《大数据应用中数据收集的合法性分析》由会员分享,可在线阅读,更多相关《大数据应用中数据收集的合法性分析(7页珍藏版)》请在金锄头文库上搜索。
1、大数据应用中数据收集的合法性分析 陈际红 中伦律师事务所 摘 要: 在“大数据”时代, 大量的数据涉及到个人信息和商业信息, 遵守相关的法律和政策、对个人信息和商业秘密进行适当和充分的保护, 是企业必须面对的挑战。本文立足于大数据应用的整体环境, 结合最新出台的法律法规, 对数据收集的合法性进行深入浅出、条分缕析的说明, 进而为企业在个人信息保护、著作权保护、不正当竞争、计算机系统保护等方面提出法律风险提示和控制措施。关键词: 大数据收集; 数据脱敏; 个人信息保护; 著作权保护; 不正当竞争; 计算机信息系统保护; 作者简介:陈际红 (1970-) , 男, 河南鹤壁人, 中伦律师事务所 I
2、P/TMT 业务合伙人, 全国律师协会信息网络与高新技术委员会副主任兼秘书长。Analysis on Legality of Data Collection in the Application of Big DataCHEN Ji-hong Abstract: In this era of “big data”, a large amount of data is related to personal information and business information. Enterprises must face the challenge to protect personal i
3、nformation and trade secrets in appropriate and adequate ways in accordance with laws and policies. Based on the overall environment of big data application, with the updating laws and regulations, this article provides the detailed analysis on legality of data collection in simple terms but with em
4、phasis, and it advises enterprises on tips and control measures of legal risks in personal information protection, copyright protection, unfair competition, and computer system protection.Keyword: Collection of big data; data desensitization; personal information protection; copyright protection; un
5、fair competition; computer system protection; 中国国务院于 2015 年 9 月发布国务院关于印发促进大数据发展行动纲要的通知 (以下简称纲要) , 纲要旨在推动大数据在政府和产业的广泛应用, 同时亦指出我国大数据发展存在顶层设计和统筹规划、法律法规建设滞后等诸多问题。大数据应用的基础资源是包括个人信息和商业数据在内的海量数据, 因此需要保持数据获得的便利性和充分流动性, 而信息社会对个人信息保护和商业秘密保护提出了更高的需求, 需要防止个人信息的滥用, 在数据获取中应遵循法定的规则。在数据流动和私权保护间寻找适度的平衡, 对业者提出了挑战。大数据
6、应用中数据来源各有不同, 包括用户数据的收集、数据交易、网络公开数据的收集等, 可能涉及的法律问题主要包括个人信息保护、不正当竞争、商业秘密保护、著作权保护及计算机信息系统安全等。一、个人信息的保护(一) 个人信息的范畴根据网络安全法的规定, 个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息, 包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。个人信息不仅包括可以单独识别自然人个人身份的信息, 如姓名、身份证号码、电话号码等, 还包括与其他信息结合可以识别自然人个人身份的信息, 如住址、工作单位、邮箱地址等。是否具有
7、“身份可识别性”是判断信息是否属于个人信息范畴的核心要件。随着大数据等相关技术的发展, “身份可识别性”的界限越发难以判断, 并且必然会随着技术的发展而有所变化。目前我国并没有形成统一或具体的判断标准, 因此实践中应当根据数据所属行业、具体的识别方法和手段的合理性等因素综合判断。(二) 信息主体的授权个人信息一般来讲属于私权的范畴, 在立法和司法中应充分尊重信息主体的自决权, 尊重信息主体和信息收集方达成的协议安排。根据网络安全法第四十一条的规定, 网络运营者收集、使用个人信息, 应当遵循合法、正当、必要的原则, 公开收集、使用规则, 明示收集、使用信息的目的、方式和范围, 并经得收集者同意。
8、网络运营者不得收集与其提供的服务无关的个人信息, 不得违反法律、行政法规的规定和双方的约定收集、使用个人信息, 并应当依照法律、行政法规的规定和与用户的约定, 处理其保存的个人信息。因此, 对于属于个人信息的数据, 其收集、使用和处理都需要经过信息主体的同意, 即应遵从知情同意原则。信息安全技术公共及商用服务信息系统个人信息保护指南 (GB/Z 28828-2012) 作为我国首个个人信息保护国家指导性标准, 将个人信息分为个人一般信息和个人敏感信息, 并提出默许同意和明示同意的概念。对于个人一般信息的处理可以建立在默许同意的基础上, 只要个人信息主体没有明确表示反对, 便可收集和利用。对于个
