风声鹤唳的大数据圈,谁理解数据安全的底线?

数据的可复制性及难以追踪的特点让脱离母体的数据太容易裸奔,各种超出约定使用的行为暗流涌动,此次洗牌后,数据合作双方的门槛会进一步变高,规范性也会得到加强,而三重授权是需要遵循的统一原则,长远来讲,这对于整个产业的发展有利。

01

最近的大数据行业,风声鹤唳

最开始是杭州魔蝎科技公司,涉嫌侵犯公民个人信息,多名员工被杭州警方抓获,接着是快钱支付被调查,再接着是公信宝传出消息,公司门口被贴了封条,然后,又传出XX征信协助调查的消息……

“整个行业都快抓没了。”多位数据行业从业者表示,他们已经基本停工观望。接近监管的知情人士透露,几十家大数据公司已进入调查名单,“这只是前戏”。

数据行业,可能面临诞生以来最艰难的时刻……

02

数据安全事件频发

首先,当前关于数据的所有权、使用权、隐私权等等权利的归属还不太明晰,即使拿数据所有权来说,原始数据的所有权和加工过的数据所有权就有点分不太清楚,比如边界在哪里。

淘宝诉美景的生意参谋不正当竞争案虽然胜诉,但法院在判定的时候,可没有说淘宝拥有生意参谋原始数据的所有权,只有使用权,即使是生意参谋这个产品,也仅拥有竞争性财产权益,但对于财产所有权暂时无法确定。

“要么没事、要么坐牢”的现状让很多人铤而走险,现在每当数据安全事件发生,新闻报道就会铺天盖地,显得非常突兀,说明了一定的问题。

当前爆发的数据类案件主要包括三大类别:数据来源合规问题、数据使用合法问题以及个人隐私侵犯问题。

何谓数据的“可为和不可为”?现在很多看似合法的东西,深究起来,其实是游走在边缘的,达摩克里斯之剑某种程度上,是悬在每个数据从业者特别是数据变现者头上。

一、数据来源合规问题

『网络安全法』第四十一条规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意…”

就是必须在提前告知收集的方式、范围、目的,并经过用户授权或同意后,才能采集使用,也就是我们常见的各种网站与 App 的用户协议中关于信息收集的部分。

比如2018年数据堂非法交易数据案件,其数据源头来自于中国联通,中国联通经用户授权获得个人信息,但其合作商中的“内鬼”员工私自窃取信息再卖出去,数据堂人员购得这些信息,明知来源非法却依然进行加工和交易,最后涉案的人员获刑一年六个月至三年不等,数据堂为此还关停了营销、金融两条业务线,教训是很深的。

二、数据合法使用问题

主要涉及三种数据违法使用行为:出售个人信息、超出约定的使用及不正当商业行为。

1、出售个人信息

关于出售个人信息,千万不要做,是法律特别指出禁止的,根据《最高人民法院 最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定,禁止非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息;

2、超出约定的使用

第一种情况是对于收集的数据,没有遵循之前的使用目的约定,比如用户协议上说只是分析用户行为,帮助提高产品体验,结果变成了出售用户画像数据。

比如运营商者在征得用户同意情况下可以为第三方提供个人身份验真服务,但如果第三方缓存了这份从运营商获得的验真数据,并挪作它用,实际上就属于超出约定使用,原则上是不允许的。假如售卖给其他人,就属于出售个人信息的范畴了,现在很多数据代理公司存在缓存数据挪作它用的行为,这是很危险的。

第二种是对于三重授权原则的破坏,何谓三重授权,就是“用户授权”+“平台授权”+“用户授权”,开放平台方直接收集、使用用户数据需获得用户授权,第三方开发者通过开放平台Open API接口间接获得用户数据,需获得用户授权和平台方授权。需要注意的是,该原则之所以叫做“三重授权”,意味着“用户授权+平台授权+用户授权”需同时满足,缺少任何一方授权,都是违反“三重授权原则”。

例如,闹得沸沸扬扬的Facebook”数据门”事件,也是起于在未经用户同意下,擅自将Facebook的用户信息提供给剑桥分析公司进行分析所致,当前Facebook面临FTC(美国联邦贸易委员会)50亿美元的巨额罚款,Facebook”数据门”对世界的影响也是深远的。

第三种情况,是有知识产权、着作权的作品,可能会允许你下载或引用,但明显标注了使用范围,比如不能转载、不能用于商业行为等,更不能去盗用,这些都是有法律明文保护,所以要注意使用。

数据的可复制性及难以追踪的特点让脱离母体的数据太容易裸奔,各种超出约定使用的行为暗流涌动,此次洗牌后,数据合作双方的门槛会进一步变高,规范性也会得到加强,而三重授权是需要遵循的统一原则,长远来讲,这对于整个产业的发展有利。

3、不正当商业行为

如果将竞品公司的数据,作为自己公司的商业目的,这就可能存在构成不正当商业竞争,或者是违反知识产权保护,这种情况在目前涉及爬虫的商业诉讼案中比较常见,而且存在较大的争议。

2017年,大众点评就百度利用爬虫技术手段抓取,并在百度产品中大量展示大众点评上的点评信息,以不正当竞争为由将百度告上法庭,法院一方面认为百度的行为丰富了消费者的选择,具有积极的效果,另一方面大众点评对点评信息的获取付出了巨大的劳动,具有可获得法律保护的权利,最终,法院确立了信息使用规则应当遵循“最少、必要”的原则,结合以上,法院认为百度通过搜索技术抓取并大量全文展示来自大众点评网的信息,已经超出了必要的限度,构成不正当竞争。

总体原则应该以是否有利于整个产业发展为判断依据,但这个尺度却非常不容易把握,其中企业为数据采集加工到底付出了多少,企业凭借其垄断地位阻碍了信息流通的影响有多大,其实都是很难量化的。

三、个人隐私侵犯问题

前面说了,诸如BAT基于自己的业务模式可以让数据在体内循环,一般不存在数据来源不合规或不当竞争等问题,但还是有可能触犯用户隐私权。

中国cookie隐私第一案“朱烨诉百度案”回避了cookie信息是否属于个人信息的判定,而是将主要论证精力集中在隐私权及侵权行为的分析上,起诉人朱烨认为百度通过cookie追踪其搜索的关键词并进行广告投放侵害了其隐私权。

法院一审认为百度收集、利用它人隐私进行商业活动的行为并非cookie技术的必然结果,判定百度毫无疑问侵犯了朱烨的隐私权;而二审却认为cookie信息的“个人识别性”无法充分认证,可能造成过于宽泛的个人隐私范围划定,从而驳回了朱烨的全部诉讼请求。

在立法实践中,各国都对cookie信息属于个人隐私信息采取了肯定性的积极回应,无论是严格保护cookie信息的欧盟,还是倡导自律的美国,均认为cookie属于个人信息的范畴,从趋势的角度看,对于个人隐私信息的保护会越来越严格,cookie问题迟早要解决。

本文来自信息化观察者网,转载请注明出处。

 

注:除标明原创外,均为网友或机构投稿分享,如有宣发需求请联系dongxizhiku@163.com。