查看原文
其他

涉外法律|企业间数据流动中的“三重授权原则”

闪涛律师团队 LEGAL EYE 看法见法 2024-01-09

关键词:区块链;人工智能;大数据;智能合约;涉外法律服务;专业律师


本期关键词:三重授权;数据安全;美国;个人信息保护


本文约1990字,大概需要阅读8分钟。


数据在数字经济时代重要性与日俱增,各大互联网企业之间对于数据资源的竞争也愈发频繁。2021年6月,Linkedln诉hiQLabs收集Linkedln公开个人数据争议一案迎来反转,美国最高法院驳回了下级法院禁止Linkedln阻止hiQ访问其用户公开信息的判决,并发回旧金山第九巡回法庭重审。网络数据平台中的个人信息保护是近年来备受瞩目的话题,目前我国对于这一方面的规制,主要遵循的是“三重授权原则”。


三重授权原则是哪“三重”?

“三重授权原则”是新浪微博诉脉脉案中二审法院提出的,针对第三方应用通过开放平台获取用户信息时应遵循的原则。


三重授权原则的“三重”,指的是“用户授权+平台方/公司授权+用户授权”。意思是:在开放平台对用户数据第一次收集、使用时需要获得用户的授权,这是第一重;在第三方应用通过开放平台间接获取用户数据时需要获得平台方的授权,这是第二重;并且,还需要再次获得用户的授权,这是第三重。之所以需要在第三方应用再次收集信息时再经过第二重、第三重的授权,是因为“数据在流动、易手的同时,可能导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力,造成个人信息扩散范围和用途的不可控。”


三重授权原则的适用范围

目前,我国适用三重授权原则进行处理的案件比较有限,相对典型的案件有新浪微博诉脉脉不正当竞争系列案件,以及淘宝诉安徽美景科技不正当竞争案等,从中我们可以整理出三重授权原则可能的适用范围。


首先,“三重授权”原则适用于开放平台数据共享模式(OpenAPI模式)。OpenAPI是服务型网站常见的一种应用,平台将自身的特定技术服务以应用程序编程接口的形式开放出来,第三方应用开发者得以通过运用和组装其接口产生新的应用。OpenAPI通过《开发者协议》来约定双方的权利义务,同时,还通过该协议来实现保护用户数据信息。在这类场景下,第三方应用不仅需要同平台签署《开发者协议》以获得平台的授权,还需重新获取用户的再次授权以实现合法授权。平台作为用户个人信息的控制者,虽享有特定的数据权益,但在对外共享信息时仍需符合与用户签署的隐私政策的要求与约定。


其次,“三重授权”原则的适用还可能包括数据爬取模式,互联网平台获取数据一般通过两种方式:一种是通过商业合作进行数据交易或交换(如OpenAPI模式),另一种是利用爬虫技术自动抓取数据的模式。该种模式由于其效率高、成本低廉而获得了不少企业的青睐,但也同样面临着较高的法律风险。第三方应用开发者仅通过用户本人的授权便在信息控制者处进行数据爬取的操作极有可能被视为违反平台意志,侵害平台享有的数据产品相关权益进而被认定为构成不正当竞争。


另外需要明确的是,三重授权原则目前是对企业获取数据提出的较为严格的要求,是针对企业间数据流动而制定的相对高标准,对于公开数据的流动一般不涉及三重授权原则的适用。


企业间数据流动的比较法

欧盟:数据可携权

欧盟在GDPR中规定了“数据可携权”的概念,能够为企业间的数据流动规制提供一定的标准与启示。GDPR第20(1)规定:“数据主体有权获得由他/她提供给数据控制者的,与其相关的个人数据,该数据应是结构化、被普遍采用且机器可读的格式。数据主体有权将这些数据无障碍地从原数据控制者传输给其他数据控制者。”


GDPR这一条的规定更多体现了限制企业对于用户数据的排他性控制,从而促进数据流通、企业竞争、技术发展。相较于我国目前的“三重授权原则”,数据可携权的规则对于获取数据的企业要更加宽松,能够允许用户在不同服务提供者之间传输数据。


美国:数据红利共享制度为主,但存在分歧

类似欧盟的“数据可携权”,美国的“数据红利共享制度”也起到了允许用户在不同服务提供者间传输数据的效果。2011年美国首席技术官要求工业必须“以在线且可被机读的方式公布用户数据,并且不能限制用户对这些数据的再利用。”这一要求意味着用户的再使用行为无需经过企业授权,与数据可携权发挥了相似的作用。


但在司法实践中存在一定的分歧,Facebook诉Power Ventures案中,第九巡回法院认为:“在Facebook发送禁止信后,仅仅拥有用户的同意并不足以允许其继续进入系统。”也即是认为同时获得用户和数据持有方同意是第三方企业获得数据的必要条件。


Linkedln诉hiQLabs的判决正正与之相反,但目前Linkedln案件被发回第九巡回法庭重审,该案的重审结果很大程度上将影响美国未来对于数据流动规制严格程度的走向,还需耐心等待重审结果的产生。


小结


数据越来越成为互联网企业的必争之地,企业间数据流动的法律规制设计走向必然会影响各大企业的未来发展。各大互联网企业在进行企业间数据获取时,需要注意获取方式的合规,实现数据的合法交易与传输。




陆续更新,敬请期待



版权归闪涛律师团队所有,未经许可不得转载。

如认为本文侵犯版权,请及时联系闪涛律师团队。


往期回顾

涉外法律|平台经济的“新”型垄断:轴辐协议

数据安全 | 俄罗斯对Whatsapp违反个人数据法提起行政诉讼



继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存