最近有新聞顯示幾家大數據企業或因違規收集用戶信息被調查����,爬蟲技術/爬蟲業務的合規性引發熱議。本文作者認為�����,網絡爬蟲技術作為一種采集數據/信息的技術本身不存在違法性���,但如果突破法律法規設置的邊界采集����、使用信息���,則存在合規風險。因此����,在利用網絡爬蟲技術采集信息的同時����,應力求達到與此相關的合規要求��、減少合規風險極其重要。本文從通過網絡爬蟲技術采集����、使用信息角度����,嚐試探討相關數據/個人信息合規法律問題。
一���、 本文所涉基本概念
(1) 網絡爬蟲(Web Crawler)�,是一種按照一定的規則�,自動地抓取萬維網信息的程序或者腳本。[i]也就是說���,網絡爬蟲是通過某種程序語言(如Python)寫成的程序或腳本���,運行該程序或腳本則可按程序或腳本設計者的數據提取目標����,抓取想要獲取的網絡上的信息。
(2) 信息,指音訊�����、消息�、通訊係統傳輸和處理的對象��,泛指人類社會傳播的一切內容。[ii]信息包括書麵和非書麵形式�,包括個人信息�����、商業秘密���、知識產權�,一些不包含個人信息�����、商業秘密���、知識產權的信息。
(3) 個人信息����,是指能夠單獨或者與其他信息結合識別特定自然人個人身份的各種信息���,包括自然人的姓名�、出生日期��、身份證件號碼���、個人生物識別信息�、住址�����、電話號碼����、通信通訊聯係方式���、賬號密碼�����、財產狀況����、行蹤軌跡�����,[iii]以及通信記錄和內容���、財產信息�、征信信息��、住宿信息�����、健康生理信息��、交易信息等。[iv]
二�����、 通過網絡爬蟲技術采集��、使用信息可能麵臨的法律風險
1. 網絡爬蟲技術是否侵入計算機信息係統所涉風險問題
網絡爬蟲技術爬取信息時����,如果使用技術手段破壞�����、突破或繞過其他計算機信息係統的安全保護措施�����,未經權利人授權或者超越授權範圍�,非法侵入[v]他人的計算機信息係統�,可能會觸發法律風險�����,造成嚴重後果或情節嚴重的�,涉嫌構成刑事犯罪。
(1) 違反國家規定�,侵入國家事務����、國防建設�����、尖端科學技術領域計算機信息係統的���,構成非法侵入計算機信息係統罪。
中國裁判文書網公布的(2018)川3424刑初169號刑事判決書顯示�����,有被告人利用爬蟲軟件登錄公安機關交通管理部門“交通安全服務管理平台”���,大量爬取全國各地及四川涼山州公安局交警支隊車管所公告的車牌放號信息��,之後使用技術手段��,突破“交通安全服務管理平台”係(xi)統(tong)安(an)全(quan)保(bao)護(hu)措(cuo)施(shi)���,將(jiang)爬(pa)取(qu)的(de)車(che)牌(pai)號(hao)提(ti)交(jiao)至(zhi)該(gai)管(guan)理(li)平(ping)台(tai)的(de)車(che)輛(liang)報(bao)廢(fei)查(zha)詢(xun)係(xi)統(tong)����,進(jin)行(xing)對(dui)比(bi)����,並(bing)根(gen)據(ju)反(fan)饋(kui)情(qing)況(kuang)自(zi)動(dong)記(ji)錄(lu)未(wei)注(zhu)冊(ce)車(che)牌(pai)號(hao)��,建(jian)立(li)全(quan)國(guo)未(wei)注(zhu)冊(ce)車(che)牌(pai)號(hao)數(shu)據(ju)庫(ku)����,出(chu)售(shou)數(shu)據(ju)庫(ku)查(zha)閱(yue)權(quan)限(xian)。有(you)關(guan)被(bei)告(gao)人(ren)因(yin)侵(qin)入(ru)國(guo)家(jia)事(shi)務(wu)領(ling)域(yu)的(de)計(ji)算(suan)機(ji)信(xin)息(xi)係(xi)統(tong)���,被(bei)認(ren)定(ding)觸(chu)犯(fan)非(fei)法(fa)侵(qin)入(ru)計(ji)算(suan)機(ji)信(xin)息(xi)係(xi)統(tong)罪(zui)�����,被(bei)判(pan)處(chu)有(you)期(qi)徒(tu)刑(xing)。[vi]盡管該案判決書未明確爬取國家事務領域的計算機信息係統數據是否屬於構成該罪的事實行為����,但亦有警示意義:如果網絡爬蟲技術突破國家事務領域計算機信息係統防護侵入該係統����,可能有這方麵的刑事責任風險。
(2) 違反國家規定���,侵入國家事務���、國防建設��、尖端科學技術領域以外的計算機信息係統或者采用其他技術手段��,獲取該計算機信息係統中存儲��、處理或者傳輸的數據���,情節嚴重的����,構成非法獲取計算機信息係統數據罪。
