数据获取“三重授权原则”的 适用困境与优化对策
2022-10-13张颖黄廷航
文 / 张颖 黄廷航
在互联网、大数据技术高速发展的数字经济时代,各大软件用户对便捷化个性化服务的要求越来越高,平台内单一封闭的数据信息已无法满足用户需求,数据互联共享成为必然趋势。数据共享涉及三方主体——用户、网络开放平台(以下简称“平台”)和第三方企业(以下简称“企业”),其中企业通过平台获取数据常常引发各方利益之争,从本质上凸显静态数据安全价值和动态数据商业价值之间的冲突。企业应当基于何种规则获取数据成为平衡数据保护和商业化利用的关键。被喻为“大数据引发不正当竞争第一案”的微博诉脉脉案的裁判为寻求该平衡点提供了一种思路:企业通过平台获取用户数据的前提是平台取得用户同意,同时,企业在使用用户数据时还应当明确告知用户使用的目的、方式和范围,然后再次取得用户的同意,即企业获取数据应坚持“用户授权”+“平台授权”+“用户授权”的三重授权原则。该原则实现了用户数据权益保护与企业数据经济利益的共赢,1张玲玲:《涉及用户数据信息商业利用的竞争行为是否属于正当的司法判断》,载《中国知识产权报》2017年4月19日第008版。在后续淘宝诉安徽美景、微信诉多闪、新浪微博诉今日头条等案件中得到广泛运用,甚至有法官将其作为判定是否违反商业道德的行业规范。2.新浪诉脉脉案见北京知识产权法院民事判决书(2016)京73民终588号,淘宝诉安徽美景案见杭州市中级人民法院民事判决书(2018)浙01民终7312号,微信诉多闪案见天津市滨海新区人民法院民事裁定书(2019)津0116民初2091号。然而,“三重授权原则”是否可以不加分析地适用于所有数据获取场景,成为解决企业获取数据纠纷的统一规则还有待商榷。
一、“三重授权原则”的适用困境
实际上,“三重授权原则”并不完美,其在学界争议颇多。首先,授权流程过长,缺乏逻辑衔接,3.参见薛其宇:《互联网企业间数据不正当竞争的规制路径》,载《汕头大学学报(人文社会科学版)》2018年第34(12)期,第62-68,95-96页。为企业获取授权带来高昂成本;其次,授权中存在平台和企业越界夺权、用户草率授权的情况,4.参见孙皖湘、宋婉冰、龚芳敏等:《大数据时代用户数据信息隐私保护路径》,载《科技传播》2020年第12(24)期,第124-126页。反映出“授权”环节在立法和司法上的冲突;最后,该原则在司法实践中更偏向用户数据的保护而阻碍数据的自由流通,限制竞争自由。5.参见王燃:《论网络开放平台数据利益分配规则》,载《电子知识产权》2020年第8期,第45-55页。
(一)企业获权成本高
根据三重授权原则,平台获取用户对信息的第一重授权后,这些数据成为平台的商业资源,企业使用这些数据不仅需要获取平台的授权,还需要再次获得用户的授权,导致高获权成本。一方面,平台与企业之间往往存在竞争关系,获取平台授权对企业而言本身就是一种牵制,若再去寻求用户授权势必导致获权流程过长,加重了企业进行数据创新的成本。另一方面,分散的用户主体对不同企业所要求的数据授权范围存在认知困难,用户每一次后续授权付出的边际认知成本不断攀升,6.参见戴昕:《数据界权的关系进路》,载《中外法学》2021年第33(06)期,第1561-1580页。不仅增加了前后授权的不确定性,也使得用户产生倦怠心理,授权因此变得随意,“三重授权原则”保护个人数据流于形式。
(二)三重“授权”冲突
三重授权原则中既要求“用户授权”又要求“平台授权”,但两种授权孰先孰后并不明确。我国在立法上明确了个人信息权,但司法纠纷中多为平台主张权利,用户主张权利的情况极少,可见,在立法和司法上未能平衡二者利益,导致“授权”冲突。
