查看原文
其他

数据爬取的法律风险综述(DPO社群成员观点)

The following article comes from 互联网mate Author 刘笑岑

编者按

在DPO社群线下沙龙第四期活动中,与会成员曾围绕数据爬取的法律规制碰撞出饶有启发的观点和思考,梳理整合实务中的合规策略、负面清单,表达作为一线从业者的困惑与倡议,详细内容参见第四期数据保护官沙龙纪实:网络爬虫的法律规制。本期中,为便于大家在未来的工作和研究中查找参考,社群成员进一步整理出有关数据爬取的法律风险综述,以飨读者。


一、数据爬取中可能侵犯的法益


界定数据爬取的法律性质颇为复杂:一方面,其行为上呈现多阶段性,具有法律评价意义的大致可分为获取和利用两个阶段;另一方面,数据上附着的客体具有多法益性,在整个数据抓取的过程中可能涉嫌侵犯多种法益,包括计算机信息系统安全、公民个人信息、版权、商业秘密、市场竞争秩序等。对于数据上所附着的不同法益,各部门法在保护角度和程度上有所差异:对于“非法获取”行为的评价可能会在法律责任的认定上出现公法与私法的分野;而对“非法利用”行为的评价则更多涉及到平等主体间的权利保障和利益分配问题。

 

二、行为不法:非法获取数据的法律风险


获取数据是整个数据爬取中最重要也是必不可少的一环,包括对于数据的查询、收集、存储、提取等等,其行为的法律性质往往决定了整个数据爬取的性质,一旦获取特定数据的行为和手段属于严重违法犯罪行为,那么后续是否对该数据进行二次加工、利用、谋利等等都不会影响行为本身的定性,因此本节中重点探讨法律对于非法获取行为的负面评价。


在非法获取数据的法律风险中,多以刑事和行政风险为主,也伴随一定的竞争法风险。由于爬取的方式、对象和结果的不同,而可能分别构成不同的侵权、违法甚至犯罪行为,主要包括危害计算机信息系统安全类、非法获取公民个人信息类和侵犯知识产权类等,具体如下:


(一)危害计算机信息系统安全类


1、未经授权访问政府系统


实际行为

侵入政府内网或后台服务器(包括窃取账号登录)

法律风险

构成非法侵入计算机信息系统罪或行政违法

犯罪构成

《刑法》第285条:违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的

违法构成

《网络安全法》第27条:任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能等危害网络安全的活动

司法态度

非法查询政府内网即构成侵入,无需实际存储数据。详见滕守昆、房川、蒋小东、滕守灿犯非法侵入计算机信息系统罪一审刑事判决书

http://wenshu.court.gov.cn/content/content?DocID=41fec3ab-3067-4a79-9645-a7c800acd0ba


2、未经授权获取(非个人信息类)数据


实际行为

1、破解或规避技术保护措施,未经授权或者超越授权获取数据

2、违规使用他人内网账号、密码、Token登录获取数据

法律风险

构成非法获取计算机信息系统数据罪或行政违法

犯罪构成

《刑法》第285条:违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据...

违法构成

《网络安全法》第27条:任何个人和组织不得从事“窃取网络数据”等危害网络安全的活动...

认定难点

1、如何界定“违反国家规定”?

依照《刑法》第96条规定,“违法国家规定”指“违反全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令”。换言之,刑法中的“国家规定”一般只包括法律和行政法规。但我国的法律和行政法规中并未对非法获取的手段作出颗粒度更细的规定。

2、如何界定“侵入或计算机信息系统或者采用其他技术手段”?

参照两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》中对于“专门用于侵入计算机信息系统的程序、工具”的解释:“具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的”,可以大致推断出构成非法获取计算机信息系统数据罪既包括侵入服务器的黑客行为,也包括使用“避开或者突破计算机信息系统安全保护措施”的“其他技术手段”+“未经授权或者超越授权”去获取数据的行为

司法态度

国内:

1、超出授权范围使用账号、密码登录计算机信息系统,属于侵入计算机信息系统的行为;侵入计算机信息系统后下载其储存的数据,可以认定为非法获取计算机信息系统数据。参见最高检指导案例第36号:卫梦龙、龚旭、薛东东非法获取计算机信息系统数据案

http://newspaper.jcrb.com/2017/20171017/20171017_003/20171017_003_6.htm。

2、破解App的加密算法或API交互规则,使用伪造的设备ID绕过服务器的身份校验,使用伪造的UA、IP绕过服务器的访问频率设置等规避或突破系统技术保护措施的手段获取数据的,构成非法获取计算机信息系统数据罪。参见:上海晟品网络科技有限公司、侯明强等非法获取计算机信息系统数据罪案http://www.bjcourt.gov.cn/cpws/paperView.htm?id=100675501709&n=1。

3、使用技术手段绕过实名制验证系统的,构成破坏计算机信息系统罪。参见桂利锋破坏计算机信息系统案http://wenshu.court.gov.cn/content/content?DocID=a08ab42b-cb74-4bd7-a447-a8fd003323f4。


(二)非法获取公民个人信息


实际行为

未经被收集者同意获取用户个人信息的

法律风险

构成侵犯公民个人信息罪或行政违法

犯罪构成

刑法第253条之一:窃取或者以其他方法非法获取公民个人信息的

违法构成

《网络安全法》第41条:网络运营者收集、使用个人信息...并经被收集者同意

认定难点

爬取公开网页的个人信息是否构成犯罪?

