新浪微博 诉 脉脉 非法抓取用户信息案例分析

李全华

一、案情简介
原告北京微梦创科网络技术有限公司（以下简称微梦公司）是新浪微博的经营主体。“微博已经成为一个重要的社交媒体平台，用户可通过该平台进行创作、分享和查询信息”。用户使用手机号或电子邮箱注册新浪微博帐号，手机号需要验证，用户可以选择手机号向不特定人公开；用户头像、名称（昵称）、性别、个人简介向所有人公开，用户可以设置其他个人信息公开的范围，职业信息、教育信息默认向所有人公开，互为好友的新浪微博用户能看到对方的职业信息、教育信息。
被告北京淘友天下技术有限公司、北京淘友天下科技发展有限公司（以下简称淘友公司）是脉脉软件的经营主体。“这是一款基于移动端的人脉社交应用，通过分析用户的新浪微博和通讯录数据，帮助用户发现新的朋友，并且可以使他们建立联系。应用提供了职场动态分享、人脉管理、人脉招聘、匿名职场八卦等功能，致力于帮助职场用户轻松管理和拓展自己的人脉，帮助创业者和企业高管轻松找靠谱人才，帮助求职者精确找靠谱工作。”
原告微梦公司主张被告淘友公司实施了下列四项不正当竞争行为：
1.非法抓取、使用新浪微博用户信息，用户信息包括头像、名称、职业信息、教育信息、用户自定义标签及用户发布的微博内容。
2.非法获取并使用脉脉注册用户手机通讯录联系人与新浪微博用户的对应关系。（略）
3.被告模仿新浪微博加V认证机制及展现方式。（略）
4.被告发表的网络言论对其构成商业诋毁。（略）
原告遂诉至法院，现经一审、二审程序，法院已经作出终审判决。
<hr/>二、争议焦点
（一）原、被告之间是否存在竞争关系？
我国《反不正当竞争法》第2条规定“经营者在生产经营活动中，应当遵循自愿、平等、公平、诚信的原则，遵守法律和商业道德。本法所称的不正当竞争行为，是指经营者在生产经营活动中，违反本法规定，扰乱市场竞争秩序，损害其他经营者或者消费者的合法权益的行为。本法所称的经营者，是指从事商品生产、经营或者提供服务（以下所称商品包括服务）的自然人、法人和非法人组织。”通常认为，反不正当竞争法所规范的经营者应具有竞争关系。
本案中，微梦公司经营新浪微博，二被告经营脉脉软件。尽管新浪微博不仅是向用户提供创作、分享和查询信息的社交媒体平台，还是向众多第三方应用提供接口的开放平台，而脉脉软件主要是一款职场社交应用，且新浪微博分别有网页版和移动客户端软件，脉脉软件仅为移动客户端软件，但这些外在形式的不同并不影响双方都提供网络社交服务的实质。同时，双方用户群体、业务模式、经营范围都存在交叉重叠，双方在经营活动中也都涉及尽可能吸引用户注册、登录、留存用户信息，并高效安全地使用用户信息等行为，而且本案主要的争议也是针对二被告在脉脉软件中是否合法使用并展示新浪微博用户的相关信息等，二被告还以新浪微博为例进行抗辩并举证，类比说明其使用并展示用户信息的行为符合行业惯例。
小结：
法院认为，双方在对相关用户社交类信息的使用等方面存在竞争利益，具有竞争关系。
<hr/>（二）对被告抓取、使用新浪微博用户信息的行为评述
在案证据显示被告抓取、使用的新浪微博用户信息均为非脉脉用户信息，要判断被告是否非法抓取、使用这些用户信息，首先要判断脉脉软件中的涉案非脉脉用户信息是否来自新浪微博，再根据双方合作情况判断被告是否抓取、使用涉案用户信息，进而论证被告对涉案信息的获取及使用行为是否合法正当。
1.关于脉脉软件中涉案非脉脉用户信息的来源
（1）初步认定
