2022年已过半,我们注意到今年上半年数据合规领域涌现出多个具有第一案意义的热点法律事件,值此机会我们检索相关案件并进行汇总梳理,以期提升数据合规领域守法用法的共识,并对如何开展数据合规管理有所启发。五、《互联网信息服务算法推荐管理规定》生效与“大数据杀熟”第一案
浙江绍兴的胡女士通过某商旅平台预定酒店房间,结账时却发现,通过平台支付的房费比该酒店实际房价高近一倍,而她是该商旅平台的高级会员,本该享受8.5折优惠。胡女士怀疑商旅平台通过她此前的消费行为,展示高额房价,存在“大数据杀熟”的行为,将商旅平台告上法庭。历经一审、二审,胡女士退一赔三的诉讼请求终于被法院支持,不过,两审法院对事实的定性却有不同意见,一审法院认定存在大数据杀熟情形,判决被告“在其运营的APP中为原告增加不同意其现有《服务协议》和《隐私政策》仍可继续使用APP的选项,或者为原告修订APP的《服务协议》和《隐私政策》,去除对用户非必要信息采集和使用的相关内容”的诉讼请求;二审法院认为平台实际构成价格欺诈,未认定大数据杀熟。不过二审法院也指出,平台不当处理胡女士的个人信息,平台的做法加深了胡女士对“大数据杀熟”的疑虑,胡女士的疑虑存在一定理由。“大数据杀熟”指的是互联网平台基于用户数据,使得同样的产品或服务,老用户看到的价格反而比新用户高出许多的“价格歧视”行为。以无限接近消费者购买能力和支付意愿上限的方式对消费者实施个性化定价,引发消费者选择能力与选择范围的双重限制。2022年1月4日,国家网信办等四部门发布《互联网信息服务算法推荐管理规定》剑指“算法歧视”“大数据杀熟”。大数据杀熟第一案在《互联网信息服务算法推荐管理规定》实施前判决生效,但是该案在个人信息保护、消费者权益保护方面具有鲜明意义,结合算法推荐新规的实施,尤其具有说明价值,能为我们带来一些启示:第一,用户概括性同意授权,APP并不必然免责。大多数APP在使用之前,都会要求用户概括性的同意他们的用户协议和相关隐私政策,但是获得用户概括性同意绝非平台一劳永逸之举。《个保法》规定了诸如单独同意、撤回同意、重新同意等规则及其运用条件,用户有权对平台涉嫌价格歧视和不当处理个人信息的行为保持怀疑,也有权纠正平台的不当行为、维护自身合法权益。第二,平台价格欺诈的行为涉嫌违反《消费者权益保护法》、《反垄断法》、《个保法》,引发多个法律条文发生竞合。二审法院确认平台处理个人信息不当,说明平台没有严格遵循合法、正当、必要和诚信原则。而在利用个人信息进行自动化决策时,平台本应保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇,但是本案中平台却涉嫌对高净值人士、价格不敏感的原告胡女士反向歧视。第三,胡女士的诉讼请求中包括要求平台提供“不接受《隐私协议》《用户政策》仍可使用本APP”的选项。这项似乎过分强硬,实际应理解为原告认为平台不合理处理其个人信息、要求予以改进、要求提供选择。尽管二审法院没有支持该诉请,但是在当时不失前瞻性。《互联网信息服务算法推荐管理规定》规定,算法推荐服务提供者应当向用户提供不针对其个人特征的选项,或者向用户提供便捷的关闭算法推荐服务的选项。用户选择关闭算法推荐服务的,算法推荐服务提供者应当立即停止提供相关服务。假如胡女士的二审案件适用上述《互联网信息服务算法推荐管理规定》进行审理,上述规定内容应该可以满足胡女士的主张,打消胡女士的疑虑。六、首例涉案数据被鉴定为情报案:非法为境外提供高铁数据构成犯罪
2020年年末,上海某信息科技公司(以下简称“境内公司”)销售总监王某通过微信群与一家境外公司(经调查,该公司长期为某西方大国间谍情报机关、国防军事单位及该国政府部门服务)联系,后者委托前者采集包括GSM-R(轨道使用的频谱数据)在内的我国高铁数据。境内公司每月采集的数据高达500GB;王某亦确认境外公司通过“开个远程端口测试一下”的要求,技术上完全可以将数据转移到境外。
境内公司的法务人员曾书面提醒数据流出不可控、无从知晓境外公司最终目的、可能危害国家安全,但销售总监王某等人在高额利润驱使下,仍对境外公司言听计从,提供我国高铁运行控制和行车调度指挥数据长达半年之久,直至国安部门上门调查以至相关人员被逮捕。经国家保密行政管理部门鉴定,上述数据为情报。相关人员涉嫌《刑法》第111条规定的为境外窃刺探、非法提供情报罪。国家铁路集团主管领导指出,虽然非法采集不影响高铁无线通信正常运转、也不影响列车安全,但如果不法分子利用数据故意干扰或恶意攻击,就可能影响高铁运行秩序,对铁路的运营构成重大威胁。今年4月15日是第七个全民国家安全教育日,本案在此时公之于众,展示了数据安全法律责任的重大性。