本文为作者向无讼阅读独家供稿,转载请联系无讼阅读小秘书(wusongyueduxms)
引子:新浪诉脉脉不正当竞争案
2016年4月,北京市海淀区人民法院审结新浪诉脉脉不正当竞争案,认定北京淘友天下技术有限公司和北京淘友天下科技发展有限公司非法抓取、使用新浪微博用户信息等行为构成不正当竞争。此后,上述淘友两家公司提起上诉,2016年12月30日,北京知识产权法院做出终审判决,驳回上诉,维持原判。
在本案中,淘友技术公司、淘友科技公司在合作期间未申请职业信息、教育信息0penAPI接口,就擅自从微博开放平台获取新浪微博用户的职业信息、教育信息;在双方合作结束后,淘友技术公司、淘友科技公司未按协议要求及时删除相关用户信息,仍将包括新浪微博用户职业信息、教育信息在内的相关信息用于脉脉软件。经过两审终审,法院认定,淘友两家公司存在不正当行为。
这起案件,表面上看似是一件不正当竞争案件,但本质上则是个人信息保护之案。关于个人信息保护,二审判决中的几项规则值得注意:一是,网络平台提供方可以就第三方应用未经许可擅自使用其经过用户同意收集并使用的用户数据信息主张权利。经过用户同意收集并进行商业利用的用户信息不仅是网络平台开展经营活动的基础,也是其向不同第三方应用提供平台资源的重要商业资源。第三方应用未经网络平台用户的同意擅自使用用户信息,节省了大量的经济投入,变相降低了同为竞争者的网络平台的竞争优势。二是,在0penAPI合作模式中,第三方获得用户信息时必须遵循“用户授权+平台授权+用户授权”的原则,即用户同意平台向第三方提供信息,平台授权第三方获取信息,用户再次授权第三方使用信息。三是,网络运营者在采集运用用户数据时应履行信息管理义务。
一、信息收集
在数据时代,数据的价值格外显现,但是数据的收集、使用、处理、加工同时应当平衡个人利益的保护。2012年全国人大出台《全国人民代表大会常务委员会关于加强网络信息保护的决定》。2014年最高法院发布《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》。特别是2017年6月1日起,《网络安全法》《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称两高解释)等多项法律规范开始正式实施。对于互联网企业来讲,信息保护合规问题变得越来越重要,具体有如下建议:
(一)制定隐私政策
《网络安全法》第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
企业应当制定隐私政策,保障用户知情权。根据《网络安全法》之规定,企业收集个人信息,应当公开收集规则、收集目的、收集方式、收集范围。国际上通行的做法是在其官方网站上公布相应的收集和使用规则,该类规则通常名为“隐私政策”。关于隐私政策的内容,《电信和互联网用户个人信息保护规定》第九条明确要求企业应当告知用户收集、使用信息的目的、方式和范围,查询、更正信息的渠道以及拒绝提供信息的后果等事项。
(二)收集信息采取同意规则
企业收集个人信息,需经被收集者同意。根据《网络安全法》的规定,企业收集个人信息应当经过被收集者同意,这是企业收集个人信息合法与否的关键所在,只有经过用户同意,企业才可以收集个人信息。
但是,该法并未明确区分明示同意和默示同意。通常而言,企业制定的隐私政策以默示同意的方式取得用户同意,比如一些网站规定“一旦您选择使用或继续使用,即表示您认可并接受本‘隐私政策’现有内容及其可能随时更新的内容,同意我们按照本‘隐私政策’收集、使用、披露、储存和分享,或以其他方式运用您的相关信息”。
二、0penAPI合作模式
第一,0penAPI合作模式中,第三方获得用户信息时必须遵循“用户授权+平台授权+用户授权”的原则,互联网企业在获取用户数据时,首先要征得用户同意,并且只能在平台授权以及用户授权的范围内使用。此外,用户授权必须是具体的,是用户在充分知情的情况下作出的同意、授权决定。
此外,《网络安全法》第四十四条规定,任何个人和组织不得窃取或者以其他非法方式获取个人信息。第三方从网络平台获取信息,应当注意审核提供信息方是否有权提供个人信息,获取的信息是否经过被收集者的同意。
第二,0penAPI合作模式中,网络平台向第三方提供信息时,应当遵循“用户授权/匿名化处理”的原则。《网络安全法》第四十二条规定,未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。可见,互联网企业向第三方提供个人信息以用户同意为原则,以匿名化处理为例外。通常而言,互联网企业以合作协议的方式对外分享数据,对第三方信息利用、处理方式作出约定,从而明确第三方责任。
三、信息安全
(一)信息分类
互联网企业在履行网络安全保护义务的过程中,数据管理应当分门别类,区分重要信息、一般信息,对于那些同个人利益紧密相关的信息,加大保护力度,在收集、分享、利用的环节有所不同。
