六一儿童节这天,顺丰物流和菜鸟网络像小孩子一样,吵得不可开交。这个事件给我们提供了一个绝好的案例,我们可以讨论数据如何共享,隐私如何保护,法律边界如何划分。同时,也暴露了两个问题:快递行业整体法律意识不足,菜鸟一统江湖的做法令人担忧。6月3日凌晨,国家邮政局官方微信公众号发布文章称,6月2日晚,国家邮政局召集菜鸟网络和顺丰速运高层来京,就双方关闭互通数据接口问题进行协调。双方握手言和。
还原事件真相:
菜鸟想要构建全国物流新干线,完成统一行业标准的建国大业,为此呢,要收编各地处于割据状态的物流快递武装力量,让快递公司交出自己的数据。四通一达接受了招安进行了改编,而顺丰拒不接受,仍然想要保持独立。
菜鸟使出了围城打援策略,包围顺丰,断掉顺丰快递接口断掉电商平台订单。就好比包围城市,断水断粮;然后发动小伙伴拼抢电商平台上原有的顺丰用户,打掉顺丰援兵。
但是没想到,这个收编过程出现了一个严重的BUG,四通一达等快递接受菜鸟改编的商业合作涉嫌违法。
拿用户信息与第三方共享,必须要经过用户授权同意,否则法律不支持。
菜鸟在遵(rao)守(kai)法律规定方面很是做了一些掩护工作,但是四通一达的工作却很不到位。
这意味着,菜鸟把用户的数据共享给四通一达等快递公司,法律问题不大。
但四通一达把自身用户数据共享给菜鸟,就存在许多法律问题。
与本案相关的法律有如下:
一是“未经被收集者同意,不得向他人提供个人信息”。
《网络安全法》第四十二条:网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。
《电信和互联网用户个人信息保护规定》第九条:未经用户同意,电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。
菜鸟要求快递公司提供数据,经过快递公司用户同意了吗?
二是限制非法获取。
刑法第二百五十三条之一规定,违反国家有关规定,向他人出售或者提供公民个人信息,是侵犯公民个人信息罪的客观行为方式之一。
《中华人民共和国消费者权益保护法》第二十九条:经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。
《全国人民代表大会常务委员会关于加强网络信息保护的决定》明确要求:网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。
快递们为何不像菜鸟那样做好法律工作?
除了顺丰、中通等少数几家法律意识较强,其他许多快递公司法律意识薄弱。证据之一,他们从事着网络服务,却没有公开收集使用信息的目的方式和范围,这种做法涉嫌违法违规。
《全国人民代表大会常务委员会关于加强网络信息保护的决定》明确要求:网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。
《电信和互联网用户个人信息保护规定》第八条规定:电信业务经营者、互联网信息服务提供者应当制定用户个人信息收集、使用规则,并在其经营或者服务场所、网站等予以公布。
“非法获取公民个人信息”如何认定?
