“ABC”时代企业数据合规问题思考——数据收集
(本文系知产力独家首发的稿件,转载须征得作者本人同意,并在显要位置注明文章来源。)
引言
伴随人工智能、大数据分析、云计算的持续发展,“ABC”(AI,Big Data,Cloud,简称ABC)时代已经来临。数据逐渐成为推动数字经济发展的核心生产要素,华为、搜狗等国内企业及微软、Facebook等全球科技巨头纷纷将目光聚焦人工智能、大数据分析、云计算领域,《经济学人》更将数据类比为21世纪的新石油。未来的竞争,将是在云端之上,依赖大数据的AI竞争。[1]当前,《网络安全法》《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等法律法规和司法解释实施以来,网络安全、数据合规与隐私保护问题已受到网信办、工信部、公安部等监管部门的高度重视,《个人信息保护法》的发布也进入到倒计时。在探索数据资产商业化的过程中,如何确保合法合规地获取、处理数据不可避免的将成为企业关注的核心与重点。
一、
数据收集的主要来源
数据收集是指企业根据自身经营发展需求从个人用户、网络平台或其他第三方收集相关的数据。数据收集是数据全生命周期的起点,是数据后续处理应用、商业化开发的基础,企业收集数据的来源主要包括:
• 通过与个人信息主体交互或记录个人信息主体行为等直接收集,如网络服务提供者运营APP时,由用户直接按照标准的格式上传个人信息(姓名、性别、职业、身份证件、住址、联系方式等),系统自动存储这些信息;
• 从公开或半公开网络平台收集数据,如部分企业会自行或委托第三方通过爬虫技术或API等方式从公开网络平台或半公开网络平台收集数据;
• 通过合作方共享、转让间接收集数据。如美团收购摩拜单车后,双方通过一封确认函,告知用户将实现账号互通,美团将共享用户在摩拜端的各类数据。
(摩拜App弹窗页面)
需要注意的是,如果产品或服务的提供者仅仅提供工具供个人信息主体使用,而不对个人信息进行访问的,一般不认定为数据收集行为。比如,离线导航软件在终端获取用户位置信息后,如不回传则不属于数据收集行为。
二、
数据收集的潜在风险
数据合规过程中涉及的法律规范繁杂,企业在数据收集过程中如果触碰法定的警戒线,可能会面临不正当竞争、行政处罚、刑事犯罪等多重风险。下文重点结合相关典型案例就企业数据收集涉及的不正当竞争及刑事犯罪两块风险进行阐述。
1.不正当竞争风险
企业收集数据过程中涉及不正当竞争的表现形式主要分为两种,一种是企业运用网络爬虫技术或通过API等方式收集其他企业数据,另一种是数据盗用行为[2],即未经授权收集的数据来源于竞争者大量劳动,收集该数据后会对竞争者的产品或服务市场产生实质性影响。
案例链接1 : 新浪诉脉脉不正当竞争纠纷
微梦公司经营的新浪微博为社交媒体平台,淘友公司经营的脉脉软件和网站是一款基于移动端的人脉社交应用,双方曾通过新浪Open API进行合作。后微梦公司发现淘友公司在其获得开放授权的微博客户头像、名称、标签之外,还大量抓取、使用了教育信息和职业信息。合作终止后,淘友公司仍继续使用双方合作期间获取的新浪微博用户信息。微梦公司遂以不正当竞争为由将淘友技术公司与淘友科技公司诉至法院。
