˙
新闻与出版物
华诚数据 | 大数据公司的数据合规误区与应对
2020年11月06日 发布人:华诚小编

华诚数据 | 大数据公司的数据合规误区与应对

张丹 华诚律师事务所

前言

2016年以来,互联网金融的发展带来了个人信息在信贷领域的滥用,魔蝎、新颜、白骑士、聚信立等大数据公司纷纷陷入侵害用户个人信息权益的泥沼,同盾、拉卡拉也未能幸免于难。为保障个人信息安全,打击套路贷和暴力催收,监管在2020年初又释放出打击大数据公司或金融科技公司非法数据业务的信号;而2020年7月12日发布的《商业银行互联网贷款管理暂行办法》中也强调商业银行不得与违规收集和使用个人信息的第三方开展数据合作。


面对监管力度的强化,大数据公司如何把握数据合规风险以及如何应对,本文针对个人信息的收集、存储、使用阶段不同的合规风险进行分析并给出建议。


正文

大数据公司意指,有能力采集、分析、处理批量数据,并将数据处理结果为其他企业提供信息技术咨询服务的公司,该类公司还能协助客户构建数据模型、进行数据资产交易,以及提供个人信息分析结果的服务。提供该等服务的公司可能为金融科技公司、助贷机构、征信机构亦或信息科技公司等。



大数据公司可以分为仅提供信息技术服务的科技公司和提供数据输出服务的大数据公司或者两者兼具(如图所示),本文所要讨论的大数据公司系为互联网金融行业提供反欺诈、风险测评、信用评估等服务的具有数据输出功能的大数据公司。根据个人信息主要来源划分,该类公司又分为可从自有业务场景采集主要个人信息的大数据公司和个人信息数据主要来源于外部的大数据公司。

IMG20201106134013.png

无论何种类型的大数据公司,均有从其他途径采集数据的需求,包括一些数据源较为丰富的大型企业。大数据的价值就在于“大”,数据的维度越多、规模越大,就越容易产生商业价值。比如基于多维度数据的用户画像,基于大数据上的算法训练。对于绝大部分企业来说,数据作为五大生产要素之一,量的积累是非常必要的,需要尽可能多地获取数据;但是从个人信息保护的角度来说,数据应取之有道,用之有度,遵循合法、正当、必要的原则,而不能不加选择、不择手段地获取。

互联网金融发展伊始,监管就强调金融科技的发展不能以侵犯公民个人信息权益为代价,包括在《中国人民银行金融消费者权益保护实施办法》第三章,《网络借贷信息中介机构业务活动管理暂行办法》第三十条,《关于规范“现金贷”业务的通知》第一条第六款,以及《商业银行互联网贷款管理暂行办法》第三十三条等,都对个人信息保护进行了相应的规定,在个人信息尚未正式成为民事权益的情况下,部分文件以“个人隐私”的概念进行界定。

个人信息保护的重要性日益凸显,监管强度日益增强,监管红利正在消失,对于目前市面上还在服务于该领域的大数据公司,如何把握数据合规风险以及如何应对,本文将从个人信息的收集、存储和使用环节来进行合规问题的分析探讨。

采集环节

大数据公司采集个人信息的渠道一般分为三种,个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集行为,以及通过共享、转让、搜集公开信息等间接获取个人信息。在采集阶段,大数据公司往往存在以下合规问题。

1. 通过用户主动提供的账号密码采集个人信息

第一种采集渠道中较为值得争议的问题是,大数据公司通过用户主动提供其在其他平台的账号及密码进而获取用户个人的运营商信息、学籍信息、社保信息、电商交易信息等是否合规。一种观点认为,用户主动提供账号信息应视为用户的明示授权,符合告知同意原则,当然是合法合规的。

事实并不尽然,该场景中存在两个问题,一是,用户主动提供账号密码的行为是否是用户的真实意思表示。根据《APP违法违规收集使用个人信息认定方法》第三条第7项,大数据公司通过欺诈、误导或利用用户处于弱势地位等方式诱骗用户主动提供账号信息不应视为用户的授权。

二是,大数据公司通过登录用户账号所采集的个人信息范围是否适当。如果大数据公司仅仅采集用户的基本个人信息没有问题,但如果大数据公司采集了多主体信息,就会存在未获得其他主体授权同意的情况,比如用户的通讯录信息,通讯录信息不仅包含用户的个人信息,也包含其他联系人的个人信息,采集该类信息除了获得用户的授权同意外应获得其他主体的授权同意。另外,用户账户中可能还包含了账户所依托的平台信息,平台对该类信息拥有相应的数据权益,采集该类信息还应获得平台的授权同意。