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第四条对此作了进一步明确,“违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息”的,属于“非法获取公民个人信息”。
所以,菜鸟与快递公司之间的个人信息,如果发生了“购买、收受、交换”关系,都可能会被归于非法获取情况。
顺丰和菜鸟的互怼终于在国家邮政局的介入下暂告一段落。
在双方你来我往的争夺中,“信息安全”、“用户隐私”、“无底线染指快递公司核心数据”是其中涉及的关键词,顺丰菜鸟之争已经变成了一场数据资产争夺战。
“战争”爆发的时间点也非常巧合,6月1日双方数据接口停止服务,正值两部信息安全法律执行的关键节点。
双方口水战互相喊话不断,却没有人试图通过法律手段解决问题。
6月1日,业界期盼已久的《中华人民共和国网络安全法》(下称《网络安全法》)正式施行,这是中国第一部全面规范网络空间安全秩序的基础性法律,保障个人信息安全是其重要内容。
与《网络安全法》同步施行的还有最高人民法院、最高人民检察院发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下称《解释》),《解释》中明确了“公民个人信息”的范围,以及非法获取公民个人信息的认定标准及量刑标准等。
两个法律文件共同为个人信息安全披上了法律的外衣,试图让个人信息在网络空间上能够获得足够的重视与保障。
法律进步令人欣慰,但顺丰与菜鸟一战却给人们上了生动的一课:信息安全保护仍然任重而道远。大公司之间一旦涉及利益纠纷,第一反应采取的策略仍然是舆论,不是法律。
在《解释》中,有三条信息特别值得关注:
1。 “个人信息”定义覆盖面更广:以电子以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
2。 “不同意”就是违反:未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”。
3。 数据获取的方式定义更广:违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。
IT信息从业者陈凯撒在接受采访时表示,这条司法解释的发布对提供数据服务的公司带来了巨大影响,业内不少通过手机号、身份证号等字段提供数据服务的公司业务都已经暂停了,各类企业获得外部数据的难度陡增。
在顺丰和菜鸟的较量中,反复提及对用户安全的保护。用户填写快递单,属于以“行为方式”默认快递公司收集用户信息,是由顺丰的业务特点决定的。但这并不表示客户默认顺丰把信息交给第三方机构。
举个例子,如果顺丰公司通过收发快递获得客户的个人信息(包括姓名、手机号、地址等),未经同意,主动或者被迫提供给菜鸟的话,顺丰就违反了刑法二百五十三条之一,菜鸟就违反了刑法第二百五十三条第三款。
但数据的获取并不是完全没有办法。
陈凯撒认为,“用户同意”、“划在圈里”是两种可行的办法:其中“用户同意”是在用户协议中增加条款,使客户允许对自己的信息加工利用。例如,苹果公司在每次更新协议都会通知客户,客户同意才会进行下一步操作;对未签新约的客户数据无法使用。
“划在圈里”则是让合作方的客户使用自己的产品,将客户的数据划到自己的生态中。有些公司会因为市场份额和合作方的考虑,默认同意。
杭州盈科律师吴旭华点评顺丰和菜鸟的事件认为,以保护用户数据为由断开数据通道,与共享、开放为原则的互联网精神背道而驰。由此将可能导致每个企业各自为政,网络将被断开成为一个个孤岛,显然也与《网络安全法》的立法宗旨相悖。
应该有理由相信一个市场主体在立法愈加完善的今天,会依法对个人数据采取保护措施,而不能因不放心就采取极端的手段阻断分享,最终只能损害消费者的利益。
中国电子商务研究中心特约研究员李旻律师(专家微信互动:shliminlawyer)认为,顺丰以菜鸟运用其数据接口服务调用次数与实际业务数据有较大差距为由,以此推断可能存在泄露数据的情况,进而单方面停止合作,该行为从技术端来看并无过多问题,但在缺乏证据的情况下作出该决断显然过于谨慎,另一方面也违背双方的合作关系,更是降低了无数用户的体验。
