刘乃晗:网络数据采集的合规边界
合规的策略移动支付网2019/11/19 9:26:58

一、数据的定义

现实中存在各式各样的网络服务,几乎每一种网络服务都需要采集用户的个人信息,在网络环境下,违反个人信息保护的行为频发,个人信息的保护涉及采集、使用、披露等多个环节,采集是个人信息被滥用的源头,因此从源头上对采集个人信息的问题进行控制,划分合法采集与非法采集的边界问题尤其重要。

最近一段时间,由网络数据采集引发的法律风险较多,因此本文以网络数据采集为方向探讨数据采集的合规问题。

在开始这个问题之前,有必要对数据和信息的关系进行辨析,在网络服务提供者的计算机系统中,所有的信息都是以数据形式保存的。数据是使用计算机信息技术将输入的信息以计算机可以识读的形式进行记忆、加工、复制、输出的电和磁的形态的总称。人类可以识别的信息要转换成计算机能够识别的信息,必须借助于数据才能实现,计算机能够识别的数据也可以还原成人类可以识别的信息,在这个还原过程中,有些数据还需要借助设备才能被人所识别,比如音频和视频数据。一般来说,所有的信息,包括个人的动作和声音、人体生物信息等都可以数据的形式存放,因此可以这样说,在互联网时代,数据的采集过程就是信息的采集过程,数据的保存就是信息的保存,对数据的使用就是对个人信息的使用,数据的披露就是信息的披露。

依据《网络安全法》对网络数据和个人信息的定义,网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

数据采集的合法性问题是保护自然人和企业的数据合法权益的起点。但就法律所保护的利益的重要性和迫切性来看,个人信息的保护更为迫切和重要,当然并不是说企业就没有数据方面的权益,企业的数据利益仅与经济利益相关,企业的数据利益通常表现为商业机密和对数据所享有的商业上的利益。对企业商业机密和数据利益的保护,是维护市场主体权益、保护市场竞争秩序的需要,而对个人信息的保护则直接与个人的人身权利保护相关,个人信息违法行为侵害范围为不特定的个人,人身权利和商业利益而言,当然是前者优先。

采集个人信息为何存在非法和合法的区别?要厘定数据采集的合法与非法边界,需要从保护数据的法律的本质出发进行探究。法律之所以对个人信息和企业信息进行保护,主要是出于保护个人隐私的法益。概括而言,对个人隐私的保护,实质上是个人民事权利保护的一部分。

依据张新宝教授的定义,隐私是指私人生活安宁不受他人非法干预,私人信息保密不受他人非法搜集、刺探和公开。隐私包括私人生活安宁和私人生活秘密两个方面。①

个人隐私由个人信息组成,但个人信息与个人隐私通常不能划等号,判断个人信息是否属于隐私信息,要看这些信息能否指向特定的个人。至于信息是否能指向特定的个人,还需要结合其他环境信息进行判断,比如特定的人群等。在一个较大的范围内,单独的信息或者组合在一起的信息如果不能指向特定的个人,就很难说是个人隐私。但如果在一个较小的范围内,情形可能完全不一样,比如性别、出生日期,通常不会人与某个个体联系在一起,因为同一天出生的同性别的个人很多,但如果这样的信息再与其他信息组合在一起,或者这样的信息指向一个小范围的人群,比如一个班级,或者是演艺人士,就可能被人识别出是某一个体的身份信息。

二、数据采集范围的合规性判断

个人隐私是判断数据采集合法性的第一个标准。哪些个人信息可以不经同意而采集,哪些个人信息必须经本人同意而采集,应遵循隐私判断标准。如果经判断,某项拟采集的信息属于个人隐私信息,就应当经过隐私权人,即用户的同意。

隐私从内容上分为受法律保护的隐私和不受法律保护的隐私之分,个人的非法活动尽管在本人意愿中属于不愿意公开的个人信息,但不属于法律保护的隐私。

目前对个人隐私范围的判断,我国法律上并无具体规定,从国外立法看,即使能够划定个人隐私的类型,也难以使用列举的方式穷尽所有个人隐私的种类。

(一)隐私的判断标准

人的隐私与文化传统、习俗、性别、历史时代、所处的场合、人的知名度等因素有密切的联系。不同地域的人们的隐私观念存在差距,在某一个地区视为可以公开的信息在另一个地区可能属于隐私;隐私观念在性别之间也存在差异,将年龄看作隐私的女性可能多于男性;同时,隐私的范围随时间发展而变化,比如现代女性可能将体重视为隐私。

