“合法”強調的是一種“法律評價,“擁有”強調的是一種事實上的權屬
狀態,即所獲取的數據來源是合法的。“來源合法”主要以是否違反法律法規
的禁止性規定來判斷的。如《數據安全法》第八條規定“開展數據處理活動,
應當遵守法律、法規,尊重社會公德和倫理,遵守商業道德和職業道德,誠實
守信,履行數據安全保護義務,承擔社會責任,不得危害國家安全、公共利益,
不得損害個人、組織的合法權益”;《個人信息保護法》第二條規定“自然人
的個人信息受法律保護,任何組織、個人不得侵害自然人的個人信息權益”;
《刑法》第二百八十五條,關于非法獲取計算機信息系統數據罪、非法控制計
算機信息系統罪的規定等。
數據來源的合法性可以分別從幾個維度進行分析:A. 公共數據(包括不予
開放、有條件開放、無條件開放的公共數據)、B. 企業數據(包括企業的公開
數據、企業收集的非個人信息數據)、C. 個人信息數據。
A. 公共數據來源合法性規則及判斷
23
近年來,我國對公共數據的合理利用有了越來越明確的法律、政策保障。
由于公共數據體量龐大,且蘊藏巨大的經濟和社會價值潛力,國家鼓勵社會深
度利用公共數據,創造經濟價值。2022 年 12 月國家正式發布的《關于構建數據
基礎制度更好發揮數據要素作用的意見》中強調,對各級黨政機關、企事業單
位依法履職或提供公共服務過程中產生的公共數據,加強匯聚共享和開放開發。
關于無條件開放的公共數據。企業或個人在收集數據時除了依照法律規定
進行收集外,還需要注意政府公共數據開放平臺中提供的《網站聲明》《數據
開放授權許可協議》《版權聲明》等內容。例如,浙江省人民政府的數據開放
平臺在《浙江省數據開放平臺數據開放授權許可使用協議》中約定,用戶在使
用本平臺數據資源所產生的成果中應注明公共數據資源來源為“浙江省數據開
放平臺”,“從平臺下載的日期”以及“用戶義務是本許可的重要條件,如未
遵守以上要求,則根據本許可授予的權利將自動終止,用戶應立即刪除相關數
據并停止服務”等條款。其中,“用戶義務”包括用戶基于本平臺公共數據資
源開發的各類應用和服務,應遵守有關法律、法規和規章的規定,不得用于任
何可能危害國家安全和社會公共利益、侵犯商業秘密和個人隱私或其他不正當
的用途;不得對本平臺進行技術性破壞,不得干擾或妨害浙江省數據開放平臺
提供正常的互聯網服務等。因此,數據開發利用主體在使用公開的公共數據時
也是受相關公共數據開放平臺的平臺服務協議約束的,數據收集時如違反相關
協議條款,則可能導致數據來源不合規。
對于有條件開放的公共數據。開發利用的方式主要有兩種:(1)協議許可
使用。由具備數據利用能力的個人或組織向公共管理和服務機構提出申請獲取
限制開放或有條件開放的公共數據,經同意并簽訂數據許可使用協議后實施數
24
據加工;(2)授權運營。由公共管理和服務機構通過設立國有資本運營公司,
或直接與被授權運營主體簽訂特許經營協議的方式開展公共數據授權運營。在
這兩種模式下,被授權的企業應嚴格按照授權許可協議約定的數據范圍、使用
目的、開發利用方式和數據安全義務進行合理開發利用,對于超范圍、超期限
使用、超出約定目的開發等行為,則會導致獲取的公共數據來源不合法。
對于不予開放的公共數據。通常是依法依規予以保密的公共數據,應嚴格
管控此類原始公共數據直接進入市場。企業或個人不得通過技術手段進行非法
獲取或利用。
B. 企業數據來源合法性規則及判斷
關于獲取企業公開數據的來源合法性。當前主要集中在數據收集主體利用
相關軟件和技術手段在他人網站中對已公開的數據進行自動抓取(俗稱“爬蟲”)
上。從國內外的司法實踐來看,對于數據爬取是否具備合法性的問題主要體現
為:第一,是否違反他人網站上的數據訪問控制措施或協議約定的范圍;第二,
公開數據的邊界界定;第三,該數據的使用目的正當性;。
第一,訪問合法性。備受關注的美國 hiQ 訴 LinkedIn 案件中,LinkedIn 公
司作為全球最大的職業社交網站,hiQ 公司利用用戶在該網站上創建個人資料時
