本文来源:2019WeLegal亚洲法务峰会现场演讲
张丹
感谢各位法总能参加我们的分论坛,他们工作真的很忙,讨论问题的时候也是抽出、挤出时间讨论今天的话题,我是上海华诚律师事务所的张丹律师,今天很荣幸和优秀公司中的优秀法总坐在一起讨论数据合规和隐私保护相关的话题。
最近有一些数据合规领域的事件引起热议,比如换脸软件,ZAO引起了很多热议。另外还有最近大数据行业里面的暴风行动,这个大家可能有所了解,很多大数据公司在爬虫业务领域的产品和服务已经终止。还有一些大数据公司可能会涉及到一些相应的刑事责任等,这个事件引起了行业的一些反响,另外也在数据合规领域引起了一些专家和学者的热烈讨论。
在技术发展的今天和我们隐私保护之间,它有一定的冲突,那这个冲突应该怎么解决?我们怎么应对?也是今天我们讨论的话题之一。
首先第一个问题,因为有很多的外资企业或者是在对境外有投资的公司,他们在数据的本地存储和数据的跨境传输方面都有这样的一些法律咨询的需求,今天正好在我们现场有高通公司和ebay公司,他们在这方面有非常丰富的经验,我们可以请法总来分享一下。
首先在《网络安全法》里有这样一个规定,关键信息基础设施的运营机构在中国境内收集的个人信息和重要数据应该在本地存储,但是在《数据安全管理办法》和《个人信息出境安全评估办法》的征求意见稿里面没有提到本地存储相关要求。
在实践当中,本地存储和数据跨境传输方面,应该注意些什么?另外在合规方面应该做哪些措施?我们首先来邀请高通的时总给我们分享一下。
时俊贤
大家下午好,很高兴有机会在这个场合跟各位分享一下高通公司的一些做法或者我个人对这个问题的看法。众所周知,从2017年网安法实施以后,第37条设置了两个基本制度,第一就是信息境内产生,如何产生和存储。第二设置了另外一个制度,如果你需要向境外做跨境传输,需要进行国家安全的评估。那个时候起我们就一直密切关注网安法实施以后的配套办法,包括网信办、工信部以及其他相关政府部门相关法规的进展。2017年开始陆陆续续有很多征求意见稿出来,当然这些征求意见稿经过了两年多酝酿绝大部分改得面目全非。从今年4月份开始,各类征求意见稿的进展在加速。我想一会儿可能其他的同事会介绍,我们国内目前的一些关于隐私保护和安全方面的法规的立法进展。
我们网安法涉及到关键信息基础设施运营者,如果你的信息需要出境,需要进行网络安全审查。在关注立法过程里,我们也注意到,当网信办提出了相应的配套法规,把这个概念就扩大化了,从关键信息基础设施营业者扩大到一般的网络运营者,这样几乎把我们所有拥有自己网站的商业机构,通通纳入进来了,所以这相关的配套措施的适用范围就扩大得非常厉害。
我们也一直参与相关配套法规的征求意见过程,包括高通自己本身,同时我们也会和一些跨国公司一起,向网信办或者其他的立法部门提交我们对法规的反馈意见,尤其是从实际运营和操作的角度给出我们的一些建设性意见和建议。
当然,目前为止,所有的法规都只是在制定过程中,坦率地说,现在除了网安法是有效的法规,涉及到网安法第37条的其他相应的配套措施其实并没有完全制订出来,这是一个背景。高通因为基于我们的业务需求,我们一直存在数据产生和大量存储的要求,也存在数据需要向境外如美国传输出去的要求,所以我们自己本身也在很积极的思考如何在中国现有法规项下做相应的调整。
欧洲GDPR相应的存储规定出来以后,我们基本就没有再做进一步的讨论,我们就直接往前走了。原来我们的数据产生以后基本存储到美国那边去,但是我们现在会和国内的一些云服务商合作。从法律的层面、合规层面,我们的第一步已经开始了,把数据加以本地存储化,当然这些数据在本地存储并不意味着在只在中国境内存储。我们实现数据本地存储的同时,我们也在密切和各个监管机构做一些沟通,询问他们关于数据境外传输的基本态度。
这个过程里面,相应的数据传输我们还会进行,目前也没有部门规章或者行政规章禁止我们这么做。事实上,当我们和监管部门沟通的时候,也得到积极的回应,如何做国家安全的评估或者审查。原来立法者的立法草案里面告诉我们,你可以自行组织安全评估,,而重要的数据甚至敏感的东西由政府监管部门直接进行评估。现在新的征求意见稿已经把原来的架构推翻了,我们现在也在密切关注着这些相应的监管规定的变化,以使得我们中国的所有运营都符合中国相应法规的规定,这是高通的基本做法。
张丹
感谢时总,我们请翟总分享一下ebay是怎么做的?
