我的数据谁做主？
——基于“头腾之争”对个人数据可携带权与企业数据权边界的研究

□ 文 谌嘉妮

当前正在审理的腾讯诉抖音、多闪一案广受关注。法院做出的裁定中对于其中在互联网平台上的用户数据，尤其是经过企业加工后的数据产品，用户是否拥有数据可携带权，以及这种数据可携带权与企业数据权的边界在哪，尚不明确。本文从“头腾之争”案情出发，以原始数据与数据产品的二重架构为前提，分别讨论企业数据权与个人数据可携带权，试图建立用户的个人数据可携带权与企业数据权的流动性链条，确保数据的自由流动，发挥数据价值。

一、案情梗概与裁定分析

（一）纠纷一览

3月20日，天津市滨海新区人民法院公布了对腾讯诉抖音运营公司北京微播视界有限公司（以下简称“抖音”）、多闪运营公司北京拍拍看科技有限公司（以下简称“多闪”）涉嫌违规使用用户数据一事申请行为保全的裁定结果，将“头腾之争”推向一个新的阶段。抖音、多闪系今日头条旗下产品，本案自二者纠纷伊始，就受到互联网领域和法学界人士的广泛关注，或有望成为国内互联网企业数据与用户信息保护领域的标杆性案例。

本次纠纷起源于抖音为了拓展用户关系链，在抖音中以向用户推荐其从微信/QQ中获得的用户头像、昵称等用户信息，并且将腾讯提供给抖音的微信/QQ账号授权登录服务提供给多闪使用。多闪利用由抖音提供的微信/QQ的好友关系、群关系来扩充和壮大其用户网和好友关系链。

腾讯认为抖音、多闪的行为既未经用户明确授权、超越用户授权范围，违反了法律法规对于用户信息保护的相关规定，也违反了微信/QQ平台管理规则，强行使用腾讯的核心资源和竞争优势，有违诚实信用原则和公认的商业道德，损害了腾讯的合法竞争利益和用户的合法权益，破坏了自愿、公平的市场竞争秩序，其行为具有明显的不正当性，已经构成了不正当竞争行为。

抖音、多闪方辩称，其与腾讯之间不存在竞争关系，涉案行为不构成不正当竞争，其行为未违反诚实信用原则和公认的商业道德，不具有不正当性。此外，多闪无权未经用户同意，擅自删除用户从抖音账号同步到多闪的头像、昵称等用户数据。

（二）裁定结果分析

法院认定双方之间存在竞争关系，抖音、多闪的行为，存在构成不正当竞争的较大可能，裁定：一、抖音立即停止向用户推荐好友时使用来源于微信/QQ开放平台的微信/QQ用户头像、昵称，二、抖音立即停止将已授权微信/QQ账号的登录服务提供给多闪使用(裁定生效前已通过微信/QQ账号登录方式登录过多闪的账号除外；三、多闪立即停止在多闪中使用来源于微信/QQ开放平台的微信/QQ用户头像、昵称；直至本案终审法律文书生效。

本案虽仍在审理中，法院颁布行为禁令也并不意味着腾讯的诉求都会被法院认可，但法院在裁定书中认定一些争议值得讨论：第一，关于平台数据的归属问题，法院认为腾讯对于微信和QQ产品平台上头像、昵称等用户数据都属于腾讯的商业资源。第二，关于用户的数据可携带权问题，法院认可了腾讯公司《开放平台开发者服务协议》（以下简称《协议》）中关于其开放平台上的一切用户数据权利属于腾讯的条款以及未经腾讯许可任何人不得通过其服务收集、存储、抓取、获得或要求用户提供用户数据等条款的效力，此条款是否侵犯了个人数据可携带权，值得讨论。

此番“头腾”之争，反映了我国目前互联网数据行业的问题与数据权利法律保护的不足。大数据时代，数据日益成为企业竞争的核心，承载着巨大的经济价值。其性质与权属也成为各方关注的焦点。自1999年莱斯格教授首次提出数据财产权概念以来，中外学者纷纷对数据的权利进行探索与研究。有的学者站在个人角度从数据的人格权出发对个人信息进行保护，有的则立足于企业，认为为准确利用数据投入了巨大资源的企业有独立的数据权。用户在网络平台上产生的数据到底属于谁？当数据引发纠纷时，如何界定用户的个人信息权与企业数据权之间的关系？本文从“头腾之争”——腾讯与今日头条旗下抖音、多闪数据纠纷案出发，将数据之上的个人信息权具体到个人数据可携带权，进一步研究个人数据可携带权与企业数据权的边界。