選擇的“整個公眾可見”的規則,通過從 LinkedIn 頁面中抓取用戶公開的職業
數據,并對該公開職業數據進行深度處理后進行銷售盈利。LinkedIn 公司曾經
多次告知 hiQ 公司未經同意抓取 LinkedIn 用戶公開職業數據的行為違反《美國
計算機欺詐和濫用法案》(Computer Fraud and Abuse Act,CFAA),并采取
措施阻止 hiQ 公司對其用戶公開職業數據的抓取。于是,hiQ 公司向加利福利亞
北部地區法院起訴了 LinkedIn 公司,訴稱 LinkedIn 公司阻止其訪問用戶公開
25
26
數據的行為是將數據私有財產化的不公平商業行為,是一種壟斷行為,違反了
托拉斯法與加州反不正當競爭法。
地方法院經審理后,頒布了初步禁令,要求 LinkedIn 不得限制 hiQ 的資料
抓取行為,并認為 hiQ 的行為并未觸犯 CFAA,接著 LinkedIn 即提出上訴,第九
巡回上訴法院在 2019 年支持地方法院的判決。其認為,一般情況下,當計算機
網絡允許公眾訪問其數據時,根據 CFAA,用戶訪問該公開可用數據可能不構成
未經授權的訪問。hiQ 尋求訪問的數據不屬于 LinkedIn 所有,也沒有被 LinkedIn
使用此類授權系統標定為私人數據。LinkedIn 于 2020 年再上訴到最高法院,最
高法院則要求上訴法院重新審理解決 CFAA 的責任問題。該案在 2022 年 12 月 6
日終于塵埃落定,法院最終認定,由于 LinkedIn 的用戶協議明確禁止抓取其網
站和創建虛假個人資料,hiQ 違反了 LinkedIn 的用戶協議以及創建虛假個人資
料行為違法,最終裁決要求 hiQ 向 LinkedIn 賠償 50 萬美元,并在法律允許的
最大范圍內通過了一項永久禁令,包括禁止:在未經同意下直接或間接通過自
動化方式訪問或復制數據,根據從 LinkedIn 獲取數據而產生的開發、使用、銷
售等行為,永久刪除所擁有、保管和控制的 LinkedIn 會員資料數據,等共計六
項禁止行為。該案的系列判決在對于收集企業公開的數據規則及認定上,在世
界范圍內有一定的影響和借鑒意義。
第二,數據公開的界定。在北京微夢創科網絡技術有限公司訴某科技公司
抓取微博數據案件((2017)京 0108 民初 24512 號)中,北京市海淀區人民法院
認為,對于微夢公司未設定訪問權限的數據,應屬微夢公司已經在微博平臺中
向公眾公開的數據;例如,用戶在未登錄狀態下即可查看的新浪微博,系博主
本身未限制他人瀏覽且微夢公司未通過登錄規則等措施限制非用戶瀏覽的數據,
即為微博平臺中的公開數據。但對于微夢公司通過登錄規則或其他措施設置了
訪問權限的數據,則應屬微博平臺中的非公開數據。對于不公開或者半公開的
數據,要獲取該數據必須獲得數據權利人授權,否則不僅構成侵權,情節嚴重
的,還可能構成犯罪。
第三,數據使用目的正當性。在某點評軟件與某科技公司不正當競爭糾紛
一案中((2016)滬 73 民終 242 號),法院指出,Robots 協議只是關于搜索引
擎抓取網站信息的行為是否符合公認的行業準則的問題,而搜索引擎抓取網站
信息后的使用行為是否合法,應該在法律上進行明確規制,即該科技公司對于
網站信息的使用應該符合《反不正當競爭法》的相關規定。在本案中,科技公
司的搜索引擎抓取涉案信息的行為雖然沒有違反 Robots 協議,但不意味著抓取
信息后任意使用點評軟件平臺上的點評信息的行為是合法的,科技公司應本著
誠實信用的原則,遵守公認的商業道德,合理控制來源于其他網站的信息的使
用范圍和使用方式。可以看出,對于抓取的數據使用不當,也同樣可能影響數
據資產確認時來源合法性判斷。
關于企業收集的非個人數據來源合法性。企業收集的非個人數據包括,企
業自身經營所產生的數據如設備運行數據、管理數據等;通過設備直接采集的
水文、氣候、地理測繪數據等。企業自身經營產生的數據表面上不需要討論來
源合法的問題,但需要注意的是無論是數據資產入表,或數據資產交易流通,
登記或審查部門也可能要求企業提供其設備信息、數據庫模型、客戶數據及運
