作者归档:时雨行

关于时雨行

一名兴趣使然的法律工作者

【可视化】:App专项治理工作组三次检查结果

2020年11月,App专项治理工作组发布了35款App存在个人信息收集使用问题的通告。此前,2020年9月,App专项治理工作组发布了81款App存在个人信息收集使用问题。2019年12月,工作组也对57款存在收集使用个人信息问题的App进行过检查

通过对检查结果以可视化的方式呈现,可以发现:

  • 自启动方式收集个人信息、明文上传账户密码、个人敏感信息处理、儿童个人信息处理、剪切板读取成为新的关注点。
  • “在申请打开某可收集个人信息的权限时,未同步告知用户其目的”、“未逐一列出嵌入的第三方SDK收集使用个人信息的目的、类型”始终是普遍存在的问题。
  • 检查对象开始关注官方、政务App的合规问题。
  • ……

除了App专项治理工作组,工信部也在推进App检查工作,检查如火如荼:

目前已完成国内用户使用率较高的44万款APP的技术检测工作,责令1336款违规APP进行整改,公开通报377款整改不到位的APP,下架94款拒不整改的APP,有效震慑了违法违规行为。

工信部点名:“一些企业经过多次整改仍存在问题,部分头部企业APP在个人信息保护的整改上存在思想漠视、侥幸心理、技术对抗等问题。”

人脸识别技术的法律风险与合规思路

1,为什么人脸识别技术在个人信息保护领域更为敏感?

人脸识别技术的敏感性,来自于我们几乎无法对我们的面部信息进行修改。而其他类型的个人信息,比如用户名、电子邮箱、手机号、甚至是姓名我们都可以较为容易地进行变更。如果不考虑《碟中谍》这样的电影,人脸识别技术收集的面部识别信息一旦被收集就可能是永久被收集。

伴随着公众隐私保护意识的觉醒,人脸识别技术的运用正在让越来越多的民众警惕。这种警惕一方面来自于被窥视所带来的不快,而且很多场景下民众并不知道自己的面部特征信息会被如何利用;另一方面也来自于在很多场景下民众除了提供面部特征以外别无选择,不得不将自己的“脸面”无条件奉上。

因此我们看到了有法学院教师发起“人脸识别第一案”起诉强制人脸识别的动物园,也看到了宿豫警方在对宿豫一家健身中心进行网络安全检查时对该健身中心违法采集人脸信息给予警告处罚。

2,我国对人脸识别技术的运用有哪些规定?

即将于2021年元旦生效的《民法典》将个人生物识别信息列为个人信息,面部识别特征就是生物识别信息的典型代表。此外,人脸识别技术还涉及肖像权及隐私权,这两项权利都是与个人信息并列的法益。也就是说,企业在运用人脸识别技术时,不仅需要考虑个人信息保护的问题,还需要考虑肖像权与隐私权保护问题。

目前,我国个人信息、隐私权与肖像权的处理主要以以“同意”为基本原则。在《个人信息保护法》通过后,可能会在个人信息层面增加更多的处理合法性依据,即不依赖同意也可以处理个人信息。但人脸识别技术在隐私权、肖像权仍然无法绕开“同意”。因此,获取“同意”在人脸识别技术的运用中扮演着重要的角色。

在《个人信息保护法(草案)》中,拟规定在公共场所安装图像采集、个人身份识别设备,在目的上应当为维护公共安全所必需,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供;取得个人单独同意或者法律、行政法规另有规定的除外。在推荐性标准《个人信息安全规范》(GB/T 35273-2020)中,建议:(1)收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意;(2)个人生物识别信息应与个人身份信息分开存储;(3)原则上不应存储原始个人生物识别信息(如肖像照片),仅存储算法处理后的摘要信息。此外,在另一部推荐性国家标准《远程人脸识别系统技术要求》(GB/T 38671-2020)中,对人脸识别技术的安全性标准提出了建议。

3,人脸识别技术主要被运用哪些场景?

