如何避免在隱私保護上吃虧?頭條、高通、EBay、鬥魚等法總劃重點

本文來源:2019WeLegal亞洲法務峰會現場演講


如何避免在隱私保護上吃虧?頭條、高通、EBay、鬥魚等法總劃重點


張丹

感謝各位法總能參加我們的分論壇,他們工作真的很忙,討論問題的時候也是抽出、擠出時間討論今天的話題,我是上海華誠律師事務所的張丹律師,今天很榮幸和優秀公司中的優秀法總坐在一起討論數據合規和隱私保護相關的話題。

最近有一些數據合規領域的事件引起熱議,比如換臉軟件,ZAO引起了很多熱議。另外還有最近大數據行業裡面的暴風行動,這個大家可能有所瞭解,很多大數據公司在爬蟲業務領域的產品和服務已經終止。還有一些大數據公司可能會涉及到一些相應的刑事責任等,這個事件引起了行業的一些反響,另外也在數據合規領域引起了一些專家和學者的熱烈討論。

在技術發展的今天和我們隱私保護之間,它有一定的衝突,那這個衝突應該怎麼解決?我們怎麼應對?也是今天我們討論的話題之一。

首先第一個問題,因為有很多的外資企業或者是在對境外有投資的公司,他們在數據的本地存儲和數據的跨境傳輸方面都有這樣的一些法律諮詢的需求,今天正好在我們現場有高通公司和ebay公司,他們在這方面有非常豐富的經驗,我們可以請法總來分享一下。

首先在《網絡安全法》裡有這樣一個規定,關鍵信息基礎設施的運營機構在中國境內收集的個人信息和重要數據應該在本地存儲,但是在《數據安全管理辦法》和《個人信息出境安全評估辦法》的徵求意見稿裡面沒有提到本地存儲相關要求。

在實踐當中,本地存儲和數據跨境傳輸方面,應該注意些什麼?另外在合規方面應該做哪些措施?我們首先來邀請高通的時總給我們分享一下。

時俊賢

大家下午好,很高興有機會在這個場合跟各位分享一下高通公司的一些做法或者我個人對這個問題的看法。眾所周知,從2017年網安法實施以後,第37條設置了兩個基本制度,第一就是信息境內產生,如何產生和存儲。第二設置了另外一個制度,如果你需要向境外做跨境傳輸,需要進行國家安全的評估。那個時候起我們就一直密切關注網安法實施以後的配套辦法,包括網信辦、工信部以及其他相關政府部門相關法規的進展。2017年開始陸陸續續有很多徵求意見稿出來,當然這些徵求意見稿經過了兩年多醞釀絕大部分改得面目全非。從今年4月份開始,各類徵求意見稿的進展在加速。我想一會兒可能其他的同事會介紹,我們國內目前的一些關於隱私保護和安全方面的法規的立法進展。

我們網安法涉及到關鍵信息基礎設施運營者,如果你的信息需要出境,需要進行網絡安全審查。在關注立法過程裡,我們也注意到,當網信辦提出了相應的配套法規,把這個概念就擴大化了,從關鍵信息基礎設施營業者擴大到一般的網絡運營者,這樣幾乎把我們所有擁有自己網站的商業機構,通通納入進來了,所以這相關的配套措施的適用範圍就擴大得非常厲害。

我們也一直參與相關配套法規的徵求意見過程,包括高通自己本身,同時我們也會和一些跨國公司一起,向網信辦或者其他的立法部門提交我們對法規的反饋意見,尤其是從實際運營和操作的角度給出我們的一些建設性意見和建議。

當然,目前為止,所有的法規都只是在制定過程中,坦率地說,現在除了網安法是有效的法規,涉及到網安法第37條的其他相應的配套措施其實並沒有完全制訂出來,這是一個背景。高通因為基於我們的業務需求,我們一直存在數據產生和大量存儲的要求,也存在數據需要向境外如美國傳輸出去的要求,所以我們自己本身也在很積極的思考如何在中國現有法規項下做相應的調整。