一方面,立法上更强调“用户授权”。我国《民法典》、《网络安全法》以及2021年11月1日施行的《个人信息保护法》中对于企业获取用户信息的规定仅要求获得用户授权,并未强调需要获得平台的授权。欧盟《一般数据保护条例》(GDPR)则确立了用户的数据携带权,用户有权将其个人信息授权给其他平台使用,同时也允许用户将其个人数据直接从一个控制者传输到另一个控制者。7.根据《民法典》第一千零三十四条、一千零三十五条,《网络安全法》第四十一条第一款,《中华人民共和国个人信息保护法》(草案)第十三条,第十四条的规定,处理个人信息应取得个人同意。欧盟《一般数据保护条例》(GDPR)第二十条规定“数据携带权”。平台对用户信息进行识别并通过一种符号进行记录后形成数据,8.参见钱子瑜:《论数据财产权的构建》,载《法学家》2021年第6期,第75-91+193页。由此形成的平台对数据的权利在立法上还处于模糊地带。显然,在“平台授权”与“用户授权”的对抗中立法更倾向于保护用户的数据财产权。
另一方面,司法上更强调“平台授权”。微信诉多闪案中多闪对用户个人信息的抓取以及新浪微博诉今日头条案中今日头条对用户发言信息的抓取都经过了用户授权同意,此时微信或者新浪基于自身利益拒绝企业的抓取行为实质上是在对抗用户意志。而不论是微信诉多闪案、新浪微博诉今日头条案,还是此后的淘宝诉美景案,法院在判决时均适用《反不正当竞争法》的相关规定,认为数据是平台的核心竞争优势,在数据的采集开发中投入了大量成本,对数据的获取应当考虑平台在数据收集上付出的劳动。可见,司法上强调“平台授权”的重要性,倾向于保护平台对数据享有财产权益。
(三)抑制数据竞争与创新
随着大数据行业的崛起,创新企业不断涌现,数据成为其提供服务的基础,拥有大量固定用户的平台提供的第三方登录和数据抓取服务迎合了创新企业的发展需求。平台的数据共享成为新兴企业发展的东风,同时也威胁到了平台自身的竞争优势。因此,平台开始阻止企业的数据抓取行为,而“三重授权”在此过程中很可能沦为平台企业实现垄断的工具。该原则冗长的授权程序一定程度上阻碍了数据流通,增加了创新成本,使新兴企业在初创阶段创新受阻。在微信诉多闪案中,多闪作为后加入的竞争者,处于行业弱势地位,多闪从微信抓取的用户头像、昵称以及职业信息、教育背景等数据主要用于短视频社交,这与微信利用数据进行基础性通讯的功能不同,具有创新性,适用“三重授权原则”抬高了多闪获取数据的门槛,加大了其通过合法手段获得用户原始数据的难度。与此不同,在美国Hiq诉领英案中9Hiq诉领英案见HiQLabs,Inc.v.LinkedInCorp.,No.17-16783(2017).,法院从保护言论自由和竞争自由的角度出发,认为领英网站的数据属于取得用户同意后的公开数据,未将Hiq公司的爬虫行为认定为违法,甚至提出领英应当移除对Hiq的接入壁垒以利于数据共享。相比之下,中国法院要求严格适用“三重授权”的做法对数据流通有些矫枉过正,而美国法院仅要求“一重授权”的做法对数据保护存在明显不足,故“三重授权原则”适用时需要在数据流通和数据保护之间寻找新的平衡点。
二、“三重授权原则”适用困境的原因分析
从本质上而言,“三重授权原则”通过明确不同环节的“授权”规则来实现数据在用户、平台、企业之间的流通,“授权”过程中的流程不畅,价值冲突以及数据类型化不足是导致该原则适用困境的主要原因。
图1 三重授权流程图
(一)授权流程不畅
“三重授权原则”各授权环节间流程不畅、联系不足是导致授权效率低的主要原因,主要表现为内部授权和外部适用两个方面。
