腾讯对抖音和多闪的起诉还在进行之中。日前,天津滨海法院已经下达与案件相关的禁令裁决书,引发坊间热议。但到现在为止,对案件的大多数评论都集中于昵称、头像的归属问题。简言之,微信用户的头像、昵称的权益归属,到底是属于用户,还是属于微信?感兴趣的读者请参见【多闪声明:昵称、头像均由用户授权相关权益理应归属用户】以上为事件的基本背景。
在诉讼进行当中发表评论,肯定逃不开“蹭热点”之嫌。因此,本文力求提供些新的视角,不浪费大家时间。更重要的是,公号君就事论事,写就本文仅为分析说理和供大家批判之用,并没有选边站的意思。
一、微信的实质诉求是什么?
首先声明,本节讨论在不考虑部分头像可能涉及肖像权的情况下展开。
显然,诉讼中,微信的实质诉求绝不仅仅是独占微信用户头像和昵称的权益而已,更重要的是避免微信用户好友关系被大规模地复制到抖音和多闪中去。
公号君认为:在讨论该案件中,千万不应割裂微信用户的头像和昵称(本文称“元素一”)与微信用户之间的关系链条(本文称“元素二”)之间紧密的关联。看以下两个情形,就能明白这个道理:
a.如果抖音或多闪只获取了微信用户的元素一,但是没能获得微信用户的元素二,抖音或多闪在推荐好友时,用户在其平台上接收推荐的成功率会下降很多,因为推荐不够准确。
b.如果抖音或多闪只获取了微信用户的元素二,但没能获得微信用户的元素一,抖音或多闪在推荐好友时,用户在其平台上接收推荐的成功率同样会下降很多。因为即便推荐够准确,用户在点接受推荐之前还会做一次判断:这人我认不认识啊?这时候的主要判断依据即是头像和昵称。
用户在社交平台上的粘性,很大程度上取决于用户的社交关系是不是在这个平台上。因此,新的社交平台为了迅速积累用户,有天然的动机从别的社交平台将其社交关系成建制地复制到自己平台之上。而复制到自己平台之上有两个步骤:一是将推荐准确地送达至用户面前;二是尽可能地促使用户接受这个推荐。步骤一的核心关键对应上文的元素二。步骤二成功的核心关键对应上文的元素一。
因此,对抖音或多闪来说,如果要从微信那大规模地复制好友关系,则前段中的两个步骤缺一不可。而微信为了保护自己的好友关系,最佳的策略当然是阻止抖音或多闪获得元素一和元素二。
基于这个原因,公号君认为对该案件的评论,不应该割裂元素一、元素二而开展讨论,反而应将元素一和元素二打包来看,即用户的头像和昵称和用户之间的关系链条合并称之为微信用户好友关系(套用Facebook自己的术语,即是social graph)。任何割裂的讨论方式,必然偏颇。
总之,公号君认为这是微信的实质诉求——同时保护自身对微信用户好友关系(即元素一和元素二的合集)的权益不被违法侵害。
二、抖音或多闪如何获取微信用户好友关系的途径?
1、对于元素一,抖音主要是通过微信的开放平台获得
现在案件的主要争议点是抖音能否再次将元素一共享给多闪。但是为了回答这一点,公号君认为核心关键是,抖音获得元素一的方式,事实上决定了抖音能否将元素一共享给多闪。以下分两个情形讨论:
情形一:抖音通过索要微信用户的用户名和密码的形式,获得微信用户的头像和昵称
这样的方式简称"data scraping"。但如果抖音通过这样的方式获得数据,具有明显的安全风险,公号君认为微信有足够的理由来封阻这样的行为。以A公司代表微信,B公司代表抖音。A公司可主张以下六点:
·根据事先约定,使用权仅为用户本身而非其代理,如果设立代理,也需要协商一致而不是共享用户名密码的方式,目的是为了安全风控。
·当A公司发现访问行为不是用户本身时,根据事先约定,本公司对于不知情的代理人都可以当成黑客。为防止黑客入侵,有权进行封阻。
·A公司无法确定用户与B公司是否达成了真实的意思表示,即无法确认B获得用户在A公司的用户名和密码的合法性。
·即便共享用户名和密码是用户的真实意思表示,A公司无法确认用户授权的具体范围,是仅仅允许获取头像和昵称,还是对话内容,或者还是朋友圈信息等等。
·即便确认了用户授权的具体范围,但是A难以限制B获取数据的行为,例如B是否顺带爬取了用户好友的信息;以及B访问A服务的行为,很可能与自然人不同,在频率、带宽等方面对A造成显著负担。
·用户数据转移至B之后,B会如何使用?是否会遵循与用户的约定?等等问题都会给A带来法律责任方面的风险。
基于这六点,A会阻止B通过获得用户名和密码的方式获得用户的数据。A的合理策略是:如果非要授权的,欢迎B和用户一起来我这,我们三家一起拿出合适的方案。也就是后面要讨论的情形二。
但是通过获得用户名和密码的方式获得用户的数据,有个显而易见的好处——B获得用户数据后再次对外共享的自由度较大,只要用户同意。原因是合同的相对性:A与用户之间的约定,无法约束B;数据到了B之后,B只要取得用户的授权,就可以向不特定的组织或个人提供。
