明思君

摘 要：用户数据是网络平台发展的命脉，数据授权是网络平台获取用户数据最主要的途径。这种新型商业模式在创造价值的同时，也使得不正当的数据竞争行为日益增多，严重影响行业竞争秩序与用户数据安全，须通过相关立法加以规制。然而当前用户数据授权规范立法滞后，无法充分保护数据权益并正确处理竞争关系。鉴于网络用户、数据持有平台与第三方企业在数据流转中的交互作用，有必要对用户数据进行类型化区分，明确相应的获取规则，并补充适用其他规范以缓解当前的现实困境。

关键词：用户数据;网络平台;授权规范;类型化区分

中图分类号：F49        文献标志码：A      文章编号：1673-291X（2021）33-0148-04

2019年举办的20国集团会议（G20）对数字经济的重要性达成共识，这意味未来对于数据的争夺必将呈现白热化态势。数据需求飞速增长下，用户数据的原始积累很难通过逐个收集完成，网络平台间的批量用户数据授权必然会成为主流，故而对网络平台之间的数据授权行为进行规范意义重大。

一、用户数据的类别

厘清用户数据的类型，需综合考虑到“用户与数据持有平台”“数据持有平台与第三方企业”这两组关系。前者更加侧重数据的“可识别性”，而后者更加侧重数据的“原生与衍生”。

（一）可识别数据与不可识别数据

“用户数据”指用户使用网络过程中，网络所收集、存储、传输、处理和产生的该用户的数据信息。用户数据信息包含两部分：个人信息和非个人信息，区分二者的标准是能否通过该信息识别出用户个人身份，即是否具备“可识别性”。可识别性是影响用户数据安全与数据开发利用的主要因素。《网络安全法》中规定了数据持有平台与第三方企业在获取个人信息时，均需获得本人同意，这表明对于部分不可识别的个人信息，是否需要经过个人的同意有待商榷。

（二）原生数据与衍生数据

当前用户数据纠纷主要发生在网络平台间，考虑到平台对数据所做出的正当加工处理，以及产生的正当商业利益，学界对于由此产生的数据做出两种分类，即原生数据与衍生数据[1]。前者不依赖于现有数据而产生;而后者需利用现有数据进行正当加工后产生。更有学者指出，衍生数据可以作为知识产权的客体加以保护，相比原生数据的直接获得性，衍生数据通过计算、加工处理已被合法获取的原始数据而产生，具备独特的价值属性[2]。

二、用户数据授权规范的构成部分

当前尚无针对网络平台之间的数据授权行为的相关规范，但是在日渐频发的用户数据司法纠纷中，司法人员与学者摸索与总结出一套以“知情同意原则”为核心的实体法律规范，及以“三重授权”为原则的程序性规范的规范体系。

（一）以“知情同意”为原则的实体法律规范

网络平台间数据授权规范的首要宗旨是保护用户数据安全，核心是遵守用户知情同意权。2012年颁布的《规范互联网信息服务市场秩序若干规定》首次以立法的形式规定只有经用户同意，网络服务提供方才能够收集、转让网络用户个人信息。这一规定的确立，体现了用戶的数据控制力，与《民法典》对个人信息安全保护的相关规定相契合。此外，法律对需要授权的信息也做了例外规定，包括相关授权须书面约定、公开的内容限于必要范围、基于特定的使用目的等。

由于以“知情同意”为原则的授权规范的设立目标是保护个人信息安全，没有注意到个人信息在转变为用户数据后可能经历数据加工，故未能对进行后续加工的网络平台进行相应保护，使得这一规范不能直接适用于网络平台间的数据纠纷，现实中网络平台通常借助《反不正当竞争法》维护其合法权益。

（二）以“三重授权”为原则的程序性规范

为了回应网络平台间对于用户数据授权的争议，司法机关通过“新浪诉脉脉案”正式确立了以“三重授权”为原则的程序性规范。所谓的“三重授权”，是一个逻辑严密、层次清晰的授权流程。其中，第一重授权指用户授权数据持有平台获取其数据，法律依据为一系列法律规范所确定的“知情同意原则”。第二重授权指数据持有平台对第三方企业的授权，允许其获取特定的用户数据，该授权主要是通过数据持有平台与第三方企业达成内部协议实现。第三重授权指用户对第三方企业的授权，表现为第三方企业为用户提供“授权登录服务”，从而识别已登录用户身份、获取相关基本开放信息。

