信息化觀察網(wǎng)

01

最近的大數(shù)據(jù)行業(yè)，風(fēng)聲鶴唳

最開始是杭州魔蝎科技公司，涉嫌侵犯公民個(gè)人信息，多名員工被杭州警方抓獲，接著是快錢支付被調(diào)查，再接著是公信寶傳出消息，公司門口被貼了封條，然后，又傳出XX征信協(xié)助調(diào)查的消息……

“整個(gè)行業(yè)都快抓沒了。”多位數(shù)據(jù)行業(yè)從業(yè)者表示，他們已經(jīng)基本停工觀望。接近監(jiān)管的知情人士透露，幾十家大數(shù)據(jù)公司已進(jìn)入調(diào)查名單，“這只是前戲”。

數(shù)據(jù)行業(yè)，可能面臨誕生以來最艱難的時(shí)刻……

02

數(shù)據(jù)安全事件頻發(fā)

首先，當(dāng)前關(guān)于數(shù)據(jù)的所有權(quán)、使用權(quán)、隱私權(quán)等等權(quán)利的歸屬還不太明晰，即使拿數(shù)據(jù)所有權(quán)來說，原始數(shù)據(jù)的所有權(quán)和加工過的數(shù)據(jù)所有權(quán)就有點(diǎn)分不太清楚，比如邊界在哪里。

淘寶訴美景的生意參謀不正當(dāng)競(jìng)爭(zhēng)案雖然勝訴，但法院在判定的時(shí)候，可沒有說淘寶擁有生意參謀原始數(shù)據(jù)的所有權(quán)，只有使用權(quán)，即使是生意參謀這個(gè)產(chǎn)品，也僅擁有競(jìng)爭(zhēng)性財(cái)產(chǎn)權(quán)益，但對(duì)于財(cái)產(chǎn)所有權(quán)暫時(shí)無法確定。

“要么沒事、要么坐牢”的現(xiàn)狀讓很多人鋌而走險(xiǎn)，現(xiàn)在每當(dāng)數(shù)據(jù)安全事件發(fā)生，新聞報(bào)道就會(huì)鋪天蓋地，顯得非常突兀，說明了一定的問題。

當(dāng)前爆發(fā)的數(shù)據(jù)類案件主要包括三大類別：數(shù)據(jù)來源合規(guī)問題、數(shù)據(jù)使用合法問題以及個(gè)人隱私侵犯問題。

何謂數(shù)據(jù)的“可為和不可為”？現(xiàn)在很多看似合法的東西，深究起來，其實(shí)是游走在邊緣的，達(dá)摩克里斯之劍某種程度上，是懸在每個(gè)數(shù)據(jù)從業(yè)者特別是數(shù)據(jù)變現(xiàn)者頭上。

一、數(shù)據(jù)來源合規(guī)問題

『網(wǎng)絡(luò)安全法』第四十一條規(guī)定：“網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意…”

就是必須在提前告知收集的方式、范圍、目的，并經(jīng)過用戶授權(quán)或同意后，才能采集使用，也就是我們常見的各種網(wǎng)站與 App 的用戶協(xié)議中關(guān)于信息收集的部分。

比如2018年數(shù)據(jù)堂非法交易數(shù)據(jù)案件，其數(shù)據(jù)源頭來自于中國(guó)聯(lián)通，中國(guó)聯(lián)通經(jīng)用戶授權(quán)獲得個(gè)人信息，但其合作商中的“內(nèi)鬼”員工私自竊取信息再賣出去，數(shù)據(jù)堂人員購得這些信息，明知來源非法卻依然進(jìn)行加工和交易，最后涉案的人員獲刑一年六個(gè)月至三年不等，數(shù)據(jù)堂為此還關(guān)停了營(yíng)銷、金融兩條業(yè)務(wù)線，教訓(xùn)是很深的。

二、數(shù)據(jù)合法使用問題

主要涉及三種數(shù)據(jù)違法使用行為：出售個(gè)人信息、超出約定的使用及不正當(dāng)商業(yè)行為。

1、出售個(gè)人信息

關(guān)于出售個(gè)人信息，千萬不要做，是法律特別指出禁止的，根據(jù)《最高人民法院 最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》規(guī)定，禁止非法獲取、出售或者提供行蹤軌跡信息、通信內(nèi)容、征信信息、財(cái)產(chǎn)信息；

2、超出約定的使用

第一種情況是對(duì)于收集的數(shù)據(jù)，沒有遵循之前的使用目的約定，比如用戶協(xié)議上說只是分析用戶行為，幫助提高產(chǎn)品體驗(yàn)，結(jié)果變成了出售用戶畫像數(shù)據(jù)。

比如運(yùn)營(yíng)商者在征得用戶同意情況下可以為第三方提供個(gè)人身份驗(yàn)真服務(wù)，但如果第三方緩存了這份從運(yùn)營(yíng)商獲得的驗(yàn)真數(shù)據(jù)，并挪作它用，實(shí)際上就屬于超出約定使用，原則上是不允許的。假如售賣給其他人，就屬于出售個(gè)人信息的范疇了，現(xiàn)在很多數(shù)據(jù)代理公司存在緩存數(shù)據(jù)挪作它用的行為，這是很危險(xiǎn)的。

