企業在經營過程中,為了達到服務目的,會收集用戶的某些個人信息和行為數據。我國現行法律法規要求企業在收集公民個人信息時堅持同意、合理、最小化三項基本原則。同意原則是指企業在收集個人信息時必須征得用戶的同意,根據數據的敏感程度,表示同意的方式有所不同;合理性原則是指在收集用戶相關個人資料時,必須有相應的服務場景;最小化原則是指企業應在服務所需的最小範圍內收集個人數據,不應過度。我國《網絡安全法》和《電子商務法》中關於個人數據收集的相關規定,都是在上述三項原則的指導下制定的。
為具體指導和規範個人信息收集工作,工業和信息化部於2065年5月頒布了《信息安全技術個人信息安全規範》GB/T 35273-2017(以下簡稱《規範》)。雖然是技術規範,不具有強制性,但規範對個人信息的內涵、收集原則、權限設置等都做了系統詳細的規定,對司法實踐具有重要的指導意義。《規範》規定,企業在收集個人敏感信息時,應當取得個人信息主體的明示同意,並應當確保個人信息主體的明示同意是其在充分知情的基礎上自願給予的具體、明確、清楚的意願表達;通過主動提供或者自動收集方式收集壹般個人信息時,應當告知信息主體所提供產品和服務的核心業務功能以及收集敏感信息的需要,明確告知拒絕提供或者同意的影響,並允許個人選擇是否提供或者同意自動收集;如果是為了提供附加功能而收集個人信息的,應當事先逐壹說明,並允許信息主體逐壹選擇是否同意。信息主體拒絕時,不能以此為借口拒絕提供核心業務功能,服務質量要有保障。簡單來說,如果消費者不同意為次要功能提供個人信息,企業就不能拒絕提供主要服務。對於未成年人,法典做出了特殊規定。對於14周歲以下的未成年人,只有征得其監護人的同意,才能收集其個人信息。
就業務活動而言,最常見的問題是用戶授權不足,相關數據的采集沒有對應的服務場景。因此,企業應建立信息采集權限的動態審核機制,對核心功能和輔助功能需要采集的個人信息進行分類歸類,並根據功能調整進行定期或不定期的審核和回溯,確保核心功能得到充分授權,冗余權限得到及時關閉,避免因過度采集個人信息造成商譽損失和行政處罰。
二、數據爬取:註意爬蟲本身的功能和被爬取方的說法。
移動互聯網時代,大量數據封裝在各種垂直網站或app應用中。出於行業調查分析、豐富自身數據庫等各種目的,使用爬蟲抓取數據的主角也逐漸從搜索引擎演變為大數據公司或Saas服務公司。如果抓取對象是提供公眾查詢服務的網站,如中國政府網,則不存在合規風險。但大多數情況下,爬行的對象都是各類商業服務網站,壹般都設置了反爬行聲明,甚至采取了反爬行的技術措施。這個時候,數據爬蟲就需要高度重視合規問題。
當網站聲明robots協議,即Robots排除協議時,數據爬蟲要規避robots.txt中記錄的禁止爬行範圍,如果不遵守協議,可能面臨侵權糾紛或不正當競爭的訴訟,爬蟲將處於非常被動的境地,很可能需要賠償業務損失。
更重要的是,爬蟲不得具有繞過或突破被爬取方反爬取技術的功能。根據我國最高法的司法解釋,專門用於入侵、非法控制計算機信息系統的程序和工具,是指: (壹)具有規避或者突破計算機信息系統安全保護措施,未經授權或者超越授權獲取計算機信息系統數據功能的;(二)具有規避或者突破計算機信息系統安全保護措施、未經授權或者超越授權控制計算機信息系統的功能;(三)專門用於入侵、非法控制計算機信息系統、非法獲取計算機信息系統數據的其他程序和工具。從上述規定可以看出,如果爬蟲具有繞過或突破對方反爬取技術措施的功能,就容易被認定為入侵計算機信息系統的程序,從而觸犯刑法第285條、第286條。在“車來了”app抓取“酷米可”公交數據的案件中,正是因為“車來了”使用的爬蟲具有偽裝用戶行為的功能,被認為是入侵程序,導致多名高管被判處有期徒刑。
如果壹個商業服務網站或app既沒有設置反抓取技術措施,也沒有發布反抓取聲明,並不代表可以隨意抓取其相關數據。2016年,大眾點評發現百度通過爬蟲程序抓取大量用戶評論信息,並用於自己的百度地圖、百度知道等產品中,故以不正當競爭為由向法院提起訴訟。最終,法院判決百度構成不正當競爭,並判決賠償經濟損失300余萬元。因此,對於可抓取的數據,如果是被抓取方的核心、批量業務數據,應盡可能避免以爬蟲的形式收集,以降低不正當競爭、侵犯商業秘密或非法獲取計算機系統數據犯罪等民事糾紛的風險。
三。外部采購:對交易對手和交易數據進行盡職調查。
涉及個人身份信息(PII)的數據交易是數據獲取的核心風險源。我國刑法第二百五十三條之壹第三款規定,竊取或者以其他方法非法獲取公民個人信息的,依照第壹款的規定處罰。在司法實踐中,“購買”壹般被視為“其他方法”之壹。2065438+2008年7月,山東臨沂警方破獲壹起因運營商內鬼倒賣數據引發的嚴重侵犯公民個人信息案。警方在調查過程中發現,新三板上市公司數據堂購買了涉案數據,隨後逮捕了包括該公司壹名副總裁在內的多名高管,震驚全行業。數據堂的經歷再次提醒我們,在做數據交易的過程中,壹定要對交易對手和交易所涉及的數據做好盡職調查,否則非法交易的直接參與者、壹系列做出購買決策的管理者和相關財務人員將面臨極高的刑事和法律風險。
交易對手的盡職調查主要需要考慮數據出售方的資質、數據來源的合法性、接收數據的範圍和形式等等。壹般來說,大公司很可能受到監管部門的關註,有足夠的資源完善合規體系。與之配合,數據購買者的合規壓力會相應降低,容錯空間會增大。
比交易對手資質更重要的是確保交易中涉及的數據來源的合法性。由於我國信息收集強調“同意、合理、最小化”三大原則,在調查數據來源合法性時,需要考慮的主要因素包括:被收集人是否知道數據是由數據提供者收集的,數據流通行為是否經過被收集人同意,數據利用形式是否經過被收集人告知和同意,接收的數據類型等。這些內容應以擔保協議的形式予以確認,但需要註意的是,擔保協議並不能保證完全免除數據接收方的行政或刑事責任。對於民事責任,數據接收企業只能通過違約責任將最終的損害賠償責任轉移給數據銷售者或其他第三方。對於所購買的數據類型,應根據業務實際需要只接收必要的數據,而不是對方能夠提供的所有數據,並嚴格遵循最小充分性原則,對相關數據進行匿名處理,以達到無法再次識別數據生成者的程度。
在司法實踐中,執法機構傾向於擴大個人數據的應用範圍和侵權類型。因此,即使經過全面的盡職調查,數據接收方也應認真考慮數據提供方是否能夠承擔相應的法律後果,包括但不限於喪失商譽、經濟賠償、停業整頓、吊銷營業執照、直接責任主管等民事和行政後果,如果數據提供方被行政機關甚至司法機關判定為非法收集、使用或者享有個人數據的,