“爬虫”大关,拟上市企业如何破局突围?
2022-07-04
引言:
作为一种高效数据收集方式,爬虫对于拟上市企业而言并不陌生,它使得拟上市企业能够在收集海量数据的基础之上,叠加大数据分析、计算能力,制定出各式各样的创新数据产品。
对于互联网领域的拟上市企业而言,强大的数据分析、应用能力及丰富的数据资产是其核心竞争力,因而其数据合规性也备受上市审核机构关注。
然而,技术中立,法律有界。爬虫合规性如未能充分论证,或将成为上市之路上的“拦路虎”,甚至成为影响企业上市与否的重要因素。
本文将从拟上市企业针对爬虫合规性的问询意见入手,总结上市审核机构的关注重点,并深入分析爬取第三方企业数据主要面临的法律风险,提出对应的解决方案,希望能够为拟上市企业扫除困惑,闯过IPO数据合规之路上的“爬虫”大关。
一、拟上市企业爬虫行为问询要点
近两年,因爬虫合规性被问询的拟上市企业主要有两家,分别是“扫描全能王”的运营主体合合信息以及大数据服务提供商中数智汇,目前都尚未传来成功登陆科创板的好消息,其中中数智汇已于今年4月份终止上市进程,似乎难过“爬虫”大关。
为进一步明确上市审核机构的关注重点,我们摘录了上述两家有关爬虫合规性的问询内容如下:
通过对上述拟上市企业披露的问询信息情况可知,对于爬虫行为的合规性,审核机构的核心关注点在于:
1.爬取数据的范围:爬取的数据是否属于法律规定不属于公开的社会信息;
2.爬取数据来源的合法性:爬虫行为是否涉及需取得前置许可程序或取得个人信息主体同意等方可获取数据的情形;
3.爬取行为本身的正当性:爬虫技术、内容以及程序是否具备正当性。
二、爬取第三方企业数据之法律风险分析
对于上市审核机构关注的问题,其实并没有一个完美的标准答案,还是需要结合拟上市企业的具体爬虫行为予以分析。但整体而言,拟上市企业将主要面临以下法律风险:
(一)TO B端:不正当竞争风险
对于爬取其他第三方数据,主要面临不正当竞争的法律风险(如下图所示,具体详见本团队文章《爬进“不正当竞争”的虫,代价不菲》)。而拟上市企业如有重大涉诉案件,对公司经营活动、财务状况产生重大不利影响的,将对上市造成阻碍:
竞争关系的认定趋于泛化:通过对近年来的爬虫相关不正当竞争案件的分析,我们发现,竞争关系的认定已趋于泛化,以不构成同业竞争为由的抗辩往往不会被法院采纳。基于互联网公司的特性,法院在认定双方是否构成竞争关系时并不局限于同业竞争,只要在某一范围内用户出现重合,法院即倾向于认定双方存在竞争利益。
多角度论证爬虫行为是否正当:部分法院在审查爬虫行为是否构成特殊不正当竞争行为时,会从爬取的是否为公开数据、爬取公开/非公开数据的行为是否正当来进行判断;除此之外,部分法院还会额外考虑该爬虫行为是否有违诚实信用原则、属于技术创新的公平竞争、是否有违竞争者自由竞争利益、消费者自主决策权利及社会公共利益等。
赔偿额认定的多元考量:一旦爬虫行为被认定为构成不正当竞争行为,爬取方所应承担的赔偿责任成为案件焦点。赔偿额一般包括经济损失及合理支出,对于经济损失,被爬取方需提供证据证明其因此所遭受的实际损失或爬取方的非法获利。但在绝大多数案件中,涉案双方往往很难证明,因此具体数额则往往取决于法院的酌定考量。这对于拟上市而言不确定性较大,如最终法院认定的赔偿金额过高,对拟上市企业的财务状况产生重大影响的,也将影响到最终上市进程。
除此之外,如果拟上市企业爬取的数据构成被爬方的商业秘密(即不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息)的,将面临“以电子侵入或其他不正当手段”侵犯商业秘密的法律风险;情节严重的,还将构成侵犯商业秘密罪,拟上市企业本身及对其直接负责的主管人员和其他直接责任人员均将面临相应刑事处罚。
(二)TOC端:侵犯个人信息权益风险
若爬取的数据中包含用户的个人信息,而爬取的行为不当,还可能会侵犯到用户的个人信息权益,将会面临以下行政、民事乃至刑事责任:
1.“双罚制”行政处罚:拟上市企业本身将被处以最高上一年度营业额5%的罚款,直接负责的主管人员和其他直接责任人员亦将被处以罚款,情节严重的还将被禁止在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
