某数据公司利用技术手段进行流量劫持案
浙江省杭州市市场监督管理局
基本案情
2018年4月12日,杭州市市场监督管理局在开展侵害消费者个人信息依法得到保护的权利的专项整治中发现,某数据公司在网络广告投放业务中涉嫌未经消费者同意收集消费者个人信息并用于商业用途,于是立案调查。经调查查明:某数据公司利用其支配的某网络云计算系统(路由器过滤系统及DMP服务器集群),对网络用户的个人信息(主要基于cookie文件内容)及其访问互联网的行为轨迹日志进行数据分析,根据年龄、爱好、上网习惯、居住区域等进行客户画像,经脱敏后按照不同的标签对上述客户数据进行分类,生成用户标签,并予以储存。广告主通过广告代理公司,由广告代理公司根据某数据公司分配的账号和密码,在某数据公司“营销平台”系统上提出广告需求,自行选择广告的目标标签人群,设定广告的投放时间、投放域名及投放频率等,并提交含有跳转链接的广告内容。某数据公司工作人员对上述需求和内容审核并插入统计代码后,由其“营销平台”系统自动进行投放。上述广告的投放时间等选项是为区分不同的广告费用,统计代码是为方便第三方公司统计广告展现数,目的也是确定广告费用。调查中了解到,该广告投放的过程如下:被设定为广告投放目标标签人群的网络用户在使用浏览器访问互联网时,过滤路由器会将其发送的数据包进行复制并发送至监听服务器,监听服务器自动分析用户浏览器的http协议传输的数据包,如标签人群访问的网页域名为广告主设定需求的投放域名,则将该用户名单发送至“营销平台”,由该平台模拟网络用户访问网站时的http数据回包,向相关用户发送两个广告注入数据包,内容为强制在标签人群浏览器中打开一个指定尺寸的附加页面(广告弹窗)的指令,及该附加页面所调用广告主广告内容的指令。根据第三方公司统计数据,该广告弹窗弹出率为100%。上述相应网络用户访问的网站并未允许上述广告投放行为。广告主、广告代理公司和某数据公司根据协议约定的计费标准和广告展现数进行计费。从2018年1月至5月,某数据公司采用上述技术手段累计产生114.29万个CPM(每千次展现)的推送(约11亿次),共计产生收入4556358.67元。被投放广告的目标域名涉及众多知名网站。因本案案情复杂,经分管负责人批准、案审委员会讨论决定,先后两次延长办案期限。2018年11月12日,杭州市市场监督管理局向某数据公司送达听证告知书,某数据公司在法定期限内未提出陈述、申辩和听证要求。2018年11月16日,杭州市市场监督管理局对某数据公司作出《行政处罚决定书》,认定当事人严重违背诚实信用原则和商业道德,未经其他网站经营者同意,通过http会话劫持等技术手段,在其他经营者合法经营网站的目标客户浏览器中插入链接广告,劫取其他网站流量;该行为通过影响用户选择或其他方式,提高了广告主的访问流量,妨碍了其他公司合法提供网络产品、服务正常运行,损害了其他公司合法权益,违反《反不正当竞争法》第十二条第二款第(一)项规定。根据《反不正当竞争法》第二十四条之规定,责令当事人停止违法行为并处罚款150万元。
焦点分析
本案适用《反不正当竞争法》第十二条第二款第(一)项“经营者利用网络从事生产经营活动,应当遵守本法的各项规定。经营者不得利用技术手段,通过影响用户选择或者其他方式,实施下列妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为:(一)未经其他经营者同意,在其合法提供的网络产品或者服务中,插入链接、强制进行目标跳转”的规定,属于反不正当竞争领域的互联网不正当竞争行为问题。
一、关于违法行为主体的确定问题本案中,实施广告投放行为的主体有两个:某数据公司、广告代理公司。广告代理公司和某数据公司签订了《互联网信息服务业务合作协议》,约定双方以某数据公司平台为基础,实现双方运营系统对接和业务流程化,共同开展互联网信息服务业务。因此,从协议来看,两者是合作关系,均应是违法行为的主体。但经过调查发现,广告主、广告代理公司均对投放广告的用户访问网站没有决定权,广告代理公司仅承接广告主的广告需求和内容并在“营销平台”录入,在平台标签库里确定相关行业域名,最终审核和发布均由某数据公司完成。《反不正当竞争法》第十二条规定中对互联网不正当竞争行为的客观要件是利用技术手段,广告主、广告经营者客观上不存在相关技术能力,不是案件适格主体,而对投放行为具有实际控制权的某数据公司是本案违法行为的主体。
