第三节 数据合规违法案例
案例往往是证明一项合规内容存在风险的最有力的依据,代表了监管最重视以及整改优先级最高的合规问题,这里将以风险点为维度,汇总分析部分重点案例,帮助读者清晰地识别风险及违规后果。
1.个人信息保护政策应当征求用户明示同意
2018年伊始的年度账单事件引发全民关注。案件的基本情况是:在账单首页有一行特别小的文字“我同意《×××服务协议》”,并默认勾选了“同意”。
因为该提示字体很小且不需要用户主动做出任何表示动作,所以用户基本不会注意到该协议,在不知情的情况下“同意”了该协议的内容,也视为“同意”公司收集、使用用户的个人信息。这种默认同意的行为从极大程度上损害了用户的合法权益,也与法律法规规定的立法主旨相背驰。
国家互联网信息办公室网络安全协调局约谈了违规公司的有关负责人,明确指出其收集、使用个人信息的方式不符合发布的《信息安全技术 个人信息安全规范》(GB/T 35273—2020)国家标准的精神,要求其严格按照《网络安全法》的要求,加强对支付平台的全面排查,进行专项整顿,切实采取有效措施,防止类似事件再次发生。违规公司表示将认真听取监管机关的意见,立刻进行整改及开展内部的合规培训等工作。
2.应当合法合规地进行数据流动和交易
据新华社新媒体2018年7月8日报道,山东破获一起特大侵犯公民个人信息案,涉案的大数据行业知名企业在8个月时间内侵害数百亿条公民个人信息,主要的方式为将其传输至黑市进行非法交易,导致该公司不得不进行停牌整改,并面临承担相应的刑事责任。
这个案件可以解释为间接收集数据合规性的问题。公司主要是通过toB的场景而不是直接的toC场景进行个人信息收集,会从一些合作的运营商或者其他第三方处获得数据,在获得这些数据后,对此类数据进行相应的清洗或者一定加工处理,然后用于倒卖或者广告精准投放等。在这种情况下,公司若没有审查该数据来源的合法性,也没有核实用户授权给公司处理信息的范围,自行把这类信息提供给第三方,则可能会违反《刑法》中关于侵犯公民个人信息罪的规定。
此案例给出的启示是,在获取任何数据前,都应履行尽职调查职责,确保所获取的数据合法合规,主要的措施有:审查个人信息提供方的主体资质及个人信息来源;内部评估该提供方的业务场景是否可能获得所共享的数据;要求第三方提供用户授权凭证(个人信息保护政策、隐私条款、授权文件)等,并予以记录。企业内部应当制定严格的内部制度及权限控制流程用于规制数据“入口”及“出口”的合法合规性,规避法律红线。
3.在经过用户授权同意的情况下,收集合理必要的信息
根据江苏省消费者权益保护委员会(简称消保委)的消息,某公司的手机App在消费者安装前,未告知其所获取的各种权限及目的,在未取得用户同意的情况下,获取诸如“电话权限、定位、读取短信、读取联系人、修改系统设置”等权限。而该App作为搜索及浏览器类的应用,上述权限并非提供正常服务所必需,已超出合理的范围。因此,消保委对该公司展开约谈,但该公司并没有积极应对进行全面的整改,最终消保委为维护广大消费者的合法权益,根据《消保法》等法律法规的规定,向法院正式提起诉讼。
可以看出,仅满足征求用户同意并不是企业收集、使用个人信息的绝对避风港,还应当遵循正当、合理、必要的原则,这也是《网络安全法》早已明确提出的法定要求。同时,也体现出我国目前关于个人信息合规性问题多头执法、加强社会监督的趋向,特别是数据保护领域立法体系正逐渐趋于完善,如果企业存在被监管通知整改的情况,则建议尽早响应并完成整改。根据目前法律法规关于违规处罚方面的规定以及执法判例,监管机关对于企业一般的违规行为都会给予一定时间的整改期,但若企业仍旧拒不履行,则将面临除高额罚款外,吊销营业执照等严重处罚。
4.企业应当做好内部合规培训工作,加强员工的合规意识培训,做好权限控制措施
某房产中介公司收集了客户的个人信息,公司的内部员工将该客户的个人信息用于办理员工本人的居住证,并且其使用行为没有经过个人信息主体的同意。客户知悉后,将该公司及涉事员工一并起诉至法庭。公司辩称员工自用的行为并未经过公司授权,公司对其个人的使用行为也并不知情。
最终法院认为,该公司作为房地产经纪服务机构,员工基于其履行职务的行为,成为客户相应个人信息的合法信息使用者、处理者。因此,公司及其经纪人应当保证其对客户个人信息的使用仅系履行《房屋出售委托协议》合同目的的需要。法院通过庭审查明,公司要求员工必须将客户的身份证、房产证及合同信息拍照后上传至公司内网。公司应可以预见,这样的处理方式会加大客户个人信息发生安全问题的可能性,但公司对此没有任何实际有效的操作规程等防范措施予以风险防控,公司员工可以轻易将业主个人信息泄露并用于非法目的。