同一隐私信息在不同的场合,其隐私意义存在差异,比如年龄在家庭成员和亲属间不属于隐私,但以社会公众的角度看则属于隐私。人的面部在现实空间中,通常不属于隐私,但在网络空间里,一般认为属于隐私。同一隐私信息在现实空间和网络空间中的隐私强弱也有差别,自然人姓名的隐私属性在网络空间中比现实空间更为强烈。

同一隐私信息在不同的人之间,是否构成隐私也有差异。在通讯领域,参与交流的双方或者多方都有权利知道对方的通讯信息,比如电子邮件的接收方有权利知道对方的电子邮箱,电话的被叫方有权利知道对方的电话号码,网络及时通讯的接收方有权知道发送方的昵称、图像,网络服务提供者有权知道用户的IP地址。相互交互中,接收信息或者请求的一方有权知道发送方是谁,就好比是有人敲一户人家的门,被敲门的人家有权利知道敲门的人是谁。因此在相互交互的各方之间,电子邮箱、电话号码、昵称、图像、IP地址等信息不构成隐私信息。

特殊人群的隐私权在现代社会普遍受到不同程度的限制,比如政治公众人物和社会名人。

隐私的范围或者说隐私的判断标准,理论界并无一个成熟的看法,从各国普遍的立法实践来看,法律也不可能给隐私划定一个既定的边界,仅可以按照隐私的内容,将某些隐私排除在法律保护之外,比如以违法犯罪和严重违反社会公共道德行为为内容的隐私不应保护②,当然,这也是一个比较模糊的标准。在实践中,可以排除为个人隐私的信息一般包括以下几类:一是按照法律规定必须公开的信息,比如担任企业股东、董事、监事、法定代表人(负责人)的信息,二是本人自愿公开的信息,比如个人自愿向特定人群或者不特定人群公开其联系方式、住址、亲属关系等,三是已经合法公开的信息。

实务工作者必须使用一个标准判定某些信息是否属于个人隐私。从学理上讲,判断隐私有三个标准:主观标准、客观标准以及主客观相结合的标准。所谓主观标准,就是以隐私权人为角度,以隐私权人的主观思维判断是否属于隐私,简单地说,就是假定自己是隐私权人,判断某类信息是否属于隐私。客观标准就是以社会中具有正常理性的人的思维判断是否属于隐私。主客观相结合的标准,就是将主观标准和客观标准结合进行判断是否属于隐私。主观标准的判断结果因判断者的个人认识不同而存在比较大的差异,客观标准的判断结果又可能与主观标准所做的判断相违背。

我国立法没有规定隐私的判断标准,也没有关于判断隐私的原则。美国是隐私权制度的发源地,美国对隐私的判断标准是通过判例确立的,但判断标准仍然是原则性的。在1967年的“卡茨诉美国”(Katz v.United States)案中,美国最高法院第一次提出根据宪法第四修正案,隐私权的判断标准应当是:是否具有实际的、主观的隐私期待和社会是否认为这一期待合理,这一标准很快被扩大适用于判断各种情况下隐私权的存在于否。③这一判例所确定的判断隐私权的标准就是主客观相结合的标准。

《网络安全法》所列举的个人信息属于个人的身份信息,《网络安全法》未采取穷举的方式列举个人信息的种类,其实在法理上也无法穷举,但该法未否认除列举的个人信息之外,还有其他个人信息,且明确了不限于所列举的范围。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号,以下简称《个人信息刑事案件解释》)对个人信息的解释为:“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

个人信息包括身份信息和行为信息,身份信息是指那些单独或者组合起来能够标识一个自然人区别于其他自然人的信息,行为信息是指自然人在各种活动中形成的信息。《个人信息刑事案件解释》就明确规定了个人信息包括个人身份信息和行为信息。

(二)隐私信息的类别

根据法学理论界的通说以及司法实践,属于个人隐私的信息包括但不限于以下各类:

1.身份信息

(1)基本身份信息,包括姓名、联系方式、住址、身份证件号码、出生日期、网络空间中的“昵称”“头像”等。

(2)亲属关系,包括亲属的个人信息。

(3)生理信息。包括生理指标、人体生物信息等。生理指标包括身高、体重等信息。人体生物信息包括面部特征、指纹、虹膜、声波、基因、血型等。

(4)健康信息,包括健康指标(比如血压、心率等)、生理缺陷等。

(5)档案信息,包括一个人的学习和工作履历、受处分的信息等。

2.行为信息:

(1)私生活信息,包括私生活经历、个人日记、宗教信仰、婚姻状况等。

(2)信用信息,包括债务违约记录、征信信息等。

(3)支付信息,包括银行账户、支付账户的交易明细、操作记录等。

(4)财产信息,包括不动产信息、移动通讯设备信息(包括移动设备的型号、操作系统、设备唯一识别码等信息)、车辆信息、金融资产信息(包括银行存款、保险、证券等信息)等。

(5)收入信息,包括工资收入、利息收入、投资收益等。

(6)就业信息,包括失业或者就业的状态、就业单位等信息。

(7)受教育信息,包括学历、就读院校、考试成绩等信息。

(8)医疗信息,包括就诊经历、健康体检经历、治疗效果等信息。

(9)行踪信息,包括旅行、住宿、运动等信息。

(10)社会保险缴纳信息。

(11)通讯信息,包括社交媒体通讯号码及通讯记录、电子邮件地址及通讯记录、移动电话和固定电话号码及通讯记录、各种通讯方式的密码等。

(12)纳税信息。

(13)社会交往信息,包括电话通讯录信息、社交媒体交往信息。

(14)网络活动信息,包括网页浏览记录、网络下载和上传、网络购物、网络注册、登录等信息。

(15)违法犯罪记录。目前这方面存在一些争议,依据《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(法释〔2014〕11号)犯罪记录属于个人隐私。

(16)受侵害记录。

(17)地理位置。

(三)违反个人信息保护的行为与侵犯隐私权的关系

违反个人信息保护规定的行为与侵犯隐私权的行为不能划等号,二者有一定的区别,侵犯隐私权需要将身份信息和行为信息与特定的个体相结合或者根据依据公开的身份信息和行为信息能够判断出特定的个体为标准,仅仅公开个别信息但无法判断属于特定个体的,尚不构成对隐私权的侵犯,但采集个人信息,即便无法与个体联系在一起,仍然属于违反个人信息保护规定的行为。违法采集个人信息,如果只限于系统自动采集、尚未为人所知,一般不构成对隐私权的侵犯,但仍然可能构成违反个人信息保护规定的行为。

违反个人信息保护的行为,应当承担行政责任和刑事责任,而侵犯隐私权的行为承担的是民事侵权责任。追究行为人违反个人信息保护的法律责任,不以侵犯隐私权为前提。

(四)个人信息采集的禁止性规定

法律可能针对某些类型的数据采集机构和所采集的个人信息的性质作出具体的禁止性规定。《征信业管理条例》第十四条规定,禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。但是,征信机构明确告知信息主体提供该信息可能产生的不利后果,并取得其书面同意的除外。在明确禁止采集的个人信息时,即使个人同意采集的,也不能采集,但如果履行特定的告知程序后允许采集的可以采集。

于此相关的另一个问题是,禁止采集的法律依据到底是法律?还是国务院的行政法规?抑或是部委规章?这个问题,可以参考《个人信息刑事案件解释》,这个文件规定,违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。

①张新宝,《隐私权的法律保护》(第二版),群众出版社2004年5月版,第7页。

②廖新仲,《论隐私权的边界》,载《法律适用》2014年第9期。

③曾尔恕、黄宇昕《美国网络隐私权的法律保护》,载《20世纪外国民商法的变革》,法律出版社2004年6月版,第364页。

三、数据采集方式的合规性判断

(一)判断数据采集方式合规性的法律依据

法律通常规定,采集个人信息的方式应使用合法的方式,但法律不可能列举所有合法的方式,也不可能列举所有非法的方式。在法理上,任何一个法律体系都不可能采用列举的方式穷尽所有合法和非法的信息采集方式。因此,在法理上,除法律有明确规定之外,应依据公序良俗原则作为补充判断标准。关于公序良俗原则,见于《民法总则》第八条:“民事主体从事民事活动,不得违反法律,不得违背公序良俗。”