二、关于竞争关系的确定问题《反不正当竞争法》对竞争关系并无明确规定,多指具有相同或类似经营内容的经营者之间存在的市场竞争关系。但随着社会经济的迅速发展,各类经济活动密切交织,即使不具有相同、类似经营内容的经营者,也可能因其不当的经营内容、模式造成其他经营者在市场竞争中的损害,故如果将竞争关系的范围限定为相同、类似商品或者服务领域的竞争者,显然有悖《反不正当竞争法》的立法目的。《反不正当竞争法》第二条规定,经营者在生产经营活动中,应当遵循自愿、平等、公平、诚信的原则,遵守法律和商业道德。本法所称的不正当竞争行为,是指经营者在生产经营活动中违反本法规定,扰乱市场竞争秩序、损害其他经营者或者消费者的合法权益的行为。本案中,首先,某数据公司未经相应用户访问的网站经营者的允许即实施广告投放行为,违背了公平、诚实信用原则和公认的商业道德。其次,某数据公司的广告弹窗扰乱了访问网站的秩序,并导致用户(消费者)对所浏览网站产生不良感觉,还可能因用户(消费者)点击广告后跳转至其他网站,根本性地损害所浏览网站的合法权益。最后,某数据公司实施涉案行为的目的在于牟取经济利益,且事实上非法获利。因此,可以认定某数据公司与相应访问网站经营者之间存在竞争关系。
三、关于违法行为的构成问题本案中,某数据公司利用技术手段,未经网站经营者同意,便在网站合法提供的产品或者服务中插入广告浮窗链接。同时,该行为影响了访问网站用户的选择,即用户访问网站时本来不存在浏览该广告的选择,也不存在因点击广告会跳转至其他页面的选择,但事实上出现了该种选择,扰乱了网站正常访问秩序。不过本案的焦点在于《反不正当竞争法》第十二条第二款第(一)项规定,“经营者不得利用技术手段,通过影响用户选择或者其他方式,实施下列妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为:(一)未经其他经营者同意,在其合法提供的网络产品或者服务中,插入链接、强制进行目标跳转”,其中“插入链接”和“强制进行目标转移”是互相独立还是互为条件?强制目标跳转是否是违法行为的客观要件?本案的行为仅是插入链接,不存在强制进行目标跳转。办案人员认为法条中被顿号所分隔的内容应为并列内容, 即“插入链接”和“强制进行目标转移”这两个结果只需完成一个即构成流量劫持行为。另综合《反不正当竞争法》第二条的规定,从相关法理精神和立法本意出发,虽然本案的行为不存在强制进行目标跳转的要件,但以获取非法利益为目的,明显违背公平、诚实信用原则和公认的商业道德,损害其他网络经营者和消费者权益,构成了《反不正当竞争法》第十二条第二款第(一)项规定的违法行为。
四、关于情节严重的裁量问题新《反不正当竞争法》在“法律责任”章节中普遍调高了罚款额度,并增加了“情节严重”的要件,明确规定情节严重情况下的罚款额度。根据《反不正当竞争法》第二十四条的规定,本案中,某数据公司设立了白名单,通过云计算平台对所有网站进行筛选处理形成动态结果,是一种规则库,一般情况下白名单内的网站都可以成为附加页面推广的定向域名标签。广告代理公司更指出了某数据公司要求其在“3•15”前暂停广告代理行为,对访问网站出现消费者投诉的,该访问网站不再进入白名单。由此可见,某数据公司实施互联网不正当竞争行为的主观恶意性明显,同时结合其广告发布量大、扩散广,产生的违法收入巨大的特点,本案适用“情节严重”情形。
案件启示
一、强化和创新行政调查取证的手段