1、司法态度:企业经营信息中包含的自然人姓名及联系方式,属于企业信息范围,不能等同于刑法意义上的公民个人信息,不构成侵犯公民个人信息罪

详见《公民个人信息刑法保护的例外》人民法院报2018.6.21

https://mp.weixin.qq.com/s/Yi3M225q6UWKkgVN0wLrbQ

2、理论观点:对于权利人自愿公开、甚至主动公开的公民个人信息,行为人获取相关信息后出售、提供的行为,可以推定被收集者存在概括同意,不宜对收集后出售或者提供的行为要求“二次授权”,也就不应认为行为人出售或者提供公民个人信息的行为系“违反国家有关规定”,不宜以侵犯公民个人信息罪论处详见最高人民法院研究室喻海松著《侵犯公民个人信息司法解释理解与使用》


(三)非法获取商业秘密


实际行为

有意规避或破坏技术保护措施,获取他人采取保密措施的技术信息和经营信息

法律风险

构成侵犯商业秘密罪或违反《反不正当竞争法》

司法态度

《关于审理不正当竞争民事案件应用法律若干问题的解释》将符合以下条件的客户名单也纳入商业秘密保护范畴:(1)具有长期稳定交易关系的客户名单,包括名称、联系方式以及交易的习惯、意向、内容等,是区别于公知信息的特殊信息,具有价值性。(2)采取合理保密措施的(保密协议、保密制度、电脑设置密码等),构成商业秘密。(3)离职员工使用客户名单引诱老东家的客户、抢夺交易机会,新东家明知员工的行为而使用客户名单的,共同侵害老东家的商业秘密。


(四)破坏版权技术保护措施类


实际行为

突破权利人在其作品、表演、录音录像制品上设置的防止未经许可被接触或使用的技术保护措施

法律风险

构成侵权

法律规定

《著作权法》第48条规定,“有下列侵权行为的,应当根据情况,承担...民事责任(六)未经著作权人或者与著作权有关的权利人许可,故意避开或者破坏权利人为其作品、录音录像制品等采取的保护著作权或者与著作权有关的权利的技术措施的,法律、行政法规另有规定的除外”。


三、结果不法:非法利用数据的法律风险


数据利用虽然不是整个数据爬取行为的必然阶段,但往往是后者的目的所在,二者通常具有互为因果的“牵连关系”,而法律出于规制成本的考虑,在对某些法益实行保护时,需要以某些实质损害的出现作为启动条件,这就导致了当爬取特定数据时,假定获取行为本身尚未构成本文第二部分所述的违法犯罪行为,那么只有在行为人后续对于该数据进行非法利用时,才可能构成对于特定法益的侵犯。笔者为便于分类讨论,本部分中所提到的“非法利用”,无特别说明均具有获取行为本身并不违法的假设前提,如果获取行为和利用行为分别构成违法,将可能导致责任竞合。


在非法利用数据的法律风险中,多以竞争法和侵权风险为主。由于爬取的对象和利用的方式不同,可能分别构成不正当竞争、侵权著作权和侵犯人格权等,具体如下:


(一)不正当竞争类


实际行为

1、存在“不劳而获”和“搭便车”行为,超出合理使用限制,对于原网站造成了实质性替代损害其商业利益

2、通过OpenAPI开发合作获取用户信息时未能遵守“用户授权”+“平台授权”+“用户授权”的三重授权原则

法律风险

构成不正当竞争

司法态度

1、百度vs.360

法院认为“Robots协议应当被认定为搜索引擎行业内公认的、应当被遵守的商业道德”。因此360违反Robots协议,擅自抓取百度网站内容并生成快照向用户提供,已明显超出网页快照的合理范围,被函告后仍不停止,构成不正当竞争。 

http://bj1zy.chinacourt.org/article/detail/2014/09/id/1446252.shtml

2、点评vs.爱帮

垂直搜索网站未对使用范围、方式、目的做出合理限制,且已构成对点评上内容的实质性替代,不合理地损害点评网的商业利益,构成不正当竞争。

https://www.itslaw.com/detail?judgementId=5386718b-b750-4fd4-9c211f0fa7a81c55&area=1&index=1&sortType=1&count=7&conditions=searchWord%2B%E6%B1%89%E6%B6%9B%2B1%2B%E6%B1%89%E6%B6%9B&conditions=searchWord%2B%E7%88%B1%E5%B8%AE%2B1%2B%E7%88%B1%E5%B8%AE

3、点评vs.百度

点评对涉案信息的获取付出了巨大劳动,具有可获得法律保护的权益,且点评信息是核心竞争资源,带来竞争优势具有商业价值,百度全文使用超出必要限度,实质替代点评提供信息,造成实质损害,构成不正当竞争。

https://www.itslaw.com/detail?judgementId=aaecde03-5248-4b7b-b521dde5877dac75&area=1&index=19&sortType=1&count=54&conditions=searchWord%2Brobots%2B1%2Brobots&conditions=caseType%2B1%2B10%2B%E6%B0%91%E4%BA%8B

