2016年,微夢公司(新浪微博的運營商)以“第三方數(shù)據(jù)侵權(quán)”為由起訴淘友技術(shù)公司、淘友科技公司(脈脈軟件和脈脈網(wǎng)站的共同運營商),并最終勝訴(下稱“脈博之爭”)。該案件被稱為“大數(shù)據(jù)不正當(dāng)競爭第一案”,轟動一時,引起互聯(lián)網(wǎng)公司對第三方應(yīng)用的關(guān)注。2019年,騰訊計算機公司、騰訊數(shù)碼公司和騰訊科技公司(微信、QQ的共同運營商)再次以“第三方數(shù)據(jù)侵權(quán)”為由起訴北京微播視界公司(抖音運營商)、北京拍拍看看公司(多閃運營商),由于本案兩造(下稱“頭騰大戰(zhàn)”)分別坐擁數(shù)億用戶,影響性遠(yuǎn)勝“脈博之爭”,因此,第三方應(yīng)用如何合規(guī)運營的爭議又一次被迅速激起。
所謂的“第三方應(yīng)用”,是指APP運營商為了快速積累用戶資源,與開放平臺簽訂《開發(fā)者協(xié)議》,通過開放平臺的應(yīng)用編程接口(OpenAPI)接入平臺,在成為平臺生態(tài)圈組成部分的同時,利用雙方的段位差,將平臺的用戶流量順勢導(dǎo)入自己的應(yīng)用程序,這些APP運營商被稱為“第三方應(yīng)用”。其中,“脈博之爭”的第三方應(yīng)用指代“脈脈”,“頭騰大戰(zhàn)”的第三方應(yīng)用指代“抖音”和“多閃”。
由上可知,開放平臺和第三方應(yīng)用本是互聯(lián)網(wǎng)生態(tài)圈相互依賴的存在,為什么兩者會出現(xiàn)難以調(diào)和的矛盾呢?網(wǎng)上傳得紛紛揚揚的“脈博之爭”和“頭騰大戰(zhàn)”究竟在吵什么?法院對“脈博之爭”和“頭騰大戰(zhàn)”是怎么判的?法院的判決對第三方應(yīng)用以后的發(fā)展有何影響?第三方應(yīng)用該如何做好數(shù)據(jù)合規(guī)工作?下文中,筆者將結(jié)合“脈博之爭”的判決書和“頭騰大戰(zhàn)”的裁定書,逐一分析并解答上述疑惑。
一、“數(shù)據(jù)之爭”吵什么?
“脈博之爭”和“頭騰大戰(zhàn)”的本質(zhì)實際上是“數(shù)據(jù)之爭”,是微博、微信和QQ平臺不愿開放數(shù)據(jù)給脈脈、抖音和多閃等第三方應(yīng)用,但是脈脈、抖音和多閃等第三方應(yīng)用仍試圖多途徑獲取數(shù)據(jù)的喂養(yǎng)。具體而言,開放平臺一般允許第三方應(yīng)用在接入應(yīng)用程序接口(OpenAPI)后,僅能獲取平臺用戶的頭像、名稱等基礎(chǔ)數(shù)據(jù),并且頭像和名稱僅能作為登陸的依據(jù),不能援作他用;然而第三方應(yīng)用為了快速構(gòu)建自己的社交鏈或者完成用戶的原始積累,更傾向于獲得平臺用戶更多的數(shù)據(jù),以及將數(shù)據(jù)應(yīng)用于更多的場景中,兩者相互背離的訴求最終引爆了“數(shù)據(jù)之爭”。
(一)“脈博之爭”吵什么?
在“脈博之爭”中,微博的訴求有二:第一,微博控訴脈脈非法抓取新浪微博的用戶信息,用戶信息包括頭像、名稱、職業(yè)信息、教育信息、用戶自定義標(biāo)簽及用戶發(fā)布的微博內(nèi)容;第二,微博控訴脈脈利用用戶手機通訊錄與新浪微博用戶的對應(yīng)關(guān)系構(gòu)建脈脈的社交鏈。
該案爭點在于微博認(rèn)為脈脈獲取的用戶信息已經(jīng)超過了《開發(fā)者協(xié)議》約定的范疇,此外,脈脈還在構(gòu)建自己的社交鏈上具體運用了用戶信息。換言之,脈脈不僅在用戶信息的“獲取鏈”上存在問題,在“應(yīng)用鏈”上也存在問題。對此,脈脈的抗辯理由是微博用戶信息的獲取,或是得到用戶的授權(quán)同意或是利用技術(shù)手段獲取,不存在非法獲取的問題,進(jìn)而社交鏈的建構(gòu)也就不存在問題。
(二)“頭騰大戰(zhàn)”吵什么?
