从2022年典型司法案例看企业数据合规风险防范要点（上）

Z公司是一家为本地商户提供数字化转型服务的互联网大数据公司，E公司系国内特大型美食外卖平台企业。Z公司在未经E公司授权许可的情况下，由公司首席技术官陈某某指使多名公司技术人员，通过“内爬”“外爬”的爬虫技术，突破E公司的网络安全措施大量获取其存储的店铺信息、违反E平台商户端协议大量获取其存储的订单信息等数据，造成E公司直接经济损失4万余元。

案发后，Z公司、陈某某等人均认罪认罚，Z公司积极赔偿E公司经济损失并取得谅解。根据Z公司的申请，上海市普陀区检察院根据其经营现状，从数据合规管理、数据风险识别、数据合规运行与保障等方面提出整改建议；Z公司收到整改建议后积极整改并通过了第三方组织的数据合规整改评定，最终被普陀区检察院作出不起诉决定。

合规启示

此案为我国首例数据合规不起诉案，带给企业的主要合规启示有：1）网络爬虫技术的审慎使用。尽管爬虫技术本身为中立的技术手段且未被法律禁止，使用爬虫技术时仍应注意，a）不应妨碍被爬取网站的正常运行，b）不应突破或绕开被爬取网站设置的技术措施，以及c）不应爬取非公开数据，否则可能触犯破坏计算机信息系统罪、非法获取计算机信息系统数据罪等刑事罪名；2）自身商业模式与数据强相关的企业，更应注重数据合规管理体系、规章制度及操作流程的日常建设与完善，努力做到事前合规，避免触及刑事责任的红线。结合《网络安全法》《数据安全法》等法律强制性要求，企业进行数据合规管理制度建设的要点主要包括建立：a）数据合规内部培训制度，b）数据分类分级管理制度，c）数据安全合规评估及审计制度，d）数据安全应急响应制度，以及e）重大数据安全合规风险事件报告制度。

在本案中，被告“极致了”网未经原告腾讯公司许可，违反微信公众平台robots协议、利用爬虫技术避开微信公众平台的技术防护措施，抓取微信公众平台的公众号账号信息内容及数据，并对外提供公众号导航及排行、公众号数据抓取和数据分析等微信公众号数据服务。

法院生效裁判认为，原告腾讯公司为运营微信公众号付出巨额成本，且微信公众平台通过自身经营活动吸引用户积累的微信公众号文章数据对于平台经营者具有重要意义，故腾讯公司对于微信公众号积累的整体数据资源享有竞争性权益；而被告“极致了”网利用爬虫技术避开微信公众平台的技术防护措施爬取公众号内容及数据，既影响了微信产品的运行安全，又妨碍了微信公众平台服务的正常运行机制、对微信公众号部分数据内容服务构成实质性替代；突破微信robots协议抓取数据亦有违商业道德。法院最终判决被告构成不正当竞争，立即停止被控数据抓取行为、消除影响并赔偿损失。

合规启示

企业通过技术手段获取他人数据并用于自身经营，为避免构成不正当竞争的合规风险，应当注意：1）在数据获取目的和内容上，不应当谋求实质性替代被爬虫经营者提供的部分产品或服务，如爬取竞争对手公司的数据并用于提供同类产品或服务；2）在获取数据的限度上，应当遵循最少、必要的原则，不得妨碍数据来源方网站的正常、安全运行，要将数据使用行为可能给数据来源方的伤害降到最低；3）在数据获取手段上，尽管数据来源方设置的robots协议本身不具备法律上的强制性约束力，且该robots协议内容本身是否构成不正当竞争的手段可能需要进行个案判断，但由于在一般情形下，遵循数据来源方的robots协议通常属于被互联网行业普遍认可的行为规范，企业仍应尽量避免违反数据来源方robots协议获取相关数据。

公益诉讼起诉人在办理某猥亵儿童刑事案件时发现，某科技公司运营的某短视频App存在侵害众多不特定儿童个人信息的侵权行为，主要包括未经儿童监护人明示同意允许注册儿童账户，收集并存储包括儿童生物识别特征、位置信息等敏感个人信息，未对儿童个人信息采取区分管理及额外保护措施等。公益诉讼起诉人认为该公司前述行为侵害了社会公共利益，遂提起民事公益诉讼。

在法院调解下，公益起诉人与被告达成调解协议。调解协议要求被告停止对儿童个人信息的侵权行为，按照相关法律法规对儿童个人信息保护的要求，对App进行整改，并就侵权行为公开赔礼道歉、交儿童公益保护组织社会公共利益损失人民币150万元专门用于儿童个人信息安全保护公益事项等。

