近日,大数据入刑第一案:杭州魔蝎数据科技有限公司侵犯公民个人信息罪案件甚嚣尘上,一时间爬虫抓取数据和留存数据的合法性引发热议,我们是否已经被数据捆绑,进而陷入到个体被虚拟复制的危机之中?又是否我们其实已经成为网络上的透明人,无非还在现实中残存一具需要不断被物欲满足的肉身而已?在个体信息保护形势日益严峻的风口,数据安全保护立法呼之欲出。
《中华人民共和国数据安全法》(“数据安全法”)已于2021年6月10日公布,并将于当年9月1日正式实施。数据安全法是我国首部针对数据利用、数据安全保护出台的专门性法律,该法规定了数据处理活动是以保障安全为前提,以数据利用为目标,适用对象既包括个人、组织,也包括国家。数据安全法对数据的相关概念进行了界定,即数据处理对象是信息,数据的行为形式是记录,数据的呈现方式是电子或其他方式;数据处理的活动包括收集、存储、使用、加工、传输、提供、公开等七种法定方式;数据安全则包括“有效保护”、“合法利用”,以及具备“保障持续安全状态”的能力三个范畴的具体内容。
数据安全法同时明确了国家保护数据权益,鼓励依法合理利用,保障数据自由流动,促进数字经济发展方针,包括政务数据在内的各类数据利用既需要遵循法律和传统道德的规制,又需要加强数据安全的保护。
互联网线上经营活动日益频繁,对商业产品数据进行适当地划分有助于我们厘清保护对象的范畴,做到有的放矢。
产品数据通常是指以电子或非电子形式对各种数据活动或信息的记录,包括政务数据平台在内的各类大数据平台的产品数据一般既作为服务提供的内容,又可能作为商品流通;有些可能作为直接的交易标的,另一些则视同原材料被添付进行二次加工或与其他产品进行结合成为新的数据商品。例如政府信息平台中的个人身份证、驾驶证、结婚证等数据就是作为政务平台提供服务的数据,而经过个人特别授权后出现在某常见大数据平台页面的保险信息则可能属于信息被交易后,经过处理而收到的推送信息。在计算机算法应用领域,个人数据已成为事实上的交易标的,个人以其购买习惯、浏览痕迹等数据信息,去换取了服务页面的各类推送,相应节省了时间或其他成本。这种有关数据的交易是深层次的,与传统的金钱换物或者以物易物绝然不同,数据交易可谓之无形但却无处遁形的可见交易。
关于数据交易的进一步分析在此不做展开,本文将针对互联网大数据平台网站,结合数据安全法的规定,对产品数据的各种数据活动涉及的行为及合规风险进行简要分析。
在与各行业结合的大数据平台中,功能与领域各异的数据产品涉及的数据内容千差万别,但各类产品的数据活动都无外乎数据收集和数据使用。常见的产品数据获取方式可分为自行收集和外部获取,具体而言,获取行为大致包括数据抓取、数据收集、数据购买、数据沉淀等。
数据平台自行获取数据的方式之一数据抓取,是指通过网络爬虫软件按照预设的算法逻辑自动采取平台的目标网站网页数据。网络爬虫软件从自身技术层面来说,尚未被禁止,但就抓取行为本身,通常会因目标数据种类或性质的不同而受到法律法规不同程度的限制。根据抓取数据的公开程度的不同,我们可将爬取的对象数据分为公共数据、公开数据、半公开数据和内部数据。
公共数据是指各级行政机关以及履行公共管理和服务职能的事业单位在依法履职过程中,采集和产生的各类数据资源。公共数据本身带有公共属性的特征,由全体社会成员共享,根据数据安全法,国家将加大力度建设电子政务,逐步提高政务数据的科学性、准确性、时效性,运用数据服务经济社会发展,除依法不予公开的,都应当及时、准确公开。故个人、组织在使用公共数据时,可以在合理使用范围内,确保安全性的前提下进行适当的数据复制。另外,针对有些政府公共网站明确列示出“公布信息仅限于公众在线自助查询,单次使用任何个人和组织不得通过任何手段爬取、引用、缓存本页面内容”等内容的声明,应当引起重视,注意避免采用爬取手段获取网页数据。
