публікації

Битва за дані користувачів або Чи законно парсити соцмережі?

07/05/2020

Іларіон Томаров

Радник, адвокат

Захист даних і приватність,
Інтелектуальна власність,
Інформаційні технології

Спір за основний ресурс цифрової економіки, за її «нову нафту», проходить зараз в США. Два раунди закінчились, а останній – має відбутись у Верховному суді США. Йому передували рішення у спорах щодо парсінгу/скрепінгу веб-сайтів, але результат цього протистояння змінить індустрію.

Компанія LinkedIn Corp у 2017 р. звернулася з претензією до HiQ Labs, Inc, чий стартап здійснював парсінг сайту LinkedIn і використовував отримані дані для власних аналітичних продуктів. В листі вказано, що це порушує Computer Fraud and Abuse Act (CFAA), Закон про авторське право в цифрову епоху (DMCA) та § 502 (c) Кримінального кодексу Каліфорнії.

У файлі «robots.txt», який власник сайту розміщує, аби дати інструкції пошуковому алгоритму (web crawler), LinkedIn заборонила доступ автоматизованим ботам, окрім деяких (наприклад, Google). Відслідковуючи підозрілу активність щодо запитів, компанія заблокувала більше 11 мільйонів акаунтів, які порушили умови використання сайту.

Якщо людина заходить на сайт і копіює дані – це законно, але коли це робить комп’ютерна програма – невже незаконно? 

В 2000 р. у справі Ebay Inc. v. Bidder’s Edge, Inc. позивач обґрунтував, що боти відповідача створюють небезпеку для сервісів онлайн майданчика, бо їх трафік може спричинити помилку, яка призведе до втрати даних. Суд встановив попередню заборону і відповідач погодився не парсити дані за допомогою ботів.

У справі Associated Press v. Meltwater U.S. Holdings, Inc. (2013)   суд встановив, що агрегатор новин недобросовісно використав статті позивача, незважаючи на те, що отримані парсером відповідача публікації демонструвалися лише в якості фрагментів з оригіналів.

У 2014 р. в подібній справі LinkedIn досяг успіху. Компанія Robocog Inc. написала кілька ботів, які реєстрували фейкові акаунти і копіювали отримані дані з акаунтів справжніх споживачів. Цими даними компанія наповнювала рекрутинговий сайт. LinkedIn вказав, що збір даних порушив Умови користування сервісом, DMCA та CFAA (який забороняє «доступ до комп’ютера без авторизації або з перевищенням прав доступу»). Robocog Inc припинила парсити базу користувачів LinkedIn уклавши мирову угоду  з позивачем і виплативши $40 000.

Не дивно, що HiQ серйозно сприйняв загрозу залишитися без основного джерела даних, тому вимагав, аби LinkedIn визнав право на доступ до загальнодоступних сторінок профілів користувачів сайту. Пізніше він звернувся до суду з вимогою заборонити LinkedIn встановлювати технічні перешкоди скрепінгу і здійснювати юридичні або технічні заходи, спрямовані на блокування доступу ботів HiQ до публічних профілів користувачів.

Бізнес HiQ залежить від даних людей, які знаходяться в LinkedIn у загальному доступі. Якщо позбавити компанію цього джерела, вона не зможе виконати зобов’язання перед контрагентами, останні розірвуть контракти і це завдасть непоправної шкоди бізнесу. Така аргументація переконала суд, який виніс судову заборону

Оскільки нетворчі бази даних не охороняються в США як об’єкти авторського права чи sui generis (ми розповідали про українську та європейську практику захисту баз користувачів), HiQ посилався на деліктне право. Компанія звинуватила LinkedIn в тому, що встановлюючи технічні перешкоди доступу ботів до загальнодоступних даних, умисно втрутився в чужі договірні відносини, чим завдав шкоди.

HiQ зазначив, що поведінка LinkedIn є недобросовісною конкуренцією, адже LinkedIn планує створити новий сервіс, аналогічний з розробкою HiQ, використовуючи дані користувачів власної платформи.

LinkedIn вказав, що HiQ розробляє сервіс з аналізу, а не збору даних, тому може використовувати будь-які джерела даних. Компанія наголошувала, що парсінг загрожує приватності користувачів соцмережі, тому це може зашкодити репутації власника бази.

