我的數據誰做主？
——基于“頭騰之爭”對個人數據可攜帶權與企業數據權邊界的研究

□ 文 諶嘉妮

當前正在審理的騰訊訴抖音、多閃一案廣受關注。法院做出的裁定中對于其中在互聯網平臺上的用戶數據，尤其是經過企業加工后的數據產品，用戶是否擁有數據可攜帶權，以及這種數據可攜帶權與企業數據權的邊界在哪，尚不明確。本文從“頭騰之爭”案情出發，以原始數據與數據產品的二重架構為前提，分別討論企業數據權與個人數據可攜帶權，試圖建立用戶的個人數據可攜帶權與企業數據權的流動性鏈條，確保數據的自由流動，發揮數據價值。

一、案情梗概與裁定分析

（一）糾紛一覽

3月20日，天津市濱海新區人民法院公布了對騰訊訴抖音運營公司北京微播視界有限公司（以下簡稱“抖音”）、多閃運營公司北京拍拍看科技有限公司（以下簡稱“多閃”）涉嫌違規使用用戶數據一事申請行為保全的裁定結果，將“頭騰之爭”推向一個新的階段。抖音、多閃系今日頭條旗下產品，本案自二者糾紛伊始，就受到互聯網領域和法學界人士的廣泛關注，或有望成為國內互聯網企業數據與用戶信息保護領域的標桿性案例。

本次糾紛起源于抖音為了拓展用戶關系鏈，在抖音中以向用戶推薦其從微信/QQ中獲得的用戶頭像、昵稱等用戶信息，并且將騰訊提供給抖音的微信/QQ賬號授權登錄服務提供給多閃使用。多閃利用由抖音提供的微信/QQ的好友關系、群關系來擴充和壯大其用戶網和好友關系鏈。

騰訊認為抖音、多閃的行為既未經用戶明確授權、超越用戶授權范圍，違反了法律法規對于用戶信息保護的相關規定，也違反了微信/QQ平臺管理規則，強行使用騰訊的核心資源和競爭優勢，有違誠實信用原則和公認的商業道德，損害了騰訊的合法競爭利益和用戶的合法權益，破壞了自愿、公平的市場競爭秩序，其行為具有明顯的不正當性，已經構成了不正當競爭行為。

抖音、多閃方辯稱，其與騰訊之間不存在競爭關系，涉案行為不構成不正當競爭，其行為未違反誠實信用原則和公認的商業道德，不具有不正當性。此外，多閃無權未經用戶同意，擅自刪除用戶從抖音賬號同步到多閃的頭像、昵稱等用戶數據。

（二）裁定結果分析

法院認定雙方之間存在競爭關系，抖音、多閃的行為，存在構成不正當競爭的較大可能，裁定：一、抖音立即停止向用戶推薦好友時使用來源于微信/QQ開放平臺的微信/QQ用戶頭像、昵稱，二、抖音立即停止將已授權微信/QQ賬號的登錄服務提供給多閃使用(裁定生效前已通過微信/QQ賬號登錄方式登錄過多閃的賬號除外；三、多閃立即停止在多閃中使用來源于微信/QQ開放平臺的微信/QQ用戶頭像、昵稱；直至本案終審法律文書生效。

本案雖仍在審理中，法院頒布行為禁令也并不意味著騰訊的訴求都會被法院認可，但法院在裁定書中認定一些爭議值得討論：第一，關于平臺數據的歸屬問題，法院認為騰訊對于微信和QQ產品平臺上頭像、昵稱等用戶數據都屬于騰訊的商業資源。第二，關于用戶的數據可攜帶權問題，法院認可了騰訊公司《開放平臺開發者服務協議》（以下簡稱《協議》）中關于其開放平臺上的一切用戶數據權利屬于騰訊的條款以及未經騰訊許可任何人不得通過其服務收集、存儲、抓取、獲得或要求用戶提供用戶數據等條款的效力，此條款是否侵犯了個人數據可攜帶權，值得討論。

此番“頭騰”之爭，反映了我國目前互聯網數據行業的問題與數據權利法律保護的不足。大數據時代，數據日益成為企業競爭的核心，承載著巨大的經濟價值。其性質與權屬也成為各方關注的焦點。自1999年萊斯格教授首次提出數據財產權概念以來，中外學者紛紛對數據的權利進行探索與研究。有的學者站在個人角度從數據的人格權出發對個人信息進行保護，有的則立足于企業，認為為準確利用數據投入了巨大資源的企業有獨立的數據權。用戶在網絡平臺上產生的數據到底屬于誰？當數據引發糾紛時，如何界定用戶的個人信息權與企業數據權之間的關系？本文從“頭騰之爭”——騰訊與今日頭條旗下抖音、多閃數據糾紛案出發，將數據之上的個人信息權具體到個人數據可攜帶權，進一步研究個人數據可攜帶權與企業數據權的邊界。

