数据之争——盘点2020年与数据有关的争议
在数据本身成为产品的大数据时代,除打包出售数据外,也有不少数据平台会根据用户需求,通过技术手段生成可视化图形以展示用户选择的数据。
在数据本身成为产品的大数据时代,除打包出售数据外,也有不少数据平台会根据用户需求,通过技术手段生成可视化图形以展示用户选择的数据。
作者 | 瞿淼 杜承彦 焦晨恩 谭晓明 金杜律师事务所编辑 | 白战堂
自2018年开始,我们每一年都会盘点发生在过去一年的数据相关的纠纷和争议,迄今已经是第4年。2020年是不平凡的一年。在疫情期间,健康码,疫情防控行程卡等基于个人信息和大数据技术的服务发挥了巨大的作用,已成为公众日常生活中的必备工具。但是我们也看到,在疫情期间,为了防控疫情披露患者轨迹时,仍然多次发生了个人信息泄露时间,甚至因此引发了网络暴力事件。在此,笔者盘点梳理了2020年度与数据相关的争议,为各位读者供参考。
北京市海淀区人民法院一审审理后认为无法查明四维图新主张的地图作品的具体内容,无法认定电子地图数据是已经完成的地图作品。同时现有证据无法证明四维图新的数据表现出了相应的取舍和艺术处理,因此也无法认定四维图新对于数据享有著作权。故无法支持四维图新的著作权侵权主张。同时被告对于数据的使用符合合同约定,驳回了四维图新公司的全部诉讼请求。
而在二审中,北京知识产权法院在认定涉案导航电子地图是以数据形式存储的图形作品,秀友公司与奇虎公司的合作使用方式,超出了秀友公司与四维图新公司约定的使用方式和使用范围,构成著作权侵权的同时,也认定四维图形公司对导航电子地图这一数据产品享有反不正当竞争法下保护的合法权益。
在数据本身成为产品的大数据时代,除打包出售数据外,也有不少数据平台会根据用户需求,通过技术手段生成可视化图形以展示用户选择的数据。此时,该等图形往往会由于其包含的数据本身的说明客观事物功能性的一面而不受表达。在这样的场景下,如何保护基于数据生成的图形以及图形背后的数据,防止他人未经许可使用,甚至将以开放接口等方式转售数据产品,变成为了此类数据服务的经营者需要关注的问题。
从本案来看,法院对于以可视化方式提供数据产品的经营者如何保护其数据产品提供了多角度的启示:
1.数据的可视化表现形式有机会作为图形作品保护。基于用户选择生成的图形可被认为是在数据产品提供者创作范畴内的表达。因此,对于数据选择、取舍空间较大的数据产品的可视化表达,将有可能参照本案思路作为图形作品受到著作权法的保护。
2.明确数据产品的使用范围和方式。本案被告的合同抗辩未成立的关键点在于其对于所购买的数据产品的使用方式已超出其购买数据产品时签署的合同约定的使用方式。另外值得注意的是,由于合同文本问题,本案双方对于被告是否超出授权范围使用数据产品出现了较大分歧。因此,如果希望避免购买者以开放接口等方式转售数据产品,应当在协议中约定使用范围和限制方式,并且该等约定需要是清楚的、明确的。
3.数据及其可视化表现形式是否可以同时受到著作权法和不正当竞争法的同时保护,需根据数据与图形之间的对应关系判断。当数据产品的数据信息与其可视化后的图形要素具有一一对应关系时,权利人一般只能从著作权法或者反不正当竞争法中择一主张,无法获得重复保护。相反,当数据产品与数据产品不具有唯一对应关系时,则可能视情况就不同部分获得不同的保护。
2013年,B公司向法院提起了本案诉讼,主张A公司通过robots协议限制其爬取网站信息的行为构成不正当竞争。近日,根据中国裁判文书网所公开的信息,北京市高级人民法院已对本案作出二审判决(参见(2017)京民终487号民事判决书,简称“2020年判决”),认定A公司通过设置robots协议白名单的方式限制B公司搜索引擎抓取其网页的行为构成不正当竞争。
1.robots协议作为一种互联网行业惯例,一方面要求搜索引擎遵守受访网站的robots协议,另一方面也要求受访网站设置的Robots协议本身应当是合理的,不应违背“促进信息共享”的初衷;