从“三重授权原则”内部授权而言,存在逻辑不清、难以自洽的内部缺陷。首先,各授权环节是递进关系还是并列关系值得商榷。一般情况下,只有在平台先获取了用户授权的情况下才存在后续企业获取平台和用户授权的三重授权问题。但也存在例外,若平台收集了授权以外的用户信息形成部分有授权而部分无授权的数据集,此时无授权的数据未完成三重授权的第一环;而企业在获取数据时获得了用户和平台对整体数据集的全部授权,即完成了三重授权的第二环和第三环;平台在此后经提醒向用户获得了对未授权部分数据的授权,完成第一环。此种情况下,若三个环节是并列关系,企业获取数据则满足三重授权原则;若三个环节是递进关系,则不满足三重授权原则。其次,若将“三重授权原则”视为企业获取数据的正当路径,则逻辑上应当围绕企业这一主体展开,但纵观全局并非每个环节都涉及企业。三重授权第一环侧重于平台获取数据的合规性,与企业获取数据合规性之间是否存在逻辑关系尚不明确,故三重授权各环节的顺序是否固定尚无定论。最后,第二环与第三环的逻辑关系也存在抵牾,在已获得第三环充分授权的情况下,企业是否还有向平台获取第二环授权的必要尚无统一标准。可见,三重授权各环节间的逻辑关系与执行标准有待厘清。
从“三重授权原则”的外部适用而言,存在司法裁判适用标准模糊的外部缺陷。平台、企业、用户在“三重授权”里寻求的利益各不相同,三方各自为营,难以形成规则共识。司法实践中,法院通常以违反商业道德和诚实信用原则等具有模糊性的“一般条款”进行裁判,难以促成平台和企业处理数据问题的行为准则。由此,“三重授权原则”的整体性无从说起,基于“用户-平台-企业”三方互联互通的行业创新举步维艰。
(二)授权价值冲突
三重授权的过程充斥着数据流通价值与数据安全价值的博弈,“用户授权”和“平台授权”的冲突源于用户和平台不同的价值选择。实践中,为了实现数据流通价值,平台往往通过《服务协议》和《隐私权条款》获得用户的第一重授权,企业则通过“开发者协议”获得用户的再次授权,用户和平台依据授权对自身权益的影响来决定授权与否。立法中确立的用户权利往往与数据安全挂钩,但是对用户来说数据流通和数据安全不是非此即彼的对立关系。数据流通虽意味着数据安全风险增大,但为了获取便捷服务,用户往往愿意牺牲部分数据安全。平台除了考虑自身数据安全外,更关注特定数据所带来的独占性优势,其可能为了维持竞争优势而拒绝企业获取数据。
“用户授权”与“平台授权”的价值冲突本质上是用户的数据权利与企业的数据权益之间的利益冲突。从权利层面而言,由于立法尚未明确企业享有数据权,实践中会出现企业数据权益弱于用户数据权利,从而产生用户数据权利优先保护的价值判断。从权益层面而言,数字经济下,数据带来的财产权益不可忽视,然而这部分财产权益的界定与归属均无定论。10.有学者认为数据财产权益属于公民个人权益,参见刘德良:《个人信息的财产权保护》,载《法学研究》2007年第3期,第80-91页。有学者提出应当归于网络平台权益,参见王玉林、高富平:《大数据的财产属性研究》,载《图书与情报》2016年第1期,第29-35,43页。程啸:《论大数据时代的个人数据权利》,载《中国社会科学》2018第3期,第102-122,207-208页。还有学者认为应当进行两阶段权利建构,在不同阶段归属于不同主体,参见龙卫球:《数据新型财产权构建及其体系研究》,载《政法论坛》2017年第35(04)期,第63-77页。通过行为规制法对其进行保护是目前实务界的做法,但缺少统一的保护规则,《反不正当竞争法》的一般条款仅能提供事后保护,无法为“平台授权”提供足够的事前依据。
(三)授权数据类型化不足
授权数据中涵盖的数据范围广泛,既包含与用户个人信息密切相关的数据,也包含已成为平台商业资源的数据,还包含诸如用户账号信息、发言信息等既与用户直接关联,又与平台的合理开发利用密不可分的数据。不同的数据对保护和流通的需求程度不同,三重授权原则在适用中缺乏数据的类型化区分,导致数据的差异性价值难以得到有效利用,进一步加剧了授权价值冲突与授权流程不畅。
法院在适用“三重授权原则”时倾向于认可平台对数据开发和加工时投入的成本,也要求企业在获取数据时征得平台的授权以维护平台的竞争优势,但始终未对适用“三重授权原则”的数据做详细界分,究其原因可能是法院在刻意回避立法上尚无定论的数据权属问题。前已述及,立法上明确数据权属并非朝夕之事,不能因此对授权数据的类型化避而不谈。一方面,对所有数据一刀切适用“三重授权原则”不仅不利于满足不同主体对数据保护与流通程度的个性化需求,还有损数据安全利益与数据流通利益的平衡。另一方面,对授权数据进行类型化并非以数据财产权的明确为充要条件。数据类型化的目的是明确企业获取某类数据时征得用户或者平台授权的规则。因此,对数据的划分标准可以从“企业-平台-用户”三方与数据之间的关系展开,数据权属立法上的困境不应成为授权数据类型化的障碍。
三、“三重授权原则”适用的优化对策
针对上述“三重授权原则”的适用困境及其原因分析,通过建立统一行业标准来明确“三重授权原则”的授权流程,理清授权逻辑、达成规则共识;通过明晰数据授权关系来建立具体行为规范,缓解授权冲突;通过类型化授权数据来规范数据使用规则,实现不同数据的差异性价值。
(一)明确授权流程
关于授权逻辑不清的问题,应区分“三重授权”的第一环与第二、三环来分别厘清。针对“第一环”,应当通过行业标准明确平台获取数据的合规性是适用“三重授权原则”的前置环节,企业在获取数据时对平台获取数据是否合规仅负必要的注意义务。基于此,除平台有明显违规情形,企业在获取数据时可以信任平台完成了第一环授权。此外,可以考虑引入第三方机构承担信托责任,从而建立数据获取中的信任桥梁,11.参见田奥妮:《第三方数据信托:数据控制者义务的困境及其破解》,载《图书馆论坛》2022年第8期,第1-11页。减轻企业在获取数据时对“三重授权”第一环的责任,将重心放在与自身联系紧密的第二环和第三环。针对“第二环”与“第三环”,需要分“完整适用”与“不完整适用”两种情况:在完整适用“三重授权原则”情况下,除去行业标准规制的第一环授权,第二环和第三环授权应当处于并列位置,对其先后顺序不作严格要求。这是因为在完整适用“三重授权原则”时,任何一环的缺失都会使企业无法合规使用数据,强调先后顺序意义不大;在不完整适用“三重授权原则”的情况下,明确企业获取平台授权和用户授权之间的逻辑问题,涉及不同类型数据的获取规则,将在后文的授权数据类型化部分做详细论述。
关于适用标准模糊的问题,可以通过具体化违反诚实信用原则和商业道德的判断标准,设立统一规范,增强三重授权原则各环节间逻辑衔接,为各主体行为提供指引。一方面,不宜将与用户之间的协议作为具体案件中企业获取数据是否违反诚信原则的首要或者唯一的判断标准。实际上,仅仅是对于隐私政策的个人同意并不意味着在处理者与个人之间形成了关于个人信息处理的合同关系。2020年公布的《信息安全技术个人信息安全规范》同样强调了平台与用户之间的协议在信息公示上的功能,弱化其作为合同的功能。12.中国国家市场监督管理总局、中国国家标准化管理委员会《信息安全技术个人信息安全规范》5.6注释。另一方面,可以将数据性质、平台贡献程度和企业创新增量三要素作为判定标准:13.参见王燃:《论网络开放平台数据利益分配规则》,载《电子知识产权》2020年第8期,第45-55页。其中数据性质主要考量数据是否属于个人信息,平台贡献程度注重区分平台对数据的加工处理与简单收集,企业创新增量则强调企业对于所获取数据进行创新的程度。三要素的具体判断需要结合授权数据的类型化分析,后文将详细阐述。
