大數據應用中數據收集的合法性分析

陳際紅

（中倫律師事務所，北京 100022）

大數據應用中數據收集的合法性分析

陳際紅

（中倫律師事務所，北京 100022）

在“大數據”時代，大量的數據涉及到個人信息和商業信息，遵守相關的法律和政策、對個人信息和商業秘密進行適當和充分的保護，是企業必須面對的挑戰。本文立足于大數據應用的整體環境，結合最新出臺的法律法規，對數據收集的合法性進行深入淺出、條分縷析的說明，進而為企業在個人信息保護、著作權保護、不正當競爭、計算機系統保護等方面提出法律風險提示和控制措施。

大數據收集；數據脫敏；個人信息保護；著作權保護；不正當競爭；計算機信息系統保護

陳際紅 (1970-)，男，河南鶴壁人，中倫律師事務所IP/TMT業務合伙人，全國律師協會信息網絡與高新技術委員會副主任兼秘書長。

中國國務院于2015年9月發布《國務院關于印發促進大數據發展行動綱要的通知》（以下簡稱《綱要》），《綱要》旨在推動大數據在政府和產業的廣泛應用，同時亦指出我國大數據發展存在頂層設計和統籌規劃、法律法規建設滯后等諸多問題。大數據應用的基礎資源是包括個人信息和商業數據在內的海量數據，因此需要保持數據獲得的便利性和充分流動性，而信息社會對個人信息保護和商業秘密保護提出了更高的需求，需要防止個人信息的濫用，在數據獲取中應遵循法定的規則。在數據流動和私權保護間尋找適度的平衡，對業者提出了挑戰。

大數據應用中數據來源各有不同，包括用戶數據的收集、數據交易、網絡公開數據的收集等，可能涉及的法律問題主要包括個人信息保護、不正當競爭、商業秘密保護、著作權保護及計算機信息系統安全等。

一、個人信息的保護

（一）個人信息的范疇

根據《網絡安全法》的規定，個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。個人信息不僅包括可以單獨識別自然人個人身份的信息，如姓名、身份證號碼、電話號碼等，還包括與其他信息結合可以識別自然人個人身份的信息，如住址、工作單位、郵箱地址等。

是否具有“身份可識別性”是判斷信息是否屬于個人信息范疇的核心要件。隨著大數據等相關技術的發展，“身份可識別性”的界限越發難以判斷，并且必然會隨著技術的發展而有所變化。目前我國并沒有形成統一或具體的判斷標準，因此實踐中應當根據數據所屬行業、具體的識別方法和手段的合理性等因素綜合判斷。

（二）信息主體的授權

個人信息一般來講屬于私權的范疇，在立法和司法中應充分尊重信息主體的自決權，尊重信息主體和信息收集方達成的協議安排。根據《網絡安全法》第四十一條的規定，網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經得收集者同意。網絡運營者不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息，并應當依照法律、行政法規的規定和與用戶的約定，處理其保存的個人信息。因此，對于屬于個人信息的數據，其收集、使用和處理都需要經過信息主體的同意，即應遵從知情同意原則。

《信息安全技術公共及商用服務信息系統個人信息保護指南》（GB/Z 28828-2012）作為我國首個個人信息保護國家指導性標準，將個人信息分為個人一般信息和個人敏感信息，并提出默許同意和明示同意的概念。對于個人一般信息的處理可以建立在默許同意的基礎上，只要個人信息主體沒有明確表示反對，便可收集和利用。對于個人敏感信息，則需要建立在明示同意的基礎上，在收集和利用之前，必須首先獲得個人信息主體明確的授權。根據標準定義，個人敏感信息指的是一旦遭到泄露或修改，會對標識的個人信息主體造成不良影響的個人信息。各行業個人敏感信息的具體內容根據接受服務的個人信息主體意愿和各自業務特點確定。個人敏感信息可以包括身份證號碼、手機號碼、種族、政治觀點、宗教信仰、基因、指紋等。個人一般信息則是指除個人敏感信息以外的個人信息。

事實上，在上訴人北京百度網訊科技有限公司與被上訴人朱燁隱私權糾紛一案的民事判決（案號：（2014）寧民終字第5028號）中，法院已經考慮到了個人信息主體授權的完整性和信息技術創新發展的平衡。法院考慮到“百度網訊公司已經明確說明cookie技術、使用cookie技術的可能性后果以及通過提供禁用按鈕向用戶提供選擇退出機制”，因此認為“朱燁在百度網訊公司已經明確告知上述事項后，仍然使用百度搜索引擎服務，應視為對百度網訊公司采用默認‘選擇同意’方式的認可”，并進而認定“……將個人信息區分為個人敏感信息和非個人敏感信息的一般個人信息而允許采用不同的知情同意模式，旨在保護個人人格尊嚴與促進技術創新之間尋求最大公約數”。

