企業(yè)數(shù)據(jù)依法獲取的“三重授權”原則

來源：人民郵電報 時間：2023-12-08 09:58:22 作者：薛興華

　　在第十個國家憲法日到來之際，習近平總書記作出重要指示，強調(diào)堅定維護憲法權威和尊嚴，推動憲法完善和發(fā)展。當下，有學者呼吁讓數(shù)據(jù)權利進入憲法，成為一項基本權利，通過構建必要的法律制度，完善中國特色社會主義法律體系，用科學有效、系統(tǒng)完備的制度體系保證憲法實施。筆者認為，數(shù)字經(jīng)濟時代，數(shù)據(jù)權益保護不僅需要立法完善，還需要司法通過個案裁判提供裁判規(guī)則，在目前企業(yè)數(shù)據(jù)權利法律規(guī)定缺位的情況下，司法機關在新浪微博訴脈脈案中創(chuàng)設了數(shù)據(jù)依法獲取的“三重授權”原則，規(guī)制了企業(yè)數(shù)據(jù)權益的反不正當競爭保護方向，對數(shù)據(jù)權益糾紛案件的審判產(chǎn)生重大影響，彰顯人民法院邁出數(shù)據(jù)權益司法保護的第一步。

　　新浪微博訴脈脈案情

　　新浪微博在訴脈脈案稱，脈脈軟件獲取并使用非脈脈用戶的新浪微博信息違反與新浪微博之間的《開發(fā)者協(xié)議》等約定，通過其用戶上傳的手機通訊錄，非法獲取、使用通訊錄內(nèi)聯(lián)系人與新浪微博用戶的對應關系，侵犯新浪微博的競爭利益并危害新浪微博用戶的信息安全。脈脈軟件及網(wǎng)站未經(jīng)許可獲取并使用了其平臺用戶頭像、名稱、職業(yè)、教育信息等數(shù)據(jù)的行為構成不正當競爭。一審法院認為，脈脈軟件的行為違反了《反不正當競爭法》第二條并構成商業(yè)詆毀。二審法院維持原判。法院認為，在互聯(lián)網(wǎng)行業(yè)中適用《反不正當競爭法》第二條的六個條件，明確第三方應用通過開放平臺如OpenAPI模式獲取用戶信息時應堅持“用戶授權”+“平臺授權”+“用戶授權”的三重授權原則。

　　“三重授權”是指“用戶授權+平臺方或公司授權+用戶授權”，第一重是在互聯(lián)網(wǎng)開放平臺對用戶數(shù)據(jù)第一次收集、使用時需要獲得用戶的授權；第二重是在第三方應用通過開放平臺間接獲取用戶數(shù)據(jù)時需要獲得平臺方的授權；第三重是需要再次獲得用戶的授權。

　　法院的司法建議

　　脈脈案判決對于案件相關法律適用問題論證充分和準確，并對互聯(lián)網(wǎng)環(huán)境下用戶信息的安全和企業(yè)責任給出的司法建議影響很大。

　　企業(yè)數(shù)據(jù)權益的《反不正當競爭法》保護。從脈脈案的結果看，司法裁定認可將數(shù)據(jù)權益納入《反不正當競爭法》保護的可行性與合理性。

　　法院結合互聯(lián)網(wǎng)行業(yè)的技術形態(tài)及市場競爭模式，明確平臺數(shù)據(jù)應當受到《反不正當競爭法》的保護，已成為今后類似案件處理的風向標。企業(yè)間的數(shù)據(jù)不正當競爭行為既包括數(shù)據(jù)的不正當獲取行為，也包括數(shù)據(jù)的不正當利用行為。當企業(yè)通過不正當?shù)耐緩将@取其他市場主體的數(shù)據(jù)資源時，其后續(xù)的數(shù)據(jù)利用行為也存在不正當性。

