有用户授权数据随便抓?法院say No!还没问过平台呢

来源:网络法实务圈

文章摘要
目录 一、 场景描述 二、 法律问题拆解 (一) 用户在平台上沉淀的数据法律属性 (二) 用户平台数据的权利(权益)归属分析 (三) 通过open api接口抓取平台系统内部用户数据授权模式分析 (四

目录
一、 场景描述
二、 法律问题拆解
(一) 用户在平台上沉淀的数据法律属性
(二) 用户平台数据的权利(权益)归属分析
(三) 通过open api接口抓取平台系统内部用户数据授权模式分析
(四) 抓取平台外部用户数据分析
(五) 抓取用户平台账户内的数据分析
三、 整体评价
一 场景描述
仅有用户授权,通过第三方工具采集用户平台数据的合法性。用户注册平台并使用平台服务后,会在平台沉淀各类数据以及数据结果,这些数据由于精准的反映出用户的行为特征获取具有其他商用价值,因此诸多第三方应用也希望能够加以利用,例如:某金融信贷应用,希望通过查看用户在各大电商平台的消费记录、借贷记录、信用分等分析判断该用户的信贷能力,进而决定是否放款。
此时,第三方应用是否可以仅通过获得用户授权,通过技术手段登陆用户在平台上的账户,查看、抓取这些用户在平台上的有关信息。
这其中最值得关注的问题在于,第三方应用仅获得了用户授权,没有获得用户所在平台的授权。进一步,用户对其在平台上形成的数据究竟有无独立控制的权利或权益,第三方应用想要获取这些数据,是否还需获得平台的授权许可。
二 法律问题拆解
(一)用户在平台上沉淀的数据法律属性
通常来讲,用户在平台上沉淀下来的数据主要包括:行为数据、个人信息、个人隐私、公共数据、商业秘密。

目前已经被法律、国家标准、司法判例明确规定的个人信息、隐私包括:

(二)用户平台数据的权利(权益)归属分析
1. 个人信息、个人隐私权利(权益归属):
从目前的立法《网络安全法》《电信和互联网用户个人信息保护规定》等规定来看,个人信息、个人隐私被法律赋予给个人主体进行控制,平台的收集、使用等行为都应该获得用户充分授权。
其中个人信息具有商业属性,可以通过授权获取收益,这部分权益的具体归属要看用户与平台之间的约定。
2. 脱敏后的用户数据归属:
根据《网络安全法》第四十二条:“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外”,说明,脱敏后剥离对用户主体身份指向的数据信息,可以自由流转使用。
脱敏后的数据权益,从司法判例来看,应当属于对数据收集和整理有贡献的平台。
(三)通过open api接口抓取平台系统内部用户数据授权模式分析
第三方抓取平台系统内部的用户数据,根据法院目前判例,需要遵守“三重授权”原则,详见
新浪诉脉脉不正当竞争案

基本案情
微梦公司经营的新浪微博为社交媒体平台,淘友公司经营的脉脉软件和网站是一款基于移动端的人脉社交应用,双方曾在2013-2014年通过新浪Open API进行过合作。2014年8月,微梦公司发现淘友公司在新浪微博开设的“脉脉”和“淘友网”账号数据调用异常,且淘友公司在其获得开放授权的微博客户头像、名称、标签之外,还抓取、使用了教育信息和职业信息。
微梦公司因而停止了淘友公司的合作。但在合作终止后,淘友公司并未及时删除双方合作期间获取的新浪微博用户信息。微梦公司遂以不正当竞争为由将淘友技术公司与淘友科技公司诉至法院。
法院判决
北京知识产权法院认为:OpenAPI开发合作模式中数据提供方向第三方开放数据的前提是数据提供方取得用户同意,同时,第三方平台在使用用户信息时还应当明确告知用户其使用的目的、方式和范围,再次取得用户的同意。因此,在OpenAPI开发合作模式中,第三方通过OpenAPI获取用户信息时应坚持“用户授权”+“平台授权”+“用户授权”的三重授权原则。
本案中,微梦公司通过OpenAPI开放接口与脉脉的经营公司合作,虽然其对于OpenAPI开放接口权限管理、检测、维护等方面存在技术及管理等问题,导致脉脉的经营公司可以通过技术手段获取用户的职业信息和教育信息,但是,脉脉的经营公司并没有基于《开发者协议》在取得用户同意的情况下读取非脉脉用户的新浪微博信息,其获取前述信息的行为没有充分尊重《开发者协议》的内容,未能尊重用户的知情权及自由选择权,一定程度上破坏了OpenAPI合作开发模式。
另外一个值得参考的案例是
腾讯诉抖音、多闪案
基本案情
2016年9月9日、2016年12月11日,抖音平台先后与QQ开放平台、微信开放平台通过Open API进行合作。微信/QQ提供给抖音产品的是开放平台授权登录服务,包括以下内容:通过微信/QQ开放平台的0penAPI接口调用,帮助抖音实现用户鉴权、识别身份,以及授权使用微信/QQ用户头像、昵称等数据的登录功能。多闪为抖音私信功能升级而来的一款视频社交产品,可以使用抖音账号登录进行沟通、交流。
腾讯认为抖音、多闪存在超范围使用通过微信、QQ开放平台注册抖音账号的用户头像、昵称等不正当竞争行为,于是向天津市滨海新区人民法院提出了行为禁令申请。
法院认为

