互法案说：新浪微博与脉脉案概述与评析

作者的话：

上周“互法周记”停更，主要是难得的8天长假，让人不自觉有慵懒感。另外的原因是长假前一天去献血了，身体确实需要休息，也算是为停更付出了“血的代价”吧。

本周“互法周记”推出首个固定栏目——互法案说，今后将不定期对互联网行业的重要司法判例进行评点。在我进入百度之前，对互联网行业毫无了解，为应付面试，就找了一些互联网行业的案件判决书来看，过程中意外发现，通过案例的问题归集和事实回溯功能，能够比较便捷地了解互联网产品和服务，包括其基本运营模式和存在的问题。可以说，案例学习是探究未知领域的一条捷径。而互联网行业日新月异，新型案件层出不穷，也会我们提供了丰富的学习资源。“互法案说”的初衷，是对自己在坚持案例学习方面的督促，同时也希望仿照罗辑思维的模式，做知识的搬运工，将互联网行业优秀、重要案例总结归纳后分享给更多朋友。

---

 

今年年初，北京知产法院对新浪微博与脉脉之间的不正当竞争纠纷案做出的终审判决，是互联网领域近年来关于用户隐私、平台数据开放与利用、数据资源保护的典型案例。判决全文近8万字，接近一篇博士论文的规模，法官在判决中展示了极强的专业能力，并创设了新的司法裁判规则（三重授权原则），具有较高的研究价值。

 

一、案件主要事实

诉讼案件的事实从来不等于真相，既有当事人主张的事实，也有法院查明的事实，还有案件背后隐藏的事实，所以要归纳事实不是容易的事情。就本案来说，基于案件的重要性和复杂性，当事双方向法院呈现的自然都是经过筛选的事实，法院经过庭审查明也未能挖掘出事实的全貌，部分事实认定甚至是通过证据规则做出的事实推定。当然，如果不苛求真相的话，下面这些事实可以帮助我们对案件有一个初步认识。

1、新浪微博是国内最知名的社交网络平台之一，月活跃用户数过亿。脉脉软件是一款基于移动端的人脉社交应用,通过分析用户的新浪微博和通讯录数据,帮助用户发现新的朋友,并且可以使他们建立联系。

2、脉脉软件作为社交应用的新玩家，最初高度依赖微博账号体系，用户可以使用微博账号直接注册，也可以使用手机号注册。但无论采取哪种方式，用户都需要上传手机通讯录。

3、用户在脉脉软件注册后，会拥有一度人脉和二度人脉两套人脉关系。一度人脉是用户的手机通讯录联系人或者新浪微博好友，一度人脉既可能是脉脉用户，也可能不是。若A用户一度人脉中的B同属于脉脉用户，则B用户的手机通讯录联系人或新浪微博好友，是A用户的二度人脉。

4、脉脉通过“微博开放平台”向新浪微博申请OpenAPI数据接口，获得使用微博平台相应数据的权限。新浪微博认为脉脉获取的只是普通权限，不能获取新浪微博用户的职业信息和教育信息。脉脉认为其获得的是最高级别权限，能够使用微博平台的用户职业、教育等信息，但承认未单独申请这职业、教育两个OpenAPI系统权限。

5、脉脉在其应用软件中，在显示脉脉用户的人脉关系时，展示了其中的微博用户的头像、标签、职业、教育等信息。被展示上述微博信息的“人脉关系”，既包括脉脉用户，也包括非脉脉用户。这种展示在新浪微博停止脉脉的OpenAPI接口后依然短时期存在。

6、在脉脉软件中，脉脉用户手机通讯录中联系人在未注册脉脉账号的情况下,因为脉脉用户上传个人手机通讯录而使得该通讯录中联系人的新浪微博信息能够在脉脉用户的一度人脉中展现。

7、脉脉的相关负责人在新浪微博停止脉脉OpenAPI接口后，以保护用户隐私、对抗大公司不当要求的弱者自居，发表了针对新浪微博的不利言论。

 

二、二审法院的裁判思路

由于本案一审判决做出后，脉脉公司进行了全方位上诉，要求二审法院撤销一审判决的全部三项判决内容，并且对一审法院认定的部分事实和适用的法律均提出了上诉意见，所以二审法院基本是重新审理。基于上述，本文就直接从结果出发，跳过一审判决，分析二审法院归纳的争议焦点及裁判思路。

二审判决共归纳了四个争议焦点，其中最重要的是第一和第二个，即脉脉获取、使用新浪微博用户信息的行为是否构成不正当竞争，以及脉脉软件展示脉脉用户手机通讯录联系人与新浪微博用户对应关系是否构成不正当竞争。法官关于前两个争议焦点的裁判思路基本如下：

