个人信息保护法生效后,“三重授权原则”还能继续适用吗?

个人信息保护法生效后,“三重授权原则”还能继续适用吗?

一、三重授权原则的来由

2016年,在新浪微博诉脉脉案中,“三重授权原则”首次被二审法院提出【北京淘友天下技术有限公司等与北京微梦创科网络技术有限公司不正当竞争纠纷二审民事判决,(2016) 京73民终588号】。在该案中,新浪微博主张脉脉的下述行为不当:

(1)未经新浪授权获取微博用户的职业、教育信息。脉脉通过新浪微博提供的OpenAPI获取新浪微博用户的数据。根据双方间的《开发者协议》,脉脉获得的是普通级别权限,只能获得用户ID、头像等数据,无权获得用户职业、教育信息。但由于新浪微博的技术缺陷,只拥有普通级别权限的脉脉通过其获取的接口同样也获得了用户职业和教育信息。

(2)在新浪终止脉脉的API端口,终止双方合作协议后,脉脉违反《开发者协议》,仍使用之前获得的微博用户数据。

(3)未经新浪同意,绕过API获取了非脉脉用户的新浪微博数据。

(4)将获得的非脉脉用户,与脉脉用户手机通讯录中的联系人关联,导致非脉脉用户的微博信息展示在脉脉用户的脉脉软件联系人中。

法院认为脉脉的两项行为构成不正当竞争:一是获取、使用新浪微博用户信息的行为;二是获取、使用脉脉用户手机通讯录联系人与新浪微博用户对应关系的行为。

法院的主要理由是:脉脉的信息获取、使用行为违反了双方间的《开发者协议》,未经新浪微博授权,或未经非脉脉用户同意,损害了消费者知情权等,且对公平竞争秩序构成了损害。同时,二审法院在裁判中提出企业获取数据应遵循“三重授权原则”,即互联网企业在OpenAPI合作开发时,应事先取得用户的同意再收集、利用相关信息。第三方应用基于OpenAPI合作模式利用用户信息时,除应取得网络平台提供方同意外还应再次取得用户同意。

随后的几年,“三重授权原则”成为企业数据获取民事纠纷审判的重要依据。

新浪微博诉脉脉案被评为“2016年度北京市法院知识产权司法保护十大典型案例”,这表明司法系统对“三重授权原则”的认可。

在淘宝诉美景案【淘宝(中国)软件有限公司与安徽美景信息科技有限公司不正当竞争纠纷一审民事判决书(2017)浙8601民初4034号】中,法院重申了网络运营者通过其他平台收集使用网络用户的信息受到“三重授权原则”的规制:【一审法院认为,依照网络安全法第四十二条规定的规定,“生意参谋”数据产品使用其他网络运营者收集的用户信息,不仅应获得其他网络运营者的授权同意,还应获得该信息提供者的授权同意,即作为第三方的淘宝公司使用天猫网用户信息,受“用户授权网络运营者+网络运营者授权第三方+用户授权第三方”的三重授权许可使用规则限制。】

2019年,在腾讯与今日头条纠纷的裁定书【天津市滨海新区人民法院(2019)津0116民初2091号民事裁定书】中,法院认为“三重授权原则已成为开放平台领域网络经营者应当遵守的商业道德”。

但,是否“三重授权原则”可以成为企业间获取数据的通用原则呢?尤其是在《个人信息保护法》生效后,在同意不再是唯一的合法性基础的情况下,“三重授权”是否总是合法正当的?适用的空间如何?

二、还能继续适用吗?