歐洲GDPR相應的存儲規定出來以後,我們基本就沒有再做進一步的討論,我們就直接往前走了。原來我們的數據產生以後基本存儲到美國那邊去,但是我們現在會和國內的一些雲服務商合作。從法律的層面、合規層面,我們的第一步已經開始了,把數據加以本地存儲化,當然這些數據在本地存儲並不意味著在只在中國境內存儲。我們實現數據本地存儲的同時,我們也在密切和各個監管機構做一些溝通,詢問他們關於數據境外傳輸的基本態度。

這個過程裡面,相應的數據傳輸我們還會進行,目前也沒有部門規章或者行政規章禁止我們這麼做。事實上,當我們和監管部門溝通的時候,也得到積極的回應,如何做國家安全的評估或者審查。原來立法者的立法草案裡面告訴我們,你可以自行組織安全評估,,而重要的數據甚至敏感的東西由政府監管部門直接進行評估。現在新的徵求意見稿已經把原來的架構推翻了,我們現在也在密切關注著這些相應的監管規定的變化,以使得我們中國的所有運營都符合中國相應法規的規定,這是高通的基本做法。

張丹

感謝時總,我們請翟總分享一下ebay是怎麼做的?

翟青

謝謝時總,謝謝張律師。我首先介紹一下為什麼我們這麼關注跨境信息傳輸和分享的問題。億貝在中國是從事幫助中國賣家把貨品賣到全球買家手裡去,那基於此,有這麼大的數據量、信息,我們網安法第一天出來我們就非常關注這個事情,就做了外資企業在中國如何使自己合法合規。

我們一直以來觀點就是有法律法規比沒有法律法規要好,這次網安法出來以後,配套的規則徵求草案其實還有很大進步,我們作為外資企業首先是合法合規,有法可依。

我們可以看得出,今年和之前2017年的幾個版本比起來有非常巨大的變化,一方面是各個有關企業都做了反映,實際上我們和有關部門都做了大量溝通,關於網絡安全法的合規合法操作的問題。2017年的版本不僅是包括個人信息出境,也包括重要數據出境,其實那個規定實際上是兩個方面都有,今年版本做的切割,這個也和我們當時反映是一致的,我們希望分開處理,比如像日常需要的跨境電子商務每天做的數據操作,可能和真正的基礎信息服務供應者提供的數據是完全不同的類型。

找到力的平衡點,是大家最後會妥協的地方,我們看到新的個人信息保護裡面講得比較清楚,不再要求把數據一定放在中國,但是你應當把你所做的跨境數據的傳輸,哪些個人信息,怎樣操作,申請備案,其實這是更靠操作性的,各方面都能夠解決的操作可能性。

另外實際上我們一直以來,我們國家是實際正義的國家,假如你業務本身是有利於國家經濟發展的,有利於行業發展的,可以更多和有關部門直接做一個溝通,告訴他們實際上遇到的困難,我們怎麼幫助政府一直解決這個問題,以後外資企業還是中資企業,本質是解決問題,以合法合規的方式解決所有問題。這是我今天想要分享的。謝謝。

張丹

感謝時總和翟總,從兩位法總的分享來看,在本地存儲這個事情上還是儘量要做到本地存儲,從企業實操層面看,網絡安全法中的本地存儲的概念要擴大。另外對於數據跨境傳輸目前還沒有明確的監管要求,還是處於溝通或者是在探討的階段。

剛才翟總分享了積極擁抱監管,主動和監管溝通,告知監管他們在業務過程中遇到的困難和應該怎麼做,可能監管也不一定知曉應該怎樣監管,所以目前的階段還是處於相互溝通和理解的階段,可以這樣理解嗎?翟總?

