论开放平台授权登录数据共享中的平台方利益

随着互联网行业的发展，互联网开放平台作为一种经营模式已经成为越来越多大型互联网公司的发展战略，互联互通和数据共享也随之不断普及。相比传统意义上的用户与服务商两方之间的直接数据交互，开放平台中因涉及到用户、开放平台方以及第三方，关系更为错综复杂，利益平衡也更为困难。本文试图从分析开放平台中三方的权利义务出发，理清各自的权利边界，对开放平台中平台方利益的保护及其边界进行探索。

一、开放平台概述

开放平台首先提供一个基本服务，然后通过开放自身接口，使得第三方开发者得以通过运用和组装其接口以及其他第三方服务接口产生新的应用，并且使得该应用能够统一运行在这个平台之上，我们把这样的一种网络服务模式叫做开放平台。【1】

在国外， Facebook于2007年5月推出开放战略，并成为全球最大的开放平台。随后谷歌、微软等互联网企业也都纷纷推出自己的开放平台战略。在国内，2008年人人网、道客巴巴等企业宣布建立开放平台，开拓尝试开放平台的运营探索。2010年5月，开心网正式推出开放平台，随后相继有网易、盛大、百度、新浪纷纷推出开放平台，开放平台成为共识，也使得2010年成为中国互联网企业大规模开放的一年。2011年奇虎360和腾讯也分别开放了各自的平台，至此，国内大型互联网企业全部完成了平台的开放，开放平台模式成为互联网发展不可阻挡的大趋势。而且，随着传统互联网向移动端的过渡，移动互联网企业开放平台也将成为未来趋势。【2】

二、开放平台授权登录数据共享中的利益平衡

授权登录服务是开放平台提供的服务之一，其功能是使用平台方的账号进行登录，省去复杂而繁琐的注册账号，完成多个平台之间的打通。授权登录服务的价值主要在于：一方面，为用户登录第三方应用提供快捷、安全的登录服务，用户在无需另外注册第三方应用账户、不用向第三方应用提供其个人注册信息的情况下，仅使用平台方登录方式就可以便捷、安全地登录第三方应用；另一方面，在确保开放平台数据安全的前提下，为第三方应用提供用户鉴权、身份识别服务并授予其获取用户基本信息等数据的权限，以便于第三方应用快速吸引用户登录并使用其产品，迅速扩大产品用户群。与用户直接在第三方应用进行注册登录不同，第三方应用系通过开放接口从开放平台获取数据，而该数据经由开放平台合法收集后已经属于开放平台数据的一部分。

开放平台在提供授权登录服务功能时，至少有三方主体，即用户、平台方和第三方的共同介入，同时存在用户上传平台的数据为第三方利用的问题，因此在法律上需要考察这些登录数据在三方主体间流动时各自的权限。三方主体在登录数据问题上存在各自的利益考量：用户在获得登录便捷性的同时，会在意自己的个人信息和隐私保护；第三方在利用平台获取用户的同时往往认为自己已经获得用户同意而要求平台提供用户的登录数据；平台在收集数据后会则需要考虑数据控制、提供登录便捷性与用户个人信息保护等多个利益。在这些利益考量中，最容易浮出水面并引起争议就是第三方与平台方之间就用户登录数据共享产生的博弈。笔者认为，授权登录中具体的利益平衡机制可以从以下几个角度着眼：第一，三方主体的核心利益应当得到满足和保障。就用户而言，其个人信息权应该得到保障。就第三方而言，其通过开放平台获得用户身份识别并提供服务的需求得到满足。就平台方而言，基于平台获得的数据控制应该得到保障。第二，考虑三方主体在整个平台授权登录过程中的获益。首先，从用户看，其获得了便利快捷的登录和服务。从第三方看，授权登录的快捷性使得用户有更多了解第三方的意愿和可能，有助于第三方积攒用户和提升产品使用量。第三，要考虑三方主体在此过程中的额外付出。首先从用户看，是否通过开放平台，其都必须提供必要信息方能使用第三方应用，因此用户并无额外付出，甚至是因为授权登录功能，使得用户可以更为方便快捷地享用第三方的应用服务。从第三方而言，其需要履行必要的平台注册认证手续后方能接入开放平台，这是由于授权登录的用户数据来自于平台的直接调用，并非用户新数据的提供。而从平台而言，因为该等数据是从平台的数据库中以更便捷的方式整合后进行提取、调用和复制，平台方负有建立开放平台、整合和调配数据、审核和接入开放者、进行开放指引和培训等付出。

基于以上三个方面的考量，在授权登录制度下，三方主体的核心利益得到了保障，并共同利用开放平台获得了各自的利益实现，形成了一个共赢的商业模式。但就用户上传平台的登录数据，鉴于这些数据是平台方在用户利用开放平台时获取并存储，并非第三方首先获取。无论出于对用户个人信息的保护还是平台控制合法获得的数据的当然权利，接入平台的第三方只能自己从用户处获得这些登录数据，而无权在用户同意的旗号下要求平台直接迁移。赋予开放平台对于其合法获取的数据的控制权以及开放平台功能实现基础上的自主经营权和决策权，是实现三方利益有序平衡和相应的商业模式正常运转的重要前提和保障。