人脸识别技术通过面部特征实现对不同个人身份的识别,通常用于个人身份的识别、验证,以替代身份证、门卡、用户名密码等身份验证手段。比较常见且容易产生纠纷的人脸识别技术运用场景有以下几种:

门禁系统,主要用于小区、公园、写字楼物业使用人脸识别系统替代传统的IC卡、门禁卡对住户、访客进行身份验证,确保进入限制区域的人员具有相应的权限。在杭州的“人脸识别第一案”中,便是因为野生动物园使用人脸识别替代身份证导致产生纠纷。清华大学劳东燕教授也因为所居住的小区安装人脸识别门禁系统进行维权。

行为分析,商场可能会为了提升商场的运营效率部署人脸识别系统,对消费者在商场内的购物路径、消费情况进行精准统计,并对会员进行精准画像。如杭州某商场人流密集区域部署摄像头进行人脸抓拍,通过智能摄像头识别会员信息,精准统计客流,并通过云端的人脸识别,完成会员身份的确认。在此基础上基于设备识别到的会员数据及第三方系统数据,从多维度分析商圈、门店与顾客画像,让购物中心全面了解客户,实现AI辅助导购进行销售决策。此外,像广告屏也可能使用人脸识别系统,准确判断不同用户对广告屏中广告的表情反馈。

App人脸识别,主要用于各类App的身份验证,比如刷脸支付、上班打卡等场景。相对于其他场景下人脸识别技术的运用,App人脸识别技术的运用会存在更多相关方。比如某公司如果要求员工使用钉钉人脸识别进行打卡签到,那么会涉及员工、用人单位、钉钉的开发者钉钉(中国)信息技术有限公司,以及人脸相关服务北京蚂蚁佐罗科技有限公司等多方主体。数据如何在这些主体中流转、处理会是一个复杂的问题,深究起来会涉及劳动法、个人信息保护等多层次法律关系。

4,人脸识别技术的法律风险是什么?

人脸识别的法律风险一方面来自于“同意”难以有效获得。人脸识别技术的使用者在公众场所往往并不愿意公众知道相关技术的运用,以减少“不必要”的麻烦,更谈不上有效获取个人信息主体的同意。这直接导致通过此等方法采集的面部识别信息若用于商业用途很难具有合法性基础。

人脸识别技术的另一方面风险是运用过程中容易走极端,不提供替代方案。比如在杭州“人脸识别第一案”中,游客购买了一张杭州野生动物世界的年卡,有效期内通过同时验证年卡及指纹方式入园。但在三个月后,动物园方面将人脸识别检票系统引入,拆除了原来的指纹检票闸门,必须进行人脸识别验证年卡才能继续使用,所以被告上法庭。因此,如果经营者未经充分评估,贸然引入人脸识别技术而又没有提供替代方案,可能导致原有协议无法继续履行,或需要收集原约定范围之外的个人信息或数据才能继续履行协议。如果经营者仅以用户不同意收集面部识别特征为由拒绝继续提供服务,则可能违反双方已有的服务协议。

此外,人脸识别技术的精准度有赖于大量数据对算法进行训练。而训练所需要的素材往往很难通过自我积累,需要从外购买获得。而出售、购买面部识别特征数据具有极高的法律风险,有可能触犯刑法,构成侵犯公民个人信息罪。

5,有什么好的方法可以在公共场所获取“同意”?

公共场所是人脸识别技术最难取得“同意”的场景,具体分为“告知”与“同意”两个环节。

在《信息安全技术 个人信息告知同意指南(征求意见稿)》附录D“公共场合场景下的告知同意”中,建议在汽车站、火车站、地铁站、机场、商场等公共场所收集个人信息时,建议个人信息控制者以显著方式向个人信息主体进行展示告知。比如在商场内张贴告知:“本商场安装有人脸识别系统,以便进行客流分析或进行个性化推荐。我们承诺会保护您的人脸等信息安全,详情可向询问台咨询或扫描二维码。”而“同意”则是通过提供不收集个人信息的选择方案实现,例如,设置不成为会员的购买方式;不通过人脸识别的支付方式等。

此外,在欧盟数据保护委员会发布的《关于通过视频设备处理个人数据的指引3/2019》中,推荐使用双层的告知结构,第一层在使用视频处理个人数据公众场合张贴告示,提供简要说明,并通过二维码等渠道提供指向第二层说明的访问途径;第二层进行详细的说明。具体示例如下:

当然,获取“同意”需要在具体的业务场景下根据实际情况进行设计,在法律合规与商业需求中找到平衡。

6,如何应对使用人脸识别技术升级原有服务导致的法律风险?

