脈脈洩露個人資訊 資訊來源指向第三方
- 發佈時間:2014-10-30 13:40:20 來源:大河網 責任編輯:書海
脈脈創始人林凡此前曾公開表示,脈脈已經形成了一個超過400億的好友關係和兩億的個人名片的數據庫。這難免讓人産生疑問,所謂“兩億名片”的數據獲取究竟是否合理?
法治週末記者 蔡長春
“工作版的微信。結交同行、吐槽公司、討論工作、招人跳槽……工作上的事,就用脈脈。”近日,一款名為脈脈(發音為“mài mài”)的手機應用引起了北京白領張楠(化名)的注意:張楠從沒使用過這個軟體,但她的好友小墨註冊成為脈脈用戶後,從脈脈裏發現了張楠的頭像、工作單位甚至曾就讀過的高中資訊。
“我沒註冊過脈脈,為什麼小墨使用脈脈,能看見我的資訊?太可怕了。”張楠告訴法治週末記者。
張楠回憶,自己的高中資訊應該只在一家名為ChinaRen的網站上填寫過,那麼脈脈又是從哪獲取了張楠的個人資訊?
脈脈創始人林凡此前曾公開表示,脈脈已經形成了一個超過400億的好友關係和兩億的個人名片的數據庫。這難免讓人産生疑問,所謂“兩億名片”的數據獲取究竟是否合理?
資訊來源指向第三方
張楠只在ChinaRen上填寫過的高中資訊為何會出現在脈脈上?對於這一問題,法治週末記者聯繫脈脈和ChinaRen進行詢問,截至發稿,雙方均未對此進行回應。
脈脈是這樣介紹自己的:作為一款定位於工作社交的APP,提供了職場動態分享、人脈管理、人脈招聘等功能,致力於幫助職場用戶輕鬆管理和拓展自己的人脈,幫助創業者和企業高管輕鬆找到靠譜人才,幫助求職者精確找到靠譜工作。
其中,拓展人脈是脈脈的一大行銷亮點,脈脈開通了“一度人脈”(通俗理解為自己的好友)和“二度人脈”(通俗理解為好友的好友)功能,幫助用戶去發現和結識新的人脈關係。
在註冊使用了脈脈後記者還發現,使用脈脈前會被詢問是否可以讀取用戶的通訊錄,但這種“允許”可能帶來通訊錄裏其他聯繫人資訊在不知情的情況下,被脈脈獲取,也因此遭遇了用戶對其功能合理性的質疑。
此外,脈脈的“一度人脈”中出現了一部分並未註冊使用過脈脈的朋友資訊,不僅包含其姓名和工作職務,有的人甚至還有個性頭像,有的人職務資訊還出現了與當前實際狀況不符的情況。
“脈脈是基於用戶的真實資訊建立起的社交人脈,如果出現上述情況,對用戶體驗將産生較大的不良影響。”速途研究院首席分析師鄭春暉認為。
除了用戶體驗以外,更為讓人感到困惑的是,像張楠這樣自身並未註冊,卻有工作單位、頭像的網民資訊又是從何而來呢?