本案是一起利用技术手段进行流量劫持的互联网不正当竞争行政执法案件,如何查明案件事实,使得证据之间形成相互印证的闭合的证据链,是查办的难点之一。首先,本案涉及主体众多,包括某数据公司、多家广告主、多个广告代理公司、多个用户访问网站经营者、第三方数据统计公司,调查取证复杂。其次,本案涉及的互联网技术手段具有极强专业性,某数据公司云计算系统有千余台服务器,数据量极其庞大,程序语言晦涩难懂,数据包加密封装,按照常规取证方式难以取证。最后,在对第三方数据统计公司进行调查时,对方以相关数据调用可能侵犯涉及网站的商业秘密等为由,部分拒绝提供数据。案件最终得以成功调查取证,依赖于行政调查取证手段的强化和创新。在做好调取各主体资格证明、现场检查、询问笔录、情况说明和收入清单等书证,对“营销平台”各环节的截屏取证、数据拷贝固定等常规“动作”外,针对调取的第三方公司统计数据不完整的情况,鉴于第三方统计数据的使用者有权自主查询所有统计数据,办案单位委托计算机司法鉴定机构使用某数据公司账号对统计数据进行了鉴定,《鉴定意见书》印证了本案广告投放的网站、访客、来访次数、广告跳出率等具体情况。针对如何再现某数据公司通过技术手段对指定用户访问指定网站时强行插入链接、实施广告推送的行为,办案人员借鉴了刑事案件中的侦查实验方式,反复模拟原广告投放行为的相同流程、相同环节,再现某数据公司相关行为及投放结果。通过几个环节的取证及电子证据的司法鉴定,形成了证据链。
二、厘清个人信息依法获得保护的权利边界根据《网络安全法》第七十六条和《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条的规定,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。其中,消费者的兴趣爱好、消费习惯、网络活动轨迹及上网偏好等个人特征属于个人信息范畴,但上述特征一旦与用户身份相分离,便无法确定具体的数据信息归属主体,不再属于个人信息范畴。本案中,某数据公司使用其网络用户的个人信息生成了用户标签,但该标签数据已经脱敏处理,不能确定该标签的具体用户,因此不再属于个人信息,不应纳入侵害消费者个人信息的违法行为。本案中,办案单位区分了个人信息的执法界限,厘清了互联网不正当竞争行为和侵害消费者个人信息依法得到保护权利的行为的关系,是值得肯定的。
三、明确互联网广告依法管理的适用范围本案中,被插入链接、跳出浮窗的是广告,那么该互联网广告是否违法,相应广告法主体是哪些?鉴于某数据公司所有的“营销平台”是整合广告主需求,为广告主提供发布服务的服务平台,故该平台是《互联网广告管理暂行办法》第十四条规定的广告需求方平台。广告经营者是广告代理公司。用户访问网站中弹出的广告,由于是被某数据公司利用技术手段强制插入的,因此从广告需求方平台的所有者角度,某数据公司是广告发布者。鉴于本案未涉及广告内容,仅是对强制插入广告行为的处理,办案单位根据谁拥有广告最终发布权,确定了互联网不正当竞争行为的主体。
点评
2017年全面修订的《反不正当竞争法》根据互联网领域反不正当竞争的客观需要,增加互联网不正当竞争行为条款,规定经营者不得利用技术手段在互联网领域从事影响用户选择、干扰其他经营者正常经营的行为,并具体规定了应予禁止的行为。认定互联网领域新型不正当竞争行为,需把握以下三个关键点:一是利用技术手段;二是通过影响用户选择或者其他方式;三是行为主要表现为妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行。具体到本案,当事人利用技术手段,未经网站经营者同意,在网站合法提供的产品或者服务中插入广告浮窗链接,影响了访问网站用户的选择,扰乱了网站正常访问秩序,基本构成《反不正当竞争法》第十二条所规制的不正当竞争行为。
办案人员在分析案情时,除了从《反不正当竞争法》的角度进行分析外,还从个人信息保护、广告监管等角度进行了分析,对办理其他同类型案件具有很好的借鉴意义和指导意义。从个人信息保护的角度来看,包括网络运营者在内的经营者在收集、使用消费者个人信息时,应当受《网络安全法》《消费者权益保护法》等的规制,遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经消费者同意;不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息,但是经过处理无法识别特定个人且不能复原的除外。从广告监管来看,本案中的精准化营销属于典型的程序化购买广告行为,应当受到《广告法》《互联网广告管理暂行办法》等的规制,其中的广告需求方平台经营者应当清晰标明广告来源;在订立互联网广告合同时,应当查验合同相对方的主体身份证明文件、真实名称、地址和有效联系方式等信息,建立登记档案并定期核实更新。