消息来源：中国知识产权杂志

右上图：微博曾授权脉脉使用微博作为第三方登录，由于发现脉脉未经许可收集非脉脉用户的微博信息，终止了与脉脉的合作。

左图：第三方登录是网络软件常用的登录方式，一旦用户使用，通常都会默认软件收集用户在第三方软件的信息。

右下图：在脉脉注册页面上，可以看到“注册即表示你同意脉脉服务协议”的规定，很多人根本没有注意过，更不要说点开服务协议仔细阅读了。 （佘颖 摄）

▌擅自使用他人微博头像

脉脉是一款社交软件，通过分析用户的新浪微博和通讯录数据，帮助用户发现新的朋友，并可以帮助他们建立联系。

2013年9月11日至2014年8月15日，脉脉曾经获得微博授权，用户可通过微博账户注册脉脉，同时脉脉可获得微博用户的部分信息。

但是，在合作期间，脉脉在没有得到微博授权，也未经未注册用户许可的情况下，将脉脉用户手机通讯录里的联系人与新浪微博用户对应，并展示在脉脉用户“一度人脉”中。而且，在合作终止后，仍继续使用这些信息。

作为验证，2014年11月25日，用户赵某使用新购买的三星手机下载安装脉脉软件，用自己的手机号登录脉脉软件，上传手机联系人后，发现“一度人脉”中，默认的“公司”名录下出现了“奇虎360”一项，里面有自己的通讯录联系人“李某某”，同时显示有头像、影响力指数、手机号，个人标签360安全卫士、80后、IT数码等。同时出现的还有“中信证券”下的“黄某某”、“豆瓣”的“王某某”及“美中宜和妇儿医院”的“许某”。

经过核实，这4人的头像与他们的微博头像一样，但他们并未注册过脉脉，而且王某某的职业与微博所写的“豆瓣算法工程师”一致。他们肯定没想到，虽然自己从未注册过脉脉，但自己的工作单位、毕业学校、头像等微博上的信息已经在脉脉上出现。这一切，仅仅是因为他们共同的朋友赵某通过脉脉上传了他们的手机号。

这种做法并非行业惯例。例如，微信能够展示手机通讯录中的其他微信用户，但如果该手机号码并未注册微信，就不会展示，更不会展示该联系人在微博、淘宝等其他软件上的相关信息。

因此，一审法院认为，根据合同相对性原则，脉脉与用户之间的协议仅能约束脉脉用户与淘友科技公司，对非脉脉用户不发生法律效力，淘友技术公司、淘友科技公司不能据此收集与脉脉用户有联系的非脉脉用户信息。

“这起案件表面上是一件不正当竞争案件，本质上是个人信息保护之争。”中国政法大学副教授、北京消费者权益保护法学研究会副秘书长朱巍认为，“任何平台使用用户个人信息都应该经过用户本人同意。

虽然大数据可以买卖，但是用户个人的隐私数据不属于大数据，擅自使用就是侵犯用户隐私权，甚至是安宁权”。

▌数据只能在用户范围使用

脉脉的另一违法行为是，未经微博平台许可调用脉脉用户和非脉脉用户在微博填写的教育和职业信息。

据新浪微博研发经理李庆丰介绍，在脉脉与微博的《开发者协议》中明确规定，脉脉通过新浪微博获取的用户信息包括姓名、性别、头像、电子邮箱，并不包括用户教育信息、职业信息和手机号。

未经本人许可，调用非脉脉用户的信息是一种非法行为。但是，在注册时，脉脉用户都必须跟脉脉签订《软件服务协议》，同意“用户通过新浪微博账号、QQ账号等第三方平台账号注册、登录、使用脉脉服务的，将被视为用户完全了解、同意并接受淘友公司已包括但不限于收集、统计、分析等方式使用其在新浪微博、QQ等第三方平台上填写、登记、公布、记录的全部相关信息。”

换句话说，用户已经“授权”脉脉调取自己在微博上的全部信息，为什么微博平台还可以说不？

在审理过程中出现的一个小插曲能回答这个问题。当时，曾作为淘友技术公司、淘友科技公司员工的证人表示，自己同意向脉脉软件授权好友关系，但他也无法准确区分脉脉用户与非脉脉用户。

法院认为这代表了用户接受应用软件格式合同时的普遍状态，即用户授权行为具有一定的随意性，不能以此作为非脉脉用户的授权行为。

用户授权具有随意性，为用户信息站岗的就只有平台方了。作为平台，微博通过0penAPI接口协议来规范第三方的抓取行为，并禁止第三方平台通过爬虫等抓取微博用户信息。

但是，淘友技术公司、淘友科技公司在合作期间未申请职业信息、教育信息0penAPI接口，就擅自从微博开放平台获取新浪微博用户的职业信息、教育信息；在双方合作结束后，淘友技术公司、淘友科技公司未按协议要求及时删除相关用户信息，仍将包括新浪微博用户职业信息、教育信息在内的相关信息用于脉脉软件，该行为不符合《开发者协议》的约定。

法院认为，网络平台提供方可以就他人未经许可擅自使用其经过用户同意收集并使用的用户数据信息主张权利。

换句话解释就是，即使用户同意了某些软件收集自己在微博、天猫、QQ等网络平台上的信息，但没有得到平台的许可，微博、天猫、QQ也可以对这部分数据主张权利，授权或禁止软件方使用。

北京大学法学院副院长薛军教授表示，互联网企业在获取用户数据时，首先要征得用户同意，并且只能在用户授权的范围内使用。

平台方也有监管责任，一旦发现此类侵权行为，首先要向用户示警，并且可以根据与用户达成的使用协议，对第三方追责。

▌平台应保证用户信息安全

微博和脉脉的案件已经终审，个人信息保护的警钟仍需长鸣。

首先，作为第三方，开发者通过0pen API获得用户信息时必须遵循“用户授权+平台授权+用户授权”的原则，即用户同意平台向第三方提供信息，平台授权第三方获取信息，用户再次授权第三方使用信息，而且用户的同意必须是具体的、清晰的，是用户在充分知情的前提下自由作出的决定。

在本案中，淘友技术公司、淘友科技公司未取得用户许可，就抓取了非脉脉用户的相关新浪微博信息，对于得到注册用户许可的抓取，脉脉又未得到微博的许可。同时，淘友技术公司、淘友科技公司以技术的最大能力为范围，能抓取多少用户信息就抓多少，这不仅破坏了基于《开发者协议》建立起来的0pen API合作模式，还容易引发“技术霸权”的恶性竞争，即只要技术上能够获取的信息就可以任意取得，从而破坏了互联网的竞争秩序。

同时，案件也暴露出微博平台对于用户信息保护有所欠缺。例如，虽然要求开发者必须申请接口权限才能调用信息，但脉脉未经许可同样也能调用教育和职业接口。

因此，法院也要求微博平台提高对用户信息的保护力度，“数据提供方不仅应将用户数据信息作为竞争优势来加以保护，还应将保护用户数据信息作为企业的社会责任”。

“本案中，微博作为平台方维护用户个人信息安全的行为，对大数据的使用规则具有比较重要的现实意义。”薛军表示，造成此类事件频发的原因之一是目前国内还没有形成专门的个人信息保护法律，在目前情况下，平台方应该保持警醒，开发者应该遵守协议，监管部门也应该加强监管。（记者 佘颖）

活动主题：公司隐私政策的制定及个人信息收集、使用风险规避

时间：2016年7月27日15:00~16:30

形式：LCOUNCIL空中电话会议中心

人数：150人

语言：中文

▌个人信息收集、使用风险防范

➤ 法律责任

✤ 民事责任：赔偿损失、赔礼道歉、消除影响和恢复名誉

主要依据是《侵权行为法》、《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》。

但是要注意，如果要侵权人承担民事责任的前提是有损害和因果关系。在全国民事审判纪要里提到的不是损害的概念（当然，如果有损害也可以），如果有消极影响，法院也可以受理，但在实践中还没有看到法院类似的判例。

✤ 行政责任：限期改正、处以警告、罚款、没收违法所得、吊销许可证或者取消备案、暂停服务、关闭网站、禁止有关责任人员从事网络服务业务、将违法记录记入社会信用档案并予以公布。

✤ 刑事责任：出售或者非法提供个人信息人员，或者窃取或者以其他方法非法获得个人信息的人员，可被处以刑事责任。

对单位和单位主要负责人也适用。以前在刑法修正案七中有规定：电信，交通，教育医疗机构的人非法出售和非法提供个人信息，这会被处于刑事责任，但现在已经过时了，除了这几个特定行业的或者特定机构的人员，其他的机构人员也可以成为犯罪主体，其他行业的人员一样可能会出现数据泄露、非法出售的情况等。

在2015 年7 月公布的刑法修正案里，把特定行业如金融、电信、交通、教育、医疗等行业单位限定用语全部都删除，所以现在适用于所有人。如果出售非法提供个人信息，理论上是可以遭到刑事处罚，最高刑期原来是三年，现在是七年，后果比较严重。

➤ 风险防范原则

✤ 目的明确：处理个人信息具有特定、明确、合理的目的，不扩大使用范围，不在个人信息主体不知情的情况下改变处理个人信息的目的。

✤ 最少够用：只处理与处理目的有关的最少信息，达到处理目的后，在最短时间内删除个人信息。

✤ 公开告知：对个人信息主体要尽到告知、说明和警示的义务。以明确、易懂和适宜的方式如实向个人信息主体告知处理个人信息的目的、个人信息的收集和使用范围、个人信息保护措施等信息。

✤ 个人同意：处理个人信息前要征得个人信息主体的同意。

✤ 质量保证：保证处理过程中的个人信息保密、完整、可用，并处于最新状态。

✤ 安全保障：采取适当的、与个人信息遭受损害的可能性和严重性相适应的管理措施和技术手段，保护个人信息安全，防止未经个人信息管理者授权的检索、披露及丢失、泄露、损毁和篡改个人信息。

✤ 诚信履行：按照收集时的承诺，或基于法定事由处理个人信息，在达到既定目的后不再继续处理个人信息。

✤ 责任明确：明确个人信息处理过程中的责任，采取相应的措施落实相关责任，并对个人信息处理过程进行记录以便于追溯。

▌公司隐私政策制定要点

➤ 特殊事项的告知：

✤ 收集和使用个人敏感信息

✤ 收集特殊形式的信息，例如cookies, web beacon

✤ 向客户发送信息的方式和内容

✤ 提供给第三方

✤ 用于广告

✤ 存储

✤ 跨境传输

✤ 如不同意隐私条款的影响

➤ 积极同意 （Opt-In）

➤ 明确的联系和投诉方式

➤ 结合公司所处行业特点和特殊规定

➤ 格式条款的考虑

隐私政策的制作要点，法律规则相对来讲要更重要一点。对于隐私政策本身的制定，虽然隐私政策很重要，但是隐私政策制定的工作本身并不是一个特别复杂的法律工作。

可以很容易找到其他大公司的隐私政策文本进行参考，值得注意的是，要把这些隐私政策和你公司的具体业务结合起来，而且能够体现我国法律的要求。

很多大公司有一个实践，国外采取什么做法，中国就采取什么样的做法。但是在数据保护领域或者个人信息保护领域，这么做也是有道理的，因为国外的法律规定要比我国严格，一般不会出大错，但是还是需要与自身相结合。

需要注意，这里有一些要点涉及到一些特殊事项的告知，需要进行明确的列举，包括所有公司，准备要收集和使用的信息等。但是对于不会用的信息，不要去收集，也不需要告知。

如果是其他特殊形式或者是有争议的信息，建议告知，或者刚才提到的行为上的数据，法律没有界定特别清楚的如上网时间、上网记录等一些行为偏好分析等类似这样的信息，也尽可能都写上，很多隐私保护政策现在都是这样写的。

如果向客户发信息或广告，你也提前去告知，隐私政策无非是一个合同关系，如果是你告知了，对方同意了，就没有太大风险。

还有一些比较重要的点，如果要把信息交给第三方处理或者交给第三方向客户发送广告，需要专门的明示，存储在哪里，是否跨境传输等。如果在中国存储，可能不需要特别说明，但是涉及到跨境传输，个人认为需要说明。

甚至，如果是特殊行业，还要看这个行业是否受到跨境传输的一些限制。你要特别向用户说明如果不同意隐私政策的后果，例如无法使用服务，但是这种后果必须要写上是一种纯粹的事实，而不是一种威胁。

前面我们讲的O2O 的概念，如果用户不同意给我地理位置，抱歉，我没办法给用户送外卖，但是送外卖的公司非要收集客户的通讯录信息，否则就不提供服务，这就是不合理的。

隐私政策的同意方式应该是一个积极同意。有一种情况像公开的搜索服务或是网站浏览服务，这种可以采用消极做法。

但是如果让客户注册成为公司的会员，就需要把这个隐私政策作为设置为积极同意，需要设计一个同意的按纽，同意就点击，然后客户可以使用公司的服务。

但是反过来，就像公开的浏览，例如说百度，我搜索打开百度，我也不需要提前同意他的隐私政策或者合作条款等等，或者我去新浪浏览新闻，网页下面可能只能写一个隐私声明，这个继续使用就是一个默示同意。另外，就是要提供退订的联系方式和投诉方式。

- 最新会员福利| 公司隐私政策的制定及个人信息收集、使用风险规避

- 最新互动福利| 《网络安全法》内容解析及企业风险应对

分享或评论 | 欢迎转发此文到您的朋友圈，并通过微信回复到LCOUNCIL微信公众账号，或联系我们即刻获得此互动安排。

关注 | 点击本文标题下方蓝色“LCOUNCIL”即可关注-微信号：LCOUNCIL2014