大數(shù)據(jù)第一案,微博為什么贏了

本周數(shù)據(jù)安全領(lǐng)域發(fā)生了兩件事，一件大事一件小事，前者是支付寶密碼漏洞事件，知道的人很多，搞得滿城風(fēng)雨。幸好支付寶處理漏洞的速度很快，迅速的就堵上了這個漏洞。后者是微博贏得了“脈脈非法抓取使用微博用戶信息”案件的勝利，這個案件雖然比不上支付寶那個熱度，但是對于從事數(shù)據(jù)分析行業(yè)的我來說確是足夠震撼。并且這個案件的判罰，不僅僅和微博相關(guān)，其實(shí)和每一個互聯(lián)網(wǎng)用戶都有很大的關(guān)系。

這兩個案例，第一個是系統(tǒng)的漏洞（Bug），修改程序堵上就行了。第二個卻揭開了大數(shù)據(jù)背景下數(shù)據(jù)安全，數(shù)據(jù)過度營銷的黑幕，它對社會的危害反而是最大的，需要企業(yè)、國家機(jī)構(gòu)、甚至我們每個人一起來維護(hù)數(shù)據(jù)安全，所以微博和脈脈的案例反而是一個大事件。這是行業(yè)標(biāo)桿性的一個判罰，在幾個方面都有突破，所以今天和大家好好聊聊這個案子。

微博、脈脈案件背景

相信很多人第一眼是將脈脈看成陌陌了，其實(shí)脈脈和陌陌一樣都是做人脈社交的應(yīng)用，只不過陌陌是基于LBS（位置服務(wù)）的陌生人群社交應(yīng)用，脈脈是基于工作關(guān)系的熟人社交應(yīng)用。

之前脈脈和微博有過合作，脈脈通過微博的API接口打通了微博和脈脈的認(rèn)證體系，用戶可以使用微博賬號注冊登錄脈脈，一旦用戶同意使用微博賬號注冊脈脈，脈脈就可以獲取該用戶的微博名、頭像、性別、職業(yè)、教育等信息（注意這個過程是用戶授權(quán)的，但很多人懶，以至于注冊時不會主動勾掉這些選項(xiàng)）。用戶可通過微博賬號和個人手機(jī)號注冊登錄脈脈，現(xiàn)在幾乎所有的應(yīng)用都要求用戶提供手機(jī)號，用來接受驗(yàn)證碼。但是為了人脈關(guān)系鏈條的需要，脈脈在用戶注冊時還要求用戶上傳個人手機(jī)通訊錄的聯(lián)系人信息（當(dāng)然這個動作也是需要用戶授權(quán)的）。

本來說上傳手機(jī)通訊錄不關(guān)微博什么事情，問題是微博隨后來發(fā)現(xiàn)，脈脈用戶的“一度人脈”中，大量非脈脈用戶在人脈關(guān)系鏈中，直接顯示有他們的的頭像、名稱、職業(yè)、教育等信息。這是什么意思？就是脈脈利用手機(jī)號進(jìn)行匹配微博賬號，非法的抓取了這些沒有授權(quán)的用戶信息，并且用于商業(yè)用途。

雖然通過合作網(wǎng)站注冊登錄已經(jīng)是一種非常普遍的行為，微博、微信、QQ、支付寶都支持這種了注冊登錄方式，不過這次脈脈顯然有越位之嫌。

脈脈為什么輸了？

其實(shí)脈脈已經(jīng)輸過一次了，2016年4月北京市海淀區(qū)人民法院審結(jié)該案，認(rèn)定北京淘友天下技術(shù)有限公司和北京淘友天下科技發(fā)展有限公司（就是脈脈的營運(yùn)方）非法抓取、使用新浪微博用戶信息等行為構(gòu)成不正當(dāng)競爭。但是脈脈不服，于是提起上訴，2016年12月30日北京知識產(chǎn)權(quán)法院做出終審判決，駁回上訴維持原判。

互聯(lián)網(wǎng)的本質(zhì)是開放、平等、協(xié)作、分享，但開放并不是沒有底線，平等并不是沒有規(guī)則，協(xié)作和分享也一定是基于用戶意愿的基礎(chǔ)上。個人覺得脈脈其實(shí)是輸在了以下幾點(diǎn)：

1、非法獲取用戶信息，并用于商業(yè)化。

脈脈的職場社交做的就是熟人社交，而熟人社交中最重要的一個環(huán)節(jié)是關(guān)系鏈，關(guān)系鏈不能打通，不知道你是誰，這只是陌生人的社交。所以獲取關(guān)系鏈的數(shù)據(jù)就尤為重要，利用微博API接口，脈脈非法獲取了用戶沒有授權(quán)的信息，并且在“一度人脈”中進(jìn)行了展示，其他人則能夠看到這些沒有被授權(quán)的信息。第三方公司抓取微博數(shù)據(jù)用于商業(yè)化，不僅僅侵犯了用戶的權(quán)利，也構(gòu)成對微博的侵權(quán)，這當(dāng)然是非法的，微博自然可以進(jìn)行起訴。