翟青

我們跟監管的溝通一直在進行,包括其實這個新的6月13日文件出來以後,我們也在做溝通,是不是給一個兩年的過渡期也好,我們也希望有關企業儘量和有關部門做溝通,把這個事情一起做好,因為本質上來說,所有的商業本質都是建立一個生態環境,讓所有人都可以更好的做好這個遊戲,取得自己的盈利,謝謝。

張丹

感謝兩位法總的分享。下面是我們第二個問題,大家知道暴風整頓的行動讓很多大型大數據公司都停止了爬蟲業務,目前都在做整改,爬蟲到底是一個什麼樣的東西?它在合法合規性上有什麼問題?也希望得到各位嘉賓的分享。首先從鄧總開始。

鄧揚

大家下午好,作為一個互聯網行業工作超過10年的法律工作者,其實我在每個企業都遇到過數據被扒取的問題,現在有整改的事件,其實就我個人工作者的角度來說,十年來,整個環境對被爬取的企業來說改善是不大的。

不知道多少人瞭解爬蟲這樣的,我稱為灰色產業鏈,一個是個人可以破扒取的,包括小的團隊,包括具體賣數據產品以及有成熟的變現模式,成為中小企業的公司,已經形成了非常完善的鏈條,而且他們有高速有效的變現手段,我自己不管通過刑事還是民事打聽過,有五家左右這樣的企業,後面嘉賓可能講到,在具體的爬蟲當中,你可以具體鎖定到打擊的對象已經很難了,其實你追溯的只是一個IP,這個IP是自然人還是公司,甚至連ip都無法獲得,鎖定違法主體是非常難的。

大家更多看到的是民事案件,民事案件當中的主體,大家比較熟悉的微博的案子,百度和大眾的案子,都是知名品牌,不僅爬取了數據,還以非常公有的方式展示,我就是用了你的數據,這樣的形式是比較容易直接追究民事責任。

我做的案子當中,我嘗試過追刑事責任的方式,但是我嚴格來說,是比較困難的。現在大家爬的很多數據,並不會突破本身的侵入性的數據,突破你的技術上的防禦措施,所以它沒有涉及計算機的刑法法條犯罪。比如淘寶,爬取的不管是用戶評論還是sku的數量,這是大家在網頁上都可以看到的,只是用機器的手段爬取。

另外包括你通訊過程當中,沒有加密的手段,包括多少人瀏覽你的網頁,多少獨立UV,這種數據通過爬蟲,整個爬取會形成有商業價值的數據,最後它能在市場上被有需要的消費。第一包括可能很多人爬淘寶數據,看我這些領域內哪些商品是賣得好的,還有競爭對手扒取對方的數據這樣的行為,只要在它沒有觸及到刑法犯罪的情況下,我們只能用民事的手段追究,民事手段追究最大問題就是你的損失實際上是難以統計的。根據我的一個刑事打擊的經驗,刑事上,你可以把賬本、計算機記錄全部調出來,賣了多少貨收了多少錢一清二楚,非常高效統計作為違法所得。但是民事手段做不到,爬蟲行業經典的案例,如果大家有關注到,最高小几百萬。

現在爬蟲,民事糾紛個人判賠金額是非常低的,像大眾和百度的案子判三百萬,對於這個判決我認為起不到遏制爬取的作用,很多爬別人的數據我沒有原始數據,但是我需要把系統建起來,我需要用別人的數據,很快把我用戶吸引過來,把我的產品搭起來之後,營收可以跑起來,但是我們知道整個訴訟程序性的時間,判決時間,到最後的判下來一兩年是要的,一兩年之後對百度這樣的體量公司,最後判決這個金額,對它來說是微不足道的,但是對它帶來的收益實際上是非常大的,這是很大公司才可以判數百萬的金額。很多小公司都是幾十萬的,對於我們這樣的企業,有很多被爬取的情形,我們訴諸法律有一點吃力不討好。

面對這樣的情況下,企業可以做什麼呢?我們現在其實主要三種手段,第一就是訴訟,剛才提到了,刑事的你做不到,因為沒有破壞你的數據。第二以正當競爭、侵權等案由提起民事訴訟,這樣判賠是相對低的,大公司一兩百萬可以追回來,但是對小公司來說你判幾十萬就把公司註銷了,換一個牌子再開始做。