因此,大数据公司仅仅获得用户的授权,并不想当然地可以采集用户账户内所有信息,还应注意是否侵犯信息主体的权益以及是否可能构成不正当竞争。从实践来看,监管机构也并不认为用户主动提供账号密码的行为就必然是明示授权行为。

2. 在提供服务过程中缓存个人信息

网络运营者委托大数据公司进行数据的分析处理,大数据公司在提供服务的过程中缓存个人信息并进行商用是否合法合规。该场景中合规的关键要看大数据公司是否获得授权,按照北京法院的裁判规则,大数据公司需要获得三重授权方可商用,此三重授权指的是信息主体对网络运营者的授权+网络运营者对大数据公司的授权+信息主体对大数据公司的授权。如果大数据公司未获得相关授权,作为数据处理的受委托者,在完成委托方的委托事项后,应将其接收的个人信息予以删除。

2019年,拉卡拉从上游公司获取数据接口后违规将查询接口出卖,并非法缓存公民个人身份信息,供下游公司查询牟利,造成公民身份信息包括身份证照片的大量泄露,上亿条公民姓名、身份证号、身份证相片这些极其隐私的个人信息被相关公司包装成数据产品进行贩卖,拉卡拉公司法定代表人、董事长、销售、技术等20余名涉案人员被调查。显然,未获得上游公司、用户的授权同意,在提供服务过程中缓存个人信息并商用是非法的。

除此之外,如果大数据公司作为其他APP的SDK服务商,在提供服务的过程中未遵守个人信息收集使用规则而非法收集使用个人信息,也有可能面临重点监管,尤其是网信办、工信部、公安部、国家市场监管总局于7月22日启动2020年APP违法违规收集使用个人信息治理工作,提出制定发布SDK、手机操作系统个人信息安全评估要点,对用户规模大、问题反映集中的APP、SDK、小程序等进行深度评估,SDK必然是下半年的监管重点。

3. 利用网络爬虫等自动化技术在公开渠道采集个人公开信息

第三种采集渠道中较为争议的问题是,大数据公司利用网络爬虫技术采集网络公开的个人信息是否合法合规。一种观点认为,个人主动公开的隐私信息就不再属于隐私,同理,大数据公司在采集个人主动公开或授权其他主体公开的个人信息当然也无需再获得个人信息主体的授权同意[1]。然而事实并非如此,该类场景中存在如下两个问题。

一是,大数据公司利用网络爬虫技术等自动化手段采集公开信息时,要注意不得妨碍被采集网站的正常运营,如采集流量超过被采集网站日均流量的三分之一,网站可以要求停止自动化采集[2]。尽管该要求出自尚未生效的《数据安全管理办法(征求意见稿)》,但是从司法判例中也可以看到这个规则的适用;如自动化手段的使用造成计算机系统不能正常使用且后果严重的,还可能构成破坏计算机信息系统罪。

二是,大数据公司从公开渠道采集的个人信息在使用时应不明显违背个人信息主体的意愿[3],且应合理处理该等信息,当个人信息主体明确拒绝或者处理该等信息侵害个人信息主体重大权益的,大数据公司需要承担相应的民事责任[4]。如大数据公司将其从公开渠道获取的个人信息主体的电话号码、家庭住址等提供给暴力催收机构,不仅可能侵犯个人信息主体的权益还可能成为暴力催收机构违法犯罪行为的共犯。当然,此处的“合理使用”和“重大权益”仍需要司法部门有进一步的解释,否则法官将拥有较大的自由裁量权。

4. 通过与第三方合作获取数据

通过第三方渠道获取数据时,是否在双方合作协议中明确第三方已获得个人信息主体的授权,大数据公司就可以在告知同意环节免责。实践中,第三方能够获得用户共享授权的场景是非常少的,为了尽可能多地获取数据,大数据公司会在明知第三方渠道可能没有合法数据源的情况下,尤其是没有正常业务场景获取数据的第三方,仍然与其合作,为了避免“非法获取”,通常要求第三方渠道出具已获得信息主体授权的承诺函。大数据公司认为其行为尽到了合理谨慎义务,应予以免责。

