企业间数据获取“三重授权原则”适用研究

发表时间:2020/12/23   来源:《文化研究》2020年10月下   作者:徐而立
[导读] "三重授权原则",要求数据获取企业在获取数据持有企业的用户数据时,需满足用户对数据持有企业、用户对数据获取企业,以及数据持有企业对数据获取企业的"三重授权"。

上海市华东政法大学   徐而立   200042

摘要: "三重授权原则",要求数据获取企业在获取数据持有企业的用户数据时,需满足用户对数据持有企业、用户对数据获取企业,以及数据持有企业对数据获取企业的"三重授权"。这一原则的适用必须建立在数据的具体类型辨析的基础之上,不应泛化适用。可识别的原生数据的获取,企业的统一并非必要条件,而只需征得用户许可;非可识别的衍生数据的获取路径与前述相反;可识别的衍生数据的获取需同时获得用户和企业的同意;获取非可识别的原生数据时,无须取得用户同意,是否需取得企业同意取决于数据是否公开。
[关键词]企业数据获取;三重授权原则;数据类型;不正当竞争
        一、问题的提出
        “三重授权”原则是在新浪诉脉脉不正当竞争案中由二审法院北京知识产权法院在判决中提出的,其针对的是第三方企业通过某个开放平台(属于另一企业)获取用户信息的行为。“三重授权”在法院判决书中被明确为“用户授权”+“平台授权”+“用户授权”,也就是说,第三方企业若想通过某一平台获取在这平台之上的用户的信息,需取得用户和平台的授权(同意)。之所以需要二者的授权是由于高度网络化的社会信息传播的隐蔽、高速、离散化和非中心化,而信息本身又不是无价值的,其与产生这种信息的主体高度相关,通过对这种信息的简单利用就可以识别出某一个人,甚至在获得足够种类、足够数量的信息之后,再经过一些较为复杂的处理就可以了解一个人的生理、心理和社会状况目前普遍存在于互联网行业中的“用户画像”行为就是这一手段的体现。法院通过判决所确立的“三重授权”模式是否是一种能够较好的控制模式?能否在当前信息社会高速发展的境况下达到个人信息保护和信息产业创新的平衡?是否太过严苛?这都是本文要探讨的问题。
        二、该问题的争议和现有讨论
        事实上,国内学界对“三重授权原则”指的是哪“三重”存在不同的解读。其中,数据获取方需取得用户的同意这点没有分歧,但另两重授权则有不同理解。有学者认为另两重指“第一次如果数据的收集者在收集信息的时候必须获得授权,第二次把收集到的信息进行分享的时候还要获得另一次授权。也有学者认为另两重指数据获取方需获得提供方的授权,以及提供方许可获取方获得数据需经用户的授权。虽然对“三重授权原则”的具体含义存在分歧,但其提出以来,不仅得到司法系统的的高度认可,如新浪微博一案被评为“2016年北京市知识产权保护十大典型案例”,也在学术界收获了一些学者的赞赏和支持。比如王利明认为“此种做法值得赞同”。薛军也认为“这一表述具有非常丰富的内涵,……法院在新浪微博诉脉脉案中阐发的针对个人信息保护,以及针对平台企业的数据信息权利的保护思路,比较好地平衡了各方主体的利益,对于我国未来个人信息保护以及数据信息产业的健康发展具有指导意义。”
        而也有学者针对这一原则从不同的角度提出了反对意见。比如,许娟根据“风险决策树模型”认为,“三重授权原则不符合效益决策模型。……新浪诉脉脉案一、二审法院决策既不利于技术创新,也存在伪隐私保护的嫌疑”。薛其宇从企业间数据竞争的规制角度认为,三重授权原则系从个人信息保护角度的规制方式,“个人信息保护规制的方法缺乏可行性及可操作性,难以有力规制数据不正当竞争行为。并且混淆了单独的个人信息与作为商业资源的个人信息的区别。因此,新浪诉脉脉案中的三重授权模式在数据不正当竞争的规制中并不合适”。