在“頭騰大戰(zhàn)”中,騰訊的訴求有四:第一,騰訊控告抖音在向用戶推薦好友時使用了平臺數(shù)據(jù);第二,騰訊控告抖音向第三方多閃提供了平臺數(shù)據(jù);第三,騰訊要求抖音和多閃立即刪除平臺數(shù)據(jù);第四,騰訊要求多閃不得在構(gòu)建社交鏈時運用平臺數(shù)據(jù)。
該案爭點在于騰訊認(rèn)為抖音未經(jīng)授權(quán)許可,將用于登陸功能的平臺數(shù)據(jù)不僅運用于構(gòu)建社交鏈,還將平臺數(shù)據(jù)傳輸給第三方,作為第三方登陸的接口,并且第三方還運用該數(shù)據(jù)構(gòu)建社交鏈。對此,抖音的抗辯理由是抖音對用戶數(shù)據(jù)的獲取已經(jīng)得到了用戶的授權(quán)同意。
可以看出,“頭騰大戰(zhàn)”較之于“脈博之爭”,法律上的問題更為復(fù)雜。“脈博之爭”的焦點在于脈脈是否越權(quán)獲取了微博數(shù)據(jù)以及是否在社交鏈構(gòu)建中運用了微博數(shù)據(jù)。“頭騰大戰(zhàn)”的焦點除了抖音是否將用于登陸功能的數(shù)據(jù)用于建構(gòu)社交鏈外,還涉及是否將平臺數(shù)據(jù)轉(zhuǎn)授權(quán)給第三方,并允許第三方運用數(shù)據(jù)建構(gòu)社交鏈。兩者之間的爭點詳見下圖:
二、“數(shù)據(jù)之爭”怎么判?
從上述內(nèi)容可以看出,無論是“脈博之爭”還是“頭騰大戰(zhàn)”,它們的訴訟爭點大致相同,即開放平臺認(rèn)為自己擁有用戶數(shù)據(jù)的占有權(quán),第三方應(yīng)用侵犯了自己的占有權(quán);而第三方應(yīng)用認(rèn)為自己使用用戶數(shù)據(jù)已經(jīng)得到了用戶授權(quán)同意,并沒有侵犯開放平臺的權(quán)利。針對此類訴訟糾紛,兩起案件的法院一致認(rèn)為開放平臺擁有的用戶數(shù)據(jù)是平臺重要的商業(yè)資源,開放平臺有權(quán)維護自己的商業(yè)利益,并都做出了有利于開放平臺的判決和裁定。
(一)“脈博之爭”怎么判?
在“脈博之爭”中,針對脈脈非法抓取用戶信息,一審法院認(rèn)為脈脈既侵犯了開放平臺的合法權(quán)益,同時侵犯了用戶的知情權(quán)。首先,法院認(rèn)為微博用戶是微博的重要商業(yè)資源,這些用戶信息是微博開展經(jīng)營活動的基礎(chǔ),也是保持競爭優(yōu)勢的必要條件,脈脈的行為侵犯了微博的合法權(quán)利;其次,法院認(rèn)為脈脈抓取用戶信息并且將其應(yīng)用在社交鏈上侵犯了用戶的知情權(quán)。
二審法院在肯定一審法院判決的基礎(chǔ)上,總結(jié)OpenAPI開發(fā)合作模式中第三方應(yīng)用應(yīng)遵循“三重授權(quán)”原則,即開放平臺向第三方應(yīng)用開放數(shù)據(jù)的前提是開放平臺已經(jīng)取得了用戶的同意,第三方應(yīng)用在使用用戶信息時還應(yīng)當(dāng)明確告知用戶其使用的目的、方式和范圍,再次取得用戶的同意。因此,在OpenAPI開發(fā)合作模式中,第三方應(yīng)用通過OpenAPI獲取用戶信息時應(yīng)堅持“用戶授權(quán)”+“平臺授權(quán)”+“用戶授權(quán)”的三重授權(quán)原則。
最終,一二審法院一致認(rèn)為脈脈非法獲取或應(yīng)用數(shù)據(jù)的行為損害了公平的市場競爭秩序,一定程度上損害了微博的競爭利益,因此支持微博的訴訟請求,判決脈脈立即停止涉案不正當(dāng)競爭行為,并賠償微博經(jīng)濟損失200萬元及合理費用208998元。
(二)“頭騰大戰(zhàn)”怎么判?