4、新浪vs.脉脉

明确平台可以对在用户同意的前提下基于自身经营活动收集并进行商业性使用的用户数据信息主张权利。第三方通过OenAPI开发合作获取用户信息时遵守“用户授权”+“平台授权”+“用户授权”的三重授权原则,否则其获取和利用用户信息的行为可能因违反商业道德和市场竞争秩序而构成不正当竞争。

https://www.itslaw.com/detail?judgementId=c6648e27-34b1-4ea3-b40e28245b1c4682&area=1&index=1&sortType=1&count=3&conditions=searchWord%2B%E5%BE%AE%E6%A2%A6%2B1%2B%E5%BE%AE%E6%A2%A6&conditions=searchWord%2B%E6%B7%98%E5%8F%8B%E5%A4%A9%E4%B8%8B%2B1%2B%E6%B7%98%E5%8F%8B%E5%A4%A9%E4%B8%8B

5、淘宝 v. 美景

网络数据产品的开发与市场应用已成为当前互联网行业的主要商业模式,是网络运营者付出了人力、物力、财力,经过长期经营积累而形成的,且是市场竞争优势的重要来源与核心竞争力所在,带来了可观的商业利益与市场竞争优势。他人未付出劳动创造据他人劳动成果为己牟利的行为,明显有悖公认的商业道德,属于不劳而获“搭便车”的不正当竞争行为,如不加禁止将挫伤大数据产品开发者的创造积极性,阻碍大数据产业的发展,进而会影响到广大消费者福祉的改善。

https://mp.weixin.qq.com/s/Q3qguv6oUDrVxg2IRktM-Q


(二)侵犯著作权类


实际行为

抓取并展示的内容(例如文字、图片、视频等)中,包含UGC、PGC等内容,可能存在以下情形:

1、未经权利人许可,抓取并使用UGC\PGC内容;

2、虽经内容生产者许可,但未经原平台许可,抓取并使用UGC\PGC内容。

法律风险

因为内容的版权归属具有一定差异(有些属于内容上传者,有些属于平台,有些属于第三人),因此在未经权利人许可抓取并使用时可能存在以下风险:

版权归属

法律后果

内容上传者(U)

著作权侵权

专业内容生产者(P)

侵犯著作权罪\著作权侵权

平台

著作权侵权\不正当竞争

第三人(二次伤害)

著作权侵权

 

司法态度

1、构成刑事犯罪:

未经著作权人许可,复制他人美术作品通过信息网络擅自向公众传播,并通过广告营利的,构成侵犯著作权罪。详见叶祥春、江春波侵犯著作权一审刑事判决http://wenshu.court.gov.cn/content/content?DocID=e4acb2a9-dce5-416f-9086-a881001fef01

2、构成对PGC的版权侵权:

腾讯诉今日头条案平台未经许可向公众提供PGC,侵犯权利人信息网络传播权。本案中,今日头条作为一个新闻推荐类应用,未经许可,通过计算机爬虫程序在腾讯网站抓取涉案200余篇体育、娱乐等报道文章,然后向用户推荐新闻,侵犯了腾讯的信息网络传播权。


(三)侵犯人格权类


实际行为

抓取并使用的用户信息中,包含姓名、肖像、隐私等

法律风险

构成侵权


那么问题来了,侵犯人格权与侵犯个人信息究竟是什么关系?且听下回分解...




关于DPO沙龙活动的有关情况,请见:


DPO社群成果

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)

  2. 巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)

  3. 美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品)

  4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品)

  5. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)


线下沙龙实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南 

  3. 第三期数据保护官沙龙纪实:数据出境安全评估

  4. 第四期数据保护官沙龙纪实:网络爬虫的法律规制 

  5. 第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险

  6. 第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论


线上沙龙见:

  1. DPO社群对数据堂事件的精彩点评

  2. DPO社群线上讨论第二期:“出售 & 提供” 个人信息之法律与实务对话

  3. 用户授权第三方获取自己在平台的数据,可以吗?不可以吗?(DPO沙龙线上讨论第三期)


时评见:

  1. 数据安全事件时评第一期

  2. 数据安全事件时评第二期

  3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目:数据可移植性的开源计划

  4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

  5. 【时事七】美国通过《NIST小企业网络安全法》

  6. 【时事八】国际数据流动:欧盟委员会启动对日本的充分性决定流程

  7. 【时评九】加州IoT设备网络安全法对物联网法律之影响(附法案翻译)


DPO社群成员观点

  1. 个人信息委托处理是否需要个人授权?(DPO社群成员观点)

  2. 企业如何告知与保护用户的个人信息主体权利(DPO社群成员观点)

  3. GDPR“首张”执行通知盯上AlQ公司的前期后后(DPO社群成员观点)

  4. 隐私条款撰写调研报告(DPO社群成员观点)

  5. 我看到的数据安全(DPO社群成员观点)


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存