其實現在很多企業真正考慮到成本的角度,也就只能無奈的,包括我們會改ROBOTS協議,加很多標籤,有反爬取的提示,但是現實生活中是阻攔不了真正扒你數據的商家的灰產。

第三就是反扒取的手段,大家可以網上看,其實反扒取有很多論壇的,大家說我要爬淘寶哪一個區,我要爬什麼數據,淘寶、微信有非常完善的反扒取的機制,包括一個IP登次數多了,會限制IP等,這是需要非常高的技術成本的,本身如果是需要做這樣的措施,是對企業成本提高得非常高。

因為淘寶有自己的數據產品,它其實可以把數據打包賣出去,其實它是覆蓋成本的,但是很多中小企業是做不到的,所以這樣的背景下,我們經常想合規,我們能做什麼?嚴格來說,現在法務可能可以做的事情是相對比較有限的,只是在訴訟或者明確競爭對手情況下,我們還是會利用法律的武器。

未來我們很關心行業發展的,整個監管的導向,因為我覺得可能這個不完全是法律問題,是經濟問題,這些數據在誰手上用得更好一點。另一方面,企業為了防禦爬取數據的行為,可能會花更多的成本,反爬取成本是非常高的,這個真的只有bat這樣的體量的公司才能夠承擔反扒取的技術成本。在這個方面,是增加了整個社會的成本,這樣的話,這到底是數據靈活使用的收益和這個企業增加成本誰會更多一點,我也很關注未來監管的,司法實踐的傾向和指引。

張丹

感謝鄧總的分享,鄧總站在被扒取企業的角度講到了實操過程中的風險和處理難度,這也是對被扒取企業的法務給到了一些很好的建議。

有請翟總分享一下在這個問題上,ebay有什麼好的看法?

翟青

實際上爬蟲我們以前做了很多研究,在我國基本上涉及的刑事犯罪可能性主要是四個方向:侵犯知識產權、侵犯個人信息、侵犯商業秘密、破壞計算機系統獲取數據,主要是這四個方向。

我是非常同意現在這個概念,其實你做成這樣的刑事案件是比較難的,從公權力使用上,目前的整治爬蟲並不是想杜絕爬蟲的合法使用而是從整個信息來源角度考慮解決明顯的侵犯個人隱私等問題。可能大數據整理完以後,爬蟲的情況還會繼續存在,當然從我們億貝作為平臺來說,要看自己價值定位,你到底是什麼公司,需要什麼生態鏈,你是怎麼看待競爭的,這是每個公司不同的。

這個我只能說是行業內大家研究的道德規範,並不是作為法律或者合同性的業務讓所有人接受,而且每個公司所處的公司不一樣,有的中小企業需要野蠻生長,如果沒有野蠻成長的環境,就沒有今天了。我們法治像今天這樣好,很多巨頭不會成長成今天的樣子。我們業務部門、全球部門這個事情做了很多討論,我們覺得生態鏈裡面有競爭對手,生態鏈裡面有其他人,可能會使我們做得更好。

張丹

謝謝翟總,在美國最近有一個HIQ訴LinkedIn的案子,二審法院目前認定扒取公開數據是合法的,其實這個案子也體現了美國的監管思路,如果限制扒取公開數據,會不會影響創新,造成更強的壟斷?可能還需要從社會公益的角度考慮這個問題,不單單是從被扒取企業的商業利益來考慮這個問題。我們再請時總分享一下個人觀點。

時俊賢

我順著鄧總的觀點往下說,我很贊同鄧總的觀點,如果為了制止數據截取或者信息截取,採取技術措施的成本其實是很高的。反過來說,鄧總的觀點其實蘊含著另外一層意思,技術上要治理這種未授權的數據信息截取,是可以不到的,從高通本身的實際操作經驗來看,也是可以做到的。對這一點,我呼應一下。

