解锁数据孤岛：《数据法案》启示下三重授权原则的再审视与数据要素价值化的新思路

在数字化席卷全球的浪潮下，数据的价值和影响力日益增强，而如何在保障个人信息和促进数据流动之间找到恰当的平衡点，已成为我们目前面临的一大挑战。2016年的新浪微博诉脉脉案引入了“三重授权”原则，旨在严格保护用户的个人数据。然而，这一原则在实践中却引发了诸多问题，特别是在如地址核验等数据密集型应用场景中。其要求多方重复授权的做法不仅造成了效率低下，而且在一定程度上导致了“数据孤岛”的形成，从而阻碍了数据的自由流动和数据要素的价值化。相比之下，欧盟于2023年11月正式通过的《数据法案》，提供了一个更为灵活和现实的视角，强调大企业不应无理阻碍其他企业对数据的访问和使用，同时允许合理收费，以此促进数据经济的健康发展。本文旨在探讨这两种不同的数据处理原则，分析其优劣，以期为数据共享和个人数据权益的保护之间找到一个更加均衡和有效的解决方案。

2016年度北京市法院知识产权司法保护十大典型案例“新浪微博诉脉脉案”提出了企业获取数据应遵循“三重授权原则”，随后“三重授权原则”成为企业数据获取民事纠纷审判的重要依据¹。该案中，原告微梦公司经营新浪微博并向用户提供微型博客服务，被告淘友技术公司和淘友科技公司开发的脉脉软件和网站主要向用户提供移动社交服务。为了尽可能地向用户提供社交机会和交友服务，被告采取了关联与分析用户在原告所经营的微博服务中所收集的个人及其通讯录等数据的行为。事实上，原告与被告早先签订了行业领域所公认的开放平台数据获取协议（Open API），但原告在其对被告主张的四项不正当竞争行为指控中，提出被告超越开放平台数据获取协议非法抓取和使用用户信息，并“非法获取并使用脉脉注册用户手机通讯录联系人与新浪微博用户的对应关系”。北京知识产权法院在该案二审过程中认为，数据获取企业在通过开放平台数据获取协议模式获取个人数据时，应当获得“三重授权²”：

1.第一重授权：数据主体授权数据持有企业（例如新浪微博）共享其数据。

2.第二重授权：数据持有企业授权数据获取企业（例如脉脉）获取数据。

3.第三重授权：数据主体对数据获取企业的授权，允许其处理、控制和使用其数据。

“三重授权原则”系对《个人信息保护法》第23条个人信息提供的典型描述，具体指个人信息收集和利用均应取得“用户授权+平台授权+用户授权”，即平台收集和向第三方分享须充分告知并经用户授权，第三方获取和利用前述数据既要平台授权也要用户再次明确授权³。

“三重授权原则”下的授权链路

“三重授权原则”虽然试图在数据共享中保护用户权益，但在实践中可能带来效率低下、合规成本增加和创新限制等问题，笔者对其进行了总结：

1.影响数据流转速度：三重授权原则实质上要求用户两次授权，这可能导致数据流转过程变得繁琐和耗时。在快速发展的数字经济中，这种延迟可能影响服务效率和创新。

2.用户授权的重复性：用户需对同一数据集进行两次授权（一次给数据持有企业，一次给数据获取企业），这在实质上构成了重复授权。这种重复不仅增加了用户的负担，也可能导致用户对数据共享过程的理解和控制变得模糊。

