-291X（2021）33-0148-04

2019年舉辦的20國集團會議（G20）對數字經濟的重要性達成共識，這意味未來對于數據的爭奪必將呈現白熱化態勢。數據需求飛速增長下，用戶數據的原始積累很難通過逐個收集完成，網絡平臺間的批量用戶數據授權必然會成為主流，故而對網絡平臺之間的數據授權行為進行規范意義重大。

一、用戶數據的類別

厘清用戶數據的類型，需綜合考慮到“用戶與數據持有平臺”“數據持有平臺與第三方企業”這兩組關系。前者更加側重數據的“可識別性”，而后者更加側重數據的“原生與衍生”。

（一）可識別數據與不可識別數據

“用戶數據”指用戶使用網絡過程中，網絡所收集、存儲、傳輸、處理和產生的該用戶的數據信息。用戶數據信息包含兩部分：個人信息和非個人信息，區分二者的標準是能否通過該信息識別出用戶個人身份，即是否具備“可識別性”。可識別性是影響用戶數據安全與數據開發利用的主要因素。《網絡安全法》中規定了數據持有平臺與第三方企業在獲取個人信息時，均需獲得本人同意，這表明對于部分不可識別的個人信息，是否需要經過個人的同意有待商榷。

（二）原生數據與衍生數據

當前用戶數據糾紛主要發生在網絡平臺間，考慮到平臺對數據所做出的正當加工處理，以及產生的正當商業利益，學界對于由此產生的數據做出兩種分類，即原生數據與衍生數據[1]。前者不依賴于現有數據而產生;而后者需利用現有數據進行正當加工后產生。更有學者指出，衍生數據可以作為知識產權的客體加以保護，相比原生數據的直接獲得性，衍生數據通過計算、加工處理已被合法獲取的原始數據而產生，具備獨特的價值屬性[2]。

二、用戶數據授權規范的構成部分

當前尚無針對網絡平臺之間的數據授權行為的相關規范，但是在日漸頻發的用戶數據司法糾紛中，司法人員與學者摸索與總結出一套以“知情同意原則”為核心的實體法律規范，及以“三重授權”為原則的程序性規范的規范體系。

（一）以“知情同意”為原則的實體法律規范

網絡平臺間數據授權規范的首要宗旨是保護用戶數據安全，核心是遵守用戶知情同意權。2012年頒布的《規范互聯網信息服務市場秩序若干規定》首次以立法的形式規定只有經用戶同意，網絡服務提供方才能夠收集、轉讓網絡用戶個人信息。這一規定的確立，體現了用戶的數據控制力，與《民法典》對個人信息安全保護的相關規定相契合。此外，法律對需要授權的信息也做了例外規定，包括相關授權須書面約定、公開的內容限于必要范圍、基于特定的使用目的等。

由于以“知情同意”為原則的授權規范的設立目標是保護個人信息安全，沒有注意到個人信息在轉變為用戶數據后可能經歷數據加工，故未能對進行后續加工的網絡平臺進行相應保護，使得這一規范不能直接適用于網絡平臺間的數據糾紛，現實中網絡平臺通常借助《反不正當競爭法》維護其合法權益。

（二）以“三重授權”為原則的程序性規范

為了回應網絡平臺間對于用戶數據授權的爭議，司法機關通過“新浪訴脈脈案”正式確立了以“三重授權”為原則的程序性規范。所謂的“三重授權”，是一個邏輯嚴密、層次清晰的授權流程。其中，第一重授權指用戶授權數據持有平臺獲取其數據，法律依據為一系列法律規范所確定的“知情同意原則”。第二重授權指數據持有平臺對第三方企業的授權，允許其獲取特定的用戶數據，該授權主要是通過數據持有平臺與第三方企業達成內部協議實現。第三重授權指用戶對第三方企業的授權，表現為第三方企業為用戶提供“授權登錄服務”，從而識別已登錄用戶身份、獲取相關基本開放信息。

“三重授權”原則為網絡平臺間數據競爭提供了新的審理思路。但由于數據持有平臺能夠完全控制網絡中信息收集的方式與展示的內容，故其對用戶數據享有絕對的控制，這使得網絡平臺間用戶數據授權往往以數據持有平臺為主導，一定程度上存在減損用戶個人數據權益、形成商業壟斷的風險。