中zhong國guo裁cai判pan文wen書shu網wang公gong布bu了le大da量liang構gou成cheng非fei法fa獲huo取qu計ji算suan機ji信xin息xi係xi統tong數shu據ju罪zui案an例li���,其qi中zhong包bao括kuo被bei告gao利li用yong爬pa蟲chong技ji術shu抓zhua取qu被bei害hai單dan位wei服fu務wu器qi中zhong存cun儲chu的de數shu據ju��,涉she及ji使shi用yong防fang抓zhua取qu措cuo施shi繞rao過guo服fu務wu器qi的de身shen份fen校xiao驗yan實shi施shi數shu據ju抓zhua取qu行xing為wei�,造zao成cheng被bei害hai單dan位wei損sun失shi��,被bei處chu以yi刑xing罰fa的de案an件jian。
(3) 違反國家規定�����,如果通過網絡爬蟲技術侵入他人的計算機信息係統�����,或者對進入的計算機信息係統功能進行刪除���、修改�����、增加�����、幹擾�����,造成計算機信息係統不能正常運行���,或對計算機信息係統中存儲���、處理或者傳輸的數據和應用程序進行刪除��、修改��、增加���,後果嚴重的����,根據《中華人民共和國刑法》第二百八十六條���,構成破壞計算機信息係統罪。《最高人民法院�����、最高人民檢察院關於辦理危害計算機信息係統安全刑事案件應用法律若幹問題的解釋》明確了哪些情形構成“後果嚴重”�,例如:造成十台以上計算機信息係統的主要軟件或者硬件不能正常運行���,或對二十台以上計算機信息係統中存儲���、處理或者傳輸的數據進行刪除��、修改���、增加操作��,或違法所得五千元以上或者造成經濟損失一萬元以上等情形均構成“後果嚴重”。
2. 網絡爬蟲技術采集信息的種類所涉風險
取決於通過網絡爬蟲技術采集的是什麼信息���,采集信息這個行為本身存在合規風險。
(1) 通tong過guo網wang絡luo爬pa蟲chong技ji術shu���,非fei法fa獲huo得de相xiang關guan國guo家jia秘mi密mi的de�,涉she嫌xian構gou成cheng非fei法fa獲huo取qu國guo家jia秘mi密mi罪zui。國guo家jia秘mi密mi係xi指zhi關guan係xi國guo家jia安an全quan和he利li益yi����,依yi照zhao法fa定ding程cheng序xu確que定ding�����,在zai一yi定ding時shi間jian內nei隻zhi限xian一yi定ding範fan圍wei的de人ren員yuan知zhi悉xi的de事shi項xiang。
(2) weijingbeishoujigerenxinxidegerenxinxizhutimingquetongyi�����,tongguowangluopachongjishucaijigerenxinxi�,weifanlewangluoanquanfadengfalvfaguiguanyugerenxinxibaohudeguiding。
網絡安全法等法律規範確立了個人信息保護的基本原則����,即:個人信息的收集應堅持合法���、正當��、必要原則����,明示收集��、使用信息的目的���、fangshihefanwei�,bingqudebeishoujizhedetongyi。genjuwangluoanquanfadiliushisitiao��,qiequhuozheyiqitafeifafangshihuoqugerenxinxi����,shangbugouchengfanzuide���,jiangmianlinbeimeishouweifasuode�����,zhifuweifasuodeyibeiyishangshibeiyixiafakuanhuomeiyouweifasuodede����,zhifuyibaiwanyuanyixiafakuandezeren。
非法獲取個人信息�,情節嚴重的�,涉嫌構成侵犯公民個人信息罪。根據《中華人民共和國刑法》第二百五十三條及《最高人民法院����、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若幹問題的解釋》的規定�����,竊取或者以其他方法非法獲取公民個人信息的�,非法獲取行蹤軌跡信息�、通信內容�、征信信息�、財產信息五十條以上的�,非法獲取住宿信息����、通信記錄��、健康生理信息���、交易信息等其他可能影響人身��、財產安全的公民個人信息五百條以上的�,或非法獲取以上信息之外的公民個人信息五千條以上的����,屬於“情節嚴重”情形。
