数据利益背后的风险

　　企业家十大刑事法律风险系列文章

　　文/杜明怀，北京和昶律师事务所

　　2019年的最后几个月，互联网数据行业风声鹤唳，之前备受资本市场青睐的大数据行业不断承压。9月6日，杭州魔蝎科技高管被警方控制，其提供的数据服务基本停摆；同日，多方消息称，新颜科技高管被带走调查，目前公司CEO黄向前已被检方批捕；随后，有消息称警方入驻了聚信立办公场。9月底，消息称同盾科技的爬虫业务负责人被带走配合调查。10月份，51信用卡被查，当时即有网传消息称该事件与51信用卡不当爬虫行为有关。

　　在整治行动开始之前，大数据行业都被认为是互联网行业的新风口。许多企业凭借其大数据业务得到了众多投资者的青睐与追捧。如今，刑事法律风险，似乎一下子成为了大数据行业的注脚。与此同时，利用爬虫收集其他信息的互联网企业，也频频被传涉案。如何理解及避免数据运营中可能涉及的风险，成为了众多企业关注的焦点。

　　一、数据运营的刑事风险

　　从数据的运营过程来看，可分为收集、利用、管理三个阶段，相关从业者在不同阶段也可能面临不同的刑事风险。数据可以分为与个人有关的个人数据（或个人信息）及其他的非个人信息。个人信息的来源必须是合法的，也就是说被授权收集的。但是，即使是合法获取的个人信息，若非法利用仍可能有刑事风险；同理，单纯的个人数据管理不当也可能导致刑事风险。相比之下，除个人信息外的其他数据相关的刑事风险，突出发生在数据获取环节。

　　1、违法收集数据的刑事风险

　　1.1个人信息获取阶段的刑事风险：公开渠道/用户授权抓取≠合法合规

　　目前来看，互联网领域的数据有以下几个主要来源：（1）公开渠道抓取；（2）经用户授权获得；（3）从通过数据共享从第三方获得。前两个渠道是目前大数据行业主要的原始数据来源，也被认为是比较安全的获取方式。第三方共享获取数据，则属于数据的后续利用，属于广义的利用数据而非原始的获取数据。

　　1.1.1收集公开的个人信息也需获得权利主体同意

　　由于其便利性，爬虫的应用非常广泛。许多爬虫从公开信息中获取了个人信息，并将其与授权数据结合，从而使数据收集方对个人的信息掌握更加全面。然而，需要注意的是，所有个人信息的收集，也就是能单独或与其他信息结合识别具体个人的信息，比如，身份证号、电话号码、职业、工作单位等信息，都必须首先获得被收集者的同意。也就是说，即使是公开信息，只要其属于个人信息，收集者就应当首先获得授权。

　　1.1.2收集个人信息的原则：合法、正当、必要

　　1.1.2.1用户授权≠收集合法合规

　　随着个人数据保护意识的提升，企业通常在收集用户信息时会形式地要求用户“点击同意”，并以此认为其获得了用户授权。然而，现实中，不乏即使获得用户同意依然发生刑事风险的企业。究其原因，是因为法律要求获取用户数据时，不止需要客户点击同意，还应当（1）确保收集的目的合法；（2）用户对授权的内容及目的应当有充分认知，（3）遵守必要性原则，不得过度收集数据。

　　例如，卷入数据问题卷入刑事风波的知名大数据平台企业同盾，在其个人数据获取来源上，即做到了所有数据取得用户授权。公司相关负责人在接受采访时曾表示：“同盾的数据源主要是合作方上传的行为待分析数据、及在公开网络上爬取的信息。”“在与合作方签订的合同中，同盾要求合作方在同盾云平台上做风险分析的时候必须取得终端用户授权。同盾旗下数聚魔盒主要通过“爬取互联网公开数据+打通同盾体系内数据+用户授权数据采集”的方式作出风险分析判断。”虽然同盾目前的具体案情还未披露，从目前掌握的情况来看，先不论其是否有非法利用数据及非法利用数据可以单独成罪的情况，若其收集数据就是为了将相关数据用于非法用途，则其收集的目的即不合法；此外，从收集的数据广泛程度来看，其可能还涉及过度收集个人信息的问题；这两种情况，都可能导致其收集行为不合法。