其实无论是在理论层面还是在实践中,对于“三重授权原则”的合法正当性和适用场景质疑不乏。

首先,对“授权”的质疑。在数据权属尚无定论的情况下,各方并没有“授权”的法定权利基础。《民法典》《个人信息保护法》并没有赋予个人—个人信息权,而是个人享有个人信息权益,既有人格利益,也有财产利益。

而对于企业所持有的个人信息数据,在法律尚未确认的情况下,法院不予支持企业的数据财产权。在淘宝诉美景案中,法院对于淘宝公司诉称其对涉案“生意参谋”数据产品享有竞争性财产权益的诉讼主张,予以了支持。法院认定的具有“竞争性财产权益”的对象是【“生意参谋”:使用的网络用户信息经过匿名化脱敏处理后已无法识别特定个人且不能复原,公开“生意参谋”数据产品数据内容,对网络用户信息提供者不会产生不利影响】的数据产品。

可见即使是匿名化脱敏处理后已无法识别特定个人且不能复原的数据产品,对于淘宝公司诉称其对涉案“生意参谋”数据产品享有财产所有权的诉讼主张,法院也没有予以确认,认为,财产所有权作为一项绝对权利,如果赋予网络运营者享有网络大数据产品财产所有权,则意味不特定多数人将因此承担相应的义务。是否赋予网络运营者享有网络大数据产品财产所有权,事关民事法律制度的确定,限于我国法律目前对于数据产品的权利保护尚未作出具体规定,基于“物权法定”原则,故对淘宝公司该项诉讼主张不予确认。

而新浪微博诉脉脉案法官在审判之后发表的文章中【张玲玲、田芬:《涉及用户数据信息商业利用的竞争行为是否属于正当的司法判断———评上诉人淘友技术公司、淘友科技公司与被上诉人微梦公司不正当竞争纠纷案》】将“三重授权原则”的表述改为了“三重同意原则”:【第三方应用通过开放平台例如Open API 模式获取用户信息时应坚持“三重同意原则”,以“用户同意”+“平台同意”+“用户同意” 的三重同意为原则,保护用户权益,维护互联网络的公平竞争秩序,实现数据经济的合作共赢。】

其次,是对适用场景的质疑,即,是否总需要三方“同意”?个人信息保护法规定了六项合法性基础,同意只是其中一种。是否需要取得用户的同意,需要依据具体的场景来判断。而三重“同意”中的用户同意只适用于基于同意处理个人信息的情形。

《个人信息保护法》第十三条符合下列情形之一的,个人信息处理者方可处理个人信息:

(一)取得个人的同意;

(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;

(三)为履行法定职责或者法定义务所必需;

(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;

(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;

(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;

(七)法律、行政法规规定的其他情形。

(个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等)

其一,对于“第一重同意”,主要涉及个人信息的收集和使用。个人信息的源头是个人信息主体,即个人用户。收集是个人信息处理的第一步,收集的合法性基础可以是上述合法性基础的任何一种。例如,A公司在取得用户的个人同意后收集、存储并使用其个人信息;或者基于合同,个人作为一方当事人,B机构为了履行合同所必需而收集存储并使用其个人信息;或者C机构基于法定义务或者法定职责收集和加工个人信息。

其二,对于“第二重和第三重同意”,涉及企业间个人信息的提供。提供行为的合法性基础也可以是上述合法性基础的任何一种。

例如,A公司向B公司提供用户个人信息,按照个人信息保护法第23条,A公司应当向个人告知B公司的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。此处的同意本文认为是第三重同意,但这里的第三重同意是应由A公司取得还是B公司取得,在实践中存在不确定性,理论层面有待深入研究。但关键是只有当此处的提供行为的合法性基础是同意的情形下,才需要取得单独同意。一般情况下前半句的告知义务是必须的,但法律规定要求保密的除外。

以下分情况举例:

不需要个人同意的情形:例如A公司为履行合同所必需向C公司提供个人信息,则无需第三重同意。

既不需要A公司也不需要个人同意的情形:A基于法定义务向D机构提供个人信息的,则无需第二重和第三重同意。

因此,“三重同意”根据个人信息处理的不同场景,不同合法性基础,可能在任何个人信息处理的环节都不需要“同意”。而在合规实践中厘清个人信息处理合法性基础的重要性可见一斑。

数据合规与治理 2021-12-15, 01:42

#个人信息保护法 #三重授权原则