三、平台方限制第三方利用授权登录数据的合理性分析

目前，现实中存在部分第三方获取数据之后拒绝按照开放平台的使用协议进行使用的情形，第三方往往会主张，我已经获得了用户授权，平台方对于数据的使用没有干预权。支持这种观点的意见认为，在考虑第三方行为的正当性与否时，用户意志的违反是具有重要权重的考虑因素。经过用户授权后自动化处理的数据移植，平台方没有过多的干预权。笔者对此意见不能苟同，一方面用户享有个人信息权，但并不享有对基于个人信息产生的数据的积极控制权；另一方面，平台方对第三方开放授权登录时进行使用范围的限制具有合理性。

首先，用户意志在通过平台数据接口进行数据传输的过程中当然具有重要作用，但这仅为必要条件而非充分条件。用户对于其个人信息的使用范围具有控制权，在第三方开发者需要利用用户信息时，经过用户授权是正当必经的过程。但用户并不享有要求平台方向其他第三方直接迁移平台控制的数据的权利。用户固然拥有个人信息权，因此有权自己删除或者禁止开放平台利用个人信息，甚至要求开放平台给用户提供其个人信息数据。但基于个人信息权并不意味着可以指令合法拥有个人信息数据的开放平台向第三方转移数据。即便是个人信息保护最严格的欧盟，在《一般数据保护条例》规定了“数据可携带权”，也没有赋予用户这样的权利。依照欧盟的规定，“可携带权”是指如果数据主体向某数据控制者提供与其有关的个人数据，那么该数据主体有权从该数据控制者处获取结构化、通用化和可机读的上述数据；同时，数据主体有权将这些数据转移给其他数据控制者，原数据控制者不得进行阻碍。其反映的是数据主体可以向平台请求获得“用户信息”的可机读的数据格式，然后自己将这些数据转移给其他数据控制者。这种情况下，依然需要通过两个步骤，即平台方将数据交给用户，用户自行将数据交给第三方。即并未给数据控制者加诸根据数据主体的要求直接将数据提供给其他数据控制者的义务。可见，世界各国的法律与实践并没有将用户意志或用户授权作为处理开放平台中数据流动的唯一准则。

其次，从对用户利益的保障上，用户意志并不因为保护平台方的利益和或遵守平台方的规则而受到损害。用户有充分的自决权可以选择自己到第三方应用上传同样的信息，第三方开发者也可以选择不接入开放平台，依赖自身从用户处获得原始信息和数据。这些不涉及到平台方的行为，平台方无权干涉，其使用范围和目的只需符合双方的约定即可。平台方唯一限制的仅为平台方存储的数据的流转和使用范围，对于用户个人信息的使用范围并未予以不恰当的限制。

再次，就第三方与开放平台的关系而言，第三方从平台调用数据是因为平台授权方能实现的，理应受平台方开放协议的约束。简言之，由于信息提供与数据来源的可分离性，第三方开发者既要获得用户对于信息内容使用范围的授权和限制，又要获得平台方对于承载信息的数据包的使用范围的授权和限制，两种授权不能偏废。

最后，从平台方的付出看，平台经营者获取用户数据需要付出先期投入和沉淀成本，且在平台运营中要进行大量数据处理，因涉及到用户逐一授权的限制，开放平台登录难以实现批量调动，但是从整个平台发生的调取数据量以及平台方与第三方整体合作层面看，该等快速调动转移事实上实现了大量用户数据的便捷传输，平台在形成数据集聚的网络效应后，有理由通过共享基础资源的方式，向未进行任何先期投入但需要使用数据的应用开发者设定一定的交易条件，其行为无可厚非。并且是否使用开放平台亦是各方选择的结果，第三方开发者可以选择是否接入开放平台，平台方可以根据申请决定是否同意第三方开发者接入平台，而用户也具有选择是否利用平台进行登录的权利。既然用户和第三方都希望借助开放平台来便利登录过程，且需要平台方配合调用其积淀和存储的数据，那么在满足和便利其自身需求的同时，也应当对平台方的利益，即防止特定使用方式对其核心资源的贬损的限制，进行维护。

四、平台方数据利益的保护及其边界衡量

如果我们跳出授权登录数据这个具体的例子，站在平台数据这样一个更广阔的视野来看，我们认为，对于开放平台运营中的平台数据利益的保护，应当结合“平台+应用”商业模式的特殊性，充分考虑行业竞争特点和技术发展前景，以及企业和产业边界日益模糊、跨界竞争日益激烈的现实情况，评判正当的竞争秩序以形成最佳的市场竞争效果。

