右上图:微博曾授权脉脉使用微博作为第三方登录,由于发现脉脉未经许可收集非脉脉用户的微博信息,终止了与脉脉的合作。
左图:第三方登录是网络软件常用的登录方式,一旦用户使用,通常都会默认软件收集用户在第三方软件的信息。
右下图:在脉脉注册页面上,可以看到“注册即表示你同意脉脉服务协议”的规定,很多人根本没有注意过,更不要说点开服务协议仔细阅读了。 佘 颖摄
“脉脉非法抓取使用新浪微博用户信息”案近日在北京知识产权法院终审宣判。法院驳回了脉脉的上诉,维持原判,认定北京淘友天下技术有限公司和北京淘友天下科技发展有限公司(均为脉脉的经营公司)未经用户允许和微博平台授权,非法抓取、使用新浪微博用户信息,非法获取并使用脉脉注册用户手机通讯录联系人与微博用户的对应关系,构成不正当竞争。
这是我国首例大数据不正当竞争纠纷案,不仅再次警醒第三方开发者必须遵守道德、商业秩序,也提醒互联网平台、消费者要加强对个人信息的保护。
擅自使用他人微博头像
脉脉是一款社交软件,通过分析用户的新浪微博和通讯录数据,帮助用户发现新的朋友,并可以帮助他们建立联系。
2013年9月11日至2014年8月15日,脉脉曾经获得微博授权,用户可通过微博账户注册脉脉,同时脉脉可获得微博用户的部分信息。
但是,在合作期间,脉脉在没有得到微博授权,也未经未注册用户许可的情况下,将脉脉用户手机通讯录里的联系人与新浪微博用户对应,并展示在脉脉用户“一度人脉”中。而且,在合作终止后,仍继续使用这些信息。
作为验证,2014年11月25日,用户赵某使用新购买的三星手机下载安装脉脉软件,用自己的手机号登录脉脉软件,上传手机联系人后,发现“一度人脉”中,默认的“公司”名录下出现了“奇虎360”一项,里面有自己的通讯录联系人“李某某”,同时显示有头像、影响力指数、手机号,个人标签360安全卫士、80后、IT数码等。同时出现的还有“中信证券”下的“黄某某”、“豆瓣”的“王某某”及“美中宜和妇儿医院”的“许某”。
经过核实,这4人的头像与他们的微博头像一样,但他们并未注册过脉脉,而且王某某的职业与微博所写的“豆瓣算法工程师”一致。他们肯定没想到,虽然自己从未注册过脉脉,但自己的工作单位、毕业学校、头像等微博上的信息已经在脉脉上出现。这一切,仅仅是因为他们共同的朋友赵某通过脉脉上传了他们的手机号。
这种做法并非行业惯例。例如,微信能够展示手机通讯录中的其他微信用户,但如果该手机号码并未注册微信,就不会展示,更不会展示该联系人在微博、淘宝等其他软件上的相关信息。
因此,一审法院认为,根据合同相对性原则,脉脉与用户之间的协议仅能约束脉脉用户与淘友科技公司,对非脉脉用户不发生法律效力,淘友技术公司、淘友科技公司不能据此收集与脉脉用户有联系的非脉脉用户信息。
“这起案件表面上是一件不正当竞争案件,本质上是个人信息保护之争。”中国政法大学副教授、北京消费者权益保护法学研究会副秘书长朱巍认为,“任何平台使用用户个人信息都应该经过用户本人同意。虽然大数据可以买卖,但是用户个人的隐私数据不属于大数据,擅自使用就是侵犯用户隐私权,甚至是安宁权”。
数据只能在用户范围使用
脉脉的另一违法行为是,未经微博平台许可调用脉脉用户和非脉脉用户在微博填写的教育和职业信息。据新浪微博研发经理李庆丰介绍,在脉脉与微博的《开发者协议》中明确规定,脉脉通过新浪微博获取的用户信息包括姓名、性别、头像、电子邮箱,并不包括用户教育信息、职业信息和手机号。
未经本人许可,调用非脉脉用户的信息是一种非法行为。但是,在注册时,脉脉用户都必须跟脉脉签订《软件服务协议》,同意“用户通过新浪微博账号、QQ账号等第三方平台账号注册、登录、使用脉脉服务的,将被视为用户完全了解、同意并接受淘友公司已包括但不限于收集、统计、分析等方式使用其在新浪微博、QQ等第三方平台上填写、登记、公布、记录的全部相关信息。”
换句话说,用户已经“授权”脉脉调取自己在微博上的全部信息,为什么微博平台还可以说不?
