本周数据安全领域发生了两件事,一件大事一件小事,前者是支付宝密码漏洞事件,知道的人很多,搞得满城风雨。幸好支付宝处理漏洞的速度很快,迅速的就堵上了这个漏洞。后者是微博赢得了“脉脉非法抓取使用微博用户信息”案件的胜利,这个案件虽然比不上支付宝那个热度,但是对于从事数据分析行业的我来说确是足够震撼。并且这个案件的判罚,不仅仅和微博相关,其实和每一个互联网用户都有很大的关系。
2017年数据知识产权第一案:脉脉非法抓取使用微博用户信息 被判不正当竞争
这两个案例,第一个是系统的漏洞(Bug),修改程序堵上就行了。第二个却揭开了大数据背景下数据安全,数据过度营销的黑幕,它对社会的危害反而是最大的,需要企业、国家机构、甚至我们每个人一起来维护数据安全,所以微博和脉脉的案例反而是一个大事件。这是行业标杆性的一个判罚,在几个方面都有突破,所以今天和大家好好聊聊这个案子。
微博、脉脉案件背景
相信很多人第一眼是将脉脉看成陌陌了,其实脉脉和陌陌一样都是做人脉社交的应用,只不过陌陌是基于LBS(位置服务)的陌生人群社交应用,脉脉是基于工作关系的熟人社交应用。
之前脉脉和微博有过合作,脉脉通过微博的API接口打通了微博和脉脉的认证体系,用户可以使用微博账号注册登录脉脉,一旦用户同意使用微博账号注册脉脉,脉脉就可以获取该用户的微博名、头像、性别、职业、教育等信息(注意这个过程是用户授权的,但很多人懒,以至于注册时不会主动勾掉这些选项)。
用户可通过微博账号和个人手机号注册登录脉脉,现在几乎所有的应用都要求用户提供手机号,用来接受验证码。但是为了人脉关系链条的需要,脉脉在用户注册时还要求用户上传个人手机通讯录的联系人信息(当然这个动作也是需要用户授权的)。
本来说上传手机通讯录不关微博什么事情,问题是微博随后来发现,脉脉用户的“一度人脉”中,大量非脉脉用户在人脉关系链中,直接显示有他们的的头像、名称、职业、教育等信息。这是什么意思?就是脉脉利用手机号进行匹配微博账号,非法的抓取了这些没有授权的用户信息,并且用于商业用途。
虽然通过合作网站注册登录已经是一种非常普遍的行为,微博、微信、QQ、支付宝都支持这种了注册登录方式,不过这次脉脉显然有越位之嫌。
脉脉为什么输了?
其实脉脉已经输过一次了,2016年4月北京市海淀区人民法院审结该案,认定北京淘友天下技术有限公司和北京淘友天下科技发展有限公司(就是脉脉的营运方)非法抓取、使用新浪微博用户信息等行为构成不正当竞争。但是脉脉不服,于是提起上诉,2016年12月30日北京知识产权法院做出终审判决,驳回上诉维持原判。
互联网的本质是开放、平等、协作、分享,但开放并不是没有底线,平等并不是没有规则,协作和分享也一定是基于用户意愿的基础上。个人觉得脉脉其实是输在了以下几点:
1、非法获取用户信息,并用于商业化。
脉脉的职场社交做的就是熟人社交,而熟人社交中最重要的一个环节是关系链,关系链不能打通,不知道你是谁,这只是陌生人的社交。所以获取关系链的数据就尤为重要,利用微博API接口,脉脉非法获取了用户没有授权的信息,并且在“一度人脉”中进行了展示,其他人则能够看到这些没有被授权的信息。第三方公司抓取微博数据用于商业化,不仅仅侵犯了用户的权利,也构成对微博的侵权,这当然是非法的,微博自然可以进行起诉。
2、脉脉的行为构成了不正当竞争
咱们国家的《反不当竞争法》明确规定:经营者不得采用以盗窃、利诱、胁迫或者其他不正当手段获取权利人的商业秘密。也不可以未经允许披露、使用或者允许他人使用其所掌握的商业秘密。对微博来说,用户信息的关系链就是它的商业秘密,法院当然会支持微博的这种诉求。
3、脉脉没有起到保护用户信息的作用
大数据时代,每个企业都有责任去保护用户的个人信息,并且大家都有义务一起推动数据生态的繁荣。相反脉脉不但没有去保护用户的信息,反而是进行了商业应用,并把这些信息展示在自己的“一度人脉”中,让更多的人看到。