二、企业数据权与个人数据可携带权各论

（一）企业数据权

在腾讯与抖音、多闪数据纠纷一案中，法院在裁定书中承认了腾讯对平台用户数据拥有权益，但这种权益的性质是什么并不明确。

目前，我国对于企业数据权的保护主要是基于合同法、知识产权法、或是反不正当竞争法进行的，现行立法并没有明确将企业的数据界定为一种单独的财产权。《民法总则》第127条规定：“法律对数据、网络虚拟财产的保护有规定的，依照其规定。”这条规则承认了数据的财产属性，但却不甚模糊，既未指名数据的范围，也未明确其权属，仅为以后的立法预留了一席之地。由于缺乏法律直接明确的赋权，在实际操作中，为了数据付出巨大经济代价的企业往往可能荒腔走板，通过不公平的用户授权条例或者暗自将用户知情同意原则进行默示化来规避法律，非常不利于数据的流动与保护。

在司法实践中，从2015年的大众点评诉百度不正当竞争案、2016年的新浪微博诉脉脉不正当竞争案再到2018年的淘宝诉美景公司侵权案，我国司法界一直在探索如何保护企业的数据权益，但由于没有明确的立法支撑，法院也无法为其开创一个单独的权利类型，而大多是依据《反不正当竞争法》第二条的“经营者的合法权益”来进行保护。

为解决立法的空缺与司法的尴尬，有学者提出通过立法为企业确立新型数据财产权来保护企业的数据权益。按照这种设计，企业对其合法收集、加工后的数据产品拥有独立的管理、支配与经营的权利。这种权利不同于一般的财产权，类似于知识产权机制，但其功能和结构更加繁复，是一种新型财产权。

根据波斯纳在《法律的经济分析》中提到的事实上的财产权的观点，市场上只要存在对某物的支付意愿，就应当认为该物具备了事实上的财产权。那么数据产品已经具备了经济上的财产权地位。事实上，企业早已在实践中行使他们的“数据财产权”，在淘宝诉美景公司侵权案中，法院判决中指出：网络数据产品的开发与市场应用已成为当前互联网行业的主要商业模式，是网络运营者市场竞争优势的主要来源与核心竞争力所在。随着网络大数据产品市场价值的日益凸显，网络大数据产品自身已成为市场交易对象，已实质性具备了商品的交换价值。“头腾之争”的审理法院很明显也认同这种说法，认为腾讯公司已经对数据享有事实上的财产权。

（二）个人数据可携带权

个人数据可携带权又被称作为数据的移植权，是2018年实施的欧盟《一般数据保护条例》（General Data Protection Regulation，以下简称“《条例》”）确立的一项独立的个人数据权利。《条例》第20条规定，如果数据主体向某数据控制者提供与其有关的个人数据，那么该数据主体有权从该数据控制者处获取结构化、通用化和可机读的上述数据；同时，数据主体有权将这些数据转移给其他数据控制者，原数据控制者不得进行阻碍。个人数据可携带权的规定是为了防止企业在商业竞争中限制用户利用、处理自己的数据，用户能够根据自己的意志自由的决定是否将个人数据携带至其他的数据控制商。

个人数据可携带权根源于数据自决权（informationelle Selbstbstimmung），指的是用户可以自由选择在何时何地以何种方式被谁收集、利用数据。个人数据可携带权对传统的数据自决权做了深化和发展，赋予了数据主体以电子形式获得自己的结构化数据的权利，不仅有利于强化个人数据保护，更有利于提高个人数据在大数据经济中的活跃度，促进个人数据的流动与再使用。除了数据自决权，个人数据可携带权还包括数据传输权，数据主体不仅可以要求数据控制者将数据传输给其自己，还可以要求数据控制者将数据直接传输给第三方，对于这种传输，数据控制者应当不设任何阻碍（Without hindrance）。

对于个人数据可携带权的性质是人格权还是财产权，目前在我国学界存在着争议，由于其被首次确立在欧盟的《条例》中，而《条例》是基于人格权角度对个人数据进行保护的，所以有人认为其应当属于人格权。但该观点有待商榷，且不论《条例》仅通过隐私权进行个人数据保护的角度是否周全，就如今数据行业的现状而言，数据资产的价值主要就是通过其流动与转让产生的效益体现的：用户的个人数据从一个平台传输到另一个或者更多平台上的过程中，数据本身在成倍繁殖与扩散，与此同时，数据带来的财产收益也在成倍增长。根据波斯纳的观点，只有承认个人信息可携权的财产属性才能发挥数据的价值，有效地保护个人数据。