(3) 未獲得個人征信業務牌照���,通過網絡爬蟲技術(或其他方式)采集個人征信信息(即個人信用信息)����,違反了《征信業管理條例》。anzhaogaitiaoli�����,shanzishelijingyinggerenzhengxinyewudezhengxinjigouhuozhecongshigerenzhengxinyewuhuodongde��,youguowuyuanzhengxinyejianduguanlibumenyuyiqudi���,meishouweifasuode�����,bingchu5萬元以上50萬元以下的罰款�����;構成犯罪的����,依法追究刑事責任[vii]。
(4) 如果通過網絡爬蟲技術爬取的信息屬於商業秘密�����,根據《中華人民共和國反不正當競爭法》第九條�����,通過電子侵入或者其他不正當手段獲取權利人的商業秘密的��,構成侵犯商業秘密。
3. 通過網絡爬蟲技術采集信息後是否使用及其使用方式所涉風險
(1) 未(wei)經(jing)合(he)法(fa)授(shou)權(quan)獲(huo)取(qu)個(ge)人(ren)信(xin)息(xi)後(hou)進(jin)行(xing)使(shi)用(yong)的(de)���,很(hen)顯(xian)然(ran)��,違(wei)反(fan)了(le)網(wang)絡(luo)安(an)全(quan)法(fa)。如(ru)果(guo)將(jiang)個(ge)人(ren)信(xin)息(xi)非(fei)法(fa)提(ti)供(gong)給(gei)他(ta)人(ren)�,根(gen)據(ju)網(wang)絡(luo)安(an)全(quan)法(fa)第(di)六(liu)十(shi)四(si)條(tiao)���,竊(qie)取(qu)或(huo)者(zhe)以(yi)其(qi)他(ta)非(fei)法(fa)方(fang)式(shi)獲(huo)取(qu)�����、非fei法fa出chu售shou或huo者zhe非fei法fa向xiang他ta人ren提ti供gong個ge人ren信xin息xi�,尚shang不bu構gou成cheng犯fan罪zui的de�����,由you公gong安an機ji關guan沒mei收shou違wei法fa所suo得de����,並bing處chu違wei法fa所suo得de一yi倍bei以yi上shang十shi倍bei以yi下xia罰fa款kuan�����,沒mei有you違wei法fa所suo得de的de�,處chu一yi百bai萬wan元yuan以yi下xia罰fa款kuan。達da到dao侵qin犯fan個ge人ren信xin息xi罪zui的de犯fan罪zui構gou成cheng要yao件jian的de����,還hai會hui受shou到dao刑xing事shi處chu罰fa[viii]。
(2) 未經權利人授權���,爬取權利主體的其他信息(可能包括商業秘密�、知識產權如視頻�、音頻作品�����,也可能涉及商業秘密�、知識產權或個人信息之外的其他信息)後予以使用��,也可能構成侵權。爬取到他人的商業秘密予以使用����,屬於侵權自不待言。爬取並使用其他網站公開的信息����,如他人視頻�����、音頻等信息��,也很可能構成侵權。即��,網絡上公開的信息����,並非爬取後就順理成章成為數據提取方的“財產”或可以“為我所用”�,否則有被認定為構成侵權的風險。
深圳市中級人民法院的(2017)粵03民初822號案件��,最高人民法院公布的2018年中國法院50件典型知識產權案例之一���,涉及加工整理而成的“大數據”的權利問題����,意義深遠。原告穀米公司和被告元光公司分別研發了自己的APP軟件,二er者zhe均jun向xiang用yong戶hu提ti供gong實shi時shi公gong交jiao地di理li位wei置zhi查zha詢xun等deng服fu務wu。元yuan光guang公gong司si利li用yong網wang絡luo爬pa蟲chong技ji術shu從cong穀gu米mi公gong司si服fu務wu器qi中zhong爬pa取qu了le大da量liang公gong交jiao車che行xing駛shi實shi時shi數shu據ju��,用yong於yu其qi開kai發fa的de智zhi能neng公gong交jiaoAPP“車來了”��,法院認定二者存在競爭關係����,元光公司構成不正當競爭。他人的“大數據”成果�,如果具備獨創性要求���,權利人可以向通過爬蟲技術提取數據的主體主張知識產權侵權�����,即便該等“大數據”成果不具備獨創性�����,作為投入了成本依法獲取的“大數據”也具備無形財產屬性���,具備商業價值���,權利人可從反不正當競爭法角度尋求保護。[ix]
三���、 大數據企業如何降低數據合規風險
1. 大數據企業采集數據��,理論上似乎包括三種途徑:一是從自身業務中獲取海量數據/信息�;二是通過某種安排(如合作��、協議購買)從其他擁有海量數據的主體獲取數據/信息�;三是自行通過網絡爬蟲技術等工具/技術手段采集網絡上的數據/信息。無論以哪種方式獲取��,可嚐試從以下幾個方麵減少合規風險:
(a)從自身業務經營數據中獲取海量個人信息的���,(i)應當按照網絡安全法的規定及有關個人信息保護的規定�,遵循合法�����、正當��、必要的原則�,向個人信息主體明示收集����、使用信息的目的�、方式和範圍�,並經被收集者同意。(ii)按照法律規定僅收集與所提供服務相關的個人信息����,不過度收集個人信息����;(iii)如後續使用個人信息的目的���、方式和範圍發生變化�����,應再次取得個人信息主體就更改後的目的���、方式和範圍予以同意。(iv)向他人提供個人信息的��,應取得個人信息主體的同意,且盡量提供經過處理無法識別特定個人且無法複原的信息。(v)需(xu)要(yao)委(wei)托(tuo)他(ta)人(ren)為(wei)本(ben)企(qi)業(ye)提(ti)供(gong)數(shu)據(ju)處(chu)理(li)服(fu)務(wu)的(de)����,確(que)保(bao)他(ta)人(ren)具(ju)備(bei)維(wei)護(hu)數(shu)據(ju)安(an)全(quan)的(de)製(zhi)度(du)和(he)技(ji)術(shu)能(neng)力(li)���,委(wei)托(tuo)合(he)同(tong)中(zhong)確(que)定(ding)好(hao)雙(shuang)方(fang)關(guan)於(yu)數(shu)據(ju)合(he)規(gui)的(de)權(quan)利(li)義(yi)務(wu)。
(b)大數據企業(也包括大數據企業以外的數據需求主體)從其他擁有海量數據的主體獲取數據�,如果明知數據提供方不享有存儲�、shiyonghuozhuanyigerenxinxidequanli����,rengranhuoqugaidengxinxi���,kenenggouchengfeifahuoqugongmingerenxinxi�,qingjieyanzhongde���,gouchengqinfangongmingerenxinxizui。youjianyuci���,(i)如可行����,建議數據需求方事先盡合理努力評估/核實數據提供方是否擁有存儲�、轉移該等數據的權利�����,其是否有權將該等數據提供給數據需求方供其使用��,且數據需求方獲得並使用該等數據的目的���、範圍和方式未超越數據提供方取得數據之初獲得的個人信息主體的授權�����,如有超越授權則已取得個人信息主體的同意。(ii)在(zai)與(yu)數(shu)據(ju)提(ti)供(gong)方(fang)的(de)業(ye)務(wu)合(he)同(tong)中(zhong)�,建(jian)議(yi)加(jia)入(ru)數(shu)據(ju)提(ti)供(gong)方(fang)就(jiu)已(yi)履(lv)行(xing)數(shu)據(ju)合(he)規(gui)義(yi)務(wu)的(de)承(cheng)諾(nuo)與(yu)保(bao)證(zheng)條(tiao)款(kuan)�,並(bing)設(she)置(zhi)違(wei)反(fan)此(ci)等(deng)承(cheng)諾(nuo)與(yu)保(bao)證(zheng)條(tiao)款(kuan)導(dao)致(zhi)數(shu)據(ju)需(xu)求(qiu)方(fang)損(sun)失(shi)的(de)賠(pei)償(chang)條(tiao)款(kuan)。(iii)數據需求方盡量從其他數據主體處獲取已經脫敏��、不可識別特定自然人的�����、不可複原的信息。
(c)通過網絡爬蟲技術自行采集�、存儲和分析數據的���,(i)shejiwangluopachongchengxujishezhipaqushujumubiaoqian���,quebaopachongchengxubutupohuoraoguotarenjisuanjixinxixitongdefanghucuoshi�,bimianweijinghefashouquanhuozhechaoyueshouquan����,qinrutarenjisuanjixinxixitong��;(ii)明知某些計算機信息係統存儲的信息屬於涉及到國家機密����、商業秘密����、個人隱私或其他個人信息的�,即便該特定計算機信息係統可能存在係統漏洞���、缺少或沒有係統防護措施��,也應避免從這些計算機信息係統提取信息���;(iii)進行數據分析及後續使用時��,評估網絡爬蟲技術爬取到的數據是否含有未經授權獲取的個人信息���、他人的知識產權或其他(財產)權利��、等�����,如涉及且無權限進行進一步處理或使用�����,則予以刪除����,不存儲�����、不使用。