2.A公司在允许国内外主流搜索引擎抓取其网页内容的情况下,通过设置robots协议白名单,采取对搜索引擎经营主体区别对待的方式,限制特定搜索引擎抓取其网页内容,妨碍了信息自由流动,显然有悖于robots协议的初衷;
3.就我国目前互联网搜索行业的发展现状来看,A公司搜索引擎在市场份额上占据绝对优势,因此A公司的涉案行为会导致网络用户因B公司搜索引擎无法及时提供所需信息,转而使用A公司搜索引擎,不仅会降低B公司搜索引擎的用户满意度,损害B公司的合法权益,也会在客观上增强A公司搜索引擎的市场优势地位。因此,A公司的动机难谓正当;
4.限制通用搜索引擎抓取信息,会在一定程度上阻碍互联网信息正常流动,因此该等限制应当具有合理、正当的理由。A公司限制B公司搜索引擎抓取的内容,不属于其内部信息或敏感信息,也没有证据显示B搜索引擎的抓取会导致相关网站无法正常运行或损害社会公共利益。因此,A公司限制B公司搜索引擎缺乏合理、正当的理由,构成不正当竞争。
上述历时超过8年的两起robots协议案件,在2020年终于阶段性地画上了句号。而由这两起案件所引发的对robots协议法律效力、违反robots协议的法律后果等问题的讨论和思考却仍在继续。
笔者发现,在2020判决中,我国法院体现出了对于robots协议法律性质更为系统和深入的理解,在如下两个问题的处理和认定上具有重要意义:
1.同一争议先后两份判决为何看似矛盾?《自律公约》签署日成为重要时间节点
如仅仅阅读判决主文,可以发现2014年判决认定B公司未遵守robots协议爬取A公司网页的行为构成不正当竞争,而2020年判决又认定A公司通过robots协议限制B公司爬取其网页的行为构成不正当竞争,为何会出现这种“爬也不是,不让爬也不是”的局面呢?
实际上,两份判决并不矛盾,反而体现出法院希望通过该案建立起一项爬虫方和网站方就Robots协议设置进行合理沟通协商的机制。法院首先确认了robots协议的法律性质——互联网行业内公认的惯例和商业道德,而B公司在开展搜索引擎业务之初,未与A公司沟通协商就违反Robots协议进行爬取的行为,违反了该等公认的商业道德;其次,法院回到robots协议设立、《自律公约》的约定及互联网信息自由流动的初衷,确认了robots协议不应由网站方单方、肆意设置,该等设置应当具有合理理由,不应针对特定对象采取具有歧视性的措施,妨碍信息的自由流动;最后,法院认为在《自律公约》签署后,A公司明知B公司要求其允许抓取网页内容,但始终未修改robots协议以允许B公司抓取,又未提出任何限制B公司抓取的合理理由,该等限制难谓正当。因而,这份双方共同参与的《自律公约》的签署日成为区分A公司限制B公司抓取行为正当性的重要时间节点,即通过《自律公约》的谈判、签署,B公司实际向A公司表达了希望抓取的沟通意愿,此后,A公司无合理理由继续限制B公司抓取的行为就具备了不正当性。
2.Robots协议究竟有何法律效力?认定标准并非非黑即白,其本质仍是互联网行业促进信息自由流动的惯例和商业道德
自本案争议之初,有关robots协议法律性质和效力的争论就不绝于耳。彼时,因为鲜有类似争议,最初的讨论主要集中于robots协议是否构成反爬技术措施或合同。而随着上述两起案件的进展和判决,robots协议的法律性质逐渐明晰,首先是否遵守robots协议完全取决于爬虫方,其并不具有技术措施的强制性;此外,robots协议是网站方的单方宣示,不具有合同属性;最后,法院确认了robots协议属于互联网行业内公认的惯例和商业道德,但对其的使用应更好地促进信息共享,而不应将Robots协议作为限制信息流通的工具。
因此,robots绝非简单的一纸“禁令”,对其的设置和使用应当应遵循公平、开放和促进信息自由流动的原则,无论是未经沟通、协商即违反或无视robots协议进行爬取,还是经沟通、协商后无合理理由仍限制爬取或采取歧视性措施,均可能违反互联网行业内公认的商业道德,进而构成不正当竞争。