公司作为员工的管理者,未建立信息安全管理制度和操作规程,包括没有对客户信息安全风险进行提示、没有对客户敏感信息加密处理等,缺少严谨细致的管理制度来保障客户的信息安全,无法确保员工谨慎依约合法使用公民个人信息。
因此,法院认为本案侵权事实的发生与公司内部对客户、员工个人信息的保护漏洞直接相关。公司的管理行为存在过错,应承担客户个人信息被侵害的侵权责任。
这个案例有效证明了完善企业内部合规制度的重要性。大多数企业会认为,现在的监管重点依旧集中在对企业外部政策、与用户具有交互行为的场景上,企业即使不具备完备的内部制度,也不会受到什么处罚和影响。这个案例以及某公司发生的员工将源代码公开导致公司商业秘密被窃取的案件都可以证明公司内部合规文化建设的重要性。公司除了建立完备的内部指引外,还应当落实针对员工合规意识的培训,对可能大量接触用户个人信息的关键岗位员工签署单独的数据保护承诺书,并从技术层面对员工访问数据库、处理用户个人信息的行为进行管控、检测,一旦发现违规行为,应当立即采取技术措施,确保损失最小。
5.企业应当做好内部留证工作
某航空公司与庞先生的案件大家应该比较熟悉了,庞先生请他的同事小孙买该航空公司的机票,而小孙所有购票行为都是通过某网站进行的,在整个环节当中,庞先生是没有直接处理的,所有的操作都是他的助理小孙在进行,在各个平台上留的联系人信息都是小孙的。有一天庞先生收到了一条短信,说他将乘坐的飞机因故障停飞了,庞先生觉得很奇怪,因为他本人从来没有向平台提供过个人信息,平台为什么会给他发通知,而且停飞这条短信是假的,是诈骗信息,所以庞先生去法院起诉。
法院一审要求庞先生提供个人信息被泄露的证据,庞先生提供不出来,所以一审败诉。但是庞先生又继续上诉。二审法院审理后认为,要求用户个人提供一家企业的违规证据,如企业有没有违反法律要求、有没有泄露其个人信息,用户确实难以具备这个能力,所以法院将举证责任进行倒置,要求被上诉人提供证据,以证明被上诉人采取了防范措施而没有泄露用户的个人信息。但被上诉人无法举证,所以二审改判庞先生胜诉。
这个案件给我们的启示是,如果公司没有做好合规,或者说没有留存证据来证明公司数据处理行为合规,从而合理排除泄露用户个人信息的可能,则法院会根据举证责任倒置的原则,要求公司承担损害赔偿等侵权责任。这也证明了公司内部留证的必要性,而留存证据的前提是:公司员工有这方面的法律意识,那就需要公司定期开展法律合规培训工作;公司有相应的内部制度文件对留证行为进行支撑,这也需要公司做好内部的协调及规划工作,从本质上重视合规工作。
6.合法合规、谨慎小心地应用爬虫技术
数据爬取技术一向是数据公司获取数据的高效途径之一,但严格意义上爬取行为本身并不是完全合法合规的,按我国目前的法律法规及司法判例,爬虫技术可能会触犯以下几个维度的法律要求(仅列出相对重点的法律维度)。
(1)反不正当竞争法维度
在未征得被爬取方授权的情况下,爬取数据的行为可能会违反Robots协议。Robots协议是技术界为了解决爬取方和被爬取方之间通过计算机程序完成关于爬取的意愿沟通而产生的一种机制。2012年11月1日,十二家企业共同发起了《互联网搜索引擎服务自律公约》,公约要求各签约方遵守Robots协议。在司法实践中,即使爬取方不属于上述12家公司的范围内,Robots协议也已经被认定为互联网行业搜索领域内公认的商业道德:北京市第一中级人民法院在某互联网安全公司不正当竞争案件中,将行业内公认的Robots协议认定为互联网行业搜索领域公认的商业道德。法院在判决中指出“在被告推出搜索引擎伊始,其网站亦刊载了Robots协议的内容和设置方法,说明包括被告在内的整个互联网行业对于Robots协议都是认可和遵守的。其应当被认定为行业内的通行规则,应当被认定为搜索引擎行业内公认的、应当被遵守的商业道德”。因此,爬取方违反Robots协议的行为可能会被认定为违反《反不正当竞争法》第2条,即违反诚实信用原则以及商业道德。
虽然网络上公开的信息较难构成商业秘密,但由于网络上的某些信息可以通过采取技术措施使得仅有特定的用户可以接触,因此网络上的信息仍有可能具备商业秘密要求的秘密性和保密性,构成商业秘密的可能。如果爬虫控制者在抓取信息的过程中有意地规避了网站经营者设置的保护措施,接触、保存甚至披露了一般用户原本无法访问的信息,而该等信息又构成商业秘密,则爬虫控制者的该等行为存在侵犯他人商业秘密的可能,进而可能会违反《反不正当竞争法》第9条。