翟青
谢谢时总,谢谢张律师。我首先介绍一下为什么我们这么关注跨境信息传输和分享的问题。亿贝在中国是从事帮助中国卖家把货品卖到全球买家手里去,那基于此,有这么大的数据量、信息,我们网安法第一天出来我们就非常关注这个事情,就做了外资企业在中国如何使自己合法合规。
我们一直以来观点就是有法律法规比没有法律法规要好,这次网安法出来以后,配套的规则征求草案其实还有很大进步,我们作为外资企业首先是合法合规,有法可依。
我们可以看得出,今年和之前2017年的几个版本比起来有非常巨大的变化,一方面是各个有关企业都做了反映,实际上我们和有关部门都做了大量沟通,关于网络安全法的合规合法操作的问题。2017年的版本不仅是包括个人信息出境,也包括重要数据出境,其实那个规定实际上是两个方面都有,今年版本做的切割,这个也和我们当时反映是一致的,我们希望分开处理,比如像日常需要的跨境电子商务每天做的数据操作,可能和真正的基础信息服务供应者提供的数据是完全不同的类型。
找到力的平衡点,是大家最后会妥协的地方,我们看到新的个人信息保护里面讲得比较清楚,不再要求把数据一定放在中国,但是你应当把你所做的跨境数据的传输,哪些个人信息,怎样操作,申请备案,其实这是更靠操作性的,各方面都能够解决的操作可能性。
另外实际上我们一直以来,我们国家是实际正义的国家,假如你业务本身是有利于国家经济发展的,有利于行业发展的,可以更多和有关部门直接做一个沟通,告诉他们实际上遇到的困难,我们怎么帮助政府一直解决这个问题,以后外资企业还是中资企业,本质是解决问题,以合法合规的方式解决所有问题。这是我今天想要分享的。谢谢。
张丹
感谢时总和翟总,从两位法总的分享来看,在本地存储这个事情上还是尽量要做到本地存储,从企业实操层面看,网络安全法中的本地存储的概念要扩大。另外对于数据跨境传输目前还没有明确的监管要求,还是处于沟通或者是在探讨的阶段。
刚才翟总分享了积极拥抱监管,主动和监管沟通,告知监管他们在业务过程中遇到的困难和应该怎么做,可能监管也不一定知晓应该怎样监管,所以目前的阶段还是处于相互沟通和理解的阶段,可以这样理解吗?翟总?
翟青
我们跟监管的沟通一直在进行,包括其实这个新的6月13日文件出来以后,我们也在做沟通,是不是给一个两年的过渡期也好,我们也希望有关企业尽量和有关部门做沟通,把这个事情一起做好,因为本质上来说,所有的商业本质都是建立一个生态环境,让所有人都可以更好的做好这个游戏,取得自己的盈利,谢谢。
张丹
感谢两位法总的分享。下面是我们第二个问题,大家知道暴风整顿的行动让很多大型大数据公司都停止了爬虫业务,目前都在做整改,爬虫到底是一个什么样的东西?它在合法合规性上有什么问题?也希望得到各位嘉宾的分享。首先从邓总开始。
邓扬
大家下午好,作为一个互联网行业工作超过10年的法律工作者,其实我在每个企业都遇到过数据被扒取的问题,现在有整改的事件,其实就我个人工作者的角度来说,十年来,整个环境对被爬取的企业来说改善是不大的。
不知道多少人了解爬虫这样的,我称为灰色产业链,一个是个人可以破扒取的,包括小的团队,包括具体卖数据产品以及有成熟的变现模式,成为中小企业的公司,已经形成了非常完善的链条,而且他们有高速有效的变现手段,我自己不管通过刑事还是民事打听过,有五家左右这样的企业,后面嘉宾可能讲到,在具体的爬虫当中,你可以具体锁定到打击的对象已经很难了,其实你追溯的只是一个IP,这个IP是自然人还是公司,甚至连ip都无法获得,锁定违法主体是非常难的。
大家更多看到的是民事案件,民事案件当中的主体,大家比较熟悉的微博的案子,百度和大众的案子,都是知名品牌,不仅爬取了数据,还以非常公有的方式展示,我就是用了你的数据,这样的形式是比较容易直接追究民事责任。