公开数据与半公开数据尚没有统一的定义,本文所指公开数据指一般组织或个人在互联网上已公开、社会公众均可获取的数据,例如包括企业名称、法人代表、注册日期、企业联系人、联系地址、邮政编码、邮件地址、企业规模、经营范围、注册资金、年营业额、网址等基础信息在内的企业信息,一般可不经特别授权即进行该等公开数据的爬取。本文中半公开数据指互联网其他网站内登录即可浏览并复制的数据。爬取半公开数据应满足该网站用户协议的相关数据爬取条款的约定,并注意该网站Robots协议(如声明)中的爬取范围的规定以及遵守该网站反爬技术措施(如有)的设置。
如该网站用户协议和Robots协议中约定不得对所需公开数据和半公开数据进行爬取,或设置反爬技术措施,一般组织或个人不得对其进行爬取,否则将面临承担侵权或违约,甚至是承担刑事责任的法律风险。如通过某些程序虚拟用户身份或绕过登录系统爬取半公开数据,将面临下述爬取内部数据的法律风险。
内部数据指企业内部网站等局域网间或内部存储介质上的非公开数据,该数据不得进行爬取。如通过破解爬虫软件爬取目标网站内部局域网数据,将面临构成“非法获取计算机信息系统数据罪”或“破坏计算机信息系统罪”的刑事风险,“侵犯商业秘密”(爬取商业模式相同或近似的目标网站)或“妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行”(通过破解爬虫爬取目标网站的内部系统数据)的不正当竞争情形。
除通过软件程序设置算法自行爬取外,通过手动翻页的形式浏览、复制、下载、整合数据或信息的方式也可以自行获取前述的公共数据、公开数据和半公开数据。该等手动收集上述来源数据的行为并不直接违反相关法律法规的规定,但应注意数据相关知识产权归属明晰以及运用该数据本身不应构成不正当竞争的情形。
产品数据外部获取的主要方式是数据购买,购买数据应注意出售方资质、数据对象和内容的确认环节的法律风险。在签订采购协议前,应对数据出售方进行必要资信及条件的尽职调查,调查数据出售方是否存在行政或刑事处罚记录、是否资信良好、其产品及服务是否符合法律、行政法规及相关国家标准的强制性要求,对数据出售方经营范围和行业资质的合法合规性进行确认,并将数据出售方业务范围与所提供的数据范围进行对比确认,以及数据出售方是否开展安全认证或检测、是否符合网络安全等级保护、信息保护等要求,以免给带来商业风险。如数据出售方并非数据产生方,还应当一并审查数据产生方的上述资质情况,并确保数据出售方有权出售上述数据。
其次,如果相关数据涉及关键信息基础设施领域,需要对所采买的数据对象和内容进行确认,不得购买未经审查和涉及个人信息的违禁数据。
采购网络产品和服务可能影响国家安全的,应当按照网络产品和服务安全审查办法的要求,通过网络安全审查,并与提供者签订安全保密协议。如违反该等义务,将面临高额的罚款、停业等行政处罚乃至“不履行信息网络安全管理义务罪”刑事责任风险。
涉及购买个人信息的数据,网络运营者仅能购买经过处理后无法识别特定个人且不能复原的脱敏数据;若未经信息主体同意,数据接收方购买具体可识别的公民个人信息,而将面临没收所得并处高额罚款的行政处罚,情况严重的将构成“侵犯公民个人信息罪”。若经信息主体同意,数据接收方通过开放平台接口(Open API)获取用户信息时应坚持“用户授权”(用户在注册时的普通授权)+“数据出售方授权”+“用户授权”(就特殊使用事宜的进一步知情和同意)的三重授权原则。数据接收方未经数据出售方授权且未经用户同意,获取并使用数据出售方用户信息的行为,将可能构成对数据出售方的不正当竞争行为,而面临需承担损害赔偿责任的后果。
另外,针对存在商业及法律风险的数据,大数据平台运营者在购买时可通过购买合同中的承诺与保证条款来约束出售方,在合同中出售方进行数据合法性或资质确认等相关保证,平台运营者可以在形式上合法地获取数据,但通过合同的承诺与保证并不能完全免除法律法规的强制性规定添付予购买方的法律风险和侵权风险。