中國政法大學副教授朱巍在接受法治週末記者採訪時表示,脈脈作為網路社交軟體,客戶資訊是盈利和經營的主要立足點,獲取更多的客戶資訊是其商業追求。獲取方式一般有三個:一是客戶主動註冊的資訊;二是客戶註冊後,依據自己意願允許脈脈抓取自己通訊錄的資訊;三是與其他平臺合作獲取的客戶資訊資源。
北京市天睿律師事務所資深合夥人華建明補充道,極少數情況下,一些軟體可能會通過爬蟲程式,非法從其他網站獲取用戶資訊。
林凡此前也曾坦言,脈脈的數據積累來自於通訊錄、新浪微網志等第三方合作平臺。
不過在一般情況下,手機用戶的通訊錄中,很少會保存聯繫人的個性頭像,那麼脈脈獲取的用戶資訊渠道便直指向了那些與其有過合作的第三方平臺。
脈脈被疑盜取用戶資料
此前,新浪微網志與脈脈一直存在著合作關係,脈脈也支援新浪微網志賬號和手機號的登錄方式。
今年8月,脈脈與新浪微網志因用戶資訊問題産生了合作糾紛。新浪微網志指責脈脈存在惡意抓取行為,獲得並使用了未經微網志用戶授權的檔案數據,違反微網志開放平臺的開發者協議,故停止其使用微網志開放平臺的所有介面。
這次“鬧掰”,最直接的一個原因,就是雙方在用戶數據問題上産生了爭議。
在新浪微網志相關負責人給法治週末記者展示的一份8月18日發佈的《關於第三方應用“脈脈”違規獲取微網志用戶數據的聲明》中顯示,第三方應用脈脈2013年9月23日接入新浪微網志開放平臺,截至2014年8月15日,共通過新浪微網志開放平臺的授權介面累計獲得17萬的用戶主動授權,但最近開放平臺收到用戶及其他合作夥伴反饋,脈脈存在盜取用戶資料的行為,經開放平臺查明,確實存在以下違規行為:
第一,通過不正當手段獲得微網志開放介面提供範圍以外的數據,目前開放平臺只允許第三方通過介面訪問授權用戶的昵稱/性別/地區等個人基礎資料資訊,但經查實發現脈脈通過盜用用戶授權身份,違規抓取17萬授權用戶的未同意開放的聯繫方式、教育經歷、工作經歷等隱私資訊;第二,通過不正當手段(如惡意抓站),在用戶不知情的情況下,通過盜用授權用戶身份,抓取非授權用戶的基本資料、聯繫方式、教育經歷、工作經歷等用戶隱私資訊,初步統計,脈脈違規抓取了遠高於實際授權用戶數的非授權用戶個人資訊;第三,一些授權用戶在發現個人資訊被違規使用後,取消了對脈脈應用的授權,但脈脈並未按開放平臺規定,停止使用用戶資訊。
新浪微網志認為,以上未經用戶授權直接複製用戶資訊為己用的行為,違背了合作精神及傷害了用戶的信任,對微網志與第三方的合作帶來極其嚴重的影響。違背了平臺公約,並違反了開發者協議。因此,新浪微網志對脈脈提出要求,要求其在7天內停止使用非授權用戶資料。
“不過,對方最終作出了停止合作、繼續侵權的決定。”新浪微網志相關負責人説。
對於新浪微網志的聲明,脈脈方面此前曾堅稱,自己始終嚴格遵守現行微網志開放平臺開發規則,不存在任何“不正當手段”,並指出新浪微網志開放平臺於今年7月單方面修改過規則,稱新浪微網志為“用今天的遊戲規則來治罪昨天的正常行為”。
近日脈脈的一位相關負責人在接受法治週末記者採訪時表示,與新浪微網志的相關問題已經交由律師處理,目前暫不對此進行回應。
侵犯用戶隱私應擔責
也就是説,張楠遇上的這樁事情,原因很可能在於她之前在新浪微網志等和脈脈有合作的第三方網站註冊過,留下了頭像、工作單位等資訊。
北京市威宇律師事務所合夥人、網際網路法律專家滕立章對法治週末記者表示,資訊收集與使用應遵循三個基本原則,即合法、正當、必要。現有的個人資訊保護規定要求,資訊收集首先要公示收集規則,使用上即使要向第三方提供,也要經過用戶同意。
“正常情況下,用戶直接授權的網路公司,會依照用戶自己的意願和使用軟體的必要性來利用、蒐集個人數據。被授權的公司在得到用戶資訊資源後,可能會與其他公司基於同樣的隱私保護政策和産品發展需要,共用一部分的客戶資源。”朱巍認為。
朱巍告訴法治週末記者:“後面的共用過程中,如果原公司事先在與用戶的協議中沒有對此進行授權性規定,那麼,原公司的二次轉讓行為屬於違法行為,違反了《關於加強網路個人資訊保護的決定》中對個人資訊保護的規定;如果原公司在事先的網民協議中有授權性規定,就可認為得到了網民的授權。”
朱巍繼續分析稱,有些沒有使用過脈脈的人,他們資料的出現可能是因為他們之前使用過的別的網路服務商所提供,或者其他朋友手機通訊錄中存在其聯繫方式,脈脈以第三人授權的方式取得了該用戶資料。這種方式會導致非授權用戶在不知情的情況下,自己的資料被脈脈使用,這侵害了他人隱私權和個人資訊權。
“根據最新出臺的網路侵權司法解釋,非法公開他人個人資訊的,應承擔侵權責任。”朱巍表示。
滕立章也告訴法治週末記者,洩露用戶隱私在民事上可能會被追究合同違約賠償與道歉責任;行政處罰上也可能受到相關行政主管部門的罰款與警告處罰。
法治週末記者在查看了新浪微網志的服務使用協議後發現,其第六條第三款中明確顯示,“用戶知曉並同意如該第三方同意承擔與微夢公司同等的保護用戶隱私的責任,則微夢公司有權將用戶的註冊資料等提供給該第三方,並與第三方約定用戶數據僅為雙方合作的微網志服務之目的使用”。
據悉,新浪微網志此前註冊的公司,即為北京微夢創科網路技術有限公司。
而如果新浪微網志對脈脈的指責是真的,脈脈存在盜取用戶資料的行為,那脈脈又將承擔怎樣的法律責任呢?