杭州快忆科技有限公司(“被申请人”)在其运营的“神箭手”网站上提供用于爬取微信公众号平台各类数据的产品和服务,包括:“微信公众号文章信息API”、“微信订阅号和最新文章 API”、“微信热搜榜、订阅热词API”及针对微信获取数据相关的会员套餐服务、大数据定制服务、IP代理服务等。腾讯公司认为,被申请人无视并规避申请人的反爬虫协议及技术措施,针对性的开发爬虫工具和提供爬取结果数据包的行为,于扰了微信公众平台的正常运行;被申请人所实施的不正当竟争行为正在发生且仍在持续蔓延,不仅在严重伤害申请人基于微信平台大数据所享有的竟争优势和商业机会,而且其平台无节制的爬虫服务和无节制爬虫的访问使微信公众平台网站随时面临着不能正常访问的高风险,因此行为保全的实施具有高度紧迫性。
法院审查后认为,在案证据能够证明两申请人投入资源构筑起微信公众平台庞大的内容数据生态,平台上产生和积累大量文章、账号主体信息、阅读量、评论、热词等相关数据,因此两申请人由此获得的微信公众号文章内容信息、数据信息、微信公众号正常运营权益应当受到法律保护。微信公众平台首页链接https://mp.weixin.qq.com/robots.txt设置有明确的反爬虫协议,通过语句明确限制外部爬虫的访问,且《微信公众平台服务协议》公示提出未经腾讯书面许可不得自行或授权、允许协助任何第三人对信息内容进行非法获取。被申请人提供用于爬取微信公众号平台各类数据的产品和服务的行为令两申请人承担了额外的平台运行成本,于扰微信公众平台正常运行、破坏微信公众平台健康生态秩序的可能性大,其行为构成不正当竟争的可能性较高。此外,被申请人爬取微信公众号数据,占用微信公众平台的网络带宽,挤占微信基础产品体验的服务运营资源,对数据权益造成侵害的可能性较高,也可能对用户信息和数据安全造成危害。故对被申请人实施的被诉侵权行为理应禁止。
值得注意的是,法院明确提出行为保全的范围应以合理且必要为限的原则。尽管腾讯公司主张被申请人应删除并停止提供所有基于微信获取数据的产品和服务,但法院最终仅支持了停止被申请人的四款服务或产品。
(2)腾讯公司与浙江某网络公司、杭州某科技公司不正当竞争纠纷一案(“微信VS某群控软件案”)
本案中,两被告开发、运营的“某群控软件”,利用Xposed外挂技术将该软件中的“个人号”功能模块嵌套于个人微信产品中运行,为购买该软件服务的微信用户在微信平台中开展商业营销、管理活动提供帮助。主要表现为:自动化、批量化操作微信的行为,包括朋友圈内容自动点赞、群发微信消息、微信被添加自动通过并回复、清理僵尸粉、智能养号;监测、抓取微信用户账号信息、好友关系链信息以及用户操作信息(含朋友圈点赞评论、支付等)存储于其服务器,攫取数据信息。两原告认为,两被告的行为妨碍微信平台的正常运行,损害了两原告对于微信数据享有的数据权益,违反了《反不正当竞争法》第二条、第十二条的规定,构成不正当竞争。
法院认为,两原告主张数据权益的微信平台数据,可以分为两种数据形态:一是数据资源整体,二是单一数据个体。网络平台方对于数据资源整体与单一数据个体所享有的是不同的数据权益。就微信平台数据资源整体而言,微信产品数据资源系两原告投入了大量人力、物力,经过长期经营积累聚集而成的,该数据资源能够给两原告带来商业利益与竞争优势,两原告对于微信产品数据资源应当享有竞争权益。但两原告对于某个特定的单一微信用户数据并不享有专有权,故两被告擅自收集、存储单一微信用户数据仅涉嫌侵犯该微信用户个人信息权益,两原告不能因此而主张损失赔偿。但如果危及了微信产品用户的个人数据安全,两原告对于微信用户数据负有提供安全保护的法定义务,其对于两被告侵害微信产品用户个人数据安全的行为应当有权请求予以禁止。
法院进一步认定,两被告通过被控侵权软件擅自收集微信用户数据,存储于自己所控制的服务器内的行为不仅危及微信用户的数据安全,且对两原告既有数据资源竞争权益构成了实质性损害,两被告此种利用他人经营资源损人自肥的经营活动不仅有违商业道德且违反了相关法律规定,属于违反《反不正当竞争法》第二条规定的不正当竞争行为。
本案亮点在于,在对腾讯公司所享有的数据权益进行认定时对数据类型进行了具有实践意义的区分,即将数据分为“数据资源整体”和“单一数据个体”。前者系网络平台方付出劳动经营积累而得,因此享有数据权益;后者则属于用户个人数据,仅在个人数据安全受威胁时,平台方才得以基于其数据安全保护义务请求禁止相关威胁行为。