《全国人民代表大会常务委员会关于加强网络信息保护的决定》(以下简称《网络信息保护的决定》)和《网络安全法》对网络个人信息收集的合法方式都是仅作原则性规定。《网络信息保护的决定》规定,网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则。《网络安全法》秉承了《网络信息保护的决定》的这些原则性规定。《网络安全法》第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。所不同的是,前者要求不能违反“法律、法规”,后者要求不能违反“法律、行政法规”。“行政法规”专指国务院制定的行政法规,而“法规”的含义要广泛一些。为此,应按照前述《个人信息刑事案件解释》的规定,违反法律、行政法规、部门规章的采集方式都属于违反国家规定的行为。

(二)实践中常用的网络数据采集方式

采集数据的方式通常有以下四种方式:

第一种方式是由用户按照标准的格式自助上传个人信息,网络服务提供者的系统自动存储这些信息,诸如上传姓名、性别、职业、身份证件种类、身份证件号码、住址、联系方式等,此类信息通常为指定的格式,系统能够直接识别。

第二种方式是客户上传图片、照片、视频、人体生物信息等信息,网络服务提供者的系统对此类信息通常应作解析处理,并将解析后的数据转换成系统能够识别的格式加以存储,也可以不读取数据而直接以图片等文件格式进行存储。

第三种方式是由网络服务提供者自行采集数据。使用这种方式采集数据的,网络服务提供者可以通过公开渠道收集合法公开的信息、通过自己提供的服务记录用户的行为并存储、要求客户自行提供数据。

第四种方式是由网络服务提供者委托第三方采集数据。又包括两种方式,一是使用第三方已经采集完成或者加工完成的数据,比如征信机构的征信信息,这种方式中,第三方是数据的持有人。二是网络服务提供者委托第三方向数据的持有方(比如移动通讯服务商)收集用户的数据,网络服务提供者之所以委托他人向数据的持有方采集数据,通常是由于采集数据过程中需要借助某些技术手段,而网络服务提供者不具备这样的技术,这种方式中,第三方并非数据的持有人。

使用第一种方式和第二种方式采集数据的,用户对于网络服务提供者采集的数据的种类和项目是明知的,其自愿上传的行为表明其同意相对方收集数据,但仍然需要网络服务提供者履行告知义务,这是因为告知不仅是告知将要采集数据的行为,还应当明示采集的目的,需要取得用户的事前在完整认知状态下的同意。

第三种方式和第四种方式引起的合规性争议比较大。争议的焦点集中在是否有用户的授权、授权是否充分以及第三方获取数据的方式等问题。

对个人信息的权利,专属于用户,网络服务提供者之所以有权利采集和使用,应理解为根据用户的许可或者授权形成的法律关系。前述第一种和第二种方式中,所采集的数据由用户直接提供,用户对个人信息使用的意愿表达清晰。前述第三种和第四种采集数据的方式是典型的通过许可或者授权形成的。这种用户许可的方式可以称之为授权,用户同意即为授权。授权行为可以形成民事代理关系,但授权行为的后果不限于民事代理。用户授权网络服务提供者采集数据的行为,不形成与网络服务提供者之间的代理关系,代理关系的代理人与自己不能存在利害关系,但网络服务提供者与用户之间是合同关系,授权采集数据的结果,与网络服务提供者所提供的服务存在联系,假如认为网络服务提供者与用户之间的授权形成代理关系,相当于网络服务提供者代理自己的事务,与代理关系的性质相悖。此处之授权,应认为受托管理他人事务,即网络服务提供者受用户的委托管理用户的事务。

授权产生的依据是合同,通常是网络服务提供者单方制定并公示的格式合同。

(三)数据采集中技术手段的披露问题

通常情况下采集数据,无须使用特别的工具和技术,但采集某些数据时,例如在所需要采集的数据储存于他人的系统时,可能需要使用特殊的网络技术或工具,比如按照网络接口规范进行数据对接。数据采集中所使用的技术手段的合规性以及是否应向用户披露的问题,目前尚无明确规定,有些意见赞成“技术中立”,但技术中立与披露技术是两个概念。技术是否真正能够中立尚无定论,比如网络攻击行为和不法侵入行为所使用的技术就很难认为是中立的技术。依据一般法理,可能造成用户信息超范围收集、可能造成用户信息泄露、可能造成系统损害的方式,或者可能造成数据的权利人权益受损的技术措施是应当被禁止的,但相关各方都明知技术手段的性质及其应用可能造成的损害并明确表示同意的除外。比如以目前争议较大的“爬虫”技术应用于数据采集的问题为例,采用这种方式收集信息的,宜告知客户及可能的后果。但“爬虫”技术的应用对数据持有方有危害,“爬虫”技术的应用将可能导致“爬虫”技术的使用方承担刑事责任,详细讨论见下文。