经营者引入人脸识别这样的新技术,有必要开展个人信息安全影响评估。使用人脸识别技术对原有服务进行升级,可能导致突破原协议的范围,将新的个人信息、肖像权、隐私权引入原本相对简单的法律关系,让原本不必收集的面部识别特征成为必不可少的数据。如果原先协议对新需要的面部特征信息未有覆盖,则可能构成违约。因此,在服务技术升级的同时,需要考虑如果个人不同意提供新的数据,能否继续使用已有服务,确保协议能够在原框架下继续履行。因此《杭州市物业管理条例(修订草案)》拟要求物业不得强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备,保障业主对共用设施设备的正常使用权。

此外,引入人脸识别技术可能让新的第三方主体加入合同关系。比如当企业决定使用钉钉人脸打卡功能,这意味着钉钉的开发者钉钉(中国)信息技术有限公司,以及人脸相关服务北京蚂蚁佐罗科技有限公司等多方主体会加入法律关系,数据的流转与法律协议将变得复杂。直接的后果是当个人要求行使如查阅、修正、删除、合同解除等权利时,需要各方主体同步响应,这会对企业间个人信息保护能力的协同提出更高的要求。

7,如果需要购买数据训练人脸识别技术,有哪些合规措施可以采取?

数据购买具有极高的法律风险。购买面部识别信息时,有必要对供应商数据的数据来源进行严格审核,对自然人向供应商提供的授权文件进行逐一审核或抽查,确保授权文件真实有效。

此外,购买面部识别信息可以参考其他领域数据购买的合规方案。在北京慧辰资道资讯股份有限公司(“慧辰资讯”)2020年6月首次公开发行股票所提交的法律意见书中,详细介绍了慧辰资讯购买数据的合法性基础与相应的内控措施。慧辰资讯所采集的数据,主要为消费者态度数据。慧辰资讯通过《个人信息授权书》的方式,获取被采集者的同意。慧辰资讯向数据供应商购买数据的,会要求供应商确保在采集过程就授权第三方使用相关数据取得个人信息主体出具的明确授权文件。慧辰资讯还通过供应商管理制度,对数据供应商的资质、合规性、重点数据进行供应商核查,并通过数据处理协议、合规经营承诺函的形式对数据供应商进行管理。

8,除了获取同意,还有哪些措施可以采取?

在推荐性标准《个人信息安全规范》(GB/T 35273-2020)中,建议:原则上不应存储原始个人生物识别信息(如肖像照片),仅存储算法处理后的摘要信息。即根据“最小化”的个人信息保护原则,缩短面部识别特征的生命周期,通过减少数据的收集达到降低人脸识别技术的法律风险的目的。

在法国数据保护机构CNIL发布的题为《机场的面部识别:有哪些挑战和需要遵循的主要原则?》报告中,在技术措施领域要求:(1)只有在相关乘客做出动作后,才会启动面部识别摄像头;(2)通过技术配置,模糊背景中其他乘客的脸;(3)通过面部识别区分控制区和传统控制区的广告牌和地面标记。

这些技术措施和规划要求企业在使用人脸识别技术伊始就考虑个人信息等权益的保护问题,通过默认设计保护个人信息等权益。

9,随着人脸识别技术的发展,我们应该前瞻性地关注哪些问题?

在2020年9月美国斯坦福大学计算机系教授李飞飞联合斯坦福医学院教授阿诺·米尔斯坦等科研人员在《自然》发表了题为《利用环境智能照亮医疗的黑暗空间》的论文中,强调了环境智能技术的潜力。环境智能,即通过机器学习和非接触式传感器能够对人类存在做出敏感反应和反馈的电子空间。而人脸识别技术是环境智能的重要组成部分。

环境智能技术除了运用摄像头,还会综合运用深度传感器、温度传感器、无线传感器、声音传感器等设备。环境智能可以运用于重症监护、临床护理、甚至是老年人独立生活。因为环境智能的本质是全面监控,收集数据的深度与广度都远超人脸识别技术,所以环境智能技术必须更加注重隐私和数据安全性设计。

人脸识别技术、环境智能技术、自动驾驶等技术近年来高速发展,背后是对海量数据的收集与处理。这些数据的处理深刻地影响着每个人与技术的关系。我们在享受技术进步带来便利的同时,需要关注新技术对个人信息、隐私、肖像的保护予以警觉;经营者在享受技术进步带来利润的同时,需要关注如何降低自己处理数据的法律风险。