笔者认为,本案法院对数据类型的上述划分,对于厘清个人与平台间的用户数据权属及主张权利的主体是具有现实意义的探索,有助于打破过去平台方通过一纸用户协议即宣称对任何用户信息享有权利的不合理现象,促进用户权益与网络平台商业利益间的平衡和保护。
本案中,被告云智联公司系涉案超级星饭团APP的开发运营主体。原告微梦公司认为,未经许可擅自抓取,并在涉案APP中向其用户推送和展示来源于新浪微博明星微博的十五类动态数据(简称涉案数据),且持续并扩大抓取、展示范围,使用户无需登录新浪微博即可全面查看明星微博动态,对新浪微博相关服务构成实质性替代,遂向法院提起诉讼。被告辩称其未实施破坏微梦公司技术措施抓取新浪微博后端数据的行为,而是使用合法的网络爬虫技术抓取新浪微博前端公开数据,其行为具有正当性。
法院审理后认为,在无相反证据的情形下,对于微梦公司未设定访问权限的数据,应属其已在新浪微博中向公众公开的数据;但对于其通过登录规则或其他措施设置了访问权限的数据(如用户即便登录新浪微博帐号亦无法访问的数据),则应属新浪微博中的非公开数据。据此,微梦公司主张的涉案数据中应既有新浪微博公开数据,亦有非公开数据。网络平台对他人抓取其公开数据所应容忍的义务,但如果他人抓取网络平台中的公开数据之行为手段并非正当,则其抓取行为本身及后续使用行为亦难谓正当;而即便行为手段正当,也需结合涉案数据数量是否足够多、规模是否足够大进而具有数据价值,以及被控侵权人后续使用行为是否造成对被抓取数据的平台的实质性替代等其他因素,对抓取公开数据的行为正当性做进一步判断。
本案中勘验结果显示,涉案APP抓取了部分微博APP未在前端页面显示的信息,云智联公司要获取该些非公开数据,仅能利用技术手段破坏或绕开微梦公司所设定的访问权限,此种行为显然具有不当性。就云智联公司抓取公开数据的行为,法院综合如下因素认定其亦具有不正当性:(1)该等该数据亦有其特定的展示规则,如需用户行为触发查看,云智联公司抓取该部分需用户行为触发的公开数据应系通过破坏此种展示规则之手段实现;(2)云智联公司所抓取的公开数据具有较大规模;(3)云智联公司未就其抓取技术实现方式进行演示或提交证据;(4)云智联公司在明知微梦公司在Robots协议中限制除白名单以外的机器人抓取涉案数据的情况下仍然实施抓取涉案数据中的公开数据,显然具有明显的主观恶意。
回顾2016年新浪微博诉脉脉案(参见(2016)京73民终588号民事判决书),作为国内数据爬取类案件中关键判例,该案曾提出了第三方通过0pen API获取用户信息时应坚持“用户授权”+“平台授权”+“用户授权”的三重授权原则。本案中,微梦公司再次就第三方不当获取新浪微博数据主张权利,笔者认为,本案判决在如下两个方面具有亮点:
1.区分公开数据与非公开数据,采取不同标准判断抓取的不正当性
在过往案件中,法院往往仅依据原告对涉案数据信息的收集、整理即认定其享有相关数据的竞争权益,进而认为攫取该等竞争权益的行为具有不正当性,但并未充分考虑和论证数据本身的公开属性对于权利基础及获取行为不正当性的影响。
本案中,法院明确了新浪微博前端数据系公开数据、后台中未在前端展示的数据系非公开数据,且提出了平台经营者应当在一定程度上容忍他人合法收集或利用其平台中已公开的数据的观点,但抓取行为是否合法正当仍需视其技术手段、数据规模、是否实质性替代等因素考量。
2.深究涉案爬虫实现原理,积极勘验查明技术事实
针对被告涉嫌抓取新浪微博后台非公开数据的行为,由于该等抓取行为较为隐蔽,难以直接证明,原告只能通过举证其后台中部分未在前端展示的数据仍在涉案APP中被展示,推定被告实施了对非公开数据的抓取。
就上述技术事实,法院在审理过程中组织双方进行了当庭勘验,勘验证明了新浪微博后台中的明星上线时间、下线时间数据未被展示在微博APP及微博超话APP前端代码中。结合涉案APP对该等非公开数据的展示情况、涉案APP中部分数据推送时间比微博APP中的展示时间早等证据,法院综合认定被告抓取的涉案数据中包括微梦公司已设置了访问权限的非公开数据。笔者认为,法院通过当庭勘验查明案件关键技术事实的思路和实践非常值得类似案件参考和借鉴。
