文/杜明懷,北京和昶律師事務所
2019年的最後幾個月,互聯網數據行業風聲鶴唳,之前備受資本市場青睞的大數據行業不斷承壓。9月6日,杭州魔蠍科技高管被警方控制,其提供的數據服務基本停擺;同日,多方消息稱,新顏科技高管被帶走調查,目前公司CEO黃向前已被檢方批捕;隨後,有消息稱警方入駐了聚信立辦公場。9月底,消息稱同盾科技的爬蟲業務負責人被帶走配合調查。10月份,51信用卡被查,當時即有網傳消息稱該事件與51信用卡不當爬蟲行為有關。
在整治行動開始之前,大數據行業都被認為是互聯網行業的新風口。許多企業憑借其大數據業務得到了眾多投資者的青睞與追捧。如今,刑事法律風險,似乎一下子成為了大數據行業的注腳。與此同時,利用爬蟲收集其他信息的互聯網企業,也頻頻被傳涉案。如何理解及避免數據運營中可能涉及的風險,成為了眾多企業關注的焦點。
一、數據運營的刑事風險
從數據的運營過程來看,可分為收集、利用、管理三個階段,相關從業者在不同階段也可能面臨不同的刑事風險。數據可以分為與個人有關的個人數據(或個人信息)及其他的非個人信息。個人信息的來源必須是合法的,也就是說被授權收集的。但是,即使是合法獲取的個人信息,若非法利用仍可能有刑事風險;同理,單純的個人數據管理不當也可能導致刑事風險。相比之下,除個人信息外的其他數據相關的刑事風險,突出發生在數據獲取環節。
1、違法收集數據的刑事風險
1.1個人信息獲取階段的刑事風險:公開渠道/用戶授權抓取≠合法合規
目前來看,互聯網領域的數據有以下幾個主要來源:(1)公開渠道抓取;(2)經用戶授權獲得;(3)從通過數據共享從第三方獲得。前兩個渠道是目前大數據行業主要的原始數據來源,也被認為是比較安全的獲取方式。第三方共享獲取數據,則屬於數據的後續利用,屬於廣義的利用數據而非原始的獲取數據。
1.1.1收集公開的個人信息也需獲得權利主體同意
由於其便利性,爬蟲的應用非常廣泛。許多爬蟲從公開信息中獲取了個人信息,並將其與授權數據結合,從而使數據收集方對個人的信息掌握更加全面。然而,需要注意的是,所有個人信息的收集,也就是能單獨或與其他信息結合識別具體個人的信息,比如,身份證號、電話號碼、職業、工作部門等信息,都必須首先獲得被收集者的同意。也就是說,即使是公開信息,只要其屬於個人信息,收集者就應當首先獲得授權。
1.1.2收集個人信息的原則:合法、正當、必要
1.1.2.1用戶授權≠收集合法合規
隨著個人數據保護意識的提升,企業通常在收集用戶信息時會形式地要求用戶“點擊同意”,並以此認為其獲得了用戶授權。然而,現實中,不乏即使獲得用戶同意依然發生刑事風險的企業。究其原因,是因為法律要求獲取用戶數據時,不止需要客戶點擊同意,還應當(1)確保收集的目的合法;(2)用戶對授權的內容及目的應當有充分認知,(3)遵守必要性原則,不得過度收集數據。
例如,卷入數據問題卷入刑事風波的知名大數據平台企業同盾,在其個人數據獲取來源上,即做到了所有數據取得用戶授權。公司相關負責人在接受採訪時曾表示:“同盾的數據源主要是合作方上傳的行為待分析數據、及在公開網絡上爬取的信息。”“在與合作方簽訂的合約中,同盾要求合作方在同盾雲平台上做風險分析的時候必須取得終端用戶授權。同盾旗下數聚魔盒主要通過“爬取互聯網公開數據+打通同盾體系內數據+用戶授權數據采集”的方式作出風險分析判斷。”雖然同盾目前的具體案情還未披露,從目前掌握的情況來看,先不論其是否有非法利用數據及非法利用數據可以單獨成罪的情況,若其收集數據就是為了將相關數據用於非法用途,則其收集的目的即不合法;此外,從收集的數據廣泛程度來看,其可能還涉及過度收集個人信息的問題;這兩種情況,都可能導致其收集行為不合法。
1.1.2.2用戶授權:用戶充分認知收集目的與內容+不過度收集
所謂的用戶授權,需要用戶在充分認知的基礎上,也就是對授權的內容和後果充分認識的基礎上,做出明確的同意表示。這就需要征求用戶授權時應當公開使用收集規則,並明示收集的目的、方式和範圍。根據現行規定,超範圍收集、征求同意時默認用戶同意隱私政策、隱私政策難以訪問、用戶不同意收集非必要個人信息便拒絕提供業務功能、超過實際需要的頻度收集個人數據等問題,都可能被認定為未取得合法授權,從而可能面臨行政處罰甚至其他法律風險。
在此,需要特別注意的是,從實際情況來看,違反必要原則過度收集信息,在我國相關行業內並不鮮見。所謂過度收集,即違反了“不得收集與其提供的服務無關的個人信息”的規定。
2019年央視的一個節目中,曾披露某數據公司涉嫌違法收集個人數據。而從下述報導中的截圖可知,該公司獲得的用戶授權可謂十分廣泛。
該數據公司獲得授權的範圍可謂相當廣泛:
雖然目前該案的相關具體信息尚未公開,但從目前已披露的信息來看,該數據公司很可能涉嫌過度收集數據—該大數據平台收集並處理的數據,上到失信人名單,下到親朋好友聯繫方式,可謂五花八門,應有盡有。
當然,從目前的情況來看,涉嫌過度收集並發生刑事風險的大數據平台,往往還涉嫌非法利用數據,在我們目前掌握的案例中還未發現單純因過度收集而導致刑事風險的情況。這可能是因為過度收集與完全沒有授權的非法獲取在違法程度上還是有區別,刑法目前只是把後者納入處罰範圍,但是不能排除監管措施進一步收緊之後,執法的強度發生改變,相關企業還是應以“最小夠用”為原則,不要輕易越過法律的紅線。
1.2違法收集數據的其他刑事風險
除收集個人信息之外,違法收集其他數據也可能構成犯罪。利用爬蟲收集數據在互聯網領域行之已久,其中最常見的當屬搜索引擎。出於競爭或其他考慮,許多網站采取各類措施禁止爬蟲爬取其信息。與此相對的,是許多爬蟲開發者采取各種方式繞過相關網站的限制。當被收集網站限制爬蟲抓取數據時,繞過限制抓取數據可能涉嫌非法侵入計算機信息系統罪、非法獲取計算機信息系統數據罪。
此外,如果利用爬蟲收集文學網站的文章等並加以利用,還可能涉嫌侵犯著作權罪。當收集行為對被收集網站造成影響(如爬蟲爬取頻率過高對網站運行造成影響),還可能涉嫌破壞計算機信息系統罪。
2.非法利用數據可能導致的風險
被收集整理的數據,既可能被收集者自己利用,也可能被收集者以某種形式與第三方共享。
如上所述,除個人信息以外的其他數據,其風險突出發生在數據收集領域,即未經準許收集數據。但合法收集數據也並不代表可以無限制的利用數據,收集者應尊重數據權利主體的授權範圍,不得突破法律規定和用戶授權使用相關數據,侵犯他人或社會利益。
就個人信息而言,若收集者以違法犯罪目的收集數據,首先就違反了數據收集的合法性原則,屬於非法獲取數據,涉嫌侵犯公民個人信息罪。當收集者將收集的個人信息用於諸如網絡詐騙、714高炮等情形時,其還可能構成諸如詐騙罪等其他罪名。
特別提醒的,是平台收集者的刑事風險。對於大數據平台公司而言,其主營業務往往是將其收集的個人信息共享給第三方獲取利益。其數據使用、交易中最主要的刑事風險,是個人信息被第三方用於犯罪活動中。而這也是今年下半年眾多大數據平台出現刑事風險的最主要原因。雖然很多平台以對第三方的犯罪行為不知情作為其抗辯理由,但這個理由很難被采信。共享個人信息用於犯罪,既可能涉嫌侵犯公民個人信息罪,也可能涉嫌各類具體的罪名:如當大數據平台在明知的情況下提供數據幫助套路貸實施犯罪時,其可能涉嫌敲詐勒索、詐騙等犯罪。當大數據平台提供的是一套完整的工具時,還可能涉嫌幫助信息網絡犯罪活動罪。還有一種情況,是平台公司將其獲取的數據用於征信等需要獲得特殊許可的業務,可能涉嫌非法經營罪。
下圖這種情況,很難說平台方對相關行為不知情
3.數據管理不當的法律風險
在收集、使用數據之外,數據平台還有妥善管理的義務,且受到監管層面的監督。管理不善時,也可能涉嫌有民事責任甚至是刑事風險(如拒不履行信息網絡安全管理義務罪)。
4.有關傳統企業數據風險的提示
一提起數據,許多人都會聯想到個人信息,繼而聯想到互聯網,某種角度來看,近年來規模日漸龐大的數據行業的參與者,也往往是互聯網企業。而最火熱的數據應用,也集中在個人信息領域。有關個人信息的互聯網應用,也是數據相關刑事風險的集中領域。需要指出的是,所謂的數據,既包括互聯網領域的數據,也包括傳統企業以名冊、用戶資料、技術手冊等方式存在的數據。實際上,許多傳統企業在運營過程中,往往掌握了大量的數據尤其是個人信息。與互聯網企業一樣,這些數據的不當運營,也可能導致刑事風險。從實踐來看,傳統企業在數據領域出現的主要刑事風險是涉嫌侵犯公民個人信息罪和非法經營罪、知識產權相關犯罪等,若相關數據以網絡形式保管或運營,則其刑事風險與上述互聯網企業的風險並無太大差別。
二、風險防控建議
綜上所述,相關從業者可以采取以下措施防控風險:
(1)實施合規策略:對數據收集、存儲、使用進行全流程地嚴格管理,保證數據的合法性和安全性。
(2)積極響應監管要求:對監管的要求,及時跟進並向監管機構報告,根據問題調整合規措施。
(3)對於大數據行業的企業來說,考慮到相關規定中都是針對個人數據,並明確排除了“匿名化”數據處理的情形,加大數據脫敏技術的研發,應用或向第三方提供脫敏數據,或許會成為監管鼓勵的方向。
(4)積極跟進、實施新法規的要求。隨著公眾與立法機關、行政機關對信息安全的日益重視,近兩年有關信息安全保護的法規不斷出現,近來甚至有不斷加速的跡象。僅在2019年下半年,相關部門就頒布了《關於辦理利用信息網絡實施黑惡勢力犯罪刑事案件若乾問題的意見》、《關於辦理非法利用信息網絡、幫助信息網絡犯罪活動等刑事案件適用法律若乾問題的解釋》等多項規定。從目前的趨勢來看,立法和監管措施趨於嚴密和嚴格。只有切實跟進新的法律法規,遵守相關監管要求,才能最有效地避免與數據相關的刑事法律風險。
三、總結
從國防、金融到人工智能,過去幾年,數據的價值被充分認識,成為了資本市場的寵兒,受到眾多投資者的追捧。Facebook的數據洩露、大數據對美國大選的重要影響,讓人們意識到如果不對數據進行嚴格管理,它就像是被從潘多拉魔盒中釋放出來的魔鬼,後患無窮。監管的收緊,疊加資本寒冬與應用前景的瓶頸,數據行業迎來了它的寒冬。但無論如何,數據的巨大潛力已噴薄而出,不可遏製。我們相信,隨著法律法規的進一步細化與完善、數據行業的不斷自我規範,數據應用必將更加廣泛,也更加合理。
(本文作者介紹:北京和昶律師事務所是一家以刑事辯護和刑事風險防控為主的專業型、研究型律師事務所)
香港九龍灣馬來街興發大廈15樓D室