鉴于脉脉软件上线至今，被告仅与微梦公司存在合作关系，合作期间，微梦公司通过微博开放平台向被告提供OpenAPI接口，被告获取新浪微博用户的头像、名称、标签等信息。被告与微梦公司合作期间，有脉脉用户通过上传手机通讯录联系人将非脉脉用户但为新浪微博互粉好友的头像等资料上传到被告服务器中的情况。
法院认为，除非有充分证据证明这些信息存在其他来源，对于微梦公司提交证据显示的与所对应的新浪微博用户信息相同或基本相同的脉脉用户一度人脉中出现的大量非脉脉用户头像、名称（昵称）、职业、教育、个人标签等信息，应认定来源于新浪微博。
（2）被告抗辩
被告虽然承认脉脉软件中的涉案部分用户信息来自新浪微博，但提出还存在另外两个主要来源，一是部分用户头像来自头像淘淘软件，二是通过协同过滤算法取得。
1）针对涉案用户头像来自头像淘淘软件的意见
法院认为，头像淘淘为被告的另一款客户端软件，具有允许用户通过新浪微博、QQ和人人网帐号注册登录并导入这些平台帐号中好友头像的功能，但被告未能具体指出微梦公司诉称的脉脉软件中哪些用户头像来自于QQ或人人网帐号导入的头像淘淘软件，也未能提交证据证明这些用户在QQ或人人网帐号中使用的头像不同于新浪微博帐号中使用的头像。因此，被告辩称其非脉脉用户的头像来自头像淘淘软件，证据不足。
<hr/>2）针对被告通过协同过滤算法取得的意见
双方及专家辅助人都认可协同过滤算法计算信息的准确性取决于数据源，且“个性化很强的信息较难计算出来”。因此，法院分析被告使用协同过滤算法的数据源与本案证据所显示出的计算结果准确性之间的关系，据此判断涉案非脉脉用户信息系通过协同过滤算法获取的可能性。
◆关于数据源，被告及其专家辅助人陈述，双方合作期间，被告使用脉脉用户自行填写的信息、新浪微博用户信息及微博好友所作标签信息作为数据源进行计算；合作终止后，被告既逐步清理非脉脉用户来自新浪微博的相关信息，并最终于2015年2、3月删除完毕，又承认也使用之前从新浪微博获取的用户数据进行计算。在案证据显示，脉脉软件于2014年8月的注册用户量为80万，其中通过新浪微博注册登录的用户约占20%，而在诉讼中表示，新浪微博关闭接口之后，脉脉软件用户超过500万。可见，在数据源问题上，被告对脉脉用户数量及与微梦公司合作终止后用于计算的数据源内容的陈述存在矛盾，被告的专家辅助人还表示其对“个人信息数据源的来源”不清楚，而微梦公司的专家辅助人则提出，“脉脉开始才百万用户，不能精准算出相关数据”。
◆关于准确性，被告专家辅助人表示，若互联网应用产品都由注册用户填写，再使用协同过滤算法计算其他用户信息时，计算结果有一定范围，“个性化很强”的信息较难算出来。……微梦公司主张脉脉软件使用的新浪微博用户信息均针对非脉脉用户，不存在二被告专家辅助人说明的计算x人具体职位可使用用户自行填写信息及好友所作标签的情况。另外，以第704号公证书显示内容为例，三位脉脉注册用户通过上传其个人手机通讯录联系人，在一度人脉中共显示有300多位非脉脉用户，且这些人的头像、名称、职业、标签等信息与他们新浪微博中的用户信息基本相同，准确性远超过双方专家辅助人陈述的比例。被告未能解释如何能通过协同过滤算法获得。
法院认为，在案证据证明被告用于协同过滤计算的数据源在数量及质量没有充分可靠保证的情况下，能计算出本案证据所显示的超出双方专家辅助人确认的准确率，不合常理。因此，涉案非脉脉用户的信息来源于协同过滤计算取得的意见，缺乏现实可能性，法院对被告此项主张不予支持。
小结：
法院根据优势证据原则认定涉案非脉脉用户信息来自于新浪微博。
<hr/>2.被告获取并使用涉案新浪微博用户信息的行为是否合法正当