2020年7月,北京互联网法院作出一审判决,认定抖音在凌某注册前收集凌某的姓名、手机号码、社交关系、地理位置,构成对其个人信息权益的侵害,但不构成对其隐私权的侵害,驳回了原告关于隐私权的主张,并判令抖音删除未经许可收集并存储的个人信息,并以书面形式道歉、赔偿经济损失及合理费用5231元。
本案在区分一般的个人信息权益及个人隐私权及生活安宁权的问题上成为重要的先例判决,为数据主体个人权益及数据行业商业利益的平衡做出了重要的探索尝试。
在很多场景下,网络服务提供者收集用户数据时不仅会涉及用户自身的个人信息,有时也会收集到其他自然人的个人信息。例如,收集A的通讯录时,会收集到B的手机号码,又或者收集卖家C的订单信息时,会收集到买家D的姓名、地址等信息。如果另一侧主体不是网络服务提供者的用户,那么网络服务提供者通常无法获得该等主体的授权,难以合法地收集和处理此类信息。
如本案判决所述,原则上,网络服务提供者在处理上述场景下获得的数据时应当获得A和B或C和D的双重授权,但是要求网络服务提供者逐一联系,以寻求非用户的个人的授权显然是不现实的,对于信息主体本人也会形成不必要的骚扰。因此,这种对于个人信息的绝对化的保护可能导致个人信息和数据的成本过高,阻碍产业的健康发展。
为解决这一问题,法院提出了关于个人信息的合理使用的概念,认为具体场景下对于非用户主体的个人信息的利用行为不会对信息主体产生打扰、不会不合理损害其权益,有利于满足其他用户利益及行业、社会发展的需要的,可以认为属于合理使用,不必征得信息主体的同意。
结合法院的上述思路,笔者认为,当数据涉及多个主体的个人信息时,网络服务提供者利用个人信息时可以在现有策略基础上,进一步遵循以下原则:
1.避免存储非用户的个人信息。本案中法院明确指出,虽然利用姓名、手机号码匹配推荐属于合理使用,但存储该等个人信息并非必要,扩大了个人信息和泄露的风险,无法构成合理使用。因此,即使网络服务提供者需要在无法获得信息主体的授权处理其个人信息的,也不应该存储该等个人信息;
2.尽量取得所有信息主体授权。本案法院确定的合理使用的前提是网络服务提供者无法通过正常渠道和合理成本获得授权。对于有机会接触同时所有个人信息主体的网络服务提供者(例如社交软件、电子商务平台等平台类网络服务),适用前述合理使用概念的空间很小,因此,在条件允许的情况下,网络服务提供者仍然应当获取所有信息主体的同意后才处理个人信息。
3.仅基于在后授权用户的信息处理数据。以好友推荐功能为例,如果在先授权的A的通讯录中有联系人B、C,但在后授权的B、C两人则只有B存储了A的信息,那么此时网络服务提供者只能在获得B授权的情况下向其推荐好友A,但不能向C推荐A,因此此时C提供的信息中并不包含其与A之间的关系。
据报道,欧盟起诉亚马逊破坏零售市场竞争,称该公司利用其规模、实力和数据,比在其在线平台上销售商品的较小商家获得了不公平的优势。
欧盟监管机构调查了亚马逊如何收集在其平台上销售产品的竞争对手的数据,认为亚马逊利用这些敏感信息来更好地定位自己的产品。这些敏感信息显示出哪些产品受欢迎,哪些不受欢迎,使得亚马逊能够专注于最畅销产品的销售,从而边缘化第三方卖家,限制他们的增长能力。
目前,欧盟、美国、加拿大等国家或地区都已经对亚马逊进行反垄断审查或指控。
不只是欧美,针对互联网平台的反垄断工作也是过去一年我国监管机关的焦点。在2020年,国家市场监管总局针对多家互联网平台的垄断行为作出处罚,并针对互联网平台推出了《关于平台经济领域的反垄断指南(征求意见稿)》。
实际上,自从各大电商平台推出自营业务起,这种裁判员下场与运动员同场竞争的公平性便受到极大的关注。可以预见的是,在平台内商家生存越来越困难的大环境下,各大互联网平台如何合法合规地利用平台内产生的大数据,避免落入反垄断或者不正当竞争的禁区,极有可能会成为今后几年平台日常合规工作的重点之一。
