大數據引發不正當競爭第一案

　　右上圖：微博曾授權脈脈使用微博作為第三方登錄，由於發現脈脈未經許可收集非脈脈用戶的微博信息，終止了與脈脈的合作。

　　左圖：第三方登錄是網絡軟體常用的登錄方式，一旦用戶使用，通常都會默認軟體收集用戶在第三方軟體的信息。

　　右下圖：在脈脈註冊頁面上，可以看到“註冊即表示你同意脈脈服務協議”的規定，很多人根本沒有注意過，更不要説點開服務協議仔細閱讀了。 佘 穎攝

　　“脈脈非法抓取使用新浪微博用戶信息”案近日在北京知識産權法院終審宣判。法院駁回了脈脈的上訴，維持原判，認定北京淘友天下技術有限公司和北京淘友天下科技發展有限公司（均為脈脈的經營公司）未經用戶允許和微博平臺授權，非法抓取、使用新浪微博用戶信息，非法獲取並使用脈脈註冊用戶手機通訊錄聯絡人與微博用戶的對應關係，構成不正當競爭。

　　這是我國首例大數據不正當競爭糾紛案，不僅再次警醒第三方開發者必須遵守道德、商業秩序，也提醒互聯網平臺、消費者要加強對個人信息的保護。

　　擅自使用他人微博頭像

　　脈脈是一款社交軟體，通過分析用戶的新浪微博和通訊錄數據，幫助用戶發現新的朋友，並可以幫助他們建立聯絡。

　　2013年9月11日至2014年8月15日，脈脈曾經獲得微博授權，用戶可通過微博賬戶註冊脈脈，同時脈脈可獲得微博用戶的部分信息。

　　但是，在合作期間，脈脈在沒有得到微博授權，也未經未註冊用戶許可的情況下，將脈脈用戶手機通訊錄裏的聯絡人與新浪微博用戶對應，並展示在脈脈用戶“一度人脈”中。而且，在合作終止後，仍繼續使用這些信息。

　　作為驗證，2014年11月25日，用戶趙某使用新購買的三星手機下載安裝脈脈軟體，用自己的手機號登錄脈脈軟體，上傳手機聯絡人後，發現“一度人脈”中，默認的“公司”名錄下出現了“奇虎360”一項，裏面有自己的通訊錄聯絡人“李某某”，同時顯示有頭像、影響力指數、手機號，個人標簽360安全衛士、80後、IT數碼等。同時出現的還有“中信證券”下的“黃某某”、“豆瓣”的“王某某”及“美中宜和婦兒醫院”的“許某”。

　　經過核實，這4人的頭像與他們的微博頭像一樣，但他們並未註冊過脈脈，而且王某某的職業與微博所寫的“豆瓣算法工程師”一致。他們肯定沒想到，雖然自己從未註冊過脈脈，但自己的工作單位、畢業學校、頭像等微博上的信息已經在脈脈上出現。這一切，僅僅是因為他們共同的朋友趙某通過脈脈上傳了他們的手機號。

　　這種做法並非行業慣例。例如，微信能夠展示手機通訊錄中的其他微信用戶，但如果該手機號碼並未註冊微信，就不會展示，更不會展示該聯絡人在微博、淘寶等其他軟體上的相關信息。

　　因此，一審法院認為，根據合同相對性原則，脈脈與用戶之間的協議僅能約束脈脈用戶與淘友科技公司，對非脈脈用戶不發生法律效力，淘友技術公司、淘友科技公司不能據此收集與脈脈用戶有聯絡的非脈脈用戶信息。

　　“這起案件表面上是一件不正當競爭案件，本質上是個人信息保護之爭。”中國政法大學副教授、北京消費者權益保護法學研究會副秘書長朱巍認為，“任何平臺使用用戶個人信息都應該經過用戶本人同意。雖然大數據可以買賣，但是用戶個人的隱私數據不屬於大數據，擅自使用就是侵犯用戶隱私權，甚至是安寧權”。

　　數據只能在用戶範圍使用

　　脈脈的另一違法行為是，未經微博平臺許可調用脈脈用戶和非脈脈用戶在微博填寫的教育和職業信息。據新浪微博研發經理李慶豐介紹，在脈脈與微博的《開發者協議》中明確規定，脈脈通過新浪微博獲取的用戶信息包括姓名、性別、頭像、電子郵箱，並不包括用戶教育信息、職業信息和手機號。