合规启示

本案是全国首例儿童个人信息民事公益诉讼，为企业识别儿童用户的义务并建立单独的儿童个人信息保护机制提供了实务指引。本案法官认为，对直接面向儿童提供服务的信息处理者，宜默认用户为儿童，要求采取特殊的儿童保护政策；对面向大众的综合类产品，但知道或应当知道平台内有大量儿童用户的，可基于用户注册时自主填写的年龄信息及其他行为信息等进行筛选，分层有针对性地采取特殊的儿童保护政策；对网络直播、网络游戏等强监管类产品，则应根据监管要求强制采取用户身份实名制，通过实名信息进行识别后分类采取保护措施。

判断自身涉及可识别的儿童个人信息处理后，企业就应针对儿童个人信息处理建立额外保护机制。结合《儿童个人信息网络保护规定》等法律法规要求，特别针对儿童个人信息处理者的处理要求主要包括：1）经儿童监护人明示同意后，方可处理儿童个人信息，不得默认收集儿童位置信息、使用儿童信息进行画像并进行个性化推荐；2）应针对处理儿童个人信息制定专门的个人信息处理规则；3）应指定专门的儿童个人信息保护负责人；4）对儿童个人信息建立专门保护池，采取加密存储措施；5）设定专门的儿童个人信息访问权限，企业工作人员访问儿童个人信息的，需要经过儿童信息保护负责人或其授权的管理人员审批；6）停止运营收集涉及问儿童个人信息处理的产品或服务的，应将停止运营的通知及时告知儿童监护人，并删除持有的儿童个人信息。

原告王某某通过微信号登录微视App，发现在登录时：1）微视申请从微信获取用户的公开信息（昵称、头像、地区及性别）权限，且微视获取上述信息用户无法取消勾选；2）微视还申请获取用户“寻找与你共同使用该应用的好友”权限，虽然允许用户取消勾选，但取消勾选后，王某某发现在微视App通知推送界面中“好友加入微视”仍默认为开启状态，并显示其微信好友在微视中的浏览信息。

法院在审理此案时指出，腾讯公司运营的微视App强制获取用户地区、性别信息未满足互联网平台收集处理用户个人信息的必要性原则；在王某某下载微视App未予授权的情况下，微视App继续使用其微信好友关系的行为并未获得有效的用户知情同意，不符合正当性原则要求。不过，在二审期间，腾讯公司更新了微信和微视App版本，新版本能够保证：1）微视用户使用微信账号登录其它应用时，微信不再向其他应用提供用户性别及地区信息；2）微视用户登录时不再向微信获取用户性别及地区信息；3）如用户拒绝授权微视获取微信好友关系，则微视App相关按钮处于默认关闭状态。

合规启示

企业直接从个人用户处获取其个人信息，应当确保：1）每一项个人信息的收集具有合法性基础，且为实现某一特定处理目的（如账号登录、内容分享、购买商品等）所收集的个人信息应在最小必要的范围限度内、不得过度收集；就实现何种功能可收集的必要个人信息范围，企业可参考《信息安全技术 App收集个人信息基本要求》等国家标准进行梳理。2）对于依赖用户的同意、而非为正常提供服务所必需而收集的用户信息，企业应当根据自身产品或服务的具体形态，提供给用户便捷的个人信息收集开关通道，并在技术层面保证产品客户端及公司服务器端完全依照用户的选择收集或停止收集相应的数据。

此外，企业还应留存好相应的后台数据记录，以便在发生相关用户行权要求、投诉或诉讼时，向用户或司法机关证明其实际处理活动与《隐私政策》披露的一致性。

某网络科技公司运营的APP在《隐私政策》中列举了拟收集的用户信息，并未包括用户剪贴板信息，安装APP后手机页面显示的权限内容也未包含剪贴板信息。李某某在使用过程中发现该APP存在未经用户许可监测、读取剪贴板信息的行为，认为剪贴板可以存储身份证号等个人隐私信息，某网络科技公司的行为侵害其个人信息权益以及隐私权，遂诉至法院。

法院生效判决认为，某网络科技公司作为APP的实际运营者、网络服务提供者，未向李某某主动告知便监测、读取手机剪贴板信息存在过错，该行为侵害了李某某的隐私权，判决某网络科技公司向李某某出具书面道歉声明。

合规启示

本案在司法层面确认了剪切板中可能包含身份证号、手机号、银行卡号等涉及隐私的个人信息，因而获取剪切板信息需要遵循个人信息处理的相关法律规则。企业在收集用户剪切板信息时应当注意：1）只在必要场景下读取剪切板信息，并设立提示机制向用户同步告知；2）在《隐私政策》中如实披露获取剪切板信息的场景及目的。

下期我们会从数据使用阶段、数据对外共享以及数据主体权利行使这三个方面继续讨论数据合规风险防范要点。