数据源合规,自查工具来了!
2023-03-17
引言
数字资产“入表”已经成为企业提高自身资产价值、增强市场竞争力的核心路径。然而,入表的起点是确权,数据源合规已然成为企业数据资产“入表”前无法绕过的首道难关。
对于绝大多数企业而言,获取数据的主要路径为自主收集与数据爬取。针对这两类路径,企业应当关注的合规审查要点有哪些?如何判断自身是否合规?
对此,我们特地奉上本“数据源合规自查宝典”,搭配2个合规自测工具:个人信息收集合规自测表+数据爬取合规自测表(基础版),以帮助企业清晰、直观、快速地判断数据源是否合规。
一、自主收集合规自查工具
(一)个人信息收集合规自测表
(扫描二维码即可进行测评)
作为企业获得数据的最主要路径,自主收集数据的合规重要性不言而喻。为此,我们专门推出了《个人信息收集合规自测表》,根据《个人信息保护法》(下称“《个信法》”)《App违法违规收集使用个人信息行为认定方法》等规定,以一经触发即会被通报/整改/下架的常见违规行为作为判定核心,全面分析企业在个人信息收集维度的风险控制点命中情况,供企业在APP上架前、日常运营过程中、系统功能迭代前进行合规自查,以便于及时在事前就不合规行为进行整改,做好合规准备。
(二)自主收集合规主要审查要点
1.是否履行了“告知-同意”义务?
根据《个信法》的规定,数据自主收集的主要方式是“获得个人的同意”,具体而言,即企业应“以显著方式、清晰易懂的语言”告知,并取得个人在“充分知情”、“自愿”、“明确”的前提下作出的同意;而在数据共享、数据公开、数据出境、敏感数据处理等特殊情形下,还需要取得个人的“单独同意”。
这就需要企业在《隐私政策》中明确数据收集规则,包括数据收集主体、所收集数据种类及对应的处理目的和方式(包含数据共享)等;同时,应注意避免利用文字和UI界面设计诱导用户作出同意的“黑模式”(Dark Pattern) ,如利用APP界面上的字体颜色、大小,来影响用户作出知情、自愿给出的同意等,否则将面临侵犯用户个人信息权益的法律风险(参见本团队文章《黑模式合规监管系列四:黑模式进行时:平台的下一个合规风口》)。
2.非“告知-同意”外是否具备合法性依据?
除“告知-同意”外,《个信法》也规定了其他数据收集的合法性基础,如为订立、履行个人作为一方当事人的合同所必需,为履行法定职责或者法定义务所必需,或依照《个信法》规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息等。
此时,企业就需要具备充足的理由及依据来证明自身收集数据的合法性依据,否则将是“竹篮打水一场空”。以Facebook及Instagram的运营主体Meta为例,其在更新隐私政策时将数据收集的合法性依据从“告知-同意”切换为“为履行合同所必需”,但因未有充足理由及证据证明,并未被爱尔兰数据保护委员会所认可,最终认定其未向用户明确说明收集数据的合法依据而被处以3.9亿欧元的巨额罚款。
二、数据爬取合规自查工具
(一)数据爬取合规自测表(基础版)
(扫描二维码即可进行测评)
作为一种高效的数据收集方式,数据爬取也是绝大多数企业获取数据的主要路径之一。但技术中立、法律有界。数据爬取行为的合规性如未能充分论证,企业稍不留神就有可能面临侵犯其他主体数据权益的法律风险;甚至触犯刑事红线,企业自身及主要负责人均有可能面临“牢狱之灾”(参见本团队文章《爬虫犯罪的“脱罪利器”——ISO37301》)。
为此,我们专门推出《数据爬取合规自测表(基础版)》,通过梳理、分析、总结大量司法实践案例,同时结合项目实战经验,提炼出爬取核心风险点及判断要素,并依据企业的实际数据爬取情况,为企业提供对应法律风险等级评估与解析。
该测评表由以下两部分组成:
1.数据爬取刑事合规自测表:侧重于数据爬取在刑事合规的风险分析,涵盖计算机系统及个人信息安全等风险维度;
2.数据爬取民事&行政合规自测表:侧重于数据爬取在民事及行政合规领域的风险分析,涵盖不正当竞争、个人信息权益侵权、知识产权侵权、肖像权侵权等风险维度。
(二)数据爬取合规主要审查要点
1.爬取的数据是否为公开数据?
通常而言,为了促进数据要素的流通,在合理限度范围内,法律并不阻碍公开数据(包括数据主体自行公开或其他已经合法公开的数据)的爬取。但若企业爬取的是非公开数据,则有可能侵害到其他主体(包括其他市场主体及数据主体自身)的数据权益,严重的还可能危害国家及社会利益及安全,将有可能承担相应刑事责任。
2.爬取的计算机系统是否涉及特殊系统?
根据《刑法》的规定,非法侵入国家事务、国防建设、尖端科学技术领域的计算机系统的,将构成“非法侵入计算机信息系统罪”。通常而言包括政府部门综合管理服务信息系统、政府云平台等。因此,如果企业爬取的计算机系统类型属于前述三种类型的,将极有可能触发刑事风险。
3.爬取行为是否正当?
如前所述,法律并不禁止在合理限度范围内的公开数据爬取行为,但一旦数据爬取行为超过了合理范围、合理限度(如造成被爬方服务器瘫痪、爬取被爬方商业秘密等),也将面临行政处罚、民事赔偿乃至刑事责任的风险(参见本团队文章《“爬虫”大关,拟上市企业如何破局突围?》)。
三、结语
数据源合规是确认数据资产是否能够“入表”的关键前提。不同的数据获取路径对应的合规要点也不尽相同,需要企业一一对照匹配对应。对此,企业在判断数据源是否合规时,可参照本文的合规攻略,结合我们提供的自测小工具,进行合规自查,以明确权利归属,为确认数字资产做好准备。
本文作者:
声明:
本文由德恒律师事务所律师原创,仅代表作者本人观点,不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。
