日报标题:给了帐号还想要我的公司和学校信息,微博怒了,脉脉输了
律匠Matt,80后律师,专注互联网法律深度观察。
2016 年 12 月末,还有阳光。
脉脉这款职场社交软件,最终还是败给了新浪微博。
在我看来,这场官司是全国首例 OAuth2.0 协议不正当竞争案。大家也可以观察到,2016 年伊始,越来越多的互联网自由协议纠纷(如 ROBOTS 蜘蛛协议纠纷,见文:蜘蛛侠的入侵:互联网公司 robots 协议法律指南)登上中国司法的舞台,也考验着中国的互联网公司,以及互联网精神。
文一首例 OAuth2.0 协议案始末
事情是酱紫的,新浪微博在 2015 年 3 月将脉脉送上法庭,称脉脉绕开原来双方签订的《开发者协议》中约定的开放接口,非法大量抓取微博平台的用户数据。简单来说,微博原来通过协议同意脉脉用户使用微博帐号登陆脉脉,即使用脉脉用户可以使用第三方账号登陆脉脉,但双方在合作结束后,脉脉还超出权限调用微博用户的职业信息和教育信息。
一审法院判决脉脉赔偿新浪微博 220 万,二审现在维持了原判。
在本案中,绕不开的话题,就是 OAuth2.0 协议问题。我们现在经常进行这样一类注册和登陆方式:使用第三方账户体系进行登陆并注册,比如在注册某网站帐号时,可以点击 QQ 帐号注册登陆,而且这种方式已越来越普遍。
文二OAuth2.0 协议开放标准
所谓的 OAuth2.0 协议,这是一个授权开放的互联网自由标准协议,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如头像、昵称等),而无需将用户名和密码提供给第三方应用。
(第三方帐号登陆示例)
例如在某类豪车的配置中,厂商会配两把车钥匙给车主,一把全授权模式,一把限定授权模式,车主使用代客泊车服务时,可将限定授权模式的车钥匙交给泊车人,泊车人只能行驶限定的距离,不能开启车内娱乐系统、后备箱等。类似的,在第三方账户注册登陆时,第三方账户也只会经用户授权后提供该账户下的基本信息,如头像、昵称、性别等,而不会泄露账号密码,这就给用户注册登陆提供了安全和便利。
但在新浪诉脉脉一案中,双方签订的开发者合作协议似乎形同虚设。脉脉通过(超越)授权调用了新浪用户数据中的教育信息和工作信息,而不仅仅限于头像呢称性别等。
奇怪的是,双方都没法说明脉脉怎么调用这些非权限数据的,也没有证据证明脉脉是绕过合作,使用蜘蛛爬虫扒取了微博的数据,脉脉自己估计也蒙逼,明明微博说不给他开放高级接口,但实际用时却能拿到微博的高级接口数据。
所以二审法院也有些火大:“被上诉人微梦公司作为 0pen API 平台提供方,在其认为没有授予上诉人淘友技术公司、淘友科技公司相应权限的情况下,上诉人淘友技术公司、淘友科技公司已然通过 0pen API 接口获取了相应信息,暴露出被上诉人对于 0pen API 权限控制的漏洞。”
OAuth2.0 协议授权简直形同虚设。
文三互联网公司 OAuth2.0 协议合规指南
互联网开放平台在 OAuth2.0 协议下,该如何进行数据和安全合规?