我做的案子当中,我尝试过追刑事责任的方式,但是我严格来说,是比较困难的。现在大家爬的很多数据,并不会突破本身的侵入性的数据,突破你的技术上的防御措施,所以它没有涉及计算机的刑法法条犯罪。比如淘宝,爬取的不管是用户评论还是sku的数量,这是大家在网页上都可以看到的,只是用机器的手段爬取。
另外包括你通讯过程当中,没有加密的手段,包括多少人浏览你的网页,多少独立UV,这种数据通过爬虫,整个爬取会形成有商业价值的数据,最后它能在市场上被有需要的消费。第一包括可能很多人爬淘宝数据,看我这些领域内哪些商品是卖得好的,还有竞争对手扒取对方的数据这样的行为,只要在它没有触及到刑法犯罪的情况下,我们只能用民事的手段追究,民事手段追究最大问题就是你的损失实际上是难以统计的。根据我的一个刑事打击的经验,刑事上,你可以把账本、计算机记录全部调出来,卖了多少货收了多少钱一清二楚,非常高效统计作为违法所得。但是民事手段做不到,爬虫行业经典的案例,如果大家有关注到,最高小几百万。
现在爬虫,民事纠纷个人判赔金额是非常低的,像大众和百度的案子判三百万,对于这个判决我认为起不到遏制爬取的作用,很多爬别人的数据我没有原始数据,但是我需要把系统建起来,我需要用别人的数据,很快把我用户吸引过来,把我的产品搭起来之后,营收可以跑起来,但是我们知道整个诉讼程序性的时间,判决时间,到最后的判下来一两年是要的,一两年之后对百度这样的体量公司,最后判决这个金额,对它来说是微不足道的,但是对它带来的收益实际上是非常大的,这是很大公司才可以判数百万的金额。很多小公司都是几十万的,对于我们这样的企业,有很多被爬取的情形,我们诉诸法律有一点吃力不讨好。
面对这样的情况下,企业可以做什么呢?我们现在其实主要三种手段,第一就是诉讼,刚才提到了,刑事的你做不到,因为没有破坏你的数据。第二以正当竞争、侵权等案由提起民事诉讼,这样判赔是相对低的,大公司一两百万可以追回来,但是对小公司来说你判几十万就把公司注销了,换一个牌子再开始做。
其实现在很多企业真正考虑到成本的角度,也就只能无奈的,包括我们会改ROBOTS协议,加很多标签,有反爬取的提示,但是现实生活中是阻拦不了真正扒你数据的商家的灰产。
第三就是反扒取的手段,大家可以网上看,其实反扒取有很多论坛的,大家说我要爬淘宝哪一个区,我要爬什么数据,淘宝、微信有非常完善的反扒取的机制,包括一个IP登次数多了,会限制IP等,这是需要非常高的技术成本的,本身如果是需要做这样的措施,是对企业成本提高得非常高。
因为淘宝有自己的数据产品,它其实可以把数据打包卖出去,其实它是覆盖成本的,但是很多中小企业是做不到的,所以这样的背景下,我们经常想合规,我们能做什么?严格来说,现在法务可能可以做的事情是相对比较有限的,只是在诉讼或者明确竞争对手情况下,我们还是会利用法律的武器。
未来我们很关心行业发展的,整个监管的导向,因为我觉得可能这个不完全是法律问题,是经济问题,这些数据在谁手上用得更好一点。另一方面,企业为了防御爬取数据的行为,可能会花更多的成本,反爬取成本是非常高的,这个真的只有bat这样的体量的公司才能够承担反扒取的技术成本。在这个方面,是增加了整个社会的成本,这样的话,这到底是数据灵活使用的收益和这个企业增加成本谁会更多一点,我也很关注未来监管的,司法实践的倾向和指引。
张丹
感谢邓总的分享,邓总站在被扒取企业的角度讲到了实操过程中的风险和处理难度,这也是对被扒取企业的法务给到了一些很好的建议。
有请翟总分享一下在这个问题上,ebay有什么好的看法?