在“頭騰大戰(zhàn)”中,法院同意“脈博之爭”中二審法院提出的“三重授權(quán)”原則,認(rèn)為該原則已經(jīng)成為開放平臺領(lǐng)域網(wǎng)絡(luò)經(jīng)營者應(yīng)當(dāng)遵守的商業(yè)道德。同時,法院進(jìn)一步規(guī)定第三方應(yīng)用在獲得平臺授權(quán)后,在數(shù)據(jù)的獲取和使用中應(yīng)遵循“合理、正當(dāng)、必要”原則,即第三方應(yīng)用僅能將數(shù)據(jù)用于登陸目的,而不能用于授權(quán)登陸外的任何用途,因此第三方應(yīng)用既不能將用戶數(shù)據(jù)用于社交鏈的建構(gòu),也不能將數(shù)據(jù)轉(zhuǎn)授權(quán)給第三方,轉(zhuǎn)授權(quán)的第三方更不能使用該數(shù)據(jù)。
換言之,“頭騰大戰(zhàn)”中法院在肯認(rèn)“脈博之爭”提出“三重授權(quán)”原則的基礎(chǔ)上,又細(xì)化了“三重授權(quán)”中“平臺授權(quán)”的具體要求,即經(jīng)平臺授權(quán)的數(shù)據(jù)要遵循“最小必要原則”,平臺授權(quán)的數(shù)據(jù)僅能用于登陸目的。基于此種思路,法院裁定抖音和多閃的行為已經(jīng)侵犯了騰訊的合法權(quán)利,因此支持騰訊提出行為保全的訴請,要求抖音和多閃立即停止侵權(quán)的行為。
三、“數(shù)據(jù)之爭”怎么看?
從“脈博之爭”到“頭騰大戰(zhàn)”,實際上法院在實務(wù)操作中已經(jīng)建構(gòu)出一套具體審理第三方應(yīng)用的審查基準(zhǔn),即首先數(shù)據(jù)控制者在遵循“合理、正當(dāng)、必要”原則的基礎(chǔ)上,在獲取用戶同意后可以收集并使用用戶的信息;因數(shù)據(jù)控制者經(jīng)過多年的苦心經(jīng)營,累積了大量的用戶數(shù)據(jù),這類用戶數(shù)據(jù)是數(shù)據(jù)控制者的商業(yè)資源,數(shù)據(jù)控制者對其擁有合法權(quán)益,任何第三方非法獲取或使用該類數(shù)據(jù),將會侵犯數(shù)據(jù)控制者的合法權(quán)益;第三方應(yīng)用如果想快速獲取用戶流量,可與數(shù)據(jù)控制者簽訂《開發(fā)者協(xié)議》,在經(jīng)過數(shù)據(jù)控制者授權(quán)同意后,通過應(yīng)用編程接口(OpenAPI)接入平臺,但第三方應(yīng)用對于平臺數(shù)據(jù)的使用十分有限,并且該部分?jǐn)?shù)據(jù)僅能適用于登陸目的,無法援作他用。同時,第三方應(yīng)用在經(jīng)過平臺授權(quán)后,還需要經(jīng)過用戶的另一次同意,才能最終完成數(shù)據(jù)的登陸使用。第三方應(yīng)用的審查基準(zhǔn)流程詳見下圖:
從上述內(nèi)容可以看出,實務(wù)操作中,司法機關(guān)不僅認(rèn)可數(shù)據(jù)控制者對用戶數(shù)據(jù)享有商業(yè)權(quán)利,并且賦予這種權(quán)利極大的保護。例如,“頭騰大戰(zhàn)”中法院具體要求“平臺授權(quán)”下第三方應(yīng)用對數(shù)據(jù)的使用僅限于登陸目的,實際上該規(guī)定已經(jīng)框限住第三方應(yīng)用對該部分?jǐn)?shù)據(jù)的應(yīng)用,該部分?jǐn)?shù)據(jù)自始至終都只能用于登陸目的,第三方應(yīng)用即使獲得用戶授權(quán)也不能進(jìn)行任何數(shù)據(jù)的再收集和再處理,無形之中數(shù)據(jù)已經(jīng)被開放平臺所獨占使用。