天津滨海新区法院认为:开放平台数据共享的合法性,不仅需要开放平台经营者的合法授权,而且需要保障用户的知情权、选择权和隐私权。
抖音在推荐好友时向其他用户显示该用户头像、昵称的行为,系其对来源于开放平台的相关数据的再次使用,显然已超出授权登录的使用目的和使用范围,且显示使用头像、昵称等便于身份识别的用户个人信息时,亦没有获得用户的二次授权,该行为既违反了其与平台之间的约定及有关法律对网络经营者所规定的保护个人信息的义务,也侵害了用户的选择权、知情权和隐私权等合法权益,不具有正当性。

(四)抓取平台外部用户数据分析
这方面值得参考的判例是
大众点评诉爱帮不正当竞争案
基本案情
汉涛公司经营的大众点评网与爱帮聚信公司经营的爱帮网均为网络分类信息查询服务。汉涛公司发现爱帮网在经营中大量复制、甚至直接摘取大众点评网上的商户简介及用户点评内容,遂以不正当竞争为由将爱帮聚信公司诉至法院。 在这方面,有一种不同的业务场景是,第三方抓取平台用户外部数据,但不用于从事竞争性业务,例如抓取电商平台商家用户的经营数据,用于制作行业报告等供其他商家参考,这种行为是否构成不正当竞争尚未见到判例。
(五)抓取用户平台账户内的数据分析
抓取用户在平台内账户的数据,即便有用户的充分授权,恐怕也难以彻底回避平台的授权问题。
在这方面平台可能主张用户账户内的数据也在整体上构成商业资源,或者主张抓取行为妨碍了系统正常运行、违反了网站设置的爬虫协议等(司法判例中已有的非公益必要不干扰原则)。
平台引用的上述理由并不必然成立,如果第三方应用不从事替代业务(没有破坏商业资源)、以合理的频率进行抓取(参照用户自然访问频率)、逐次获得用户的针对性授权(例如具体的查看链接授权),则可能司法会考虑突破平台授权环节,要求平台不得通过爬虫协议、技术措施等进行封堵。
三 整体评价
该场景下,用户对自身在平台沉淀的数据不必然享有独立的控制权,仍需获得平台的认可和协助(三重授权原则),尤其当用户数据整体上作为平台的商业资源被竞争对手获取后用于同类业务的场景下(抖音被滨海法院发出的禁令),司法对此认可平台对此类数据的控制和权益。
但,另外一些场合,如果用户的平台数据不被第三方用于竞争性业务,且用户授权后查看这些数据也不会对平台造成额外的成本或经营负担,法律应该考虑给予准许,这方面尤其是一些具有公共管理、公益职能的平台,它们依照职权或公益目的获取用户数据,且没有商业盈利要求,故此应该对第三方得到用户授权后调用这些数据采取更加开放的态度,以便通过第三方创新应用实现用户数据价值最大化。

技术驱动法律,专业成就未来