2. 此外�����,擁有海量數據的大數據企業����,應嚴格按照網絡安全法的要求�����,履行網絡安全等級保護義務��,保障網絡免受幹擾����、破壞或者未經搜全的訪問����,防止網絡數據泄露或被竊取����、篡改。采取主要包括製定內部安全管理製度和操作規程�、確定網絡安全責任人���,采取防範網絡攻擊���、網絡侵入的技術措施��,采取數據分類����、重要數據備份及加密等在內的安全防護措施。[x]fouze�,weifangaidengyiwu��,kenenggenjuwangluoanquanfashoudaoxingzhengchufa�,qujueyuyongyouhailiangshujudedashujuqiyeyuqitazhutideyueding�,qihaikenengchengdanweiyuezeren���,yebupaichuxiangshouhaizhutichengdan(部分)侵權責任的可能性。
3. 最後��,保持關注網絡安全和數據/個人信息合規方麵的法律��、法規����、規章等規範的更新。開展業務前��,評估業務合規性��,必要時由公司法務���、外部律師介入��,分析防範風險和調整實施策略�����,確保合規運營。
[i]https://baike.baidu.com/item/%E7%BD%91%E7%BB%9C%E7%88%AC%E8%99%AB/5162711?fr=aladdin�,瀏覽於2019年9月19日
[ii] https://baike.baidu.com/item/%E4%BF%A1%E6%81%AF/111163?fr=aladdin����,瀏覽於2019年9月20日。
[iii]《中華人民共和國網絡安全法》第七十六條�、《最高人民法院�����、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若幹問題的解釋》第一條。
[iv] 由公安部�����、北京市網絡行業協會發布的《互聯網個人信息安全保護指南》第3.1條。
[v]關於非法侵入��,《最高人民法院���、最高人民檢察院關於辦理危害計算機信息係統安全刑事案件應用法律若幹問題的解釋》關於刑法第二百八十五條第三款規定的“專門用於侵入����、非法控製計算機信息係統的程序��、工具”含(han)義(yi)�����,是(shi)指(zhi)具(ju)有(you)避(bi)開(kai)或(huo)者(zhe)突(tu)破(po)計(ji)算(suan)機(ji)信(xin)息(xi)係(xi)統(tong)安(an)全(quan)保(bao)護(hu)措(cuo)施(shi)����,未(wei)經(jing)授(shou)權(quan)或(huo)者(zhe)超(chao)越(yue)授(shou)權(quan)��,獲(huo)取(qu)計(ji)算(suan)機(ji)信(xin)息(xi)係(xi)統(tong)數(shu)據(ju)或(huo)實(shi)施(shi)程(cheng)序(xu)控(kong)製(zhi)功(gong)能(neng)的(de)�����,以(yi)及(ji)其(qi)他(ta)專(zhuan)門(men)設(she)計(ji)用(yong)於(yu)侵(qin)入(ru)���、非法控製計算機信息係統��、非法獲取計算機信息係統數據的程序����、工具�����,這對判斷哪些情形構成非法侵入計算機信息係統有重要借鑒意義。
[vi]http://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=8ec7edb0df5c4c9ca051aa950164e45e�����,瀏覽於2019年9月24日
[vii] 《征信業管理條例》第三十六條。
[viii] 根據《最高人民法院��、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若幹問題的解釋》第三條�����,未經被收集者同意��,將合法收集的公民個人信息向他人提供的�����,屬於刑法規定的侵犯公民個人信息罪所指的“提供公民個人信息”。
[ix] http://rmfyb.chinacourt.org/paper/html/2019-05/23/content_155662.htm?div=-1�����,瀏覽於2019年9月25日
[x] 《中華人民共和國網絡安全法》第二十一條。
