研究 | 数据合规之殇,爬虫技术涉及法律问题解读
大数据、云计算、人工智能等领域的快速发展,让加强个人信息保护的呼声不断高涨。从深层次来讲,个人信息的保护,不仅涉及到对个人基本权利的保护,还涉及到产业发展、国家战略、国家安全等多方面的问题。
对于企业而言,数据合规工作的形势紧迫、任重道远。随着日益严格的监管及可能面临的刑事制裁压力,数据合规工作的开展迫在眉睫。
对于区块链行业来讲,近日陷入数据风波的公信宝,会面临怎样的法律问题?能给我们哪些启示?
近日,一则公信宝(杭州存信数据科技有限公司)办公室被查封的视频在网络流传,业内多家媒体进行了核实,此事证实为真。
公开资料显示,公信链GXChain是一条为全球数据经济服务的基础链,旨在打造可信数据的价值网络。公信宝将借由区块链技术,起到一个去中心化的平台作用,对接数据买卖双方,当买方需要数据时,通过区块链技术向全网进行广播,而数据源通过查询自身离线数据库,如果有相关数据则进行智能合约交易,如果没有就不进行后续操作。
有业内人士向媒体表示,此次公信宝被查的原因与区块链业务并没有关系。有分析认为,大概率是因为“数据”的事情,而不是因为“区块链和发币”的事情。包括早前为网贷提供数据,爬虫抓数据、数据、购买黑数据,知名的风控数据提供商摩羯科技、新颜科技相关人员被警方带走调查,同时包括魔蝎、有盾、新颜、天机、聚信立等均已经主动或是被动地停止了爬虫服务。
在媒体曝出的一份2018年产品价格服务表中,公信宝介绍了其爬虫类数据类型涵盖社保、学信网、京东、电信、移动、联通、智联招聘、芝麻信用分、微信、支付宝,甚至是人行征信数据等。(以上内容来源于星球日报、金色财经等媒体)
公开资料显示,杭州存信数据科技有限公司的经营范围包括了数据处理技术、区块链技术等,其股东除了黄敏强之外,还包括李笑来和真格基金。
在其软件著作权一览,爬虫软件赫然在列。
依稀记得,在2018年一篇被业内称为写区块链写的最好的文章中曾提及,大数据容易作恶,而区块链技术的出现,有可能帮助互联网去伪存真,回到其本来的意义,即去中心化的平等体制。打着“做自己数据的主人”口号的公信宝,因为数据问题遭遇滑铁卢,让人唏嘘。
如果此次事件真如猜测的那样与区块链无关,而是栽在“数据”上,也并不能说是“空穴来风”。
大数据、云计算、人工智能等领域的快速发展,让加强个人信息保护的呼声再次高涨。从深层次来讲,个人信息的保护,不仅涉及到对个人基本权利的保护,还涉及到产业发展、国家战略、国家安全等多方面的问题。
需要强调的是,爬虫本身在法律上并不被禁止,但利用爬虫技术获取数据就有一定的法律风险。恶意爬虫会面临各种法律问题,包括侵犯著作权、侵犯商业秘密、侵犯个人隐私和个人信息、构成不正当竞争,严重的,侵入计算机系统的,还构成刑事犯罪。
事实上,关于个人信息的研究和保护,早已成为司法热点,已被列入国家的立法计划。
“个人信息”的法律定义是什么?
2019年8月22日,民法典人格权编草案在十三届全国人大常委会第十二次会议上进行第三次审议。草案二审稿对个人信息范围界定作出了具体规定:个人信息的范围包括自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。草案三审稿在二审稿对个人信息范围界定的基础上将自然人的“电子邮箱地址”和“行踪信息”纳入个人信息的范围。
此外,为了加强对个人信息的保护,草案三审稿将“使用”个人信息修改为“处理”个人信息,并增加规定:个人信息的处理包括个人信息的使用、加工、传输、提供、公开等。进而尽可能涵盖个人信息保护的各个环节。
在学术界,对于个人信息的定义也达成了基本的共识:即个人信息是指能够单独或者组合后识别特定个人的一切信息,包括姓名、性别、年龄、体重、档案、医疗记录、收入、家庭住址、电话号码、汽车发动机号、电脑序列号,甚至是行走路线、消费习惯、上网浏览记录等。个人信息最基本的特征是具有识别性,不论是直接的还是间接的、单一信息抑或组合信息,只要能够判断出特定个人的信息即认为属于个人信息。
如果从语义上理解,个人信息就是与自然人有关的全部信息。
如果公信宝如外界猜测的那样,将可能会面临什么样的法律责任?
