全国人民代表大会常务委员会2016年11月7日发布的《中华人民共和国网络安全法》(以下简称“《网络安全法》”)及配套法律法规已于2017年6月1日生效,《网络安全法》的实施对于以大数据为主营业务的公司(以下简称“大数据公司”)将产生重大影响,其中重要方面之一即在于大数据公司数据挖掘的合规性。
某公司核心产品或服务主要采取SAAS(Software as a service,软件即服务)的用户服务模式,主要面向模式银行、第三方支付、P2P及小贷公司、消费金融、理财平台、电商平台等主流金融机构或金融平台(“风控商户”),主要用于解决以上风控商户在线运营各阶段所可能产生的风险控制问题,降低风控商户在线风控成本,风控过程主要包括:
1、注册登录阶段:木马钓鱼、界面劫持、密码明文等;
2、平台交易阶段:批量注册、伪冒申请、模拟交易、异常登陆、团伙欺诈等;
3、用户判别阶段:高风险用户、虚假用户等(反欺诈云/资信云)。
公司业务全流程绘制略如下图所示:
其中,与本次《网络安全法》所涉相关的主要为产品涉及到两大类数据采集情形:其一为数据信息主体通过向风控商户授权间接授权该公司使用,其二为该公司通过爬虫相关技术主动从公开信息源爬取信息后整理。两类数据获取及使用行为关涉个人信息及隐私权保护,进而影响到公司现时及未来业务的合规性问题。
大数据采集所涉法律法规根据前述公司业务模式及流程,公司大数据风控业务主要涉及到数据采集、数据分析、数据存储、数据运算、数据输出环节,该类环节涉及到互联网服务提供商(ISP)对互联网用户的个人隐私、商业秘密、数据安全等的保护问题,经梳理现行与大数据信息采集等业务的相关法律法规及其要点如下:
(一)《规范互联网信息服务市场秩序若干规定》(工业和信息化部令第20号)
2012年3月15日生效的《规范互联网信息服务市场秩序若干规定》(工业和信息化部令第20号,以下简称“20号文”)就互联网信息服务提供者信息搜集规定如下方面:
1、搜集须经许可:未经用户同意,不得搜集与用户相关、能够单独或者与其他信息结合识别用户的信息(“用户个人信息”),但法律法规另有规定除外;
2、限定搜集范围和用途:经用户同意搜集用户个人信息的,应当明确告知搜集和处理用户个人信息的方式、内容和用途,不得收集其提供服务所必需以外的信息,不得将用户个人信息用于其提供服务之外的目的;
3、用户个人信息保障:互联网信息服务提供者应当加强系统安全防护,妥善保管用户个人信息,未经用户同意,不得向他人提供用户上载信息,但是法律法规另有规定的除外。
(二)《全国人民代表大会常务委员会关于加强网络信息保护的决定》
2012年12月28日全国人民代表大会常务委员会专门出台《全国人民代表大会常务委员会关于加强网络信息保护的决定》,明确“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”,主要要点如下:
1、不得窃取或非法获取公民个人电子信息,不得出售或非法提供公民个人电子信息;
2、网络服务提供者在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,公开收集、使用规则,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。
3、网络服务提供者应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。
4、违反本决定行为的,依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚;构成违反治安管理行为的,依法给予治安管理处罚。构成犯罪的,依法追究刑事责任。侵害他人民事权益的,依法承担民事责任。
(三)《中华人民共和国网络安全法》
2016年11月7日发布的《中华人民共和国网络安全法》(以下简称“网络安全法”)已于2017年6月1日生效,《网络安全法》明确“个人信息”是指是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等,就网络服务中的个人信息保护问题作出系统规定如下:
1、 鼓励大数据产业:国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展;国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认;
2、 保护个人信息:网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
3、 合法收集使用个人信息:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
4、 不得向他人提供个人信息:网络运营者不得泄露、篡改、毁损其收集的个人信息,未经被收集者同意,不得向他人提供个人信息,但经过处理无法识别特定个人且不能复原的除外。
5、 法律责任:网络运营者、网络产品或者服务的提供者违反规定侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
(四)《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》
与《网络安全法》同期生效的为《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称“《个人信息刑事案件司法解释》”),就《中华人民共和国刑法》第二百五十三条之一[1]所涉的“侵犯公民个人信息罪”及第二百八十六条之一[2]所涉的“拒不履行信息网络安全管理义务罪”相关犯罪构成要件作出明确规定,要点如下:
1、未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。
2、网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。
大数据业务司法判例基本立场公司目前业务的数据搜集、存储、使用在本次《网络安全法》实施背景下,所涉及的主要问题系公司大数据业务与数据信息主体个人隐私权的保护问题。现时司法判决文书 所确定的基本司法实践立场,可对公司业务合规整改提供一般性参考。
(一)网络用户协议作为格式合同的不利解释及合同相对性问题——(2015)宁民辖终字第176号:上诉人浙江淘宝网络有限公司与被上诉人刘文林买卖合同纠纷管辖权异议
就淘宝买家刘文林与淘宝卖家上海钧钛公司出售假冒及不合格商品纠纷案件管辖权问题,淘宝公司作为连带责任人,认为被上诉人刘文林(淘宝买家)在注册淘宝用户时,点击同意了《淘宝服务协议》,在该等协议中约定被告所在地人民法院为第一审管辖法院。
就《淘宝服务协议》中所涉争议解决条款(内含管辖权约定)的适用问题,二审法院结合《合同法》、《最高人民法院关于适用<中华人民共和国合同法>若干问题的解释(二)》的相关规定,阐述观点如下:
实际生活中,网民或用户对于用户协议大多不会认真阅读,而是直接点击同意,甚至不会注意到协议管辖条款的存在。本案中,当事人提供的《淘宝服务协议》打印本有19页之多,协议管辖条款夹杂在繁琐资讯中,处于末页,虽变为黑体但字体均较小,且未置于突出位置易为用户忽略。对此可认定不符合采取“合理方式予以提示”的情形。
在线客服
微信
