本文原創:“ 網安尋路人”公眾號
作者:洪延青
(現任北京大學互聯網發展研究中心高級顧問,主要研究個人信息保護、數據跨境流動及關鍵信息基礎設施保護等網絡安全法律政策問題)
騰訊對抖音和多閃的起訴還在進行之中。日前,天津濱海法院已經下達與案件相關的禁令裁決書,引發坊間熱議。但到現在為止,對案件的大多數評論都集中於昵稱、頭像的歸屬問題。簡言之,微信用戶的頭像、昵稱的權益歸屬,到底是屬於用戶,還是屬於微信?感興趣的讀者請參見【多閃聲明:昵稱、頭像均由用戶授權相關權益理應歸屬用戶】以上為事件的基本背景。
在訴訟進行當中發表評論,肯定逃不開“蹭熱點”之嫌。因此,本文力求提供些新的視角,不浪費大家時間。更重要的是,公號君就事論事,寫就本文僅為分析說理和供大家批判之用,並沒有選邊站的意思。
一、微信的實質訴求是什麽?
首先聲明,本節討論在不考慮部分頭像可能涉及肖像權的情況下展開。
顯然,訴訟中,微信的實質訴求絕不僅僅是獨佔微信用戶頭像和昵稱的權益而已,更重要的是避免微信用戶好友關係被大規模地複製到抖音和多閃中去。
公號君認為:在討論該案件中,千萬不應割裂微信用戶的頭像和昵稱(本文稱“元素一”)與微信用戶之間的關係鏈條(本文稱“元素二”)之間緊密的關聯。看以下兩個情形,就能明白這個道理:
a.如果抖音或多閃隻獲取了微信用戶的元素一,但是沒能獲得微信用戶的元素二,抖音或多閃在推薦好友時,用戶在其平台上接收推薦的成功率會下降很多,因為推薦不夠準確。
b.如果抖音或多閃隻獲取了微信用戶的元素二,但沒能獲得微信用戶的元素一,抖音或多閃在推薦好友時,用戶在其平台上接收推薦的成功率同樣會下降很多。因為即便推薦夠準確,用戶在點接受推薦之前還會做一次判斷:這人我認不認識啊?這時候的主要判斷依據即是頭像和昵稱。
用戶在社交平台上的粘性,很大程度上取決於用戶的社交關係是不是在這個平台上。因此,新的社交平台為了迅速積累用戶,有天然的動機從別的社交平台將其社交關係成建制地複製到自己平台之上。而複製到自己平台之上有兩個步驟:一是將推薦準確地送達至用戶面前;二是盡可能地促使用戶接受這個推薦。步驟一的核心關鍵對應上文的元素二。步驟二成功的核心關鍵對應上文的元素一。
因此,對抖音或多閃來說,如果要從微信那大規模地複製好友關係,則前段中的兩個步驟缺一不可。而微信為了保護自己的好友關係,最佳的策略當然是阻止抖音或多閃獲得元素一和元素二。
基於這個原因,公號君認為對該案件的評論,不應該割裂元素一、元素二而開展討論,反而應將元素一和元素二打包來看,即用戶的頭像和昵稱和用戶之間的關係鏈條合並稱之為微信用戶好友關係(套用Facebook自己的術語,即是social graph)。任何割裂的討論方式,必然偏頗。
總之,公號君認為這是微信的實質訴求——同時保護自身對微信用戶好友關係(即元素一和元素二的合集)的權益不被違法侵害。
二、抖音或多閃如何獲取微信用戶好友關係的途徑?
1、對於元素一,抖音主要是通過微信的開放平台獲得
現在案件的主要爭議點是抖音能否再次將元素一共享給多閃。但是為了回答這一點,公號君認為核心關鍵是,抖音獲得元素一的方式,事實上決定了抖音能否將元素一共享給多閃。以下分兩個情形討論:
情形一:抖音通過索要微信用戶的用戶名和密碼的形式,獲得微信用戶的頭像和昵稱
這樣的方式簡稱"data scraping"。但如果抖音通過這樣的方式獲得數據,具有明顯的安全風險,公號君認為微信有足夠的理由來封阻這樣的行為。以A公司代表微信,B公司代表抖音。A公司可主張以下六點:
根據事先約定,使用權僅為用戶本身而非其代理,如果設立代理,也需要協商一致而不是共享用戶名密碼的方式,目的是為了安全風控。
當A公司發現訪問行為不是用戶本身時,根據事先約定,本公司對於不知情的代理人都可以當成黑客。為防止黑客入侵,有權進行封阻。
A公司無法確定用戶與B公司是否達成了真實的意思表示,即無法確認B獲得用戶在A公司的用戶名和密碼的合法性。
即便共享用戶名和密碼是用戶的真實意思表示,A公司無法確認用戶授權的具體範圍,是僅僅允許獲取頭像和昵稱,還是對話內容,或者還是朋友圈信息等等。
即便確認了用戶授權的具體範圍,但是A難以限制B獲取數據的行為,例如B是否順帶爬取了用戶好友的信息;以及B訪問A服務的行為,很可能與自然人不同,在頻率、帶寬等方面對A造成顯著負擔。
用戶數據轉移至B之後,B會如何使用?是否會遵循與用戶的約定?等等問題都會給A帶來法律責任方面的風險。
基於這六點,A會阻止B通過獲得用戶名和密碼的方式獲得用戶的數據。A的合理策略是:如果非要授權的,歡迎B和用戶一起來我這,我們三家一起拿出合適的方案。也就是後面要討論的情形二。
但是通過獲得用戶名和密碼的方式獲得用戶的數據,有個顯而易見的好處——B獲得用戶數據後再次對外共享的自由度較大,只要用戶同意。原因是合約的相對性:A與用戶之間的約定,無法約束B;數據到了B之後,B只要取得用戶的授權,就可以向不特定的組織或個人提供。