（三）脫敏數據交易

對于收集后的信息，根據《網絡安全法》第四十條、四十二條、四十四條的規定，網絡運營者應當承擔嚴格的保密責任（包括必要的保密措施、補救措施及泄露后的通知義務），未經信息主體的同意，不得向他人提供個人信息，但是經過處理無法識別特定個人且不能復原的除外。任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。

《網絡安全法》首次明確認可了“脫敏數據交易的合法性”，但其前提是數據經過處理后無法識別特定個人且不能復原。與個人信息的“身份可識別性”相同，目前我國并沒有統一的“不能復原”的判斷標準，因此實踐中應當根據數據所屬行業、具體的識別方法和手段合理性等因素綜合考慮。

（四）法律責任

因個人信息收集、處理、使用產生的民事責任主要包括侵權責任和違約責任。如果包括隱私在內的個人信息未經信息主體同意而被相關企業收集、使用或處理，信息主體可以依據《侵權責任法》、《全國人民代表大會常務委員會關于加強網絡信息保護的決定》及《關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》主張隱私權或個人信息侵權責任（如，北京百度網訊科技公司與朱燁隱私權糾紛案，(2014)寧民終字第5028號）。如果信息收集者/處理者是基于與信息主體的用戶協議或其他協議收集、處理、使用信息主體的信息，則違反協議約定或超出協議授權范圍的收集、處理行為同時將產生違約責任，信息主體有權選擇向信息收集者/處理者主張違約責任。

隨著《網絡安全法》的實施，非法收集、處理個人信息所產生的行政責任更加明確。根據《網絡安全法》第六十四條的規定，網絡運營者、網絡產品或者服務的提供者違反本法第四十一條至第四十三條規定，侵害個人信息依法得到保護的權利的，由有關主管部門責令改正，可以根據情節單處或者并處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款，沒有違法所得的，處一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款；情節嚴重的，并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照。違反本法第四十四條規定，竊取或者以其他非法方式獲取、非法出售或者非法向他人提供個人信息，尚不構成犯罪的，由公安機關沒收違法所得，并處違法所得一倍以上十倍以下罰款，沒有違法所得的，處一百萬元以下罰款。

2015年11月，《刑法修正案（九）》將“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”整合為“侵犯公民個人信息罪”，擴大了犯罪主體和侵犯個人信息行為的范圍。于2017年6月1日起施行的《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》明確了侵犯公民個人信息罪的具體定罪量刑標準，刑事打擊侵害公民個人信息行為的力度更大。

二、著作權保護

互聯網業者在大數據應用中，往往希望了解消費者的消費習慣、其它業者的操作方式等，因此也會考慮在各個互聯網平臺上收集數據或信息，所收集的數據或信息有可能構成著作權法項下的保護客體。

第一類是用戶制作和提供的內容，即UGC (User Generated Content)，比如針對互聯網電商平臺銷售產品的用戶評價、旅游網站旅行者的體驗報告和訂餐網站對餐廳和菜品的評價等。此類信息可能是一個簡單的好或壞的評價，也可能是具有獨創性的文字作品或攝影作品，包括用戶的深度評論或日記、用戶上傳的照片、視頻等，而這些可能會構成著作權保護的客體；第二類是平臺或平臺商戶創作的具有獨創性的文字作品和攝影作品，包括文字性的介紹、照片等；第三類是平臺運營者收集和整理的數據庫，通過匯編和整理（對其內容的選擇或者編排體現出獨創性），有可能成為匯編作品。

著作權自作品完成之日起產生，未經著作權人（用戶、平臺或平臺商戶）許可，第三方通常不可以商業化使用其作品。實踐中，互聯網平臺或應用運營者通常會通過用戶協議或隱私條款要求用戶將其在平臺上發布/發表的任何形式的信息（包括評論和圖片）的著作財產權免費授權或轉讓給平臺或應用運營者，因此，平臺或應用的運營商有可能作為著作權人向侵權人主張用戶作品的著作權。而對于平臺或平臺商戶創造的文字作品、攝影作品和數據庫等，作為著作權人的平臺運營者或具體商戶同樣有權行使其對于相關作品的著作權。

