应厘清数据背后的基本法理

不当使用个人信息可能会暴露个人隐私，带来安全隐患，但用户信息与平台互生共存。因此，在个人信息使用上，应遵循“用户授权+平台授权+用户授权”规则。

专家学者解析“头腾大战”

3月19日，今日头条、抖音母公司字节跳动旗下的社交软件“多闪”向用户发送弹窗消息称，“由于腾讯方面的要求，希望用户修改在多闪或者微信上的账户头像与昵称。”腾讯公司随即表示，已向天津滨海新区人民法院提起诉讼并申请行为禁令，要求立即停止多闪APP用户的头像和昵称与QQ/微信用户的头像和昵称相同的行为。新一轮“头腾大战”随之开始。

近日，在北京大学举办的第十八期E法论坛“用户个人信息保护与数据合规”研讨会上，多位专家学者以此次“头腾大战”为切入口表示，在互联网行业，保护用户个人信息是不可动摇的底线。同时，解决数据权益分配问题，应首先厘清数据争夺战背后基本的法律原理。

个人信息与数据是不同概念

此次“头腾大战”期间，重庆网友小凌在“知乎”发布的一篇题为《法学博士生维权：我为什么起诉抖音、多闪侵犯我的隐私权？》的文章引发热议。文章称，作者因玩抖音、多闪被精准推荐了包括前女友在内的大量好友，他怀疑这两款APP过度读取了自己手机通讯录，遂将其运营方告到北京互联网法院。

开放平台与第三方平台争夺数据时，用户个人信息处于何种地位？DCCI互联网数据中心创始人胡延平表示，开放平台最能够代表互联网“开放、合作、分享”的精神，开放是互联网不可逆的潮流、不可违背的规律，也是不可冲撞的行业规则、生态规则。可以说，在互联网产业发展进程中，没有开放就没有移动互联网，更没有智能互联网业态。“但开放并不意味着没有规则，任何企业都必须遵守底线，用户个人信息必须得到应有的保护，绕开谁的利益都不能绕开用户。”

北京大学法学院副院长薛军对此表示认同。他强调，个人信息与数据是不同的概念，法律对个人信息的保护和对数据的保护有不同的立法目的，二者服务于不同的职能。“个人信息能够定位、识别到具体个人，可能会暴露个人隐私，或者会威胁人身、财产安全；数据则具有很大商业价值。它是类似于知识产权的一种财产性权益。”

中国法学会法治研究所副研究员刘金瑞表示，要区分个人信息和隐私，“很多时候，讨论个人信息保护时，人们用的是隐私保护观念，但隐私的范围更窄。因此，我们对个人信息的保护强度应区别对待，对隐私信息要严格控制、严格存储，对其他信息的保护应把重点放在滥用上，特别是要严格控制公开平台信息滥用。”

用户数据和平台互生共存

在这次数据大战中，人们争议的又一个焦点是用户昵称和头像到底谁做主。实际上，对于数据权属、数据权益分配等基本理论问题，理论界、实务界也存在争议。

薛军称，数据是一种新型的财产性权益，对于数据权益的分配，在法律没有明确规定此新型财产性权益时，可以参考适用法律上一些相对成熟的理论。比如最早由著名政治哲学家洛克提出的“汗水原则”，谁为权益的生成投入了时间、精力、劳动力等各种资源，谁就正当化的享有权益；再如“效益原则”，把权益分配给能够使权益发挥最大效益、造福于社会的人；或如“科斯定律”，根据交易成本的多少决定权益配置，将权益分配到使用效益最高的地方去，使交易成本达到最小化。

薛军表示，可以以上述已经成熟的理论来观照数据权益配置问题，“研究数据是如何生成的，谁为数据的产生投入了劳动。这样花费大量精力将数据以可视方式展示出来的平台方，基于‘汗水原则’就具备享有数据权益的正当性。”

以新浪微博用户生成原创内容即UGC的数据为例，微博平台运营中产生的数据是来自用户生成的内容，很多人对于用户是否对此享有权益存在困惑。薛军认为，从表面上看，平台抓取的是用户的内容，不是平台的东西，但回到法律原理上看，民法中“单一物”理论中单一的物是单个的物，比如微信或微博头像、昵称，单个头像、昵称是属于用户的。但当这些内容以一种关系链或者用户列表或者各种其他方式组合在一起，微信、微博平台对用户上传的内容进行审查、编辑、存储，以事前开发的数据格式呈现出来，就形成民法上的“集合物”，变成另外一个主体，这时应为平台所享有。

刘金瑞也认为，用户信息或数据与平台是共存的，两者是互生共存的关系，“我们要打破排他独占控制理念，承认多元主体同时对某些信息享受不同利益的观念。”

刘金瑞说，提到腾讯诉抖音、多闪案，就不得不提被称为“中国首例大数据不正当竞争纠纷案”的新浪微博诉脉脉案。在该案中，法院的判决明确了合法收集使用个人信息数据路径的“三重授权”原则：用户授权+平台授权+用户授权。通俗地说，就是用户同意平台向第三方提供信息，平台授权第三方获取信息，用户再次授权第三方使用信息。

“三重授权”下的法律关系

现实中，很多平台在和用户生成的协议内，都规定了向第三方平台开放和共享数据相关的内容，根据上述“三重授权”原则，用户、平台和第三方平台间数据的授权和使用问题，要遵循“用户授权+平台授权+用户授权”的规则。

而在过去几年间平台的数据大战中，大多涉及第三方平台通过非法抓取或者越权使用用户数据的问题。薛军认为，这说明要厘清“三重授权”原则中的法律关系问题。“开放平台基于对个人信息的保护原则，通过用户的同意授权，获取用户个人信息。而开放平台再授权给第三方平台使用自己的数据时，也要再征得用户同意授权，这其中要强调第三方平台对用户个人信息的保护义务。”

刘金瑞也认为，第三方平台使用开放平台数据时，应遵守平台和用户的约定。如果第三方平台在未经授权或者超出合同权益规定使用用户的数据，那么不但第三方平台要承担法律责任，而且开放平台方基于对用户个人信息保护义务也要承担相应的对第三方的审查义务，如果对此不管不顾，用户数据就有可能“裸奔”。

“比如从来不用多闪的用户，就没有通过微信授权给多闪用户使用信息。如果他的微信头像和昵称出现在别人多闪账号的推荐好友里面，那么用户就可起诉多闪方。”刘金瑞说。

薛军指出，开放平台将数据授权给第三方使用，第三方应该在授权范围内的使用强度、使用模式下使用数据。“这是基于合同关系的授权，如果超越授权使用数据，那么这是合同违约行为。”

此外，刘金瑞还建议，实践中可以通过合同机制保护用户个人信息。“用户和平台之间的授权合同，可以通过平台和第三方之间的授权合同进行传导。因为目前没有明确的法律规定，所以可以通过这样的法律机制传导对用户个人信息的保护。”