情形二:抖音通過微信建立的合作渠道來獲得微信用戶的頭像和昵稱
現實情況中,抖音是通過微信開放平台獲得微信用戶的頭像和昵稱。第三方APP要支持微信登錄,需要先注冊微信開放平台,在微信開放平台內創建移動應用,填寫第三方APP名稱、簡介、圖標等相關信息後,可以得到 AppID 和 AppSecret 。微信授權登錄的整體流程如下:
微信用戶打開第三方APP後,點擊微信登錄按鈕,會打開微信的授權界面,如果用戶同意授權登錄,則微信會拉起第三方APP,也就是回到了第三方APP,並且第三方APP得到了一個授權臨時票據code。
第三方 APP 把 code 傳回到自己伺服器,帶上 AppID 和 AppSecret 調用微信開放平台 API,得到 access_token。再通過access_token,調用微信開放平台的API,可以得到剛才授權登錄的微信用戶的openid、昵稱、性別、省市國家、頭像、unionid 等基本信息。
上面一步最重要的是獲取到了openid和unionid。其中,openid:同一個微信用戶,在不同的第三方APP登錄,對應的 openid 是完全不同的。
unionid:為了解決用戶關聯問題,微信又提供了unionid,同一個微信用戶,只要是在同一個微信開放平台账號下的移動應用、網站、公眾號、小程序登錄,都有同一個unionid。注意,通過這樣的方式,是無法獲取用戶的微信號、手機號、真實姓名等信息。
從以上流程大家可以看到,微信是通過開放平台和API模式來實現數據共享的。通過幾次握手,微信避免了情形一中列出的六點風險。因此,這是一種較為安全的數據共享模式。在歐盟開放銀行的規定中,也將API的共享當成了首選,很大程度上抑製"data scraping"。詳見【金融數據保護的美歐中立法趨勢概覽】。
對於通過開放平台和API模式獲得的數據,由於第三方APP與微信之間簽訂了《微信開放平台開發者服務協議》。該協議中2.7.2和2.7.6均明確禁止數據的onwards transfer。而抖音作為協議的一方,應受該協議的約束。那微信有權要求抖音禁止onwards transfer嗎?公號君認為是可以的。就以跨境數據流動為例,限制數據的onwards transfer均是標準做法,司法和實務均沒有異議。
那如果用戶主動要求抖音對外提供呢?這點不少論者各有各的觀點。公號君認為這是個複雜的問題。但公號君認為,抖音作為《微信開放平台開發者服務協議》的一方,至少不應該主動向用戶索取授權,否則就直接違反了所簽訂的《微信開放平台開發者服務協議》。
2、對於元素二,抖音的獲取方式目前未有定論
坊間的傳言主要存在兩大類:一是抖音通過植入cookie的形式,獲得微信用戶的關係鏈條。詳見【抖音奇襲社交,先奇襲用戶隱私】二是通過用戶主動上傳通訊錄的形式。詳見【我的社交關係鏈,怎麽就歸微信了?】
對此公號君無法進行驗證。和諸多DPO社群成員交流,只能猜測抖音(包括頭條系Apps)獲取微信用戶的關係鏈條是具有一定概率的事件,具體方式很可能同時結合了cookie和通訊錄這兩種。例如,首先,通過cookie獲得了具有關聯關係的微信用戶的openid,由於微信用戶在用微信账號首次登錄頭條系APP時需要填寫手機號,這就實現了openid、手機號、微信頭像、昵稱、IMEI號等信息的共同綁定,這就能實現通過cookie的好友推薦。如果某位用戶還授權了通訊錄共享,那通訊錄能夠提供豐富的關係鏈。通訊錄再和cookie方式結合,就能夠精準地推薦好友了。
三、總結
上文形成了以下幾個觀點:
用戶的頭像和昵稱(元素一)和用戶之間的關係鏈條(元素二)合並稱之為微信用戶好友關係,不應將兩者割裂開來討論該案件。因此,割裂地來談用戶的頭像和昵稱的合法權益屬於用戶還是微信,其實沒有太大意義。
抖音是通過加入微信開放平台的方式來獲取了微信用戶的元素一。作為簽署《微信開放平台開發者服務協議》的一方,應遵循該協議,至少不得主動向用戶索取向多閃提供元素一的權限。
抖音獲取元素二目前的技術細節無法確切知悉,但基本可以確認結合了在微信上設置cookie和向用戶索取通訊錄權限兩種方式。由於這兩種方式相結合,同時cookie方式又依賴於微信這個平台,所以公號君傾向認為抖音違反了《微信開放平台開發者服務協議》中不得將數據用於“補充自身關係鏈”的要求。
抖音獲取元素二過程中是否涉及違法違規收集個人信息,這個問題的法律分析更加複雜,涉及微信開放平台和抖音之間在角色。公號君日後會結合國外最新判例,將分析寫出來供大家批判。
以上分析和觀點,為公號君一家之言,各位讀者肯定有自己的判斷,歡迎多多相互交流。(完)
香港九龍灣馬來街興發大廈15樓D室