涉外法律|企业间数据流动中的“三重授权原则”

“三重授权原则”是新浪微博诉脉脉案中二审法院提出的，针对第三方应用通过开放平台获取用户信息时应遵循的原则。

三重授权原则的“三重”，指的是“用户授权+平台方/公司授权+用户授权”。意思是：在开放平台对用户数据第一次收集、使用时需要获得用户的授权，这是第一重；在第三方应用通过开放平台间接获取用户数据时需要获得平台方的授权，这是第二重；并且，还需要再次获得用户的授权，这是第三重。之所以需要在第三方应用再次收集信息时再经过第二重、第三重的授权，是因为“数据在流动、易手的同时，可能导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力，造成个人信息扩散范围和用途的不可控。”

目前，我国适用三重授权原则进行处理的案件比较有限，相对典型的案件有新浪微博诉脉脉不正当竞争系列案件，以及淘宝诉安徽美景科技不正当竞争案等，从中我们可以整理出三重授权原则可能的适用范围。

首先，“三重授权”原则适用于开放平台数据共享模式（OpenAPI模式）。OpenAPI是服务型网站常见的一种应用，平台将自身的特定技术服务以应用程序编程接口的形式开放出来，第三方应用开发者得以通过运用和组装其接口产生新的应用。OpenAPI通过《开发者协议》来约定双方的权利义务，同时，还通过该协议来实现保护用户数据信息。在这类场景下，第三方应用不仅需要同平台签署《开发者协议》以获得平台的授权，还需重新获取用户的再次授权以实现合法授权。平台作为用户个人信息的控制者，虽享有特定的数据权益，但在对外共享信息时仍需符合与用户签署的隐私政策的要求与约定。

其次，“三重授权”原则的适用还可能包括数据爬取模式，互联网平台获取数据一般通过两种方式：一种是通过商业合作进行数据交易或交换（如OpenAPI模式），另一种是利用爬虫技术自动抓取数据的模式。该种模式由于其效率高、成本低廉而获得了不少企业的青睐，但也同样面临着较高的法律风险。第三方应用开发者仅通过用户本人的授权便在信息控制者处进行数据爬取的操作极有可能被视为违反平台意志，侵害平台享有的数据产品相关权益进而被认定为构成不正当竞争。

另外需要明确的是，三重授权原则目前是对企业获取数据提出的较为严格的要求，是针对企业间数据流动而制定的相对高标准，对于公开数据的流动一般不涉及三重授权原则的适用。

欧盟：数据可携权

欧盟在GDPR中规定了“数据可携权”的概念，能够为企业间的数据流动规制提供一定的标准与启示。GDPR第20（1）规定：“数据主体有权获得由他／她提供给数据控制者的，与其相关的个人数据，该数据应是结构化、被普遍采用且机器可读的格式。数据主体有权将这些数据无障碍地从原数据控制者传输给其他数据控制者。”

GDPR这一条的规定更多体现了限制企业对于用户数据的排他性控制，从而促进数据流通、企业竞争、技术发展。相较于我国目前的“三重授权原则”，数据可携权的规则对于获取数据的企业要更加宽松，能够允许用户在不同服务提供者之间传输数据。

美国：数据红利共享制度为主，但存在分歧

类似欧盟的“数据可携权”，美国的“数据红利共享制度”也起到了允许用户在不同服务提供者间传输数据的效果。2011年美国首席技术官要求工业必须“以在线且可被机读的方式公布用户数据，并且不能限制用户对这些数据的再利用。”这一要求意味着用户的再使用行为无需经过企业授权，与数据可携权发挥了相似的作用。

但在司法实践中存在一定的分歧，Facebook诉Power Ventures案中，第九巡回法院认为：“在Facebook发送禁止信后，仅仅拥有用户的同意并不足以允许其继续进入系统。”也即是认为同时获得用户和数据持有方同意是第三方企业获得数据的必要条件。

Linkedln诉hiQLabs的判决正正与之相反，但目前Linkedln案件被发回第九巡回法庭重审，该案的重审结果很大程度上将影响美国未来对于数据流动规制严格程度的走向，还需耐心等待重审结果的产生。