實際上,筆者認(rèn)為法院所確認(rèn)的“三重授權(quán)”原則存在一定的討論空間。法院認(rèn)為第三方應(yīng)用需要經(jīng)過“平臺授權(quán)”,但是“平臺授權(quán)”的權(quán)利來自哪里?法院認(rèn)為“平臺授權(quán)”的權(quán)利來自平臺對用戶資源的長期管理和使用,也即平臺本身的長期積累使其自動獲得對用戶數(shù)據(jù)的占有權(quán)。那么,當(dāng)平臺不愿意授權(quán)給第三方應(yīng)用,但用戶認(rèn)為平臺需要授權(quán)給第三方應(yīng)用的情況下,如何處理該類問題?按照法院的觀念,是否在這種情況下,用戶已經(jīng)喪失掉自己對數(shù)據(jù)的所有權(quán),無權(quán)要求平臺授權(quán)第三方應(yīng)用?如果真出現(xiàn)這種情況,是不是已經(jīng)和“用戶信息自決權(quán)”的理念發(fā)生了背離?
仔細(xì)研究會發(fā)現(xiàn),即使是騰訊平臺本身,都不認(rèn)為自己擁有了主動轉(zhuǎn)移數(shù)據(jù)的權(quán)利。微信的《隱私政策》規(guī)定微信不會主動共享或者轉(zhuǎn)移用戶的個人信息到騰訊集團外的第三方,除非征得用戶的明示同意;
[①]QQ的《隱私政策》同樣規(guī)定未經(jīng)用戶同意,QQ以及QQ的關(guān)聯(lián)公司不會與任何第三方分享用戶的個人信息。
[②]可見,即使是開放平臺本身,都認(rèn)為用戶數(shù)據(jù)的所有權(quán)始終歸于用戶所有。而將眼光投向國外會發(fā)現(xiàn),針對用戶數(shù)據(jù)轉(zhuǎn)移的行為,歐盟制定的《一般數(shù)據(jù)保護條例》(General Data Protection Regulation,簡稱GDPR)已規(guī)定用戶擁有可攜帶權(quán),即權(quán)利主體有權(quán)從控制者處獲得結(jié)構(gòu)化、通用化的,機器可讀的,能共同操作的以格式形式提供的個人數(shù)據(jù),并允許該等數(shù)據(jù)傳輸給其他控制者。
[③]換言之,歐盟針對第三方應(yīng)用所設(shè)置的審查基準(zhǔn)是“雙重授權(quán)”原則,即“用戶授權(quán)”+“用戶授權(quán)”模式。而中國為維護數(shù)據(jù)控制者的權(quán)利,在雙重授權(quán)之外,再追加“平臺授權(quán)”,構(gòu)成“三重授權(quán)”模式。
當(dāng)然,歐盟的個人信息保護法根植于歐盟對隱私權(quán)本源的追求,所以其成文法上的規(guī)定更側(cè)重于數(shù)據(jù)主體的權(quán)利保護。由于國情不同,我國對于隱私的重視程度不如歐盟,相反地,我們更側(cè)重于“奉獻(xiàn)自我,成就集體”,效率的發(fā)揮顯得尤為重要,因此實務(wù)中賦予開放平臺權(quán)利,以激發(fā)市場競爭活力的行為便可以理解。但筆者認(rèn)為即使實務(wù)操作允許“平臺授權(quán)”,但現(xiàn)今“平臺授權(quán)”的審查基準(zhǔn)仍顯粗糙,為避免出現(xiàn)“平臺不愿授權(quán)第三方應(yīng)用”與“用戶執(zhí)意授權(quán)第三方應(yīng)用”之間的矛盾,“平臺授權(quán)”的規(guī)則應(yīng)作更精細(xì)的技術(shù)設(shè)計。
四、第三方應(yīng)用如何做好數(shù)據(jù)合規(guī)?
