作者:中國政法大學傳播法研究中心朱巍
“頭騰大戰”正在進行的時段非常特殊,正值我國個人信息保護法正在起草、網絡安全法實施近兩年、民法典人格權法編正在審議之時,也是歐盟GDPR為代表的世界範圍內全面加強個人信息保護的高峰時期。不論該案最後結果如何,都將在我國互聯網個人信息保護髮展里程碑上留下深刻印記。
網絡安全法
我國網絡安全法以法律的名義強化了網絡實名制,用戶的暱稱和頭像屬於互聯網賬號的重要組成部分。按照實名制“前臺自願,後臺實名”的原則,賬號是互聯網用戶的主要標識。按照2015年國家網信辦“賬號十條”的相關規定,賬號名稱只要符合“九不準”原則,均受法律保護並可成為在網絡環境代表真實身份的標識。
從這個角度講,用戶以賬號名稱為標識才能進行網絡活動,以真實身份為基礎才能將網絡行為轉化成民事法律行為。賬號正是通過註冊與真實身份認證制度的結合,才能達到獲得法律行為的效果。同時,網絡安全法第76條規定,能夠單獨或與其他信息結合可以識別到自然人身份的各種信息屬於個人信息。賬號名稱中的頭像和暱稱,結合網絡實名制的背景,完全能夠對應自然人身份。所以,包括頭像和暱稱在內的賬號性質屬於個人信息。嚴格意義上講,用戶的數量、日活屬於平臺的核心競爭力,但用戶的個人信息不是任何一家平臺的財富。
必須指出,包括國外和國內互聯網平臺服務提供者在內,所有平臺與用戶接受服務前所簽訂的網民協議,都明確規定用戶註冊的賬號所有權歸屬平臺,用戶只有使用權。這樣規定的意義在於網絡數據的合理採集、使用和處分,也在於平臺在一些極端情況下,比如,破產、無法繼續從某項服務獲利、併購等情況,平臺將有權終止相關服務。
考慮到賬號所有權歸屬平臺的慣例肇始於互聯網草創時的原始積累階段,數據權的崛起和對用戶意願的尊重讓全世界立法者不斷對此進行深刻反思。GDPR為代表的數據權反思立法,將用戶對數據的權利上升到極致,用戶對數據有多少權利,相對應的平臺就有多少界限。特別是,GDPR在平衡數據控制者追求商業利益與用戶權利關係時明確規定,合法商業利益不能超過用戶基本權利與自由。當然,我們很難對“基本權利和自由”作出明確界定,但可以肯定的是,用戶賬號是基於身份關係的基礎,當然是用戶最基本的權利之一。
因此,即便網民協議中將賬號所有權歸屬於平臺,但賬號中的個人信息屬於隱私權,這種具有人身性質的權利應區別於財產性質的數據權,隱私權的所有權人只能是用戶。
關於開放平臺數據權與競爭關係的案件,必須提到新浪訴脈脈案,該案確立的“用戶授權+平臺協議+用戶授權”模式能夠很好地處理數據權屬爭議問題。不過,新浪訴脈脈案焦點在於非經平臺和用戶授權下的超授權獲取數據問題。
“頭騰大戰”中的暱稱與頭像權利問題
“頭騰大戰”中的暱稱與頭像權利問題,其實是兩個問題。一是非經平臺授權,其他主體能否超越權限抓取關係鏈問題;二是非經平臺授權,用戶能否在其他平臺使用頭像和暱稱問題。這兩個問題性質不是一回事,前者屬於競爭法規範領域,後者屬於用戶基本權利領域。
對於關係鏈抓取問題,屬於平臺數據財產權範圍,應符合競爭法律規制。以往類似案件強調的是平臺意願先行的“平臺之間的協議+用戶再次授權”。在新型案件中,突出用戶授權先行的“用戶的授權+平臺追認授權”模式是否能夠突破,仍需司法的進一步認定。
暱稱和頭像問題,屬於個人信息範圍,這就如同身份證製作於公安機關,但權利歸屬於公民個人一樣,個人信息不是平臺的數據財產權利,雖然產生於肇始平臺,但獨立於平臺,平臺應尊重用戶自己的選擇。
轉自《檢察日報》專欄