可视化:App专项治理工作组2020、2019检查对比

2020年9月17日,App专项治理工作组发布了81款App存在个人信息收集使用问题。早在2019年12月20日,工作组就对57款存在收集使用个人信息问题的App进行过检查。不经整理的信息是没有价值的。这里我把两次检查的统计结果进行对比,可以发现近来App合规的一些趋势:

  1. 申请权限而不告知始终是突出问题;
  2. 向SDK提供个人信息的情况大幅好转;
  3. 不提供权限拒绝提供服务成为新的检查重点;
  4. 原先部分检查项现在不再关注。

对比表格如下:

爱尔兰《意外收到个人数据指引:个人》

爱尔兰数据保护委员会于2020年9月5日发布了有关第三方意外收到其他个人的个人数据的指导。

数据保护委员会发布了三份不同的指引,分别是《意外收到个人数据指引:个人》(”个人指引”)、《意外收到个人数据指引:机构》(”机构指引”),以及《个人数据意外失控指引:数据控制者》(”数据控制者指引”)。这里仅对《意外收到个人数据指引:个人》进行一下简单的翻译。

意外披露的风险

信息和通信技术在我们的工作和私人生活中发挥着越来越大的作用,并具有许多优势与便利。然而,个人数据处理和传输的增长也会增加隐私风险。当数据控制者(收集和使用个人数据的个人、公司或其他机构)意外地将个人数据披露给另一个人时,就会产生这样的风险。

这些事件被称为个人数据泄露,而不幸的是,这些事件有很多方式可以发生:

  • 银行意外地通过邮寄或电子邮件向不正确的收件人发出声明或其他信件;
  • 政府机构意外地将信件发给错误的收件人或地址;
  • 诊所错误地将医疗报告放入错误的信封,并寄给了错误的病人;
  • 某企业在处理旧笔记本电脑时没有删除包含人力资源数据的磁盘驱动器;
  • 一个打错字的电子邮件地址将机密的财务信息发送给一个没有联系的第三方;
  • 一个包含客户联系方式的U盘遗落在火车上。

这样的错误可能会导致个人的个人数据被披露给另一个无意或不希望收到这些数据的人。不难想象,这些数据可能是多么敏感。意外收到他人个人数据的人也很容易想象,如果自己的数据被意外披露给陌生人,他们会有多痛苦。

根据《通用数据保护条例》(GDPR)、《2018年数据保护法》、《欧洲人权公约》、《欧盟基本权利宪章》和其他法律,数据主体(即个人数据可能被识别的个人)的权利受到特别保护。意外收到他人个人数据的个人应承认并尊重这些权利。

处理意外披露

数据保护委员会(DPC),当个人意外收到不属于自己的个人数据时,应立即采取行动,并采取措施减少与数据有关的个人权利的风险。

  • 确定数据控制者的身份(例如从发件人的电子邮件地址或信笺抬头),并通知他们错误的披露。不要等待他们与你联系。
  • 避免打开不属于你的电子邮件附件、文件或文件。
  • 与数据控制者商定如何解决这个错误。从你的 “收件箱 “和 “已删除的文件 “文件夹中永久删除电子邮件可能就足够了。数据控制者可能会安排向你收取寄错地址的信件或包裹,或你可能同意销毁它,例如安全地粉碎信息,并以书面形式向数据控制者确认你已这样做。
  • 如果你无法识别或联系数据控制者,请使用我们的网络表格或给我们发电子邮件联系DPC。我们将尽力帮助解决这个问题。
  • 不要试图识别和联系数据所属的人,因为这是对信息的进一步处理。
  • 不要与其他第三方分享数据,包括公开上传信息到社交媒体平台。

数据控制者和非法处理

如果个人数据外泄导致个人意外收到另一人的个人数据,该人不应使本已糟糕的情况恶化。特别是,他们不应寻求成为该数据的控制者,而且在没有合法依据的情况下不得处理该数据。

如前所述,数据控制者是指个人、公司或其他机构,他们决定处理个人数据的目的和方法,不论是自己决定,还是与另一个人或组织共同决定。在数据保护法中,处理有一个广泛的定义。它不仅包括计算和分析数据,还包括披露数据、传输数据、编辑数据或将数据转换为不同的格式,甚至只是保留数据。它可以适用于打印文件等硬拷贝的个人数据,也可以适用于电子邮件或计算机文件等电子数据。

