中伦观点 | 大数据应用中数据收集的合法性分析 | 自由微信

中伦观点 | 大数据应用中数据收集的合法性分析

陈际红中伦视界 2020-09-01

国务院于二O一五年九月发布《国务院关于印发促进大数据发展行动纲要的通知》（“纲要”），《纲要》旨在推动大数据在政府和产业的广泛应用，同时亦指出我国大数据发展存在顶层设计和统筹规划、法律法规建设滞后等诸多问题。大数据应用的基础资源是包括个人信息和商业数据在内的海量数据，因此需要保持数据获得的便利性和充分流动性，而信息社会对个人信息保护和商业秘密保护提出了更高的需求，需要防止个人信息的滥用，在数据获取中应遵循法定的规则。在数据流动和私权保护间寻找适度的平衡，对业者提出了挑战。

大数据应用中数据来源各有不同，包括用户数据的收集、数据交易、网络公开数据的收集等，可能涉及的法律问题主要包括个人信息保护、不正当竞争、商业秘密保护、著作权保护及计算机信息系统安全等。

一、个人信息的保护

（一）个人信息的范畴

根据《网络安全法》的规定，个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。个人信息不仅包括可以单独识别自然人个人身份的信息，如姓名、身份证号码、电话号码等，还包括与其他信息结合可以识别自然人个人身份的信息，如住址、工作单位、邮箱地址等。

是否具有“身份可识别性”是判断信息是否属于个人信息范畴的核心要件。随着大数据等相关技术的发展，“身份可识别性”的界限越发难以判断，并且必然会随着技术的发展而有所变化。目前我国并没有形成统一或具体的判断标准，因此实践中应当根据数据所属行业、具体的识别方法和手段合理性等因素综合判断。

（二）信息主体的授权

个人信息一般来讲属于私权的范畴，在立法和司法中应充分尊重信息主体的自决权，尊重信息主体和信息收集方达成的协议安排。根据《网络安全法》第四十一条的规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。因此，对于属于个人信息的数据，其收集、使用和处理都需要经过信息主体的同意，即应遵从知情同意原则。

《信息安全技术公共及商用服务信息系统个人信息保护指南》（GB/Z 28828-2012）作为我国首个个人信息保护国家指导性标准，将个人信息分为个人一般信息和个人敏感信息，并提出默许同意和明示同意的概念。对于个人一般信息的处理可以建立在默许同意的基础上，只要个人信息主体没有明确表示反对，便可收集和利用。对于个人敏感信息，则需要建立在明示同意的基础上，在收集和利用之前，必须首先获得个人信息主体明确的授权。根据标准定义，个人敏感信息指的是一旦遭到泄露或修改，会对标识的个人信息主体造成不良影响的个人信息。各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。个人一般信息则是指除个人敏感信息以外的个人信息。

事实上，在上诉人北京百度网讯科技有限公司与被上诉人朱烨隐私权纠纷一案的民事判决（案号：（2014）宁民终字第5028号）中，法院已经考虑到了个人信息主体授权的完整性和信息技术创新发展的平衡。法院考虑到“百度网讯公司已经明确说明cookie技术、使用cookie技术的可能性后果以及通过提供禁用按钮向用户提供选择退出机制”，因此认为“朱烨在百度网讯公司已经明确告知上述事项后，仍然使用百度搜索引擎服务，应视为对百度网讯公司采用默认‘选择同意’方式的认可”，并进而认定“……将个人信息区分为个人敏感信息和非个人敏感信息的一般个人信息而允许采用不同的知情同意模式，旨在保护个人人格尊严与促进技术创新之间寻求最大公约数”。

（三）脱敏数据交易

对于收集后的信息，根据《网络安全法》第四十条、四十二条、四十四条的规定，网络运营者应当承担严格的保密责任（包括必要的保密措施、补救措施及泄露后的通知义务），未经信息主体的同意，不得向他人提供个人信息，但是经过处理无法识别特定个人且不能复原的除外。任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。

《网络安全法》首次明确认可了“脱敏数据交易的合法性”，但其前提是数据经过处理后无法识别特定个人且不能复原。与个人信息的“身份可识别性”相同，目前我国并没有统一的“不能复原”的判断标准，因此实践中应当根据数据所属行业、具体的识别方法和手段合理性等因素综合考虑。

（四）法律责任

因个人信息收集、处理、使用产生的民事责任主要包括侵权责任和违约责任。如果包括隐私在内的个人信息未经信息主体同意而被相关企业收集、使用或处理，信息主体可以依据《侵权责任法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》及《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》主张隐私权或个人信息侵权责任（如，北京百度网讯科技公司与朱烨隐私权纠纷案，(2014)宁民终字第5028号）。如果信息收集者/处理者是基于与信息主体的用户协议或其他协议收集、处理、使用信息主体的信息，则违反协议约定或超出协议授权范围的收集、处理行为同时将产生违约责任，信息主体有权选择向信息收集者/处理者主张违约责任。