在审理过程中出现的一个小插曲能回答这个问题。当时,曾作为淘友技术公司、淘友科技公司员工的证人表示,自己同意向脉脉软件授权好友关系,但他也无法准确区分脉脉用户与非脉脉用户。法院认为这代表了用户接受应用软件格式合同时的普遍状态,即用户授权行为具有一定的随意性,不能以此作为非脉脉用户的授权行为。
用户授权具有随意性,为用户信息站岗的就只有平台方了。作为平台,微博通过0penAPI接口协议来规范第三方的抓取行为,并禁止第三方平台通过爬虫等抓取微博用户信息。
但是,淘友技术公司、淘友科技公司在合作期间未申请职业信息、教育信息0penAPI接口,就擅自从微博开放平台获取新浪微博用户的职业信息、教育信息;在双方合作结束后,淘友技术公司、淘友科技公司未按协议要求及时删除相关用户信息,仍将包括新浪微博用户职业信息、教育信息在内的相关信息用于脉脉软件,该行为不符合《开发者协议》的约定。
法院认为,网络平台提供方可以就他人未经许可擅自使用其经过用户同意收集并使用的用户数据信息主张权利。换句话解释就是,即使用户同意了某些软件收集自己在微博、天猫、QQ等网络平台上的信息,但没有得到平台的许可,微博、天猫、QQ也可以对这部分数据主张权利,授权或禁止软件方使用。
北京大学法学院副院长薛军教授表示,互联网企业在获取用户数据时,首先要征得用户同意,并且只能在用户授权的范围内使用。平台方也有监管责任,一旦发现此类侵权行为,首先要向用户示警,并且可以根据与用户达成的使用协议,对第三方追责。
平台应保证用户信息安全
微博和脉脉的案件已经终审,个人信息保护的警钟仍需长鸣。
首先,作为第三方,开发者通过0pen API获得用户信息时必须遵循“用户授权+平台授权+用户授权”的原则,即用户同意平台向第三方提供信息,平台授权第三方获取信息,用户再次授权第三方使用信息,而且用户的同意必须是具体的、清晰的,是用户在充分知情的前提下自由作出的决定。
在本案中,淘友技术公司、淘友科技公司未取得用户许可,就抓取了非脉脉用户的相关新浪微博信息,对于得到注册用户许可的抓取,脉脉又未得到微博的许可。同时,淘友技术公司、淘友科技公司以技术的最大能力为范围,能抓取多少用户信息就抓多少,这不仅破坏了基于《开发者协议》建立起来的0pen API合作模式,还容易引发“技术霸权”的恶性竞争,即只要技术上能够获取的信息就可以任意取得,从而破坏了互联网的竞争秩序。
同时,案件也暴露出微博平台对于用户信息保护有所欠缺。例如,虽然要求开发者必须申请接口权限才能调用信息,但脉脉未经许可同样也能调用教育和职业接口。
因此,法院也要求微博平台提高对用户信息的保护力度,“数据提供方不仅应将用户数据信息作为竞争优势来加以保护,还应将保护用户数据信息作为企业的社会责任”。
“本案中,微博作为平台方维护用户个人信息安全的行为,对大数据的使用规则具有比较重要的现实意义。”薛军表示,造成此类事件频发的原因之一是目前国内还没有形成专门的个人信息保护法律,在目前情况下,平台方应该保持警醒,开发者应该遵守协议,监管部门也应该加强监管。