(四)用户授权的合法性要件

1.总体要求

《网络安全法》第二十二条规定:“网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定”。这是收集用户信息的总体性要求,可以概括为明示并经同意原则。

何为“明示”?如何确认“同意”?《网络安全法》第四十一条规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”。个人数据的收集需要经过用户同意,用户同意的前提是被告知,告知的内容包括三个方面:第一,告知收集、使用规则。所谓收集、使用规则,一般的表现形式为各种类型的格式合同,这是一个形式上的要件。第二,告知收集、使用信息的目的、方式和范围。格式合同必须对需要收集的数据的类型、范围进行公告,并具体说明所采集的数据与所提供的服务功能之间的关联,说明数据的收集方式。这是就公开的格式合同的内容所作的规定,属于合同有效的实质要件。第三,询问用户是否同意并提供拒绝或者同意的选项。征询同意的选项应具有显著的可识别性,不能隐藏,也不宜在用户点击下一步时默认用户浏览合同内容或者同意。宜设置为:用户无打开格式合同的操作,不能进行下一步的操作。

2.形式要件

形式要件偏重告知的有无和告知的方式,无告知而采集信息,显然属于违法收集。关于告知的方式,目前并无强制性要求。《信息安全技术个人信息安全规范》(GB/T 35273-2017,国家标准化管理委员会2017年第32号中国国家标准公告,以下简称《个人信息安全规范》)虽然并非国家强制性标准,但对指导个人信息的保护工作有重要的参考意义。依据《个人信息安全规范》,收集个人信息时,应确保个人信息主体的明示同意是其在完全知情的基础上自愿给出的、具体的、清晰明确的愿望表示,向个人信息主体告知所提供产品或服务的核心业务功能及所必需收集的个人敏感信息,并明确告知拒绝提供或拒绝同意将带来的影响。应允许个人信息主体选择是否提供或同意自动采集。个人信息控制者应制定隐私政策,隐私政策的内容应清晰易懂,符合通用的语言习惯,使用标准化的数字、图示等,避免使用有歧义的语言,并在起始部分提供摘要,简述告知内容的重点;隐私政策应公开发布且易于访问,例如,在网站主页、移动应用程序安装页、社交媒体首页等显著位置设置链接;隐私政策应逐一送达个人信息主体。当成本过高或有显著困难时,可以公告的形式发布。鉴于隐私政策在公布方式、内容、用语等方面有特殊要求,因此不宜与服务协议合并。

提供非核心的服务所需要的个人信息不宜与提供核心功能所需要的信息进行捆绑式公示或者询问,比如支付服务提供者另行提供导航服务的,支付服务所需要的信息和导航服务所需要的信息宜分别进行公示和询问。

3.用户授权有效的实质性要件

依据民事行为的相关理论,用户授权有效,第一个要件必须是用户的真实意思表示,用户在作出授权时,对行为的性质和后果有充分的认知,为此,网络服务提供者的告知应当是充分的,应以用户不产生误解为标准。欲使用户不产生误解,网络服务提供者应当按照以适当的方式让用户知悉所采集的数据的性质和所采集的数据的真实用途,当然,因为用户的理解力有差异,并非所有的用户都能理解所采集的数据对实现所需功能(用途)的必要性,因此应当按照客观标准,所谓的客观标准,就是以普通理性人的假定推知用户对数据采集目的是否理解,在必要的情况下,可以依据普通人的假定推定用户理解这种数据采集的用途。网络服务提供者采集的用户数据,可以分为核心功能所需要的数据和非核心功能所需要的数据,所谓核心功能所需要的数据,就是如果用户不提供相应的数据,其服务将无法实现,典型如移动设备所使用的操作系统,如果用户不允许网络服务提供者获取移动设备的操作系统类型,诸如IOS系统或者Android系统,将无法安装用户端的应用程序,即使用户对这种数据的用途不了解,但只要用户同意采集,就视同理解数据采集的目的。再比如,申请支付业务的,根据反洗钱法律的规定,应采集个人身份基本信息,如果用户同意接受支付服务且同意采集身份基本信息的,也应当视同客户了解数据采集的目的。按照理性人的假定,有正常理性的用户能够理解这种数据采集的目的,但如果客户在主观上不能理解数据采集的目的,但只要客户愿意接受这种服务,就应当视同用户同意采集相关的信息。另有一些数据,对核心功能的实现没有影响,但对某种具体功能的实现有影响,比如社交服务服务提供者如果不采集通讯录信息,就不能向用户按照通讯录推荐好友,用户不能理解采集通讯录的意义,但只要用户同意开通这种功能且同意采集这种数据,就应当视同用户能够理解这种数据采集的意义。至于其他数据的采集,如果对功能的实现无关,应当充分告知用户并达到用户能够充分理解,在是否同意的询问中,不宜与用户已经支付对价的应用服务进行捆绑,那些与应用功能无关仅用于向用户推荐商品或者服务的数据,如网络浏览行为信息即为适例。此为用户授权有效的实质性要件之一。