如果意外收到个人数据的个人自行决定如何处理该数据,他们可能被视为该数据的控制者。这可能会产生重大的法律后果。非法保留或以其他方式处理个人数据可导致民事法律后果。数据主体和合法的数据控制者都可以向法院寻求重要的补救措施,其中包括禁令、损害赔偿和费用。

DPC拥有执行数据保护法的广泛权力。这些权力包括进行调查、要求出示文件和记录、禁止非法处理和命令删除数据的权力。它可对违反保障资料法律的行为处以行政罚款和提出刑事检控。根据《2018年数据保护法》第145条,未经授权披露个人数据属于犯罪行为,可处以最高5万欧元的罚款和/或最高5年的监禁)。

DPC强烈建议,任何意外收到不属于自己的个人数据的人应尊重数据主体和对数据合法负责的数据控制者的权利。他们不应为了自己或任何其他目的而非法持有或使用这些数据。

可视化:工信部通报101款侵害用户权益行为APP

不经整理的资讯是没有价值的。

2020年8月31日,工信部通报101款侵害用户权益行为APP。相较于此前2019年底至2020年中的五次统计,工信部此次变更了统计问题App的方式。

此次工信部共通报App101款,而工信部在此前的五次统计中,总共才检查App145款,App合规的检查力度明显提升。可以对此次检查与此前检查中所曝光的问题进行对比。

可以看出:

  • App违规收集、使用个人信息始终是大问题,最容易在检查中暴露;
  • 权限在检查中关注度上升,但检查项变得集中;
  • 工信部此次检查没有关注注销问题。


数据权益的新疆界:新浪微博诉超级星饭团App不正当竞争纠纷案

  • 原告:北京微梦创科网络技术有限公司(“新浪微博”)
  • 被告:云智联网络科技(北京)有限公司(“超级星饭团App”)
  • 审理法院:北京市海淀区人民法院
  • 案号:(2017)京0108民初24512号
  • 裁判时间:2020年7月20日
  • 裁判结果:(1)被告停止侵权;(2)被告刊登声明消除影响;(3)被告赔偿经济损失1000万元及合理开支228,554元

一、案情概况:不止于此案

根据App Store内超级星饭团App的简介:“超级星饭团是一款专为粉丝打造的粉丝追星服务平台,让粉丝轻轻松松即时了解爱豆的SNS社交动态信息,随时随地紧紧守护自己的超级明星。”但新浪微博认为,超级星饭团App在未经新浪微博许可的情况下,通过爬虫程序爬取新浪微博中明星的动态,并将从新浪微博获取的明星动态数据与从其他平台获取的数据相结合,提供z明星动态,供“粉丝”所使用,进而侵犯新浪微博对数据的权益,进而构成不正当竞争。

案件中,超级星饭团App也承认部分数据来自于新浪微博,因此双方的主要的争议焦点在于:超级星饭团App抓取新浪微博数据是否侵犯新浪微博的合法权益。

这个案件在诸多层面具有典型意义,涉及到数据、个人信息、爬虫等多个领域,值得认真研讨。此外,本案并不是新浪微博为自己数据权益发起的唯一诉讼,之前(2016)京73民终588号“新浪微博诉脉脉案”开创了“三重授权”原则;(2019)京73民终2799号“新浪微博诉饭友App案”案被北京知识产权法院列为2019年度北京市法院知识产权司法保护十大案例。

二、固定证据:上收手机后的勘验

在涉互联网的案件中,固定证据向来都是难题。本案中,除了常见的公证以外,也通过当庭勘验的方式固定证据。法院同意新浪微博的勘验申请,并在本案庭审前上收双方通讯工具,避免与法庭勘验相关的问题和程序被提前泄露而影响勘验结果的客观真实性。

通过在法庭计算机中安装VPN,新浪微博登入公司内网,在线修改“超级话题”代码,将明星“李子璇”的上线时间修改为12:23,下线时间修改为12:26。随后专家辅助人登录超级星饭团App,发现App中的显示的时间为修改后的时间,而微博App和微博超话App中“李子璇”信息,均未显示勘验代码中记载的上线和下线时间。

尽管超级星饭团App进行了一些反驳,但新浪微博通过现场勘验的“突袭”,向法庭证明了超级星饭团App不仅会抓取超级星饭团App公开的前端数据,也会抓取新浪微博非公开的后端数据。

三、访问权限:公开数据与非公开数据

在知乎上,我最经常被问到的一个问题就是:爬虫程序是否合法?

通过爬虫程序在互联网上爬取数据是一件再正常不过的事情,搜索引擎的基础就是各种爬虫程序,用Python写一个简单的爬虫程序并不困难。但爬虫程序会显著消耗服务器资源,裁判文书网、工商登记信息网、12306等网络系统都饱受爬虫之苦,所以验证码设计愈发诡异。所以这也导致围绕着爬虫程序的“攻防”是互联网上一项热门的生意:爬虫程序越来越能够模拟真人的访问行为;网络平台也越来越能够判断网线对面是真人还是代码。

法庭将涉案数据分为“公开数据”与“非公开数据”两类,以访问权限为判断标准:在无相反证据的情形下,对于微梦公司未设定访问权限的数据,应属其已在新浪微博中向公众公开的数据;但对于其通过登录规则或其他措施设置了访问权限的数据(如用户即便登录新浪微博帐号亦无法访问的数据),则应属新浪微博中的非公开数据。

法庭认为,对于平台的公开数据,虽然是平台经营者重要的经营资源,但对爬虫程序应有容忍的义务:

而对于平台中的公开数据,基于网络环境中数据的可集成、可交互之特点,平台经营者应当在一定程度上容忍他人合法收集或利用其平台中已公开的数据,否则将可能阻碍以公益研究或其他有益用途为目的的数据运用,有违互联网互联互通之精神。且无论是通过用户个人浏览或网络爬虫等技术手段获取数据,只要其遵守通用的技术规则,则其行为本质均相同,网络平台在无合理理由的情形下,不应对通过用户浏览和网络爬虫等自动化程序获取此类公开数据的行为进行区别性对待。当然,如果他人抓取网络平台中的公开数据之行为手段并非正当,则其抓取行为本身及后续使用行为亦难谓正当;如果他人抓取网络平台中的公开数据之行为手段系正当,则需要结合涉案数据数量是否足够多、规模是否足够大进而具有数据价值,以及被控侵权人后续使用行为是否造成对被抓取数据的平台的实质性替代等其他因素,对抓取公开数据的行为正当性做进一步判断。

在庭审中,超级星饭团App并没有证明成功地向法庭证明自己合法正当获取新浪微博的公开数据。法庭认为超级星饭团App是通过伪装成用户登录或模拟用户行为向新浪微博后台服务器发送请求,并按照浏览器规则进行解析等技术手段获取数据,并违反Robots协议,在白名单以外仍然抓取公开数据,因此具有主观恶意。此外,自始至终超级星饭团App未向法庭说明其使用的技术和如何通过该技术实现对涉案数据大规模抓取进行演示或提交相关证据。

Robots协议仅是文本文件(.txt),并不像HTTP、FTP这些协议(protocol)如果不遵守就无法使用,更算不上法律意义上的协议(agreement),因此Robots协议的效力其实值得商榷,且超级星饭团App也并非《搜索引擎服务商自律公约》的签署方。从访问控制的角度来看,Robots协议更像是草坪上竖立的“禁止进入”标识,物理上没有办法阻挡人们踩踏草坪。在(2017)苏01民初2340号“北京焦点诉百度案”中,法庭就建议百度“在现有运行机制包括用户协议中明确法律提示条款、设置robots协议等的基础上,百度公司仍然应当主动积极应对新技术开发、新应用场景、新业态运营在市场拓展过程中可能引发的侵权现象,关注其中可能存在的侵权风险……”。

四、数据权益的边界

本案虽然是围绕不正当竞争的纠纷,但数据权益的保护仍然是重点问题,且可能会在未来影响到一系列类似案件的请求权基础。本案中,法庭对新浪微博的数据权益进行了如下论述:

……在当前的市场环境下,数据已经逐渐成为经营者,尤其是互联网经营者之间相互竞争的基础性资源,获得数据意味着可据此进行分析并改进、完善产品功能,从而获得更多的经营利益。因此,司法不能以数据尚未成为一种法定权利为由而拒绝裁判。当经营者为收集、整理数据,以及维护其互联网产品中的数据运行和安全而付出成本,且该种数据整体上可为经营者进行衍生性利用或开发从而获得进一步的经营利益时,其他经营者未经许可擅自抓取且使用平台数据的行为,当然可以落入反不正当竞争法调整的范围。