最后一类产品数据获取的行为“数据沉淀”与平台用户相关联,基于数据产品的使用行为产生,数据沉淀指用户使用大数据平台的分析软件和/或服务产生信息内容的行为。对于上述沉淀数据,平台用户协议可以约定平台运营者对其所有信息内容(包括但不限于文字、图片、音频、视频、图表、界面设计、版面框架、有关数据或电子文档等)享有占有、使用、收益、处分之权利,该数据一经产生,平台即可获取并使用,但应明确该等数据产生的行为基于平台与用户之间的协议。如沉淀数据并非用户基于协议使用平台的行为而产生,为避免权属争议,应当修订用户协议和隐私政策使沉淀数据归属于平台。
大数据平台运营者对通过上述行为获取的数据进行数据使用,分为数据筛选及发布、开放用户对数据的访问。平台运营者将对获取的数据进行筛选,发现并纠正数据文件中可识别的错误,包括检查数据一致性,处理无效值和缺失值等,经过数据筛选程序后,将数据上传到相应平台页面中进行发布。平台运营者分析利用所掌握的数据资源,发布市场预测、统计信息、个人和企业信用等信息时,应注意不得影响国家安全、经济运行、社会稳定,不得损害他人合法权益。
数据产品发布后,平台运营者可对经授权的用户开放平台已有数据的访问,包括通过爬取获取的公共数据、公开数据、经手动复制的半公开数据、及已购买的数据和平台上沉淀数据,用户可开放进行浏览、复制、下载并分析制作表格(如有)等内容,但应再次注意,上载到平台的数据,任何时候都不应包括特定自然人的个人信息及隐私信息,亦不应当有危害国家安全等违反网络安全法的内容或信息。同时,根据网络安全法,大数据平台运营者应当定期进行风险评估,并向网安监管部门报送评估报告,至少包括1)重要数据的种类、数量,2)开展数据处理活动的情况,3)该等数据面临的风险及应对措施等内容。
在数据使用的最后一个环节“开放用户对数据的访问”中,为了实现产品或服务的业务功能,将涉及对用户数据的收集和使用。平台运营者应当制定并公开收集使用规则,可以包含在网站的隐私政策中,也可以其他形式提供给用户,但都应征得用户的明确同意;涉及收集重要数据或个人敏感信息的,应向所在地网信部门备案。在向他人提供用户数据时,需将数据处理至无法识别特定个人且不能复原的程度。
互联网时代,随着信息技术与产业发展的深度融合,数据成为企业的重要战略资源,各行业的用户信息、交易数据及企业产品数据层出不穷,各类数据面临的现实安全风险成为亟待解决的问题。总之,由于数据可变性强、复杂性高,数据产品合规的关键在于每一环节中的行为需要考量上一环节乃至源头数据的合法性,面对具体详细的特定数据,应秉持着追根溯源的态度,逆流而上,细细查证数据的源头和相应的法律规制,避免盲人摸象式的以偏概全。数据无意识,技术唯中性,为数据立法,为未来规划。
在无形的数据海洋中不断漫灌的个体信息也好,在线下辅助的定向撮合中传播的商业产品数据也罢,如何从源头规范数据收集方式,如何能够利用并保护好真正核心的数据,期待并欢迎更多的深度探讨。
律师介绍
刘婧 高级合伙人
电话:13671553378
邮箱:liujing@gcls.cn
刘婧律师硕士毕业于华东政法大学国际金融法律学院,曾先后任职于跨国企业、证券公司和公募基金管理公司,具有复合专业背景,对基金投资、公司治理及数据合规等领域有较深理论研究和丰富实践经验,对金融产品创新及监管动态具有持续敏锐度和洞察力。
刘婧律师从业十余年,常年为各类企业提供全方位法律顾问服务,完全理解宏观监管环境对项目投资的影响,刘律师能够动态运用法律法规对各类风险事先进行细致摸排,通过梳理目标项目的商业逻辑,结合税务征收管理实践,进行更有效的风险控制。
刘婧律师尤其擅长为人民币及美元基金项目的募集设立、投资交易、基金会计等提供综合服务及风控意见,顾问客户包括证券公司、基金公司、期货公司、省级投资平台、政府引导基金等。
刘婧律师具有证券、基金、期货从业资格,并持有经认证的数据合规和风控资格证书,现任上海市律师协会基金业务委员会委员, 同时为华东政法大学资本市场研究中心研究员和上海财经大学法学院实务导师。