翟青
实际上爬虫我们以前做了很多研究,在我国基本上涉及的刑事犯罪可能性主要是四个方向:侵犯知识产权、侵犯个人信息、侵犯商业秘密、破坏计算机系统获取数据,主要是这四个方向。
我是非常同意现在这个概念,其实你做成这样的刑事案件是比较难的,从公权力使用上,目前的整治爬虫并不是想杜绝爬虫的合法使用而是从整个信息来源角度考虑解决明显的侵犯个人隐私等问题。可能大数据整理完以后,爬虫的情况还会继续存在,当然从我们亿贝作为平台来说,要看自己价值定位,你到底是什么公司,需要什么生态链,你是怎么看待竞争的,这是每个公司不同的。
这个我只能说是行业内大家研究的道德规范,并不是作为法律或者合同性的业务让所有人接受,而且每个公司所处的公司不一样,有的中小企业需要野蛮生长,如果没有野蛮成长的环境,就没有今天了。我们法治像今天这样好,很多巨头不会成长成今天的样子。我们业务部门、全球部门这个事情做了很多讨论,我们觉得生态链里面有竞争对手,生态链里面有其他人,可能会使我们做得更好。
张丹
谢谢翟总,在美国最近有一个HIQ诉LinkedIn的案子,二审法院目前认定扒取公开数据是合法的,其实这个案子也体现了美国的监管思路,如果限制扒取公开数据,会不会影响创新,造成更强的垄断?可能还需要从社会公益的角度考虑这个问题,不单单是从被扒取企业的商业利益来考虑这个问题。我们再请时总分享一下个人观点。
时俊贤
我顺着邓总的观点往下说,我很赞同邓总的观点,如果为了制止数据截取或者信息截取,采取技术措施的成本其实是很高的。反过来说,邓总的观点其实蕴含着另外一层意思,技术上要治理这种未授权的数据信息截取,是可以不到的,从高通本身的实际操作经验来看,也是可以做到的。对这一点,我呼应一下。
今年上半年《数据安全管理办法》征求意见稿中对网络爬虫有了明确的限制。我觉得这代表了立法者对未来信息数据的安全或者网络爬虫态度是非常清晰的。下一步就是看执法者本身在这方面的做法了,随着新规的生效,我相信会有更多的民事诉讼案件会出来的,以维护自己的权益。限制网络爬虫至少技术是可行的,需要考虑成本的问题,这是我呼应邓总的观点。
张丹
我们再请朱总分享一下你的观点。
朱浩江
我来自传统的行业,对于爬虫如果我们换个角度看或许会有所不同。“被爬其实是一种荣幸”,只有你在行业中处于领先地位,才会有人觊觎你的数据,才会爬你的数据。
放眼世界,有些创新公司其业务发展思是不断有新的业务领域从无到有、从小到大的不断生长。那些新业务不断生长,老的业务不断被替代,这就是商业的本质。任何公司,无论是小公司还是跨国企业,从生到死或许是一个不可逆的历史规律。
现在的爬虫技术已经运用于各行各业,很多公司在经营过程中需要去了解一些行业、产业、竞争对手的数据,通过爬虫获取数据是一种通行的做法。养机器人、使用爬虫也好最重要的是看其目的是什么。
对于公司法务而言,面对技术的快速发展其实是面临很大挑战的:第一、法务需要了解技术,成为技术驱动型的法务。对于爬虫这个法律问题的研究,法务需要了解爬虫是什么,了解ROBOTS协议是什么。唯有在理解这些IT技术之后,法务才能与技术人员进行有效的对话,了解技术细节才能提供有价值的法律服务。第二、法务要有前瞻性视野。
尤其是在技术高速发展的今天法律法规政策层面存在诸多不确定。法务需要面向未来,在解决当前问题的时候多去思考未来和过渡期的问题,与技术团队进行充分交流和沟通,同时站在公司的全局看问题,着眼于能够更健康促进整个生态的发展,并兼顾公司的经营成本,因为公司一方面需要承担社会责任,另一方面公司也是营利性的机构,需要关注成本、效率和未来业务增长点,这也就是我们经常提到的法务需要培养商业理念和商业思维。
张丹
感谢朱总,从战略的高度分析了这个问题,也非常感谢各位法总在这个问题上的分享。
最后一个问题是台下的法务小伙伴非常关注的问题,在这些企业里面,法总如何协调或者领导数据合规工作的开展,如何与外部律师协调,如何考虑商业利益和合规成本之间的平衡?因为时间的关系,请每位法总用一到两分钟回答一下。
朱浩江
这个领域对法律人而言是全新的领域,
