摘要:2021年是中国数据合规的“元年”。当我们在说数据合规的时候到底在说什么?首先要搞清楚这几个概念,便于更好理解后文内容。
关键词:数据 数据合规 数据安全 企业合规
一、基本概念
根据《中华人民共和国数据安全法》的定义,数据为“任何以电子或者其他方式对信息的记录”。其中,按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。
数据安全,则是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
数据合规,是推动数据安全实践的驱动力。以企业数据合规为例,是指企业经营管理行为要符合国家法律、行政法规、国际法律条约、行业准则、商业道德以及企业内部的管理制度。当前,数据合规既是企业安全治理体系和治理能力现代化的重要标志,也是国家安全治理体系和治理能力现代化的重要组成部分[1] 。
二、数据合规基本内容
数据收集合规
实践中违法违规收集使用个人信息问题尤为突出,前有2021年12月9日工信部对包括豆瓣、唱吧等在内的106款APP进行了下架处理,所涉问题主要包括APP强制、频繁、过度索取权限以及超范围收集个人信息[2]。后有滴滴被处人民币80.26亿元罚款,滴滴公司共存在16项违法事实,涉及违法收集用户手机相册中的截图信息1196.39万条;过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条;未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条等19项个人信息处理目的等共8方面违法行为。更为恶严重的是,滴滴公司存在严重影响国家安全的数据处理活动,其违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患[3]。
而数据的获取作为数据业务的起点和入口,稍有不慎,便面临违法违规风险。解决了数据来源的合规性,便进入了数据合规的第一道关口,因此,这类问题成为了监管重点,相关监管机构问询及发行人回复情况如下表:
企业 名称 | 问询 内容 | 答复 情况 |
旷视 科技 | …(2)发行人自身核心技术(如算法的训练、系统的搭建等)是否涉及大量的数据的应用,如是,相关数据的来源及其合规性; (3)发行人对外提供的产品(或服务)是否涉及数据的采集运用,如是,说明数据的来源及其合法合规性;(5)发行人的数据来源中是否包含向供应商采购,如是,请说明是否在相关合同中约定数据合规的条款或措施,并结合《民法典》《网络安全法》和《个人信息安全规范》《数据安全法(草案)》《个人信息保护法(草案)》等相关规定,说明相关措施是否能切实保证发行人不出现数据合规风险或法律纠纷。[4] | (二)发行人自身核心技术研发类型分为基础性研究和产品及解决方案研究,涉及的数据应用与来源情况如下:…配合式采集、公开数据集…发行人核心技术研发过程中使用的数据来源的合规管理措施如下:1、配合式采集…2、公开式采集 (三)发行人业务及产品(或服务)在消费物联网、城市物联网、供应链物联网三大核心场景下的数据采集运用情况如下…合法合规性说明:发行人不参与产品在客户侧的运营,未经客户授权及同意,发行人无权接触客户运营中产生的数据…发行人已采取在硬件产品物料箱中放置 《数据安全及免责声明》及通过协议方式提示客户遵守数据合规要求,在遵守法律和伦理道德的情况下使用发行人产品… (五)发行人业务及产品(或服务)面向消费物联网、城市物联网、供应链物联网三大核心场景,前述场景涉及的业务及产品不直接面向个人用户。其中,供应链物联网场景下不涉及个人数据,城市物联网与消费物联网场景下客户涉及个人数据的具体情况如下……合规性说明:客户作为数据控制者,开发、运营面向个人用户的APP或网页产品,自行履行相关合规义务并对其中涉及的数据处理活动负责。发行人作为服务提供方,已明确要求客户在合法、正当、必要的前提下使用发行人产品,涉及个人数据的,客户还应提前取得终端个人用户的明确、完整授权同意。 |
宜搜 科技 | 请发行人说明: (1)是否存在未经授权获取用户数据的情况、获取个人数据是否对用户有明示提示、收集的数据是否限制在必要的范围内、是否仅概括性提示收集用户信息、是否超出用户授权范围使用数据、或存在未经其他平台的授权直接收取数据的行为[5] | 中介机构从发行人获取用户数据的具体来源渠道、取得用户授权和对用户提示情况、《隐私保护政策》具体内容、发行人收集的用户信息对应的用途等方面,说明发行人获取个人数据对用户有明确的提示、收集的数据限制在必要的范围内、非为概括性提示、未超出用户授权范围使用数据。用户在使用第三方平台账户登录发行人产品时,发行人将根据用户授权获取用户在该第三方平台上登记、公布、记录的公开信息。不存在未经其他平台授权直接收取数据的行为。 |
每日 互动 | 请发行人补充说明“个推大数据平台”的数据来源及合规性,包括数据的具体来源及协议[6] | 1、发行人大数据平台的数据系通过 APP 开发者经用户授权后在协议约定的授权范围内获取; 2、公司获取的信息不属于个人信息及个人敏感信息; 3、公司获取的数据在处理过程中采用通用不可逆的 MD5 加密模式储存,进一步确保了数据的安全性; 4、公司将获取的数据用于增值服务未超出用户协议授权范围,也未违反个人信息保护的法律规定; |
由上表可知,证券监管部门在问询时主要集中在数据来源合规性:如数据收集渠道及方式,数据收集前是否充分告知,数据收集是否满足合法、正当、最小必要原则,数据收集是否获得授权,是否存在侵犯个人隐私或其他合法权益的情形等。
企业数据收集合规建议
因此,企业在合规过程中,首先识别数据来源渠道,比如是否为主动收集、还是第三方提供、或者是数据爬取等方式从公开渠道获得。根据不同数据来源渠道与数据类型调整相应业务模式及授权条款。
同时根据不同的数据收集场景,应当明确数据收集的目的,进而确定数据收集的范围、类型等,限于实现处理目的的最小范围,不得过度收集个人信息。如仅收集一般个人信息或者脱敏后的信息即可满足需求,即应避免过度收集其他类型的个人信息。
直接收集个人信息的,应当在收集前明示个人信息收集使用的具体规则、包括收集信息的范围、收集目的、收集时间、信息提供对象的范围等内容,涉及信息出境还要进行安全评估及申报等工作。
从第三方采购数据的,应关注信息来源的合法性,甄别并核实第三方获得的授权的真实性及授权范围,避免因第三方侵犯个人信息而承担连带责任。
通过爬虫技术收集数据的,爬虫合法性边界可以参考以下因素:一是数据是否属于开放数据。数据是否公开不是合法性判断的标准,是否为开放数据才是,公开数据不必然等同于开放数据;二是取得数据的手段是否合法。爬虫采用的技术是否突破数据访问控制,法律上是否突破网站或App的Robots协议;三是使用目的是否合法。如果爬虫的目的是实质性替代被爬虫经营者提供的部分产品内容或服务,则会被认为目的不合法;四是是否造成损害。爬虫是否实质上妨碍被爬虫经营者的正常经营,是否不合理增加运营成本,是否破坏系统正常运行[7]。
公司需要开展此类业务时,充分识别风险并进行合规评估,防止侵犯合法权益,导致产生刑事、民事、行政责任的风险。
注释:
[1]安永(中国)企业咨询有限公司、上海赛博网络安全产业创新研究院:《全球数据合规与隐私科技发展报告》(2021)
[2]《工信部下架106款侵害用户权益APP》载央视网
[3]《国家互联网信息办公室有关负责人就对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定答记者问》
[4]《上海市方达律师事务所关于MEGVII TECHNOLOGY LIMITED(旷视科技有限公司)首次公开发行中国存托凭证并在科创板上市的补充法律意见书(一)
[5]《北京市环球律师事务所关于深圳宜搜天下科技股份有限公司首次公开发行股票并在科创板上市之补充法律意见书(二)》
[6]《每日互动:北京市万商天勤律师事务所关于公司首次公开发行人民币普通股(A股)股票并在创业板上市的补充法律意见书(四)》
[7]《爬取数据须遵规》,载最高人民检察院