　　數(shù)據(jù)流動需滿足“三重授權”。法院認為，在開放平臺OpenAPI合作模式中，數(shù)據(jù)提供方向第三方開放數(shù)據(jù)的前提是必須取得用戶的同意。脈脈案判決提出，涉及互聯(lián)網(wǎng)中用戶信息的基本原則是“用戶明示同意原則”+“最少夠用原則”，即不得收集與其提供的服務無關的個人信息；同時明確第三方應用通過開放平臺如OpenAPI模式獲取用戶信息時應堅持“用戶授權”+“平臺授權”+“用戶授權”的三重授權原則，第三方應用基于商業(yè)合作模式利用用戶信息時，除應取得數(shù)據(jù)提供方同意外，還應再次取得用戶的同意。

　　明確網(wǎng)絡平臺方主體。在互聯(lián)網(wǎng)環(huán)境下，用戶信息和數(shù)據(jù)的獲取及使用，不僅可以成為企業(yè)競爭優(yōu)勢的來源，更能為企業(yè)創(chuàng)造更多的經(jīng)濟效益。脈脈案判決明確網(wǎng)絡平臺方可以就第三方未經(jīng)許可擅自使用其經(jīng)過用戶同意收集并使用的用戶數(shù)據(jù)信息主張權利，倡議網(wǎng)絡運營者在采集運用用戶數(shù)據(jù)時應履行技術防范、應急預案、數(shù)據(jù)備份等管理義務。

　　衍生數(shù)據(jù)的財產(chǎn)權益受法律保護。網(wǎng)絡大數(shù)據(jù)產(chǎn)品是經(jīng)過網(wǎng)絡運營者獨創(chuàng)性的勞動實現(xiàn)的智力成果，已經(jīng)獨立于基礎性的網(wǎng)絡用戶信息和原始網(wǎng)絡數(shù)據(jù)，因為有開放和整合的過程，衍生數(shù)據(jù)享有獨立性的財產(chǎn)權益受法律保護，所有者為網(wǎng)絡運營者。判斷企業(yè)競爭行為是否具有正當性，通常依據(jù)誠實信用原則、公認的商業(yè)道德和利益平衡原則，結合相關行業(yè)慣例、行為手段、損害后果以及對市場競爭秩序的影響等因素對其性質(zhì)予以綜合評判。

　　“三重授權”原則的適用原則

　　目前，我國適用“三重授權”原則的典型案件有新浪微博訴脈脈案、騰訊訴微播視界案、淘寶訴安徽美景科技不正當競爭案等，從中可以看出依法保護企業(yè)數(shù)據(jù)權益裁判新思路，人民法院在法律空白及模糊地帶創(chuàng)造性地解決司法難題。

　　適用開放平臺數(shù)據(jù)共享模式（OpenAPI模式）。OpenAPI是服務型網(wǎng)站常見的一種應用，平臺將自身的特定技術服務以應用程序編程接口的形式開放出來，第三方應用開發(fā)者得以通過運用和組裝其接口產(chǎn)生新的應用。在開放平臺獲取數(shù)據(jù)，第三方應用不僅需要與平臺簽署《開發(fā)者協(xié)議》，獲得平臺的授權，約定雙方的權利義務，還需重新獲得用戶的再次授權以實現(xiàn)合法授權。平臺作為用戶個人信息的控制者，雖享有特定的數(shù)據(jù)權益，但在對外共享信息時仍需符合與用戶簽署協(xié)議的要求與約定，實現(xiàn)保護用戶數(shù)據(jù)信息安全。對于數(shù)據(jù)的獲取，除了從公開渠道獲取的公共數(shù)據(jù)不需要獲得原始數(shù)據(jù)主體的授權外，無論是非公開的原始數(shù)據(jù)還是對原始數(shù)據(jù)經(jīng)過整理而產(chǎn)生的數(shù)據(jù)產(chǎn)品，其能夠成為合法權益的關鍵在于數(shù)據(jù)具有合法來源，即經(jīng)過授權許可。特別是原始數(shù)據(jù)在涉及用戶個人身份信息的情況下，數(shù)據(jù)主體的知情同意是獲得個人信息的基本規(guī)則。

