社交软件场景下的数据利益分配规则

原标题：社交软件场景下的数据利益分配规则

　　数据权属的问题，究其根本，是一个数据之上不同相关主体利益如何分配的问题。在数据的产生、收集、处理、利用、共享等链条中，会出现不同的利益相关方，进行不同的要素投入，并有可能对数据从不同角度提出利益诉求，例如基于民法、不正当竞争原则条款等法律依据，主张获得法律上认可保护的法益。数据利益分配需要通过场景化的讨论来获得更加清晰的规则，并提供进一步形成抽象规则的可能性。社交软件作为用户登录渠道的数据冲突事件，提供了一种可供分析的典型场景。

　　一、数据利益分配涉及的不同主体

　　个人数据可以被认为是数据利益分配的一个特定情形，并且基本已经在国内外立法和实践中达成共识，即与识别个人身份有关的数据，根据其与主体的特定联系，可以由个人来取得相应控制权，控制的具体表现形式可能根据不同的立法例和实践模式有所不同，以被称为“史上最严”的欧盟《一般数据保护条例》（GDPR）为例，个人针对其个人数据的权利包括同意权、访问权、更正权、删除权（即被遗忘权）、可携带权等。

　　因此，在与个人身份识别相关度较高的领域，个人作为一种主体，对于其个人信息或数据的权利/法益已经获得确认，尤其是因为通常被认为具有人格属性，而具有相对较高的法律价值位阶。但是，如前所述，如果说个人是数据产生和利用的一个输入要素，那么在数据的整个生产、加工、流转的产业链中，有很多其他主体也进行了要素投入，对于作为产出的数据，也都产生了控制甚至是排他控制的权利诉求，从而引发了多种形式的数据冲突和利益分配的主张。

　　在实践中，个人数据通常会被商业主体进行收集、处理、加工、集聚，而成为一种经营性资产，在很多领域有可能成为体现核心竞争力的资产，而对这些数据的争夺，会成为其他企业进行用户推广、精准营销等的重要助力。但是由于数据并未在立法中明确法定权利的地位，主要是通过司法实践的个案探索，运用法律一般原则条款进行准赋权性质的保护，因而具有相当大的不确定性，企业对于数据的控制主张，是否可以得到法官的认可，需要取决于具体的事实情况，和相关的各种利益权衡，而不能认为在法律上必然成立。

　　二、个人数据利用行为正当性认定中的用户意志

　　目前看来，通过反不正当竞争法原则条款来认定的不正当数据利用行为，如典型的微博诉脉脉案，还需要特别考虑数据获取方对于用户主观意志的违反，该案中三重授权原则的提出，一方面考虑的企业的诉求，但是用户意志的违反依然是具有重要权重的考虑因素。可以认为，微博诉脉脉案的结论是建立在未经用户许可这一前提之上的。

　　在社交软件的众多数据利用场景中，较为典型的恰恰是经过用户同意/授权，甚至是用户主动发起的对自己数据的获取行为。以通过调取社交软件数据进行新账户的注册或登录行为为例，用户在注册或者登录A软件的账户时，为了方便起见，有可能选择B社交软件的账户直接注册或者登录。实践中，微信是最常见的被用来注册/登录新软件的渠道，与利用手机号码或者通过选取个性化的用户名来进行注册或登录相比，微信注册/登录存在快捷、方便、自动登录等良好的用户体验，因而成为比较受欢迎的一种登录方式。微信也通常会通过开放数据交换端口，来为其他软件的用户提供这一登录渠道。

　　在这样的场景下，通过用户的主动发起，经过用户的授权，这一过程通常会调用到社交软件的昵称、头像等指向用户网络身份的数据，一般可以构成用户的个人信息。由于账户的注册和登录过程整体上是由用户来主导和控制的行为，社交软件在这一过程中主要承担了一个辅助性的渠道功能，通过一定程度的自动化方式，在接收到用户的指令之后，来辅助用户调用其个人数据，完成第三方账户的注册和登录。相对于用户手动设定昵称和上传头像图片的行为，利用社交账号登录的行为只是把其中一个环节转变为自动化处理，为方便用户“移植”自己的个人数据提供了技术手段。在GDPR里，这体现为用户的“可携带权”，对应的是企业需要根据用户指示承担提供“结构化、通用化和可机读的”数据、并向其他企业去转移这些数据的义务。

　　三、社交软件场景下企业数据利益的认定及边界