根據《著作權法》第四十八條的規定，未經著作權人許可，復制、發行、表演、放映、廣播、匯編、通過信息網絡向公眾傳播其作品的，應當根據情況，承擔停止侵害、消除影響、賠禮道歉、賠償損失等民事責任；同時損害公共利益的，可以由著作權行政管理部門責令停止侵權行為，沒收違法所得，沒收、銷毀侵權復制品，并可處以罰款；情節嚴重的，著作權行政管理部門還可以沒收主要用于制作侵權復制品的材料、工具、設備等；構成犯罪的，依法追究刑事責任。

三、不正當競爭

（一）商業秘密

商業秘密主要指不為公眾所知悉、能為權利人帶來經濟利益、具有實用性并經權利人采取保密措施的技術信息和經營信息。根據《反不正當競爭法》第十條的規定：經營者不得采用下列手段侵犯商業秘密：1.以盜竊、利誘、脅迫或者其他不正當手段獲取權利人的商業秘密；2.披露、使用或者允許他人使用以前項手段獲取的權利人的商業秘密；3.違反約定或者違反權利人有關保守商業秘密的要求，披露、使用或者允許他人使用其所掌握的商業秘密。第三人明知或者應知前款所列違法行為，獲取、使用或者披露他人的商業秘密，視為侵犯商業秘密。監督檢查部門將責令相關經營者停止違法行為，并可以根據情節處以罰款。商業秘密的權利人可以向侵權人主張侵權責任（包括停止侵害、損害賠償等）。

如果相關數據是平臺或應用運營者在運營過程中產生的數據，包括訪問量、注冊用戶數量、用戶瀏覽記錄等一般用戶無法獲取的經營數據，相關運營者同時采取了保密措施（如設置防火墻、加密），則此類數據應當屬于商業秘密的范疇，相關運營者應當視為商業秘密的權利人。未經商業秘密權利人同意，任何第三方不得以不正當手段獲取、使用其商業秘密，否則將承擔相應的民事責任或行政責任，構成犯罪的，依法追究刑事責任。

（二）商業道德和誠實信用

如果相關數據是平臺或應用運營者在運營過程中產生的但卻是一般用戶都可以瀏覽或利用的數據，比如用戶的簡單評論或評價、用戶的評論數、商戶的基本信息及評分等，由于該類數據不具有秘密性，或者運營者并沒有采取任何保密措施，所以不屬于商業秘密的范疇。其中由用戶點評或評論產生的數據，由于不具有“身份可識別性”，應當不屬于個人信息的范疇，簡單的文字評價或評分也不足以成為著作權下的作品。

該類數據的所有權目前并不明確，雖然該類數據多由用戶完成，但是其單獨的評論或評價并不會產生顯著的價值。很多平臺或應用的經營者都會通過用戶協議或隱私條款明確要求該類數據的所有權及處分權益歸經營者所有，從現有案例來看，該類協議的有效性并沒有被法院或監管機關所質疑，比如上海漢濤公司訴北京愛幫公司不正當競爭糾紛（（2011）一中民終字第7512號），主審法院對用戶協議及平臺數據權利的合法性進行了認可，認為“漢濤公司通過與用戶簽訂協議，獲得用戶點評和商戶簡介的著作財產權益，并通過對上述信息搜集、整理，為公司帶來更多合法利益”，“大眾點評網的商戶簡介和用戶點評，是漢濤公司搜集、整理和運用商業方法吸引用戶注冊而來。漢濤公司為此付出了人力、財力、物力和時間等經營成本，由此產生的利益應受法律保護”。

根據目前的法律實踐，數據抓取行為和數據使用行為都有可能因為違反商業道德和誠實信用而構成不正當競爭行為。其中違法的數據抓取行為包括三類，第一類是超出協議范圍的數據抓取行為：平臺與合作方（數據抓取方）簽署了正式的合作協議或API協議，平臺向合作方提供數據共享接口，但是合作方超出協議范圍獲取或利用非法技術手段抓取了平臺的數據，該數據抓取行為可能構成不正當競爭行為（如北京淘友天下技術有限公司等與北京微夢創科網絡技術有限公司的不正當競爭糾紛，（2016）京73民終588號）；第二類是違背行業內公認準則的數據抓取行為，網站通過Robots協議可以告訴搜索引擎哪些內容可以抓取,哪些內容不能抓取。在法院已有的案例中，Robots協議被認為是互聯網行業普遍遵守的規則,故搜索引擎違反Robots協議抓取網站的內容,可能會被認定為違背公認的商業道德,從而構成不正當競爭（如北京百度網訊科技有限公司等與北京奇虎科技有限公司等不正當競爭糾紛，（2013）一中民初字第2668號）；第三類是采用違法手段進行的數據抓取行為，如通過侵入或破壞計算機信息系統進行的數據抓取行為，在不考慮其刑事違法性的條件下，其數據抓取顯然構成不正當競爭行為。

