查看原文
其他

用户授权第三方获取自己在平台的数据,可以吗?不可以吗?(DPO沙龙线上讨论第三期)

洪延青 网安寻路人 2020-02-26

编者按:

 

第三期DPO沙龙(数据跨境传输的良好安全实践)召开前【数据保护官(DPO)沙龙第三期报名开始】,DPO社群里面的讨论又是空前热烈。


本期话题是一个很烧脑的问题:用户将自己的平台账号和密码授权第三方公司并允许其访问、使用、处理用户数据,平台方是否有权提出救济?以何种权利作为请求权基础?


通常,受托人可以基于委托人的“授权”行使授权范围内的事项,然而用户对第三方商事主体的“帐号授权”是否适用民法范围内的“代理权”呢?这种授权行为会对其他主体构成侵害吗?如果有侵害,那应该以什么法作为权利请求基础进行保护和救济呢?让我们来听听他们是怎么说的吧!

 

薛颖抛出一个场景进行讨论:


平台A向其用户提供购物网站服务,在服务协议中约定,“未经A书面允许,用户不得对账户进行买卖、赠与、交换或其它交易,也不得将账号和密码提供给他人知悉或出借、转让、共享等”。(这种约定很常见)但是有用户为了获取B公司所开发应用中的理财服务,将自己在A平台的账号密码授权给B公司使用,由B公司来获取、访问和分析用户账号下的各种数据,例如消费记录等。


平台B的代理人说:我是得到了用户的明确授权“点击同意”,才拿到用户账号的登录权限并进入账号下看到用户数据,我为此向用户提供了更高额的金融理财咨询服务,因此我的商业模式是建立在与用户之间的合法有效合同上,也没有侵犯A公司的权利,和A公司也没有竞争关系,完全是不同领域的服务。我的业务和A公司没关系。


用户的代理人说:账号的处分权应该由号主说了算,用户账号的衍生数据,包括消费记录,属于个人信息,用户服务协议中那些不能处分账号的约定,是不公平的格式条款,应当无效。


用户主张:对个人信息,尤其是敏感个人信息的处分,享有绝对权,即“对世权”,不因合同约定而被克减。


B公司主张:可以把用户授权同意的过程均电子存证或公证,证明本公司是有权代表用户来处分账号下的数据的。

 

问题:作为A公司的代理人,现在该怎么主张权利和诉由?

 

洪延青答:


A公司可主张:


第一,根据事先约定,使用权仅为用户本身而非其代理,如果设立代理,也需要协商一致,为了安全风控。

第二,第二,因为当用户数据转移至B公司时,用户本身无法监管,因此A公司有理由拒绝在自身不知情的情况下用户将数据转移至B公司。

第三,A公司无法确定用户与B公司是否达成了真实的意思表示。

第四,A公司发现访问行为不是用户本身时,为防止黑客入侵,有权进行封阻。

第五,根据事先约定,本公司对于不知情的代理人都可以当成黑客,起诉非法入侵计算机系统罪。

 

薛颖问:


目前只能基于“不正当竞争”诉由。我理解,B现在主张获取A平台数据的合法性依据就是“数据主体授权”,即用户有权自由处分其账号下的个人信息,数据的占有、使用、收益、处分权都是用户的——既然数据资产是用户的,那A公司就不能主张A在用户账号下的排他性权利。要在诉讼中PK掉B公司,就需要驳斥这个“合法性依据”,即用户账号下的数据到底是谁所有的?以及这些数据上设置了哪些权利限制?


《个人信息安全规范》中,对于用户可以自行主张便携迁移给第三方的个人信息做了列举:基本资料和个人身份信息:健康生理信息和教育工作信息。也就是说,用户个人可以对这四类个人信息有极大的处分权,甚至可以对抗平台的用户服务协议。但是对其他数据,尤其是平台A在服务中产生的消费记录信息,就不是这么回事儿了。列举下面两个场景,进行进一步探讨:


场景一:如果A没有在服务协议中做约定,在爬虫协议中也没有完全禁止第三方应用的抓取数据,则应该推定用户是可以把户账户下的信息完全披露给第三方的?还是推定“不可以”?


场景二:在欧盟市场,用户可以直接主张数据便携权,把A平台账号下的数据迁移到B平台上。类比于中国,是否可直接规定: “除了《个人信息安全规范》中规定的能获取副本的那四类信息,其他的平台账号下的信息在未征得平台同意的情况下都不能自由迁移给第三方?”