3.合规成本的增加：为了符合三重授权原则，企业可能需要投入更多资源来确保所有授权步骤的合规性，从而增加了运营成本。

4.创新和竞争的限制：这一原则可能限制了小型和新兴企业的机会，因为它们可能缺乏资源和能力去遵守复杂的授权流程，从而影响了市场的竞争和创新。

5.数据隐私和安全风险：尽管三重授权原则旨在加强数据保护，但由于多个实体参与数据的处理和共享，可能增加数据泄露和滥用的风险。

1、《数据法案》之简介

欧盟委员会的数据显示，欧盟80%的工业数据从未被使用过，严重阻碍了数据经济的发展与企业创新水平的提升，为了应对这一现状，欧盟于2022年提出《数据法》（草案）。该法案经历了一年多的立法流程，2023年11月9日欧洲议会以压倒性多数通过了该法案，欧洲议会议员和成员国达成一致的《数据法案》旨在“确保数字环境的公平性，刺激有竞争力的数据市场，为数据驱动的创新提供机会，使所有人都能更方便地获取数据⁴”，即通过消除数据访问障碍来激励创新。该法案目前只需理事会正式批准即可最终确定，将在《欧盟官方公报》发布20个月后适用，即大概从2025年年中开始适用。值得注意的是《数据法案》中规定的权利和义务虽然以《通用数据保护条例》（GDPR）中第15条访问权为延申，但其立法条文的逻辑与创设的权利义务之间似乎关联性较弱，法案汇集了欧盟委员会认为需要完善数据管理规则的“拼凑”问题。因此需要明确的是，该法规的总体目标是以数据访问为核心释放欧盟数据的全部潜力，解决那些尚未解决的问题。正如欧盟议会在审议过程中所说，如果非要用两个词来定义《数据法案》的意义，可以明确地说是为了促进企业的“竞争力和创新”，消除工业界对数据的依赖，并在数据经济中提高获取数据的平等性，同时明确企业（B2B）、企业与消费者（B2C）以及企业与公共部门（B2G）之间使用数据的权利。

《数据法》为共享通过使用联网产品或相关服务（如物联网、工业机械）产生的数据制定了规则，并允许用户访问其产生的数据，意味着所有生产收集用户数据的硬件产品的公司都有义务向产品用户提供这些数据。该法规涵盖范围广泛，包括物联网产品制造商和在欧盟境内销售和推销这些产品的相关服务提供商。关联服务应理解为内置或连接到物联网产品的服务，如果没有该服务，产品将无法执行其功能。此外，还包括数据持有者，即有权利、义务或能力向欧盟境内的数据接收者提供数据的公司。数据接收方、公共组织和云服务提供商也包括在内⁵。这将有助于新服务的开发，尤其是在人工智能领域，因为算法训练需要大量数据，它还旨在降低联网设备的售后服务和维修成本。另外新法规定，在特殊情况或紧急情况下，如洪水和野火，公共部门机构将可以访问和使用私营部门掌握的数据⁶。中小型企业（雇员少于50人或年营业额少于1000万欧元）一般可免除数据共享义务⁷。

⁵https://www.lexology.com/library/detail.aspx?g=06a099c6-bf05-4f88-acae-4a1a854c59b0，最后访问日期：2023年11月21日。

⁶https://www.europarl.europa.eu/news/en/press-room/20231106IPR09025/parliament-backs-plans-for-better-access-to-and-use-of-data，最后访问日期：2023年11月20日。

⁷https://www.lexology.com/library/detail.aspx?g=9c80a297-7252-43a1-b535-a0965cabf21a，最后访问日期：2023年11月21日。

2、《数据法案》之启示

《数据法案》中详细规定了以访问权为核心的第三方共享个人数据与非个人数据的原则与适用，如第7条：“本条例规定数据持有者有义务应用户的要求向用户或用户选择的第三方提供个人数据。数据持有者应根据GDPR第6条中提及的任何法律依据，对其处理的个人数据提供此类访问。在用户不是数据主体的情况下，本条例不会为提供个人数据访问权或将个人数据提供给第三方创造法律依据，也不应被理解为赋予数据持有者任何新的权利来使用因使用连接产品或相关服务而生成的个人数据。”对于个人数据，该条款强化了用户对其个人数据的控制权，数据持有者必须响应用户的请求，向用户本人或用户指定的第三方提供个人数据。规定了提供个人数据的过程应遵守GDPR第6条提到的法律依据，包括数据处理的合法性、必要性、公平性和透明性等原则。在用户不是数据主体的情况下，本条例并不创造新的法律依据来提供个人数据的访问权。这意味着如果数据的实际主体（即数据关联的个人）并非请求数据的用户，数据持有者不必提供数据访问，但数据主体可以通过指定的方式，指定数据持有者向第三方进行数据共享。它不应被解释为赋予数据持有者使用因使用连接产品或相关服务而生成的个人数据的新权利，避免数据持有者在未经数据主体明确同意的情况下，超越GDPR规定使用个人数据。