中国电子商务研究中心特约研究员、浙江垦丁律师事务所联合创始人麻策律师(专家微信互动:macelawyer)认为:顺丰菜鸟互拔网线,若暂且不去理会两者之间复杂的商业利益纠葛,原因可以归结于一点——开放平台数据共享合规问题在《网络安全法》之下愈显重要。
数据本身是有巨大的商业价值的,而为何个人认为开放平台的数据共享应当免费提供呢?其意义也简单,即防止开放平台用个人信息进行买卖牟利,当然,如果是开放平台形成的大数据,当然可以商业化利用。
根据刑法第二百五十三条之一的规定,违反国家有关规定,向他人出售或者提供公民个人信息,是侵犯公民个人信息罪的客观行为方式之一。根据刚刚发布的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,其第四条对“非法获取公民个人信息”的认定作了进一步明确,包括“违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息”的,属于“非法获取公民个人信息”。所以,个人信息在任何情况下,如果有“购买”的行为,一定要被归于非法获取情况。这就像器官只能捐赠,而不能买卖一样个道理。
在赵占领律师之前代理过的案件中,比较典型的是刑事诉讼案件。有关信息泄露的民事诉讼案件中鲜有胜诉案例,难点主要有两点:一是很难证明泄露渠道是来自于哪里,快递公司、电商平台、第三方服务商、卖家都有可能掌握数据,主体繁杂;二是,即使证明了泄露主体,也难界定用户损失和数据泄露之间的直接因果关系。
在此次顺丰和菜鸟的案件中,顺丰并没有明显的违规行为。只是因为菜鸟和顺丰数据不通,损害了一些商家的利益。顺丰和菜鸟应该尽到提前的告知义务,不至于让一些中小卖家措手不及。
吴旭华律师认为,如果此时诉讼,才是属于“头脑发热”行为。“毕竟此次事件延续时间短,没有造成严重后果,且也与《网络安全法》当天实施有关联,属于情有可原之特殊行为和手段,不应当以最后的救济途径司法诉讼来解决争端。”吴旭华律师说。
在邮政总局的调停下,中国电子商务研究中心曹磊主任认为,如此闪电“复婚”,属于典型父母压力下的拉郎配,撕破脸后从此面和心不和,时刻提防对方偷窥,还埋下“感情破裂”的种子。
吴旭华律师在接受采访时认为,如果大的企业,以数据安全为由要挟用户,那么一方面用户可以根据《消费者权益保护法》来主张权利,用户作为消费者享有知情权;另一方面,其他企业,也可以因为大企业垄断数据的行为,导致市场竞争无法正常进行,以违反《反垄断法》作为依据,要求行政部门进行查处或者通过诉讼维护权益。
关于量刑,《解释》中对“情节严重”的定义是,非法获取、出售或者提供行踪轨迹信息、通信信息、征信信息、财产信息五十条以上的,而“情节特别严重”的定义是以上数量的十倍以上。
顺丰丰巢快递柜官方微博给出一个快递量:在5月23日,丰巢后台共产生295万单,调取294万次数据进行验证纯属正常,且仅200万单是淘宝系订单。丰巢认为菜鸟要求另外94万单非淘系订单回传至菜鸟的要求不能接受。
以这个业务量级,如果进入法律范畴,应当属于“情节特别严重”的,可以对“直接负责的主管人员和其他直接责任人员定罪处罚”。
辽宁亚太律师事务所董毅智律师(专家微信互动:ziranren2012)认为,本次事件,有邮政总局监管的强力介入,这是一种进步。但是其他监管部门、尤其是市场监管部门,反垄断部门,是否更应该介入,同时双方是否应在法律的框架下,通过诉讼来解决,而不是企业之间互相打口水仗。
可以看出互联网“垄断性企业”骨子里透出一种对用户的傲慢。何时中国的行业中,尤其是互联网领域,真的让巨头们体会到反垄断的威力与惩处,才是真的走向了国际化。(中国电子商务研究中心综合 互联网法律匠 文/麻策、物流一条 文/天马来行空、界面新闻 文/王付娇)
附录:《开放平台数据共享(OpenAPI)合规指南》
互联网时代,互联企业获取用户数据,总体上来看,有两种方式:一是利用蜘蛛进行「数据爬取」,其中合法的爬取实际上就是类如谷歌和百度类的「网站收录」,不合法的爬取就是对方网站有Robot禁爬协议还照爬,或者进入人家服务器偷抢数据;二是通过「数据授权」,即通过开放平台以调用OpenAPI的方式取得数据共享后使用。数据爬取和数据授权两种方式最大区别在于数据方是否知晓并授权。