今年上半年《數據安全管理辦法》徵求意見稿中對網絡爬蟲有了明確的限制。我覺得這代表了立法者對未來信息數據的安全或者網絡爬蟲態度是非常清晰的。下一步就是看執法者本身在這方面的做法了,隨著新規的生效,我相信會有更多的民事訴訟案件會出來的,以維護自己的權益。限制網絡爬蟲至少技術是可行的,需要考慮成本的問題,這是我呼應鄧總的觀點。

張丹

我們再請朱總分享一下你的觀點。

朱浩江

我來自傳統的行業,對於爬蟲如果我們換個角度看或許會有所不同。“被爬其實是一種榮幸”,只有你在行業中處於領先地位,才會有人覬覦你的數據,才會爬你的數據。

放眼世界,有些創新公司其業務發展思是不斷有新的業務領域從無到有、從小到大的不斷生長。那些新業務不斷生長,老的業務不斷被替代,這就是商業的本質。任何公司,無論是小公司還是跨國企業,從生到死或許是一個不可逆的歷史規律。

現在的爬蟲技術已經運用於各行各業,很多公司在經營過程中需要去了解一些行業、產業、競爭對手的數據,通過爬蟲獲取數據是一種通行的做法。養機器人、使用爬蟲也好最重要的是看其目的是什麼。

對於公司法務而言,面對技術的快速發展其實是面臨很大挑戰的:第一、法務需要了解技術,成為技術驅動型的法務。對於爬蟲這個法律問題的研究,法務需要了解爬蟲是什麼,瞭解ROBOTS協議是什麼。唯有在理解這些IT技術之後,法務才能與技術人員進行有效的對話,瞭解技術細節才能提供有價值的法律服務。第二、法務要有前瞻性視野。

尤其是在技術高速發展的今天法律法規政策層面存在諸多不確定。法務需要面向未來,在解決當前問題的時候多去思考未來和過渡期的問題,與技術團隊進行充分交流和溝通,同時站在公司的全局看問題,著眼於能夠更健康促進整個生態的發展,併兼顧公司的經營成本,因為公司一方面需要承擔社會責任,另一方面公司也是營利性的機構,需要關注成本、效率和未來業務增長點,這也就是我們經常提到的法務需要培養商業理念和商業思維。

張丹

感謝朱總,從戰略的高度分析了這個問題,也非常感謝各位法總在這個問題上的分享。

最後一個問題是臺下的法務小夥伴非常關注的問題,在這些企業裡面,法總如何協調或者領導數據合規工作的開展,如何與外部律師協調,如何考慮商業利益和合規成本之間的平衡?因為時間的關係,請每位法總用一到兩分鐘回答一下。

朱浩江

這個領域對法律人而言是全新的領域,

公司法務把數據合規業務做好,需要兼顧商業、技術和法律,三者缺一不可。

數據合規團隊總體上需要深入業務第一線,需要了解業務,比如公司會在哪些環節會收集客戶個人信息?具體而言包括哪些客戶觸點?公司怎樣存儲個人信息?採用了哪些技術手段?如何在不影響業務的前提下以及兼顧技術可實現的前提下滿足數據最小化、本地化存儲等合規原則。這些只有你真正瞭解了技術、瞭解了業務後,才能提供又價值的法律意見。

第二公司法務和外部律師最大的不同是思維方式。外部律師的意見主要是法律意見,其更側重於法律上的判斷;內部法務需要給內部客戶和管理層提供的是一整套業務、技術、商用綜合性的解決方案。

對於數據合規這一新興領域法律規定的確定性相對而言是比較弱的,有些規定在執行上並不清晰。對於那些不清晰的部分,法務需要與外部律師及政府主管部門從法律法規規定和執行角度進行充分和有效的溝通,尋求解決之道體現法務的價值。