第25条：“本条例并不妨碍各方就合同条款达成一致，从而排除或限制数据持有者使用非个人数据或某些类别的非个人数据。本条例也不妨碍各方同意直接或间接（包括在适用情况下通过另一数据持有者）向第三方提供产品数据或相关服务数据……在企业对企业关系中，本条例不妨碍用户根据任何合法合同条款向第三方或数据持有者提供数据，包括同意限制或约束进一步共享此类数据，或获得相应补偿，例如放弃使用或共享此类数据的权利。虽然"数据持有者"的概念一般不包括公共部门机构，但可能包括公共企业。”对于产品数据或相关服务数据，这一条款确认了各方在确定合同条款时的自由，允许他们在合同中约定排除或限制数据持有者使用特定非个人数据的条款。各方可以协商一致，同意直接或间接（可能通过另一数据持有者）向第三方提供产品数据或相关服务数据。这意味着数据的提供和共享可以根据合同条款进行，而不受该条例的限制。在企业之间的关系中，用户可以根据任何合法的合同条款向第三方或数据持有者提供数据。这可能包括限制或约束数据的进一步共享，或因放弃使用或共享数据而获得补偿。

第26条：“为促进出现流动、公平和高效的非个人数据市场，互联产品的用户应能够与他人共享数据，包括为商业目的共享数据，而只需付出最少的法律和技术努力。目前，企业往往难以证明准备非个人数据集或数据产品并通过数据中介服务（包括数据市场）将其提供给潜在交易方所需的人员或计算成本是合理的。因此，企业共享非个人数据的一个主要障碍是，对数据集或数据产品的整理和提供进行投资的经济回报缺乏可预见性。为了在欧盟建立流动、公平和高效的非个人数据市场，必须明确有权在市场上提供此类数据的一方。因此，用户应有权出于商业和非商业目的与数据接收方共享非个人数据。这种数据共享可以由用户直接进行，也可以应用户要求通过数据持有者进行，或通过数据中介服务进行。欧洲议会和欧盟理事会第 2022/868 号条例1 所规范的数据中介服务可通过在用户、数据接收方和第三方之间建立商业关系来促进数据经济，并可支持用户行使其使用数据的权利，如确保个人数据的匿名化或对多个个人用户的数据访问进行汇总。

如果数据被排除在数据持有者向用户或第三方提供数据的义务之外，则可在用户与数据持有者之间关于提供相关服务的合同中明确规定此类数据的范围，以便用户能够轻松确定哪些数据可供其与数据接收者或第三方共享。数据持有者不应向第三方提供非个人产品数据，用于履行与用户签订的合同以外的商业或非商业目的，但不影响欧盟或国家法律对数据持有者提供数据的法律要求。在相关情况下，数据持有者应通过合同约束第三方不得进一步分享从其处获得的数据。”该条款的核心在于降低法律和技术障碍，促进互联产品用户之间以及用户与第三方之间的数据共享，无论是出于商业还是非商业目的，但数据持有者不应将非个人数据用于履行合同以外的目的，除非有其他法律要求提供这些数据且应在合同中约定，防止第三方进一步共享从数据持有者处获得的数据。条款还提到数据中介服务的作用，这种服务可以帮助建立用户、数据接收方和第三方之间的商业关系，从而促进数据经济。

第30条：“用户应可为任何合法目的自由使用数据。这包括将用户在行使本条例规定的权利时收到的数据提供给提供售后服务的第三方，该售后服务可能与数据持有者提供的服务存在竞争，或指示数据持有者这样做。请求应由用户或代表用户行事的授权第三方（包括数据中介服务提供商）提交。数据持有者应确保向第三方提供的数据与数据持有者本身通过使用连接产品或相关服务能够或有权获取的数据一样准确、完整、可靠、相关和最新。在处理数据时，应尊重任何知识产权。重要的是，要保持投资于具有基于使用产品内置传感器数据的功能的产品的积极性。”该条款规定了用户有权自由使用其数据，包括将数据用于任何合法目的，这表明用户对于自己的数据拥有较高的控制权。用户可以将其数据提供给任何提供售后服务的第三方，即便这些服务可能与数据持有者提供的服务存在竞争。用户也可以指示数据持有者向这些第三方提供数据。数据的请求可以由用户直接或代表用户行事的授权第三方提交，这里特别提到了数据中介服务提供商。数据持有者应确保向第三方提供的数据在准确性、完整性、可靠性、相关性和时效性方面与数据持有者自己能够或有权获取的数据相同。

第33条：“获得数据的第三方可以是自然人或法人，如消费者、企业、研究组织、非营利组织或以专业身份行事的实体。在向第三方提供数据时，数据持有者不应滥用其地位，在数据持有者和第三方可能直接竞争的市场中寻求竞争优势……在与用户达成协议并遵守本条例规定的前提下，第三方应能将用户授予的数据访问权转让给其他第三方，包括以补偿为交换条件……”该条款规定第三方可以是自然人或法人，这包括消费者、企业、研究组织、非营利组织或以专业身份行事的实体。强调了公平竞争的原则，数据持有者在提供数据时，不应利用其地位在潜在的直接竞争市场中寻求不公平的竞争优势。在与用户达成协议并遵守本条例的规定前提下，第三方以某种形式的补偿作为交换条件，将获得的数据访问权转让给其他第三方。尽管第三方可以转让数据访问权，但这种转让必须基于与用户的协议，并且符合《数据法案》的规定，以确保用户利益的保护。

第35条：“GDPR第20条规定的接收和移植个人数据的权利。本条例赋予用户访问任何产品数据或相关服务数据并将其提供给第三方的权利，无论其作为个人数据的性质如何，也无论数据是主动提供的还是被动观察到的，也无论处理的法律依据如何。与GDPR第20条不同的是，本条例规定并确保第三方对其范围内所有类型的数据（无论是个人数据还是非个人数据）进行访问的技术可行性，从而确保技术障碍不再阻碍或阻止对此类数据的访问。它还允许数据持有者设定合理的补偿，由第三方（而非用户）支付在提供对用户联网产品所产生数据的直接访问时产生的费用。”该条款扩展了用户访问数据的权利，不仅仅局限于个人数据，而是包括了所有类型的产品数据或相关服务数据，用户有权访问和将这些数据提供给第三方，无论这些数据是如何产生的，确保第三方对所有类型的数据（无论是个人数据还是非个人数据）的访问在技术上是可行的，消除了技术障碍，促进了数据的可访问性。此权利适用于所有数据，无论是用户主动提供的数据，还是通过使用产品或服务被动观察到的数据。与GDPR第20条不同，第35条不限于特定的数据处理法律依据，用户的访问权适用于所有情况。同时允许数据持有者在提供数据访问时设定合理的补偿，这些费用将由第三方支付，而非用户，为数据持有者提供了在投入资源提供数据访问时获得补偿的可能。

