因数据收集不合规引发的合同纠纷,数据主体要求数据收集者承担违约责任,通常是基于数据收集者在收集数据之前与数据主体签订用户协议、服务协议。数据收集者违反用户协议或服务协议的约定收集数据,数据主体以违反合同约定为由向法院起诉要求数据收集者承担违约责任。同时,该等违反用户协议的行为亦可能会侵犯数据主体的姓名权、名称权、名誉权、荣誉权、肖像权、隐私权等人身权益。对于未与数据主体签订用户协议的网络平台、搜索引擎运营公司,目前的判例中主要是数据主体中的公民个人与数据收集者发生的隐私权纠纷。在该类型案例中网络运营者利用Cookie、爬虫等数据收集技术,未经数据主体同意和授权,记录、跟踪数据主体的搜索关键词、兴趣爱好等个人隐私信息,并将收集的前述信息进行商业利用,侵犯数据主体的隐私权。
除隐私权纠纷以外的另一主要类型的民事案件是不正当竞争纠纷。数据收集主体在收集数据的过程中易触发不正当竞争的行为主要是运用爬虫技术或API等方式收集其他企业数据抑或是未经授权收集其他企业付出大量人力、物力和时间等运营成本研发形成的具有较大商业价值的数据。数据收集者前述行为会对数据主体的经营行为造成阻碍,减少数据主体的交易机会,削减数据主体的竞争优势,从而扰乱市场竞争秩序,构成不正当竞争。
行政责任风险
不同的法律、法规及规范性文件调整的社会关系不同,保护的法益也存在区别。因此,对于数据收集不合规应承担的行政责任应当根据数据主体、数据收集者、数据收集对象以及数据收集的方式作出相应的区分。
2.1 《网络安全法》规定的收集个人信息不合规的行政责任风险
网络运营者、网络产品或者服务的提供者违反《网络安全法》关于收集个人信息的规定,在收集个人信息时未遵循合法、正当、必要的原则,未向个人信息主体明确告知收集个人信息的规则、目的、方式和范围,收集的行为未经被收集者同意;网络运营者收集与其提供的服务无关的个人信息,违反法律、行政法规的规定和双方的约定收集个人信息。网络运营者、网络产品或者服务的提供者在收集个人信息时存在上述行为,侵害个人信息依法得到保护的权利的,有关主管部门可责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。任何个人和组织窃取或者以其他非法方式获取个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。
2.2《消费者权益保护法》规定的收集消费者个人信息不合规的行政责任风险
经营者收集消费者个人信息违背合法、正当、必要的原则,未向消费者明示收集信息的目的、方式和范围;收集消费者个人信息未经消费者同意;收集消费者个人信息违反双方关于收集个人信息的约定等行为,《消费者权益保护法》规定经营者在收集消费者个人信息时存在前述行为的,经营者侵害了消费者的个人信息,除承担相应的民事责任外,其他有关法律、法规对处罚机关和处罚方式有规定的,依照法律、法规的规定执行;法律、法规未作规定的,由工商行政管理部门或者其他有关行政部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款,没有违法所得的,处以五十万元以下的罚款;情节严重的,责令停业整顿、吊销营业执照。
2.3《全国人民代表大会常务委员会关于加强网络信息保护的决定》规定的收集公民个人电子信息不合规的行政责任风险
任何组织和个人窃取或者以其他非法方式获取公民个人电子信息;网络服务提供者和其他企业事业单位在业务活动中收集公民个人电子信息违反合法、正当、必要的原则,未明示收集信息的目的、方式和范围,未经被收集者同意;违反法律、法规的规定和双方的约定收集信息,依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚,记入社会信用档案并予以公布;构成违反治安管理行为的,依法给予治安管理处罚。
2.4 《个人信息保护法》规定的收集个人信息不合规的行政责任风险
1.间接采集(采购)个人信息未征得个人同意,可能导致数据采购行为不合规的风险
按照《个人信息保护法》第四条“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”目前所涉及采购的数据服务涉及的身份证号、姓名和手机号码属于个人信息。按照《个人信息保护法》第十三条“符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意;(二)......”,处理个人信息应获得个人信息主体同意,若数据提供方未取得用户单独同意或未告知用户将数据提供至我方或未进行匿名化处理,否则可能导致采买的外部数据来源不合法的风险。
2.如超过合同约定的范围使用个人信息时,可能存在超范围使用个人信息的风险
根据《个人信息保护法》第二十三条“......,接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。”若未在合同中尽述数据服务范围,或后期服务提供过程中超出合同中的约定,导致未经个人同意超范围使用个人信息的情况,存在超范围使用个人信息的合规风险
违反本法规定收集个人信息,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。
2.5《数据安全法》规定的收集外部信息不合规的行政责任风险
1.未对合作运营商数据来源合法性进行审查,则存在存在未履行法律规定的义务的合规风险。
根据《数据安全法》第三十三条,“从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。”目前集成其他运营商的用户标签产品,提供给客户的场景,我方属于“从事数据交易中介服务”,若未审核合作运营商的数据来源的合规性,则存在未履行法律规定的义务的合规风险。