但在「开放平台数据共享」模式下,数据共享合规远非「知晓并授权」这几个字如此简单。
一般而言,OpenAPI授权规则有三个维度。一是控制授权有效期,即当使用「微博」这个第三方帐号登陆网站时,就需要一步授权这个网站获得微博上的信息「如头像、性别、微博名等」。那假设过了一个月后再想用微博账号登陆时,会发现我们重新一步步获得微博的授权,而假设当天登陆了一次,第二天再用微博帐号登陆,就不需要微博再授权了(重新计算授权期),上面可能会闪过「您最近已经授权过该网站进行登陆」,是不是经常在微信上看到这种情况?授权期越短越安全但用户体验越差,授权期越长越不安全但用户体验会好,这两者间要达成一个平衡。
即开放接口限制每段时间只能请求一定的次数,限制的单位时间有每小时、每天,例如一个应用内单授权用户每小时只能请求开放平台开放接口n次,一个IP地址每小时只能请求微博开放接口x次(以微博为例)。这种频次访问的限制最为主要的目的还在为了区别是真实用户访问还是机器人访问调用,从而从技术上确保没有机器在抓取用户数据。
因为开放平台会将期平台上用户沉淀的数据进行分类打包,并分类供第三方调取,要根据第三方的业务需要决定“哪些接口可以调用”,每个接口都应当有普通和高级之分,每个高级接口都需要第三方单独申请,且第三方要调取用户的隐私信息(例如互联网金融业内需要一些真实信息),还需要经用户另行授权。例如脉脉要调用微博用户的昵称是普通的权限,但其要调用用户的教育或手机号码则属于高级权限,需要另行授权。
在微博和脉脉案中,法院认为:OpenAPI开发合作模式中数据提供方向第三方开放数据的前提是数据提供方取得用户同意,同时,第三方平台在使用用户信息时还应当明确告知用户其使用的目的、方式和范围,再次取得用户的同意。因此,在OpenAPI开发合作模式中,第三方通过OpenAPI获取用户信息时应坚持“用户授权01”+“平台授权”+“用户授权02”的三重授权原则。
如此具体操作?所谓的“用户授权01”应当是开放平台获得用户授权以便于开放平台取得用户的数据,并由用户授权其数据供开放平台再授权开放给第三方调用;所谓的“平台授权”即当第三方要调用平台上沉淀的用户数据时,还需要获得平台的授权,否则不得擅自抓取或偷抢;所谓的“用户授权02”即当平台授权第三方调用后,应当由用户再行二次点击确认同意将开放平台上的个人数据明确逐项勾选后再点击授权给第三方,而不能由平台私自直接交给第三方使用并在第三方网站上呈现。这才构成一个完整的三重授权原则。
数据本身是有巨大的商业价值的,而为何个人认为开放平台的数据共享应当免费提供呢?其意义也简单,即防止开放平台用个人信息进行买卖牟利,当然,如果是开放平台形成的大数据,当然可以商业化利用。
理论依据在于:根据刑法第二百五十三条之一的规定,违反国家有关规定,向他人出售或者提供公民个人信息,是侵犯公民个人信息罪的客观行为方式之一。根据刚刚发布的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,其第四条对“非法获取公民个人信息”的认定作了进一步明确,包括“违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息”的,属于“非法获取公民个人信息”。所以,个人信息在任何情况下,如果有「购买」的行为,一定要被归于非法获取情况。这就像器官只能捐赠,而不能买卖一样个道理。
2015年,欧洲最高法院欧盟法院宣布,已运行15年的欧美数据共享协议将失效。所谓的欧美数据共享协议即“安全港协议”(Safe
Harbor),是美国商务部和欧盟于2000年12月签署的一份协议,用于调整美国企业出口以及处理欧洲公民的个人数据,如姓名和住址等。简言之,这份协议主要是为了方便企业在欧盟和美国之间转移数据。业内人士称,欧盟法院的该裁决可能会让亚马逊、苹果、谷歌和Facebook等跨国科技公司在欧盟28个成员国收集其用户数据变得更加困难。