用户授权有效的实质性要件之二是在授权的方式上,应遵循具体授权而不能是概括授权,所谓具体授权,是指告知所采集的个人信息的种类和明细,如果采集的是行为信息,应告知起始时间点。概括的授权,是指对收集的信息的类型或者范围不具体列举,而是概括表达,比如格式合同中“同意收集通讯信息”“同意收集社保信息”之类的表述,未指明收集的信息的类别、未具体指明起始时间段,因而授权不明。因授权不形成民事代理关系,授权不明确的,不适用民法关于授权不明的民事责任的有关规定。对于授权不明确的“剩余权利”,应视为用户未授权。

经用户本人同意采集的信息,网络服务提供者在向他人(包括同一集团下的关联企业)提供时,需要另外取得用户的授权,数据披露的授权与允许数据采集的授权可以合并于一个格式合同中,虽经用户同意采集的数据但在披露、转让数据时未经用户同意的,仍然构成个人信息违法行为。但法律规定不经用户同意的除外,比如国家机关依据职权调取数据、金融机构依据法律规定报送大额交易和可疑交易报告。

两个以上的网络服务提供者通过系统对接的方式共享数据的,应分别询问并取得授权,不宜合并询问和合并授权,比如,获取用户在其他系统中的注册昵称和头像的,应单独询问并取得同意。

4.采集共同隐私信息需要全体隐私权人同意

委托采集的数据中如果包含有他人的个人数据,即使用户本人同意收集但未有其他隐私权人同意的,仍然属于非法采集,采集他人的通讯信息即为适例,由于通讯行为必有相对方,通过社交媒体发送的通讯信息的相对方可能为多人,比如各种通讯族群的通讯信息,通讯信息属于用户和他人的共同隐私信息。同样的情形,还有支付信息,多数支付信息是本人和他人之间发生的,如果纯属于本人和本人之间发生的支付信息则例外。

采集共同隐私信息,需要取得全体隐私权人同意。如果委托采集的数据中,仅包括用户本人的个人信息,无其他自然人的个人信息的,比如社保缴费记录等,在用户有效授权的情况下,采集行为不能视为违法。

如果共同隐私信息是由网络服务提供者通过自己的服务生成的信息,并且依据法律法规的规定应当加以记录和保存的,未经共同隐私行为人同意而记录和保存的,不能视为违反个人信息保护的行为,典型如金融机构、支付机构所记录和保存的本方客户与他方客户之间的支付信息。

5.依据法律规定必须采集用户信息的,通常情况下不能豁免告知并获取同意的义务

依据《反洗钱法》《反恐怖主义法》《金融机构客户身份识别和客户身份资料及交易记录保存办法》(中国人民银行、中国银行业监督管理委员、中国证券监督管理委员会、中国保险业监督管理委员会令〔2007〕第2号公布)等法律法规和规章的规定,金融机构应当对客户进行身份识别,记录客户的身份信息,通过网络提供金融服务的金融机构是否可以不经告知客户并取得同意而直接收集客户的个人信息呢?《网络安全法》关于采集个人信息告知并取得同意的规定没有例外,如果客户不同意提供或者不同意采集个人信息的,应视为客户拒绝建立业务关系。