一审法院认为,脉脉在合作期间抓取、使用涉案新浪微博用户的职业信息、教育信息以及在合作结束后使用涉案新浪微博用户的头像、名称、职业、教育等信息的行为,一方面不符合微博《开发者协议》的约定,存在超出授权许可范围抓取教育和职业信息的情况;另一方面未取得用户许可即获取并使用涉案非脉脉用户的相关新浪微博信息,因此具有不合法性。同时,包括手机号在内的相关用户精准信息与新浪微博之间的对应关系,为新浪微博用户信息构成中重要的组成部分,这种对应关系也是微梦公司重要的经营利益所在。脉脉将该对应关系在软件一度人脉中予以展示,使大量非脉脉用户的新浪微博信息及好友关系展现在脉脉软件中,以便于脉脉软件拓展自身用户群,获取经济利益,具有一定恶意。[3]二审法院认为,淘友技术公司、淘友科技公司获取新浪微博信息的行为违背了在0pen API开发合作模式中第三方通过0pen API获取用户信息的“用户授权”+“平台授权”+“用户授权”三重授权原则,违反了诚实信用原则和基本商业道德,不具有正当性。[4]
进入知产宝数据库,
查看完整判决。
(一审)
进入知产宝数据库,
查看完整判决。
(二审)
案例链接2 : 大众点评诉爱帮网不正当竞争纠纷
汉涛公司经营的大众点评网与爱帮聚信公司经营的爱帮网均为网络分类信息查询服务。汉涛公司发现爱帮网在经营中大量复制、甚至直接摘取大众点评网上的商户简介及用户点评内容,以不正当竞争为由将爱帮聚信公司诉至法院。
一审法院认为,大众点评网的商户简介和用户点评系汉涛公司搜集、整理和运用商业方法吸引用户注册而来,汉涛公司为此付出了大量的人力、物力和时间等经营成本,由此产生的利益应受法律保护。爱帮网未付出劳动、未支出成本、未做出贡献的情况下,直接利用技术手段展示大众点评网搜集、整理的商户简介和用户点评,并以此获得商业利益,这种“不劳而获”和“搭便车”的行为,违反了诚实信用原则和公认的商业道德,构成不正当竞争。[5]二审判决同样认为,汉涛公司通过商业运作吸引用户在大众点评网上注册、点击、评论,并有效地收集和整理信息,进而获得更大的商业利润,该合法权益应受法律保护。爱帮网对大众点评网信息的使用已超出合理范围,已经达到了网络用户无需进入大众点评网站即可获得原网站足够信息的程度,其引用造成了对大众点评相应市场内容的实质替代,对汉涛公司的合法利益造成损害,构成不正当竞争。[6]
进入知产宝数据库,
查看完整判决。
(一审)
进入知产宝数据库,
查看完整判决。
(二审)
案例链接3 : 淘宝诉美景不正当竞争纠纷
淘宝公司系“生意参谋”零售电商数据产品的开发者和运营者,该数据产品通过记录、采集用户在淘宝电商平台(包括淘宝、天猫)上浏览、搜索、收藏、加购、交易等活动留下的痕迹,进行深度加工处理,最终形成的统计、预测型衍生数据可为商家店铺运营提供参考。在该数据平台经营过程中,淘宝公司发现,美景公司运营的“咕咕互助平台”及“咕咕生意参谋众筹”网站,通过提供远程登录服务的方式,招揽、组织、帮助他人获取“生意参谋”数据产品中的数据内容,并从中获益。
一审法院认为“生意参谋”数据产品系淘宝公司耗费大量人力、物力、财力,经过长期经营积累形成,数据收集、整理、使用具有合法性,经过深度开发与系统整合,信息可供消费者参考、使用,是网络运营者的市场优势来源,淘宝公司对“生意参谋”大数据产品享有独立的财产性权益。美景公司未付出劳动创造,即将“生意参谋”数据产品直接作为获取商业利益的工具,其开发的“咕咕互助平台”对原告数据产品构成实质性竞争,这种不劳而获的“搭便车”行为违背了基本的商业道德,构成不正当竞争。[7]二审法院认可了一审判决的观点,认定美景公司的行为具有不正当性。
进入知产宝数据库,
查看完整判决。
2.刑事犯罪风险
收集数据如果越过刑法规定的红线,情节严重的,企业及其责任人还会面临刑事犯罪风险,具体包括:
•网络爬虫不能有绕过或突破反爬技术的功能,如果网络爬虫具备绕过或突破对方反爬技术措施的功能,则极易被认定为侵入计算机信息系统的程序,情节严重的,可能构成非法侵入计算机信息系统罪;
•违反刑法相关规定,通过网络爬虫访问收集一般网站所存储、处理或传输的数据,可能构成非法获取计算机信息系统数据罪;
案例链接4 : “车来了”多名高管因非法获取计算机信息系统数据被依法追究刑事责任
谷米公司与元光公司分别为实时公交信息查询APP“酷米客”和“车来了”的运营者。谷米公司为提高公交信息准确度,与公交公司达成合作,通过安装定位器获取实时公交位置数据。元光公司为避免公交信息延迟、获取精准数据,破解了谷米公司的酷米客APP加密系统,并利用爬虫技术爬取了酷米客APP内实时数据。元光公司邵某某、陈某、刘某某、刘某某等人最终因非法获取计算机信息系统数据被依法追究刑事责任。
案例链接5 : 2017年秀淘破解今日头条服务器的防抓措施,造成今日头条技术服务费损失,法院最终认定其触犯非法获取计算机信息系统数据罪。
•使用网络爬虫频繁访问目标数据服务器,导致短时间内访问流量过大,系统响应变缓,不能正常运营的,可能构成破坏计算机信息系统罪;
•收集的数据属于著作权法意义上的作品的,可能构成侵犯著作权罪;
•收集的数据已经被采取保密措施予以保护的,可能构成侵犯商业秘密罪;
• 窃取或者以其他方法非法获取公民个人信息的,可能构成侵犯公民个人信息罪。
案例链接6 : 2018年7月,山东临沂警方破获了因运营商内鬼倒卖数据引发的特大侵犯公民个人信息案件。警方在侦查中发现,新三板上市公司数据堂购买了该批涉案数据,进而逮捕了包括该公司一名副总裁在内的多名高管。
三、
数据收集的合规思考
为了确保收集数据合法合规,企业应重视数据合规方式及应对措施,做好数据处理相关记录以及保存能够证明合规的证明材料。
通过与个人信息主体交互或记录个人信息主体行为等直接收集数据的,须确保收集数据时已经取得个人信息主体对收集、使用目的、方式与范围的充分授权许可,并符合数据收集的必要性原则,不得超过授权范围使用。通过公开或半公开网络平台收集数据的,网络爬虫应严格遵守目标网站设置的 robots协议,注意目标网站是否事先设置反爬协议或采取反爬技术措施。同时,审查所抓取的内容是否属于用户个人隐私或者他人的商业秘密的,如果涉及个人隐私、商业秘密的,应及时停止并删除。尤其需要注意的是,尽量避免爬取他人核心主营业务的数据,以免因损害其实质性商业利益而构成不正当竞争。通过Open API方式收集数据的,应严格遵守“三重授权原则”,即开放平台方直接收集用户数据时需获得用户授权,第三方开发者通过开发平台Open API接口间接收集用户数据的,还需获得用户授权和平台方授权,“用户授权+平台方授权+用户授权”须同时满足,缺一不可。使用第三方SDK时,须对SDK做安全审查,确保充分了解 SDK 的搜集信息范围。此外,通过受让、共享等方式间接收集的数据,应事先进行关于数据的尽职调查,关注数据转移方的资质及数据来源的合法性,要求对方就其转让、共享数据的充分授权出具有效的承诺与相关证明,确保已获得的授权范围能够满足企业处理数据的业务需求。
参考文献
【1】《企业间数据竞争规则研究》,腾讯研究院田小军、曹建峰、朱开鑫。
【2】数据盗用理论起源于1918年美国联邦最高法院审理的“International News Service v.Associated Press“案。See International News Service v.Associated Press, 248 U.S.215(1918)。
【3】参见(2015)海民(知)初字第12602号民事判决书。
【4】参见(2016)京73民终588号民事判决书。
【5】参见(2010)海民初字第24463号民事判决书。
【6】参见(2011)一中民终字第7512号民事判决书。
【7】参见(2017)浙8601民初4034号民事判决书。
(本文仅代表作者观点,不代表知产力立场)