近年来飞速发展的数据产业使人们对数据价值的认识越来越深刻,数据被誉为除算法和算力以外,大数据公司的第三种重要资产。但在产业持续扩张的同时,与数据有关的负面新闻也大幅增加,特别是国内连续发生多起以徐玉玉案为代表的精准电信诈骗案,国外Google、Facebook等巨头也接连被曝出数据泄露丑闻,人们对于数据和隐私安全的担忧日益加深。为规范大数据应用、确保数据和隐私安全,世界各国都在持续不断的加强立法,欧盟和美国先后出台了《通用数据保护条例》、《2018加州消费者隐私法案》,我国的《网络安全法》和《电子商务法》也已正式生效。同时,《个人信息保护法》也进入了立法程序,数据合规将成为维护产业平稳健康发展,保障公司商业利益和正常运营的重要基石。
广义上讲,企业数据一般包括职工信息、产品情况、运营数据、研究成果等各种类型,而数据合规风险主要来自运营数据。从隐私保护的角度,企业运营数据可以分为个人数据和非个人数据。从数据来源看有业务采集数据、外部网络抓取数据以及合作企业采购数据等。而本文将从数据来源合规的角度,对企业数据合规进行综合分析、探讨。
一、自采集:用户许可与权限合理是关键
企业在经营过程中,为了实现服务目的都会采集一定的用户个人信息、行为数据等。我国现行法规要求企业在采集公民个人信息时坚持同意、合理、最小化三项基本原则。同意原则是指企业采集个人信息必须经过用户同意,根据数据敏感程度不同,表示同意的方式也有区别;合理原则指的是采集用户相关个人数据必须有相应的服务场景;最小化原则指的是企业应当在服务所需的最小范围内采集个人数据,不应过度延伸。我国网安法和电商法中关于个人数据采集的相关规定均是在以上三个原则指导下制定的。
为了具体指导和规范个人信息采集,工信部于2018年5月颁布了《信息安全技术个人信息安全规范》GB/T 35273-2017(以下简称《规范》)。虽然属于技术性规范且不具有强制性,但该规范对个人信息的内涵、采集原则、权限设置等都做出了系统而详细的规定,对司法实践的指导意义极高。根据《规范》,企业在收集个人敏感信息时,应取得个人信息主体的明示同意,应确保个人信息主体的明示同意是其在完全知情的基础上自愿给出的、具体的、清晰明确的愿望表示;在通过主动提供或自动采集方式收集一般性的个人信息时,应当向信息主体告知所提供的产品、服务的核心业务功能及必需收集敏感信息,并明确告知拒绝提供、拒绝同意将带来的影响,应当允许个人选择是否提供或同意自动采集;如果为了提供附加功能而收集个人信息时,应当在事前逐一说明,并允许信息主体逐项选择同意与否,当信息主体拒绝时,不能以此为由拒绝提供核心业务功能,并应当保障服务质量。简单来讲,如果消费者不同意为次要功能提供个人信息,企业不能拒绝提供主要服务。针对未成年人,《规范》做出了特殊规定,对于14周岁以下未成年人,只有征得监护人同意才可以收集其个人信息。
就企业经营活动而言,最经常面临的问题是用户授权不充分和采集了相关数据却没有相应的服务场景。因此,从业企业应当建立信息采集权限动态审查机制,对核心功能和附属功能需要采集的个人信息进行分级、分类,并根据功能调整进行定期或不定期的审查回溯,确保核心功能获得充分授权,冗余权限及时关闭,避免因过度采集个人信息受到商誉损失和行政处罚。
二、数据爬取:注意爬虫本身的功能及被爬取方声明
在移动互联网时代,大量的数据被封装在了各种垂直网站或app应用中,出于行业调查分析、丰富自身数据库等多种多样的目的,利用爬虫抓取数据的主角逐渐从搜索引擎演变为大数据公司或Saas类服务公司。如果爬取对象是提供公开查询服务的网站,如中国政府网等,则不存在合规风险。但在大多数情况下,爬取对象是各类商业服务网站,这类网站一般设置了反爬声明,甚至采取了反爬技术措施,此时便需要数据爬取方高度重视合规问题。
当网站声明了robots协议——即网络爬虫排除标准(Robots Exclusion Protocol)时,数据爬取方应当对robots.txt中所记载的禁止爬取范围进行规避,若不遵守该协议,则可能面临侵权纠纷或反不正当竞争之诉,爬取方将陷入非常被动的局面,极有可能需要赔偿商业损失。
