企业数据获取“三重授权原则”反思及类型化构建

摘要

源于新浪微博诉脉脉案的“三重授权原则”,要求数据获取企业在获取数据持有企业的用户数据时,需满足用户对数据持有企业、用户对数据获取企业,以及数据持有企业对数据获取企业的“三重授权”。将这一原则普遍适用于所有数据类型并不妥当。企业间数据获取规则应根据数据类型的不同而作类型化构建:获取可识别的原生数据时,需获得用户同意,无须数据持有企业的同意;获取非可识别的衍生数据无需取得用户同意,但需取得企业同意;获取可识别的衍生数据需同时获得用户和企业的同意;获取非可识别的原生数据时,无须取得用户同意,是否需取得企业同意取决于数据是否公开。