不知道大家伙儿有没有发现,我们随便打开一个网页,旁边的弹窗广告就会自动给你推荐你最近刚在购物网站搜过的商品;打开外卖软件,不知道吃什么随便看看,前两天刚点过的那家餐厅会显示在前排;淘宝首页给你推荐的商品,恰巧都是你最近想买正在挑的。
我们在搜寻信息这件事上越来越省力,应用总能把你想要的推到你面前;当然,有时不需要的时候,它还是会推给你。这些的基础都在于一件事:收集用户数据。
近日,中国两大企业巨头华为和腾讯因用户微信数据起冲突。我们了解到,腾讯指控华为荣耀Magic这部手机侵犯了腾讯微信数据和用户数据,而华为则坚持认为所有的数据都属于用户,并且已经获得了用户的授权同意。
对于数据用户归属于谁,双方各让步,现如今腾讯已经向监管部门投诉华为,而华为始终认为产品通过检测,不存在争议。
大数据时代,各大互联网巨头争夺用户数据可以说是一个必然的结果,不管是阿里、百度、腾讯、华为还是小米等互联网企业,谁能掌握大数据,谁就拥有话语权。
根据调查显示,目前中国智能手机用户中,华为手机占比约13%,仅次于三星。而华为手机用户中,有超过6000万微信用户,庞大的用户流量成为了双方博弈的基础。
华为消费者业务CMO张晓云在内的华为多名高管转载了荣耀Magic的演示视频,作为对侵犯用户隐私指责的解释。视频主要强调了以下两点:
1、Magic手机对于智慧助手有明确的开启和关闭提示,消费者可以自行选择;
2、Magie手机的智慧助手都在本地处理,不会上传任何个人信息,不存在个人信息泄露问题。
让我们回到故事的起点。荣耀Magic于去年12月推出,售价为3699元,这是荣耀发布的首款概念机。华为手机通常装载EMUI系统,但Magic基于安卓系统重新开发了Magic Live系统,并首次尝试人工智能应用。
微信拥有十亿的活跃用户,每天产生海量的数据,华为希望获取微信数据,目的在于制造融入AI技术的手机。
根据演示,这款手机开启了智慧助手之后,可以根据短信、微信聊天内容自动识别地址、天气、时间、消费等信息,并根据实际情况进行智能推荐。
也就是收集各种各样的用户使用信息,包括第三方 App 的数据,然后基于这些信息来预测用户想要什么。例如,主屏幕上的应用程序会根据使用频率自动移动;或者当你在微信中提到电影《战狼2》,手机就会自动提取这一关键词,并弹出相关购票信息。
那么,微信聊天记录等用户数据的归属权到底属于谁呢?在“关于微信”的页面,有相关的用户协议,点进去后发现7.1.1中规定了微信帐号的所有权:
是不是有点Book思议?我自己的微信号,所有权竟然是腾讯?
既然用户微信号的所有权归腾讯,那依附于微信号的用户数据也自然归腾讯了。那我们的隐私信息谁来保护?于是,腾讯在协议中也写到了隐私问题。
也就是说,虽然所有权归了腾讯,腾讯也是不会不经过我的同意,随意把所以微信所含数据的所有权,是归腾讯与用户共同所有的。
如果协议成立,那么即使华为得到了用户的同意,在没有腾讯同意之前,也是无权使用这些数据的。然而华为口口声声说“所有的数据都应该属于用户”,荣耀Magic获取的数据都经过了用户授权,不存在争议。
华为说自己与其他互联网公司的沟通一直很顺畅,唯独微信方面在半年的时间内沟通一直没有结果。
可以肯定的是,华为再有骨气,也不敢下架举足轻重的微信,对于创业者来说,这场数据之仗意味着AI手机系统的发展之路:前路漫漫、艰难崎岖;尚未成功、仍需努力。
客户信息为什么让腾讯如此紧张,对公司来说这些信息可能堪比黄金,具有重要的经济价值,一旦泄露,可能造成严重的经济损失。那么作为企业方,应该注意些什么呢?
企业应重视个人信息保护法律风险
很多企业沉积了海量用户信息,却没有引起重视。用户信息甚至可能成为一个企业的商业秘密,那该如何进行保护呢?这里,在线法务部以网络运营中沉积的用户信息为例,一同探讨。
(一)
用户信息是否构成商业秘密?