从事数据交易中介服务的机构未履行本法第三十三条规定的义务的,由有关主管部门责令改正,没收违法所得,处违法所得一倍以上十倍以下罚款,没有违法所得或者违法所得不足十万元的,处十万元以上一百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
2.未对数据处理过程实施有效安全保护,则能存在未履行法律规定义务的合规风险。
根据《数据安全法》第七十九条“开展数据处理活动,应当履行以下义务,保障数据安全:(一)依照法律、法规的规定,建立健全全流程数据安全管理制度和技术保护机制;(二)组织开展数据安全教育培训;(三)采取相应的技术措施和其他的必要措施,确保数据安全,防止数据篡改、泄露、毁损、丢失或者非法获取、非法利用;(四)......” 国家机关不履行本法规定的数据安全保护义务的,对直接负责的主管人员和其他直接责任人员依法给予处分。
刑事责任风险
《刑法》针对数据收集的不同方式和对象以及侵害的不同法益规定了不同的罪名和刑罚。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对收集者违反法律、行政法规、部门规章有关公民个人信息保护的规定侵犯公民个人信息犯罪活动作了细化规定。
《刑法》第二百五十三条之一:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第四条:“违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的‘以其他方法非法获取公民个人信息’。”
第五条:“非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;
(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;
(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;
(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;
(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;
(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;
(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;
(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;
《刑法》第二百八十五条:“违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。”数据收集者利用网络爬虫技术绕过或突破反爬虫技术的功能,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统,可能被认定为构成非法侵入计算机信息系统罪。
《刑法》第二百八十五条第二款:“违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”数据收集者通过网络爬虫或其他数据收集的技术收集网络平台、浏览器及其他网站中存储、处理、传输的数据,情节严重的,可能构成非法获取计算机信息系统数据罪。
《刑法》第二百一十九条:“有下列侵犯商业秘密行为之一,给商业秘密的权利人造成重大损失的,处三年以下有期徒刑或者拘役,并处或者单处罚金;造成特别严重后果的,处三年以上七年以下有期徒刑,并处罚金:
(一)以盗窃、利诱、胁迫或者其他不正当手段获取权利人的商业秘密的;
(二)披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密的;
(三)违反约定或者违反权利人有关保守商业秘密的要求,披露、使用或者允许他人使用其所掌握的商业秘密的。明知或者应知前款所列行为,获取、使用或者披露他人的商业秘密的,以侵犯商业秘密论。”数据收集者在收集数据的过程中以盗窃、利诱、胁迫或者其他不正当手段收集他人的商业秘密,数据收集者违反约定或违反商业秘密权利人有关保守商业秘密的要求,收集他人的商业秘密,可能构成侵犯商业秘密罪。
除前述已列举的罪名外,数据收集的过程中,违反刑法其他条文的规定,亦可能构成其他相关的犯罪,例如数据收集时收集他人享有著作权的作品,可能构成侵犯著作权罪。如随着数据保护的进一步发展,我国将来出台关于数据收集应取得相应资质的立法文件,则无证照收集数据还可能构成非法经营罪等。
结语
数据收集是数据全生命周期的起点,是数据到数据资产的过程,是现实数据商用价值的前提。数据收集的主体包括个人和企业及其他组织,个人数据、企业数据、公开数据都能够成为数据收集的对象。数据收集者要实现数据的收集通常采用与数据主体交互或记录数据主体的行为等方式直接收集数据,或者自行、委托第三方通过网络爬虫、API等方式从公开网络平台或半公开网络平台收集数据,或者通过与合作方共享、转让等方式间接收集数据。无论是何种数据收集主体采用何种方式收集数据,都应当遵守法律、法规、部门规章以及其他规范性文件对数据收集的规定,从而将数据收集行为置于合法、合规的框架下,规避可能引致的法律风险,实现数据收集的最终目的。
![数据违规收集法律风险分析]( "数据违规收集法律风险分析")
评论