 

争议焦点一：上诉人淘友技术公司、淘友科技公司获取、使用新浪微博用户信息的行为是否构成不正当竞争行为

(一)关于合作期间，上诉人淘友技术公司、淘友科技公司获取脉脉用户中新浪微博的职业信息、教育信息的方式问题

这是本案事实中争议最大的部分，双方各执一词。脉脉公司坚持认为其有权获取新浪微博用户的职业信息、教育信息，而微博认为脉脉获得授权的Open API权限较低，无权获取上述信息。法官对此做了全面评述。

1、关于0pen API的基本情况

法官认可0penAPI是互联网新的应用开发模式,能够更好的发挥数据资源价值,实现开放平台方和第三方应用方之间的合作共赢。Open API的权限控制由提供方通过技术手段来控制实现,应用开发者必须在满足相应权限的前提下才有可能访问到相关资源。

2、被上诉人微梦公司向上诉人淘友技术公司、淘友科技公司提供0pen API开放接口的情况

法官认为，Open API的《开发者协议》约定双方权利义务，开放平台和第三方应用开发者都应当严格遵守。而在新浪微博的《开发者协议》中，非常明确的原则是，开发者应用或服务（本案是脉脉软件）需要收集用户数据的，必须事先取得用户的统一，告知用户数据收集的目的、范围及使用方式，同时仅应当为应用程序运行及功能实现目的收集必要用户数据。

新浪微博在与注册用户的协议中也明确，新浪微博会保护用户的个人信息，不向第三方披露，但部分无需征得用户同意即可公开、向第三方披露的信息除外。也就是说，新浪微博有权通过Open API接口向开发者提供微博用户的部分个人信息。

3、上诉人淘友技术公司、淘友科技公司是否通过被上诉人微梦公司提供的0pen API开放接口获得用户的教育信息和职业信息

法院根据双方专家证人的证言判断，“从技术上讲,如果脉脉系通过0pen API开放接口获取数据,脉脉和新浪微博都可以保留调取数据的日志”，但是新浪微博作为开放平台提供方，却未能提供脉脉通过Open API获取数据的完整技术日志。

法院根据“谁主张谁举证”的证据规则，认为新浪微博（原审原告）对于其主张的侵权行为事实应当负有举证责任。新浪微博虽然主张脉脉是通过绕过Open API的非法抓取方式获得的微博用户信息，但未能提供证据证明。而同时，根据专家证言，数据取得方式一般只有爬虫抓取和“数据获取”（开放平台接口）两种方式。所以，在前者无法证实的情况下，法院推定脉脉是通过Open API方式获取的新浪微博用户职业信息、教育信息。

至于为什么脉脉在没有获得相关Open API接口权限的情况下就能够抓取微博用户的职业信息和教育信息，法院认为是新浪微博对于Open API接口的管理不善。

 

(二)上诉人淘友技术公司、淘友科技公司获取并使用新浪微博用户信息的行为是否构成不正当竞争行为

在确定脉脉获取微博用户职业信息、教育信息的方式后，法院开始论述脉脉的获取并使用微博用户信息的行为是否构成不正当竞争。法院认为，最高人民法院在(2009)民申字第1065号“山东省食品进出口公司等与青岛圣克达诚贸易有限公司等不正当竞争纠纷再审案”中确立了关于适用《反不正当竞争法》第二条应具备的条件，但互联网行业的不正当竞争纠纷具有特殊性，除了应当满足一般条件外，还应当考察被诉行为是否损害消费者（用户）的利益；是否破坏公平竞争秩序；是否有证据证明其不正当性。

1、上诉人淘友技术公司、淘友科技公司获取并使用新浪微博用户的职业信息和教育信息的行为是否违反《开发者协议》

法院认为，结合在案证据可知，脉脉公司没有从新浪微博开发者平台获得能够收集教育信息、职业信息的高级Open API接口权限。

而根据《开发者协议》2.5.1条的约定，脉脉公司要获取用户数据，需要取得用户清晰、明示的同意，并坚持“最少够用”原则，同时还要按照OpenAPI接口规则的要求取得。

但是，脉脉公司在明知或应知教育、职业信息需要高级接口权限情况下，没有走正常的用户同意+申请Open API权限途径，而是放任通过技术能力获取信息，破坏了Open API合作模式（违反了协议），容易引发“技术霸权”的恶性竞争。

可以说，关于用户同意与Open API权限之间的关系，二审判决在此的论述并不清晰。既然脉脉可以向微博开放平台申请关于教育、职业信息的Open API权限，那也就意味着，一旦新浪微博批准该申请，脉脉就能够直接获取。那么，在此情况下，应当就不需要按照《开发者协议》去告知用户使用目的，并获得用户的清晰、明示同意了。Open API权限是否已经包含“用户同意”的条件是不明确的。

此外在一审中，脉脉的答辩思路是，只要用户使用微博账号注册脉脉，根据《脉脉服务协议》，意味着脉脉可以获取并使用对应微博用户的所有信息。该约定是否能够满足《开发者协议》中关于“用户同意”的要求，二审法院也只字未提，可以说是不小的遗憾。

2、上诉人淘友技术公司、淘友科技公司获取并使用非脉脉用户的新浪微博信息的行为是否违反《开发者协议》

二审法院在论述该问题时，反而引用了《脉脉服务协议》，认为虽然《脉脉服务协议》的约定不能得出脉脉有权获取并使用非秒买用户的相关新浪微博信息的结论，因此脉脉同样违反《开发者协议》。这一点是比较好理解的，因为毕竟非脉脉用户不是《脉脉服务协议》的合同相对方。

3、上诉人淘友技术公司、淘友科技公司获取并使用非脉脉用户新浪微博信息的行为是否符合诚实信用原则和商业道德

二审法院援引一系列国内外法律规定及立法动向，最终得出“第三方通过0pen API获取用户信息时应坚持‘用户授权’（用户对数据提供方的授权）+‘平台授权’（数据开放平台对第三方应用的授权）+‘用户授权’（用户对第三方应用平台的二次授权）的三重授权原则”的重要结论。

法院认为，脉脉没有取得用户同意就获取用户信息，未能尊重用户的知情权和自由选择权，破坏了OpenAPI合作模式，具有不正当性。

 

(三)被上诉人微梦公司是否可以就第三方应用使用其用户数据的不正当行为主张自身权益的问题

脉脉公司提出，其获取并使用非脉脉用户的新浪微博信息，应由用户主张权利，微博公司无权主张。

法院认为，经过用户同意收集并进行商业利用的用户信息，是微博开展经营活动的基础，同时也是可以向第三方应用平台提供的重要商业资源。脉脉未经新浪微博用户同意，获取并使用非脉脉用户的新浪微博信息，节省了大量的经济投入，变相降低了同为竞争者的新浪微博的竞争优势，损害了微博的商业资源。微博公司可以按照《开发者协议》约定内容、未取得用户同意、无正当理由使用其平台相关数据资源的行为主张自己的合法权益。

 

(四)上诉人淘友技术公司、淘友科技公司与被上诉人微梦公司合作关系结束后，上诉人淘友技术公司、淘友科技公司是否存在非法使用新浪微博用户信息的行为

对此问题，法院认为，脉脉公司在清理相关数据期间,仍在持续使用相关数据信息。

 

争议焦点二、上诉人淘友技术公司、淘友科技公司获取、使用脉脉用户手机通讯录联系人与新浪微博用户对应关系的行为是否构成不正当竞争行为

 

(一)上诉人淘友技术公司、淘友科技公司是否展示了手机通讯录联系人与新浪微博用户的对应关系以及其如何实现该对应关系

由于脉脉一方始终主张其未展示脉脉用户手机通讯录联系人与新浪微博用户的对应关系，也没有获取微博用户注册时登记的手机号信息，而是通过协同过滤算法获得的脉脉用户手机通讯录中所展示的被诉信息，所以法院首先要对事实进行认定。

1、关于脉脉展示新浪微博用户信息的方式，上诉人淘友技术公司、淘友科技公司的专家辅助人徐俊进行了具体解释

脉脉一方的专家证人表示，脉脉是通过协同过滤算法将新浪微博用户与脉脉用户手机通讯录联系人进行匹配，算法认为是同一个人，就在脉脉用户通讯录人脉详情中展示新浪微博用户的信息。

2、关于脉脉展示新浪微博用户信息的方式，被上诉人微梦公司的意见

微博公司认为，协同过滤算法必须基于一定数量及质量的信息，且准确率有限。而脉脉用户数量有限，不可能实现85%的准确率，因此一定是从微博平台非法获取的用户手机号信息，从而将微博用户手机号信息与脉脉用户上传的手机通讯录信息进行匹配，进而展示对应关系。

3、关于脉脉展示新浪微博用户信息的方式之法院认定

法院认为，首先可以确定的是，脉脉用户手机通讯录中联系人在未注册脉脉账号的情况下,其新浪微博信息能够在脉脉用户一度人脉中展现。脉脉一方未能就如何实现协同过滤算法做出合理解释，结合当前协同过滤算法的发展水平，推定脉脉是通过手机号码、其他类似手机号码进行的精准信息匹配。

 

(二)上诉人淘友技术公司、淘友科技公司展示用户通讯录联系人与新浪微博用户之间的对应关系的行为是否构成不正当竞争行为

法院认为，“在互联网中涉及对用户信息的获取并使用的不正当竞争行为认定时,是否取得用户同意以及是否保障用户的自由选择是公认的商业道德”， 脉脉未能证明其获取及展示微博用户信息的行为获得了用户同意。具体来说有两个方面，新浪微博用户选择在微博平台对公众公开个人信息，但并不意味着脉脉可以未经用户许可而获取这些信息并展示在脉脉软件中，脉脉的行为，严重损害了非脉脉用户的知情权和选择权；手机号属于敏感信息，脉脉无论通过何种方式获取，都应当经过用户明确同意。

除了对用户权益的侵害之外，法院认为，数据资源是互联网企业的重要竞争优势和商业资源，“企业竞争力不仅体现在技术配备,还体现在其拥有的数据规模”。新浪微博有条件的想开发者应用提供用户信息，坚持三重授权原则，目的在于保护用户隐私同时维护企业自身的核心竞争优势。而脉脉公司未经用户同意获取并展示用户信息的行为，侵害了微博公司的商业资源，属于不正当获取竞争优势，违反《反不正当竞争法》第二条的规定。

 

三、几点思考

新浪微博与脉脉之间的诉讼纠纷暂告一段落，但涉及的数据资源获取、使用的争议远未结束。本案二审判决虽然亮点颇多，但也留下了一些思考空间，本文试举几例说明。

 

1、三重授权原则的适用范围

本案二审判决确立的三重授权原则，虽然在判决书中明确了适用范围是“Open API开发合作模式”，但究竟如何定性Open API模式，其能够涵盖当前哪些主要种类的数据获取方式，其实仍然需要深入探讨。尤其是对于法律人而言，我们往往缺乏计算机技术背景，对于技术方面的新发展、新情况更是缺乏了解，如果在不了解技术特征、原理的情况下，冒然给出某种数据获取方式适用或不适用三重授权原则的结论，都有较大风险。比如，三重授权原则是否仅适用于规模化的数据获取，而不适用于小范围的数据获取，就是比较现实的问题。

 

2、三重授权原则的“平台授权”地位及与用户授权之间的关系

本案二审判决明确，三重授权包含“平台授权”，如果将平台授权放置在本案微博与脉脉合作的OpenAPI模式中，是相对比较好理解的。因为首先脉脉未获得微博用户，特别是非脉脉用户的微博用户对于其教育信息、职业信息的使用授权，而微博平台已经将这些信息进行了收集并开发了Open API的使用接口，同时脉脉正是通过Open API方式尝试获得的这些信息，那么当然要获得微博的“平台授权”。

但是，假设脉脉已经根据《开发者协议》的规定，获得了相关用户对于用户自有信息的授权，那么是否仍然需要“平台授权”？本文认为，正如二审判决所提到的，“在互联网中涉及对用户信息的获取并使用的不正当竞争行为认定时,是否取得用户同意以及是否保障用户的自由选择是公认的商业道德”，用户同意才是获取用户信息的首要条件，“平台授权”即使在特定情况下是必要的，一旦与“用户同意”或用户自主选择权相冲突，理应让位于用户的自由选择权。

 

3、用户对第三方开发者应用的授权能否在对平台授权时一并作出

三重授权原则体系完善，但操作起来比较麻烦，特别是用户的二次授权，不但给获取数据信息的开发者增加了负担，也给用户增加了注意成本。本文认为，应当允许将用户的两次授权合二为一，统一在用户与数据开放平台的协议中体现，由数据开放平台明确第三方开发者使用用户信息的范围和具体方式，并告知用户及征得同意，并由数据开放平台根据用户授权，为开发者提供有限制范围的数据资源接口，并监督开发者的使用行为，及时纠正违约行为。

 

4、对于用户公开信息的保护限度

本案二审判决对数据开放平台对于用户信息等平台数据享受的合法权益给予了有利保护，但从另外的角度来看，对于用户选择在平台中向所有用户公开的信息，是否有必要限制任何形式的第三方获取，是否可能因此损害互联网的开放、共通原则，也是值得思考的问题。尤其是近期美国法院关于HiQ案的限制令，更提升了该问题的复杂性。本文不在此展开。