三、用戶數據授權規范的現實困境

結合當前規范現狀，政府希望數據持有平臺作為“守門人”來保護用戶數據，故數據持有平臺實質上受到相關法律規范的充分保護，不論是用戶還是第三方企業均不可能繞開數據持有平臺進行數據授權。因此產生了持有平臺與用戶、持有平臺與第三方企業、持有平臺與信息安全這三對矛盾，引發了相對應的三個問題：現行規范會否侵害用戶數據權益、現行規范是否排斥了正常市場競爭、現行規范能否加強數據安全。

（一）侵害用戶數據權益

當前相關規范直接肯定了第三方企業收集用戶數據均需要數據持有平臺的授權。為保障用戶數據權益，持有平臺應當對第三方企業數據安全能力“把關”。然而，不加區分地由數據持有平臺管理用戶數據，顯然有違用戶基本民事權利。在原始數據采集中，一部分用戶數據具備著可識別特征[3]，例如“昵稱”“頭像”等，因其由個人創作并對外使用，具備對應的人格權，此類數據也交給數據持有平臺控制存在不合理性。

在“微信訴多閃案”中，競爭者多閃的運營主體對于個人數據的使用與“新浪微博訴脈脈案”有所不同，一是在數據使用程度方面，本案只涉及了用戶在微信中的昵稱、頭像等基礎信息;二是在數據授權方法方面，多閃提供微信或QQ賬號信息登陸的行為雖也未經數據持有平臺同意，但由于存在明示的授權確認登錄步驟，用戶已經明示同意。以上兩點也成為本案引起公眾抵觸、輿論嘩然的重要原因。微信平臺中用戶的“昵稱”“頭像”究竟作何歸屬，是廣大用戶最為關切的問題。

（二）排斥正常市場競爭

當前相關規范之所以會引起數據持有平臺與第三方企業之間的矛盾，在于《反不正當競爭法》對于數據持有平臺的過度保護。司法實踐中形成了“獲取原生可識別數據需經持有方同意”的規則（簡稱“持有方同意”規則），若第三方企業不經數據持有平臺同意而獲取數據，將導致無正當理由截取數據持有平臺的競爭優勢，一定程度上侵害其商業資源[4]。

“持有方同意”規則的適用，在保障數據持有平臺利益的同時，無疑會增加數據流通的成本并遏制第三方企業的發展。對數據持有平臺而言，因享有用戶第一重授權而具備相對的競爭優勢，他們往往會本能地拒絕與競爭企業共享這些具有商業價值的數據，即使共享數據也必然在不影響自身業務發展的情況下進行。長此以往，一旦數據持有平臺在行業占據支配性地位，它甚至有權決定某個企業是否能進入該領域，導致行業壟斷。對第三方企業而言，它們往往是用戶量少的初創企業，對于數據需求迫切，而數據持有平臺具有龐大的數據基礎，一旦形成壟斷局面，將嚴重抑制行業發展。

（三）增加數據安全風險

“持有方同意”規則制定的重要目的之一是保護用戶個人信息、隱私權。在數據糾紛中，保護用戶隱私這面“大旗”始終被數據持有平臺反復提起和強調。同時，用戶隱私保護也是法院裁判時，選擇支持數據持有平臺主張的重要考量因素。但數據持有平臺在保護用戶個人信息時也存在明顯“言行不一”的現象，長期來看，甚至將對數據權益保護產生負面作用。在“新浪微博訴脈脈案”中，盡管原告主張其為了保護用戶隱私而終止了與被告的合作，但原告的多項行為表明，其對用戶隱私其實并非如此“關心”。其一，各項技術漏洞均表明新浪在保護用戶數據的技術層面并未足夠重視。其二，原告發現被告違約后，并未立即要求被告糾正，而是要求被告以其平臺的用戶信息進行互換。

在信息流通中寄希望于由數據持有平臺來把關和維護用戶數據安全的想法并不可行，且無法通過提升企業的自律程度、道德水準或法律的強制性要求而完全解決，因為“持有方同意”規則本質上違背了程序正義原則。

四、用戶數據授權規范完善路徑

當前我國網絡平臺間用戶數據授權規范的完善之處，主要在保障用戶數據安全的基礎上促進數據的流轉。鑒于網絡用戶、數據持有平臺與第三方企業在數據流轉中交互作用，我們須明確各用戶數據的類型及權屬，針對各用戶數據類型制定相應的獲取規則，最后補充適用其他程序性規范以彌補現行授權規范的不足。