1.第三方帐户登陆的二次注册
基于 OAuth 授权注册的限制性,用户使用第三方帐号登陆目标帐号后,该类账户的注册信息其实并不能沉淀在目标网站上,因为目标网站基于 OAuth2.0 协议,并不能获得第三方账号名,甚至在极端情况下,如果第三方账户网站收回开放授权,那这些已经注册的用户将会面临无法使用目标网站的尴尬,只能重新注册,这可能将导致大批量用户流失,此其一。
其二,仅使用第三方帐号进行注册,在法律上也难以构成明确的实名主体,即不符合中国互联网要求网络运营者对用户进行实名认证的法律要求。就像我之前发布的文章《小程序:带给法律的尴尬知多少》发布后,很多人就发信息给我说不存在实名认证问题,因为微信在小程序上线时也会作严格审核的。
这其实是种误解,其实文章中所称实名认证的尴尬不是说开发者没实名,而是开发者的交易对象(网络用户),这是两个层面的问题。这就好比应用分发平台,如 APPstore,开发者都是严格认证的,但用户下载后是不是要注册,以及注册到什么程度,苹果就不一定能控制,或者说没有控制的法律义务。
因此,当目标网站使用第三方账户进行注册时,仍应当进一步要求注册用户填写个人信息(例如手机号等信息),切忌为了盲目追求用户注册的体验感而忽略这一紧要步骤。当然,不理解的用户经常要吐槽,我已经用了第三方账户进行注册和登陆,为啥还要重新进行注册,多此一举。
2.隐私权“三重授权”原则
越来越多的第三方平台把自己定位为开放平台,而所谓的开放平台实际上并没有法律定义,其主要内容包括技术数据接口开放——让其它网站来调用、使用其平台上的用户数据,还包括内容开放——让用户自行生成、上传内容,如 UGC 视频网站,SNS 社交网站,以及电子商务平台也有开放平台概念。
但开放平台也不是这么好当的,既然开放了,就应当或有能力履行更多的网络运营商义务,其中就包括用户隐私权,即用户的数据信息如何收集、使用,是否遵循合法、合理及必要性三原则。开放平台若需要将平台上收集的用户信息提供给第三方(例如新浪将其用户信息提供给脉脉调用),则必须获得用户的明确授权。
传统的互联网隐私权政策一般会列“我们收集什么,我们怎么用”这几个模块,但从目前看来,似乎并不够完整。具体包括:1.确定何为用户信息,何为非用户信息,这关系到开放平台能否将该类信息直接提供给它方,非用户信息的提供无须获得用户授权。所谓的用户信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。而“非用户个人信息”则可包括用户操作状态、使用记录、使用习惯等。2.在隐私权条款中必须向用户明确,开放平台将可能向第三方提供呢称、头像、性别等信息,用户予以同意,但仍应遵循 OAuth 授权,并届时签订开发者协议。
判决书有云:“互联网 + 大数据时代,用户数据安全与商业化利用是形影不离的两个问题,只有在充分尊重用户意愿,保护用户隐私权、知情权和选择权的前提下,才能更好的利用数据信息”。
在 0pen API 开发合作模式中,第三方通过 0pen API 获取用户信息时应坚持“用户授权”(隐私权政策上有授权)+“平台授权”(开放平台签订开发者协议授权)+“用户授权(用户在注册时点击确认授权)”的三重授权原则。
3.开放平台要有数据证据和安全意识
网络安全法规定,网络运营者须按照规定留存相关的网络日志不少于六个月。这并不是一句空话。在本案中,脉脉公司未能提交其通过 0pen API 开放接口调取数据的日志,理由是脉脉因服务器容量有限,没有保留之前通过 0pen API 接口调取数据的日志。微博公司亦未能提交脉脉通过 0pen API 开放接口调取数据的日志,微博解释说新浪微博当前日志保存策略为:距今 1 年内留存全量日志数据,1 年以上的将抽取部分月份日志数据进行留存。
所以,本案中,本来可以调查清楚的网络日志,作为这么大的互联网公司都没有保存(如果不排除系第三方公司利用蜘蛛扒取网页资料,也应当留存有相关的网络日志),举证不能的后果还是其实。最重要的是,法院在终审判决书中对微博未尽安全义务的行为进行了申饬,这对用户的安全感是有非常大的损害的。法院认为:“微梦公司在 0pen API 的接口权限设置中存在重大漏洞,被侵权后无法提供相应的网络日志进行举证,对于涉及用户隐私信息数据的保护措施不到位,暴露出其作为网络运营者在管理、监测、记录网络运行状态,应用、管理、保护用户数据,应对网络安全事件方面的技术薄弱问题。”
4.用户信息的最小够用原则
脉脉软件通过合作开发协议(或者其它手段),调取了微博公司尽可能多的数据,这显然很符合“人性”,对于互联网公司而言,数据信息是第一财产,不嫌多。但在《网络安全法》后时代,这样的思维还是必要或安全的么?
在庭审中,脉脉软件竟然说明他们其实并没有全面阅读《开发者协议》内容,不清楚自己无权获取用户的职业信息、教育信息的接口权限,只是利用现有技术最大限度的获取信息,只有在无法获取相关数据时才会提交接口申请。
而如果只要自己有技术能力就去扒取他它数据,会形成“技术霸权”,这是司法所不允许的行为。
所以,关于获取的用户信息应坚持最少够用原则,即网络运营者不得收集与其提供的服务无关的个人信息,即收集信息限于为了应用程序运行及功能实现目的而必要的用户数据。
当然,合作开发协议授权结束时,目标公司应当及时完成数据的断开和删除,否则属于违约使用信息,在脉脉一案中,脉脉虽然在协议结束后及时删除信息,但也不是一次性删除干净,而是花了大半年,最终法院对脉脉积极删除信息的行为表示了赞许,但仍然是爱莫能助,认定脉脉还是有违约信息使用的情况。
欢迎关注微信公众号:mclawman