在第十个国家宪法日到来之际，习近平总书记作出重要指示，强调坚定维护宪法权威和尊严，推动宪法完善和发展。当下，有学者呼吁让数据权利进入宪法，成为一项基本权利，通过构建必要的法律制度，完善中国特色社会主义法律体系，用科学有效、系统完备的制度体系保证宪法实施。笔者认为，数字经济时代，数据权益保护不仅需要立法完善，还需要司法通过个案裁判提供裁判规则，在目前企业数据权利法律规定缺位的情况下，司法机关在新浪微博诉脉脉案中创设了数据依法获取的“三重授权”原则，规制了企业数据权益的反不正当竞争保护方向，对数据权益纠纷案件的审判产生重大影响，彰显人民法院迈出数据权益司法保护的第一步。

　　新浪微博诉脉脉案情

　　新浪微博在诉脉脉案称，脉脉软件获取并使用非脉脉用户的新浪微博信息违反与新浪微博之间的《开发者协议》等约定，通过其用户上传的手机通讯录，非法获取、使用通讯录内联系人与新浪微博用户的对应关系，侵犯新浪微博的竞争利益并危害新浪微博用户的信息安全。脉脉软件及网站未经许可获取并使用了其平台用户头像、名称、职业、教育信息等数据的行为构成不正当竞争。一审法院认为，脉脉软件的行为违反了《反不正当竞争法》第二条并构成商业诋毁。二审法院维持原判。法院认为，在互联网行业中适用《反不正当竞争法》第二条的六个条件，明确第三方应用通过开放平台如OpenAPI模式获取用户信息时应坚持“用户授权”+“平台授权”+“用户授权”的三重授权原则。

　　“三重授权”是指“用户授权+平台方或公司授权+用户授权”，第一重是在互联网开放平台对用户数据第一次收集、使用时需要获得用户的授权；第二重是在第三方应用通过开放平台间接获取用户数据时需要获得平台方的授权；第三重是需要再次获得用户的授权。

　　法院的司法建议

　　脉脉案判决对于案件相关法律适用问题论证充分和准确，并对互联网环境下用户信息的安全和企业责任给出的司法建议影响很大。

　　企业数据权益的《反不正当竞争法》保护。从脉脉案的结果看，司法裁定认可将数据权益纳入《反不正当竞争法》保护的可行性与合理性。

　　法院结合互联网行业的技术形态及市场竞争模式，明确平台数据应当受到《反不正当竞争法》的保护，已成为今后类似案件处理的风向标。企业间的数据不正当竞争行为既包括数据的不正当获取行为，也包括数据的不正当利用行为。当企业通过不正当的途径获取其他市场主体的数据资源时，其后续的数据利用行为也存在不正当性。

　　数据流动需满足“三重授权”。法院认为，在开放平台OpenAPI合作模式中，数据提供方向第三方开放数据的前提是必须取得用户的同意。脉脉案判决提出，涉及互联网中用户信息的基本原则是“用户明示同意原则”+“最少够用原则”，即不得收集与其提供的服务无关的个人信息；同时明确第三方应用通过开放平台如OpenAPI模式获取用户信息时应坚持“用户授权”+“平台授权”+“用户授权”的三重授权原则，第三方应用基于商业合作模式利用用户信息时，除应取得数据提供方同意外，还应再次取得用户的同意。

　　明确网络平台方主体。在互联网环境下，用户信息和数据的获取及使用，不仅可以成为企业竞争优势的来源，更能为企业创造更多的经济效益。脉脉案判决明确网络平台方可以就第三方未经许可擅自使用其经过用户同意收集并使用的用户数据信息主张权利，倡议网络运营者在采集运用用户数据时应履行技术防范、应急预案、数据备份等管理义务。

　　衍生数据的财产权益受法律保护。网络大数据产品是经过网络运营者独创性的劳动实现的智力成果，已经独立于基础性的网络用户信息和原始网络数据，因为有开放和整合的过程，衍生数据享有独立性的财产权益受法律保护，所有者为网络运营者。判断企业竞争行为是否具有正当性，通常依据诚实信用原则、公认的商业道德和利益平衡原则，结合相关行业惯例、行为手段、损害后果以及对市场竞争秩序的影响等因素对其性质予以综合评判。