《网络安全法》规定,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。其中行踪轨迹信息、通信内容、征信信息、财产信息属于第一梯度;住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息属于第二梯度;其他公民个人信息属于第三梯度。
(二)信息管理
(1)制定内部数据信息安全管理制度和操作规程,确定网络安全负责人,落实网络数据信息安全保护责任;(2)采取防范计算机病毒和网络攻击、网络侵入等危害网络数据信息安全行为的技术措施;(3)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志;(4)制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。
四、互联网企业刑事风险
涉及数据、个人信息犯罪的两个常见罪名,一是侵犯公民个人信息罪,一是非法获取计算机信息系统数据罪。
(一)侵犯公民个人信息罪
刑法修正案(九)第17条规定,将刑法第二百五十三条之一修改为:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
“违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
“窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
对于互利网企业而言,需要注意的是该条第一款非法提供公民个人信息的行为,第二款非法获取公民个人信息的行为,具体而言:
第一,非法提供
《解释》第三条规定,未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。
“单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
该款需要注意的是,合法收集公民个人信息,在未经被收集者同意,又未经过识别处理,提供给他人的仍属于非法提供。比如一款应用,在获取用户姓名、住址、联系方式、行踪轨迹的情况下,运营公司不经过处理,便打包向其他公司提供这些信息,便存在适用本条的可能性。
第二,非法获取
《解释》第四条规定,违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。
该条将非法收集也规定为其他方法,主要是为了遏制违反个人意愿,收集他人信息的行为。比如网络运营者违反规定、约定,收集公民个人信息的行为。
(二)非法获取计算机信息系统数据罪
《刑法》第二百八十五条第二款规定:“违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”
《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第二条规定:具有下列情形之一的程序、工具,应当认定为刑法第二百八十五条第三款规定的“专门用于侵入、非法控制计算机信息系统的程序、工具”:具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的。
第一,侵入或者其他技术手段
根据上述规定,侵入与其他技术手段均需突破权限设置,只是方式有别,侵入需避开或者突破计算机信息安全系统,其他技术手段只需要与侵入具有相应的社会危险性,即行为人无权获取数据。本罪的其他技术手段是与侵入不同的方式,二者的区别在于:是否取得用户身份。侵入,无需取得用户身份,直接突破或者避开身份识别,入侵服务器。侵入方式获取数据最典型的形式诸如攻击服务器、爆破、破解通信协议等。
其他技术手段则是首先取得用户身份,通过用户识别,获取数据,即骗取、窃取用户身份,取得数据。其他手段获取数据,则主要是以钓鱼网站、植入木马、伪造身份信息等方式先行骗取用户的账号、密码,登录之后再获取数据。
第二,数据内容
本罪设立目的既然在于维护计算机信息系统数据的安全,也就是说本罪保护对象在于计算机信息系统中存储、处理、传输过程中的数据,既包括身份认证信息,也包括身份认证信息之外的其他数据。“身份认证信息”,是指用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字证书等。其他数据通常则表现为,客户资料信息面单、游戏源代码、工商企业信息和个体工商户信息。
本文为周浩律师在“青年律社”第二期沙龙上分享内容的讲稿。“青年律社”由多名律师联合发起,拟通过圆桌论辩、专题探讨、户外旅行等方式,搭建一个年轻法律人沟通交流的平台,围绕当下法律话题、业界问题、青年成长、承办案件经验介绍等等展开探讨。青年律社第二期沙龙以“知识产权风险防范及企业合规”为议题展开,点击此处查看活动推送,欢迎关注“青年律社”微信公众号。
编排/王淼
责编/张雨 微信号:Ann199313