2、脈脈的行為構(gòu)成了不正當(dāng)競爭

咱們國家的《反不當(dāng)競爭法》明確規(guī)定：經(jīng)營者不得采用以盜竊、利誘、脅迫或者其他不正當(dāng)手段獲取權(quán)利人的商業(yè)秘密。也不可以未經(jīng)允許披露、使用或者允許他人使用其所掌握的商業(yè)秘密。對微博來說，用戶信息的關(guān)系鏈就是它的商業(yè)秘密，法院當(dāng)然會支持微博的這種訴求。

3、脈脈沒有起到保護(hù)用戶信息的作用

大數(shù)據(jù)時代，每個企業(yè)都有責(zé)任去保護(hù)用戶的個人信息，并且大家都有義務(wù)一起推動數(shù)據(jù)生態(tài)的繁榮。相反脈脈不但沒有去保護(hù)用戶的信息，反而是進(jìn)行了商業(yè)應(yīng)用，并把這些信息展示在自己的“一度人脈”中，讓更多的人看到。

這起案件的行業(yè)意義

雖然這個案件是按照不正當(dāng)競爭來判決的，其實(shí)本質(zhì)上是個人信息安全保護(hù)權(quán)的爭奪。這個案例，一審在北京市海淀區(qū)人民法院審結(jié)，終審判決在北京知識產(chǎn)權(quán)法院，兩級法院都支持了微博的訴求，也有一些實(shí)質(zhì)性的突破，這對未來類似案件的審理提供了參考價值。

以往的類似重大訴訟，法院判決的處罰金額基本為幾十萬元，通常不超過50萬元，此案罰金大幅提高到200萬元。這個現(xiàn)象體現(xiàn)了司法部門對數(shù)據(jù)保護(hù)的重視程度，這也將促進(jìn)大數(shù)據(jù)應(yīng)用變得更加規(guī)范?，F(xiàn)在利用數(shù)據(jù)過度營銷的案例比比皆是，也有很多公司在打擦邊球，所以希望通過這個案例能逐步規(guī)范大數(shù)據(jù)的使用。企業(yè)如果再不規(guī)范自己和第三方數(shù)據(jù)的使用，就可能被告上法庭被處巨額罰金。

第二個突破是，用戶授權(quán)同意了的數(shù)據(jù)就可以安全的使用了嗎？答案是否定的。第三方使用時，不但需要用戶授權(quán)，還需要平臺授權(quán)才可以。北京知識產(chǎn)權(quán)法院提到第三方應(yīng)用通過開放平臺例如Open API模式獲取用戶信息時應(yīng)堅持“用戶授權(quán)”+“平臺授權(quán)”+“用戶授權(quán)”的三重授權(quán)原則。聽起來好麻煩，其實(shí)這正是數(shù)據(jù)安全性的多維保護(hù)，不但用戶需要保護(hù)自己的信息，平臺方也需要建立規(guī)則保護(hù)用戶數(shù)據(jù)。所以不要以為用戶同意了的數(shù)據(jù)就可以隨便使用了，別拿用戶說事兒。

數(shù)據(jù)是企業(yè)的一項(xiàng)競爭力，是可以獲利的商業(yè)資源，同樣也需要被保護(hù)。北京知識產(chǎn)權(quán)法院支持了這個觀點(diǎn)：互聯(lián)網(wǎng)絡(luò)中，用戶信息已經(jīng)成為今后數(shù)據(jù)經(jīng)濟(jì)中提升效率、支撐創(chuàng)新最重要的基本元素之一。因此，數(shù)據(jù)的獲取和使用，不僅能成為企業(yè)競爭優(yōu)勢的來源，更能為企業(yè)創(chuàng)造更多的經(jīng)濟(jì)效益，是經(jīng)營者重要的競爭優(yōu)勢與商業(yè)資源。因此，網(wǎng)絡(luò)平臺提供方可以就他人未經(jīng)許可擅自使用其經(jīng)過用戶同意收集并使用的用戶數(shù)據(jù)信息主張權(quán)利。

同時北京知識產(chǎn)權(quán)法院也提到，數(shù)據(jù)提供方不僅應(yīng)將用戶數(shù)據(jù)信息作為競爭優(yōu)勢來加以保護(hù)，還應(yīng)將保護(hù)用戶數(shù)據(jù)信息作為企業(yè)的社會責(zé)任，采取相應(yīng)的技術(shù)措施提升相應(yīng)權(quán)限的控制，通過接口調(diào)用的檢測以及保存調(diào)用過程的控制，不斷完善Open API合作模式。

大數(shù)據(jù)時代，各平臺方都有責(zé)任和義務(wù)推動數(shù)據(jù)生態(tài)的繁榮，積極建立數(shù)據(jù)使用規(guī)則，對那些濫用數(shù)據(jù)，過度使用數(shù)據(jù)額行為進(jìn)行制止。否則，就將是現(xiàn)代社會的一場悲劇。