违反个人信息保护的相关规定,其法律责任可能包括民事、行政和刑事责任。
民事责任
非法披露个人信息主要可构成侵犯个人隐私权或名誉权等人身性权利,需要承担相应的民事责任(主要包括赔偿损失、赔礼道歉、消除影响和恢复名誉等),其法律依据为《中华人民共和国侵权责任法》和《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》。
行政责任
如果违反相关个人信息保护规定,相关政府的主管部门(例如工信部)可责令限期改正、处以警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等行政处罚,同时可将违法记录记入社会信用档案并予以公布。
刑事责任
在《中华人民共和国刑法修正案(七)》中第七条:在刑法第二百五十三条后增加一条,作为第二百五十三条之一:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。
“窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。
“单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
可以看出,修正案七对出售或非法提供个人信息的适用单位范围有限定,且刑罚较轻,无法有效遏制违法买卖、泄露个人信息的违法行为。
在2015年11月1日公布的《中华人民共和国刑法修正案(九)》第十七条中规定:将刑法第二百五十三条之一修改为:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
“违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
“窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
“单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
此外,在两高和公安部的一则关于依法惩处侵害公民个人信息犯罪活动的通知中指出:
当前,一些犯罪分子为追求不法利益,利用互联网大肆倒卖公民个人信息,已逐渐形成庞大“地下产业”和黑色利益链。买卖的公民个人信息包括户籍、银行、电信开户资料等,涉及公民个人生活的方方面面。部分国家机关和金融、电信、交通、教育、医疗以及物业公司、房产中介、保险、快递等企事业单位的一些工作人员,将在履行职责或者提供服务过程中获取的公民个人信息出售、非法提供给他人。
获取信息的中间商在互联网上建立数据平台,大肆出售信息谋取暴利。非法调查公司根据这些信息从事非法讨债、诈骗和敲诈勒索等违法犯罪活动。此类犯罪不仅危害公民的信息安全,而且极易引发多种犯罪,成为电信诈骗、网络诈骗以及滋扰型“软暴力”等信息犯罪的根源,甚至与绑架、敲诈勒索、暴力追债等犯罪活动相结合,影响人们群众的安全感,威胁社会和谐稳定。
个人信息保护的立法现状
总体来说,我国目前尚没有统一的个人信息保护法,与个人信息保护的规定散见于法律、法规、规章和司法解释中。
但是近些日子以来,有关个人信息和数据合规相关的法律规定,步入立法快车道。
比如《儿童个人信息网络保护规定》《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》《数据安全管理办法》《个人信息出境安全评估办法》《个人信息安全规范》《数据安全管理办法》《App违法违规收集使用个人信息行为认定方法(征求意见稿)》等。
另外,2019年4月10日,公安部网络安全保卫局、北京网络行业协会、公安部第三研究所联合发布了《互联网个人信息安全保护指南》。
个案推动法治
从个案上看,轰动全国、被评选为“2017年推动法治进程十大案件”之一的徐玉玉被电信诈骗案催生了《民法总则》中关于个人信息保护的条款,有人将之称为“徐玉玉条款”:《民法总则》第一百一十一条规定,「自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。」
企业如何做好个人信息保护合规
需要强调的是,对于企业而言,数据合规工作形势紧迫、任重道远。随着日益严格的监管及可能面临的刑事制裁压力,尤其是对于数据企业,数据合规工作要兼顾深度和广度。
纵向上,要做到数据来源的合法、数据使用的合法,如果数据出境,也要做到出境的合法。在横向上,要保证数据的安全以及相应的风险防控工作等。
合规工作的开展,要形成制度化、常规化、体系化。企业应当要建立健全网络安全及数据保护有关的合规制度与合规体系,这其中要包括合规流程的建立、配套对应的人力。
对于很多区块链行业的公司来讲,比如同意和收集用户个人信息的范围以及对应的隐私政策等文件的草拟,比如要了解政策要求哪些数据只能存储在境内?这要求企业对用户数据进行审查,并形成相应的审查机制。比如钱包企业涉及到支付业务时,要避免将用户信息存储在境外服务器。
此外,鉴于目前我国对个人信息保护的监管趋势趋严,也在不断推出新的法律法规,涉及到数据的企业,需要密切跟进法律进展和立法动态,要确保处理个人信息的措施符合相关法律的要求。针对企业数据合规,链法律师团队也会在以后的文章中分章节进行详细的介绍,有兴趣的读者朋友们还请保持关注。