由于《网络安全法》未能充分考虑反洗钱的需求,因此在金融机构、支付机构采集共同隐私数据的时,应遵守《反洗钱法》的规定,视为共同隐私权人已经授权。

(五)委托他人采集数据的合法性问题

在网络贷款等业务中,网络借贷服务提供者可能不是贷款人,而仅仅提供贷款服务。网络借贷服务提供者通常委托第三方,即所谓大数据公司,采集借款人的个人信息。之所以需要委托第三方采集数据,是因为这些数据通常属于行为信息,比如通讯信息、社保缴费信息,如果由借款人自行提供,会存在数据的可信问题。出于对借款人诚信的担忧,网络借贷服务提供者不能完全相信借款人自行提供的数据,如果由网络借贷服务提供者自行查询,需要借款人提供用户名和密码等安全校验信息,这种收集方式因数据的比较强的隐私性质可能被借款人警觉而予以拒绝。实践中网络借贷服务提供者需要借助高科技手段,在自己没有相应技术的情况下,委托第三方采集所需要的信息。

网络贷款委托他人采集数据的,从法律规定和公共道德的角度,无一般性禁止的必要,但委托采集数据毕竟与网络服务提供者自行采集数据有别。依据授权的理论,受托人应亲自完成受委托的事项,在自己能力所及的范围内无法完成委托事项的,可以委托他人,但应取得委托人的同意。因此在网络服务中,网络服务提供者委托他人收集数据的,应事前通知用户,可以在格式合同中一并告知并取得用户的同意,告知的内容至少应包括以下内容:被转委托采集数据的人、被转委托采集的数据的范围、被转委托采集数据的方式。被转委托的第三方采集数据使用特定技术方法的,应指明其技术方法,比如第三方是使用“爬虫”技术还是其他技术进行采集,并指明所使用的技术手段的风险。因此委托他人采集信息时,明知委托人采用非法方式的采集的,应与委托人一起承担违法采集信息的法律责任。

(六)使用违法采集的数据的合规性问题

如果数据的使用人明知是他人使用非法方式获取的数据,数据的使用人的行为也属于违法行为,依据《个人信息刑事案件解释》,为合法经营活动而非法购买、收受非法采集的数据的,仍可能构成刑事犯罪。数据的使用人对他人采集数据的方式不知情是否构成违法,目前的规定并不明确。在学理上,如果数据的采集人取得合法的采集资质并受到行政管理机关的监管,比如征信机构,即便采集人采集数据的方式不合法,如果数据的使用人对采集人非法采集数据的事实不知情,数据的使用人应不承担责任,但在其知情后,数据就不能再使用。

在委托他人采集数据的情况下,如果被委托人采集数据的方式不合法,委托人需要承担违法采集数据的责任,其责任性质应视其主观上的心理状态而定。委托人明知他人采集数据的方式不合法的,可能与被委托人共同承担刑事责任,但如果委托人不明知数据采集的方式,虽然不承担刑事责任,但可能承担民事责任,且不能使用采用违法方式采集的数据。

(七)公共场所的影像采集问题

在互联网时代,公共场所的影像采集不能简单视为一个孤立的行为,当数据实时采集与实时传输结合在一起时,对个人隐私的影响是完全不同的。一个人在公共空间中是否存在隐私权,在理论界是一个有争议的问题。美国法院在20世纪90年代仍然不认为人们在公共场所有隐私权。互联网时代,影像可以实时采集并实时上传至互联网,这个问题的性质已经不同于从前,因此有必要重新认识。张新宝教授就认为,从公开场所对他人进行摄像和拍照,在某些情形下构成对隐私的侵犯。①在公共场所采集数据的问题,是一个公共利益、公共秩序与个人的隐私权相平衡的问题,一般情况下不宜认定为对个人隐私权的侵犯。另一个相关的问题是,在公共场所跟踪、刺探他人活动的行为,是否侵犯隐私权,这个问题同样存在争议。

①张新宝,前引书,第268页至271页。

四、网络非法采集数据的常见方式及可能承担的法律责任

网络服务提供者在决定谁有权访问自己的网络空间和使用何种方式访问上有自主权。所有未经许可的访问都属于非法侵入。网络服务提供者拥有网络民事权利,有权将自己的服务提供给公众,也有权将自己的服务提供给特定的人,有权禁止特定的人访问自己的服务器,也有权决定禁止访问者使用自己不允许的方式访问自己的网络。网络服务提供者有权针对未经允许的访问者和未经同意的访问方式设置技术防控措施。

依据法律规定,以下采集数据的行为属于非法采集行为:

(一)侵入型采集数据的行为

侵入型采集数据的行为是指,以非法侵入计算机设备、计算机信息系统的方式采集数据的行为,包括但不限于:破解或者使用黑客工具破解或者绕过技术防控措施而侵入系统;破解密码、截获密码;安装恶意软件、“后门”软件;恶意突破限制访问的技术措施。

如果在使用“爬虫”技术中,通过破解、截获登录密码的方式进入系统,突破防“爬虫”技术措施而访问系统,仍然可能构成非法侵入行为。互联网服务提供者有权利拒绝AI访问,有权禁止以“爬虫”技术访问,类似于一个旅游区,可以接待游人进入,但不允许车辆进入。如何才能知道网络服务提供者不欢迎特定方式的访问呢?通常而言,防止不友好访问的技术措施,这就好比是在道路中限制大型车辆,设置限高杆一个道理。如果没有这个“限高杆”,也没有相应的人工可以识别的提示,应视为不限制访问方式。

实践中,网络服务提供者在采集通讯信息和社保信息等行为信息的过程中,会要求用户登录相关服务提供商的网页,与此同时,网络服务提供者委托第三方使用“爬虫”技术抓取数据。这种方式将引申出另一个问题:如果用户允许他人通过获取登录密码的方式采集其个人信息,是否意味着用户同意采集数据的方式?是否意味着采集数据的人采集数据的方式不违法呢?这个问题未有相关的规定,从学理上将,如果用户自愿将密码、登录名等登录权限信息提供给网络服务提供者,可以视为用户已经授权给网络服务提供者采集数据。如果网络服务提供者使用恶意软件等方式截获、保存密码而采集数据,即使用户事前已经有相应的授权,也不能视为是合法采集,这个道理就如同一个人允许他人进入自己的房间,但应当使用钥匙打开房间而不能撬锁进入房间是一个道理,而且,也不能因为使用过房主交付的钥匙而私自配置钥匙再次打开房间。在学理上,受托人在管理他人事务过程中,应依据善良管理人的谨慎义务,依据普通人的认知标准处理委托事务,按照普通人的谨慎,在任何情况下,登录密码都不应该通过恶意软件截获的方式获取。

因此,即便在有用户授权的情况下,通过恶意软件截获密码等方式采集数据的行为,仍然属于非法的采集行为,

违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,构成《刑法》第二百八十五条第一款规定的非法侵入计算机信息系统罪。违反国家规定,侵入其他计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,构成《刑法》第二百八十五条第二款规定的非法获取计算机信息系统数据、非法控制计算机信息系统罪。

(二)使用破坏型方法采集数据的行为

使用破坏型方法采集数据的行为,是指在采集数据的过程中,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行;使用“傀儡机”模拟人类行为短时间大规模登录,如果这种干扰达到了“后果严重”的程度,构成《刑法》第二百八十六条规定的破坏计算机信息系统罪。使用破坏型方法采集数据的行为与侵入型数据采集行为可能发生竞合。

(三)以侵犯他人人身权利的方式采集数据

以侵犯隐私权的方式采集数据的,比如对私密场所进行偷拍、偷录,造成严重后果的,同时构成《刑法》第二百八十四条规定的非法使用窃听、窃照专用器材罪。如果采集的共同隐私信息足以识别共同隐私权人,应属于侵犯共同隐私权人隐私的行为,比如:经过用户同意采集通讯录信息时,只采集姓名和电话号码的,由于这两个信息通常无法指向特定的人,尚不能认定为侵犯共同隐私权人的隐私,但如果同时采集通讯录的地址、工作单位等信息,由于这些信息具有较强的指向性,可能构成对共同隐私权人隐私的侵害。

(四)以违反公序良俗的方式采集数据

公序良俗是公共秩序、善良风俗的简称。公序良俗原则是判断民事违法合法性的最高准则,因其含义比较模糊,一切不能以成文法判断行为有效性的,均可使用公序良俗原则判断。在数据采集问题上,所有违背公共道德且目的不正当的数据采集方式都可以视为违背公序良俗,法律不能穷尽所有违背公共道德的方法,但依据公共生活准则应能推知,欺骗、诱导或者以强迫的方式采集数据的,属于违背公共道德,比如采集数据的目的本来是为了向用户的亲友发送信息而谎称是为了保护用户。

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。

展开全文
相关阅读
资讯查询取消