情形二:抖音通过微信建立的合作渠道来获得微信用户的头像和昵称
现实情况中,抖音是通过微信开放平台获得微信用户的头像和昵称。第三方APP要支持微信登录,需要先注册微信开放平台,在微信开放平台内创建移动应用,填写第三方APP名称、简介、图标等相关信息后,可以得到 AppID 和 AppSecret 。微信授权登录的整体流程如下:
微信用户打开第三方APP后,点击微信登录按钮,会打开微信的授权界面,如果用户同意授权登录,则微信会拉起第三方APP,也就是回到了第三方APP,并且第三方APP得到了一个授权临时票据code。
第三方 APP 把 code 传回到自己服务器,带上 AppID 和 AppSecret 调用微信开放平台 API,得到 access_token。再通过access_token,调用微信开放平台的API,可以得到刚才授权登录的微信用户的openid、昵称、性别、省市国家、头像、unionid 等基本信息。
上面一步最重要的是获取到了openid和unionid。其中,openid:同一个微信用户,在不同的第三方APP登录,对应的 openid 是完全不同的。
unionid:为了解决用户关联问题,微信又提供了unionid,同一个微信用户,只要是在同一个微信开放平台账号下的移动应用、网站、公众号、小程序登录,都有同一个unionid。注意,通过这样的方式,是无法获取用户的微信号、手机号、真实姓名等信息。
从以上流程大家可以看到,微信是通过开放平台和API模式来实现数据共享的。通过几次握手,微信避免了情形一中列出的六点风险。因此,这是一种较为安全的数据共享模式。在欧盟开放银行的规定中,也将API的共享当成了首选,很大程度上抑制"data scraping"。详见【金融数据保护的美欧中立法趋势概览】。
对于通过开放平台和API模式获得的数据,由于第三方APP与微信之间签订了《微信开放平台开发者服务协议》。该协议中2.7.2和2.7.6均明确禁止数据的onwards transfer。而抖音作为协议的一方,应受该协议的约束。那微信有权要求抖音禁止onwards transfer吗?公号君认为是可以的。就以跨境数据流动为例,限制数据的onwards transfer均是标准做法,司法和实务均没有异议。
那如果用户主动要求抖音对外提供呢?这点不少论者各有各的观点。公号君认为这是个复杂的问题。但公号君认为,抖音作为《微信开放平台开发者服务协议》的一方,至少不应该主动向用户索取授权,否则就直接违反了所签订的《微信开放平台开发者服务协议》。
2、对于元素二,抖音的获取方式目前未有定论
坊间的传言主要存在两大类:一是抖音通过植入cookie的形式,获得微信用户的关系链条。详见【抖音奇袭社交,先奇袭用户隐私】二是通过用户主动上传通讯录的形式。详见【我的社交关系链,怎么就归微信了?】
对此公号君无法进行验证。和诸多DPO社群成员交流,只能猜测抖音(包括头条系Apps)获取微信用户的关系链条是具有一定概率的事件,具体方式很可能同时结合了cookie和通讯录这两种。例如,首先,通过cookie标识了具有关联关系的微信用户,由于微信用户在用微信账号首次登录头条系APP时需要填写手机号,这就实现了openid、手机号、微信头像、昵称、IMEI号等信息的共同绑定,这就能实现通过cookie的好友推荐。如果某位用户还授权了通讯录共享,那通讯录能够提供丰富的关系链。通讯录再和cookie方式结合,就能够精准地推荐好友了。
三、总结
上文形成了以下几个观点:
1、用户的头像和昵称(元素一)和用户之间的关系链条(元素二)合并称之为微信用户好友关系,不应将两者割裂开来讨论该案件。因此,割裂地来谈用户的头像和昵称的合法权益属于用户还是微信,其实没有太大意义。
2、抖音是通过加入微信开放平台的方式来获取了微信用户的元素一。作为签署《微信开放平台开发者服务协议》的一方,应遵循该协议,至少不得主动向用户索取向多闪提供元素一的权限。
3、抖音获取元素二目前的技术细节无法确切知悉,但基本可以确认结合了在微信上设置cookie和向用户索取通讯录权限两种方式。由于这两种方式相结合,同时cookie方式又依赖于微信这个平台,所以公号君倾向认为抖音违反了《微信开放平台开发者服务协议》中不得将数据用于“补充自身关系链”的要求。
4、抖音获取元素二过程中是否涉及违法违规收集个人信息,这个问题的法律分析更加复杂,涉及微信开放平台和抖音之间在角色。公号君日后会结合国外最新判例,将分析写出来供大家批判。
以上分析和观点,为公号君一家之言,各位读者肯定有自己的判断,欢迎多多相互交流。(完)