        本文同意三重授权原则的实行将对信息市场产生不利的影响但并不认为三重授权原则应该被从根本上否决,笼统地将信息数据作为该原则的适用对象进行分析,并不符合当前信息市场对于信息的细分化现状,在这种大而化之的基础上所得出的结论也不能满足该领域发展的需要,必须在对数据进行分类的基础上才能加以讨论。
        关于数据的分类,目前最主要的分类方式是个人信息和非个人信息,是否“能够单独或者与其他信息结合识别自然人个人身份”是区分二者的标准。在个人信息中,又进一步区分为敏感信息和一般信息。
        另一分类是将信息分为原生数据和衍生数据。前者指不依赖于现有数据而产生的数据;后者指原生数据被记录、存储后,经过算法加工、计算、聚合而成的系统的、可读取、有使用价值的数据。这一分类的判断标准在于数据本身的来源,直接来源于用户的是原生数据,基于原生数据进行再加工之后产生的就是衍生数据。企业在数据获取过程中所实施的行为和投入的不同,使得企业对于这两种数据所享有的权利也不同。
        本文认为,获取原生个人信息数据应当不需要获得企业授权。原生个人信息是指企业直接从用户处收集的,可识别用户身份的信息,如用户名、用户ID、头像等。我国对于获取个人信息必须经过个人同意的规则早已在法律层面进行了确认,如,《网络安全法》第41条规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”,全国人大常委会《关于加强网络信息保护的决定》第2条以及《消费者权益保护法》第29条也表达了类似的观点。学界和司法实务界对于这一规则也并无疑问。有疑问的在于,数据获取方企业获取这些企业是否需要经过数据持有方企业的同意?目前学界主流意见认为同样需要,理由有二:第一,不经企业同意即获取在其平台上的用户信息类似于“搭便车”,削弱了企业的竞争优势,对企业不公平,也降低了其开展信息类业务的积极性。这也是二审法院在新浪诉脉脉案中判新浪胜诉的主要判决理由;第二,为信息获取增加一道环节可以提高数据信息的安全性。但在事实上,这两个理由都难以成立,下文将进行论证。
        三、作者分析
        第一,获取用户信息不需要数据持有方企业同意确实在结果上削弱了“先发”企业的竞争优势,但这一事实并不能直接推导出应该使用法律或者司法手段来保障企业的竞争优势。一个实行法治而保障平等的社会,在自由竞争的市场当中应该保障的是私主体的机会平等,而以公权力手段介入市场阻断某种通路,平息市场竞争的此起彼伏,以法律手段固化某一私主体的竞争优势是极不寻常的,在事实上会促成某一市场领域的垄断趋势。正如在“大众点评诉百度地图案“中,法院认为“大众点评网上用户评论信息是汉涛公司付出大量资源所获取的,且具有很高的经济价值,这些信息是汉涛公司的劳动成果。”但是,“当某一劳动成果不属于法定权利时,对于未经许可使用或利用他人劳动成果的行为,不能当然地认定为构成反不正当竞争法意义上的‘搭便车’和‘不劳而获’,这是因为‘模仿自由’,以及使用或利用不受法定权利保护的信息是基本的公共政策,也是一切技术和商业模式创新的基础,否则将在事实上设定了一个‘劳动成果权’。



        第二,假若数据持有方企业在产生数据的过程中投入了创造性的劳动,使得所获的数据具有创造性劳动成果的属性,这种竞争优势的保护则可以进入知识产权法的规制路径,那么就可以认为数据持有人在其上具有排他性的权利。但是原生个人信息显然不可能是数据持有企业的创造性劳动成果。从信息源头看,原生个人信息直接来源于个人用户,用户名、用户ID、头像这一类的信息是用户通过某种方式创造的产物,而教育背景、职业背景这一类的信息、则来源于用户的实践性经历,其中都没有数据持有企业介入其中进行创造的余地。从归属主体看,互联网领域的个人数据究竟属于原始主体还是数据控制者目前存在争议,盖因互联网企业所拥有的个人信息虽来源于原始主体,但在获取之后就剥离掉了主体性,对其的管理和使用都没有原始主体的参与。