Linkedin mag startup hiQ niet verbieden haar site te scrapen

Een federale rechter in de VS heeft LinkedIn bevolen om niet langer de toegang tot publiekelijk beschikbare profielgevens te beperken, meldde Tweakers eergisteren. Het bedrijf hiQ verkoopt statistische analyses van de werknemers van bedrijven, en scrapete daarvoor onder meer publieke informatie vanaf Linkedin. Die was daar niet van gediend, en eiste een verbod onder meer vanwege het strafbare binnendringen in haar systeem. Maar de rechter wijst de eisen af.

HiQ is als bedrijf gericht op analyseren van werknemers, en kan bijvoorbeeld bepaald gedrag van werknemers voorspellen, zoals wanneer iemand ontslag neemt. Hierbij is input vanaf LinkedIn erg belangrijk, zo belangrijk zelfs dat ze zeggen als bedrijf failliet te gaan als de toegang tot LinkedIn hen ontzegd zou worden.

Maakt dat uit, zou je denken. LinkedIn is als bedrijf toch vrij om te kiezen met wie ze zaken doet, en als ze iemand willen weren dan is het hun zaak. Als een schoenenwinkel mij de deur wijst, dan moet ik op blote voeten lopen, en dat ik een sollicitatie heb is dan toch echt mijn probleem.

Nou ja, niet helemaal. We zitten hier met het punt dat het gaat om openbare informatie waar iedereen zo bij kan zonder account of akkoord op de voorwaarden. Er is dan niet eenvoudig een grondslag om “ga weg en kom niet meer terug” te zeggen. LinkedIn dacht die gevonden te hebben in de Computer Fraud and Abuse Act, zeg maar de Amerikaanse Wet Computercriminaliteit. Men had hiQ herhaaldelijk gemaand weg te gaan, en hiQ kwam terug: binnendringen in een computersysteem dus, aldus LinkedIn.

Naar de letter van de Amerikaanse wet zou je kunnen spreken van binnendringen (access without authorization). Als je de toegang is ontzegt, dan is opnieuw binnengaan immers zonder toestemming. Maar gezien de wetsgeschiedenis (de wet is uit 1984) kun je daar ook weer vraagtekens bij stellen, is zo’n hacking-artikel eigenlijk wel bedoeld voor de toegang tot openbare websites? Dat gaat wel érg ver, en dan krijg je het punt dat we hier zitten met een kort geding waarbij we niet echt in detail alles kunnen uitzoeken.

Om die reden sneuvelt ook het tegenargument van hiQ, dat een website met de omvang van Linkedin eigenlijk een openbare ruimte is net zoals het dorpsplein. Daar mogen mensen niet zomaar de toegang tot ontzegd worden. Maar dat is voor de rechter ook weer te speculatief, dan zou je als website bijvoorbeeld ook geen inhoud meer mogen modereren.

Uiteindelijk komt de rechter bij het algemene belang uit. Deze rechtszaak vraagt namelijk om een temporary injunction, en voordat zo’n eis wordt toegewezen in de VS moet er wel heel wat aan de hand zijn. De normale regel in het Amerikaanse (common law) recht is namelijk dat als mensen je schade berokkenen, ze die maar moeten vergoeden. Ze dwingen hun handelen te staken met een gerechtelijk verbod is een uitzondering, die alleen wordt toegewezen als de schade groot is en een belangenafweging duidelijk in jouw voordeel uitkomt.

Hier is daar geen sprake van. De juridische argumenten van LinkedIn over de CFAA zijn niet zeer overtuigend, de schade voor het sociale netwerk is beperkt en de impact van een verbod voor hiQ is buitengewoon groot. Dan is de uitkomst van die afweging natuurlijk evident: geen verbod.

Arnoud

18 reacties

  1. Als ik het goed begrijp, is het hiQ nu dus niet verboden om publieke profielen van LinkedIn te scrapen, zelfs als LinkedIn daar geen prijs op stelt. Betekent dat nu ook dat het LinkedIn verboden is om hiQ met technische maatregelen te blokkeren? Zo’n blokkade is waarschijnlijk niet bestand tegen allerlei technische tegenmaatregelen die hiQ zou kunnen nemen, maar zou LinkedIn het mogen proberen?

        1. Het gaat daarbij inderdaad om een zeer specifieke blokkade, wat niet mag. Ik vraag me wel af wat er zou gebeuren als LinkedIn andere maatregelen gaat treffen die het werk van hiQ erg lastig maken, maar geen onderscheid maken zoals een IP blokkade wel doet. Denk aan de boel uitsluitend via een Flash site aan de gebruiker tonen, een zeer strenge limiet zetten op requests per IP adres etc. Scrapen wordt op die manier wel erg moeilijk gemaakt, maar LinkedIn blokkeert in dat geval hiQ niet specifiek.