　　適用數(shù)據(jù)爬取模式?；ヂ?lián)網(wǎng)平臺獲取數(shù)據(jù)一般通過兩種方式：一種是通過商業(yè)合作進行數(shù)據(jù)交易或交換（如OpenAPI模式），另一種是利用爬蟲技術自動抓取數(shù)據(jù)的模式。爬蟲自動抓取模式由于其效率高、成本低廉而獲得諸多企業(yè)的青睞，但同樣面臨較高的法律風險。第三方應用開發(fā)者僅通過用戶本人的授權便在信息控制者處進行數(shù)據(jù)爬取的操作，極有可能被視為違反平臺意志、侵害平臺享有的數(shù)據(jù)產(chǎn)品相關權益，進而被認定為構成不正當競爭?！叭厥跈唷痹瓌t是對《個人信息保護法》第二十三條規(guī)定的在具體個案中的第三方數(shù)據(jù)獲取是否構成不正當競爭行為的裁判規(guī)則，平臺方限于非國家機關處理者；客體上適用于“處理的個人信息”，限于平臺方生產(chǎn)并享有財產(chǎn)性權益、開放平臺模式的數(shù)據(jù)共享。

　　原則適用的局限性。在涉及數(shù)據(jù)不正當競爭訴訟中，涉案數(shù)據(jù)收集者只有符合“三重授權”原則，才能證明其收集數(shù)據(jù)行為依法合規(guī)，不構成不正當競爭。結合新浪微博訴脈脈案、騰訊訴微播視界案、淘寶訴安徽美景科技不正當競爭案看，該原則并非所有案件均可以適用，適用前提是案件中數(shù)據(jù)獲取的方式是基于OpenAPI合作模式獲取或通過其他合法授權途徑獲取，不包括網(wǎng)絡爬蟲爬取的數(shù)據(jù)獲取方式。如果數(shù)據(jù)是經(jīng)過用戶同意通過平臺公開的，第三方可以不必遵守該原則直接爬取和使用平臺內(nèi)的公開個人數(shù)據(jù)內(nèi)容。如果平臺允許第三方爬取的是其自身利用用戶原始數(shù)據(jù)深度加工而成的衍生數(shù)據(jù)，第三方不再需要獲得用戶的單獨許可，爬取使用的數(shù)據(jù)不再是用戶的原始數(shù)據(jù)。第三方獲得可識別的衍生數(shù)據(jù)需要同時獲得用戶和平臺的同意；獲得非識別的原生數(shù)據(jù)時，無須取得用戶同意，是否需要取得平臺同意取決于數(shù)據(jù)是否公開。對于公開數(shù)據(jù)的流動一般不涉及“三重授權”原則的適用。

　　企業(yè)獲取數(shù)據(jù)實行高標準的嚴控?！秱€人信息保護法》《數(shù)據(jù)安全法》等法律對平臺使用用戶個人信息時的授權提出嚴格要求，“三重授權”原則是針對企業(yè)間數(shù)據(jù)流動和依法合規(guī)提出的高標準司法建議，司法已對于原始數(shù)據(jù)和衍生數(shù)據(jù)權益給予反不正當競爭的保護，企業(yè)間的數(shù)據(jù)獲取應當高度關注獲取方式和利用行為的合規(guī)，實現(xiàn)數(shù)據(jù)的合法交易與傳輸。從數(shù)據(jù)流轉過程看，所有知識產(chǎn)權權利或數(shù)據(jù)合法權益的流轉均需要明確完整授權；數(shù)據(jù)運營者需要使用或深度加工生成衍生數(shù)據(jù)，也需要獲得用戶個人的明確授權。

　　（作者系江蘇省企業(yè)法制工作協(xié)會副會長兼秘書長、正高級經(jīng)濟師）

責任編輯：張薇