（一）明晰用戶數據的權利歸屬

1.原生可識別數據的權利歸屬于用戶。原生可識別數據的主要內涵是需要同時滿足“原生”與“可識別”兩項特征，即平臺從用戶處收集的、未處理的、可識別用戶身份的信息，比如用戶的名稱、頭像、教育信息等。從權屬來看，這類數據的使用與控制直接體現了自然人的人格尊嚴，無疑系人格權的客體。網絡平臺只是對這些數據信息進行了數字化轉換，但這類數據的個人信息本質使用戶仍然能夠控制數據，所以原生可識別數據的所有權應當屬于網絡用戶，網絡平臺獲得的僅僅是部分使用權。

2.衍生不可識別數據的權利歸屬于平臺。衍生不可識別數據亦需要同時滿足“衍生”與“不可識別”兩項特征，即網絡平臺將用戶的原生數據加工處理后形成的無法識別用戶身份的數據。比如某APP每日熱搜詞匯報告，其本身不會透露任何用戶信息，但分析數據又全部來源于用戶數據。由于數據處理平臺實施了分析、挖掘服務等創造性行為，使得這些數據產生了新的價值，故經過數據權利人同意基于基礎數據進行加工而產生的數據所有權歸數據處理平臺所有[5]。

3.其他用戶數據的權利歸屬厘清。其他用戶數據主要包含衍生可識別數據與原生不可識別數據。原生不可識別數據是指沒有經過平臺加工的、不可識別用戶身份的數據信息，比如匿名的問卷選項內容。衍生可識別數據為由平臺為用戶定制或特別分析的數據，比如用戶病況報告或職業前景分析。以上兩類數據的權屬，目前學界尚無共識。依據域外的立法與司法實踐，屬于原生不可識別的數據類型，若此類數據被公開，而數據持有平臺并未采取技術措施來避免其被獲取，則此時應允許其他平臺自由獲取數據，進而無法積極尋求該類型數據的權益，相反，平臺若采取了全面的保護措施，則可享有排他的數據權益。對于衍生可識別的數據，參照“衍生”與“可識別”的數據特征，則可認定為用戶與平臺均享有部分權益。

（二）針對性確定數據獲取規則

1.原生可識別數據僅需用戶授權。從數據權屬來看，對原生可識別數據的控制與使用直接體現了自然人的人格尊嚴，符合人格權的內容的規定。因此，該類數據的授權需用戶本人明確同意，第三方企業從數據持有平臺獲取時亦須經用戶同意，這是我國理論界與司法實踐的共識，現有立法也可以解釋這一規則。比如，王利明認為：“數據共享之所以要取得數據權利人的同意，是因為數據共享實質上也是個人信息傳輸和收集的一種方式。”[6]由網絡用戶自主決定與其人格相關信息的流轉、使用、授權不僅更加符合國內法律界對于個人信息的保護與控制力安排，同樣更有利于數據在平臺間的流轉，增加行業的競爭與活力。

2.衍生不可識別數據僅需平臺授權。對于衍生不可識別數據而言，因不具備可識別性，故無法取得也無須取得用戶的授權。而此類數據系企業數據的一種，故第三方企業要想獲取相關數據需獲得數據持有平臺的授權。有學者主張將企業數據權益分成數據資產權和數據經營權兩種類型，前者是指企業將具備商業價值的特定數據集合起來形成的產品，權益歸企業所有。也有學者主張用戶數據包括基礎數據與增值數據兩種類型，前者由網絡用戶生產并享有所有權;后者由數據處理者利用基礎數據加工處理完成并享有所有權。綜上可見，學界雖未就數據類型劃分達成共識，但對經企業加工產生的衍生數據運營主體具有以下共識：企業對衍生不可識別數據享有一定的排他性的權利。因此，這類數據只需要企業授權，而無須用戶授權。

3.衍生可識別數據應適用“三重授權”原則。由于衍生可識別數據是平臺為用戶定制或特別分析的數據，既包含了用戶人格屬性的特征，也包含了平臺數據權的特征，在不存在其他特別規定或上位強制法律規定下，該類型數據的授權應適用“三重授權”原則。之所以需要用戶與平臺的同意，是因為這類數據在流動與轉移時，用戶、網絡平臺可能會喪失對相關數據信息的控制，導致用戶數據安全受損害。而“三重授權”原則是企業間數據流通的“高標”，對數據流通提出嚴格的要求，規定第三方企業獲取數據必須經過網絡用戶與持有平臺的一致同意，有效保護了用戶和數據持有平臺，也符合這類數據的權屬內涵。