 

洪延青答:


A可以主张:用户可以把信息通过口述给B,没问题。如果允许B登陆,那B的行为与个人使用行为并不一致,对我的服务器等的压力和随之而来的要求是完全不一样的。如果非要授权的,欢迎B和用户一起来我这,我们三家一起拿出合适的方案。

 

吴迪答:


有个问题需要先讨论一下,用户授权B公司使用其账号是否必然导致B公司获取数据不正当。我注意到,微信服务协议里说“微信帐号的所有权归腾讯公司所有,用户完成申请注册手续后,仅获得微信帐号的使用权,且该使用权仅属于初始申请注册人。同时,初始申请注册人不得赠与、借用、租用、转让或售卖微信帐号或者以其他方式许可非初始申请注册人使用微信帐号。非初始申请注册人不得通过受赠、继承、承租、受让或者其他任何方式使用微信帐号。”


同时,微信的《个人账号使用规范》里说:“ 数据获取、使用规范: 为了保护用户数据安全,腾讯禁止微信用户从事以下违规行为-1.4.1 未经其他微信用户明确同意,或未向其他微信用户如实披露数据用途、使用范围等相关信息的情形下复制、存储、使用或传输其他微信用户数据,侵害其它微信用户合法权益的。”


因此,B公司完全可以根据上述使用规范主张,其已取得了用户明确的同意,至于用户违反账号使用规范的行为,是用户和A公司之间的问题,和B公司无关。

个人认为,A公司其实可以考虑把argument的重点从数据权利内涵的讨论,转移到其服务协议的内容上。


A公司作为平台服务提供方,其服务协议中的服务范围中有可能直接或间接地包含了记录、处理并以特定的方式向用户展示与其有关的数据的内容,并且该项服务只提供给前述用户。比如微信服务条款第2.1条就规定了其服务范围,并在2.3条中规定,这些服务是个人的、不可转让。再比如法律数据库账号也只是授权给特定主体的,其他人也是无权使用这个账号检索的。


综上,A公司可以主张从服务协议入手,主张这些功能都是我提供给特定主体的,没有授权的无权使用。

 

方兴答:


本质上,数据是用户的,但数据在A厂商这里,用户有无权利要求A对自己指定的B厂商提供数据服务。个人觉得,数据是用户的是肯定的,但A厂商没义务对B提供服务,如果用户主张自己的数据权,A厂商可以提供数据导出功能给用户,用户拿到数据后自行处理和B的关系。本质是责任界面问题而非数据所有权问题。

 

Jason 问:


把用户换成C公司,好多商业模型中都有这种B公司,各种用户/C公司干不了或者懒得干的事,都让这种B公司去打理,有的时候A公司都不知道,和爬虫不一样,从权限管理角度A公司发现不出异常登录。咱们讨论的实际场景中的A是怎么获知B提供这个服务的?

 

薛颖答:


B的应用是公开可以下载的,都能看见如何要求获得A平台用户账号授权。另外,据说在技术上,当来自B平台的访问比较多的情况下,A平台能够监测到某些IP地址异……据说法官们也不知道该怎么办,但实践中已经有B公司这类应用出现在市场上了。

 

孟洁答:


首先,比较同意对人权与对世权的解释:虽然有一些个人信息是对世的,比如姓名、性别、身份证号等。但也有一些个人信息是对人的,比如平台基于自己的大数据分析或者算法所得出的用户的消费趋势或者行为轨迹,平台也是做出相关努力与贡献的,随随便便让第三方公司拿走这些数据(即使有用户授权)对平台也是不公平合理的,因为别人付出努力得出的数据第三方公司你凭什么坐享其成获取。


其次,也不清楚这种授权是基于什么真实的目的,比如用户为了获得很小的便宜,就让渡掉自己的数据,那第三方拿到数据以后很容易加工处理就为自己获得利益了,这对做出努力与贡献的平台方也是极不公平的。


当然,还有安全问题,怎么能确保用户的这些授权是真实有效的。平台也不可能花很大的代价一一进行确认。好么两权相害取其轻的方法,就是保护网络运营的安全,不允许用户本人以外的第三方登录。这个最好也需要进一步在用户协议中写明白为好。如果用户任意授权第三方登陆,那么就是用户违约了,也可以追究其违约责任。平台可以约定违约责任(赔偿损失或者其他形式)。根本不看用户协议(相当于合同)的用户,主张平台采取的是格式合同或者主张自己不知道不可以授权第三方用户名密码的,应当不予支持。


最后,同意上述责任界定应当与数据所有权归属区分对待的观点。即使数据权属是属于用户的情况下,一些特殊情况下也是不可以授权他人来行使的,比如说有法律限制授权的,比如说与人身权相关的,甚至与人身属性相关的财产权。虽然代理在民事活动中适用范围很广泛,但并不是所有的行为、所有的民事活动都适用代理。




关于DPO沙龙活动的有关情况,请见:


DPO社群成果

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)


线下沙龙实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南

  3. 数据保护官(DPO)沙龙第三期报名开始


线上沙龙见:

  1. DPO社群对数据堂事件的精彩点评

  2. DPO社群线上讨论第二期:“出售 & 提供” 个人信息之法律与实务对话


时评见:

  1. 数据安全事件时评第一期

  2. 数据安全事件时评第二期

  3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目:数据可移植性的开源计划

  4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存