        2. De rechter heeft niet verboden dat LinkedIn langs technische weg hiQ de toegang ontzegt volgens mij? Waar zie jij dat in het vonnis?

          LinkedIn was het volgens mij zat om dat katenmuisspel door te zetten, en had daarom een gerechtelijk verbod geëist op grond van computervredebreuk. Dát is afgewezen. Maar hiQ heeft geen recht verkregen om van een technische blokkade door LinkedIn gevrijwaard te blijven.

          1. Ik las het in het artikel op Tweakers.

            Rechter verbiedt LinkedIn om scrapen publieke profielgegevens te verhinderen […] LinkedIn had blokkades ingesteld tegen het scrapen van de gegevens […] De Amerikaanse rechter heeft een tijdelijk bevel aan LinkedIn opgelegd waarin het bedrijf wordt verboden om nog langer hiQ te hinderen in het scrapen van de publieke profielen op LinkedIn

            Maar het staat ook gewoon in het vonnis op pagina 25.

            Defendant LinkedIn Corporation and its officers, agents, servants, employees, and attorneys are hereby enjoined from (1) preventing hiQ?s access, copying, or use of public profiles on LinkedIn?s website (i.e., information which LinkedIn members have designated public, meaning it is visible not just to LinkedIn members but also to others, including those who may access LinkedIn?s website via Google, Bing, other services, or by direct URL) and (2) blocking or putting in place any mechanism (whether legal or technical) with the effect of blocking hiQ?s access to such member public profiles. To the extent LinkedIn has already put in place technology to prevent hiQ from accessing these public profiles, it is ordered to remove any such barriers within 24 hours of the issuance of this Order.

            1. Ik had 1) gelezen als: Ze mogen HiQ niet de informatie ontzeggen die andere partijen ook vrij krijgen, maw geen IP blokkades voor speciefiek HiQ.

              en 2) heeft het alleen over blocking access, nergens staat dat ze de info zodanig aan moeten bieden dat HiQ of andere partijen daar makkelijk mee kunnen werken.

              Ik zie dus niet waarom ze niet hun publieke pagina aan iedereen zodanig mogen aanbieden dat scrapen wel mogelijk is, maar dat de informatie op de pagina verwerken voor iedereen lastig is. Het opbouwen van je DOM in js is bijvoorbeeld een heel normale handeling. Als je dan de HTML scrapet heb je nog niets, je moet dan eerst de scriptcode uitvoeren en de resulterende DOM kunnen uitlezen.

              En waarom zou je die resulterende dom moeten voorzien van tags die helpen bij het parsen? Als je dat dan maar voor iedereen gelijk doet. En af en toe de structuur van de pagina omgooien is ook niet zo lastig. En iedereen krijgt dan dezelfde data, dus mi niet tegen de geciteerde uitspraak. HiQ heeft toegang en krijgt precies wat de rest van het publiek ook krijgt.

                1. Dat is een afweging voor LinkedIn om te maken. Ze zijn wel de marktleider en ik zou niet eens een noemenswaardige concurrent kunnen noemen.

                  Dan heb je iets meer speelruimte, aangezien het een stuk waarschijnlijker wordt dat mensen de ingebouwde zoekmachine gebruiken als Google en co. niet specifiek genoeg zijn.

  2. De oplossing voor LinkedIn lijkt mij om de publieke profielen dusdanig te beperken dat ze niet genoeg informatie bieden om nog nuttig te zijn voor hiQ. Vervolgens kan LinkedIn in hun EULA de activiteiten van hiQ beperken/verbieden.

    1. Wat HiQ doet is niet erg moeilijk. Als iemand in mijn netwerk zijn gegevens update en dan met name de werkervaring bij zijn laatste werkgever, dan is dat al een gigantische hint.

      Daarnaast zie ik vaak dat ze dan ook contacten om referenties/beoordelingen gaan vragen, dan is het al helemaal duidelijk.

      Dus als het geen contact van je is heb je eigenlijk alleen maar de volgende gegevens nodig: Hoeveel is de pagina de laatste tijd ge-edit en zijn er opeens opvallend veel skill reccomendations bij gekomen.

    1. Dat kan, mits je kunt hardmaken dat wat hiQ doet onder de Europese privacywetgeving valt. Dan is het een evidente overtreding van de Wbp of het Ierse/Europese equivalent. Maar in de VS bestaat het concept persoonsgegeven eigenlijk niet, en geldt in ieder geval de regel dat wat openbaar te vinden is, vogelvrij is. Ook als jij nooit had bedacht dat het zo openbaar had kunnen worden.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.