事实上,要求出具承诺函的方式并不当然达到合理谨慎的程度,还需要大数据公司就合作方的其他情况进行必要性审查。比如,没有业务场景的公司有淘宝用户信息,那么这些数据是从哪里来的,用户授权?淘宝授权?那么是不是三重授权?除此之外,还要看这些数据是否满足合作使用目的,是否超出原始的授权范围,如果超出,是否重新征得用户的授权同意等等,这些审查义务绝非一纸承诺函所能解决的。尽管目前的监管重点在于个人信息的非法提供方,但是不排除对于个人信息的接收方,尤其是从事敏感行业的接受方予以更严厉地监管。

存储环节

1. 将个人信息通过技术手段进行匿名化处理

如果大数据公司将其获得的个人信息通过技术手段匿名化,是否就可以免于授权同意等规则的适用。我们知道经过匿名化处理后的个人信息不属于个人信息,不受知情同意、目的限制、最小化原则的限制。事实上,匿名化是一个非常苛刻的结果,并不能简单认为通过加密手段加密,无法反向识别就达到了匿名化的要求。

匿名化本身至少包含三层含义,缺少任何一层都不能视为完全意义上的匿名化:1.仅从匿名化信息本身无法识别特定个人;2.结果其他信息也无法识别特定个人;3.匿名化后的信息不能被复原为个人信息。如果大数据公司采用一定的技术手段达到第1点和第3点,但是自身利用外部数据或合作机构结合其他信息还是能够重新识别到特定个人,那么就未实现匿名化。

大数据公司留存个人信息的目的是商用,而匿名化后的个人信息基本失去了商用价值。如果大数据公司仍旧可以为合作公司提供个人信息主体的相关信息达到合作公司商用目的,包括信用评分、用户直接画像等,就意味着这些加密信息在一定外力的情况下仍旧可以识别到个人,并对个人进行评价,那么这些加密信息仍旧属于个人信息范畴,大数据公司还需要遵守相关个人信息的收集使用规定。

2. 未采取安全措施和访问控制权限

大数据公司是否有必要采取安全措施并进行访问权限的管理,答案明显是肯定的。然而实践中,一些大数据公司由于与其他关联公司共享后台系统,技术人员混同,无法单独实现系统以及人员的管理,在安全措施方面过分依赖关联公司的措施,由于人员配置有限,常常发生例外申请访问权限的情况,然,公司对例外访问权限未能及时监控或关闭,日积月累,访问权限叠加,部分技术人员获得了可批量导出系统中的明文信息的权限,加大了个人信息的泄露风险。据统计,40%的个人信息泄露是由于安全措施不到位,60%的泄露是由于内部员工的窃取。由此可见,安全措施和访问权限管理必须做到位,等保测评和技术认证是大数据公司的必选合规项。

除了必要的安全措施,大数据公司还应设置个人信息安全事件应急处置机制,按照安全事件影响严重程度将安全事件进行分级,并分级别制定与监管要求可衔接的应急方案,定期进行安全事件应急响应培训和演练,在发生重大安全事件时,及时向监管机构报告,否则大数据公司可能承担由于信息泄露或安全事件导致的行政责任,严重的情况下还会涉及刑事风险。

使用环节

1. 个人信用评分属于个人金融信息

大数据公司向金融机构、类金融机构或助贷机构等输出个人信息主体的评分结果时,往往是一个分值或等级,而不是个人信息主体的具体信息,那么此类分值或等级是否属于个人信息。一种观点认为,分值和等级并不显示个人信息主体的具体信息,不应该认定为个人信息。

评分结果是对个人在某方面的评价,可以知晓该个人主体的特征信息,属于直接画像范畴,而直接画像属于个人信息。根据《人民银行金融消费者权益保护实施办法》给予个人金融信息的官方定义,个人金融信息是指金融机构通过开展业务或者其他渠道获取、加工和保存的个人信息,包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他反映特定个人某些情况的信息[5];而《个人金融信息保护技术规范》也说明个人金融信息包括对原始数据进行处理、分析形成的,能够反映特定个人某些情况的信息,包括但不限于特定个人金融信息主体的消费意愿、支付习惯和其他衍生信息[6]。大数据公司输出的评分结果往往是根据其已有的个人信息通过风控模型的设定而得出的对个人信息主体的信用评价,能够在一定程度上反映个人信息主体的信用状况、还款意愿和还款能力,对个人主体的权益会产生直接影响,应属于个人信息,目前已有司法案例予以确认。