数据的巨量性,也使得其成为一种与个人信息相区别的经营者信息。从法院的判决来看,新案的二审法院虽然仍然回归到个人信息保护的路径来对这一类数据的使用进行了规制,但也在判决书中承认了其商业资源属性,因此,企业持有的原生个人信息的权属问题仍然模糊不清,须等待进一步讨论。从获取方式看,企业通过在其平台上的用户的直接提供和网络程序的抓取来获取原生个人信息,在此过程中并没有创造性劳动的投入,虽然网络程序的编写需要技术投入和创新,但这只是对工具的创新和改造,只能影响获取信息的数量、速度、效率,并不会作用于信息的形态、内容等实质属性。综上,也就难言原生个人信息是属于数据持有企业的创造性劳动成果。
         第三,数据获取方从数据持有方获取该数据并不是简单的“搭便车”和“不劳而获”。数据获取方从数据持有方获取数据同意,并不意味着其可以任意地以任何方式无成本的获取数据。第一,数据获取方获取数据并不是无成本的,相反在通常情况下在都需要较大的投入。数据必须征得用户的同意,用户和数据获取方事实上是一种交易关系,而选择的主动权掌握在用户一方,数据获取方必须支付足够的对价达成交易。在现实的市场中,数据获取方所要支付的“对价”即是察觉到用户痛点、能够满足用户的需求的具有足够吸引力的产品或者服务。在现今互联网产业的高竞争性,已经决定了这种信息门槛的高度。当然,数据持有方作为信息的实际控制者,在信息的获取、管理、使用过程中都付出了必要的成本,数据获取方获取信息并没有向其支付“对价”。但是我们应该看到,首先,数据持有方所付出的成本已经由用户所支付,并且它付出如许成本的目的并不是为了数据获取方的利益考虑,而是为自身赚取足够的经济利益。也就是说,其不能以自身的成本付出为理由直接要求数据获取方支付对价,而只能以信息的价值作为理由。但数据持有方在个人信息之上并不具有法定的排他性权利,是否具有法律应当保护的正当利益也要根据具体情况进行个案分析。第二,无需持有方同意并不意味着获取方能采用任意方式进行信息抓取,而持有方不能采取任何规制措施。当前有相当多的企业或者个人针对互联网数据采用编写爬虫程序进行抓取,这种抓取往往因为只考虑抓取方自身的利益,而不对程序进行必要的优化,导致被抓取的平台出现服务器超载等种种问题,直接影响到数据持有方的正常运营和经济利益。而数据持有方也往往会针对这种手段在平台建构中加入反爬虫程序进行反制,这种行为应该被允许,因其是对正常市场秩序的维护,对于信息数据的获取应以不直接影响被获取方的经济利益和经营秩序为限。在排除了暴力抓取数据的行为之后,数据持有方应当以某种技术手段或者平台为依托,如新浪案中使用的Open API,对获取方的获取行为进行路径限缩。
        第四,为信息获取增加企业同意这一环节也并不能增加信息的安全度。数据持有企业在公司经营的过程中一般都会强调对于用户个人隐私、信息的重视,有的甚至将其提升到公司发展战略和发展理念的高度,在发生信息纠纷时也不断挥舞这面大旗,但这在很大程度上是出于实际利益的考量,特别是在司法过程中,如何能更好的保护用户个人信息是法官会考察的重要因素。而大量的企业在自身的经营过程中实际上不断的出现所谓名不副实、监守自盗的行为。问题的根源就在于企业的定位与性质,在自由市场中企业是逐利的主体,其追求的是企业自身的利益,或者是股东的利益,而非他人的利益或是社会的公共的利益。
        在对内日常的经营过程中,企业若能通过对个人信息的使用来获取更大的市场份额、更广的业务范围、更大的经济利益,总而言之能够有利于其发展,那么就无可避免地会出现个人信息的滥用状况。而这又无法通过公司章程、行业标准乃至法律法规进行解决,因为个人信息的使用场景往往是在企业内部,外部强制力难以达到,而公司的内控也不可能解决这个问题,因为任何使得某一主体“既当运动员又当裁判员“的制度都是违背人性而不可能长久完备的。而在对外发生竞争或者纠纷时,强调对于用户隐私的重视,一般能够赢得舆论的支持与同情,而司法机关在作出司法判决时,由于现行法一般将个人信息归于个人隐私的范畴内进行保护,因此总会倾向于作出对保护个人隐私有利的判决。保护个人信息的大气与排挤竞争对手的大棒实际上只是一体两面而已。