“三重授权”原则为网络平台间数据竞争提供了新的审理思路。但由于数据持有平台能够完全控制网络中信息收集的方式与展示的内容，故其对用户数据享有绝对的控制，这使得网络平台间用户数据授权往往以数据持有平台为主导，一定程度上存在减损用户个人数据权益、形成商业垄断的风险。

三、用户数据授权规范的现实困境

结合当前规范现状，政府希望数据持有平台作为“守门人”来保护用户数据，故数据持有平台实质上受到相关法律规范的充分保护，不论是用户还是第三方企业均不可能绕开数据持有平台进行数据授权。因此产生了持有平台与用户、持有平台与第三方企业、持有平台与信息安全这三对矛盾，引发了相对应的三个问题：现行规范会否侵害用户数据权益、现行规范是否排斥了正常市场竞争、现行规范能否加强数据安全。

（一）侵害用户数据权益

当前相关规范直接肯定了第三方企业收集用户数据均需要数据持有平台的授权。为保障用户数据权益，持有平台应当对第三方企业数据安全能力“把关”。然而，不加区分地由数据持有平台管理用户数据，显然有违用户基本民事权利。在原始数据采集中，一部分用户数据具备着可识别特征[3]，例如“昵称”“头像”等，因其由个人创作并对外使用，具备对应的人格权，此类数据也交给数据持有平台控制存在不合理性。

在“微信诉多闪案”中，竞争者多闪的运营主体对于个人数据的使用与“新浪微博诉脉脉案”有所不同，一是在数据使用程度方面，本案只涉及了用户在微信中的昵称、头像等基础信息;二是在数据授权方法方面，多闪提供微信或QQ账号信息登陆的行为虽也未经数据持有平台同意，但由于存在明示的授权确认登录步骤，用户已经明示同意。以上两点也成为本案引起公众抵触、舆论哗然的重要原因。微信平台中用户的“昵称”“头像”究竟作何归属，是广大用户最为关切的问题。

（二）排斥正常市场竞争

当前相关规范之所以会引起数据持有平台与第三方企业之间的矛盾，在于《反不正当竞争法》对于数据持有平台的过度保护。司法实践中形成了“获取原生可识别数据需经持有方同意”的规则（简称“持有方同意”规则），若第三方企业不经数据持有平台同意而获取数据，将导致无正当理由截取数据持有平台的竞争优势，一定程度上侵害其商业资源[4]。

“持有方同意”规则的适用，在保障数据持有平台利益的同时，无疑会增加数据流通的成本并遏制第三方企业的发展。对数据持有平台而言，因享有用户第一重授权而具备相对的竞争优势，他们往往会本能地拒绝与竞争企业共享这些具有商业价值的数据，即使共享数据也必然在不影响自身业务发展的情况下进行。长此以往，一旦数据持有平台在行业占据支配性地位，它甚至有权决定某个企业是否能进入该领域，导致行业垄断。对第三方企业而言，它们往往是用户量少的初创企业，对于数据需求迫切，而数据持有平台具有庞大的数据基础，一旦形成垄断局面，将严重抑制行业发展。

（三）增加数据安全风险

“持有方同意”规则制定的重要目的之一是保护用户个人信息、隐私权。在数据纠纷中，保护用户隐私这面“大旗”始终被数据持有平台反复提起和强调。同时，用户隐私保护也是法院裁判时，选择支持数据持有平台主张的重要考量因素。但数据持有平台在保护用户个人信息时也存在明显“言行不一”的现象，长期来看，甚至将对数据权益保护产生负面作用。在“新浪微博诉脉脉案”中，尽管原告主张其为了保护用户隐私而终止了与被告的合作，但原告的多项行为表明，其对用户隐私其实并非如此“关心”。其一，各项技术漏洞均表明新浪在保护用户数据的技术层面并未足够重视。其二，原告发现被告违约后，并未立即要求被告纠正，而是要求被告以其平台的用户信息进行互换。

在信息流通中寄希望于由数据持有平台来把关和维护用户数据安全的想法并不可行，且无法通过提升企业的自律程度、道德水准或法律的强制性要求而完全解决，因为“持有方同意”规则本质上违背了程序正义原则。