第二種是對(duì)于三重授權(quán)原則的破壞，何謂三重授權(quán)，就是“用戶授權(quán)”+“平臺(tái)授權(quán)”+“用戶授權(quán)”，開放平臺(tái)方直接收集、使用用戶數(shù)據(jù)需獲得用戶授權(quán)，第三方開發(fā)者通過開放平臺(tái)Open API接口間接獲得用戶數(shù)據(jù)，需獲得用戶授權(quán)和平臺(tái)方授權(quán)。需要注意的是，該原則之所以叫做“三重授權(quán)”，意味著“用戶授權(quán)+平臺(tái)授權(quán)+用戶授權(quán)”需同時(shí)滿足，缺少任何一方授權(quán)，都是違反“三重授權(quán)原則”。

例如，鬧得沸沸揚(yáng)揚(yáng)的Facebook”數(shù)據(jù)門”事件，也是起于在未經(jīng)用戶同意下，擅自將Facebook的用戶信息提供給劍橋分析公司進(jìn)行分析所致，當(dāng)前Facebook面臨FTC（美國(guó)聯(lián)邦貿(mào)易委員會(huì)）50億美元的巨額罰款，F(xiàn)acebook”數(shù)據(jù)門”對(duì)世界的影響也是深遠(yuǎn)的。

第三種情況，是有知識(shí)產(chǎn)權(quán)、著作權(quán)的作品，可能會(huì)允許你下載或引用，但明顯標(biāo)注了使用范圍，比如不能轉(zhuǎn)載、不能用于商業(yè)行為等，更不能去盜用，這些都是有法律明文保護(hù)，所以要注意使用。

數(shù)據(jù)的可復(fù)制性及難以追蹤的特點(diǎn)讓脫離母體的數(shù)據(jù)太容易裸奔，各種超出約定使用的行為暗流涌動(dòng)，此次洗牌后，數(shù)據(jù)合作雙方的門檻會(huì)進(jìn)一步變高，規(guī)范性也會(huì)得到加強(qiáng)，而三重授權(quán)是需要遵循的統(tǒng)一原則，長(zhǎng)遠(yuǎn)來講，這對(duì)于整個(gè)產(chǎn)業(yè)的發(fā)展有利。

3、不正當(dāng)商業(yè)行為

如果將競(jìng)品公司的數(shù)據(jù)，作為自己公司的商業(yè)目的，這就可能存在構(gòu)成不正當(dāng)商業(yè)競(jìng)爭(zhēng)，或者是違反知識(shí)產(chǎn)權(quán)保護(hù)，這種情況在目前涉及爬蟲的商業(yè)訴訟案中比較常見，而且存在較大的爭(zhēng)議。

2017年，大眾點(diǎn)評(píng)就百度利用爬蟲技術(shù)手段抓取，并在百度產(chǎn)品中大量展示大眾點(diǎn)評(píng)上的點(diǎn)評(píng)信息，以不正當(dāng)競(jìng)爭(zhēng)為由將百度告上法庭，法院一方面認(rèn)為百度的行為豐富了消費(fèi)者的選擇，具有積極的效果，另一方面大眾點(diǎn)評(píng)對(duì)點(diǎn)評(píng)信息的獲取付出了巨大的勞動(dòng)，具有可獲得法律保護(hù)的權(quán)利，最終，法院確立了信息使用規(guī)則應(yīng)當(dāng)遵循“最少、必要”的原則，結(jié)合以上，法院認(rèn)為百度通過搜索技術(shù)抓取并大量全文展示來自大眾點(diǎn)評(píng)網(wǎng)的信息，已經(jīng)超出了必要的限度，構(gòu)成不正當(dāng)競(jìng)爭(zhēng)。

總體原則應(yīng)該以是否有利于整個(gè)產(chǎn)業(yè)發(fā)展為判斷依據(jù)，但這個(gè)尺度卻非常不容易把握，其中企業(yè)為數(shù)據(jù)采集加工到底付出了多少，企業(yè)憑借其壟斷地位阻礙了信息流通的影響有多大，其實(shí)都是很難量化的。

三、個(gè)人隱私侵犯問題

前面說了，諸如BAT基于自己的業(yè)務(wù)模式可以讓數(shù)據(jù)在體內(nèi)循環(huán)，一般不存在數(shù)據(jù)來源不合規(guī)或不當(dāng)競(jìng)爭(zhēng)等問題，但還是有可能觸犯用戶隱私權(quán)。

中國(guó)cookie隱私第一案“朱燁訴百度案”回避了cookie信息是否屬于個(gè)人信息的判定，而是將主要論證精力集中在隱私權(quán)及侵權(quán)行為的分析上，起訴人朱燁認(rèn)為百度通過cookie追蹤其搜索的關(guān)鍵詞并進(jìn)行廣告投放侵害了其隱私權(quán)。

法院一審認(rèn)為百度收集、利用它人隱私進(jìn)行商業(yè)活動(dòng)的行為并非cookie技術(shù)的必然結(jié)果，判定百度毫無疑問侵犯了朱燁的隱私權(quán)；而二審卻認(rèn)為cookie信息的“個(gè)人識(shí)別性”無法充分認(rèn)證，可能造成過于寬泛的個(gè)人隱私范圍劃定，從而駁回了朱燁的全部訴訟請(qǐng)求。

在立法實(shí)踐中，各國(guó)都對(duì)cookie信息屬于個(gè)人隱私信息采取了肯定性的積極回應(yīng)，無論是嚴(yán)格保護(hù)cookie信息的歐盟，還是倡導(dǎo)自律的美國(guó)，均認(rèn)為cookie屬于個(gè)人信息的范疇，從趨勢(shì)的角度看，對(duì)于個(gè)人隱私信息的保護(hù)會(huì)越來越嚴(yán)格，cookie問題遲早要解決。