(二)明晰数据授权规则
前已述及,数据流通价值与数据安全价值的冲突是导致“授权”冲突的本质原因,而企业数据权益界定不明、归属不清则导致立法和司法层面的保护冲突。无论是理论价值层面的冲突还是实务规范层面的冲突,其核心源于三重授权中授权规则的不明晰,因此在明确授权流程的基础上,进一步明晰授权规则将缓解授权中的冲突。授权规则的设立从宏观到微观依次递进,首先要解决立法和司法上的保护冲突,涉及数据保护模式的选择;其次在所选模式下找到具体规制路径;最终确立具体规则。
1.保护模式的选择
目前企业数据权益法律保护模式主要分为两种,一种是数据确权保护模式,即从权利层面确立平台的“数据财产权”,例如《欧盟数据库指令》为数据库设立专有权利。该模式认为企业数据权利化是定分止争的根本路径,通过区分主体或区分数据类型来确权可以系统全面地为数据提供保护,同时兼顾平台和企业的竞争利益。14.区分主体确权参见龙卫球:《数据新型财产权构建及其体系研究》,载《政法论坛》2017年第35(04)期,第63-77页。区分数据类型确权参见姬蕾蕾:《企业数据保护的司法困境与破局之维:类型化确权之路》,载《法学论坛》2022年第37(03)期,第109-121页。然而,数据世界日新月异,新问题不断涌现,数据确权模式难逃法律滞后性缺陷,在此背景下确立一种新权利体系周期长,成本高。加之,现有法律框架下,商业秘密、著作权法、反不正当竞争法等亦能为数据权益提供保护,进行系统的数据产权立法缺乏必要性。15.崔国斌:《大数据有限排他权的基础理论》,载《法学研究》2019年第41(05)期,第3-24页。另一种是行为规制模式,即在现有法律框架下为数据纠纷确立一种行为规制体系。较之于前者,该模式基于现有法律框架为数据保护设立“行为规制”路径,无须另起炉灶,立法成本低,更具可行性。在“三重授权”过程中,具体的行为规则能解决“三重授权”中的“授权”依据问题,进而在个案中成为“平台授权”与“用户授权”判断标准。
2.行为规制模式的实现路径
在现有法律框架下,著作权法和反不正当竞争法为具体的行为规则提供了著作权保护、商业秘密保护与反不正当竞争保护三种路径,但这三种路径下对数据的保护都不尽周全:首先,并非所有数据都能满足著作权的“独创性”要求,且经过匿名化处理后的数据缺少人身属性,仅依据著作权无法为“授权”提供依据;其次,商业秘密所保护的对象具有秘密性,企业获取的数据并非不可公开的数据,且主要包含以实现共享为目的的数据,显然与商业秘密的秘密性要求相矛盾;第三,反不正当竞争法虽是此类案件司法裁判的主要依据,但属于事后救济,企业大数据纠纷涉及金额巨大,事前预防必不可少。大数据时代,风险的可控性在技术加持下提升,事前预防亦更可行。16.例如通过区块链技术防止网络时代数字版权内容泄露,参见赵丰,周围,《基于区块链技术保护数字版权问题探析》,载《科技与法律》2017年第1期,第59-70页;通过预先对数据匿名化处理降低个人隐私泄露的风险,参见王融,《数据匿名化的法律规制》,载《信息通信技术》2016年第4期,第38-44页。不仅如此,现有行为规制路径依然无法脱离对数据进行权属划分的桎梏,商业秘密保护可以被视为一种财产性权利保护机制,与著作权保护机制并列,受权属划分的限制。