　　1.1.2.2用户授权：用户充分认知收集目的与内容+不过度收集

　　所谓的用户授权，需要用户在充分认知的基础上，也就是对授权的内容和后果充分认识的基础上，做出明确的同意表示。这就需要征求用户授权时应当公开使用收集规则，并明示收集的目的、方式和范围。根据现行规定，超范围收集、征求同意时默认用户同意隐私政策、隐私政策难以访问、用户不同意收集非必要个人信息便拒绝提供业务功能、超过实际需要的频度收集个人数据等问题，都可能被认定为未取得合法授权，从而可能面临行政处罚甚至其他法律风险。

　　在此，需要特别注意的是，从实际情况来看，违反必要原则过度收集信息，在我国相关行业内并不鲜见。所谓过度收集，即违反了“不得收集与其提供的服务无关的个人信息”的规定。

　　2019年央视的一个节目中，曾披露某数据公司涉嫌违法收集个人数据。而从下述报道中的截图可知，该公司获得的用户授权可谓十分广泛。

　　该数据公司获得授权的范围可谓相当广泛：

　　虽然目前该案的相关具体信息尚未公开，但从目前已披露的信息来看，该数据公司很可能涉嫌过度收集数据—该大数据平台收集并处理的数据，上到失信人名单，下到亲朋好友联系方式，可谓五花八门，应有尽有。

　　当然，从目前的情况来看，涉嫌过度收集并发生刑事风险的大数据平台，往往还涉嫌非法利用数据，在我们目前掌握的案例中还未发现单纯因过度收集而导致刑事风险的情况。这可能是因为过度收集与完全没有授权的非法获取在违法程度上还是有区别，刑法目前只是把后者纳入处罚范围，但是不能排除监管措施进一步收紧之后，执法的强度发生改变，相关企业还是应以“最小够用”为原则，不要轻易越过法律的红线。

　　1.2违法收集数据的其他刑事风险

　　除收集个人信息之外，违法收集其他数据也可能构成犯罪。利用爬虫收集数据在互联网领域行之已久，其中最常见的当属搜索引擎。出于竞争或其他考虑，许多网站采取各类措施禁止爬虫爬取其信息。与此相对的，是许多爬虫开发者采取各种方式绕过相关网站的限制。当被收集网站限制爬虫抓取数据时，绕过限制抓取数据可能涉嫌非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪。

　　此外，如果利用爬虫收集文学网站的文章等并加以利用，还可能涉嫌侵犯著作权罪。当收集行为对被收集网站造成影响（如爬虫爬取频率过高对网站运行造成影响），还可能涉嫌破坏计算机信息系统罪。

　　2．非法利用数据可能导致的风险

　　被收集整理的数据，既可能被收集者自己利用，也可能被收集者以某种形式与第三方共享。

　　如上所述，除个人信息以外的其他数据，其风险突出发生在数据收集领域，即未经准许收集数据。但合法收集数据也并不代表可以无限制的利用数据，收集者应尊重数据权利主体的授权范围，不得突破法律规定和用户授权使用相关数据，侵犯他人或社会利益。

　　就个人信息而言，若收集者以违法犯罪目的收集数据，首先就违反了数据收集的合法性原则，属于非法获取数据，涉嫌侵犯公民个人信息罪。当收集者将收集的个人信息用于诸如网络诈骗、714高炮等情形时，其还可能构成诸如诈骗罪等其他罪名。