9、人敏感信息, 则需要建立在明示同意的基础上, 在收集和利用之前, 必须首先获得个人信息主体明确的授权。根据标准定义, 个人敏感信息指的是一旦遭到泄露或修改, 会对标识的个人信息主体造成不良影响的个人信息。各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。个人一般信息则是指除个人敏感信息以外的个人信息。事实上, 在上诉人北京百度网讯科技有限公司与被上诉人朱烨隐私权纠纷一案的民事判决 (案号: (2014) 宁民终字第 5028 号) 中, 法院已经考虑到了个人信息主体授权的完整性和信息技
10、术创新发展的平衡。法院考虑到“百度网讯公司已经明确说明 cookie 技术、使用 cookie 技术的可能性后果以及通过提供禁用按钮向用户提供选择退出机制”, 因此认为“朱烨在百度网讯公司已经明确告知上述事项后, 仍然使用百度搜索引擎服务, 应视为对百度网讯公司采用默认选择同意方式的认可”, 并进而认定“将个人信息区分为个人敏感信息和非个人敏感信息的一般个人信息而允许采用不同的知情同意模式, 旨在保护个人人格尊严与促进技术创新之间寻求最大公约数”。(三) 脱敏数据交易对于收集后的信息, 根据网络安全法第四十条、四十二条、四十四条的规定, 网络运营者应当承担严格的保密责任 (包括必要的保密措施、
11、补救措施及泄露后的通知义务) , 未经信息主体的同意, 不得向他人提供个人信息, 但是经过处理无法识别特定个人且不能复原的除外。任何个人和组织不得窃取或者以其他非法方式获取个人信息, 不得非法出售或者非法向他人提供个人信息。网络安全法首次明确认可了“脱敏数据交易的合法性”, 但其前提是数据经过处理后无法识别特定个人且不能复原。与个人信息的“身份可识别性”相同, 目前我国并没有统一的“不能复原”的判断标准, 因此实践中应当根据数据所属行业、具体的识别方法和手段合理性等因素综合考虑。(四) 法律责任因个人信息收集、处理、使用产生的民事责任主要包括侵权责任和违约责任。如果包括隐私在内的个人信息未经信
12、息主体同意而被相关企业收集、使用或处理, 信息主体可以依据侵权责任法、全国人民代表大会常务委员会关于加强网络信息保护的决定及关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定主张隐私权或个人信息侵权责任 (如, 北京百度网讯科技公司与朱烨隐私权纠纷案, (2014) 宁民终字第 5028 号) 。如果信息收集者/处理者是基于与信息主体的用户协议或其他协议收集、处理、使用信息主体的信息, 则违反协议约定或超出协议授权范围的收集、处理行为同时将产生违约责任, 信息主体有权选择向信息收集者/处理者主张违约责任。随着网络安全法的实施, 非法收集、处理个人信息所产生的行政责任更加明确。根
13、据网络安全法第六十四条的规定, 网络运营者、网络产品或者服务的提供者违反本法第四十一条至第四十三条规定, 侵害个人信息依法得到保护的权利的, 由有关主管部门责令改正, 可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款, 没有违法所得的, 处一百万元以下罚款, 对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的, 并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。违反本法第四十四条规定, 窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息, 尚不构成犯罪的, 由公安机关没收违法所得, 并处违法所得一倍以
14、上十倍以下罚款, 没有违法所得的, 处一百万元以下罚款。2015 年 11 月, 刑法修正案 (九) 将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”, 扩大了犯罪主体和侵犯个人信息行为的范围。于 2017 年 6 月 1 日起施行的最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释明确了侵犯公民个人信息罪的具体定罪量刑标准, 刑事打击侵害公民个人信息行为的力度更大。二、著作权保护互联网业者在大数据应用中, 往往希望了解消费者的消费习惯、其它业者的操作方式等, 因此也会考虑在各个互联网平台上收集数据或信息, 所收集的数据
15、或信息有可能构成著作权法项下的保护客体。第一类是用户制作和提供的内容, 即 UGC (User Generated Content) , 比如针对互联网电商平台销售产品的用户评价、旅游网站旅行者的体验报告和订餐网站对餐厅和菜品的评价等。此类信息可能是一个简单的好或坏的评价, 也可能是具有独创性的文字作品或摄影作品, 包括用户的深度评论或日记、用户上传的照片、视频等, 而这些可能会构成著作权保护的客体;第二类是平台或平台商户创作的具有独创性的文字作品和摄影作品, 包括文字性的介绍、照片等;第三类是平台运营者收集和整理的数据库, 通过汇编和整理 (对其内容的选择或者编排体现出独创性) , 有可能成
16、为汇编作品。著作权自作品完成之日起产生, 未经著作权人 (用户、平台或平台商户) 许可, 第三方通常不可以商业化使用其作品。实践中, 互联网平台或应用运营者通常会通过用户协议或隐私条款要求用户将其在平台上发布/发表的任何形式的信息 (包括评论和图片) 的著作财产权免费授权或转让给平台或应用运营者, 因此, 平台或应用的运营商有可能作为著作权人向侵权人主张用户作品的著作权。而对于平台或平台商户创造的文字作品、摄影作品和数据库等, 作为著作权人的平台运营者或具体商户同样有权行使其对于相关作品的著作权。根据著作权法第四十八条的规定, 未经著作权人许可, 复制、发行、表演、放映、广播、汇编、通过信息网络向公众传播其作品的, 应当根据情况, 承担停止侵害、消除影响、赔礼道歉、赔偿损失等民事责任;同时损害公共利益的, 可以由著作权行政管理部门责令停止侵权行为, 没收违法所得, 没收、销毁侵权复制品, 并可处以罚款;情节严重的, 著作权行政管理部门还可以没收主要用于制作侵权复制品的材