17.参见蒋志培、孔祥俊、王永昌,《关于审理不正当竞争民事案件应用法律若干问题的解释》的理解与适用,载《法律适用》2007年第3期,第21-28页;崔国斌:《大数据有限排他权的基础理论》,载《法学研究》2019年第41(05)期,第3-24页。因此,要从行为规制路径为数据获取确立具体规则,应跳出数据权属划分的泥沼,从数据世界的底层逻辑出发,以企业获取数据场景下形成的“企业-平台-用户”三方法律关系为视角,探索数据获取行为的规制路径。霍菲尔德的“关系论”为此研究视角提供了理论分析框架。该分析框架并未固守静态地为各方利益划分财产权范围的方式,而是通过“权利”与“义务”之间的二元关系来界定主体间的利益,契合了数据获取中“企业-平台-用户”三方形成的动态数据关系。当“权利”的界定模棱两可时,“义务”总与“权利”相关,可以通过法律关系中的“义务”来明确“权利”,一旦“义务”被违反,就意味着“权利”遭到了侵犯。此时的“权利”与“请求权”相同,18.参见【美】霍菲尔德:《基本法律概念》,张书友译,中国法制出版社2009年6月第1版,第31-32页。即“权利”的实现依赖于义务人对“义务”的履行,而不受财产所有权思路的限制。由此,针对数据获取中各方利益缠夹不清难以划分的局面,可以借助“关系论”的分析框架,逐步搭建并灵活调整多元主体间法律关系网络,19.参见戴昕:《数据界权的关系进路》,载《中外法学》2021年第33(06)期,第1561-1580页。从而确立数据获取的行为规则。
3.具体行为规则的设置
如前所述,霍菲尔德的“关系论”将法律关系分为“相反”和“相关”两类,20.【美】霍菲尔德:《基本法律概念》,张书友译,中国法制出版社2009年6月第1版,第28页。“权利”被放在“义务”的相关关系中来界定,若一方对另一方不负有“义务”,那么“权利”就会失去意义。依照此思路,重点应明晰“三重授权原则”各环节中“授权”依赖的两个要素:“法律关系”和“义务”。针对“企业-平台-用户”的法律关系,可以借助其内部形成的各方信义义务来构建数据授权的依据。21.参见吴伟光:《平台组织内网络企业对个人信息保护的信义义务》,载《中国法学》2021年第6期,第45-60页。信义义务本是英美信托法律关系中特有的义务,后作为不对等法律关系的衡平手段被移植到大陆法系。现将信义义务的衡平逻辑运用于“企业-平台-用户”的法律关系中来明晰“授权”。用户在接受平台或者企业的各种使用协议和隐私政策后注册账号,“企业-平台-用户”的法律关系就形成了。由于信息的不对称,用户与另外两方在法律关系中的力量和地位落差较大,为了保护基于信任而使用服务的用户,企业和平台对用户数据保护承担信义义务,其他企业获取数据后对转移后的数据保护继续承担信义义务。企业对平台的信义义务以平台对企业的委托为基础,这种委托可以通过平台与企业之间签署的服务协议来构建。在服务协议中要求企业基于委托履行对平台数据保护的忠实义务和注意义务,平台根据企业义务的履行情况授权企业在一定范围内使用数据或者收回授权。用户基于平台和企业对其负有的信义义务,平台基于企业对其负有的信义义务而分别享有知悉数据使用范围、要求企业采取保护数据措施、干预企业数据获取等权利,“三重授权”中各环节“授权”依据便由此产生。
综上所述,对企业的“用户授权”和“平台授权”来源于企业所负有的信义义务,企业获取数据时是否严格履行了数据保护义务,成为其获得“授权”正当性的判断标准。具体而言,按照信义义务的主要内容,判断标准可以分为受信企业是否严格履行了忠实义务和注意义务:22.参见【美】塔玛·弗兰科:《信义法原理》,肖宇译,法律出版社2021年11月第1版,第106页。忠实义务包括但不限于按照授权范围使用数据、向委托人报告和披露数据使用情况、善意使用数据等;注意义务的履行需要受信企业做到审慎、专业并尽心,比如是否采取必要的数据保护措施、是否符合市场惯例和当事人预期等。