        由此回过头我们可以看到,之所以法院在新浪案中设置了一个严格的三重授权原则,是法官考量保护公民的隐私利益而做出的。法院判决的逻辑基础在于认为个人信息和个人隐私是同质物。但是当对个人信息保护法进行更加深入研究之后可以发现,其实对于个人信息的保护和对个人隐私的保护,其目的是不同的。侵害个人信息利益的危害性要远轻于侵害个人隐私利益,侵害隐私权的主要侵害模式是未经他人允许曝光、公开传播他人隐私,通常会对隐私权主体的人格尊严造成降低,比如使其社会评价降低,或至少会使其产生羞耻感等不良情绪。但对个人信息的不当处理,在通常情况下不会对人的尊严产生不利影响,同一条信息在不同场景的运用当中并不一定享有隐私利益。比如在本案中所涉及到的职业信息,若信息主体正处于求职阶段,那么其职业信息对不特定企业的推送不仅不会为其所反对,甚至是其希求出现的结果。因此是否必须坚持三重授权原则对于个人信息获取的严格限制是值得思考的。当今的信息处理基本为自动化模式对于信息的获取与处理基本上没有自然人的参与,而是基于预先设定好的程序和算法,也就是说信息的采集与识别都是依靠无知无觉的机器在进行,并且保存在储存有海量信息的互联网平台数据库当中。不夸张地说,在整个信息处理的过程中只有机器和算法知道信息主体做了什么,其他人是无法获知的,因此也很难评估其中有何种程度的个人尊严受到了侵害,只能说是这种行为增加了未来个人信息被不当使用的风险,但是并没有实际产生对于个人人格利益的侵害。当然,我们也应该看到,个人信息与个人隐私之间的关系是极其复杂的,在个人信息分类中的敏感信息毫无疑问就属于个人隐私的一部分,而对于个人信息的利用也极有可能干扰到信息主体的私人生活。因此,个人信息的保护实际上涵盖了对个人隐私利益的保护,从这两个概念的内涵和外延也可以看出,个人隐私是个人信息的敏感领域,总体上对于个人信息保护的力度应弱于对个人隐私的保护力度,必须在立法和司法判决中确定两者的区别以及不同的保护模式。
         结语
         信息数据作为当代最重要的资源之一,是数字经济发展的重要动力。但剥离开其经济属性以后,它又具有极强的个人属性,甚至任何一个人都可以通过他所存留的信息被完整地建模分析,人被解构为了信息的集合同时,也正是这种极强的个人属性成为了其经济属性的支撑。但目前对于信息获取规则的设计过于粗放,导致在信息之上多种价值难以平衡,总是在不同的方向上偏转。本文对信息的获取进行了拆解,希望能够在整体的模式选择之下,提供一点精细的意见。
参考文献:
[1]王利明.数据共享与个人信息保护[J].现代法学,2019,1:53.
[2]许娟.互联网疑难案件中数据权利保护的风险决策树模型[J].南京社会科学,2019,3:83.
[3]薛其宇.互联网企业间数据不正当竞争的规制路径[J].汕头大学学报(人文社会科学版),2018,12:66.
[4]杨立新、陈小江.衍生数据是数据专有权的客体[N].中国社会科学报,2016-7-13(5).
[5]郑佳宁.经营者信息的财产权保护[J].政法论坛,2016,3:23.
[6]高富平.论个人信息保护的目的——以个人信息保护法益区分为核心[J].法商研究,2019,1:65.
[7]薛军.大数据时代数据信息权益的法律保护[N].中国知识产权报,2017-4-19(8).

投稿 打印文章 转寄朋友 留言编辑 收藏文章
  期刊推荐
1/1
转寄给朋友
朋友的昵称:
朋友的邮件地址:
您的昵称:
您的邮件地址:
邮件主题:
推荐理由:

写信给编辑
标题:
内容:
您的昵称:
您的邮件地址: