专家观点:数据共享中的数据再利用规则
引言
2025年8月28日,最高人民法院发布数据权益司法保护专题指导性案例(指导性案例262—267号),首次为数据权益纠纷的裁判确立了系统裁判规则。其中,第263号指导性案例“某网络信息技术有限公司诉某信息科技有限公司不正当竞争纠纷案”,裁判要点肯定了利用关联账号服务转移数据行为的合法性(网络平台向用户提供关联账号服务,经用户授权后转移其在关联网络平台获取的数据,为用户在合理范围内处理该数据提供便利,未扰乱市场竞争秩序的,不构成不正当竞争行为)。本案中涉及的关联账号功能,是指在获得用户授权的前提下,在平台A输入B、C等其他平台的账号密码,就可以直接在A平台处理B、C平台关联账户数据的功能。典型的如网易邮箱大师,它可以实现一个大师号轻松管理126、163、QQ、Outlook等个人邮箱,以及超过一百万种企业邮箱。
实际上,关联账号是一种典型的按需数据共享场景,在技术层面主要通过开放接口的方式实现。除网易邮箱大师以外,通过开放接口共享数据的另一广泛应用场景即为开放平台服务。微信开放平台通过为用户创建统一的openid(微信用户+ AppID = openid)和unionid(微信用户+开放平台账号= unionid),为开发者提供移动应用、网站应用、小程序、小游戏、公众号等账号与微信账号或开放平台账号身份关联功能,实现统一登录、支付、跳转等功能。尽管法院承认了经用户授权的、通过关联账号服务转移数据行为的合法性,但截至行文之时,笔者发现被告某信息科技有限公司未再继续提供案涉的关联账号服务。因此,后文将以实践中广泛应用的邮箱关联账号服务和开放平台服务为例,系统回答通过开放接口进行数据转移的正当性基础及其行使限度、数据接受方的权利边界与权利内容等重大争议问题。
一、数据共享的必要性与合法性
数据共享是数据收集者将自己所收集的数据与他人共享,在收集者与分享者之间形成的一种合同关系。区别于传统财产形态,数据具有物理属性上的非消耗性以及共享边际成本几近于零的特征。他人对数据的再次利用并不影响原数据处理者对数据的正常加工使用,是典型的共享性资源。有别于有体物“一物一权”的支配性特征,数据具有“一数多权”的属性,其天然的非物质客体性和多元主体性决定了,数据的流通共享是实现数据价值有效挖掘利用的重要方式。由于数据使用的边际成本极低,因此数据资源的共享而非独占成为必要趋势。
过去,财产的价值来源于交换,而在未来,其价值并非源于交换而是共享。“所有”为中心的观念将被以“利用”为中心的观念取代,这也是从物尽其用到数尽其用的必然。第263号指导性案例中的关联账号服务,便是典型的数据共享行为。它不仅降低了因多次登录和多账号管理带来的不便,还可以通过数据的流通复用与整合,实现信息的及时更新与内容的对比分析和重复利用。可见,通过开放接口方式共享用户登录必要数据具有相当的必要性与合法性。具体而言:
第一,通过开放接口共享必要数据符合民法意思自治原则。《中华人民共和国民法典》第五条规定,“民事主体从事民事活动,应当遵循自愿原则,按照自己的意思设立、变更、终止民事法律关系。”基于用户授权的数据流通和共享行为,正是意思自治原则在数字世界的体现。用户在使用关联邮箱账号、微信一键登录等功能时,平台往往会通过弹窗的方式告知用户即将共享必要的个人信息(如头像、昵称等),用户通过点击“同意”或者“取消”来自主决定是否触发数据共享机制。在此基础上,通过开放接口共享数据的行为是符合用户意愿,应当被允许的。同时,数据具有较大开发潜力,可以为了同一目的而被多次使用,也可以用于其他目的。典型例证为ReCaptcha数据再利用的经验。Luis Von Ahn在最初发明验证码的时候,设计的主要用途是证明用户是人而非机器,但它后来产生了第二个目的,即破译数字化文本中具有识别难度的单词。通过开放接口进行数据共享,恰恰为发现数据的巨大潜能提供了可能路径。如果数据被牢牢锁在各自的“数据孤岛”中,其潜在价值将永远无法被激活。