随着《网络安全法》的实施，非法收集、处理个人信息所产生的行政责任更加明确。根据《网络安全法》第六十四条的规定，网络运营者、网络产品或者服务的提供者违反本法第四十一条至第四十三条规定，侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。违反本法第四十四条规定，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款。

2015年11月，《刑法修正案（九）》将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”，扩大了犯罪主体和侵犯个人信息行为的范围。于2017年6月1日起施行的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》明确了侵犯公民个人信息罪的具体定罪量刑标准，刑事打击侵害公民个人信息行为的力度更大。

二、著作权保护

互联网业者在大数据应用中，往往希望了解消费者的消费习惯、其它业者的操作方式等，因此也会考虑在各个互联网平台上收集数据或信息，所收集的数据或信息有可能构成著作权法项下的保护客体。

第一类是用户制作和提供的内容，即UGC (User Generated Content,UGC)，比如针对互联网电商平台销售产品的用户评价、旅游网站旅行者的体验报告和订餐网站对餐厅和菜品的评价等。此类信息可能是一个简单的好或坏的评价，也可能是具有独创性的文字作品或摄影作品，包括用户的深度评论或日记、用户上传的照片、视频等，而这些可能会构成著作权保护的客体；

第二类是平台或平台商户创作的具有独创性的文字作品和摄影作品，包括文字性的介绍、照片等；

第三类是平台运营者收集和整理的数据库，通过汇编和整理（对其内容的选择或者编排体现出独创性），有可能成为汇编作品。

著作权自作品完成之日起产生，未经著作权人（用户、平台或平台商户）许可，第三方通常不可以商业化使用其作品。实践中，互联网平台或应用运营者通常会通过用户协议或隐私条款要求用户将其在平台上发布/发表的任何形式的信息（包括评论和图片）的著作财产权免费授权或转让给平台或应用运营者，因此，平台或应用的运营商有可能作为著作权人向侵权人主张用户作品的著作权。而对于平台或平台商户创造的文字作品、摄影作品和数据库等，作为著作权人的平台运营者或具体商户同样有权行使其对于相关作品的著作权。

根据《著作权法》第四十八条的规定，未经著作权人许可，复制、发行、表演、放映、广播、汇编、通过信息网络向公众传播其作品的，应当根据情况，承担停止侵害、消除影响、赔礼道歉、赔偿损失等民事责任；同时损害公共利益的，可以由著作权行政管理部门责令停止侵权行为，没收违法所得，没收、销毁侵权复制品，并可处以罚款；情节严重的，著作权行政管理部门还可以没收主要用于制作侵权复制品的材料、工具、设备等；构成犯罪的，依法追究刑事责任。

三、不正当竞争

（一）商业秘密

商业秘密主要指不为公众所知悉、能为权利人带来经济利益、具有实用性并经权利人采取保密措施的技术信息和经营信息。根据《反不正当竞争法》第十条的规定：经营者不得采用下列手段侵犯商业秘密：

（一）以盗窃、利诱、胁迫或者其他不正当手段获取权利人的商业秘密；

（二）披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密；

（三）违反约定或者违反权利人有关保守商业秘密的要求，披露、使用或者允许他人使用其所掌握的商业秘密。第三人明知或者应知前款所列违法行为，获取、使用或者披露他人的商业秘密，视为侵犯商业秘密。监督检查部门将责令相关经营者停止违法行为，并可以根据情节处以罚款。商业秘密的权利人可以向侵权人主张侵权责任（包括停止侵害、损害赔偿等）。

如果相关数据是平台或应用运营者在运营过程中产生的数据，包括访问量、注册用户数量、用户浏览记录等一般用户无法获取的经营数据，相关运营者同时采取了保密措施（如设置防火墙、加密），则此类数据应当属于商业秘密的范畴，相关运营者应当视为商业秘密的权利人。未经商业秘密权利人同意，任何第三方不得以不正当手段获取、使用其商业秘密，否则将承担相应的民事责任或行政责任，构成犯罪的，依法追究刑事责任。

（二）商业道德和诚实信用

如果相关数据是平台或应用运营者在运营过程中产生的但却是一般用户都可以浏览或利用的数据，比如用户的简单评论或评价、用户的评论数、商户的基本信息及评分等，由于该类数据不具有秘密性，或者运营者并没有采取任何保密措施，所以不属于商业秘密的范畴。其中由用户点评或评论产生的数据，由于不具有“身份可识别性”，应当不属于个人信息的范畴，简单的文字评价或评分也不足以成为著作权下的作品。

该类数据的所有权目前并不明确，虽然该类数据多由用户完成，但是其单独的评论或评价并不会产生显著的价值。很多平台或应用的经营者都会通过用户协议或隐私条款明确要求该类数据的所有权及处分权益归经营者所有，从现有案例来看，该类协议的有效性并没有被法院或监管机关所质疑，比如上海汉涛公司诉北京爱帮公司不正当竞争纠纷（(2011)一中民终字第7512号），主审法院对用户协议及平台数据权利的合法性进行了认可，认为“汉涛公司通过与用户签订协议，获得用户点评和商户简介的著作财产权益，并通过对上述信息搜集、整理，为公司带来更多合法利益”，“大众点评网的商户简介和用户点评，是汉涛公司搜集、整理和运用商业方法吸引用户注册而来。汉涛公司为此付出了人力、财力、物力和时间等经营成本，由此产生的利益应受法律保护”。

根据目前的法律实践，数据抓取行为和数据使用行为都有可能因为违反商业道德和诚实信用而构成不正当竞争行为。其中违法的数据抓取行为包括三类，第一类是超出协议范围的数据抓取行为：平台与合作方（数据抓取方）签署了正式的合作协议或API协议，平台向合作方提供数据共享接口，但是合作方超出协议范围获取或利用非法技术手段抓取了平台的数据，该数据抓取行为可能构成不正当竞争行为（如北京淘友天下技术有限公司等与北京微梦创科网络技术有限公司的不正当竞争纠纷，（2016）京73民终588号）；第二类是违背行业内公认准则的数据抓取行为，网站通过Robots协议可以告诉搜索引擎哪些内容可以抓取,哪些内容不能抓取。在法院已有的案例中，Robots协议被认为是互联网行业普遍遵守的规则,故搜索引擎违反Robots协议抓取网站的内容,可能会被认定为违背公认的商业道德,从而构成不正当竞争（如北京百度网讯科技有限公司等与北京奇虎科技有限公司等不正当竞争纠纷，(2013)一中民初字第2668号）；第三类是采用违法手段进行的数据抓取行为，如通过侵入或破坏计算机信息系统进行的数据抓取行为，在不考虑其刑事违法性的条件下，其数据抓取显然构成不正当竞争行为。

如果数据抓取的技术手段是合法的，对于获取数据的使用行为同样有可能违反诚实信用原则或公认的商业道德。在上海汉涛信息咨询有限公司与北京百度网讯科技有限公司不正当竞争纠纷（（2015）浦民三（知）初字第528号）中，法院认定，“由于Robots协议是互联网行业普遍遵守的规则,故搜索引擎违反Robots协议抓取网站的内容,可能会被认定为违背公认的商业道德,从而构成不正当竞争。但并不能因此认为,搜索引擎只要遵守Robots协议就一定不构成不正当竞争。Robots协议只涉及搜索引擎抓取网站信息的行为是否符合公认的行业准则的问题,不能解决搜索引擎抓取网站信息后的使用行为是否合法的问题。本案中,百度公司的搜索引擎抓取涉案信息并不违反Robots协议,但这并不意味着百度公司可以任意使用上述信息,百度公司应当本着诚实信用的原则和公认的商业道德,合理控制来源于其他网站信息的使用范围和方式。百度公司拥有强大的技术能力及领先的市场地位,若不对百度公司使用其他网站信息的方式依法进行合理规制,其完全可以凭借技术优势和市场地位,以极低的成本攫取其他网站的成果,达到排挤竞争对手的目的”。因此，对涉及信息使用的市场竞争行为是否具有不正当性的判断，应当综合考虑多重因素，包括：涉案信息是否具有商业价值,能否给经营者带来竞争优势；信息获取的难易程度和成本付出；对信息的获取及利用是否违法、违背商业道德或损害社会公众利益；竞争对手使用信息的方式和范围等。

四、计算机信息系统保护

如果通过侵入他人计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，该获取数据的行为不仅可能构成上述的不正当竞争行为，给他人财产造成损失的，应当依法承担民事责任，情节严重的，则有可能构成非法侵入计算机信息系统罪或破坏计算机信息系统罪（《刑法》第二百八十五条和二百八十六条），进而需要承担刑事责任。

五、法律风险的控制措施

如前所述，大数据应用者不仅应当关注数据的抓取行为，同时应当注意数据使用的合规性，避免使用任何未经授权的个人信息、商业秘密或著作权作品。对于来源于网络平台的普通数据，企业在使用时也应当注意自身对数据的使用方式和范围，避免违反诚实信用的原则和公认的商业道德，构成不正当竞争行为。

此外，为控制风险，建议大数据应用企业可以采取以下措施：

1) 完善与数据供应商的协议，明确供应商对数据来源合法性的担保责任；

2) 明确数据供应商对个人信息的授权和脱敏责任，明确数据供应商的保密义务等；

3) 同时，企业在选择数据供应商时，要对供应商的数据流程进行法律合规性评估，并基于评估结果选择供应商；

4) 在获得数据后，企业内部应当对数据采取必要的保密措施，进行数据分类处理，确定特定的使用目的，避免数据的扩散或泄露；

5) 数据进行交易或流转之前，对数据进行必要的处理，尤其应当注意对于个人信息的脱敏。

此文首发于汕头大学学报 2017年第5期

作者简介：

陈际红律师

合伙人北京办公室