据此,结合涉案数据系新浪微博产品的重要基础,微梦公司为运营新浪微博,维护涉案数据安全付出了相应成本(如前述部分明星要求其动态信息不予公开,微梦公司显然需要为此进行产品功能的设计),微梦公司对涉案数据进行衍生性利用或开发,以及《微博服务使用协议》中关于涉案数据归属的约定等因素,微梦公司可基于其对涉案数据享有的经营利益,依据反不正当竞争法对云智联公司擅自抓取并使用涉案数据的行为提出相应主张。

……微梦公司所主张的涉案数据虽系来源于微博用户数据,但并非该些零散且相对独立的数据的简单集合,而是微梦公司进行了数据安全保护等加工后形成的数据(例如,根据《微博服务使用协议》第1.2.3条,用户可通过设置功能自行控制、把握查阅其信息的帐号类型);此外,涉案数据中亦有非微博用户生产的数据,如涉案数据中的明星在线时间,显然系微梦公司根据微博用户在线时间计算、整理得出。因此,微梦公司主张的涉案数据系新浪微博平台数据,与微博用户个人数据存在本质不同……。

对于新浪微博来说,除了通过《反不正当竞争法》进行维权,另一个“解题思路”是直接通过《民法总则》/《民法典》第一百二十七条(数据条款)进行维权,比如(2018)苏0684民初5030号“浙江淘宝网络有限公司诉杜某等网络侵权责任纠纷案”中淘宝公司便是按照此思路对恶意评价行为进行追责,认为恶意评价侵犯了自己的数据权益,并得到了法庭的支持。当然选择何种方式原告与律师会有自己的考量,我也无需赘言。

五、违法关键点:数据利用

在竞争法的角度,超级星饭团App在获取数据后的使用行为更值得关注,即超级星饭团App在获得数据后的利用方式是否会减损新浪微博的商业机会。

在本案中,法庭认为涉案数据均系与明星动态相关的数据,而关注涉案信息的主要用户群体即明星粉丝,与超级星饭团App的用户类型一致,且构成替代关系,用户可以不使用新浪微博就能获得明星数据,直接影响新浪微博的广告收益。(2019)京73民终2799号“新浪微博诉饭友App案”中,法庭也使用过类似的思路,认为:微梦公司对新浪微博数据享有合法权,在案证据可以认定复娱公司系通过绕开或破坏微梦公司技术保护措施的手段,实施了抓取和展示新浪微博数据的行为,使得饭友×××用户无需注册或登录新浪微博帐号即可查看新浪微博全部内容,复娱公司的行为必然会影响微梦公司与用户间协议的履行,导致微梦公司的独家权益无法得到保障,对数据维护等的投入无法获得相应回报,或将减损用户数据安全程度,妨碍、破坏了新浪微博的正常运营。

在(2016)沪73民终242号“大众点评诉百度案”中,争议焦点并不在于数据的获取,而在于对数据进行收集后如何进行利用才算合法。“大众点评诉百度案”案件的裁判为数据收集后的利用提供了清晰的指引——即在数据利用时不能实质替代原服务,应采取对原服务影响更小,并能在一定程度上实现积极效果的措施对数据进行利用。

六、公开数据中个人信息合规隐忧

案件中,个人信息主体的角色也不应忽视,法庭认为:

对于涉案数据中的公开部分,正常情况下,新浪微博用户可随时选择修改或删除相关数据,微梦公司基于其与用户之间的协议亦应维护用户处理其数据之权利;但云智联公司的抓取和展示涉案数据的行为会使这部分数据脱离用户自身和微梦公司的控制,减损其处理数据的权利。而对于涉案数据中的非公开部分,往往包含与用户个人隐私相关的信息(如用户设置仅自己可见)或其不希望他人收集或查看的信息(如用户发布后自行删除的信息或前述明星限制公开的数据),云智联公司对其进行抓取和展示可能导致此类用户个人信息的泄露和被侵害,而这必然影响新浪微博数据安全进而破坏微梦公司所提供服务的正常运行,也可能侵害用户对其个人隐私等信息所享有的合法权益。

在《民法典》第一千零三十六条中,规定合理处理该自然人自行公开的或者其他已经合法公开的信息,行为人不承担民事责任,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外。这意味着通过爬虫程序爬取前端公开的个人信息并不违反法律,但是个人信息的主体有权拒绝。《民法典》对已公开个人信息的态度延续于《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十二条的规定。