二、企業數據權與個人數據可攜帶權各論

（一）企業數據權

在騰訊與抖音、多閃數據糾紛一案中，法院在裁定書中承認了騰訊對平臺用戶數據擁有權益，但這種權益的性質是什么并不明確。

目前，我國對于企業數據權的保護主要是基于合同法、知識產權法、或是反不正當競爭法進行的，現行立法并沒有明確將企業的數據界定為一種單獨的財產權。《民法總則》第127條規定：“法律對數據、網絡虛擬財產的保護有規定的，依照其規定。”這條規則承認了數據的財產屬性，但卻不甚模糊，既未指名數據的范圍，也未明確其權屬，僅為以后的立法預留了一席之地。由于缺乏法律直接明確的賦權，在實際操作中，為了數據付出巨大經濟代價的企業往往可能荒腔走板，通過不公平的用戶授權條例或者暗自將用戶知情同意原則進行默示化來規避法律，非常不利于數據的流動與保護。

在司法實踐中，從2015年的大眾點評訴百度不正當競爭案、2016年的新浪微博訴脈脈不正當競爭案再到2018年的淘寶訴美景公司侵權案，我國司法界一直在探索如何保護企業的數據權益，但由于沒有明確的立法支撐，法院也無法為其開創一個單獨的權利類型，而大多是依據《反不正當競爭法》第二條的“經營者的合法權益”來進行保護。

為解決立法的空缺與司法的尷尬，有學者提出通過立法為企業確立新型數據財產權來保護企業的數據權益。按照這種設計，企業對其合法收集、加工后的數據產品擁有獨立的管理、支配與經營的權利。這種權利不同于一般的財產權，類似于知識產權機制，但其功能和結構更加繁復，是一種新型財產權。

根據波斯納在《法律的經濟分析》中提到的事實上的財產權的觀點，市場上只要存在對某物的支付意愿，就應當認為該物具備了事實上的財產權。那么數據產品已經具備了經濟上的財產權地位。事實上，企業早已在實踐中行使他們的“數據財產權”，在淘寶訴美景公司侵權案中，法院判決中指出：網絡數據產品的開發與市場應用已成為當前互聯網行業的主要商業模式，是網絡運營者市場競爭優勢的主要來源與核心競爭力所在。隨著網絡大數據產品市場價值的日益凸顯，網絡大數據產品自身已成為市場交易對象，已實質性具備了商品的交換價值?！邦^騰之爭”的審理法院很明顯也認同這種說法，認為騰訊公司已經對數據享有事實上的財產權。

（二）個人數據可攜帶權

個人數據可攜帶權又被稱作為數據的移植權，是2018年實施的歐盟《一般數據保護條例》（General Data Protection Regulation，以下簡稱“《條例》”）確立的一項獨立的個人數據權利。《條例》第20條規定，如果數據主體向某數據控制者提供與其有關的個人數據，那么該數據主體有權從該數據控制者處獲取結構化、通用化和可機讀的上述數據；同時，數據主體有權將這些數據轉移給其他數據控制者，原數據控制者不得進行阻礙。個人數據可攜帶權的規定是為了防止企業在商業競爭中限制用戶利用、處理自己的數據，用戶能夠根據自己的意志自由的決定是否將個人數據攜帶至其他的數據控制商。

個人數據可攜帶權根源于數據自決權（informationelle Selbstbstimmung），指的是用戶可以自由選擇在何時何地以何種方式被誰收集、利用數據。個人數據可攜帶權對傳統的數據自決權做了深化和發展，賦予了數據主體以電子形式獲得自己的結構化數據的權利，不僅有利于強化個人數據保護，更有利于提高個人數據在大數據經濟中的活躍度，促進個人數據的流動與再使用。除了數據自決權，個人數據可攜帶權還包括數據傳輸權，數據主體不僅可以要求數據控制者將數據傳輸給其自己，還可以要求數據控制者將數據直接傳輸給第三方，對于這種傳輸，數據控制者應當不設任何阻礙（Without hindrance）。

對于個人數據可攜帶權的性質是人格權還是財產權，目前在我國學界存在著爭議，由于其被首次確立在歐盟的《條例》中，而《條例》是基于人格權角度對個人數據進行保護的，所以有人認為其應當屬于人格權。但該觀點有待商榷，且不論《條例》僅通過隱私權進行個人數據保護的角度是否周全，就如今數據行業的現狀而言，數據資產的價值主要就是通過其流動與轉讓產生的效益體現的：用戶的個人數據從一個平臺傳輸到另一個或者更多平臺上的過程中，數據本身在成倍繁殖與擴散，與此同時，數據帶來的財產收益也在成倍增長。根據波斯納的觀點，只有承認個人信息可攜權的財產屬性才能發揮數據的價值，有效地保護個人數據。