第37条：“为了防止对用户的剥削，应用户要求提供数据的第三方应仅出于与用户商定的目的处理这些数据，并在用户同意共享数据的情况下与其他第三方共享这些数据。”该条款规定第三方在获得数据后，应仅出于用户同意的目的处理这些数据。这意味着数据的使用需要限定在用户授权的范围内，与用户商定的数据使用目的保持一致。任何向其他第三方共享用户数据的行为都需要获得用户的明确同意。这要求第三方在与其他任何实体共享用户的数据之前，必须先获取用户的许可。条款的核心目的是防止对用户的剥削，这不仅关乎数据的非授权使用，也关乎保护用户不受到数据滥用的风险，尤其是当这些数据处理可能对用户的利益产生不利影响时。

这些条款为企业提供数据共享服务，尤其是在数据中介和市场方面，提供了法律支撑。用户被授权直接或通过数据持有者和数据中介服务与他人共享个人数据与非个人数据，强调了用户在数据共享过程中的主动权和控制权，同时也为用户将这些权利授予给第三方打开了窗口。对于个人数据，用户对其个人数据享有强大的控制权，任何第三方在获取和处理这些数据时都必须遵循用户的意志和法律规定。用户可以直接提出数据访问请求，要求数据持有者提供其个人数据。数据中介机构可以作为用户的代理，通过信托等模式，帮助用户管理数据访问请求。而对于产品及相关服务数据，则可以通过访问权聚合的形式，第三方可以通过与用户签订的合同来获得数据访问权，这种方式比个人数据的处理更加灵活。一揽子访问权允许用户在同意的基础上将其非个人数据聚合后的访问权授予第三方，这可能涉及多种数据和多个数据源，聚合的访问权有助于促进数据的流通，提高数据的可用性和经济价值。所以未来实践中争议与处理的核心应当是个人数据的范畴，脱敏、去标识化、匿名化标准的认证。

访问权模式下个人数据的授权链路

访问权聚合下产品及相关服务数据的授权链路

展望未来，以访问权路径进行数据共享时，欧盟仍然需要在GDPR的框架下，需要注意的合规性义务主要涉及以下几个方面：

数据主体的权利保护：确保用户可以轻松行使个人数据保护权利，虽然访问权模式为数据共享打开了窗口，但同时需注意数据共享的基础，来源于用户对数据的控制权的增强，如用户的访问、携带、更正、删除、限制处理或反对处理他们的个人数据等权利。

确保明确的用户同意：获取用户的明确同意是处理这些数据的关键，用户应当被清楚地告知他们的数据如何被使用，并且同意必须是明确和知情的。这在打包访问权时尤为重要，因为用户需要理解他们授权与同意共享的数据范围、场景及用途。

数据最小化原则：只收集实现特定目的所必需的数据，避免收集不必要的信息。这是数据保护法律的核心原则之一，意味着在一揽子访问权的框架下，任何收集的数据都应与其预定的用途直接相关。

透明性和责任义务：数据持有者需要保证处理活动的透明性，向用户提供关于其个人数据如何被处理、存储、共享的详细信息，并对处理活动承担责任。

数据安全性义务：必须采取适当的安全措施来保护个人数据不被未授权访问或滥用。这包括加密、访问控制、持续的数据安全评估等措施。

数据安全影响评估和审计：访问权路径下实施数据共享活动，仍需进行数据保护影响评估，并定期进行审计，以确保遵守相关法规，并及时识别和解决潜在的数据保护问题。

通过深入分析新浪案中的“三重授权”原则和欧盟数据法案的核心内容，不难发现，虽然“三重授权”原则在理论上为个人信息保护提供了强有力的保障，但它在实际应用中的种种限制和弊端也不容忽视。相反，欧盟数据法案的灵活性和现实性为我们提供了宝贵的启示，即在确保隐私保护的基础上，通过更为合理和高效的方式促进数据的共享和流通。在《个人信息保护法》的框架下，欧盟《数据法案》中访问权的内涵大致与个人信息查阅、复制权及可携带权相呼应，我国存在移植、借鉴欧盟《数据法案》中数据共享思路的法律环境。因而在未来的数据安全合规思路上，从个人信息的查阅、复制权及可携带权出发破题数据要素价值化，解决数据孤岛问题，值得业界共同探索。