Het scrapen van data van Linkedinprofielen is geheel legaal, las ik bij TechRadar. De Court of Appeals for the Ninth Circuit (het hogerberoepshof dat onder meer over techstaat Californië gaat) heeft namelijk bevestigd dat dit geen computervredebreuk oplevert. Dit in hoger beroep (na cassatie bij de Supreme Court) van een zaak uit 2017 tussen Linkedin en startup hiQ. HiQ is erg blij dat archivisten en bibliotheken nu deze data kunnen opnemen in het algemeen belang. Ja, moest ik ook om lachen. Maar dat terzijde.
Zoals ik in 2017 schreef, HiQ (dat blijkt dus hiQ te moeten zijn) is als bedrijf gericht op analyseren van werknemers, en kan bijvoorbeeld bepaald gedrag van werknemers voorspellen, zoals wanneer iemand ontslag neemt. Hierbij is input vanaf LinkedIn erg belangrijk, zo belangrijk zelfs dat ze zeggen als bedrijf failliet te gaan als de toegang tot LinkedIn hen ontzegd zou worden.
Linkedin zag dat anders, zij had in haar gebruiksvoorwaarden scrapen gewoon verboden en schermt daarbij graag met mooie woorden over het vertrouwen van haar gebruikers dat geschonden wordt als gewetenloze recruiters of andere vage figuren er met data vandoor gaan. (Dit in tegenstelling tot de betrouwbare partners natuurlijk.) Maar omdat het hier ging om data die je zonder inloggen kon zien, moest LinkedIn het over de strafrechtelijke boeg gooien: de beruchte Computer Fraud and Abuse Act.
In 2017 was de rechter er snel klaar mee: de juridische argumenten van LinkedIn over computervredebreuk waren niet zeer overtuigend, de schade voor het sociale netwerk is beperkt en de impact van een verbod voor hiQ is buitengewoon groot. Dan is de uitkomst van die afweging natuurlijk evident: geen verbod. Sterker nog, Linkedin werd verboden om met technische trucs (IP-blokkades) het scrapen tegen te houden.
Na een lange juridische discussie die zelfs tot de Supreme Court kwam, heeft nu de 9th Circuit de definitieve uitspraak gedaan: het opvragen van zonder login beschikbare data telt niet als computervredebreuk. Maar dan met iets meer nuance. De kern is dat hiQ stelde dat haar contracten met data-afnemers in gevaar kwamen door de blokkade van LinkedIn, wat een onrechtmatige daad (tortious interference of contract) zou zijn.
LinkedIn meende dat de privacy van haar bezoekers telde als een rechtvaardiging om die daad te mogen plegen, maar kreeg daarover dus tot de Supreme Court ongelijk. En nu dus ook: niet alleen is dat privacybelang zeer gering omdat het gaat om de openbare (zonder login toegankelijke) informatie die men publiceert, maar ook heeft LinkedIn een vrij ongebruikelijk middel ingezet, namelijk een IP-blokkade. Oh ja, en het feit dat LinkedIn al een paar jaar wist van hiQ en de cease-and-desist pas stuurde na een persbericht dat hiQ met een funding round bezig was, hielp natuurlijk ook niet mee.
Hoewel het dus gaat om een vrij specifieke zaak, zijn er nu wel een paar uitgemaakte punten waardoor scrapen in de VS een verdedigbare praktijk wordt. Het moet dus gaan om openbare informatie, je moet een legitiem zakelijk belang hebben en je mag de bedrijfsvoering van je doelwit niet hinderen.
De privacy van betrokkenen zou uit kunnen maken, maar omdat het gaat om openbare informatie in principe niet. En dat laatste is natuurlijk waarom het bij ons anders uitpakt: de AVG geldt net zo goed bij openbare informatie. Wie dus in Europa LinkedIn-profielen scrapet en als business intelligence verkoopt, moet daarbij een verhaal hebben onder de AVG dat ik eerlijk gezegd niet zou kunnen bedenken.
Arnoud