2. 个人信用评分输出时的授权同意

大数据公司将其合法合规获取的个人信息通过一定的规则加工再向需求方输出个人信息主体的信用评分结果时,是否仍然需要获得个人信息主体的授权同意。获得个人信息主体的授权同意是没有争议的,但是怎样获得授权同意仍然存在争议。

传统做法,需求方往往向大数据公司提供一份一揽子授权书,该授权书在用户注册认证时授权,且授权书中并没有明确的信息处理规则,也没有明确具体的转让方,通常以“本人不可撤销的授权贵公司及贵公司的合作伙伴在提供服务过程中采集、保存本人的个人信息,其中个人信息包括但不限于…贵公司的合作伙伴包括但不限于…”进行表述。用户在点击授权时无从知晓需求方向大数据公司提供哪些个人信息,也无从知晓大数据公司基于哪些个人信息依据什么样的自动化决策机制向需求方输出怎样的评分结果。

我们理解,无论是《民法典》、《网络安全法》还是其他政策性文件,均明确要求网络运营者/信息处理者应公开个人信息收集使用规则,明示收集使用的目的、方式和范围,并经个人信息主体同意,上述授权书的表述并不符合相关规定。

3. 个人信用评分输出时的合作方准入

大数据公司基于信息接收方提供的授权书向接收方输出个人信息时是否可以不审查接收方的使用目的。通常观点认为,大数据公司拿到授权书向接收方共享个人信息就完成了合作内容,至于接收方将该等信息是否用于授权书中的使用目的与大数据公司无关。然而作为个人信息的共享方来说,大数据公司不仅要了解第三方的基本情况、数据安全能力,还需要事先开展PIA,确保共享行为不会对个人信息主体权益造成重大损害,当发现数据接收方存在违法违规行为时,应及时终止合作并要求其删除所接收的个人信息[7]。

在文章前述大数据公司团灭的风暴中,多数由于大数据公司合作的数据接收方涉嫌套路贷、暴力催收等,监管在执法过程中查实违法行为所使用的数据来源于大数据公司的共享,进而牵引出大数据公司的违法行为,可见,个人信息的使用行为更容易引起监管的注意。因此,在数据共享场景中,大数据公司仅仅在合作协议中约定双方权责义务还不足够,还应切实了解数据接收方的使用目的,评估共享风险,设置合作方的准入机制,记录个人信息的共享转让情况,并对敏感信息的共享设置更高的合作标准,否则,一旦发生共享转让的安全事件,大数据公司可能承担相应的侵权责任甚至构成帮助信息网络犯罪活动罪、侵犯公民个人信息罪等。

4. 基于数据中台的数据融合

除了上述一些合规问题外,还有关于数据融合的争议或者说盲点。一些企业基于其旗下不同子公司可以获取到不同维度的的个人信息,再将该等信息汇总到数据中台进行分析、处理来挖掘新的商业价值,该等处理挖掘有可能用于精准营销、个人信息主体的信用评估等。比如,阿里集团早在2012年开始就把淘宝、天猫、1688、高德等多个业务线的用户数据实现了全贯通。在广告业务中,过去阿里凭人工决策制定广告投放策略,之后就依靠数据的自动化投放策略决定哪些广告应该保留,哪些广告应该及时撤下,这一决策方式的转变,直接帮助阿里把广告收入提升了数倍[8]。阿里于2015年正式成立了数据中台部,通过对数据的分类标签化以及分析加工,实现了越来越多业务的自动化决策,比如淘宝首页的千人千面、阿里小贷的妙级审批、诚信用户的先行退款等。

数据中台作为数据的处理者本身不能基于自身的目的收集和使用数据,而是需要严格按照各业务条线的要求处理数据包括个人信息。如果是基于原业务线上附加业务功能的需要或基于数据中台自身业务目的进行的数据融合,则需要以单独文本的形式就数据融合的规则、涉及的数据范围、使用目的以及可能对用户产生的影响告知用户并获得授权同意。在某条业务线委托数据中台汇总数据的目的实现或委托关系解除时,数据中台不得再保存来自该业务条线的数据尤其是个人信息和基于个人信息形成的数据汇总分析结果(如风控评分数据)[9]。然而大多数情况是,数据中台已然将个人信息进行清洗、分析、利用,在适当的场景下获得个人信息主体的授权同意后再进行输出,也就是数据融合处理在先,授权同意在后,或者个人信息的处理范围和目的超出了授权同意范围,用户敏感信息的处理通过概括式授权获得等,这些情况显然都不符合监管规则。

针对上述合规争议,我们建议企业注意以下合规要点:

1. 通过用户提供的账号密码采集信息时,首先尽量不使用该种方式采集用户个人信息,如果场景需要必须采集时,注意以显著方式告知用户采集的信息范围、使用方式和目的以及信息存储期限,并获得用户的明示授权同意;同时注意不超范围采集信息,尤其是多主体信息以及信息所属平台的数据。


2. 在与第三方合作获取信息时,应要求第三方说明个人信息来源,并对其说明的来源进行合法性确认,应了解第三方获得的个人信息主体的授权同意范围,是否可能超范围转让共享,如开展业务所需进行的个人信息处理活动超出授权范围,应重新获得授权,涉及敏感信息时,还应获得明示授权。


3. 在向第三方提供信息时,注意审查第三方的使用目的,是否存在定向诈骗、推送黄赌毒广告、进行套路贷的暴力催收等侵害公民、法人、其他组织,甚至是国家利益的情形,如存在该等情形,则企业应将该类企业排除出合作名单。


4. 个人信息应加密传输和存储,注意API接口的安全性,同时应设置访问权限控制,操作日志记录以及敏感操作预警,防范信息系统安全,还应对技术人员进行安全意识培训、考核,必要时获取相应的资格证书。


5. 在使用爬虫等自动化手段获取信息时,应注意不绕开防护措施、不违反robots协议,如使用技术手段强行侵入被爬信息系统,有可能构成破坏计算机信息系统罪、非法获取计算机信息系统罪或非法控制计算机信息系统罪,即使未达到刑事责任,也有可能由于对被爬系统数据权益的侵害而构成不正当竞争。除此之外,还应注意合理使用被爬的公开信息,避免对个人信息主体权益造成损害。


6. 在将个人信息委托处理、转让共享、公开披露时,将基于不同目的的个人信息汇聚融合时,信息系统使用自动化决策机制时,第三方产品或服务接入时以及对个人信息匿名化和去标识化进行效果评估时,都应进行个人信息安全影响评估。PIA的作用在于可以尽早发现个人信息处理过程中存在的安全风险,减少管理成本和法律费用,同时也可以证明企业遵守了相关法律法规和标准的要求,减轻或免除相关法律责任。


7. 应定期进行安全审计,建立自动化审计系统,检测记录个人信息处理活动,对个人信息保护机制、安全措施等进行评估审计,对个人信息获取途径及使用目的进行审计,对相关制度的有效性及可操作性进行审计,及时处理审计过程中发现的个人信息违规使用滥用情况,并保存审计记录。




结 语



随着数据的不断丰富,大数据产业发展的同时,监管科技也在持续发展,市场参与者们会不断发现新的监管思路和监管方法,监管执法的宽度和深度在持续拓展,未来监管的重点也不会局限于爬虫、个人信息买卖、隐私政策和权限获取,而是进一步细化至SDK合规、个人信息主体权利实现合规,生物特征信息收集合规等。中央网信办、工信部、公安部和国家市场监管总局四部门在7月22日召开的会议中指出,2020年治理工作将在去年基础上,进一步加大整治工作力度,突出问题导向,强化标准规范支撑,加强责任追究。对违法违规收集使用个人信息行为加大发现力度、曝光力度、处罚力度。我们建议大数据公司应注意梳理自身业务线的合规情况,尽早发现问题及时整改完善。

注释:
[1]《信息安全技术 个人信息安全规范》5.6条
[2]《数据安全管理办法(征求意见稿)》第十六条
[3]《数据安全管理办法(征求意见稿)》第二十七条
[4]《民法典》第一千零三十六条
[5]《人民银行金融消费者权益保护实施办法》第二十七条
[6]《个人金融信息保护技术规范》4.1条
[7]《信息安全技术 个人信息安全规范》9.2条
[8]《中台的中场故事》石富元
[9]《“数”年快乐——万字长文说“数据融合”》宁宣凤 吴涵



本网站之内容旨在提供有关华诚的一般信息。本网站之内容不得被视为与访问者建立律师-客户关系,也不视为是为任何具体事宜提供法律意见。网站访问者应向律师咨询以获得专业法律意见。 对于任何争议的特定事实和情况,在没有获得恰当的法律或其他专业意见之前,本所客户和其他网站访问者不能将华诚网站上的任何信息作为采取行动与否的依据。

© Copyright 2000-2015 All Rights Reserved | 沪ICP备15028801号 隐私保护 | 用户反馈

沪公网安备 31010402001317号

Lin