　　未經本人許可，調用非脈脈用戶的信息是一種非法行為。但是，在註冊時，脈脈用戶都必須跟脈脈簽訂《軟體服務協議》，同意“用戶通過新浪微博賬號、QQ賬號等第三方平臺賬號註冊、登錄、使用脈脈服務的，將被視為用戶完全了解、同意並接受淘友公司已包括但不限于收集、統計、分析等方式使用其在新浪微博、QQ等第三方平臺上填寫、登記、公佈、記錄的全部相關信息。”

　　換句話説，用戶已經“授權”脈脈調取自己在微博上的全部信息，為什麼微博平臺還可以説不？

　　在審理過程中出現的一個小插曲能回答這個問題。當時，曾作為淘友技術公司、淘友科技公司員工的證人表示，自己同意向脈脈軟體授權好友關係，但他也無法準確區分脈脈用戶與非脈脈用戶。法院認為這代表了用戶接受應用軟體格式合同時的普遍狀態，即用戶授權行為具有一定的隨意性，不能以此作為非脈脈用戶的授權行為。

　　用戶授權具有隨意性，為用戶信息站崗的就只有平臺方了。作為平臺，微博通過0penAPI接口協議來規範第三方的抓取行為，並禁止第三方平臺通過爬蟲等抓取微博用戶信息。

　　但是，淘友技術公司、淘友科技公司在合作期間未申請職業信息、教育信息0penAPI接口，就擅自從微博開放平臺獲取新浪微博用戶的職業信息、教育信息；在雙方合作結束後，淘友技術公司、淘友科技公司未按協議要求及時刪除相關用戶信息，仍將包括新浪微博用戶職業信息、教育信息在內的相關信息用於脈脈軟體，該行為不符合《開發者協議》的約定。

　　法院認為，網絡平臺提供方可以就他人未經許可擅自使用其經過用戶同意收集並使用的用戶數據信息主張權利。換句話解釋就是，即使用戶同意了某些軟體收集自己在微博、天貓、QQ等網絡平臺上的信息，但沒有得到平臺的許可，微博、天貓、QQ也可以對這部分數據主張權利，授權或禁止軟體方使用。

　　北京大學法學院副院長薛軍教授表示，互聯網企業在獲取用戶數據時，首先要徵得用戶同意，並且只能在用戶授權的範圍內使用。平臺方也有監管責任，一旦發現此類侵權行為，首先要向用戶示警，並且可以根據與用戶達成的使用協議，對第三方追責。

　　平臺應保證用戶信息安全

　　微博和脈脈的案件已經終審，個人信息保護的警鐘仍需長鳴。

　　首先，作為第三方，開發者通過0pen API獲得用戶信息時必須遵循“用戶授權+平臺授權+用戶授權”的原則，即用戶同意平臺向第三方提供信息，平臺授權第三方獲取信息，用戶再次授權第三方使用信息，而且用戶的同意必須是具體的、清晰的，是用戶在充分知情的前提下自由作出的決定。

　　在本案中，淘友技術公司、淘友科技公司未取得用戶許可，就抓取了非脈脈用戶的相關新浪微博信息，對於得到註冊用戶許可的抓取，脈脈又未得到微博的許可。同時，淘友技術公司、淘友科技公司以技術的最大能力為範圍，能抓取多少用戶信息就抓多少，這不僅破壞了基於《開發者協議》建立起來的0pen API合作模式，還容易引發“技術霸權”的惡性競爭，即只要技術上能夠獲取的信息就可以任意取得，從而破壞了互聯網的競爭秩序。

　　同時，案件也暴露出微博平臺對於用戶信息保護有所欠缺。例如，雖然要求開發者必須申請接口權限才能調用信息，但脈脈未經許可同樣也能調用教育和職業接口。

　　因此，法院也要求微博平臺提高對用戶信息的保護力度，“數據提供方不僅應將用戶數據信息作為競爭優勢來加以保護，還應將保護用戶數據信息作為企業的社會責任”。

　　“本案中，微博作為平臺方維護用戶個人信息安全的行為，對大數據的使用規則具有比較重要的現實意義。”薛軍表示，造成此類事件頻發的原因之一是目前國內還沒有形成專門的個人信息保護法律，在目前情況下，平臺方應該保持警醒，開發者應該遵守協議，監管部門也應該加強監管。