“根據我國法律的有關規定,竊取或者以其他方法非法獲取公民個人資訊的,是一種違法行為,如果情節嚴重的,還可能涉嫌刑事犯罪,可能被處以3年以下有期徒刑或者拘役,並處或者單處罰金。”華建明表示。
相關案例已經出現:近日,安徽省宿州市某公司經理童某在網上購買、利用“號碼魔方”軟體,通過調取等方式,非法獲取公民個人資訊12萬餘條。法院以非法獲取公民個人資訊罪,判處其有期徒刑6個月,緩刑1年,並處罰金1萬元。
“訪問通訊錄”惹爭議
華建明律師認為,社交軟體收集使用網民資訊方面應當遵循以下原則:收集使用用戶資訊首先應當是基於提升用戶體驗更好地為用戶服務的宗旨;收集使用用戶資訊應事先明示,不得隱瞞欺騙用戶;使用用戶個人資訊應在用戶授權的範圍內,不得超越用戶授權;應對用戶資訊採取必要的技術措施進行保密,防止用戶資訊洩露。
據稱,在新浪微網志封殺了脈脈介面後,林凡曾對媒體表示,一方面,脈脈將強化通訊錄關係,另一方面,可能將引入微信關係鏈,“騰訊和微信的這些開放平臺已經找到我們,這個對於我們來講也是一個比較重要的幫助”。
不過在朱巍看來,脈脈功能裏面有允許利用授權者“通訊錄”的許可權,這一點本身就值得商榷。
朱巍認為,通訊錄屬於與隱私密切相關的範疇,即便是用戶本身,也不宜授權公司使用自己的通訊錄,因為裏面還涉及別人的隱私,任何人都無權允許網路公司使用他人的個人資訊。
“當然,如果被使用者自己同意的話,那就另當別論。”朱巍説。
“因此,我認為脈脈公司的個人資料蒐集手段存在瑕疵,至少應加上所有授權人的同意條款。”朱巍建議。
須留意服務協議隱私條款
朱巍告訴法治週末記者,雖然大多數網路公司對隱私條款的規定都會在網民協議中體現,但是很少有網民去留意這些規定,也不知道自己的資訊被轉讓。這種現象在中國網路産業中極為普遍,幾乎每個網路公司都或多或少的存在。
談及此事,滕立章也認為:“當前資訊共用技術已經十分發達,網路平臺上存儲的用戶個人資訊,只要在其管理後臺開放一個介面與訪問許可權,合作方在很短時間內就能輕易獲取大量資訊,個人資訊保護正面臨著巨大的挑戰。”
“這就需要政府監管部門對網民協議中的隱私條款予以監管。同時應賦予用戶對自己資訊的充分控制權,若發現自己的資訊被非法使用,可以依法向網路服務提供者提出禁止性通知。”朱巍認為。
不過在滕立章看來,即便如此,目前仍存在著三個較為嚴重的問題:一方面,當前法律法規對個人資訊範疇的界定尚不清楚,容易給企業留出打擦邊球的機會;同時處罰力度較低,一般此類違規事件的處罰大多在3萬元以下,很難對違規者形成警示作用;此外,不僅網民維權的成本較高,往往還存在著技術上的舉證難度。
“這就需要網民進一步提高隱私保護意識,原來可能並不重視平臺方或者軟體方用戶協議中的隱私條款,以後則要加強保護意識,要在明確其規則的情況下,選擇好那些資訊需要填寫或者不去填寫,再由此倒推企業進行自律。”一位不願透露姓名的安全專家表示。