在考虑保护平台方数据利益以及平衡各方利益以形成稳定的商业秩序时，可以综合以下角度进行考虑：

（1）平台开放并非法定义务。互联网开放平台是网络技术和网络经营模式发展的体现，是国家倡导的互联网互联互通和信息共享的发展方向，但并非平台方的法定义务。因此，在没有明确的法律规定对平台开放过程中的规则进行厘清的情况下，商业道德以及各方约定将成为平台有序运营以及保障各方利益的基石。开放平台是平台方与第三方开发者合作打造互补产品满足用户需求或为用户提供便利的同时，不会侵蚀自身的核心优势从而扶持未来的竞争对手的一种发展模式。因此，要求平台方和第三方都需要在平台上互补合作、贡献智慧、投入力量、赢得认可，双方不应当从事把开放平台作为获取他人核心资源或掠夺他人竞争优势的不劳而获或损人利己的行为。因此一方行为是否违反开放平台的合作原则和开放平台规则，可以成为衡量该行为是否具有不正当性的重要考量因素。而任何一个开放平台，基本都对被分享出去的资源使用限制作出了相应的规定，可以看出，在开放平台的合作上，平台方和第三方开发者已经达成了一定层面上的共识。

（2）平台方的核心利益和资源的界定。众所周知，信息数据的积累并非一蹴而就。普通应用向平台化转型的前提是用户数量和活跃度达到一定的临界容量。为吸引最初用户而进行技术开发、架设设施、从零开始积累用户数据，研发收集和处理用户数据的技术，培养用户而支付的补贴，以及建立和维护开放平台对接而付出的成本，这些都是平台经营者前期为吸引用户和实现数据共享需要投入的沉淀成本。【3】在平台开放实现后，由于平台可以连接到的用户数量更多，形成的用户网络更广泛，对潜在用户和市场参与者具有更大的吸引力，从而平台方可以持续积累用户，吸引平台参与者进行交易，得到用户的注意和数据。因此，对于平台经营者而言，其凭借积累的数据资源的开放享有了获得用户关注和进一步获得用户数据的可能性以及良性循环发展的持续性。因此，对于平台而言其最具价值的核心资源就是用户数据以及用户关注。一般情况下，在各方遵守平台运营规则的前提下，在平台方与第三方都贡献智慧付出成果时，平台用户和收益可能会增加，平台开放是一个多方共赢的合作模式。这也是很多应用都开始打造自身开放平台的原因。但如果一方不正当的掠夺他方贡献到平台中的成果时，这种此消彼长、损人利己的行为将会破坏双方合作的基础，这也正是平台开放时平台方要对数据使用进行约束的重要原因，因为数据既是其贡献给开放平台的资源也是其自身发展的优势，虽然开放第三方账户注册/登录数据端口开始成为普遍实践，但同样限制第三方利用该等数据进行关系链建立和补充、禁止将来源于平台接口的数据提供给第三方使用也成为实践总结出的开放平台开发中应当遵守的规则【4】。

（3）平台方数据控制的边界。平台方固然拥有对其自己积累的数据控制权，并有权限制第三方从平台端口获得的数据的再利用范围。但上传数据的用户也应当拥有基于上传数据以及个人信息保护产生的权利，平台方也无权限制用户不经过平台自行提供这些数据或者个人信息给第三方。当然，用户对于平台方控制的数据也不应享有强制披露权，强制掌握用户数据的一方将数据披露给竞争者使用，可能会产生反竞争效果，并挫伤经营者积累用户数据的积极性。【5】

（4）第三方对数据使用的正当性考量。除了考虑平台方的利益及其边界以及限制第三方特定使用行为的合理性外，还应当考虑第三方对从平台方获取数据后特定形式的使用正当性。第一，数据使用的必要性和目的，第三方获取或使用数据是否在其提供服务所需的范围内，是否是为提供服务的正当目的，还是出于并非提供服务所必须的附带性目的。第三方获取用户信息的目的在于识别用户身份，以便对于其提供个性化的服务。但超出该范围，利用获得的信息建立和补充自身的关系链或者分享给第三方，则明显超出了服务目的所必须。第二对用户数据是否加以分析和优化，还是直接进行复制和展示。例如在脉脉案中，脉脉将新浪用户的职业和教育信息在应用展示，并非为实现必要的使用功能，而是希望以此吸引潜在用户。所以行为具有可苛责性。第三，是否会导致用户转移，即用户放弃使用原有的平台服务而转向第三方提供的产品和服务。此时应当对于平台方与第三方提供的产品和服务进行比较，特别是如果第三方同样在开发自身开放平台的情况下，要考虑两个层面的替代效果，一是基础的产品和服务中的，二是进行开放平台原始数据积累中的替代效果。

注释：

1、谭晨辉、刘青焱. OpenAPI出现、起源与现状. 程序员，2008（7）

2、 殷实. 关于互联网开放平台发展与知识产权保护现状的探讨. 电子知识产权，2018（4）：88-91

3、侯媛. 反不正当竞争法视野下用户数据获取行为解读. 经济法学评论，2018（1）：127-143

4、参见新浪微博开发者协议https://open.weibo.com/wiki/开发者协议；大众点评开发者协议

http://developer.dianping.com/app/terms；滴滴出行开放平台开发者协议：

http://static.udache.com/gulfstream/mis/open/home/Developer_agree.pdf；

5、同脚注3