比遵守robots协议更重要的是,爬虫绝不能有绕过或突破被爬取方反爬技术的功能。根据我国最高法司法解释,专门用于侵入、非法控制计算机信息系统的程序、工具指的是:(一)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的;(二)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权对计算机信息系统实施控制的功能的;(三)其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。从上述规定可以看出,如果爬虫具备绕过或突破对方反爬技术措施的功能,则极易被认定为侵入计算机信息系统的程序,从而触犯刑法第285条、第286条。在“车来了”app爬取“酷米客”公交数据一案中,正是由于“车来了”所采用的爬虫具有伪装用户行为的功能,被认定为属于侵入程序导致多名高管被判处有期徒刑。
如果一个商业服务网站或app既未设置反爬技术措施也未公开反爬声明,也并不意味着可以随意抓取其相关数据。2016年,大众点评发现百度通过爬虫程序大量抓取其用户点评信息并将其用于自家的百度地图、百度知道等产品,遂以不正当竞争为由向法院提起诉讼,最终法院判定百度构成不正当竞争并判决赔偿经济损失300余万元。因此,对于可爬取数据,如果系被爬取方的核心化、批量式主营业务商业数据,应尽量避免以爬虫方式搜集,降低涉嫌不正当竞争、侵犯商业秘密等民事纠纷或非法获取计算机系统数据罪的风险。
三、外部采购:做好交易对手和交易数据的尽职调查
涉及个人验证信息(PII,personally identifiable information)的数据交易是数据采购的核心风险来源。我国刑法第253条之一第三款规定,窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。在司法实践中,“购买”普遍被视为“其他方法”的一种。2018年7月,山东临沂警方破获了因运营商内鬼倒卖数据引发的特大侵犯公民个人信息案件。警方在侦查中发现,新三板上市公司数据堂购买了该批涉案数据,进而逮捕了包括该公司一名副总裁在内的多名高管,震惊全行业。数据堂的遭遇再次提醒我们,在做数据交易的过程中一定要做好交易对手和交易所涉及数据的尽职调查,否则非法交易的直接参与者、做出购买决定的一系列管理者以及相关财务人员都将面临极高的刑事法律风险。
对于交易对手的尽职调查,主要需要考虑数据出售方资质、数据来源合法性、接收数据的范围和形式等多个方面。一般而言大公司受到监管机关关注的可能性大,也有足够的资源完善其合规制度。与其合作,数据购买方的合规压力将相应减小,容错空间增加。
比交易对手资质更重要的是要确保交易涉及数据来源的合法性。由于我国信息采集强调的是“同意、合理、最小化”三原则,因此在对数据来源合法性进行调查时,主要考量的因素包括被收集人是否明知该数据被数据提供方收集、数据流通行为是否已经得到被收集人同意、数据利用形式是否已告知被采集人并得到同意以及接收数据的种类等。这些内容都应当通过保证协议等形式进行确认,但需要注意的是,保证协议并不能保证完全避免数据接收方的行政或刑事责任,对于民事责任,数据接收方企业也仅仅是能通过违约责任将最终损害赔偿责任转嫁至数据出售方或其他第三方。对于所购数据的种类,应当根据业务实际需要,仅接收必要的数据,而不是对方可以提供的所有数据,严格遵循最小够用原则,并且相关数据应当经过匿名化处理,达到数据产生主体无法再次被识别的程度。
由于在司法实践中,执法机关倾向于对个人数据以及侵犯行为的类型进行扩大适用,所以即使已经做了全面的尽职调查工作,作为数据接收方仍要在交易前认真考量如果数据提供方被行政机关甚至司法机关判定为非法收集、使用或共享个人数据,是否能够承担相应的法律后果,包括但不限于商誉损失、经济赔偿、停业整顿、吊销营业执照等民事、行政后果以及直接负责的主管人员和其他直接责任人员定罪处罚,并对单位判处罚金等刑事后果。
把好入口关,仅仅是企业数据合规的第一步,有关数据存储、应用和交易环节的合规问题,将在今后的文章中与大家详细探讨。
在线客服
微信