（1）法院分别从合作期间与合作结束后两个阶段进行分析
◆关于合作期间的争议：微梦公司在本案中表示，包括获取职业信息、教育信息在内的高级接口需要申请。针对本案证据显示的脉脉软件中存在大量新浪微博用户的职业信息、教育信息的情况，微梦公司虽然承认其后台未查询到二被告通过OpenAPI接口获取用户职业信息、教育信息的记录，但表示查询到二被告通过“脉脉”、“淘友网”两个微博帐号在双方合作期间大量读取微博用户的相关信息，故微梦公司推断二被告系使用爬虫技术通过网页或其他途径非法抓取了新浪微博用户的相关信息。二被告对此予以否认，坚持认为其两个微博帐号的行为系作为普通用户的访问行为，非抓取数据行为，与网络爬虫按秒为单位大量抓取网页内容的效率不可比。微梦公司提交后台记录所显示的“脉脉”、“淘友网”两个微博帐号的访问频次，2014年7、8月份峰值达到月1.6万次和9000次，平常每月访问频次稳定在2000次左右。针对此数据显示情况及双方专家辅助人对于网络爬虫技术的意见，法院认为脉脉软件中呈现出的大量新浪微博用户的职业信息、教育信息，仅凭“脉脉”、“淘友网”两个微博帐号通过新浪微博页面进行访问抓取，在通常情况下确实难以完成。
法院认为，不论二被告采取何种技术措施，都能认定二被告在双方合作期间存在抓取涉案新浪微博用户职业信息、教育信息的行为。
◆关于合作结束后的争议：法院认为微梦公司提出二被告在双方合作结束后仍抓取新浪微博用户信息的主张证据不足。
对于双方合作结束后对涉案新浪微博用户信息的使用行为，尽管被告表示其已及时删除脉脉软件中的新浪微博用户信息，但从微梦公司提交的证据看，在双方于2014年8月合作终止后数月间，脉脉软件中仍存在大量新浪微博用户基本信息，该情形与被告及其专家辅助人陈述的二被告分阶段删除新浪微博用户信息的情况不符，法院认为被告在双方合作结束后仍使用涉案新浪微博用户信息。
<hr/>（2）对被告在合作期间抓取、使用涉案新浪微博用户的职业信息、教育信息以及在合作结束后使用涉案新浪微博用户的头像、名称、职业、教育等信息的行为是否合法正当进行分析。
1）关于合法性
本案中，被告表示其根据《开发者协议》、《脉脉服务协议》，合法取得新浪微博的用户信息，并获得用户授权使用信息。对此抗辩理由，法院认为需要分析《开发者协议》及《脉脉服务协议》中授权被告在脉脉软件中使用用户信息的约定。
◆关于开发者协议
在合作期间，被告未根据与微梦公司的协议，申请职业信息、教育信息OpenAPI接口，即从微博开放平台获取新浪微博用户的职业信息、教育信息。
在合作结束后，被告未按协议要求及时删除相关用户信息，仍将包括新浪微博用户职业信息、教育信息在内的相关信息用于脉脉软件。
◆关于被告与用户之间的协议《脉脉服务协议》
被告提交了《脉脉服务协议》，明确该协议为淘友公司与脉脉软件使用人之间的协议，约定“用户个人信息”为用户真实姓名、手机号码和IP地址，“第三方平台记录信息”为通过新浪微博等第三方平台注册、登录、使用脉脉软件的用户在新浪微博等第三方平台上填写、公布的全部信息。
法院认为，根据合同相对性原则，上述协议仅能约束脉脉用户与淘友科技公司，对非脉脉用户不发生法律效力。即使在被告与微梦公司合作期间，被告也不能当然地依据《脉脉服务协议》收集脉脉用户在其新浪微博中可能留存的相关非脉脉用户的信息，因为被告还应同时遵守《开发者协议》中要求的事先获得用户同意，并按OpenAPI权限规则通过申请接口获取信息的程序性要求。