本案中被告开发并运营了联络易微信管理系统软件及OK微信管家网站,腾讯公司主张被告研发了多项针对微信软件的特殊功能,用于监测、抓取微信用户数据并通过该系统在网页端及PC端集合操控、查看微信软件中的各类敏感隐私信息,并开发多项特殊功能,破坏了微信软件的商业模式,降低了微信软件的用户体验,降低了两原告的商业信誉。
法院认为,关于两原告主张联络易微信管理系统软件监测、抓取微信用户数据的行为,虽然被告并未实施从微信软件服务器中窃取用户信息的行为,但这并不意味着该软件没有在信息安全层面对两原告构成不正当竞争。虽然该软件通过微信用户的授权查看并获取微信,但在微信用户通过该软件系统登录微信时并未出现任何向微信用户的告知或提醒信息。此外,两原告在保护微信产品数据安全方面投入巨大的人力、物力财力,采取了多重技术措施防范他人非法获取数据。两原告作为微信的运营者,通过《腾讯微信软件许可及服务协议》《微信个人账号使用规范》《微信隐私保护指引》等规范向微信用户作出数据安全保护承诺,微信用户向微信平台提供信息是基于其对微信平台信息安全保护能力的信赖,联络易微信管理系统软件具备的收集、存储及监控微信数据的功能,导致这部分数据存在较高于其他数据的风险。此种风险已经威胁到微信平台的安全运行。故两被告的行为亦对两原告构成不正当竞争。
今年腾讯公司就其微信内的数据权益提起了诸多诉讼,但笔者注意到,本案法院的裁判思路与其他几起类似案件有较大不同。
首先,法院并未支持原告关于被告软件窃取微信用户信息的主张。其理由是被告软件实质上是经微信账号授权登录,其所查看内容仅限于微信账号本身所能查看内容,即取决于相关微信用户的授权而非通过微信服务器窃取用户信息,在该点上被告并不构成不正当竞争。
其次,针对被告软件开发的多项针对微信软件的特殊功能(用于检测、抓取微信用户数据并集合操控、查看等),法院认为被告软件的收集、存储及监控微信数据的功能,导致这部分数据存在高于其他数据的风险,此种风险已经威胁到微信平台的安全运行,故其构成不正当竞争。
可见,本案法院是在否定被告抓取行为侵害微信数据权益的同时,从被告危害微信用户数据安全的角度认定其行为的不正当性。笔者认为,本案中对于被告软件的获取和使用,法院更多是从被告行为是否具有破坏性的角度,对其正当性进行考量。但需注意的是,互联网是共生经济,其他经营者“搭便车”利用数据资源开展经营活动,只要不具有破坏性或违反法律规定,符合互利共生的原则,平台方理应给予合理的容忍,不应一概以危害或威胁数据安全为由予以禁止。
2020年12月8日,成都公布了新增3例确诊病例活动的轨迹,在一般人来看这是日常防疫工作的正规流程。然而,由于一名患者赵某的活动轨迹涉及多处酒吧等娱乐场所,#成都确诊病例孙女#的词条迅速引爆网络,有人愤慨、有人指责,更有甚者,对其进行“人肉搜索”——姓名、身份证号、家庭住址等隐私被网络公布,引发社会广泛关注。
随后当事人发文致歉称:“我是确诊新冠肺炎的那个成都女孩,我在这里向成都市民致歉”,“给大家带来麻烦,打破了大家原本平静的生活。”
公安机关高度重视此事,12月8日下午,成都市公安局成华区分局官方微博通报:2020年12月7日23时许,王某(男,24岁)将一张内容涉及“成都疫情及赵某某身份信息、活动轨迹”的图片在自己的微博转发,严重侵犯他人隐私,造成不良社会影响。经公安机关调查,王某对散布泄露赵某某个人隐私的行为供认不讳,并深刻认识到自己的错误。目前,王某因违反《中华人民共和国治安管理处罚法》相关规定已被我局依法予以行政处罚。公安机关提示:公民个人隐私受法律保护,对于侵犯公民个人隐私的行为,公安机关将依据《中华人民共和国治安管理处罚法》相关规定依法调查处理;涉嫌犯罪的,公安机关将依法追究刑事责任。
在2020年这个特殊的一年里,像上述案例中收到网络暴力的女孩不胜枚举,有人认为公众的利益可以凌驾于个人信息保护之上,但在个人信息被不当披露的环境里没有人可以独善其身。回到疫情期间个人信息的安全问题,笔者认为首要的是需要明确两个问题:一、疫情期间谁有权收集个人信息;二、有权收集何种个人信息?
