處理數據要有全流程合規意識
原標題:處理數據要有全流程合規意識
近日,一科技公司利用爬蟲技術竊取2.1億條簡歷數據,被告人被追究刑事責任的新聞引發了社會的廣泛關注。據媒體報道,該科技公司主要經營招聘工具軟件和大數據分析等業務,組建有專門的爬蟲技術團隊,在未取得求職者和平臺授權的情況下,秘密爬取了國內主流招聘平臺上的大量求職者簡歷數據。獲取數據后,公司對數據進行重整,用于開發產品意圖謀利。其間,該公司爬蟲技術團隊負責人還私自將簡歷數據對外出售,非法獲利人民幣30余萬元。最終被告單位被判處罰金4000萬元,被告人王某某被判處有期徒刑7年,并處罰金1000萬元,其他被告人均被判處相應刑罰。這起案件,對被告單位判處的罰金數額、對被告人判處的刑期和罰金數額,均系近年來全國同類案件判罰較重的案例。
近年來,利用爬蟲技術實施違法犯罪的案例屢見不鮮,此案也再次給一些從事數據收集處理利用的科技企業敲響了警鐘。伴隨著數據安全法和個人信息保護法的出臺,我國已建立由網絡安全法、數據安全法、個人信息保護法、民法典以及刑法等諸多法律法規協同規范的數據安全法律保障體系。企業進行數據處理時,應當與時俱進,走出以往數據處理的觀念誤區。
首先,技術中立不代表利用技術實施數據處理的行為不涉嫌違法犯罪,企業應走出不知法免責的誤區。利用爬蟲技術采集網絡上的個人信息是否合法合規,是實踐中較為爭議的問題。雖然爬蟲技術本身并不違法,但是企業在利用爬蟲技術采集個人信息時,要注意不得妨礙被采集網站的正常運營,不得違背個人信息主體的意愿。而從這起案件來看,該科技公司在采集數據時并未取得求職者和平臺的授權;對于爬取來的大量求職者簡歷數據,該公司還意圖用于開發產品謀利,顯然違背了法律的相關規定。
而在類似刑事案件中,有諸多企業及相關人員,甚至有辯護律師傾向于以不知法進行免責抗辯。但由于“不知法不免責”是被遵循的基本原則,在不涉及違法性認識可能性的情況下,企業及相關責任人單純以“不知道行為違法”“不知道行為構成犯罪”為由進行抗辯,均屬于無效辯解,并不能阻卻犯罪故意的成立。
其次,數據處理包含收集、存儲、使用、加工、傳輸、提供、公開等全流程,企業應走出數據處理僅是防止泄露的誤區。以此案為例,此案之所以是近期類似案例中被處罰較嚴重的案件,除了涉及個人信息數據量較大外,恐怕也跟該公司在數據處理的多個環節均存在違反法律規定的行為有關。比如,在數據收集環節,利用爬蟲技術大規模采集求職者簡歷數據,未取得求職者和平臺的授權;在數據存儲環節監管失當,致使員工私自將簡歷數據對外出售,導致大量數據被泄露;在數據使用、加工等環節,對收集來的數據進行重整并用于開發產品意圖謀利。在數據處理的多個環節均存在不同程度的違法,導致案件造成的危害后果嚴重,因而受到嚴厲的處罰。
最后,數據處理要形式合規與實質合規并重,企業應走出形式化合規的誤區。隨著法治的健全,越來越多的企業開始具有法律意識。有的企業在內部設立法務部,甚至專門設立合規部(員),有的還會聘請外部的專業律師團隊。但是數據處理的合規,不單純是形式的合規,也要注重實質的合規。例如在此案中,涉案公司員工私自將求職者簡歷數據出售獲利,就暴露出該公司在數據存儲環節缺乏必要的監管。總而言之,數據合規并不是獨立于企業管理和產品之外的體系,企業應當將數據合規與企業管理、生產及服務流程有機融合,進而實現企業經營的合法合規。
(作者:李翔,系華東政法大學刑事法學院教授、博士生導師)
標簽:
