近日,抖音(今日头条)与微信(腾讯)开战。抖音称新用户无法正常以微信授权的方式登录抖音,而腾讯方面声称,微信此举是“基于平台规则和保护用户隐私的考虑”。这里授权登录与保护隐私,都是间接的说法,问题的焦点,是“复制微信关系链”。我们可以从价值判断与事实判断两方面,判断真伪是非。
一、对获取关系链的价值判断
对于获取关系链,包括这次“复制微信关系链”,价值判断方面不存在争议。
用户关系链是互联网企业核心资产,在经济学上,称为社会资本,由关系和信任构成。任何不以正当方式(如协议)占有他人核心资产为自己所有或所用的行为,都是违法行为。
此前,行业曾有一个先例。脉脉非法抓取使用新浪微博用户信息案中,脉脉在未取得微博授权、也未经未注册用户许可的情况下,将用户手机通讯录里的联系人与新浪微博用户对应,并展示在“一度人脉”中。对此行为,法院认为,保护用户信息是衡量经营者行为正当性的重要依据,最终判定脉脉构成不正当竞争。
如果抖音未取得微信授权、也未经未注册用户许可,将微信的关系链导入自己系统中,依上案推断,抖音肯定将构成不正当竞争。此事很单纯,扯别的都不会改变这一点。目前媒体围绕腾讯与头条之争讨论的问题,包括垄断、支配地位、相关市场等,都可归入“扯别的”范围。互联网企业善辩,往往一没理,就你说东,我扯西,拿媒体当枪使,围魏救赵。专家也被记者诱导着,讨论这些问题,有离题之嫌。
回到问题本身。抖音方面针对微信内部人士关于“微信关系链可被复制到抖音”一说,进行了回应。抖音表示:“第三方开发者通过微信开放平台,申请包括微信授权登录在内的权限,由来己久。微信登录授权做得非常慎重,除非微信主动提供,没有任何一个第三方应用可以通过微信账户登录的方式,获取微信关系链,这是微信开放平台存在的技术安全前提。”
这话没有直接回答抖音是否获取了微信关系链,而是采用了说理来推论,包含几层意思。第一,获取微信关系链,不是一种正当行为。显然,抖音自己也这样认为,否则语气应当是,复制微信关系链怎么了,我就是要复制。抖音没有这么理直气壮。第二,回避了“复制微信关系链”与微信授权登录是否是一一对应关系。第三,含有“微信主动提供”,才可获取微信关系链的推论,暗含顺手牵羊不犯法之意。
抖音这个回应,总的看,没有说明除“通过微信账户登录的方式”之外,还会有什么举动可以获取微信关系链,自己又是否这么做了。
综合以上信息,不难得出判断,双方对获取关系链的是非(价值判断),分歧不大(分歧顶多表现在顺手牵羊应不应该上),都认同不当获取是不对的。对这件事总的判断,主要应建立在事实判断上,即是否存在不当获取关系链的事实。
二、对获取关系链的事实判断
获取关系链,是顺手牵羊,还是有意为之?
