2024年03月28日 星期四

科技 > 互联网 > 正文

字号:  

脉脉泄露个人信息 信息来源指向第三方

  • 发布时间:2014-10-30 13:40:20  来源:大河网  作者:蔡长春  责任编辑:书海

  脉脉创始人林凡此前曾公开表示,脉脉已经形成了一个超过400亿的好友关系和两亿的个人名片的数据库。这难免让人产生疑问,所谓“两亿名片”的数据获取究竟是否合理?

  法治周末记者 蔡长春

  “工作版的微信。结交同行、吐槽公司、讨论工作、招人跳槽……工作上的事,就用脉脉。”近日,一款名为脉脉(发音为“mài mài”)的手机应用引起了北京白领张楠(化名)的注意:张楠从没使用过这个软件,但她的好友小墨注册成为脉脉用户后,从脉脉里发现了张楠的头像、工作单位甚至曾就读过的高中信息。

  “我没注册过脉脉,为什么小墨使用脉脉,能看见我的信息?太可怕了。”张楠告诉法治周末记者。

  张楠回忆,自己的高中信息应该只在一家名为ChinaRen的网站上填写过,那么脉脉又是从哪里获取了张楠的个人信息?

  脉脉创始人林凡此前曾公开表示,脉脉已经形成了一个超过400亿的好友关系和两亿的个人名片的数据库。这难免让人产生疑问,所谓“两亿名片”的数据获取究竟是否合理?

  信息来源指向第三方

  张楠只在ChinaRen上填写过的高中信息为何会出现在脉脉上?对于这一问题,法治周末记者联系脉脉和ChinaRen进行询问,截至发稿,双方均未对此进行回应。

  脉脉是这样介绍自己的:作为一款定位于工作社交的APP,提供了职场动态分享、人脉管理、人脉招聘等功能,致力于帮助职场用户轻松管理和拓展自己的人脉,帮助创业者和企业高管轻松找到靠谱人才,帮助求职者精确找到靠谱工作。

  其中,拓展人脉是脉脉的一大营销亮点,脉脉开通了“一度人脉”(通俗理解为自己的好友)和“二度人脉”(通俗理解为好友的好友)功能,帮助用户去发现和结识新的人脉关系。

  在注册使用了脉脉后记者还发现,使用脉脉前会被询问是否可以读取用户的通讯录,但这种“允许”可能带来通讯录里其他联系人信息在不知情的情况下,被脉脉获取,也因此遭遇了用户对其功能合理性的质疑。

  此外,脉脉的“一度人脉”中出现了一部分并未注册使用过脉脉的朋友信息,不仅包含其姓名和工作职务,有的人甚至还有个性头像,有的人职务信息还出现了与当前实际状况不符的情况。

  “脉脉是基于用户的真实信息建立起的社交人脉,如果出现上述情况,对用户体验将产生较大的不良影响。”速途研究院首席分析师郑春晖认为。

  除了用户体验以外,更为让人感到困惑的是,像张楠这样自身并未注册,却有工作单位、头像的网民信息又是从何而来呢?

  中国政法大学副教授朱巍在接受法治周末记者采访时表示,脉脉作为网络社交软件,客户信息是盈利和经营的主要立足点,获取更多的客户信息是其商业追求。获取方式一般有三个:一是客户主动注册的信息;二是客户注册后,依据自己意愿允许脉脉抓取自己通讯录的信息;三是与其他平台合作获取的客户信息资源。

  北京市天睿律师事务所资深合伙人华建明补充道,极少数情况下,一些软件可能会通过爬虫程序,非法从其他网站获取用户信息。

  林凡此前也曾坦言,脉脉的数据积累来自于通讯录、新浪微博等第三方合作平台。

  不过在一般情况下,手机用户的通讯录中,很少会保存联系人的个性头像,那么脉脉获取的用户信息渠道便直指向了那些与其有过合作的第三方平台。

  脉脉被疑盗取用户资料

  此前,新浪微博与脉脉一直存在着合作关系,脉脉也支持新浪微博账号和手机号的登录方式。

  今年8月,脉脉与新浪微博因用户信息问题产生了合作纠纷。新浪微博指责脉脉存在恶意抓取行为,获得并使用了未经微博用户授权的档案数据,违反微博开放平台的开发者协议,故停止其使用微博开放平台的所有接口。