維日志等用以證明數據的“權屬”,故企業應采取多種技術手段,對上述方式
所產生的數據保存好相關的數據收集鏈路證明,以備需要時能夠自證數據來源。
27
而對于企業通過設備直接收集的非個人數據,此類數據來源于客觀世界中,
通常并不像其他類型的數據有直接明確的主體,數據采集方通常認為無需向誰
獲取授權,也不存在數據采集合法性的問題。而這也往往是企業容易忽略的問
題,因為這些數據的獲取,多數均需要向相關的主管部門申請或報批,且往往
在數據采集的合法要求上,注意義務會更高,如收集該類數據時違反所屬行業
的相關法律規定,則除了影響數據合法性外還可能承擔相應法律責任。
例如,國家測繪地理信息局《關于規范衛星導航定位基準站數據密級劃分
和管理的通知》規定,實時差分服務數據屬于受控數據,采取用戶審核注冊的
方式提供服務,其中提供優于 1 米精度服務的,基準站數據中心管理部門審核
注冊后應向省級以上測繪地理信息行政主管部門報備用戶及使用目的等信息;
《測繪法》第八條規定外國的組織或個人在我國領域和我國管轄的其他海域從
事測繪活動,應當經國務院測繪地理信息主管部門會同軍隊測繪部門批準,并
遵守中華人民共和國有關法律、行政法規的規定,必須與我國有關部門或單位
合作進行,且不得涉及國家秘密和危害國家安全;高精地圖的數據采集等測繪
活動須由具有導航電子地圖資質的單位進行;國家自然資源部《關于加強自動
駕駛地圖生產測試與應用管理的通知》規定自動駕駛地圖的數據采集必須由導
航電子地圖制作單位單獨從事所涉及的測繪活動,汽車企業等合作方不能直接
參與測繪和數據采集環節;再如,《中華人民共和國氣象法》規定國務院其他
有關部門和省、自治區、直轄市人民政府其他有關部門所屬的氣象臺站及其他
從事氣象探測的組織和個人,應當按照國家有關規定向國務院氣象主管機構或
者省、自治區、直轄市氣象主管機構匯交所獲得的氣象探測資料。根據以上列
28
舉的相關規定,企業需要注意,應遵循自身所屬行業的法律規范采集數據,否
則可能導致數據來源非法。
此外,組織擬通過交易獲取的數據,應充分對擬交易數據資產進行盡職調
查,評估數據來源的合法性,避免因數據供方數據源污染導致自身權利損害.在
數據交易中對于無法判斷數據來源真實性合法性的情況時,應盡可能要求對方
提供聲明、承諾、保證等保障數據來源的合規性,并且在數據交易協議中盡可
能地詳盡約定雙方的權利義務,避免因違反數據交易協議導致數據資產價值實
現的風險不可控。
C. 個人信息數據來源合法性與個人信息確權授權機制
個人信息作為數據資產化中的重要數據要素,蘊藏著巨大的經濟價值,幾
乎絕大多數據資產中都包含著個人信息。2022 年 12 月國家正式發布的《關于構
建數據基礎制度更好發揮數據要素作用的意見》中,明確強調“以習近平新時
代中國特色社會主義思想為指導,深入貫徹黨的二十大精神,完整、準確、
全面貫徹新發展理念,加快構建新發展格局,堅持改革創新、系統謀劃,以
維護國家數據安全、保護個人信息和商業秘密為前提”,并在意見中,多
次提出了要建立健全的“個人信息確權授權機制”。這意味著數據資產化
時,對包含著個人信息的數據資源,組織應有更高的注意義務。而個人信息
數據來源合法性這一法律問題上一直是備受各界關注的實務難點問題,也是本
章重點要分析的內容。
“同意”是個人信息來源合法性基礎
對個人信息處理時,用戶是否“同意”是個人信息處理者處理個人信息的
前提條件,也是評估“合法、正當、必要和誠信”基礎原則中最為重要的問題。
29
在《民法典》前時代,基于用戶“同意”處理個人信息處理是最顯性的合法性
規則,也是當時最簡單有效的實踐。直到現在,大量明確具有法定義務或法定
職責的數據產品也仍然習慣于通過“同意”方式獲取合法性基礎,基于非同意
而構建合法性基礎仍然需要一段時間的適應期。
但實踐當中,大量的組織在該環節卻難以獲得用戶的同意,用戶通常只愿
意提供個人信息以便于產品和服務的使用,但卻本能地拒絕同意組織使用所收
集的個人信息用于研發企業的數據產品,甚至將其投入市場交易以賺取利潤,