4.原生不可識別數據適用《反不正當競爭法》。原生不可識別數據的授權規則應以該數據的公開程度來確定。對于控制力尚無定論的企業數據，應先盡可能確定企業對原生數據享有何種屬性的權利，之后確定具體的權利內容。而當用戶在上傳數據后，企業不經加工便對數據進行掌握，則企業的行為不具備可以獲得權屬的正當性。但考慮到該類數據的基本來源，比如匿名問卷、數據上傳者的公開意愿極高、或在匿名前提下自動放棄控制等情形，則數據持有平臺在收集該類數據的同時也獲得一定的控制權。所以，若此類數據公開，數據持有平臺并未采取技術措施來避免其被獲取的，則此時應允許其他平臺自由獲取數據，而不需要獲得數據持有平臺以及用戶的授權;若此類數據不公開，則不應允許第三方企業自由獲取或要求持有企業提供數據。當數據持有平臺已經對此類數據做了恰當措施避免公開時，仍能依據《反不正當競爭法》主張權益。

（三）補充適用其他程序性規范

1.引用電子簽名法明示同意流程。當前規范現狀表明個人信息安全應堅持知情同意原則。然而網絡平臺提供的知情同意協議往往是平臺起草發送的，且多數平臺將知情同意原則相關的隱私協議、服務條款設置得十分隱蔽，使得用戶難以立即查看協議的全部內容。往往是網絡平臺通過“使用軟件”即默認同意的方式代替用戶后續同意，用戶的自由表達十分欠缺。對此，我國《民法典》《電子商務法》均提出相關要求，例如需向格式合同接收方明示說明、不得利用技術手段隱藏合同內容等。需要注意的是，在電子合同訂立的場景之下，一般用戶對于合同的審查能力是明顯低于對紙質合同的。美國哥倫比亞大學所作的調查結果證實：除了產品介紹與價格，能在總體上閱讀電子合同的消費者不超過4%，故對于網絡格式條款我們須采取措施提高其顯著性。

2.設立數據訪問系統以維護用戶知情權。用戶知情權指用戶有權知悉平臺處理其數據的相關政策、使用目的和具體流程。但在實踐中，知情權通常表現為數據持有平臺以“隱私聲明”“隱私保護政策”等方式告知，即便用戶對該部分內容有一些了解，或對部分內容持有異議，只要欲享受相應服務就必須全盤接受。這些告知中通常還包括網絡平臺將用戶數據進行對外授權或其他使用的同意條款。域外最典型的做法是歐盟在《通用數據保護條例》里規定的“數據主體的訪問權”，數據主體有權知悉個人信息數據被處理的真實情況，以及數據加工目的、類型等相關信息。對此，互聯網行業面對海量用戶數據授權帶來的風險，越早建立系統性的用戶訪問機制，越能落實用戶知情權的保護。

結語

互聯網產業勃興必然引起人們對用戶數據權屬與法律規制的關注。然而，缺乏正當性的數據授權不僅損害用戶數據權益、破壞行業競爭秩序，更可能出現輿情事件侵害公共利益。當前立法現狀不足以應對復雜的用戶數據在網絡平臺間的授權沖突，實踐中多以平臺間競爭行為的正當性作審理焦點，一定程度上回避了對數據本身安全性的討論。本文呼吁相關研究關注數據性質本身，明晰各類型數據的權益歸屬，劃分各參與主體之間的權利邊界，借由充分保障各方權益的方法和途徑完善相關立法，以緩解當前面臨的現實困境。

參考文獻：

[1]? 楊立新，陳小江.衍生數據是數據專有權的客體[J].中國社會科學報，2016，（5）.

[2]? 李雅男.數據保護行為規制路徑的實現[J].學術交流，2018，（7）：65-72.

[3]? 中華人民共和國第十二屆全國人民代表大會.中華人民共和國網絡安全法[Z].2016-11-07.

[4]? 徐偉.企業數據獲取“三重授權原則”反思及類型化構建[J].交大法學，2019，（4）：20-39.

[5]? 王融.關于大數據交易核心法律問題——數據所有權的探討[J].大數據，2015，（2）：1-5.

[6]? 王利明.數據共享與個人信息保護[J].現代法學，2019，（1）：53.

[責任編輯 百 合]