(三)授权数据类型化
授权数据的类型化是“三重授权原则”适用规则具体化、明晰化的基础。本部分探讨的授权数据主要针对三重授权原则中的第二环和第三环,即企业获取“平台授权”和“用户授权”环节的数据分类。根据个人数据的敏感性,分为个人敏感数据与非个人敏感数据。就非个人敏感数据而言,根据平台是否对数据进行加工增值分为基础数据和增值数据,23.参见丁道勤:《基础数据与增值数据的二元划分》,载《财经法学》2017年第2期,第5-10,30页。前者是足以对主体构成识别的最本源的数据,与用户关联紧密,与平台关联不大;后者主要是指数据处理者对用户从事的各种活动进行搜集、整理、分析等增值处理行为产生的各种数据,此类数据与平台关联紧密,与用户的关联性因平台的加工程度不同而有所差异。其中,未进行匿名化处理的数据与用户和平台都存在关联,可称为粗加工数据;进行匿名化处理的数据则脱离与用户的关联,只与平台关联,可称为深加工数据。就个人敏感数据而言,因其与个人数据主体权益密切相关,泄露、非法提供或滥用都会导致个人数据主体权益遭受重大损失,应而单独讨论。(见表1)
表1 不同类型数据“三重授权原则”适用规则
根据不同类型的数据分别制定企业获取数据授权的适用标准,针对个人敏感数据和粗加工数据,应当完整适用三重授权;针对基础数据和深加工数据可以缺略适用三重授权,其中基础数据无需第二环中的“平台授权”,深加工数据无需第三环中的“用户授权”。
1.完整适用“三重授权原则”的数据
完整适用“三重授权原则”的数据包括个人敏感数据和粗加工数据,二者能完整适用的原因有所不同。
个人敏感数据在法律上的处理规则和保护程度应比一般个人数据更严格。隐私权和个人信息权益是《民法典》确立的不同的人格权益,二者保护的客体重叠但不重合,24.参见程啸:《论我国民法典中个人信息权益的性质》,载《政治与法律》2020年第8期,第2-14页。个人敏感数据就是其中重叠的部分。对于个人敏感数据的保护需要先适用《民法典》对隐私权的规定,隐私权没有规定的再适用其对个人数据的规定。立法上,可以通过复杂化和严格化个人敏感数据获取程序来实现强保护。25.例如,《民法典》第一千零三十三条、第一千零三十五条规定收集个人敏感数据需要隐私权人的明确同意,收集一般个人数据只需权利人或者其监护人的同意。又如,《信息安全技术个人信息安全规范》(2020)中规定处理超过10万人的个人敏感信息就应当设立专职负责人和保护机构,而处理一般个人信息标准是100万人,两个标准相差10倍。依此思路,企业获取个人敏感数据应当严格适用“三重授权原则”,因为“三重授权”程序的严格履行无疑是繁杂的,提高了企业获取数据的成本,有助于企业在获取个人敏感数据时付出更多的注意义务,防止个人敏感数据被滥用。2017年华为与腾讯的数据之争中,华为荣耀Magic手机收集包括微信聊天记录等个人敏感数据在内的微信用户数据,腾讯指控其侵害了腾讯和用户的数据,而华为认为收集行为已经征得了用户的同意而无需获得微信授权。但实际上,由于欠缺专业技术知识,许多用户在授权时并不了解华为的用意,故为了个人敏感数据得到充足的保护,在收集用户的微信聊天记录等个人敏感数据时需要获得平台的授权。
