順豐菜鳥互拔網線：開放平台數據共享（OpenAPI）合規指南

02-04

我想從單單從法律角度來分析這個事件，商業上歸商業大家自己看，看如下成文。n

順豐物流和菜鳥網路就像小孩子一樣，在六一節吵得不可開交，也給在六一生效的《網路安全法》作了一個有意義的形式上的正向示範。

和順豐菜鳥案相關的《網路安全法》條款是其第四十二條：網路運營者不得泄露、篡改、毀損其收集的個人信息；未經被收集者同意，不得向他人提供個人信息。但是，經過處理無法識別特定個人且不能復原的除外。網路運營者應當採取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。

一 n禍起蕭牆，《網路安全法》背鍋n

6月1日凌晨，順豐突然宣布關閉對菜鳥的數據介面，意思就是說數據斷開後，通過淘寶購買了商品的用戶，在淘寶網後台上沒法再看到順豐快遞的物流實時信息了，商家也在淘寶後台查不到用戶是不是已經收貨（要去順豐網站查），那可能產生的連鎖反應暗下揣測是不是支付寶不確定什麼時候給商家放款，用戶收貨後的評價也不能按時作出了。所以吧，一個小舉動，影響還是挺厲害的。nn

另外一方面，因為順豐是各物業小區豐巢系統公司的創始股東，而菜鳥（淘寶系）要提供消費者的手機號給豐巢，以便豐巢系統向淘寶反饋消費者收貨信息並實時推送至淘寶後台作確認收貨（以前是消費者通過快遞員手簽確認收貨，再由快遞員上傳收貨信息），現在豐巢中的順豐快遞信息估計也會遇到麻煩。

因此，菜鳥建議所有淘寶賣家暫停用順豐發貨。而之所以順豐要停止數據共享，原因是其稱「菜鳥先提出所有快遞櫃信息的觸發必須通過菜鳥裹裹，取件碼信息無條件給到菜鳥，豐巢需要返回所有包裹信息給菜鳥（包括非淘系訂單）」。反之，菜鳥卻提出，以數據安全為由停止對豐巢的合作，並在6月1日0點下線豐巢介面信息。

二 n

順豐菜鳥互拔網線，若暫且不去理會兩者之間複雜的商業利益糾葛，原因可以歸結於一點——開放平台數據共享合規問題在《網路安全法》之下，愈顯重要。

互聯網時代，互聯企業獲取用戶數據，總上來看，有兩種方式：一是利用蜘蛛進行「數據爬取」，其中合法的爬取實際上就是類如谷歌和百度類的「網站收錄」，不合法的爬取就是對方網站有Robot禁爬協議還照爬，或者進入人家伺服器偷搶數據；二是通過「數據授權」，即通過開放平台以調用OpenAPI的方式取得數據共享後使用。數據爬取和數據授權兩種方式最大區別在於數據方是否知曉並授權。nn

但在「開放平台數據共享」模式下，數據共享合規遠非「知曉並授權」這幾個字如此簡單。

三 n建立並完善數據共享規則n

一般而言，OpenAPI授權規則有三個維度。一是控制授權有效期，即例如朋友給我推薦了一個網站（見下圖），我也想註冊使用，當我使用「微博」這個第三方帳號登陸時，就需要一步授權這個網站獲得我在微博上的信息「如頭像、性別、微博名等」。那假設我過了一個月後再想用微博賬號登陸時，會發現我們重新一步步獲得微博的授權，而假設我當天登陸了一次，第二天再用微博帳號登陸，就不需要微博再授權了（重新計算授權期），上面可能會閃過「您最近已經授權過該網站進行登陸」，是不是經常在微信上看到這種情況？授權期越短越安全但用戶體驗越差，授權期越長越不安全但用戶體驗會好，這兩者間要達成一個平衡。

用戶上傳的圖片

二是控制介面調用的頻次。即開放介面限制每段時間只能請求一定的次數，限制的單位時間有每小時、每天，例如一個應用內單授權用戶每小時只能請求開放平台開放介面n次，一個IP地址每小時只能請求微博開放介面x次（以微博為例）。這種頻次訪問的限制最為主要的目的還在為了區別是真實用戶訪問還是機器人訪問調用，從而從技術上確保沒有機器在抓取用戶數據。

用戶上傳的圖片

三是設置具體的介面許可權。因為開放平台會將期平台上用戶沉澱的數據進行分類打包，並分類供第三方調取，要根據第三方的業務需要決定「哪些介面可以調用」，每個介面都應當有普通和高級之分，每個高級介面都需要第三方單獨申請，且第三方要調取用戶的隱私信息（例如互聯網金融業內需要一些真實信息），還需要經用戶另行授權。例如脈脈要調用微博用戶的昵稱是普通的許可權，但其要調用用戶的教育或手機號碼則屬於高級許可權，需要另行授權。

四 n數據共享要確立「三重授權」原則n

在微博和脈脈案中，法院認為：OpenAPI開發合作模式中數據提供方向第三方開放數據的前提是數據提供方取得用戶同意，同時，第三方平台在使用用戶信息時還應當明確告知用戶其使用的目的、方式和範圍，再次取得用戶的同意。因此，在OpenAPI開發合作模式中，第三方通過OpenAPI獲取用戶信息時應堅持「用戶授權01」+「平台授權」+「用戶授權02」的三重授權原則。

如此具體操作？所謂的「用戶授權01」應當是開放平台獲得用戶授權以便於開放平台取得用戶的數據，並由用戶授權其數據供開放平台再授權開放給第三方調用；所謂的「平台授權」即當第三方要調用平台上沉澱的用戶數據時，還需要獲得平台的授權，否則不得擅自抓取或偷搶；所謂的「用戶授權02」即當平台授權第三方調用後，應當由用戶再行二次點擊確認同意將開放平台上的個人數據明確逐項勾選後再點擊授權給第三方，而不能由平台私自直接交給第三方使用並在第三方網站上呈現。這才構成一個完整的三重授權原則。

五 n數據共享應當秉持「免費」精神n

數據本身是有巨大的商業價值的，而為何個人認為開放平台的數據共享應當免費提供呢？其意義也簡單，即防止開放平台用個人信息進行買賣牟利，當然，如果是開放平台形成的大數據，當然可以商業化利用。

理論依據在於：根據刑法第二百五十三條之一的規定，違反國家有關規定，向他人出售或者提供公民個人信息，是侵犯公民個人信息罪的客觀行為方式之一。根據剛剛發布的《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，其第四條對「非法獲取公民個人信息」的認定作了進一步明確，包括「違反國家有關規定，通過購買、收受、交換等方式獲取公民個人信息」的，屬於「非法獲取公民個人信息」。所以，個人信息在任何情況下，如果有「購買」的行為，一定要被歸於非法獲取情況。這就像器官只能捐贈，而不能買賣一樣個道理。

六 n

其實，不僅僅是順豐和菜鳥之間有數據共享爭議，國家間亦是如此。《網路安全法》實施後，這樣的爭議也會在中國和世界間上演。

2015年，歐洲最高法院歐盟法院宣布，已運行15年的歐美數據共享協議將失效。所謂的歐美數據共享協議即「安全港協議」(Safe Harbor)，是美國商務部和歐盟於2000年12月簽署的一份協議，用於調整美國企業出口以及處理歐洲公民的個人數據，如姓名和住址等。簡言之，這份協議主要是為了方便企業在歐盟和美國之間轉移數據。業內人士稱，歐盟法院的該裁決可能會讓亞馬遜、蘋果、谷歌和Facebook等跨國科技公司在歐盟28個成員國收集其用戶數據變得更加困難。