第二,通过开放接口共享必要数据有利于用户对多账号进行统一管理,降低用户频繁注册与多平台管理的成本,保障来源者复制和转移由其促成产生的数据的权利。在数字化生存已成为常态的今天,每个用户都面临“账号爆炸”的困境,频繁注册和记忆数十个甚至上百个平台的账号密码是一项巨大的管理负担。开放接口授权服务的一键登录和关联账号功能,很好地节省了用户的管理负担,特别是在登录小程序或者第三方应用的场景下,相信有不少用户会选择微信一键登录功能。用户只需点击授权按钮,即可在3~5秒内完成登录,省去输入手机号、获取验证码并记忆密码的步骤,大大简化了操作流程、降低了记忆负担。可见,基于数据共享的简便化、集中化账号管理方式,有利于用户统一管理账号,显著降低了管理成本,改善了用户体验和福利。正如最高人民法院在指导性案例263号中表达的那样,某网络信息公司作为数据处理者虽然对数据库有实质性投入和贡献而享有受法律保护的权益,但不得阻碍用户对已获取简历数据的合理处置。在用户授权下将已合法获取的数据跨平台转移,属于正当行为。
第三,通过开放接口共享必要数据符合中共中央、国务院《关于构建数据基础制度更好发挥数据要素作用的意见》(下文简称《数据二十条》)“坚持共享共用,释放价值红利”的原则与精神。《数据二十条》是我国数据要素市场的纲领性文件,其主线就是“促进数据合规高效流通使用、赋能实体经济”。对于社会而言,通过开放接口共享必要数据降低了数字社会的信任建立成本和交易成本。对于产业而言,通过开放接口共享必要数据使得中小企业能够快速、低成本地建立用户信任体系,将资源更集中于业务创新。对于个人而言,通过开放接口共享必要数据在保障安全和有效授权的前提下,使用户通过数据共享获得了切实的便利与服务提升。因此,数据共享是实现数据从资源到要素转变的关键路径,符合国家推动数据要素市场化配置的战略方向。
第四,通过开放接口共享必要数据有助于促进市场竞争、提升服务质量。一种常见的误解是,大型平台的开放接口会强化平台垄断地位。但与数据携带权可以部分消除“锁定效应”进而促进竞争相类似,通过开放接口共享必要数据同样可以实现通过竞争提升行业服务质量的作用。试想如果招聘企业一旦选择了某个招聘网站,就与该网站永远绑定,即使发现该网站交互界面不便捷、安全措施不严密、客服响应不及时,也会因为数据重建成本过高而不得不继续使用该网站,那么网站难免丧失持续优化的动力,招聘企业也将面临服务的不效率。相反,如果招聘企业可以自由转移相关数据,这将倒逼网站对其运维服务作出必要改进,激励网站进一步投资以提升数据价值,进而提高市场竞争和服务水平。因此,规范、公平的开放接口是促进市场良性竞争的有效工具。
需要强调的是,通过关联账号等开放数据接口共享数据与数据爬取行为不同,前者是在用户授权和平台许可框架下、以身份验证和数据整合为目的的数据交互共享行为;而后者则是通过自动化程序从公开或非公开来源抓取数据的过程。从实现方式上看,关联账号服务的数据获取行为基于用户授权启动,并通过官方提供的、标准化的应用程序编程接口进行,所有操作均在平台规定的权限和速率限制内完成。然而,数据爬虫则是自动提取数据的过程,它通过发送HTTP请求到目标网址,解析返回的HTML、JSON等格式的代码来获取所需内容,未获得被爬取网站或者信息主体的授权同意。本文讨论的是第一个层面的开放数据接口行为的合法性问题,不可以此类推适用数据爬取的场景。
二、数据接收方的数据财产权
与实体物不同的是,数据财产在物理属性上具有非消耗性与非排他性。因此,传统的独占性规则不再奏效。数据上的“多重持有”与“多重使用”现象并不特殊,甚至是常态。那么需要进一步回答的是,是否需要人为地设置数据在法律上的稀缺性,在数据提供方和数据接收方之间择一保护?抑或同时肯定数据来源者、数据提供方和数据接收方等各方主体的平行权利/权益?
一方面,用户作为数据来源主体,数据接收方的数据财产权以取得用户有效授权同意为前提。以网易邮箱大师为例,根据《网易邮箱隐私政策》,邮箱服务将收集以下三类用户信息:一是用户提供的信息,包括:(1)用户在注册网易邮箱账号、网易邮箱大师号(以下统称“大师号”)或使用大师号产品时,向网易提供的信息;(2)用户通过大师号产品向第三方提供的共享信息,以及用户使用大师号产品时所存储的信息,包括邮件信息、文件信息;(3)当用户使用网易邮箱APP添加第三方邮箱账号时提供的信息。二是第三方共享的信息,亦即用户使用邮箱大师产品时在关联第三方过程中由该等第三方向网易提供有关用户的共享信息。包括当用户使用微信账号进行登录时,网易将从微信收集用户使用的微信账号、昵称和头像。三是用户在使用大师号产品过程中产生的信息,包括日志信息、设备信息。邮箱大师服务提供者在明确告知且取得用户有效同意的基础上,对前述三类数据享有合法的持有、使用和经营权益。
另一方面,数据接收方作为数据的继受处理者,其权利范围可根据数据接收方与提供方的约定加以确定。如果双方没有约定或约定不明的,原则上由双方平行享有数据持有权和使用权,数据接收方对有实质性投入和贡献的新数据享有数据经营权。正如前文所述,数据在物理属性上具有非消耗性,且数据的流通共享也不会影响其他数据处理者对数据的加工利用。因此,不可类推适用《中华人民共和国民法典》第三百二十二条关于加工、附合、混合物的规则(按照充分发挥物的效用以及保护无过错当事人的原则确定),规定由最能发挥数据效用的一方享有数据持有、使用和经营的权利。与物最大的差别是,将数据开发利用的权利分配给某一方并不会影响另一方当事人权利的实现,此时并非零和博弈而是正和博弈的问题。通过开放数据接口服务共享数据的提供方和接收方之间,既非物的绝卖关系,也非委托处理关系,而是基于协议的平行开发问题。我们不妨参考《中华人民共和国民法典》第八百六十一条关于委托开发或者合作开发成果的规定(委托开发或者合作开发完成的技术秘密成果的使用权、转让权以及收益的分配办法,由当事人约定;没有约定或者约定不明确,依据本法第五百一十条的规定仍不能确定的,在没有相同技术方案被授予专利权前,当事人均有使用和转让的权利),肯定数据提供方和数据接收方均有持有和使用数据的权利。数据接收方不得对外提供原始数据,但可以经营有实质性投入与贡献的新数据。这既有助于建立稳定的交易秩序,又有利于数据要素价值的最大化实现。
当然,如果双方的约定明显不合理,则此类约定无效,按照没有约定的规则处理。例如,某平台规定,开放平台运营数据的所有权及其他相关权利均属于平台,且是平台的商业秘密。事实上,开发者在前述开放平台运营数据的形成过程中发挥了必不可少的作用,具有实质性贡献且此类数据对于开发者正常的经营活动必不可少。如果按照平台协议的规定,完全排除了开发者对运营数据的利用权利,不符合《数据二十条》确立的“坚持共享共用,释放价值红利”的精神。因此,对于非由平台直接提供的而是开发者自行产生的数据而言,开发者可以平行持有、使用和经营此类数据。此时,开发者的角色就类似于电商平台的经营者,可以与电商平台平行持有销售活动中形成的数据。
又如,某平台规定,未经平台同意的情况下,用户不得将已授权本平台的数据再次授权给其他平台使用。此类规定是对于用户数据权益的限制,侵害了用户对其个人数据享有的复制、转移、使用等法定在先权益,视为无效的约定。
