LinkedIn registrerar en ny dom mot det i sin kamp mot ett företag som samlar in data från sina offentliga profiler.
Vad betyder "obehörig" åtkomst till datorsystem enligt Kaliforniens lag? På plats fick hovrätten döma. Kontexten: en tvist som den redan hade avgjort 2019. Den ställer LinkedIn mot hiQ Labs.
Detta företag som grundades 2012 samlar in information om offentliga profiler, formaterar den och marknadsför den utifrån prediktiv analys. Dess mål: arbetsgivare. Med produkter som ska göra det möjligt för dem att kartlägga färdigheter (Skill Mapper) och upptäcka personal som planerar att sätta segel (Keeper).
Under 2017 begärde LinkedIn formellt att hiQ skulle upphöra med praktiken, i namn av Computer Fraud and Abuse Act (CFAA). Texten, som har trätt i kraft sedan 1986, straffar det faktum att få tillgång till en dator utan tillåtelse eller överdriven användning av behörig åtkomst.
Inför detta föreläggande vidtog hiQ rättsliga åtgärder i Kalifornien för att försöka bevisa att dess verksamhet var laglig. Och hade vunnit.
LinkedIn överklagade. I september 2019 avslog hovrätten det. Bland annat av följande skäl:
– Det sociala nätverket har inte rättigheterna till de uppgifter som publiceras av dess medlemmar , de senare är ägare till deras profiler.
– Användare som väljer en offentlig profil förväntar sig "uppenbarligen" att den ska vara tillgänglig för tredje part .
– CFAA är tänkt att styra fall av piratkopiering ; det är desto mer tveksamt att åberopa det i ett ärende om öppen åtkomstdata.
– Att låta LinkedIn kontrollera användningen av offentlig data kan leda till ett ”informationsmonopol” som skadar allmänhetens intresse
– Utan tillgång till de berörda uppgifterna skulle hiQ utsättas för "irreparabel skada"
LinkedIn framkallar ett legitimt ekonomiskt intresse...
Förfarandet gick hela vägen till Högsta domstolen, som gav LinkedIn rätt. I bakgrunden ett beslut som hon hade fattat några veckor tidigare... och som innebar en annan läsning av CFAA än hovrättens. I det här fallet ur vinkeln av missbruk av auktoriserad åtkomst – och följaktligen av de tekniska åtgärder som LinkedIn hade vidtagit mot hiQ -botarna Fallet gällde en polis som använde en statlig databas för att på eget initiativ genomföra en utredning.
Frågade igen, hovrätten bibehålls dess utgångsläge. Hon uttalade sig särskilt om två faktorer. Å ena sidan förekomsten av ett avbrott i avtalsförhållandet mellan hiQ och dess kunder. Å andra sidan, tillämpligheten av CFAA, LinkedIns huvudförsvarslinje.
På den första punkten hävdar hiQ att störningen var avsiktlig. Och att det manifesterades lika mycket genom genomförandet av tekniska åtgärder som genom anropandet av CFAA. LinkedIn bestrider inte dessa iakttagelser, men hävdar att enligt lagen kan sådan inblandning motiveras av ett legitimt ekonomiskt intresse.
Hur resonerade domstolen kring detta? Hon ansåg först att i förekomsten av ett avtalsförhållande gynnades det samhälleliga intresset av stabilitet vanligen framför konkurrensfrihet. Tog sedan upp inslag av Högsta domstolens resonemang. Mer exakt: sådan störning kan inte motiveras enbart av det faktum att en konkurrent skulle försöka få en ekonomisk fördel på bekostnad av LinkedIn. Vi måste kunna bevisa att vi har agerat för att ”tillvarata ett intresse av större samhällsvärde än avtalets stabilitet”.
För att bedöma om så är fallet behöver två saker kontrolleras. Å ena sidan, om ingreppsmedlen förblir inom ramen för "erkänd affärspraxis". Å andra sidan, om de förblir inom ramen för rättvis konkurrens.
… men stöter på tolkningen av CFAA
Teknisk blockering är förmodligen inte en "erkänd kommersiell praxis" enligt kalifornisk rättspraxis, anser domstolen . Tvärtom, till exempel reklam, prisjustering eller tjuvjakt av anställda. Vilket indirekt kan påverka avtalsförhållanden, men utan att i grunden störa en ekonomisk modell.
Det är inte heller säkert, återigen enligt domstolen, att vi är inom ramen för rättvis konkurrens . Ett argument från hiQ träffade särskilt målet: LinkedIn attackerade formellt flera år efter att ha blivit medveten om de anklagade metoderna. Och det gjorde det under veckorna efter tillkännagivandet av potentiellt konkurrenskraftig Skill Mapper.
Den andra frågan kvarstår då: när den formella varningen väl mottogs, fortsatte datainsamlingen "utan tillstånd" enligt CFAA?
Blockeringen i sig kan inte betraktas som en brist på auktorisation, klargör domstolen redan från början. Och för att motivera att bibehålla sin "restriktiva" tolkning av texten: en enkel avledning är inte tillräcklig för att åberopa den; begreppet intrång är väsentligt (se "hacking" ovan).
Finns det något som liknar ett intrång i fallet "LinkedIn vs hiQ"? Domstolens svar är negativt. I stora drag, på följande grunder:
– Begreppet obehörig åtkomst gäller endast information som gjorts privat genom någon form av krav på lösenordstyp
– Andra texter än CFAA – inklusive lagen om lagrad kommunikation – går i samma riktning
– LinkedIn gjorde uppenbarligen inte uppgifter om sina offentliga profiler privata
Illustrativt foto © 360b – Shutterstock
Källa: https://www.silicon.fr/scraping-linkedin-freine-combat-436577.html