程啸教授认为:“一方面,即便是已经合法公开的个人信息依然受到法律的保护,自然人对这些个人信息并不因其公开而失去控制的权利,其有权拒绝他人对这些信息进行处理;另一方面,由于个人信息的保护对于维护自然人的人格尊严和人格自由具有很重要的意义,所以,即便是已经合法公开的个人信息,也不得任意进行处理,如果处理该信息将侵害自然人的重大利益的,也要承担民事责任。”(《论我国民法典中的个人信息合理使用制度》,载《中外法学》2020年第4期)

当然明星们可能不会要求超级星饭团App删除自己的个人信息,但在其他场景下,大量裁判文书信息、新闻报道公开的个人信息保护一直也都是一个棘手的问题。个人信息主体其实是有权利要求爬取数据的平台删除其个人信息,需要爬取数据的平台具备响应机制。但有一点需要留意,根据《征信业管理条例》第十三条第二款:“企业的董事、监事、高级管理人员与其履行职务相关的信息,不作为个人信息。”但如果超出董监高的履行职务相关的信息的范围,则仍然属于个人信息。

简而言之,对于已公开的个人信息,个人信息主体并未丧失掌控的权利,仍然可以要求停止处理、删除、修正错误。

数据安全顶层设计奠基:《数据安全法(草案)》公开征求意见

2020年7月伊始,《数据安全法(草案)》在千呼万唤中得以亮相,成为总体国家安全观下新的拼图,与《国家安全法》《网络安全法》《核安全法》及未来的《生物安全法(草案)》并立。

《数据安全法(草案)》目前只是初次公开征求意见,条文距离最终文本还存在很大的不确定性,但更为重要的是揭示出的立法趋势。

一、界定概念

《数据安全法(草案)》对一些基础概念进行明确:

二、设立义务

对于大多数企业来说,更为关注的是《数据安全法(草案)》新设立了哪些义务,企业需要新采取哪些合规措施。在《数据安全法(草案)》中列明了以下项目:

其中处理重要数据需要报送风险评估报告需要包括以下内容:

如果违反,则可能面临以下行政处罚:

三、数据交易

在2020年4月,《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》提出“引导培育大数据交易市场,依法合规开展数据交易”,并将数据列为一种生产要素,要求:

(二十二)加强数据资源整合和安全保护。探索建立统一规范的数据管理制度,提高数据质量和规范性,丰富数据产品。研究根据数据性质完善产权性质。制定数据隐私保护制度和安全审查制度。推动完善适用于大数据环境下的数据分类分级安全保护制度,加强对政务数据、企业商业秘密和个人数据的保护。

在《数据安全法(草案)》对数据交易的中介机构专门要求,如果违反,最高也会面临100万元的罚款或吊销经营许可:

  • 提供方说明数据来源
  • 审核交易双方的身份
  • 并留存审核、交易记录

国家标准《信息安全技术 数据交易服务安全要求》(GB/T 37932-2019)会成为《数据安全法》适用所倚重的对象,对交易过程的技术措施与管理措施进行了框架性的规定。此外在该国家标准中设计了数据交易服务的参考框架:

四、立法与监管方向

相较于草案阶段的义务,未来立法与监管的方向同样值得留意。

《数据安全法(草案)》不仅在关注境内的数据获得,同样赋予了管辖境外数据活动的“长臂”,并且加入了“对等原则”,即如果境外国家(地区)在与数据和数据开发利用的投资、贸易方面对中国采取歧视性措施,中国也会采取对等措施。但具体如何判断歧视性措施,对等措施如何采取则有待未来立法进一步明确,这恐怕需要不短的时间。

除了设置自己的“长臂”,《数据安全法(草案)》对海外的“长臂”(如欧洲GDPR、美国“云法案”)同样进行了回应,针对海外执法机构在境内调取数据,同样进行了限制。要求向主管机关报告并获得批准或依据中国加入的国际条约,方可提供数据。

此外,未来围绕数据的立法与监管可能会在以下方向着力:

  • 管辖境外影响境内合法权益的数据活动
  • 向境外执法机构提供数据的流程
  • 数据分级分类,由各地区、部门制定重要数据保护目录
  • 统一的数据安全风险评估、报告、信息共享、监测预警机制
  • 数据安全应急处置机制
  • 数据安全审查制度,且审查是最终决定
  • 出口管制拓展至数据领域
  • ……

《网络安全法》从首次公开征求意见到最终生效历时接近两年,《数据安全法》也正在开始同样的进程: