全國首例OAuth2.0協議糾紛落錘：開放平台4點合規指南

2016年12月末，還有陽光。

脈脈這款職場社交軟體，最終還是敗給了新浪微博。

在我看來，這場官司是全國首例OAuth2.0協議不正當競爭案。大家也可以觀察到，2016年伊始，越來越多的互聯網自由協議糾紛（如ROBOTS蜘蛛協議糾紛，見文：蜘蛛俠的入侵：互聯網公司robots協議法律指南）登上中國司法的舞台，也考驗著中國的互聯網公司，以及互聯網精神。

文一

首例OAuth2.0協議案始末

事情是醬紫的，新浪微博在2015年3月將脈脈送上法庭，稱脈脈繞開原來雙方簽訂的《開發者協議》中約定的開放介面，非法大量抓取微博平台的用戶數據。簡單來說，微博原來通過協議同意脈脈用戶使用微博帳號登陸脈脈，即使用脈脈用戶可以使用第三方賬號登陸脈脈，但雙方在合作結束後，脈脈還超出許可權調用微博用戶的職業信息和教育信息。

一審法院判決脈脈賠償新浪微博220萬，二審現在維持了原判。

在本案中，繞不開的話題，就是OAuth2.0協議問題。我們現在經常進行這樣一類註冊和登陸方式：使用第三方賬戶體系進行登陸並註冊，比如在註冊某網站帳號時，可以點擊QQ帳號註冊登陸，而且這種方式已越來越普遍。

文二

OAuth2.0協議開放標準

所謂的OAuth2.0協議，這是一個授權開放的互聯網自由標準協議，允許用戶讓第三方應用訪問該用戶在某一網站上存儲的私密的資源（如頭像、昵稱等），而無需將用戶名和密碼提供給第三方應用。

（第三方帳號登陸示例）

例如在某類豪車的配置中，廠商會配兩把車鑰匙給車主，一把全授權模式，一把限定授權模式，車主使用代客泊車服務時，可將限定授權模式的車鑰匙交給泊車人，泊車人只能行駛限定的距離，不能開啟車內娛樂系統、後備箱等。類似的，在第三方賬戶註冊登陸時，第三方賬戶也只會經用戶授權後提供該賬戶下的基本信息，如頭像、昵稱、性別等，而不會泄露賬號密碼，這就給用戶註冊登陸提供了安全和便利。

但在新浪訴脈脈一案中，雙方簽訂的開發者合作協議似乎形同虛設。脈脈通過（超越）授權調用了新浪用戶數據中的教育信息和工作信息，而不僅僅限於頭像呢稱性別等。

奇怪的是，雙方都沒法說明脈脈怎麼調用這些非許可權數據的，也沒有證據證明脈脈是繞過合作，使用蜘蛛爬蟲扒取了微博的數據，脈脈自己估計也蒙逼，明明微博說不給他開放高級介面，但實際用時卻能拿到微博的高級介面數據。

所以二審法院也有些火大：「被上訴人微夢公司作為0pen API平台提供方,在其認為沒有授予上訴人淘友技術公司、淘友科技公司相應許可權的情況下,上訴人淘友技術公司、淘友科技公司已然通過0pen API介面獲取了相應信息,暴露出被上訴人對於0pen API許可權控制的漏洞。」

OAuth2.0協議授權簡直形同虛設。

文三

互聯網公司OAuth2.0協議合規指南

互聯網開放平台在OAuth2.0協議下，該如何進行數據和安全合規？

1.第三方帳戶登陸的二次註冊

基於OAuth授權註冊的限制性，用戶使用第三方帳號登陸目標帳號後，該類賬戶的註冊信息其實並不能沉澱在目標網站上，因為目標網站基於OAuth2.0協議，並不能獲得第三方賬號名，甚至在極端情況下，如果第三方賬戶網站收回開放授權，那這些已經註冊的用戶將會面臨無法使用目標網站的尷尬，只能重新註冊，這可能將導致大批量用戶流失，此其一。

其二，僅使用第三方帳號進行註冊，在法律上也難以構成明確的實名主體，即不符合中國互聯網要求網路運營者對用戶進行實名認證的法律要求。就像我之前發布的文章《小程序：帶給法律的尷尬知多少》發布後，很多人就發信息給我說不存在實名認證問題，因為微信在小程序上線時也會作嚴格審核的。

這其實是種誤解，其實文章中所稱實名認證的尷尬不是說開發者沒實名，而是開發者的交易對象（網路用戶），這是兩個層面的問題。這就好比應用分發平台，如APPstore，開發者都是嚴格認證的，但用戶下載後是不是要註冊，以及註冊到什麼程度，蘋果就不一定能控制，或者說沒有控制的法律義務。

因此，當目標網站使用第三方賬戶進行註冊時，仍應當進一步要求註冊用戶填寫個人信息（例如手機號等信息），切忌為了盲目追求用戶註冊的體驗感而忽略這一緊要步驟。當然，不理解的用戶經常要吐槽，我已經用了第三方賬戶進行註冊和登陸，為啥還要重新進行註冊，多此一舉。