畢竟用戶并未有效從中獲得直接或間接的經濟效益。另一方面,根據法律法規
的規定,在未有合法性基礎的情況下,企業也不得擅自處理個人信息,否則該
類數據產品即使投入市場也將面臨負面的法律苛責,也無法通過相關部門對于
數據來源合法性的審查。
《民法典》第九百九十九條延伸規定了“為公共利益實施新聞報道、輿論
監督等行為的……可以合理使用個人信息”,第一千零三十五條規定了“但是
法律、行政法規另有規定的除外”以及“公開信息”和“維護公共利益或者該
自然人合法權益”情況下合理處理個人信息的合法性基礎。《個人信息保護法》
出臺又進一步擴大了合法性基礎的考量,明確增加了包括訂立合同、履行法定
職責等在內的 7 類合法性基礎。這是《個人信息保護法》的重大創新,有力地
打破了以往完全依賴于“同意”機制獲取數據處理合法性基礎的桎梏,平衡和
經濟效率、社會公平和個人保護之間的矛盾。
從《個人信息保護法》合法性基礎的順序編排及表達方式來看,不難得出
其極大地借鑒了 GDPR 第 6 條“處理的合法性”條款的結論。但相比較于 GDPR
第 6 條“處理的合法性”條款,我國《個人信息保護法》并沒有借鑒該條下“(f)
30
數據處理者是為實現控制者或者第三方所追求的合法利益所必需……”的合法
性基礎。在其范式下,企業可以基于研發企業數據產品或改善數據產品等原因,
而直接處理用戶的個人信息,卻無須獲得用戶的授權同意。
歐盟《通用數據保護條例》序言 (47)、(48) 和 (49)中將“防止欺詐”、
“直接的商業營銷”、“集團內部管理”以及“網絡和信息安全”四類處理行
為明確視為個人信息處理者的合法利益。2014 年 4 月 9 日,歐盟第 29 條工作組
發布的《關于第 95/46/EC 號指令第 7 條下數據控制者合法利益概念指引》將“執
行法律索賠”等列為了一項合法利益。然而,選擇以“實現控制者所追求的合
法利益”作為合法性基礎須實施必要的利益平衡評估,以確認其選擇的合法利
益不會凌駕于更高位階的合法利益之中。正如歐洲議會在 2021 年 3 月 25 日發
布的《關于 GDPR 實施兩年后執行情況的評價報告》中所坦言:“合法利益經常
被濫用作為處理的法律依據”,興許也正因為合法利益的確認是一項極高復雜
度的合規評估事項,也容易被聰明的市場主體濫用,我國《個人信息保護法》
并沒有加以援引。
“知情告知”是授權同意的前提
根據我國目前的法律規定以及行業實踐,個人信息的收集和使用以得到用
戶同意授權為普遍性存在。對于單個的個人信息而言,用戶是真正的控制者,
具有授權資格。企業經過協議許可擁有用戶與個人信息相關的協議條款規定范
圍內的使用權。但是,用戶之所以會實施“同意”一定是在充分的知情權保障
條件達下達成的,否則同意的效力則可能視為無效。
我國《個人信息保護法》第十四條規定,基于個人同意處理個人信息的,
該同意應當由個人在充分知情的前提下自愿、明確作出。第四十四條另外規定,
31
個人對其個人信息的處理享有知情權、決定權,有權限制或者拒絕他人對其個
人信息進行處理;法律、行政法規另有規定的除外。因此,我國往往將知情權
和決定權合并予以考慮,知情權往往通過“告知”規則實施而得以保障,而決
定權往往通過拒絕同意、拒絕一攬子同意、撤回同意、刪除權等措施而得以保
障。
《個人信息保護法》規定了知情權的基本范疇,包括(一)個人信息處理
者的名稱或者姓名和聯系方式;(二)個人信息的處理目的、處理方式,處理
的個人信息種類、保存期限;(三)個人行使本法規定權利的方式和程序;(四)
法律、行政法規規定應當告知的其他事項。當然,對于敏感類個人信息的處理,
可能還需要另行告知相應的影響及風險。因此,知情及同意不僅包括信息主體
對收集信息內容的知情,還包括對收集、使用的目的、方式和范圍的知情及同
意。知情同意的質量,可以從信息處理者告知信息主體的“透明度”來衡量,
即一般理性用戶在具體場景下,對信息處理主體處理特定信息的目的、方式和
范圍知曉的清晰程度,以及作出意思表示的自主、具體、明確程度。2022 年 12