关于第一个问题,2020年2月,中央网络安全和信息化委员会办公室发布的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》(“《通知》”)中给出的指示是:除国务院卫生健康部门依据《中华人民共和国网络安全法》《中华人民共和国传染病防治法》《突发公共卫生事件应急条例》授权的机构外,其他任何单位和个人不得以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息。法律、行政法规另有规定的,按其规定执行。即非授权不可为。但是,鼓励有能力的企业在有关部门的指导下,积极利用大数据,分析预测确诊者、疑似者、密切接触者等重点人群的流动情况,为联防联控工作提供大数据支持。
关于第二问题,《通知》指出:收集联防联控所必需的个人信息应参照国家标准《个人信息安全规范》,坚持最小范围原则,收集对象原则上限于确诊者、疑似者、密切接触者等重点人群,一般不针对特定地区的所有人群;任何单位和个人未经被收集者同意,不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息,因联防联控工作需要,且经过脱敏处理的除外。
然而,伴随着使用量的猛增,在2020年4月份左右,Zoom被爆出漏洞,随后在暗网和黑客论坛上,有超过50万个Zoom帐户被出售,黑客通过在之前的数据泄露中泄露的帐户尝试登录Zoom,然后将成功的登录名编译成列表,出售给其他黑客。
Zoom首席执行官袁征表示:“根据经验我们急于去帮助用户,但我们错过了一些重要的事情,我们对系统的新用户考虑不周,对于用户来说,我觉得隐私更重要,在这一点上我们做得不好。”
袁征还说:“接下来90天,我们决定冻结所有新功能,整个团队将专注于隐私和安全功能。”
从数据产生的那一天起,数据泄露的风险也随之而生。在之前几年笔者总结的数据安全类事情中,用户数据泄露的案例不绝于耳,掌握了大量用户数据的酒店、金融机构、医疗机构、电信运营商、航空公司、互联网社交平台、游戏公司都未曾逃脱过黑客的“光顾”。
从法律角度而言,笔者认为至少需要把好两道关:
一是数据的保存和传输。《网络安全法》明确规定:未经被搜集者同意,不得向他人提供个人信息。尤其是现在许多手机应用都会接入第三方小程序,对于这一点,国家互联网信息办公室公布的关于《数据安全管理办法(征求意见稿)》第三十条有提及:网络运营者对接入其平台的第三方应用,应明确数据安全要求和责任,督促监督第三方应用运营者加强数据安全管理。第三方应用发生数据安全事件对用户造成损失的,网络运营者应当承担部分或全部责任,除非网络运营者能够证明无过错。如果该条最终生效,则网络经营者的需要承担更高的注意义务。
二是发生数据泄露之后的应急预案。关于这一点,《数据安全管理办法(征求意见稿)》第三十五条也提及了:发生个人信息泄露、毁损、丢失等数据安全事件,或者发生数据安全事件风险明显加大时,网络运营者应当立即采取补救措施,及时以电话、短信、邮件或信函等方式告知个人信息主体,并按要求向行业主管监管部门和网信部门报告。
(本文仅代表作者观点,不代表知产力立场)