  这次“闹掰”,最直接的一个原因,就是双方在用户数据问题上产生了争议。

  在新浪微博相关负责人给法治周末记者展示的一份8月18日发布的《关于第三方应用“脉脉”违规获取微博用户数据的声明》中显示,第三方应用脉脉2013年9月23日接入新浪微博开放平台,截至2014年8月15日,共通过新浪微博开放平台的授权接口累计获得17万的用户主动授权,但最近开放平台收到用户及其他合作伙伴反馈,脉脉存在盗取用户资料的行为,经开放平台查明,确实存在以下违规行为:

  第一,通过不正当手段获得微博开放接口提供范围以外的数据,目前开放平台只允许第三方通过接口访问授权用户的昵称/性别/地区等个人基础资料信息,但经查实发现脉脉通过盗用用户授权身份,违规抓取17万授权用户的未同意开放的联系方式、教育经历、工作经历等隐私信息;第二,通过不正当手段(如恶意抓站),在用户不知情的情况下,通过盗用授权用户身份,抓取非授权用户的基本资料、联系方式、教育经历、工作经历等用户隐私信息,初步统计,脉脉违规抓取了远高于实际授权用户数的非授权用户个人信息;第三,一些授权用户在发现个人信息被违规使用后,取消了对脉脉应用的授权,但脉脉并未按开放平台规定,停止使用用户信息。

  新浪微博认为,以上未经用户授权直接复制用户信息为己用的行为,违背了合作精神及伤害了用户的信任,对微博与第三方的合作带来极其严重的影响。违背了平台公约,并违反了开发者协议。因此,新浪微博对脉脉提出要求,要求其在7天内停止使用非授权用户资料。

  “不过,对方最终作出了停止合作、继续侵权的决定。”新浪微博相关负责人说。

  对于新浪微博的声明,脉脉方面此前曾坚称,自己始终严格遵守现行微博开放平台开发规则,不存在任何“不正当手段”,并指出新浪微博开放平台于今年7月单方面修改过规则,称新浪微博为“用今天的游戏规则来治罪昨天的正常行为”。

  近日脉脉的一位相关负责人在接受法治周末记者采访时表示,与新浪微博的相关问题已经交由律师处理,目前暂不对此进行回应。

  侵犯用户隐私应担责

  也就是说,张楠遇上的这桩事情,原因很可能在于她之前在新浪微博等和脉脉有合作的第三方网站注册过,留下了头像、工作单位等信息。

  北京市威宇律师事务所合伙人、互联网法律专家滕立章对法治周末记者表示,信息收集与使用应遵循三个基本原则,即合法、正当、必要。现有的个人信息保护规定要求,信息收集首先要公示收集规则,使用上即使要向第三方提供,也要经过用户同意。

  “正常情况下,用户直接授权的网络公司,会依照用户自己的意愿和使用软件的必要性来利用、搜集个人数据。被授权的公司在得到用户信息资源后,可能会与其他公司基于同样的隐私保护政策和产品发展需要,共享一部分的客户资源。”朱巍认为。

  朱巍告诉法治周末记者:“后面的共享过程中,如果原公司事先在与用户的协议中没有对此进行授权性规定,那么,原公司的二次转让行为属于违法行为,违反了《关于加强网络个人信息保护的决定》中对个人信息保护的规定;如果原公司在事先的网民协议中有授权性规定,就可认为得到了网民的授权。”

  朱巍继续分析称,有些没有使用过脉脉的人,他们资料的出现可能是因为他们之前使用过的别的网络服务商所提供,或者其他朋友手机通讯录中存在其联系方式,脉脉以第三人授权的方式取得了该用户资料。这种方式会导致非授权用户在不知情的情况下,自己的资料被脉脉使用,这侵害了他人隐私权和个人信息权。