　　“三重授权”原则的适用原则

　　目前，我国适用“三重授权”原则的典型案件有新浪微博诉脉脉案、腾讯诉微播视界案、淘宝诉安徽美景科技不正当竞争案等，从中可以看出依法保护企业数据权益裁判新思路，人民法院在法律空白及模糊地带创造性地解决司法难题。

　　适用开放平台数据共享模式（OpenAPI模式）。OpenAPI是服务型网站常见的一种应用，平台将自身的特定技术服务以应用程序编程接口的形式开放出来，第三方应用开发者得以通过运用和组装其接口产生新的应用。在开放平台获取数据，第三方应用不仅需要与平台签署《开发者协议》，获得平台的授权，约定双方的权利义务，还需重新获得用户的再次授权以实现合法授权。平台作为用户个人信息的控制者，虽享有特定的数据权益，但在对外共享信息时仍需符合与用户签署协议的要求与约定，实现保护用户数据信息安全。对于数据的获取，除了从公开渠道获取的公共数据不需要获得原始数据主体的授权外，无论是非公开的原始数据还是对原始数据经过整理而产生的数据产品，其能够成为合法权益的关键在于数据具有合法来源，即经过授权许可。特别是原始数据在涉及用户个人身份信息的情况下，数据主体的知情同意是获得个人信息的基本规则。

　　适用数据爬取模式。互联网平台获取数据一般通过两种方式：一种是通过商业合作进行数据交易或交换（如OpenAPI模式），另一种是利用爬虫技术自动抓取数据的模式。爬虫自动抓取模式由于其效率高、成本低廉而获得诸多企业的青睐，但同样面临较高的法律风险。第三方应用开发者仅通过用户本人的授权便在信息控制者处进行数据爬取的操作，极有可能被视为违反平台意志、侵害平台享有的数据产品相关权益，进而被认定为构成不正当竞争。“三重授权”原则是对《个人信息保护法》第二十三条规定的在具体个案中的第三方数据获取是否构成不正当竞争行为的裁判规则，平台方限于非国家机关处理者；客体上适用于“处理的个人信息”，限于平台方生产并享有财产性权益、开放平台模式的数据共享。

　　原则适用的局限性。在涉及数据不正当竞争诉讼中，涉案数据收集者只有符合“三重授权”原则，才能证明其收集数据行为依法合规，不构成不正当竞争。结合新浪微博诉脉脉案、腾讯诉微播视界案、淘宝诉安徽美景科技不正当竞争案看，该原则并非所有案件均可以适用，适用前提是案件中数据获取的方式是基于OpenAPI合作模式获取或通过其他合法授权途径获取，不包括网络爬虫爬取的数据获取方式。如果数据是经过用户同意通过平台公开的，第三方可以不必遵守该原则直接爬取和使用平台内的公开个人数据内容。如果平台允许第三方爬取的是其自身利用用户原始数据深度加工而成的衍生数据，第三方不再需要获得用户的单独许可，爬取使用的数据不再是用户的原始数据。第三方获得可识别的衍生数据需要同时获得用户和平台的同意；获得非识别的原生数据时，无须取得用户同意，是否需要取得平台同意取决于数据是否公开。对于公开数据的流动一般不涉及“三重授权”原则的适用。

　　企业获取数据实行高标准的严控。《个人信息保护法》《数据安全法》等法律对平台使用用户个人信息时的授权提出严格要求，“三重授权”原则是针对企业间数据流动和依法合规提出的高标准司法建议，司法已对于原始数据和衍生数据权益给予反不正当竞争的保护，企业间的数据获取应当高度关注获取方式和利用行为的合规，实现数据的合法交易与传输。从数据流转过程看，所有知识产权权利或数据合法权益的流转均需要明确完整授权；数据运营者需要使用或深度加工生成衍生数据，也需要获得用户个人的明确授权。（作者系江苏省企业法制工作协会副会长兼秘书长、正高级经济师）