在本案的裁定中，法院仅仅提到了用户知情权、隐私权和选择权，忽视了用户具有的个人数据可携带权，虽然是立法空缺的无奈之举，但实际上用户的个人数据可携带权在大数据行业中是及其重要的，赋予用户个人数据可携带权就意味着用户可以基于自己的意愿决定是否将自己的数据转移到另一个数据平台，而该平台无权反对，甚至需要提供数据运输的服务，如此一来，数据企业的利益势必会受到一定的影响。

在数据的财产价值已无法忽视的情况下，承认数据的财产属性就势必要确立个人数据可携带权。对此，我们可以借鉴欧盟的《条例》以及其数据自决权的传统，同时重视数据的财产属性，建立一个完整的数据保护体系。

三、企业数据权与个人数据可携带权的交织与界分

个人数据可携带权与企业的数据权在数据市场中有着交织与矛盾的属性。数据企业为了商业目的，大多会设置一些技术难题或者提高用户的数据转移成本，使用户难以获得全面的数据。一旦严格保护用户的个人数据可携带权，拥有较大用户数据的互联网企业就无法锁定大量用户，其利益势必受到损失。个人数据可携带权也会加剧数据企业之间的竞争，老牌的数据企业无法坐拥庞大数据库而高枕无忧，他们将会时时刻刻担心被新兴的平台取代。

以最近腾讯QQ销号事件为例。3月20日，腾讯在最新推出的版本中允许用户注销QQ账户。用户如果选择注销自己的账户，一同被删除的不仅是用户的好友关系、聊天记录、个人评论、qq空间、相册照片等个人数据，“q点q币、财付通余额、理财产品和其他虚拟财产等也将终止服务”。其中就存在一个问题：当服务商单方面提出服务终止或者账号注销时，个人数据是否唯有一删了之？数据企业是否应该提前告知并提供有效的个人数据保存与转移服务？根据用户的个人数据可携带权理论，QQ删号事件中腾讯的做法已经侵犯了用户的个人数据可携带权。因此我们可以进一步思考既然企业与用户个人都对数据的权属与流动拥有权利，那么这些权利该如何界分？

正如科斯所说：“缺乏清楚的产权界定，便不存在有效的市场”。明确个人数据可携带权与企业数据权的边界成为数据流动规则建立的前提。关于个人数据与企业数据的界定，学者们意见不一，前面文中已有提及，本文以用户的原始数据与产品数据的二重划分为前提，着重讨论如何根据数据的流动属性来划分个人与企业对数据流动的权利。笔者认为可以建立一套数据的流动性链条，个人数据可携带权处于上游，并且具有中心地位，拥有对原始数据以及对其进行初步加工的产品数据（指可以从产品数据中界定划分出具有自身可识别性的数据）的可携带权。而企业处于下游，对其收集、加工、处理的数据拥有数据权，但这种数据权是受限制的。

个人数据可携带权的对象包括其原始数据没有争议，但是经过企业加工处理过的数据，用户是否还能进行流动？要明确这个问题，首先要讨论的是数据权基于什么从用户手上流转到企业？有观点认为：基于洛克的劳动值得理论企业为用户提供了优质的服务，用户个人作为交换提供自己的个人数据。这种观点并不合理。这是因为：一方面，平台通过吸纳用户进行商业运营，在运营活动中实际已经获取了经济利益，企业的投入已经得到了回报；另一方面，社交网络数据尤其是其中的登录数据(用户名、昵称、头像等)对用户而言是不可转让的，这种数据即使被利用、加工、处理也不能改变用户对其的权利，用户始终有权决定该数据的去向。因此，尽管企业能对经过其加工处理后的数据产品享有权利，但这种权利并不能限制用户个人，用户不仅能够决定其原始数据的流动传输，对于后续的数据产品中具有自身可识别性的内容仍然有携带权，并可以要求数据平台提供便利的传输服务，该平台无正当理由无权拒绝。

一昧将数据限定在个人的权利范围内，不利于数据财产价值的发挥，但企业过度扩张自己的权利，将用户的数据视为自己盘中之物，也会侵害个人的权益，最终也难以将数据的价值发挥到最大。

在数据驱动型的经济发展趋势下，应尽快界定用户的个人数据可携带权与企业数据权之间的关系，建立完整的数据流动性链条，保障数据的自由流动，构建稳定高效的数据市场。■