  “根据最新出台的网络侵权司法解释,非法公开他人个人信息的,应承担侵权责任。”朱巍表示。

  滕立章也告诉法治周末记者,泄露用户隐私在民事上可能会被追究合同违约赔偿与道歉责任;行政处罚上也可能受到相关行政主管部门的罚款与警告处罚。

  法治周末记者在查看了新浪微博的服务使用协议后发现,其第六条第三款中明确显示,“用户知晓并同意如该第三方同意承担与微梦公司同等的保护用户隐私的责任,则微梦公司有权将用户的注册资料等提供给该第三方,并与第三方约定用户数据仅为双方合作的微博服务之目的使用”。

  据悉,新浪微博此前注册的公司,即为北京微梦创科网络技术有限公司。

  而如果新浪微博对脉脉的指责是真的,脉脉存在盗取用户资料的行为,那脉脉又将承担怎样的法律责任呢?

  “根据我国法律的有关规定,窃取或者以其他方法非法获取公民个人信息的,是一种违法行为,如果情节严重的,还可能涉嫌刑事犯罪,可能被处以3年以下有期徒刑或者拘役,并处或者单处罚金。”华建明表示。

  相关案例已经出现:近日,安徽省宿州市某公司经理童某在网上购买、利用“号码魔方”软件,通过调取等方式,非法获取公民个人信息12万余条。法院以非法获取公民个人信息罪,判处其有期徒刑6个月,缓刑1年,并处罚金1万元。

  “访问通讯录”惹争议

  华建明律师认为,社交软件收集使用网民信息方面应当遵循以下原则:收集使用用户信息首先应当是基于提升用户体验更好地为用户服务的宗旨;收集使用用户信息应事先明示,不得隐瞒欺骗用户;使用用户个人信息应在用户授权的范围内,不得超越用户授权;应对用户信息采取必要的技术措施进行保密,防止用户信息泄露。

  据称,在新浪微博封杀了脉脉接口后,林凡曾对媒体表示,一方面,脉脉将强化通讯录关系,另一方面,可能将引入微信关系链,“腾讯和微信的这些开放平台已经找到我们,这个对于我们来讲也是一个比较重要的帮助”。

  不过在朱巍看来,脉脉功能里面有允许利用授权者“通讯录”的权限,这一点本身就值得商榷。

  朱巍认为,通讯录属于与隐私密切相关的范畴,即便是用户本身,也不宜授权公司使用自己的通讯录,因为里面还涉及别人的隐私,任何人都无权允许网络公司使用他人的个人信息。

  “当然,如果被使用者自己同意的话,那就另当别论。”朱巍说。

  “因此,我认为脉脉公司的个人资料搜集手段存在瑕疵,至少应加上所有授权人的同意条款。”朱巍建议。

  须留意服务协议隐私条款

  朱巍告诉法治周末记者,虽然大多数网络公司对隐私条款的规定都会在网民协议中体现,但是很少有网民去留意这些规定,也不知道自己的信息被转让。这种现象在中国网络产业中极为普遍,几乎每个网络公司都或多或少的存在。

  谈及此事,滕立章也认为:“当前信息共享技术已经十分发达,网络平台上存储的用户个人信息,只要在其管理后台开放一个接口与访问权限,合作方在很短时间内就能轻易获取大量信息,个人信息保护正面临着巨大的挑战。”

  “这就需要政府监管部门对网民协议中的隐私条款予以监管。同时应赋予用户对自己信息的充分控制权,若发现自己的信息被非法使用,可以依法向网络服务提供者提出禁止性通知。”朱巍认为。

  不过在滕立章看来,即便如此,目前仍存在着三个较为严重的问题:一方面,当前法律法规对个人信息范畴的界定尚不清楚,容易给企业留出打擦边球的机会;同时处罚力度较低,一般此类违规事件的处罚大多在3万元以下,很难对违规者形成警示作用;此外,不仅网民维权的成本较高,往往还存在着技术上的举证难度。

  “这就需要网民进一步提高隐私保护意识,原来可能并不重视平台方或者软件方用户协议中的隐私条款,以后则要加强保护意识,要在明确其规则的情况下,选择好那些信息需要填写或者不去填写,再由此倒推企业进行自律。”一位不愿透露姓名的安全专家表示。

  • 股票名称 最新价 涨跌幅