月正式發布的《關于構建數據基礎制度更好發揮數據要素作用的意見》中明確
強調要建立健全個人信息數據確權授權機制。對承載個人信息的數據,推動數
據處理者按照個人授權范圍依法依規采集、持有、托管和使用數據,規范對個
人信息的處理活動,不得采取“一攬子授權”、強制同意等方式過度收集個人
信息,促進個人信息合理利用。探索由受托者代表個人利益,監督市場主體對
個人信息數據進行采集、加工、使用的機制。對涉及國家安全的特殊個人信息
數據,可依法依規授權有關單位使用。
32
33
知情權模塊 知情權內容
個人信息處理者
組織的名稱和聯
系方式
告知明確的個人信息處理者,以及個人如何聯
系個人信息處理者。
處理的目的
解釋個人信息處理者為什么使用個人信息主體
的個人信息并明確不同的目的,使用個人信息有很
多不同的原因,典型的目的可能包括營銷、訂單處理
和員工管理等。
處理的合法依據
解釋個人信息處理者收集和使用個人信息主體
的個人信息和/或特殊類別數據所依賴的合法依據。
個人信息的接收
方或接收方類別
明確個人信息處理者與誰共享個人信息主體的
個人信息。
將個人信息傳輸
到任何第三國或
國際組織的詳細
信息
如果個人信息處理者將他們的個人信息傳輸到
境外任何國家或組織,須履行必要的法定義務。
個人信息的
存儲期限
個人信息處理者將存儲個人信息的期限,如果
個人信息處理者沒有特定的保留期,那么個人信息
處理者需要告訴個人信息主體個人信息處理者用于
決定保留他們信息期限的計算標準。
告訴個人信息主體,他們在個人信息處理者使
個人在處理方面
用其個人信息方面擁有哪些權利,例如查閱、副本、
享有的權利
更正/補充、刪除、限制和數據可移植性。
個人信息主體可以隨時撤回對個人信息處理的
撤回同意的權利
同意。
向監管機構
個人信息主體可以向監管機構投訴。
投訴的權利
說明個人信息處理者是僅根據自動處理(包括
自動化決策說明 特征分析)做出的決定,這些決定對個人有法律或
類似的重大影響。
當然,知情權并非絕對,存在如下例外情況,一是當有法律、行政法規規
定應當保密或者不需要告知的情形的,可以不向個人告知相關處理事項。二是
特定情況下可以實施事后告知,例如緊急情況下為保護自然人的生命健康和財
產安全無法及時向個人告知的,個人信息處理者可以在緊急情況消除后及時告
知。
但實踐中面臨知情-同意制度的難點是,通過互聯網工具,如網站、APP、
小程序方式收集的個人信息,法律法規要求個人信息處理者履行知情同意原則,
但卻未能明確何種方式才能有效證明組織確實已實施告知并取得了用戶的同意。
而這將會影響到數據資產后續的會計確認以及交易流通,甚至也將影響數據資
產化、資本化的進程。如證監會目前針對涉及數據處理的擬上市企業,通常會
34
重點關注數據來源合法性的問題,此時個人信息授權鏈路將會關乎到企業上市
進程。
在實踐中,組織只要能夠證明用戶首次進入(產品)時均會彈窗提示(該
界面是用戶實施注冊中不可繞過的交互,即可證明組織已履行該告知義務,而
不必證明“特定用戶進入時點擊了彈窗”。因此,出于該界面的證據留存考慮,
組織可以在產品發布后,第一時間通過電子存證或公證處公證等形式,完整保
存該界面,用以說明產品設計中,彈窗是必經流程,否則用戶無法注冊。另外,
組織也可以通過引入第三方簽名服務方,對在線締結協議的形式和內容進行固
定。
企業在產品研發和改善運營的同時,須實施必要的數據埋點設計。特別是:
1)彈窗點擊環節(可生成特定 COOKIE 或信標,或者使用第三方 sdk 收集開發
者匿名設備標識符 VAID 和應用匿名設備標識符 AAID);2)用戶注冊勾選隱私
政策時;3)用戶點擊登錄產品的環節;4)重新同意環節。當實施數據埋點后,
若涉及到用戶的否認,企業也可以提交服務器后臺日志記錄,用以證明特定用
戶的點擊記錄,以此留存用戶同意授權的痕跡。
另外,關于數據來源合法性的問題,從數據資產會計確認的角度,關于數
據權屬的登記部門如何審查數據來源合法性問題,也應作為相關法律、政策、
標準文件需要關注的內容。
