大數據第一案，微博爲何贏了

 

      本週數據安全領域發生了兩件事，一件大事一件小事，前者是支付寶密碼漏洞事件，知道的人不少，搞得滿城風雨。幸虧支付寶處理漏洞的速度很快，迅速的就堵上了這個漏洞。後者是微博贏得了「脈脈非法抓取使用微博用戶信息」案件的勝利，這個案件雖然比不上支付寶那個熱度，可是對於從事數據分析行業的我來講確是足夠震撼。而且這個案件的判罰，不只僅和微博相關，其實和每個互聯網用戶都有很大的關係。

 

這兩個案例，第一個是系統的漏洞（Bug），修改程序堵上就好了。第二個卻揭開了大數據背景下數據安全，數據過分營銷的黑幕，它對社會的危害反而是最大的，須要企業、國家機構、甚至咱們每一個人一塊兒來維護數據安全，因此微博和脈脈的案例反而是一個大事件。這是行業標杆性的一個判罰，在幾個方面都有突破，因此今天和你們好好聊聊這個案子。

 

微博、脈脈案件背景

 

相信不少人第一眼是將脈脈當作陌陌了，其實脈脈和陌陌同樣都是作人脈社交的應用，只不過陌陌是基於LBS（位置服務）的陌生人羣社交應用，脈脈是基於工做關係的熟人社交應用。

 

以前脈脈和微博有過合做，脈脈經過微博的API接口打通了微博和脈脈的認證體系，用戶可使用微博帳號註冊登陸脈脈，一旦用戶贊成使用微博帳號註冊脈脈，脈脈就能夠獲取該用戶的微博名、頭像、性別、職業、教育等信息（注意這個過程是用戶受權的，但不少人懶，以致於註冊時不會主動勾掉這些選項）。用戶可經過微博帳號和我的手機號註冊登陸脈脈，如今幾乎全部的應用都要求用戶提供手機號，用來接受驗證碼。可是爲了人脈關係鏈條的須要，脈脈在用戶註冊時還要求用戶上傳我的手機通信錄的聯繫人信息（固然這個動做也是須要用戶受權的）。

 

原本說上傳手機通信錄不關微博什麼事情，問題是微博隨後來發現，脈脈用戶的「一度人脈」中，大量非脈脈用戶在人脈關係鏈中，直接顯示有他們的的頭像、名稱、職業、教育等信息。這是什麼意思？就是脈脈利用手機號進行匹配微博帳號，非法的抓取了這些沒有受權的用戶信息，而且用於商業用途。

 

雖然經過合做網站註冊登陸已是一種很是廣泛的行爲，微博、微信、QQ、支付寶都支持這種了註冊登陸方式，不過此次脈脈顯然有越位之嫌。

 

脈脈爲何輸了？

 

其實脈脈已經輸過一次了，2016年4月北京市海淀區人民法院審結該案，認定北京淘友天下技術有限公司和北京淘友天下科技發展有限公司（就是脈脈的營運方）非法抓取、使用新浪微博用戶信息等行爲構成不正當競爭。可是脈脈不服，因而提起上訴，2016年12月30日北京知識產權法院作出終審判決，駁回上訴維持原判。

 

互聯網的本質是開放、平等、協做、分享，但開放並非沒有底線，平等並非沒有規則，協做和分享也必定是基於用戶意願的基礎上。我的以爲脈脈實際上是輸在瞭如下幾點：

 

一、非法獲取用戶信息，並用於商業化。

 

脈脈的職場社交作的就是熟人社交，而熟人社交中最重要的一個環節是關係鏈，關係鏈不能打通，不知道你是誰，這只是陌生人的社交。因此獲取關係鏈的數據就尤其重要，利用微博API接口，脈脈非法獲取了用戶沒有受權的信息，而且在「一度人脈」中進行了展現，其餘人則可以看到這些沒有被受權的信息。第三方公司抓取微博數據用於商業化，不只僅侵犯了用戶的權利，也構成對微博的侵權，這固然是非法的，微博天然能夠進行起訴。

 

二、脈脈的行爲構成了不正當競爭

 

我們國家的《反不當競爭法》明確規定：經營者不得采用以盜竊、利誘、脅迫或者其餘不正當手段獲取權利人的商業祕密。也不能夠未經容許披露、使用或者容許他人使用其所掌握的商業祕密。對微博來講，用戶信息的關係鏈就是它的商業祕密，法院固然會支持微博的這種訴求。

 

三、脈脈沒有起到保護用戶信息的做用

 

大數據時代，每一個企業都有責任去保護用戶的我的信息，而且你們都有義務一塊兒推進數據生態的繁榮。相反脈脈不但沒有去保護用戶的信息，反而是進行了商業應用，並把這些信息展現在本身的「一度人脈」中，讓更多的人看到。

 

 

這起案件的行業意義

 

雖然這個案件是按照不正當競爭來判決的，其實本質上是我的信息安全保護權的爭奪。這個案例，一審在北京市海淀區人民法院審結，終審判決在北京知識產權法院，兩級法院都支持了微博的訴求，也有一些實質性的突破，這對將來相似案件的審理提供了參考價值。

 

以往的相似重大訴訟，法院判決的處罰金額基本爲幾十萬元，一般不超過50萬元，此案罰金大幅提升到200萬元。這個現象體現了司法部門對數據保護的重視程度，這也將促進大數據應用變得更加規範。如今利用數據過分營銷的案例比比皆是，也有不少公司在打擦邊球，因此但願經過這個案例能逐步規範大數據的使用。企業若是再不規範本身和第三方數據的使用，就可能被告上法庭被處鉅額罰金。

 

第二個突破是，用戶受權贊成了的數據就能夠安全的使用了嗎？答案是否認的。第三方使用時，不但須要用戶受權，還須要平臺受權才能夠。北京知識產權法院提到第三方應用經過開放平臺例如Open API模式獲取用戶信息時應堅持「用戶受權」+「平臺受權」+「用戶受權」的三重受權原則。聽起來好麻煩，其實這正是數據安全性的多維保護，不但用戶須要保護本身的信息，平臺方也須要創建規則保護用戶數據。因此不要覺得用戶贊成了的數據就能夠隨便使用了，別拿用戶說事兒。

 

數據是企業的一項競爭力，是能夠獲利的商業資源，一樣也須要被保護。北京知識產權法院支持了這個觀點：互聯網絡中，用戶信息已經成爲從此數據經濟中提高效率、支撐創新最重要的基本元素之一。所以，數據的獲取和使用，不只能成爲企業競爭優點的來源，更能爲企業創造更多的經濟效益，是經營者重要的競爭優點與商業資源。所以，網絡平臺提供方能夠就他人未經許可擅自使用其通過用戶贊成收集並使用的用戶數據信息主張權利。

 

同時北京知識產權法院也提到，數據提供方不只應將用戶數據信息做爲競爭優點來加以保護，還應將保護用戶數據信息做爲企業的社會責任，採起相應的技術措施提高相應權限的控制，經過接口調用的檢測以及保存調用過程的控制，不斷完善Open API合做模式。

 

大數據時代，各平臺方都有責任和義務推進數據生態的繁榮，積極創建數據使用規則，對那些濫用數據，過分使用數據額行爲進行制止。不然，就將是現代社會的一場悲劇。