2.隱私權「三重授權」原則

越來越多的第三方平台把自己定位為開放平台，而所謂的開放平台實際上並沒有法律定義，其主要內容包括技術數據介面開放——讓其它網站來調用、使用其平台上的用戶數據，還包括內容開放——讓用戶自行生成、上傳內容，如UGC視頻網站，SNS社交網站，以及電子商務平台也有開放平台概念。

但開放平台也不是這麼好當的，既然開放了，就應當或有能力履行更多的網路運營商義務，其中就包括用戶隱私權，即用戶的數據信息如何收集、使用，是否遵循合法、合理及必要性三原則。開放平台若需要將平台上收集的用戶信息提供給第三方（例如新浪將其用戶信息提供給脈脈調用），則必須獲得用戶的明確授權。

傳統的互聯網隱私權政策一般會列「我們收集什麼，我們怎麼用」這幾個模塊，但從目前看來，似乎並不夠完整。具體包括：1.確定何為用戶信息，何為非用戶信息，這關係到開放平台能否將該類信息直接提供給它方，非用戶信息的提供無須獲得用戶授權。所謂的用戶信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限於自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。而「非用戶個人信息」則可包括用戶操作狀態、使用記錄、使用習慣等。2.在隱私權條款中必須向用戶明確，開放平台將可能向第三方提供呢稱、頭像、性別等信息，用戶予以同意，但仍應遵循OAuth授權，並屆時簽訂開發者協議。

判決書有云：「互聯網+大數據時代,用戶數據安全與商業化利用是形影不離的兩個問題,只有在充分尊重用戶意願,保護用戶隱私權、知情權和選擇權的前提下,才能更好的利用數據信息」。

在0pen API開發合作模式中,第三方通過0pen API獲取用戶信息時應堅持「用戶授權」（隱私權政策上有授權）+「平台授權」（開放平台簽訂開發者協議授權）+「用戶授權（用戶在註冊時點擊確認授權）」的三重授權原則。

3.開放平台要有數據證據和安全意識

網路安全法規定，網路運營者須按照規定留存相關的網路日誌不少於六個月。這並不是一句空話。在本案中，脈脈公司未能提交其通過0pen API開放介面調取數據的日誌,理由是脈脈因伺服器容量有限,沒有保留之前通過0pen API介面調取數據的日誌。微博公司亦未能提交脈脈通過0pen API開放介面調取數據的日誌，微博解釋說新浪微博當前日誌保存策略為:距今1年內留存全量日誌數據,1年以上的將抽取部分月份日誌數據進行留存。

所以，本案中，本來可以調查清楚的網路日誌，作為這麼大的互聯網公司都沒有保存（如果不排除系第三方公司利用蜘蛛扒取網頁資料，也應當留存有相關的網路日誌），舉證不能的後果還是其實。最重要的是，法院在終審判決書中對微博未盡安全義務的行為進行了申飭，這對用戶的安全感是有非常大的損害的。法院認為：「微夢公司在0pen API的介面許可權設置中存在重大漏洞,被侵權後無法提供相應的網路日誌進行舉證,對於涉及用戶隱私信息數據的保護措施不到位,暴露出其作為網路運營者在管理、監測、記錄網路運行狀態,應用、管理、保護用戶數據,應對網路安全事件方面的技術薄弱問題。」

4.用戶信息的最小夠用原則

脈脈軟體通過合作開發協議（或者其它手段），調取了微博公司儘可能多的數據，這顯然很符合「人性」，對於互聯網公司而言，數據信息是第一財產，不嫌多。但在《網路安全法》後時代，這樣的思維還是必要或安全的么？

在庭審中，脈脈軟體竟然說明他們其實並沒有全面閱讀《開發者協議》內容,不清楚自己無權獲取用戶的職業信息、教育信息的介面許可權,只是利用現有技術最大限度的獲取信息,只有在無法獲取相關數據時才會提交介面申請。

而如果只要自己有技術能力就去扒取他它數據，會形成「技術霸權」，這是司法所不允許的行為。

所以，關於獲取的用戶信息應堅持最少夠用原則,即網路運營者不得收集與其提供的服務無關的個人信息,即收集信息限於為了應用程序運行及功能實現目的而必要的用戶數據。

當然，合作開發協議授權結束時，目標公司應當及時完成數據的斷開和刪除，否則屬於違約使用信息，在脈脈一案中，脈脈雖然在協議結束後及時刪除信息，但也不是一次性刪除乾淨，而是花了大半年，最終法院對脈脈積極刪除信息的行為表示了讚許，但仍然是愛莫能助，認定脈脈還是有違約信息使用的情況。

=================================

網路法領域 深度觀察的律界工匠

微信號 mclawman l用點滴思考匯聚大流

個人微信號：macelawyer

封面圖片來源：CC0協議授權

正文圖片來源：網路圖片