故法院认为，被告未取得用户许可即获取并使用涉案非脉脉用户的相关新浪微博信息。
2）关于正当性
《开发者协议》约定了开发者可以为实现应用程序运行及功能实现目的之必要需求而收集相关用户数据。被告在合作期间非法抓取新浪微博用户的职业信息、教育信息，在合作结束后非法使用新浪微博用户包括头像、名称、职业信息、教育信息和个人标签等信息。法院认为，用户职业信息、教育信息具有较强的用户个人特色，不论对于新浪微博，还是脉脉软件，都不属于为程序运行和实现功能目的的必要信息，而是需要经营者在经营活动中付出努力，挖掘并积累的用户资源中的重要内容。另外，头像、昵称、职业、教育、标签等用户信息的完整使用能刻画出用户个人的生活、学习、工作等基本状态和需求，被告未能在合作结束后仍使用新浪微博用户的这些信息之必要性给予合理解释。
因此，被告在合作期间对涉案新浪微博用户职业信息、教育信息的获取及使用行为，以及在合作结束后对涉案新浪微博用户相关信息的使用行为均缺乏正当性。
小结：
法院认定被告在双方合作期间实施了非法抓取、使用涉案新浪微博用户职业信息、教育信息的行为；
在双方合作结束之后，被告非法使用涉案新浪微博的用户信息。
<hr/>结论：
法院认为，鉴于双方曾经存在合作关系，在被告明确了解需要通过申请获得微博用户相关信息的接口权限，且合作终止后应当及时删除从新浪微博获取的用户信息的情况下，被告在合作期间超出许可范围抓取并使用新浪微博用户职业信息、教育信息，并在合作终止后较长一段时间内仍然使用来自新浪微博的用户信息作为脉脉软件中非脉脉用户的相关信息。被告的行为主观故意明显。
用户信息是互联网经营者重要的经营资源，如何展现这些用户信息也是经营活动的重要内容。同时兼具社交媒体网络平台和向第三方应用软件提供接口的开放平台身份的微梦公司，其在多年经营活动中，已经积累了数以亿计的新浪微博用户，这些用户根据自身需要及微梦公司提供的设置条件，公开、向特定人公开或不公开自己的基本信息、职业、教育、喜好等特色信息。这些用户信息不仅是支撑微梦公司作为庞大社交媒体平台开展经营活动的基础，也是其向不同第三方应用软件提供平台资源的重要内容。规范、有序、安全地使用这些用户信息，是微梦公司维持并提升用户活跃度、开展正常经营活动、保持竞争优势的必要条件。
被告的行为违反了诚实信用的原则，违背了公认的商业道德，危害到新浪微博平台用户信息安全，损害了微梦公司的合法竞争利益，对微梦公司构成不正当竞争。
<hr/>三、判决结果
1.被告停止涉案不正当竞争行为。
2.被告赔偿原告经济损失200万元及合理费用20.8998万元。
<hr/>四、结论与建议
1.互联网时代，保护用户信息是衡量经营者行为正当性的重要依据，也是反不正当竞争法意义上尊重消费者权益的重要内容。
反不正当竞争法的宗旨在鼓励和保护公平竞争的同时，亦明确有保护经营者和消费者的合法权益。包括社交应用软件在内的各类互联网产品或服务之所以能迅速产生广泛影响力、形成巨大的经营规模并吸引大量投资，其中重要的原因就是网络平台能高效集聚大量用户，使“注意力经济”能最大限度发挥成效。这些用户在网络平台中的现实存在都体现为其自行填写或好友评价，并留存于网络平台中的，以及由该网络平台通过相关途径获取的相关用户各类身份标签等信息，如名字、昵称、头像、性别、地域、职业、毕业学校、喜好，甚至感想见闻等。这些用户信息能为网络平台经营者带来巨大的经济利益。
一方面，用户信息的规模及质量一定程度上反映了网络平台用户的活跃度，影响网络平台的吸引力，掌握更多用户信息，通常意味着拥有更大的用户规模。对于互联网经营者而言，维持已有用户并不断吸引新用户，才能推进网络平台的经营发展。
