本周数据安全领域发生了两件事，一件大事一件小事，前者是支付宝密码漏洞事件，知道的人很多，搞得满城风雨。幸好支付宝处理漏洞的速度很快，迅速的就堵上了这个漏洞。后者是微博赢得了“脉脉非法抓取使用微博用户信息”案件的胜利，这个案件虽然比不上支付宝那个热度，但是对于从事数据分析行业的我来说确是足够震撼。并且这个案件的判罚，不仅仅和微博相关，其实和每一个互联网用户都有很大的关系。

2017年数据知识产权第一案：脉脉非法抓取使用微博用户信息 被判不正当竞争

这两个案例，第一个是系统的漏洞(Bug)，修改程序堵上就行了。第二个却揭开了大数据背景下数据安全，数据过度营销的黑幕，它对社会的危害反而是大的，需要企业、国家机构、甚至我们每个人一起来维护数据安全，所以微博和脉脉的案例反而是一个大事件。这是行业标杆性的一个判罚，在几个方面都有突破，所以今天和大家好好聊聊这个案子。

微博、脉脉案件背景

相信很多人第一眼是将脉脉看成陌陌了，其实脉脉和陌陌一样都是做人脉社交的应用，只不过陌陌是基于LBS(位置服务)的陌生人群社交应用，脉脉是基于工作关系的熟人社交应用。

之前脉脉和微博有过合作，脉脉通过微博的API接口打通了微博和脉脉的认证体系，用户可以使用微博账号注册登录脉脉，一旦用户同意使用微博账号注册脉脉，脉脉就可以获取该用户的微博名、头像、性别、职业、教育等信息(注意这个过程是用户授权的，但很多人懒，以至于注册时不会主动勾掉这些选项)。

用户可通过微博账号和个人手机号注册登录脉脉，现在几乎所有的应用都要求用户提供手机号，用来接受验证码。但是为了人脉关系链条的需要，脉脉在用户注册时还要求用户上传个人手机通讯录的联系人信息(当然这个动作也是需要用户授权的)。

本来说上传手机通讯录不关微博什么事情，问题是微博随后来发现，脉脉用户的“一度人脉”中，大量非脉脉用户在人脉关系链中，直接显示有他们的的头像、名称、职业、教育等信息。这是什么意思?就是脉脉利用手机号进行匹配微博账号，非法的抓取了这些没有授权的用户信息，并且用于商业用途。

虽然通过合作网站注册登录已经是一种非常普遍的行为，微博、微信、QQ、支付宝都支持这种了注册登录方式，不过这次脉脉显然有越位之嫌。

脉脉为什么输了?

其实脉脉已经输过一次了，2016年4月北京市海淀区人民法院审结该案，认定北京淘友天下技术有限公司和北京淘友天下科技发展有限公司(就是脉脉的营运方)非法抓取、使用新浪微博用户信息等行为构成不正当竞争。但是脉脉不服，于是提起上诉，2016年12月30日北京知识产权法院做出终审判决，驳回上诉维持原判。

互联网的本质是开放、平等、协作、分享，但开放并不是没有底线，平等并不是没有规则，协作和分享也一定是基于用户意愿的基础上。个人觉得脉脉其实是输在了以下几点：

1、非法获取用户信息，并用于商业化。

脉脉的职场社交做的就是熟人社交，而熟人社交中最重要的一个环节是关系链，关系链不能打通，不知道你是谁，这只是陌生人的社交。所以获取关系链的数据就尤为重要，利用微博API接口，脉脉非法获取了用户没有授权的信息，并且在“一度人脉”中进行了展示，其他人则能够看到这些没有被授权的信息。第三方公司抓取微博数据用于商业化，不仅仅侵犯了用户的权利，也构成对微博的侵权，这当然是非法的，微博自然可以进行起诉。

2、脉脉的行为构成了不正当竞争

咱们国家的《反不当竞争法》明确规定：经营者不得采用以盗窃、利诱、胁迫或者其他不正当手段获取权利人的商业秘密。也不可以未经允许披露、使用或者允许他人使用其所掌握的商业秘密。对微博来说，用户信息的关系链就是它的商业秘密，法院当然会支持微博的这种诉求。

3、脉脉没有起到保护用户信息的作用

大数据时代，每个企业都有责任去保护用户的个人信息，并且大家都有义务一起推动数据生态的繁荣。相反脉脉不但没有去保护用户的信息，反而是进行了商业应用，并把这些信息展示在自己的“一度人脉”中，让更多的人看到。

这起案件的行业意义

虽然这个案件是按照不正当竞争来判决的，其实本质上是个人信息安全保护权的争夺。这个案例，一审在北京市海淀区人民法院审结，终审判决在北京知识产权法院，两级法院都支持了微博的诉求，也有一些实质性的突破，这对未来类似案件的审理提供了参考价值。

以往的类似重大诉讼，法院判决的处罚金额基本为几十万元，通常不超过50万元，此案罚金大幅提高到200万元。这个现象体现了司法部门对数据保护的重视程度，这也将促进大数据应用变得更加规范。现在利用数据过度营销的案例比比皆是，也有很多公司在打擦边球，所以希望通过这个案例能逐步规范大数据的使用。企业如果再不规范自己和第三方数据的使用，就可能被告上法庭被处巨额罚金。

第二个突破是，用户授权同意了的数据就可以安全的使用了吗?答案是否定的。第三方使用时，不但需要用户授权，还需要平台授权才可以。北京知识产权法院提到第三方应用通过开放平台例如Open API模式获取用户信息时应坚持“用户授权”+“平台授权”+“用户授权”的三重授权原则。

听起来好麻烦，其实这正是数据安全性的多维保护，不但用户需要保护自己的信息，平台方也需要建立规则保护用户数据。所以不要以为用户同意了的数据就可以随便使用了，别拿用户说事儿。

数据是企业的一项竞争力，是可以获利的商业资源，同样也需要被保护。北京知识产权法院支持了这个观点：互联网络中，用户信息已经成为今后数据经济中提升效率、支撑创新最重要的基本元素之一。因此，数据的获取和使用，不仅能成为企业竞争优势的来源，更能为企业创造更多的经济效益，是经营者重要的竞争优势与商业资源。因此，网络平台提供方可以就他人未经许可擅自使用其经过用户同意收集并使用的用户数据信息主张权利。

同时北京知识产权法院也提到，数据提供方不仅应将用户数据信息作为竞争优势来加以保护，还应将保护用户数据信息作为企业的社会责任，采取相应的技术措施提升相应权限的控制，通过接口调用的检测以及保存调用过程的控制，不断完善Open API合作模式。

大数据时代，各平台方都有责任和义务推动数据生态的繁荣，积极建立数据使用规则，对那些滥用数据，过度使用数据额行为进行制止。否则，就将是现代社会的一场悲剧。