互联网时代,企业在经营过程中收集了海量的用户信息,借助这些信息,可能将影响一个企业的经营战略,当然也可能成为企业无形的价资产,构成企业的商业秘密。
但不是所有的用户信息都属于商业秘密,司法实践中对商业秘密的认定较为复杂,但都遵循以下几个主要维度进行综合判断:
01、秘密性
秘密性即用户信息是不为公众所知悉的,如果信息已经公开了就不具有秘密性。无论是合法公开还是非法公开的,公开后的信息将丧失秘密性。
秘密性要求企业需对信息进行保密处理,结合《中华人民共和国反不正当竞争法》、《最高人民法院关于审理不正当竞争民事案件应用法律若干问题的解释》的相关规定及司法实践,企业一般会采取这些保密措施:
限定涉密信息的知悉范围,只对必须知悉的相关人员告知其内容;
对于涉密信息载体采取加锁等防范措施;
在涉密信息的载体上标有保密标志;
对于涉密信息采用密码或者代码等;签订《保密协议》;
对于涉密的机器、厂房、车间等场所限制来访者或者提出保密要求。
02、价值性和实用性
用户信息能否给企业带来经济利益,具有实用性是构成商业秘密的关键因素。带来经济利益要求其具有现实的或者潜在的商业价值,能为权利人带来竞争优势。互联网时代,很多企业都运用互联网来运营,其数据库中沉积了海量的客户信息。企业运用这些客户信息可以分析客户需求,制定经营战略方案,有助于提升商业竞争力。单个的客户信息可能不会给企业带来大的经济价值,但达到一定数量时,可能和经济收入直接挂钩。
(二)
企业法律风险日益凸显
作为法律应有之义,所有相关主体均应认真履行自己在个人信息保护法律上的义务。作为收集和使用个人信息的最重要主体,企业更有责任认真履行。因此,如果企业不重视个人信息合规,则这方面法律风险日益增大。
01、法律责任涉及民事、行政和刑事
企业可能在个人信息收集上违反必要原则,过多收集,或未经被收集者同意而收集;企业在个人信息使用上超出约定使用范围使用;企业还可能在个人信息安全保护上未采取足够的技术措施。这些没有尽到法律义务的行为均可能产生不同的法律责任。
违反这些法律责任可能包括行政、民事甚至刑事责任。根据《网络安全法》第64条,违反有关个人信息条款的,行政责任包括警告、没收违法所得、处违法所得一倍以上十倍以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
另外,违反规定给他人造成损害的,依法承担民事责任。最后,也是最严重的处罚是对那些窃取或者以其他非法方式获取、违规出售或者非法向他人提供个人信息的行为进行刑事处罚。
02、企业被追责实际案例已经发生
首先,对于已经发生的个人信息案件,大都是针对非法获取个人信息的贩卖人或非法提供个人信息的某机构的工作人员。例如,2016年夏天发生的山东徐玉玉案,犯罪嫌疑人是利用技术手段攻击了“山东省2016高考网上报名信息系统”,盗取了包括徐玉玉在内的大量考生报名信息。
但是,要求企业承担责任案例也已经发生。北京知识产权法院在2017年1月做出的“脉脉与新浪微博不正当竞争纠纷案”的二审判决从形式上是不正当竞争案件,但实质上是个人信息案件。
法院判决书中引用《消费者权益保护法》及《全国人民代表大会常务委员会关于加强网络信息保护的决定》中关于个人信息的条款,并明确说明第三方通过Open API获取用户信息时应坚持“用户授权”+“平台授权”+“用户授权”的三重授权原则,即,Open API开发合作模式中数据提供方向第三方开放数据的前提是数据提供方取得用户同意,同时,第三方平台在使用用户信息时还应当明确告知用户其使用的目的、方式和范围,再次取得用户的同意。
法院判决也强调互联网中收集利用用户数据信息应遵循合法、正当、必要的原则,尽到网络运营者的管理义务。根据这些原则,法院认定脉脉获取新浪微博信息的行为存在主观过错,违背上述三重授权原则,违反了诚实信用原则和互联网中的商业道德,构成不正当竞争。
(三)
这些行业企业尤其应注意个人信息法律合规风险
对于需要大量收集和/或使用个人信息的企业,法律风险已经悄然而至。因此,企业、尤其银行、保险、基金、征信、电子商务、社交媒体等企业应对个人信息合规予以重视,完善相关制度,这样做既减少自身责任和风险,也为公众个人信息安全保护做出贡献。
企业使用公民个人信息的风险防范建议
对于企业收集的用户信息,可能成为企业重要的资产,带来巨大的经济利益。企业应当对其引起重视,做好保护工作。建议采取如下保护措施:
1、从第三方获取用户信息时应注意信息是否为合法来源
企业如果从第三方获取用户信息,应注意考查信息是否为合法来源,如明知为侵权信息仍获取使用的,将构成共同侵权。
2、从用户处直接获取用户信息的,做好授权工作
用户信息的范围可能涉及个人隐私或商业秘密,企业在收集用户信息时应注意获取权利人许可,合法使用用户信息。
3、利用技术抓取信息时,应注意方法与内容合法合规
许多大数据或征信公司,会利用技术抓取网络的信息。其中,抓取的手段和内容都应合法进行。除获得权利人许可外限于抓取已经公开的信息。
4、保密范围不是越大越好,需明确保密信息秘密点
企业为了更好的保护商业秘密,认为纳入保密范围的信息越多越好。面越广反而无法集中做好商业秘密保护。司法实践中,法院会要求权利人对其主张的商业秘密点进行明确,无法确定的,一般会作出驳回诉讼请求处理。建议企业对保密信息进行分级分类处理,明确秘密点,集中落实保护措施。
5、做好保密措施
对用户信息进行保密处理是非常重要的工作,法院在审查商业秘密侵权案件中将重点考查。企业可以通过制定保密制度,签订《保密协议》,设置密码等措施进行保护。
6、 企业内部应建设内控制度并开展员工内部培训
关于公民个人信息的保护事宜,企业内部应该建立一系列规章制度,让每个岗位的员工明晰各自的岗位保密责任。企业建立规章制度以后,应该尽快公布,并组织员工内部培训,防止员工以不知情为由擅自处分客户个人信息。
7、企业应告知合作机构相关义务,并约定责任划分
企业在与合作机构合作的过程之中,应通过《合作协议》或其他方式,告知合作机构相应的公民个人信息资料妥善保管、不能出售等义务,并约定一旦不利情形出现后双方的责任划分,使得合作机构知悉并同意相应的责任分配制度,防止事发以后的扯皮现象。
010-57804780