粗加工数据既因平台的增值活动而与平台产生关联,又因未经匿名化处理而保留与用户的关联,企业在获取此类数据时需要完整适用“三重授权”。首先,由于粗加工数据难以分离成专属于用户或平台的数据或者分离后就丧失了数据本身的价值,故企业获取粗加工数据时对用户和平台均负有信义义务,用户和平台均有知晓数据使用方式、决定授权范围等权利。其次,用户和平台授权的范围有所不同,粗加工数据由单个用户数据组成,每个用户对自身数据有决定是否授权企业使用的权利,而平台收集数据后对其进行加工处理,付出创新增量成本,故平台对粗加工后的数据整体有授权企业使用的权利。新浪微博诉今日头条案中用户发布在新浪微博中的内容未与特定用户分离,同时新浪收集这部分数据时付出了资金、技术、服务等成本,今日头条在获取这部分数据时不仅需要获得用户的授权,还需要得到新浪的许可。
2.缺略适用“三重授权原则”的数据
排除个人敏感数据后,企业获取基础数据无需平台授权,只需获取用户授权;获取深加工数据需要平台授权,而无需第三环节的“用户授权”。
对于基础数据,首先,就用户而言,基础数据仅是可识别特定主体的最本源的数据,主要是一般个人数据。企业从用户处获取此类数据时应当告知用户,保证用户对企业获取基础数据的行为知情,同时使用户有机会干预企业获取数据的行为,也便于用户后续权利的行使。其次,就平台对基础数据的价值贡献而言,平台对用户上传的个人数据仅是收集和储存而无创新增量。“平台授权”时平台往往基于自身利益来决定是否同意企业获取数据,如果仅基于对基础数据的收集和储存行为,就享有和用户同等的授权决定权,显然对用户不公平。最后,从企业获取基础数据的难易程度而言,无需平台授权降低了企业获取此类数据的门槛,但并非没有门槛,企业仍需征得用户的授权同意才能获取基础数据,可以认为企业在获取用户授权时付出了足够的成本,同时不会对企业创新造成过度牵制。
对于深加工数据,一方面,平台对基础数据进行创造性的增值活动,平台理应对其增值贡献享有授权第三方使用的权利。在淘宝诉美景案中,淘宝对其深度分析整合加工合法收集的用户数据形成的“生意参谋”数据产品享有合法权益,美景公司未经淘宝授权使用“生意参谋”数据产品并用其获取商业利益的行为构成不正当竞争。此案中的“生意参谋”数据已不具备单独或与其他数据结合识别特定个人的可能性,属于深加工数据,与用户已经脱离关联,此时无需“用户授权”,避免在深加工数据流转过程中因反复获取用户授权而阻碍创新型平台的发展。另一方面,获取深加工数据取得平台授权是对竞争机制的保护。“如果不加节制地允许市场主体任意地使用或利用他人通过巨大投入所获取的信息,将不利于鼓励商业投入、产业创新和诚实经营,最终损害健康的竞争机制。”26.北京百度网讯科技有限公司与上海汉涛信息咨询有限公司其他不正当竞争纠纷案,参见上海知识产权法院(2016)沪73民终242号民事判决书。对竞争机制的保护实则是鼓励和引导对数据的创新,大数据时代步伐的迈进需要鼓励更多市场主体投入到数据深度分析和系统整合的创新中去。
四、结语
大数据时代,合理合法地获取数据实则是在数据保护与数据流动之间寻求平衡,“三重授权原则”是司法实践中的宝贵经验所得,但该原则的完美适用仍需要根据数据产业的发展和数据权益保护的现实需求而不断优化。“三重授权原则”的优化路径需要从明确授权逻辑入手,理顺不同授权环节间的秩序与授权主体之间的关系,通过构建“企业-平台-用户”之间的法律关系和信义义务来明晰授权依据,并在授权数据的类型化基础上制定差异化的适用规则。数据世界千变万化,数据价值与日俱增,数据作为创新企业发展的基础与企业间纠纷的焦点,所涉及的领域和要素决定了在处理此类纠纷时需要更具灵活性,更加多元化,才能在保护数据的同时助力数字经济的发展。