2.无法“自证清白”下的民事侵权责任承担:若拟上市企业因侵犯个人信息权益造成损害而无法“自证清白”的,则将依法承担损害赔偿等侵权责任(详见本团队文章《个人数据“丢失”,平台如何“自证清白”》)。
3.承担刑事责任:如果拟上市企业违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,将涉嫌“侵犯公民个人信息罪”,拟上市企业及其直接负责的主管人员和其他直接责任人员均将面临对应刑事处罚。
对于上市审核机构而言,拟上市企业是否存在因从违规采集信息而受到主管当局处罚、信息主体投诉或诉讼等纠纷事项,会是他们重点关注的问题;而拟上市企业一旦涉刑,上市之路则基本断送。
因此,如拟上市企业拟爬取的数据包含个人信息的,则应当根据个人信息的类型,按照《个人信息保护法》等法律法规依法处理(具体如下图所示):
1.非公开个人信息:拟上市企业应当遵循《个信法》规定的“告知-同意”规则,在处理非公开个人信息前取得个人的明确同意。具体而言,拟上市企业应“以显著方式、清晰易懂的语言”告知,并取得个人在“充分知情”、“自愿”、“明确”的前提下作出的同意。
2.公开个人信息:对于公开的个人信息,一般情形下不需要履行“告知-同意”流程,但不意味着拟上市企业可以任性而为,而是应当在合理的范围内处理,且一旦个人表示明确拒绝,则拟上市企业应当立即停止处理行为;除此以外,若拟上市企业处理的公开个人信息对个人权益有重大影响的,则应当取得个人的同意。
三、爬取第三方企业数据,拟上市企业应当注意什么?
综上,我们建议,若拟上市企业拟采用爬虫方式获取数据,应当关注以下合规要点:
(一)合规评估
建议建立第三方审查制度,与专业的中立机构(如律师事务所、咨询机构等)合作,在爬取数据前结合爬取目的、性质、方式、频率等方面进行评估,评估内容主要包括:(1)获取数据的主要类型(是否包含个人信息或被爬方企业商业秘密);(2)被采集网站是否为政府公开信息网站或商业性网站;(3)被采集网站是否具备Robots 协议或公示条款限制自动化采集;(4)网站是否具备自动化采集限制措施;(5)自动化采集数量及频率是否影响采集对象网站的正常运行等核心因素。
在经综合评估爬取数据行为合规之后,方可正式开始数据采集。
(二)合法获取
1.协议许可:遵守被爬取方的Robots 协议,如若面对不合理的Robots协议,可以尝试走“协商-通知”路径,向被爬方提出书面修改Robots协议、准许其爬虫抓取的请求。若被爬方在合理的期限内未书面、明确地提出其拒绝修改Robots协议的合理理由的,或者爬取方认为被爬方提出的合理理由不成立的,可以按照相关法律规定釆取诸如诉讼、申请行为保全等法律措施予以解决(详见本团队文章《爬虫之责:反不正当竞争案中的胜诉机会在哪里?》);
2.三重授权:如爬取数据涉及用户的个人信息,建议遵守“用户授权平台+平台授权爬取方+用户授权爬取方”的三重授权原则进行抓取。
(三)合理限度
抓取数据应当在合理限度内,不能对服务器造成压力。爬取非公开数据,需要具备合法合约的基础,否则涉嫌破坏被爬方正常的运行机制或涉嫌非法获取被爬方商业秘密;爬取公开数据,则应当需要在合理限度内进行,其请求量级、请求频率和请求技术手段均应在正常范围之内,不应对被爬方的服务器造成远超正常用户访问的负担。如可以结合被爬网站的访问量数据,预估被爬网站一天的总访问量,从而计算出访问频率上限,在配置阶段就对并发数和访问频率进行适当的限制。
(四)合法使用
抓取数据涉及个人信息的,建议遵循《个信法》规定,按照个人信息的不同类型,依法进行处理:
1.针对非公开个人信息:应当履行“告知-同意”流程,取得个人明示同意;
2.针对公开个人信息:对于个人明确提出拒绝的,应当及时撤回或删除相关个人信息;若处理已公开的个人信息,对个人权益有重大影响的,还应当取得个人同意。
(五)呈现形式
在爬取数据的呈现形式上,建议明确显示数据来源,并考虑设置跳转链接。互联网时代毕竟“流量为王”,相较于爬取第三方企业数据后直接聚合呈现于自身平台的“流量拦截行为”,设置跳转链接被认定为构成不正当行为的风险较小,也有利于证明其未对被爬方造成实质损害。
本文作者:
声明:
本文由德恒律师事务所律师原创,仅代表作者本人观点,不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。