同时,因为爬虫会对被爬取方的网络系统等造成妨碍,所以此类行为可能会违反《反不正当竞争法》第12条。
(2)著作权维度
无论是网络上的文章、图片、用户评论,还是网站自身的数据库,都有可能在具备独创性的情况下构成著作权法保护的作品。对于该等信息的抓取和使用有可能会构成对著作权的侵犯,特别是复制权和网络信息传播权。因为抓取数据的行为本质上是对数据的复制,因此该等行为有可能侵犯著作权人的复制权。同时就数据提取和使用行为而言,如果爬虫控制者抓取信息后,在自己的网站上公开传播抓取到的信息,则还有可能进一步侵犯信息网络传播权。
例如,马某某等诉某网络科技公司著作权侵权纠纷案。
案情事实:被告某网络科技公司利用类似搜索引擎的计算机爬虫技术进行法语词条的收集与翻译释文的搜索,未支付相应报酬而大量使用原告享有著作权的《当代法汉科技词典》中的内容,马某某将该网络科技公司以侵犯著作权为由诉至法院。
判决结果:根据法律规定,除合理使用外,使用他人作品应当经著作权人同意,并支付相应报酬。被告称其通过爬虫技术收集了词汇词条及中文释义,该技术是被告收集并形成其网络词典词库的一种手段,而非在使用《法语助手》时,通过搜索链接直接指向其他目标网站,被告应该对其收集并使用的词汇及中文释义合法性负有较高的审核注意义务。因此,被告制作的法语翻译软件内容,部分抄袭原告《当代法汉科技词典》的释义内容,侵犯了原告等人的著作权,应依法承担停止侵害、赔礼道歉、赔偿损失的民事责任。
(3)《刑法》及《网络安全法》维度
从技术角度分析,爬虫可能会导致目标网站负荷过大,进而引起网站无法访问甚至瘫痪等不良后果,爬取方可能会违反《网络安全法》中关于网络运行安全方面的规定。但如果你还涉及侵入的情况,就可能会触犯《刑法》第285、286条的规定。例如在某案例中,王某利用远程登录的方法,通过一个攻击指令侵入目标公司的计算机信息系统,将系统中公司员工的邮箱、通讯录导出来,再修改相应的密码,从而可以随意进入员工的邮箱,最后被判处非法获取计算机信息系统数据罪。
从爬取的内容角度分析,如果爬取的内容是个人信息,那么可能违反《网络安全法》关于收集个人信息合规性的要求,甚至可能触犯《刑法》中的侵犯公民个人信息罪。
综上,数据爬取行为不但容易引起监管部门的重点关注,也易受到来自竞争对手的诉讼,建议企业在进行数据爬取行为时注意以下要点内容。
1)尽量避免爬取构成直接竞争关系的企业的平台数据,避免竞争对手依据《反不正当竞争法》提起诉讼的风险。
2)尽量爬取明确公开的数据,遵守Robots协议等网站明确公开的协议,避免爬取平台禁止爬取的数据。
3)根据《数据安全管理办法(征求意见稿)》第16条的要求,数据爬取收集流量不得超过网站日均流量的三分之一,避免造成目标网站崩溃、无法正常运营等情况。
4)对于目标网站已经明确采取技术手段阻止爬虫访问的,公司不应侵入、破坏其防护措施。
5)如目标网站明确发出停止数据爬取的相关通知说明,则应暂停数据爬取行为,及时采取对策。
7.遵守三重授权原则
在2016年12月30日公布的A公司诉B公司案终审判决中((2016)京73民终588号),法院明确指出:“商业化利用个人信息必须告知用户并取得用户的同意,对用户个人信息的采集和利用必须以取得用户的同意为前提,这是互联网企业在利用用户信息时应当遵守的一般商业道德。”
这也就要求A公司可以通过合同约定把用户个人信息共享给B公司,但同时也需要用户授权A公司可以把数据共享给B公司。在A公司的个人信息保护政策中,如果没有写明会把相应数据授权共享给B公司,则B公司直接抓取未经授权的数据已经违反了相关法律法规的要求,侵害了用户的公民个人信息。
所以法官提出了在Open API开发合作模式中,数据提供方向第三方开放数据的前提是数据提供方取得用户同意,同时,第三方平台在使用用户信息时还应当明确告知用户其使用的目的、方式和范围,再次取得用户的同意的“三重授权原则”。
第一重授权是用户将其个人信息授权给数据提供方收集和使用。第二重授权是如果数据提供方要把个人信息共享给第三方(接收方),数据提供方与接收方之间需要签订合同就个人信息共享进行约定。第三重授权是第三方即数据接收方就其自身处理个人信息获得用户的同意。如果后续接收方超越授权去获取、使用个人信息,那么接收方要额外承担相应的责任。