Як LinkedIn захищався від звинувачень у втручанні в чужі договірні відносини? Посиланням на CFAA і несанкціонований доступ до комп’ютерної інформації після того як HiQ отримав лист із забороною автоматизовано копіювати дані користувачів платформи LinkedIn.

Суд першої інстанції та апеляційний суд у вересні 2019 р. були одностайні: відвідування сайту ботом нічим не відрізняється від ситуації, коли людина відкриває сайт і копіює інформацію. Профілі користувачів LinkedIn є у вільному доступі, тому діяльність HiQ не підпадає під заборони CFAA. Вже опублікована наукова стаття про значення цього рішення для індустрії великих даних.

Чи володіє LinkedIn даними користувачів? Ні, про це прямо сказано в Угоді користувача: всі дані належать самим користувачам, а LinkedIn отримує невиключну ліцензію на користування, копіювання, зміну, розповсюдження, публікацію та обробку цієї інформації.

Чи може компанія забороняти використовувати загальнодоступні дані? Суд сказав, що надання LinkedIn свободи вирішувати, хто може збирати і використовувати дані, якими компанія не володіє, які є загальному доступі, створює ризик інформаційної монополії, яка буде порушувати публічні інтереси.

Що таке загальнодоступні дані? Є дві різні відповіді: (1) дані, які будь хто може побачити; (2) дані, які не охороняються авторським правом. У справі HiQ факти з життя людей (місце роботи, посада) одночасно підпадають під обидві категорії. Якщо мова йде про порівняння цін на товари у інтернет магазинах, це так само обидві категорії. Однак, якщо це фотографії (фото квартир із оголошень про продаж), вони охороняються авторським правом і запозичення такої, нехай і доступної бази, потребує згоди правовласника або власника бази фотографій.

Чи погодиться український суд, що особа, яка розміщує в загальному доступі інформацію про себе, автоматично дає згоду будь якій особі використовувати ці дані в т.ч. в комерційних цілях, як це зробив американський суд?

Окрім соцмереж є сайти з резюме, сайти з деклараціями про майно, сайти оголошень про продаж товарів. У кожного з них є Умови використання і, припустимо, що ці умови забороняють автоматично збирати дані. Чи вважається, що бот, який зайшов на сайт і почав сканувати його зміст, погодився з Умовами (browse wrap agreement), тому копіювання даних є порушенням контракту? Чи може власник сайту позиватись про порушення умов договору із тим, хто керує ботом і стягнути вказану в Умовах неустойку за це порушення?

Ще один аспект – конкурентне законодавство. Одна компанія інвестувала кошти аби залучити користувачів і зібрала на одному сайті величезну базу. Інша компанія за тиждень скопіювала цю базу і зробила свій продукт, який був би неможливий без багаторічних підприємницьких зусиль першої компанії. Хіба тут немає підстав для звинувачень у недобросовісній конкуренції?

Додати вогню в це «гаряче» питання можуть претензії щодо персональних даних користувача соціальної мережі. Особа дала згоду на обробку лише LinkedIn, тому чи не єдиним варіантом захисту буде знеособлення даних, якщо аналітичні продукти HiQ не потребують імен та прізвищ.

У рамках цієї статті ми не мали наміру з’ясувати чи законний парсінг сайтів в Україні. Це залежатиме від багатьох обставин: (1) чи охороняється база авторським правом; (2) чи відбувається втручання в роботу системи або обхід технічних засіб захисту від збору; (3) чи буде використання бази обробкою персональних даних без згоди і т.д. Ми розказали про американські судові спори щодо легальності парсингу і будемо слідкувати за тенденціями та при нагоді розповімо про нашу практику.

Що нового?

Найважливіша аналітика у вашій пошті.

більше аналітики

21/07/2021

Стаття доступна англійською мовою

Іларіон Томаров, Дар'я Ромащенко

29/06/2021

Податковий кодекс України передбачає, що до доходу фізичної особи платника єдиного податку не можуть включатися роялті. Відтак, фізична особа-підприємець на третій групі не має змоги декларувати роялті від нерезидента серед доходів спрощенця і платити 5% єдиного податку...

Іларіон Томаров, Тетяна Бережна