另一方面，用户信息是经营者分析整理用户需求，开发特色产品和服务，提升用户体验的重要来源。
用户信息不仅体现了互联网经营者重大的竞争利益，更是消费者个人合法权益的重要组成部分。用户有权在充分表达自由意志的情况下向他人提供自己的信息或不提供信息，也有权充分了解他人使用自己信息的方式、范围，并对不合理的用户信息使用行为予以拒绝。
因此，互联网经营者不仅要合法获取用户信息，也应妥善保护并正当使用用户信息。
互联网应用软件经营者充分发挥智慧、拓展经营模式，尽可能吸引、扩大用户群的主观意愿是正当的，但不能以不经用户许可，侵害用户知情权的方式非法抓取、使用竞争对手的用户信息、用户关系。
2.网络运营者、第三方应用开发者应履行相应的义务
随着社交网络、网盘、位置服务等新型信息发布方式的出现，数据正以突飞猛进的速度增长和累计，数据从简单的信息开始转变为一种经济资源，管理并运用好数据资源，关系着权利人个人信息的保护及企业自身竞争优势的提高，保障网络安全秩序，更关系到社会公共利益的维护及经济社会信息化的健康可持续发展。
网络运营者是网络建设与运行的关键参与者，在保障网络安全中具有优势和基础性作用，应当遵循合法、正当、必要的原则，尽到网络运营者的管理义务。
本案中，微梦公司作为新浪微博的网络运营者，拥有上亿用户的个人信息，庞大的用户群及数据信息成为新浪微博在社交软件中的竞争优势。但是，微梦公司在OpenAPI的接口权限设置中存在重大漏洞，被侵权后无法提供相应的网络日志进行举证，对于涉及用户隐私信息数据的保护措施不到位，暴露出其作为网络运营者在管理、监测、记录网络运行状态，应用、管理、保护用户数据，应对网络安全事件方面的技术薄弱问题。为了保护新浪微博用户的个人信息及维护新浪微博的竞争优势，微梦公司应当积极履行网络运营者的管理义务，防止用户数据泄露或被窃取、篡改，保障网络免受干扰、破坏或者未经授权的访问。
网络运营者在采集运用用户数据时应履行如下管理义务：
（1）制定内部数据信息安全管理制度和操作规程，确定网络安全负责人，落实网络数据信息安全保护责任；
（2）采取防范计算机病毒和网络攻击、网络侵入等危害网络数据信息安全行为的技术措施；
（3）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志；
（4）采取数据分类、重要数据备份和加密等措施；
（5）制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。
第三方应用开发者作为网络建设与运行的重要参与者，在收集、使用个人数据信息时，应当遵循诚实信用的原则及公认的商业道德，取得用户同意并经网络运营者授权后合法获取、使用数据信息。
第三方应用开发者作为网络建设与运行的重要参与者，在收集、使用个人数据信息时，应当遵循诚实信用的原则及公认的商业道德，取得用户同意并经网络运营者授权后合法获取、使用数据信息。互联网+大数据时代，用户数据安全与商业化利用是形影不离的两个问题，只有在充分尊重用户意愿，保护用户隐私权、知情权和选择权的前提下，才能更好的利用数据信息，促进网络经济的发展，进而实现增进消费者福祉，营造公平有序的互联网竞争环境。
<hr/>案例索引
北京市海淀区人民法院2015年海民(知)初字第12602号
北京知识产权法院（2016）京73民终588号
（以上内容均摘录、整理以上两份判决书）