1月24日,有微信内部人士向媒体说明了问题的发现过程:很多用户用微信授权登录抖音后,被推荐了大量微信及QQ好友,其微信好友会出现在抖音的“发现好友”页面。而且有些用户是在没有绑定手机号及通讯录,只通过微信登录这种情况下仍然被推荐可能认识的人,而且几乎都是微信好友。由此基本可以推定抖音通过了某种途径或直接或间接获取了微信的关系链。
1月26日,微信发布《关于近期诱导违规及恶意对抗的处理公告》,明确禁止外部链接的测试、诱导行为,并特别点名违规APP,包括今日头条、火山视频、西瓜视频、网易云音乐、滴滴出行(腾讯系)等。
经技术分析,今日头条将微信浏览器的Cookie回传到了头条的另一个域名(snssdk.com)的服务器上。具体来说,将m.toutiaocdn.com这个域名下的Cookie通过POST方法发送到了mcs.snssdk.com,由此可获取微信好友信息。
这涉及违反行规。这里的行规是指HTTP协议,HTTP协议要求一个域名上的Cookie只能回传给自己的域名。
据微信方面称,头条系这些产品存在绕过对抗行为、多种方式反复对抗及违规,变换域名多达72次,且封禁相关域名后,会再次使用文本口令进行对抗。跨域名传输Cookie在黑客进行网络攻击中比较常见,攻击手法叫做跨站脚本攻击(XSS)。智能使用这种POST方法的行为,性质也是相同的。如果微信方面所说属实,采用与行规和对方商家明令禁止的行为获利,可视为主动攻击行为。
第二个事实,今日头条将微信浏览器的Cookie值设置为10年,这是非正常时间范围,是一个明显的有意行为。
将Cookie生存周期设置为一个很大的值,是一种反常行为,其意图何在?据技术专家分析,这是为了方便发现微信中2度关系链(朋友的朋友)。如果不人为改动Cookie生存周期,一旦头一个朋友访问时浏览器尚未设置Cookie,与第二个朋友建立2度关系链的侦测行为就会失败。如果不是出于回传Cookie的需要,改不改时间本无关系。而今日头条恰恰在使用POST进行回传。因此有理由建立起回传与改动Cookie两件事的逻辑联系。
将这些证据连在一起,就基本得出今日头条获取微信关系链,不是顺手牵羊,仅仅“通过微信账户登录的方式”本身获得关系链,甚至由“微信主动提供”关系链;相反,是有意为之,并且绕过行规,采用攻击性的对抗行为。
而今日头条对这些已披露的证据,闭口不谈。事实已经清楚。
三、对获取关系链的综合判断
站在腾讯与今日头条之外的第三方中立立场判断这件事,除了以上价值判断与事实判断外,还需要进行社会判断,这将涉及两个关键问题,一是消费者权益,二是平台是否中立。
在商业竞争中,一方获取另一方的关系链,对消费者来说,意味着什么?
一位微博用户@营养师-果林称:“我的抖音没有绑定过微信,今天下载了多闪,用抖音登录的,看到推荐的很多好友是微信好友,感觉抖音很不安全。”质疑“自己‘没有在抖音绑定过微信,抖音怎么识别出来我的微信好友的呢?’ ”这种反应是真实的。
1月25日,中央网信办、工信部、公安部、市场监管总局四部门宣布,将从今年1月至12月在全国范围组织开展APP违法违规收集使用个人信息专项治理。四部门联合发布的公告明确表示,APP运营者收集使用个人信息时,不得收集与所提供服务无关的个人信息。其中包括不得违反法律法规和与用户的约定收集使用个人信息。
腾讯与今日头条之争中,获取关系链的行为显然谈不上“与用户的约定”。进一步规范这类问题,将来还需要在法律法规和与用户的约定外,加设行规这一条。希望这次争端,能够推动这方面行规的建设。
从消费者利益保护角度讲,腾讯也有责任。让今日头条等获取了关系链,不仅是自身商业损失,而且要提高到保护消费者高度来认识问题。希望腾讯亡羊补牢,加强系统安全,更好保护消费者权益。
至于平台中立,腾讯这次的表现是没有问题的。因为它宣布的规则是明文的,对各家包括滴滴出行、京东都是一视同仁的。而且,腾讯对今日头条的处理,也是非歧视性的,是针对其不同于守规者的攻击行为(因此自己将自己区别于公平对待的对象)采取的合规措施。
平台占有市场份额较大,不是要求平台放弃产权保护的理由。不能因为平台占有市场份额较大,就可以攻击并掠取其核心资产,这不是法制思维。
对希望利用别人平台发自己的财的商家来说,搭便车不是好办法。我提一个公平的建议:采用共享经济的制度设计处理双方关系,即:借用平台资产(如关系链)的一方,交平台资产使用租金,以补偿形成这种资产的固定成本投入;平台对交租的商家,出于均摊固定成本考量,开放资产共用。双方通过达成合理分成的合约(美国当前行情是15:85,见我在《分享经济》一书中的介绍),实现共赢。