在本案的裁定中，法院僅僅提到了用戶知情權、隱私權和選擇權，忽視了用戶具有的個人數據可攜帶權，雖然是立法空缺的無奈之舉，但實際上用戶的個人數據可攜帶權在大數據行業中是及其重要的，賦予用戶個人數據可攜帶權就意味著用戶可以基于自己的意愿決定是否將自己的數據轉移到另一個數據平臺，而該平臺無權反對，甚至需要提供數據運輸的服務，如此一來，數據企業的利益勢必會受到一定的影響。

在數據的財產價值已無法忽視的情況下，承認數據的財產屬性就勢必要確立個人數據可攜帶權。對此，我們可以借鑒歐盟的《條例》以及其數據自決權的傳統，同時重視數據的財產屬性，建立一個完整的數據保護體系。

三、企業數據權與個人數據可攜帶權的交織與界分

個人數據可攜帶權與企業的數據權在數據市場中有著交織與矛盾的屬性。數據企業為了商業目的，大多會設置一些技術難題或者提高用戶的數據轉移成本，使用戶難以獲得全面的數據。一旦嚴格保護用戶的個人數據可攜帶權，擁有較大用戶數據的互聯網企業就無法鎖定大量用戶，其利益勢必受到損失。個人數據可攜帶權也會加劇數據企業之間的競爭，老牌的數據企業無法坐擁龐大數據庫而高枕無憂，他們將會時時刻刻擔心被新興的平臺取代。

以最近騰訊QQ銷號事件為例。3月20日，騰訊在最新推出的版本中允許用戶注銷QQ賬戶。用戶如果選擇注銷自己的賬戶，一同被刪除的不僅是用戶的好友關系、聊天記錄、個人評論、qq空間、相冊照片等個人數據，“q點q幣、財付通余額、理財產品和其他虛擬財產等也將終止服務”。其中就存在一個問題：當服務商單方面提出服務終止或者賬號注銷時，個人數據是否唯有一刪了之？數據企業是否應該提前告知并提供有效的個人數據保存與轉移服務？根據用戶的個人數據可攜帶權理論，QQ刪號事件中騰訊的做法已經侵犯了用戶的個人數據可攜帶權。因此我們可以進一步思考既然企業與用戶個人都對數據的權屬與流動擁有權利，那么這些權利該如何界分？

正如科斯所說：“缺乏清楚的產權界定，便不存在有效的市場”。明確個人數據可攜帶權與企業數據權的邊界成為數據流動規則建立的前提。關于個人數據與企業數據的界定，學者們意見不一，前面文中已有提及，本文以用戶的原始數據與產品數據的二重劃分為前提，著重討論如何根據數據的流動屬性來劃分個人與企業對數據流動的權利。筆者認為可以建立一套數據的流動性鏈條，個人數據可攜帶權處于上游，并且具有中心地位，擁有對原始數據以及對其進行初步加工的產品數據（指可以從產品數據中界定劃分出具有自身可識別性的數據）的可攜帶權。而企業處于下游，對其收集、加工、處理的數據擁有數據權，但這種數據權是受限制的。

個人數據可攜帶權的對象包括其原始數據沒有爭議，但是經過企業加工處理過的數據，用戶是否還能進行流動？要明確這個問題，首先要討論的是數據權基于什么從用戶手上流轉到企業？有觀點認為：基于洛克的勞動值得理論企業為用戶提供了優質的服務，用戶個人作為交換提供自己的個人數據。這種觀點并不合理。這是因為：一方面，平臺通過吸納用戶進行商業運營，在運營活動中實際已經獲取了經濟利益，企業的投入已經得到了回報；另一方面，社交網絡數據尤其是其中的登錄數據(用戶名、昵稱、頭像等)對用戶而言是不可轉讓的，這種數據即使被利用、加工、處理也不能改變用戶對其的權利，用戶始終有權決定該數據的去向。因此，盡管企業能對經過其加工處理后的數據產品享有權利，但這種權利并不能限制用戶個人，用戶不僅能夠決定其原始數據的流動傳輸，對于后續的數據產品中具有自身可識別性的內容仍然有攜帶權，并可以要求數據平臺提供便利的傳輸服務，該平臺無正當理由無權拒絕。

一昧將數據限定在個人的權利范圍內，不利于數據財產價值的發揮，但企業過度擴張自己的權利，將用戶的數據視為自己盤中之物，也會侵害個人的權益，最終也難以將數據的價值發揮到最大。

在數據驅動型的經濟發展趨勢下，應盡快界定用戶的個人數據可攜帶權與企業數據權之間的關系，建立完整的數據流動性鏈條，保障數據的自由流動，構建穩定高效的數據市場?！?/p>