　　特别提醒的，是平台收集者的刑事风险。对于大数据平台公司而言，其主营业务往往是将其收集的个人信息共享给第三方获取利益。其数据使用、交易中最主要的刑事风险，是个人信息被第三方用于犯罪活动中。而这也是今年下半年众多大数据平台出现刑事风险的最主要原因。虽然很多平台以对第三方的犯罪行为不知情作为其抗辩理由，但这个理由很难被采信。共享个人信息用于犯罪，既可能涉嫌侵犯公民个人信息罪，也可能涉嫌各类具体的罪名：如当大数据平台在明知的情况下提供数据帮助套路贷实施犯罪时，其可能涉嫌敲诈勒索、诈骗等犯罪。当大数据平台提供的是一套完整的工具时，还可能涉嫌帮助信息网络犯罪活动罪。还有一种情况，是平台公司将其获取的数据用于征信等需要获得特殊许可的业务，可能涉嫌非法经营罪。

　　下图这种情况，很难说平台方对相关行为不知情

　　3．数据管理不当的法律风险

　　在收集、使用数据之外，数据平台还有妥善管理的义务，且受到监管层面的监督。管理不善时，也可能涉嫌有民事责任甚至是刑事风险（如拒不履行信息网络安全管理义务罪）。

　　4．有关传统企业数据风险的提示

　　一提起数据，许多人都会联想到个人信息，继而联想到互联网，某种角度来看，近年来规模日渐庞大的数据行业的参与者，也往往是互联网企业。而最火热的数据应用，也集中在个人信息领域。有关个人信息的互联网应用，也是数据相关刑事风险的集中领域。需要指出的是，所谓的数据，既包括互联网领域的数据，也包括传统企业以名册、用户资料、技术手册等方式存在的数据。实际上，许多传统企业在运营过程中，往往掌握了大量的数据尤其是个人信息。与互联网企业一样，这些数据的不当运营，也可能导致刑事风险。从实践来看，传统企业在数据领域出现的主要刑事风险是涉嫌侵犯公民个人信息罪和非法经营罪、知识产权相关犯罪等，若相关数据以网络形式保管或运营，则其刑事风险与上述互联网企业的风险并无太大差别。

　　二、风险防控建议

　　综上所述，相关从业者可以采取以下措施防控风险：

　　（1）实施合规策略：对数据收集、存储、使用进行全流程地严格管理，保证数据的合法性和安全性。

　　（2）积极响应监管要求：对监管的要求，及时跟进并向监管机构报告，根据问题调整合规措施。

　　（3）对于大数据行业的企业来说，考虑到相关规定中都是针对个人数据，并明确排除了“匿名化”数据处理的情形，加大数据脱敏技术的研发，应用或向第三方提供脱敏数据，或许会成为监管鼓励的方向。

　　（4）积极跟进、实施新法规的要求。随着公众与立法机关、行政机关对信息安全的日益重视，近两年有关信息安全保护的法规不断出现，近来甚至有不断加速的迹象。仅在2019年下半年，相关部门就出台了《关于办理利用信息网络实施黑恶势力犯罪刑事案件若干问题的意见》、《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》等多项规定。从目前的趋势来看，立法和监管措施趋于严密和严格。只有切实跟进新的法律法规，遵守相关监管要求，才能最有效地避免与数据相关的刑事法律风险。

　　三、总结

　　从国防、金融到人工智能，过去几年，数据的价值被充分认识，成为了资本市场的宠儿，受到众多投资者的追捧。Facebook的数据泄露、大数据对美国大选的重要影响，让人们意识到如果不对数据进行严格管理，它就像是被从潘多拉魔盒中释放出来的魔鬼，后患无穷。监管的收紧，叠加资本寒冬与应用前景的瓶颈，数据行业迎来了它的寒冬。但无论如何，数据的巨大潜力已喷薄而出，不可遏制。我们相信，随着法律法规的进一步细化与完善、数据行业的不断自我规范，数据应用必将更加广泛，也更加合理。

　　(本文作者介绍：北京和昶律师事务所是一家以刑事辩护和刑事风险防控为主的专业型、研究型律师事务所)