公司法务把数据合规业务做好,需要兼顾商业、技术和法律,三者缺一不可。数据合规团队总体上需要深入业务第一线,需要了解业务,比如公司会在哪些环节会收集客户个人信息?具体而言包括哪些客户触点?公司怎样存储个人信息?采用了哪些技术手段?如何在不影响业务的前提下以及兼顾技术可实现的前提下满足数据最小化、本地化存储等合规原则。这些只有你真正了解了技术、了解了业务后,才能提供又价值的法律意见。
第二公司法务和外部律师最大的不同是思维方式。外部律师的意见主要是法律意见,其更侧重于法律上的判断;内部法务需要给内部客户和管理层提供的是一整套业务、技术、商用综合性的解决方案。
对于数据合规这一新兴领域法律规定的确定性相对而言是比较弱的,有些规定在执行上并不清晰。对于那些不清晰的部分,法务需要与外部律师及政府主管部门从法律法规规定和执行角度进行充分和有效的沟通,寻求解决之道体现法务的价值。
张丹
感谢朱总,律师也是要在法务的引导和协调下,更加懂得业务才可能提出更好的法律意见。下一位请时总分享一下。
时俊贤
关于第一个问题,我很赞同朱总的意见,in-house和lawfirm不一样。Inhouse对自己企业的业务模式以及你所处的行业的经营模式,应该是有非常深刻的理解和认知的,这个基础上,你作为inhouse本身,你可以去协助和支持业务部门往前走,去实现商业目标,这是基本的,这也是一个优秀的In-house所需要具备的。
第二个问题,关于法律合规和业务发展之间的平衡性问题,我觉得这是一个设计的很好的问题。就高通本身来说,律师和业务部门并不存在矛盾性的问题,因为律师团队本身就是作为业务团队的一部分在推动业务尤其是许可业务往前走,这个问题对高通本身不是什么问题。谢谢。
张丹
下一位请翟总分享。
翟青
数据合规对我来说为什么重要?
因为中国卖家产品卖到一百多国家,我们需要符合中国现在网安法,符合各个国家的规定,我们重要是抓好两件事情,第一产品开发我们人员要过来一起看看,这个信息收集与使用到底是怎么样的。第二市场流程当中设置一些我们所说的操作流程规章和底线,在这个节点上做好把控,重要的这是两点,其他很多东西碍于时间关系,就不多说了。张丹
下面请邓总说一下。
邓扬
我们法务,目前工作第一是采集,第二是存储,第三是使用。采集的话,包括采集哪些数据,这个一定要和业务沟通,克制他们过分采集的冲动,很多应用,像访问聊天通讯,短信很多东西都采集了,我们觉得是有必要的应用场景才需要采集数据,另外反采集的问题,用户说我不想让你采集这个数据,用户是可以选择的,而我们现在大多数都是注销,每个账户的注销,设置了很多权益,甚至真金白银的货币,都是挺麻烦的事儿,所以这一系列我们都需要做合规。存储我们可能没有跨境的的问题,这也不完全是法律,还有技术方面,黑客的攻击,包括内部人员有没有道德风险,会拷贝你的数据,会对外销售。技术和法律层面怎样预防存储中可能会涉及到的数据泄露。
另外是使用,脸书和剑桥使用就是合同形式,过去有些公司会互相交换用户引流,这可能涉嫌泄露了用户隐私数据,涉及到用户隐私我们怎么管理,这方面法务可以做很多工作的,你要对业务审核,谨防一些数据会产生泄露,这是我们要做的工作。
张丹
各位法总都表达了一个共同的观点,就是,无论法务还是外部律师都应该了解企业的业务,跟技术做深入沟通才能更好完成数据合规工作,才能提出更落地的法律建议。
现在剩下大概五到十分钟左右,是我们的提问环节,台下小伙伴有任何问题,可以直接举手提问,我们台上嘉宾会给大家一个解答。
观众
各位老师好,在集团公司里面的子公司从事SAAS软件有个人信息获取或者归属等问题。那软件运营主体及体系内的公司所有,这个合法性合理性有什么归置的办法?我问一下邓总?
邓扬
我长话短说,你说能不能用协议把这个存储进行约定,两种:第一你约定了会不会有风险,假如点评商户上上传的照片什么之类的,是不是上传到我平台就归我了,可能这个内容本身是侵权的,一旦协议约定了权属很可能承担其产生的责任。另外,付不付对价的问题,不是这个东西放在你的平台上,必然权利归属给了你,因为这是格式条款,这个实际上如果没有支付对价情况下,很多场合后续会被挑战的。
如果你在和用户交互过程中,你是给用户提供有价值的服务,有投入,那在权属清洁的情况下,是有可能通过用户协议约定获得相应的知识产权的。
张丹
时间关系,数据合规分论坛就到此结束。各位嘉宾可以站起来一起来张合影。
閱讀更多 CCA公司法務聯盟 的文章