《数据安全法》确立的数据分类分级保护制度,将数据分为重要数据(以各地区、各部门确定的本地区、本部门、相关行业、领域为维度)和国家核心数据;并规定针对关系国家安全、国民经济命脉、重要民生、重大公共利益等的国家核心数据,实行更加严格的管理制度。对向境外提供重要数据,该法规定各类行政处罚法律责任,且违反国家核心数据保护规定的,可能构成犯罪。从本案由国家安全部门介入且涉案人员被批准逮捕的情况来看,涉案人员从事的非法活动已涉嫌犯罪;同时也说明,涉案高铁信号相关数据属于国家核心数据的保护对象。因此从事数据收集、存储、使用、加工、传输、提供、公开活动必须提高警惕,审慎进行,这不仅仅是追求自身权益、保护知识产权和商业秘密的需要,在《数据安全法》背景下,数据安全本身就是一项独立的法律义务。特别是涉及数据跨境流动情形,一定要从严审核数据出境的行为合法性,避免被不法分子利用,因小失大,追悔莫及。七、全国首例适用民法典的个人信息保护民事公益诉讼案
自2019年2月至9月,孙某以34000元的价格,将自己从网络购买、互换得到的4万余条含姓名、电话号码、电子邮箱等的个人信息,通过微信、QQ等方式贩卖给刘某。刘某在获取信息后用于虚假的外汇业务推广。公益诉讼起诉人认为,孙某未经他人许可,在互联网上公然非法买卖、提供个人信息,造成4万余条个人信息被非法买卖、使用,严重侵害社会众多不特定主体的个人信息权益,致使社会公共利益受到侵害,据此提起民事公益诉讼。2022年1月8日,杭州互联网法院依法公开审理杭州市下城区人民检察院诉孙某个人信息保护民事公益诉讼一案,杭州互联网法院当庭判决孙某支付公共利益损害赔偿款34000元,并向社会公众赔礼道歉。近年来,围绕个人信息的非法收集、使用、买卖已经形成灰黑产业链,严重侵扰公民生活安宁、破坏社会公共秩序、损害社会公共利益,甚至成为电信网络诈骗、金融诈骗等多种犯罪的源头。
上述背景下本案应运而生,是全国首例适用民法典的个人信息保护民事公益诉讼案件。本案准确把握民法典维护个人信息权益的立法精神,聚焦维护不特定社会主体的个人信息安全,彰显司法保障个人信息权益、社会公共利益的决心。尽管案件发生于民法典生效之前,但根据《最高人民法院关于适用<中华人民共和国民法典>时间效力的若干规定》中的“有利溯及”原则,法院适用《民法典》相关规定更有利于对涉及社会公共利益的不特定民事主体合法权益的保护。根据《民法典》第111条规定,任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。《个保法》也对上述《民法典》个人信息保护相关规定予以细化,今后亦将作为个人信息保护公益诉讼的法律依据。2021年9月,某信息公司员工在网上发现一款叫“汇易获客”的爬虫软件,购买使用后发现软件居然可以“爬取”自己公司后台数据和用户的相关信息,随即报警。经查,2021年中,被告人丁某从他人处以9800元的价格购进“汇易获客”软件成为代理商,利用软件入侵某些短视频平台的服务器,通过关键词搜索可以快速抓取平台信息,主要包括用户名、签名及评论等,用来精准定位客户。丁某对该软件进行了重新包装后销售,违法所得2.4万余元。2022年5月10日,经江苏省无锡市梁溪区人民检察院提起公诉,梁溪区人民法院以提供侵入计算机信息系统程序罪,判处被告人丁某有期徒刑一年六个月,缓刑两年,并处罚金3万元。本案是面对短视频网站的兴起,如何通过刑法保护公民隐私和信息安全方面开展的重要探索和实践。网络安全维护必须以保障公民的隐私作为出发点,不能将个人信息与隐私的牺牲作为科技发展的代价。
“爬虫”是一种用于抓取网络资源的程序,能够收集各种信息,是实现数据流通的重要方式。爬虫作为一项技术手段本身并不违法,但当使用者为了获取经济利益,将爬虫作为犯罪工具严重扰乱计算机信息系统的运行秩序,甚至侵害公民个人信息时,就可能构成犯罪。本案警示互联网行业的从业人员,要提高系统、网络和数据安全意识,严格落实相关法律法规要求,合法合规开展自身业务。提供侵入计算机信息系统程序罪须以“情节严重”为必要条件。在本案中,法院虽然从被告人帮助的正犯行为的违法构成要件进行了具有说服力的论述,并依法做出了判决;但是,爬虫技术违法使用的边界尚且不清晰,如何精准对该行为进行定性,是目前亟待解决的问题。对于一项新兴技术的法律规制,立法的保守性和法律出台的滞后性难以避免;针对爬虫的法律规制还需进一步完善。
资深律师(北京办公室)
yuning.wang@yiyou.com.cn
实习律师(昆山办公室)
yh.dong@yiyou.com.cn
苏州办公室
carey.jia@yiyou.com.cn