四、用户数据授权规范完善路径

当前我国网络平台间用户数据授权规范的完善之处，主要在保障用户数据安全的基础上促进数据的流转。鉴于网络用户、数据持有平台与第三方企业在数据流转中交互作用，我们须明确各用户数据的类型及权属，针对各用户数据类型制定相应的获取规则，最后补充适用其他程序性规范以弥补现行授权规范的不足。

（一）明晰用户数据的权利归属

1.原生可识别数据的权利归属于用户。原生可识别数据的主要内涵是需要同时满足“原生”与“可识别”两项特征，即平台从用户处收集的、未处理的、可识别用户身份的信息，比如用户的名称、头像、教育信息等。从权属来看，这类数据的使用与控制直接体现了自然人的人格尊严，无疑系人格权的客体。网络平台只是对这些数据信息进行了数字化转换，但这类数据的个人信息本质使用户仍然能够控制数据，所以原生可识别数据的所有权应当属于网络用户，网络平台获得的仅仅是部分使用权。

2.衍生不可识别数据的权利归属于平台。衍生不可识别数据亦需要同时满足“衍生”与“不可识别”两项特征，即网络平台将用户的原生数据加工处理后形成的无法识别用户身份的数据。比如某APP每日热搜词汇报告，其本身不会透露任何用户信息，但分析数据又全部来源于用户数据。由于数据处理平台实施了分析、挖掘服务等创造性行为，使得这些数据产生了新的价值，故经过数据权利人同意基于基础数据进行加工而产生的数据所有权归数据处理平台所有[5]。

3.其他用户数据的权利归属厘清。其他用户数据主要包含衍生可识别数据与原生不可识别数据。原生不可识别数据是指没有经过平台加工的、不可识别用户身份的数据信息，比如匿名的问卷选项内容。衍生可识别数据为由平台为用户定制或特别分析的数据，比如用户病况报告或职业前景分析。以上两类数据的权属，目前学界尚无共识。依据域外的立法与司法实践，属于原生不可识别的数据类型，若此类数据被公开，而数据持有平台并未采取技术措施来避免其被获取，则此时应允许其他平台自由获取数据，进而无法积极寻求该类型数据的权益，相反，平台若采取了全面的保护措施，则可享有排他的数据权益。对于衍生可识别的数据，参照“衍生”与“可识别”的数据特征，则可认定为用户与平台均享有部分权益。

（二）针对性确定数据获取规则

1.原生可识别数据仅需用户授权。从数据权属来看，对原生可识别数据的控制与使用直接体现了自然人的人格尊严，符合人格权的内容的规定。因此，该类数据的授权需用户本人明确同意，第三方企业从数据持有平台获取时亦须经用户同意，这是我国理论界与司法实践的共识，现有立法也可以解释这一规则。比如，王利明认为：“数据共享之所以要取得数据权利人的同意，是因为数据共享实质上也是个人信息传输和收集的一种方式。”[6]由网络用户自主决定与其人格相关信息的流转、使用、授权不仅更加符合国内法律界对于个人信息的保护与控制力安排，同样更有利于数据在平台间的流转，增加行业的竞争与活力。

2.衍生不可识别数据仅需平台授权。对于衍生不可识别数据而言，因不具备可识别性，故无法取得也无须取得用户的授权。而此类数据系企业数据的一种，故第三方企业要想获取相关数据需获得数据持有平台的授权。有学者主张将企业数据权益分成数据资产权和数据经营权两种类型，前者是指企业将具备商业价值的特定数据集合起来形成的产品，权益归企业所有。也有学者主张用户数据包括基础数据与增值数据两种类型，前者由网络用户生产并享有所有权;后者由数据处理者利用基础数据加工处理完成并享有所有权。综上可见，学界虽未就数据类型划分达成共识，但对经企业加工产生的衍生数据运营主体具有以下共识：企业对衍生不可识别数据享有一定的排他性的权利。因此，这类数据只需要企业授权，而无须用户授权。

3.衍生可识别数据应适用“三重授权”原则。由于衍生可识别数据是平台為用户定制或特别分析的数据，既包含了用户人格属性的特征，也包含了平台数据权的特征，在不存在其他特别规定或上位强制法律规定下，该类型数据的授权应适用“三重授权”原则。之所以需要用户与平台的同意，是因为这类数据在流动与转移时，用户、网络平台可能会丧失对相关数据信息的控制，导致用户数据安全受损害。而“三重授权”原则是企业间数据流通的“高标”，对数据流通提出严格的要求，规定第三方企业获取数据必须经过网络用户与持有平台的一致同意，有效保护了用户和数据持有平台，也符合这类数据的权属内涵。