如果數據抓取的技術手段是合法的，對于獲取數據的使用行為同樣有可能違反誠實信用原則或公認的商業道德。在上海漢濤信息咨詢有限公司與北京百度網訊科技有限公司不正當競爭糾紛（（2015）浦民三（知）初字第528號）中，法院認定，“由于Robots協議是互聯網行業普遍遵守的規則,故搜索引擎違反Robots協議抓取網站的內容,可能會被認定為違背公認的商業道德,從而構成不正當競爭。但并不能因此認為,搜索引擎只要遵守Robots協議就一定不構成不正當競爭。Robots協議只涉及搜索引擎抓取網站信息的行為是否符合公認的行業準則的問題,不能解決搜索引擎抓取網站信息后的使用行為是否合法的問題。本案中,百度公司的搜索引擎抓取涉案信息并不違反Robots協議,但這并不意味著百度公司可以任意使用上述信息,百度公司應當本著誠實信用的原則和公認的商業道德,合理控制來源于其他網站信息的使用范圍和方式。百度公司擁有強大的技術能力及領先的市場地位,若不對百度公司使用其他網站信息的方式依法進行合理規制,其完全可以憑借技術優勢和市場地位,以極低的成本攫取其他網站的成果,達到排擠競爭對手的目的”。因此，對涉及信息使用的市場競爭行為是否具有不正當性的判斷，應當綜合考慮多重因素，包括：涉案信息是否具有商業價值,能否給經營者帶來競爭優勢；信息獲取的難易程度和成本付出；對信息的獲取及利用是否違法、違背商業道德或損害社會公眾利益；競爭對手使用信息的方式和范圍等。

四、計算機信息系統保護

如果通過侵入他人計算機信息系統或者采用其他技術手段，獲取該計算機信息系統中存儲、處理或者傳輸的數據，該獲取數據的行為不僅可能構成上述的不正當競爭行為，給他人財產造成損失的，應當依法承擔民事責任，情節嚴重的，則有可能構成非法侵入計算機信息系統罪或破壞計算機信息系統罪（《刑法》第二百八十五條和二百八十六條），進而需要承擔刑事責任。

五、法律風險的控制措施

如前所述，大數據應用者不僅應當關注數據的抓取行為，同時應當注意數據使用的合規性，避免使用任何未經授權的個人信息、商業秘密或著作權作品。對于來源于網絡平臺的普通數據，企業在使用時也應當注意自身對數據的使用方式和范圍，避免違反誠實信用的原則和公認的商業道德，構成不正當競爭行為。

此外，為控制風險，建議大數據應用企業可以采取以下措施：

1）完善與數據供應商的協議，明確供應商對數據來源合法性的擔保責任；

2）明確數據供應商對個人信息的授權和脫敏責任，明確數據供應商的保密義務等；

3）企業在選擇數據供應商時，要對供應商的數據流程進行法律合規性評估，并基于評估結果選擇供應商；

4）在獲得數據后，企業內部應當對數據采取必要的保密措施，進行數據分類處理，確定特定的使用目的，避免數據的擴散或泄露；

5）數據進行交易或流轉之前，對數據進行必要的處理，尤其應當注意對于個人信息的脫敏。

（責任編輯：李曉暉）

Analysis on Legality of Data Collection in the Application of Big Data

CHEN Ji-hong

In this era of “big data”,a large amount of data is related to personal information and business information.Enterprises must face the challenge to protect personal information and trade secrets in appropriate and adequate ways in accordance with laws and policies.Based on the overall environment of big data application,with the updating laws and regulations,this article provides the detailed analysis on legality of data collection in simple terms but with emphasis,and it advises enterprises on tips and control measures of legal risks in personal information protection,copyright protection,unfair competition,and computer system protection.

Collection of big data,data desensitization,personal information protection,copyright protection,unfair competition,computer system protection

D922

A

1001-4225（2017）05-0048-05