需要强调的是,数据财产权的权利内容和权利边界因权利客体是原始数据抑或衍生数据而不同。在深圳市腾讯计算机系统有限公司等诉浙江搜道网络技术有限公司等不正当竞争纠纷案中,杭州铁路运输法院表示,平台就数据资源整体概念而言,依法享有竞争性权益;但就平台单一数据个体而言,仅享有有限使用权。可见,数据提供者并不享有用户数据的经营权,而只能基于用户协议的约定享有有限使用权。数据提供者基于开放协议向第三方分享原始数据的,其法律基础在于用户授权而非数据提供者的自由意志。数据提供者仅能对衍生形成的数据,主张经营性利益。
三、数据接收方的权利限制
在肯定数据流通共享必要性和合法性的背景下,强调对数据接收方的权利进行必要限制,是防止数据被滥用、维护数据秩序的关键一环。
首先,虽然通过开放接口获得数据的接收方根据行业惯例可以平行获得一份相同的数据,但原平台可以在合作之初,通过技术手段设置不可复制的认证规则,实现严格的“每次认证”。虽然接收方根据行业惯例可以平行获得一份相同的数据,但从自由原则出发,原平台依旧可以通过技术设计,确保每次身份验证请求都必须实时地、不可绕过地向其发起。接收方无法将一次认证获取的令牌或信息简单复制后,用于另一个未经验证的业务场景,有效防止了数据的超范围采集和沉淀,从源头杜绝了“一次获取,永久使用”的数据囤积行为。
其次,数据接收方权利的行使以不侵害来源者权益为前提。数据转移行为须严格受制于数据来源者对个人信息处理范围的预期。即便数据使用者通过用户授权、平台协议或者法律规定合法取得相应数据,但其使用和转移数据的权利仍不能超越用户初始授权的目的和范围(就新用途另行获得用户授权的除外)。以指导性案例263号为例,招聘企业通过关联账号服务将简历数据从甲网站转移到乙网站的行为,同样属于招聘公告所述之目的;若其转移行为不是服务于本次招聘目的且未经过用户授权,而是以出售简历数据营利或者假借招聘之名进行营销,则超出了求职者对个人信息处理范围的预期,不仅侵犯了其个人信息权益,还违反了网站协议的约定。
最后,数据接收方权利的行使不构成不正当竞争。数据转移行为不得妨碍、破坏关联平台的正常运行,也不得以违背商业道德的方式扰乱市场竞争秩序。在指导性案例263号的裁判说理部分,人民法院专门回应了某信息公司经招聘企业授权获取、保存、使用关联网站简历数据行为不构成不正当竞争的原因。首先,某信息公司在数据转移过程中,不存在引诱、强迫招聘企业的情形。关联账号服务的启用,需要招聘企业自行选择,并通过输入关联网站账号、密码的方式主动发起,有清晰、明确的意思表示。其次,关联账号的功能在于无需另行验证即可登录网站,在此过程中转移数据不会破坏关联平台的信息系统,不会带来安全负担。最后,数据接收方若借此数据转移实质性替代原平台服务、攫取用户流量、削弱其竞争优势,或者违反公认的商业道德,则可被认定为不正当竞争。但指导性案例263号案中,某信息公司的关联账号服务虽然会给某网络公司带来一定的流量损失,但这属于市场竞争中的正常用户流失,且这一服务内容本身可以给用户带来使用上的便利,不属于违背商业道德的不正当竞争行为,尚未达到需要司法救济的程度,因此得到法院的认可。
综上,数据的价值在于共享流通,而不在于独占取得。因此,我们需要探索在保障来源者(用户)权益、保护数据提供者合法利益前提下的数据共享流通规则,实现充分激活数据要素价值,赋能实体经济发展的目标。
本文来自微信公众号“Internet Law Review”,作者:包晓丽,36氪经授权发布。