4.原生不可识别数据适用《反不正当竞争法》。原生不可识别数据的授权规则应以该数据的公开程度来确定。对于控制力尚无定论的企业数据，应先尽可能确定企业对原生数据享有何种属性的权利，之后确定具体的权利内容。而当用户在上传数据后，企业不经加工便对数据进行掌握，则企业的行为不具备可以获得权属的正当性。但考虑到该类数据的基本来源，比如匿名问卷、数据上传者的公开意愿极高、或在匿名前提下自动放弃控制等情形，则数据持有平台在收集该类数据的同时也获得一定的控制权。所以，若此类数据公开，数据持有平台并未采取技术措施来避免其被获取的，则此时应允许其他平台自由获取数据，而不需要获得数据持有平台以及用户的授权;若此类数据不公开，则不应允许第三方企业自由获取或要求持有企业提供数据。当数据持有平台已经对此类数据做了恰当措施避免公开时，仍能依据《反不正当竞争法》主张权益。

（三）补充适用其他程序性规范

1.引用电子签名法明示同意流程。当前规范现状表明个人信息安全应坚持知情同意原则。然而网络平台提供的知情同意协议往往是平台起草发送的，且多数平台将知情同意原则相关的隐私协议、服务条款设置得十分隐蔽，使得用户难以立即查看协议的全部内容。往往是网络平台通过“使用软件”即默认同意的方式代替用户后续同意，用户的自由表达十分欠缺。对此，我国《民法典》《电子商务法》均提出相关要求，例如需向格式合同接收方明示说明、不得利用技术手段隐藏合同内容等。需要注意的是，在电子合同订立的场景之下，一般用户对于合同的审查能力是明显低于对纸质合同的。美国哥伦比亚大学所作的调查结果证实：除了产品介绍与价格，能在总体上阅读电子合同的消费者不超过4%，故对于网络格式条款我们须采取措施提高其显著性。

2.设立数据访问系统以维护用户知情权。用户知情权指用户有权知悉平台处理其数据的相关政策、使用目的和具体流程。但在实践中，知情权通常表现为数据持有平台以“隐私声明”“隐私保护政策”等方式告知，即便用户对该部分内容有一些了解，或对部分内容持有异议，只要欲享受相应服务就必须全盘接受。这些告知中通常还包括网络平台将用户数据进行对外授权或其他使用的同意条款。域外最典型的做法是欧盟在《通用数据保护条例》里规定的“数据主体的访问权”，数据主体有权知悉个人信息数据被处理的真实情况，以及数据加工目的、类型等相关信息。对此，互联网行业面对海量用户数据授权带来的风险，越早建立系统性的用户访问机制，越能落实用户知情权的保护。

结语

互联网产业勃兴必然引起人们对用户数据权属与法律规制的关注。然而，缺乏正当性的数据授权不仅损害用户数据权益、破坏行业竞争秩序，更可能出现舆情事件侵害公共利益。当前立法现状不足以应对复杂的用户数据在网络平台间的授权冲突，实践中多以平台间竞争行为的正当性作审理焦点，一定程度上回避了对数据本身安全性的讨论。本文呼吁相关研究关注数据性质本身，明晰各类型数据的权益归属，划分各参与主体之间的权利边界，借由充分保障各方权益的方法和途径完善相关立法，以缓解当前面临的现实困境。

参考文献：

[1]  杨立新，陈小江.衍生数据是数据专有权的客体[J].中国社会科学报，2016，（5）.

[2]  李雅男.数据保护行为规制路径的实现[J].学术交流，2018，（7）：65-72.

[3]  中华人民共和国第十二届全国人民代表大会.中华人民共和国网络安全法[Z].2016-11-07.

[4]  徐伟.企业数据获取“三重授权原则”反思及类型化构建[J].交大法学，2019，（4）：20-39.

[5]  王融.关于大数据交易核心法律问题——数据所有权的探讨[J].大数据，2015，（2）：1-5.

[6]  王利明.數据共享与个人信息保护[J].现代法学，2019，（1）：53.

[责任编辑 百 合]