眾所周知,隨著云計算、物聯(lián)網(wǎng)、人工智能等高新技術(shù)的快速發(fā)展,數(shù)據(jù)已經(jīng)成為互聯(lián)網(wǎng)公司的核心資產(chǎn),大多數(shù)互聯(lián)網(wǎng)公司都已將數(shù)據(jù)保護上升至公司戰(zhàn)略的高度。因此,即使開放平臺開放了應(yīng)用編程接口(OpenAPI),但它們并不會放棄對數(shù)據(jù)的保護,相反地,它們會設(shè)置各種限制第三方應(yīng)用獲取數(shù)據(jù)的要求;而另一方面,第三方應(yīng)用要想存活,就需要用戶數(shù)據(jù)的喂養(yǎng),獲得用戶數(shù)據(jù)是它們的天然屬性。“脈搏之爭”和“頭騰大戰(zhàn)”便是開放平臺與第三方應(yīng)用之間矛盾無法調(diào)和的產(chǎn)物,并且該糾紛只是開端,第三方應(yīng)用如不做好數(shù)據(jù)的合規(guī)審查,糾紛還會繼續(xù)出現(xiàn)。那么,第三方應(yīng)用該如何做好數(shù)據(jù)的合規(guī)審查呢?筆者認(rèn)為可從以下幾個方面入手:
第一,由于“三重授權(quán)”原則已經(jīng)獲得實務(wù)上的認(rèn)可,因此對于平臺授權(quán)第三方應(yīng)用的數(shù)據(jù),該類數(shù)據(jù)僅可作為登陸目的使用,不能用于其他目的。第三方應(yīng)用應(yīng)運用技術(shù)手段,嚴(yán)格區(qū)分平臺授權(quán)下獲取的數(shù)據(jù)和自身獲取的用戶數(shù)據(jù),建立隔離機制和定期審查機制,并對自身獲取用戶數(shù)據(jù)進(jìn)行安全備份,以便當(dāng)自身獲取的數(shù)據(jù)與平臺授權(quán)的數(shù)據(jù)發(fā)生競合時,有抗辯的依據(jù)。
第二,當(dāng)?shù)谌綉?yīng)用完成初期的用戶積累后,如果OpenAPI開發(fā)合作模式不能再促進(jìn)第三方應(yīng)用有效地導(dǎo)流,由于“平臺授權(quán)”因素的干擾,第三方應(yīng)用往后不僅很難完成有效導(dǎo)流,更可能因為《開發(fā)者協(xié)議》的規(guī)定掣肘了自身獲取用戶數(shù)據(jù)的能力。當(dāng)出現(xiàn)這種情況時,筆者認(rèn)為第三方應(yīng)用應(yīng)果斷放棄OpenAPI開發(fā)合作模式,而選擇運用別的模式引流。
第三,如果第三方應(yīng)用同時也是開放平臺,那么第三方應(yīng)用在草擬《開發(fā)者協(xié)議》中要做好自身數(shù)據(jù)的保護措施,可規(guī)定數(shù)據(jù)收集方在收集用戶任何數(shù)據(jù)時,必須事先獲得用戶的明確同意,且僅應(yīng)當(dāng)收集為應(yīng)用程序運行及功能實現(xiàn)目的而必要的用戶數(shù)據(jù),同時應(yīng)當(dāng)告知用戶相關(guān)數(shù)據(jù)收集的目的、范圍及使用方式等,保障用戶知情權(quán)。
[③] 京東法律研究院.歐盟數(shù)據(jù)憲章:《一般數(shù)據(jù)保護條例》GDPR評述及實務(wù)指引[M].北京:法律出版社,2018.63.