張丹

感謝朱總,律師也是要在法務的引導和協調下,更加懂得業務才可能提出更好的法律意見。下一位請時總分享一下。

時俊賢

關於第一個問題,我很贊同朱總的意見,in-house和lawfirm不一樣。Inhouse對自己企業的業務模式以及你所處的行業的經營模式,應該是有非常深刻的理解和認知的,這個基礎上,你作為inhouse本身,你可以去協助和支持業務部門往前走,去實現商業目標,這是基本的,這也是一個優秀的In-house所需要具備的。

第二個問題,關於法律合規和業務發展之間的平衡性問題,我覺得這是一個設計的很好的問題。就高通本身來說,律師和業務部門並不存在矛盾性的問題,因為律師團隊本身就是作為業務團隊的一部分在推動業務尤其是許可業務往前走,這個問題對高通本身不是什麼問題。謝謝。

張丹

下一位請翟總分享。

翟青

數據合規對我來說為什麼重要?

因為中國賣家產品賣到一百多國家,我們需要符合中國現在網安法,符合各個國家的規定,我們重要是抓好兩件事情,第一產品開發我們人員要過來一起看看,這個信息收集與使用到底是怎麼樣的。第二市場流程當中設置一些我們所說的操作流程規章和底線,在這個節點上做好把控,重要的這是兩點,其他很多東西礙於時間關係,就不多說了。

張丹

下面請鄧總說一下。

鄧揚

我們法務,目前工作第一是採集,第二是存儲,第三是使用。採集的話,包括採集哪些數據,這個一定要和業務溝通,剋制他們過分採集的衝動,很多應用,像訪問聊天通訊,短信很多東西都採集了,我們覺得是有必要的應用場景才需要採集數據,另外反採集的問題,用戶說我不想讓你採集這個數據,用戶是可以選擇的,而我們現在大多數都是註銷,每個賬戶的註銷,設置了很多權益,甚至真金白銀的貨幣,都是挺麻煩的事兒,所以這一系列我們都需要做合規。存儲我們可能沒有跨境的的問題,這也不完全是法律,還有技術方面,黑客的攻擊,包括內部人員有沒有道德風險,會拷貝你的數據,會對外銷售。技術和法律層面怎樣預防存儲中可能會涉及到的數據洩露。

另外是使用,臉書和劍橋使用就是合同形式,過去有些公司會互相交換用戶引流,這可能涉嫌洩露了用戶隱私數據,涉及到用戶隱私我們怎麼管理,這方面法務可以做很多工作的,你要對業務審核,謹防一些數據會產生洩露,這是我們要做的工作。

張丹

各位法總都表達了一個共同的觀點,就是,無論法務還是外部律師都應該瞭解企業的業務,跟技術做深入溝通才能更好完成數據合規工作,才能提出更落地的法律建議。

現在剩下大概五到十分鐘左右,是我們的提問環節,臺下小夥伴有任何問題,可以直接舉手提問,我們臺上嘉賓會給大家一個解答。

觀眾

各位老師好,在集團公司裡面的子公司從事SAAS軟件有個人信息獲取或者歸屬等問題。那軟件運營主體及體系內的公司所有,這個合法性合理性有什麼歸置的辦法?我問一下鄧總?

鄧揚

我長話短說,你說能不能用協議把這個存儲進行約定,兩種:第一你約定了會不會有風險,假如點評商戶上上傳的照片什麼之類的,是不是上傳到我平臺就歸我了,可能這個內容本身是侵權的,一旦協議約定了權屬很可能承擔其產生的責任。另外,付不付對價的問題,不是這個東西放在你的平臺上,必然權利歸屬給了你,因為這是格式條款,這個實際上如果沒有支付對價情況下,很多場合後續會被挑戰的。

如果你在和用戶交互過程中,你是給用戶提供有價值的服務,有投入,那在權屬清潔的情況下,是有可能通過用戶協議約定獲得相應的知識產權的。

張丹

時間關係,數據合規分論壇就到此結束。各位嘉賓可以站起來一起來張合影。


分享到:


相關文章: