In de VS mag je dus Linkedin scrapen (maar bij ons niet, ja vanwege de AVG)

Elf-Moondance / Pixabay

Het scrapen van data van Linkedinprofielen is geheel legaal, las ik bij TechRadar. De Court of Appeals for the Ninth Circuit (het hogerberoepshof dat onder meer over techstaat Californië gaat) heeft namelijk bevestigd dat dit geen computervredebreuk oplevert. Dit in hoger beroep (na cassatie bij de Supreme Court) van een zaak uit 2017 tussen Linkedin en startup hiQ. HiQ is erg blij dat archivisten en bibliotheken nu deze data kunnen opnemen in het algemeen belang. Ja, moest ik ook om lachen. Maar dat terzijde.

Zoals ik in 2017 schreef, HiQ (dat blijkt dus hiQ te moeten zijn) is als bedrijf gericht op analyseren van werknemers, en kan bijvoorbeeld bepaald gedrag van werknemers voorspellen, zoals wanneer iemand ontslag neemt. Hierbij is input vanaf LinkedIn erg belangrijk, zo belangrijk zelfs dat ze zeggen als bedrijf failliet te gaan als de toegang tot LinkedIn hen ontzegd zou worden.

Linkedin zag dat anders, zij had in haar gebruiksvoorwaarden scrapen gewoon verboden en schermt daarbij graag met mooie woorden over het vertrouwen van haar gebruikers dat geschonden wordt als gewetenloze recruiters of andere vage figuren er met data vandoor gaan. (Dit in tegenstelling tot de betrouwbare partners natuurlijk.) Maar omdat het hier ging om data die je zonder inloggen kon zien, moest LinkedIn het over de strafrechtelijke boeg gooien: de beruchte Computer Fraud and Abuse Act. 

In 2017 was de rechter er snel klaar mee: de juridische argumenten van LinkedIn over computervredebreuk waren niet zeer overtuigend, de schade voor het sociale netwerk is beperkt en de impact van een verbod voor hiQ is buitengewoon groot. Dan is de uitkomst van die afweging natuurlijk evident: geen verbod. Sterker nog, Linkedin werd verboden om met technische trucs (IP-blokkades) het scrapen tegen te houden.

Na een lange juridische discussie die zelfs tot de Supreme Court kwam, heeft nu de 9th Circuit de definitieve uitspraak gedaan: het opvragen van zonder login beschikbare data telt niet als computervredebreuk. Maar dan met iets meer nuance. De kern is dat hiQ stelde dat haar contracten met data-afnemers in gevaar kwamen door de blokkade van LinkedIn, wat een onrechtmatige daad (tortious interference of contract) zou zijn.

LinkedIn meende dat de privacy van haar bezoekers telde als een rechtvaardiging om die daad te mogen plegen, maar kreeg daarover dus tot de Supreme Court ongelijk. En nu dus ook: niet alleen is dat privacybelang zeer gering omdat het gaat om de openbare (zonder login toegankelijke) informatie die men publiceert, maar ook heeft LinkedIn een vrij ongebruikelijk middel ingezet, namelijk een IP-blokkade. Oh ja, en het feit dat LinkedIn al een paar jaar wist van hiQ en de cease-and-desist pas stuurde na een persbericht dat hiQ met een funding round bezig was, hielp natuurlijk ook niet mee.

Hoewel het dus gaat om een vrij specifieke zaak, zijn er nu wel een paar uitgemaakte punten waardoor scrapen in de VS een verdedigbare praktijk wordt. Het moet dus gaan om openbare informatie, je moet een legitiem zakelijk belang hebben en je mag de bedrijfsvoering van je doelwit niet hinderen.

De privacy van betrokkenen zou uit kunnen maken, maar omdat het gaat om openbare informatie in principe niet. En dat laatste is natuurlijk waarom het bij ons anders uitpakt: de AVG geldt net zo goed bij openbare informatie. Wie dus in Europa LinkedIn-profielen scrapet en als business intelligence verkoopt, moet daarbij een verhaal hebben onder de AVG dat ik eerlijk gezegd niet zou kunnen bedenken.

Arnoud

Linkedin mag startup hiQ niet verbieden haar site te scrapen

Een federale rechter in de VS heeft LinkedIn bevolen om niet langer de toegang tot publiekelijk beschikbare profielgevens te beperken, meldde Tweakers eergisteren. Het bedrijf hiQ verkoopt statistische analyses van de werknemers van bedrijven, en scrapete daarvoor onder meer publieke informatie vanaf Linkedin. Die was daar niet van gediend, en eiste een verbod onder meer vanwege het strafbare binnendringen in haar systeem. Maar de rechter wijst de eisen af.

HiQ is als bedrijf gericht op analyseren van werknemers, en kan bijvoorbeeld bepaald gedrag van werknemers voorspellen, zoals wanneer iemand ontslag neemt. Hierbij is input vanaf LinkedIn erg belangrijk, zo belangrijk zelfs dat ze zeggen als bedrijf failliet te gaan als de toegang tot LinkedIn hen ontzegd zou worden.

Maakt dat uit, zou je denken. LinkedIn is als bedrijf toch vrij om te kiezen met wie ze zaken doet, en als ze iemand willen weren dan is het hun zaak. Als een schoenenwinkel mij de deur wijst, dan moet ik op blote voeten lopen, en dat ik een sollicitatie heb is dan toch echt mijn probleem.

Nou ja, niet helemaal. We zitten hier met het punt dat het gaat om openbare informatie waar iedereen zo bij kan zonder account of akkoord op de voorwaarden. Er is dan niet eenvoudig een grondslag om “ga weg en kom niet meer terug” te zeggen. LinkedIn dacht die gevonden te hebben in de Computer Fraud and Abuse Act, zeg maar de Amerikaanse Wet Computercriminaliteit. Men had hiQ herhaaldelijk gemaand weg te gaan, en hiQ kwam terug: binnendringen in een computersysteem dus, aldus LinkedIn.

Naar de letter van de Amerikaanse wet zou je kunnen spreken van binnendringen (access without authorization). Als je de toegang is ontzegt, dan is opnieuw binnengaan immers zonder toestemming. Maar gezien de wetsgeschiedenis (de wet is uit 1984) kun je daar ook weer vraagtekens bij stellen, is zo’n hacking-artikel eigenlijk wel bedoeld voor de toegang tot openbare websites? Dat gaat wel érg ver, en dan krijg je het punt dat we hier zitten met een kort geding waarbij we niet echt in detail alles kunnen uitzoeken.

Om die reden sneuvelt ook het tegenargument van hiQ, dat een website met de omvang van Linkedin eigenlijk een openbare ruimte is net zoals het dorpsplein. Daar mogen mensen niet zomaar de toegang tot ontzegd worden. Maar dat is voor de rechter ook weer te speculatief, dan zou je als website bijvoorbeeld ook geen inhoud meer mogen modereren.

Uiteindelijk komt de rechter bij het algemene belang uit. Deze rechtszaak vraagt namelijk om een temporary injunction, en voordat zo’n eis wordt toegewezen in de VS moet er wel heel wat aan de hand zijn. De normale regel in het Amerikaanse (common law) recht is namelijk dat als mensen je schade berokkenen, ze die maar moeten vergoeden. Ze dwingen hun handelen te staken met een gerechtelijk verbod is een uitzondering, die alleen wordt toegewezen als de schade groot is en een belangenafweging duidelijk in jouw voordeel uitkomt.

Hier is daar geen sprake van. De juridische argumenten van LinkedIn over de CFAA zijn niet zeer overtuigend, de schade voor het sociale netwerk is beperkt en de impact van een verbod voor hiQ is buitengewoon groot. Dan is de uitkomst van die afweging natuurlijk evident: geen verbod.

Arnoud