论开放平台授权登录数据共享中的平台方利益
作者:姚欢庆
来源:《中国知识产权》2019年第04期
随着互联网行业的发展,互联网开放平台作为一种经营模式已经成为越来越多大型互联网公司的发展战略,互联互通和数据共享也随之不断普及。相比传统意义上的用户与服务商两方之间的直接数据交互,开放平台中因涉及到用户、开放平台方以及第三方,关系更为错综复杂,利益平衡也更为困难。本文试图从分析开放平台中三方的权利义务出发,理清各自的权利边界,对开放平台中平台方利益的保护及其边界进行探索。
随着互联网行业的发展,互联网开放平台作为一种经营模式已经成为越来越多大型互联网公司的发展战略,互联互通和数据共享也随之不断普及。相比传统意义上的用户与服务商两方之间的直接数据交互,开放平台中因涉及到用户、开放平台方以及第三方,关系更为错综复杂,利益平衡也更为困难。本文试图从分析开放平台中三方的权利义务出发,理清各自的权利边界,对开放平台中平台方利益的保护及其边界进行探索。
开放平台概述
开放平台首先提供一个基本服务,然后通过开放自身接口,使得第三方开发者得以通过运用和组装其接口以及其他第三方服务接口产生新的应用,并且使得该应用能够统一运行在这个平台之上,我们把这样的一种网络服务模式叫做开放平台。1
在国外, Facebook于2007年5月推出开放战略,并成为全球最大的开放平台。随后谷歌、微软等互联网企业也都纷纷推出自己的开放平台战略。在国内,2008年人人网、道客巴巴等企业宣布建立开放平台,开拓尝试开放平台的运营探索。2010年5月,开心网正式推出开放平台,随后相继有网易、盛大、百度、新浪纷纷推出开放平台,开放平台成为共识,也使得2010年成为中国互联网企业大规模开放的一年。2011年奇虎360和腾讯也分别开放了各自的平台,至此,国内大型互联网企业全部完成了平台的开放,开放平台模式成为互联网发展不可阻挡的大趋势。而且,随着传统互联网向移动端的过渡,移动互联网企业开放平台也将成为未来趋势。2
开放平台授权登录数据共享中的利益平衡
授权登录服务是开放平台提供的服务之一,其功能是使用平台方的账号进行登录,省去复杂而繁琐的注册账号,完成多个平台之间的打通。授权登录服务的价值主要在于:一方面,为用户登录第三方应用提供快捷、安全的登录服务,用户在无需另外注册第三方应用账户、不用向第三方应用提供其个人注册信息的情况下,仅使用平台方登录方式就可以便捷、安全地登录
第三方应用;另一方面,在确保开放平台数据安全的前提下,為第三方应用提供用户鉴权、身份识别服务,并授予其获取用户基本信息等数据的权限,以便于第三方应用快速吸引用户登录并使用其产品,迅速扩大产品用户群。与用户直接在第三方应用进行注册登录不同,第三方应用是通过开放接口从开放平台获取数据,而该数据经由开放平台合法收集后已经属于开放平台数据的一部分。
开放平台在提供授权登录服务功能时,至少有三方主体,即用户、平台方和第三方的共同介入,同时存在用户上传平台的数据为第三方利用的问题,因此在法律上需要考察这些登录数据在三方主体之间流动时各自的权限。三方主体在登录数据问题上存在各自的利益考量:用户在获得登录便捷性的同时,会在意自己的个人信息和隐私保护;第三方在利用平台获取用户的同时,往往认为自己已经获得用户同意而要求平台提供用户的登录数据;平台在收集数据后则需要考虑数据控制、提供登录便捷性与用户个人信息保护等多个利益。在这些利益考量中,最容易浮出水面并引起争议就是第三方与平台方之间就用户登录数据共享产生的博弈。
笔者认为,授权登录中具体的利益平衡机制可以从以下几个角度着眼:
第一,三方主体的核心利益应当得到满足和保障。就用户而言,其个人信息权应该得到保障。就第三方而言,其通过开放平台获得用户身份识别并提供服务的需求得到满足。就平台方而言,基于平台获得的数据控制应该得到保障。
第二,考虑三方主体在整个平台授权登录过程中的获益。首先,从用户看,其获得了便利快捷的登录和服务。从第三方看,授权登录的快捷性使得用户有更多了解第三方的意愿和可能,有助于第三方积攒用户和提升产品使用量。
第三,要考虑三方主体在此过程中的额外付出。首先从用户看,无论是否通过开放平台,其都必须提供必要信息方能使用第三方应用,因此用户并无额外付出,甚至因为授权登录功能,使得用户可以更为方便快捷地享用第三方的应用服务。从第三方看,其需要履行必要的平台注册认证手续后方能接入开放平台,这是由于授权登录的用户数据来自于平台的直接调用,并非用户新数据的提供。从平台看,因为该等数据是从平台的数据库中以更便捷的方式整合后进行提取、调用和复制,平台方负有建立开放平台、整合和调配数据、审核和接入开放者、进行开放指引和培训等付出。
基于以上三个方面的考量,在授权登录制度下,三方主体的核心利益得到了保障,并共同利用开放平台获得了各自的利益实现,形成了一个共赢的商业模式。但就用户上传平台的登录数据,鉴于这些数据是平台方在用户利用开放平台时获取并存储,并非第三方首先获取。无论出于对用户个人信息的保护,还是平台控制合法获得的数据的当然权利,接入平台的第三方只能自己从用户处获得这些登录数据,而无权在用户同意的“旗号”下要求平台直接迁移。赋予开放平台对于其合法获取的数据的控制权,以及开放平台功能实现基础上的自主经营权和决策权,是实现三方利益有序平衡和相应的商业模式正常运转的重要前提和保障。
平台方限制第三方利用授权登录数据的合理性分析
目前,现实中存在部分第三方获取数据之后拒绝按照开放平台的使用协议进行使用的情形,第三方往往会主张:“我已经获得了用户授权,平台方对于数据的使用没有干预权。”支持这种观点的意见认为,在考虑第三方行为的正当性与否时,用户意志的违反是具有重要权重的考虑因素。经过用户授权后自动化处理的数据移植,平台方没有过多的干预权。笔者对此意见不能苟同,一方面用户享有个人信息权,但并不享有对基于个人信息产生的数据的积极控制权;另一方面,平台方对第三方开放授权登录时进行使用范围的限制具有合理性。
首先,用户意志在通过平台数据接口进行数据传输的过程中当然具有重要作用,但这仅为必要条件而非充分条件。用户对于其个人信息的使用范围具有控制权,在第三方开发者需要利用用户信息时,经过用户授权是正当必经的过程。但用户并不享有要求平台方向其他第三方直接迁移平台控制的数据的权利。用户固然拥有个人信息权,因此有权自己删除或者禁止开放平台利用个人信息,甚至要求开放平台给用户提供其个人信息数据。但基于个人信息权并不意味着可以指令合法拥有个人信息数据的开放平台向第三方转移数据。即便是在个人信息保护最严格的欧盟,在《一般数据保护条例》规定了“数据可携带权”,也没有赋予用户这样的权利。依照欧盟的规定,“可携带权”是指如果数据主体向某数据控制者提供与其有关的个人数据,那么该数据主体有权从该数据控制者处获取结构化、通用化和可机读的上述数据;同时,数据主体有权将这些数据转移给其他数据控制者,原数据控制者不得进行阻碍。其反映的是数据主体可以向平台请求获得“用户信息”的可机读的数据格式,然后自己将这些数据转移给其他数据控制者。这种情况下,依然需要通过两个步骤,即平台方将数据交给用户,用户自行将数据交给第三方。即并未给数据控制者加诸根据数据主体的要求直接将数据提供给其他数据控制者的义务。可见,世界各国的法律与实践并没有将用户意志或用户授权作为处理开放平台中数据流动的唯一准则。
其次,从对用户利益的保障上看,用户意志并不因为保护平台方的利益和/或遵守平台方的规则而受到损害。用户有充分的自决权可以选择自己到第三方应用上传同样的信息,第三方开发者也可以选择不接入开放平台,依赖自身从用户处获得原始信息和数据。这些不涉及到平台方的行为,平台方无权干涉,其使用范围和目的只需符合双方的约定即可。平台方唯一限制的仅为平台方存储的数据的流转和使用范围,对于用户个人信息的使用范围并未予以不恰当的限制。
再次,就第三方与开放平台的关系而言,第三方从平台调用数据,是因为平台授权方能实现的,理应受平台方开放协议的约束。简言之,由于信息提供与数据来源的可分离性,第三方开发者既要获得用户对于信息内容使用范围的授权和限制,又要获得平台方对于承载信息的数据包的使用范围的授权和限制,两种授权不能偏废。
最后,从平台方的付出看,平台经营者获取用户数据需要付出先期投入和沉淀成本,且在平台运营中要进行大量数据处理,因涉及到用户逐一授权的限制,开放平台登录难以实现批量调动,但是从整个平台发生的调取数据量以及平台方与第三方整体合作层面看,该等快速调动
