文丨天元律师事务所 李晓华 郭云鹤
指导律师:刘瑛
前言
现今,越来越多的市场主体将数据资源加工、分析、整理,形成数据产品和服务(“大数据产品”)。与此同时,数据合规立法不断完善。国务院近期出台《网络数据安全管理条例》(将于2025年1月1日起施行),对现行有效的《个人信息保护法》《数据安全法》《网络安全法》等法律法规做了细化和补充。大数据产品提供者“点数成金”的同时,也应当关注并跟进数据合规相关法律要求,进一步提升合规管理水平。
大数据产品形态多样,例如信息核验类、精准营销类、信息报告类等。本系列文章按照大数据产品形态,结合即将生效的《网络数据安全管理条例》(“《条例》”),围绕大数据产品提供者关心的问题,以问答形式梳理大数据产品实务中常见的数据合规问题并提供建议。本期就信息报告类大数据产品展开。
信息报告类大数据产品
信息报告类大数据产品基于大数据技术对数据进行收集、整理、分析,从广泛、复杂的数据中提取有价值的信息,形成各类主题的信息报告,用于协助企业、政府机构或其他组织进行业务决策、行业及市场分析、政策制定等。按照信息报告的内容是否针对特定的个人、企业或组织等主体,信息报告类大数据产品可以分为针对特定主体的信息报告类和针对非特定主体的统计级信息报告类:
下面结合《条例》规定,梳理数据收集、加工使用和信息报告输出时应当关注的数据合规点,并简要分析征信类信息报告产品的合规要点和建议。
(一)数据收集、加工使用
信息报告类大数据产品的数据来源主要有公开数据、大数据产品提供方从自身其他经营活动中收集和产生的数据(“自有业务数据”)。大数据产品提供方将该等数据进行加工、使用和分析,形成各类信息报告。例如,企业信用报告大数据产品汇集工商、司法、行政处罚、招投标、知识产权、税务、财务、社保、公积金等多维度下的公开数据;又如,电力公司对其在提供电力服务过程中收集居民、企业用电数据进行分析,形成区域性的用电统计报告。
不同的数据来源、类型和收集方式需要关注的合规要点不同。实务中大数据产品提供方可能存在以下问题和困惑:
问题1:《条例》出台后,信息报告类大数据产品收集公开数据,在数据收集时需要关注哪些要点?
答:按照现行法律法规和《条例》,公开数据收集环节的合规主要从收集方式、收集内容两个角度把控。收集方式上,如果产品提供方利用“爬虫”等自动化采集技术收集公开数据的,应当符合现行法律法规和《条例》对自动化采集技术的要求。《条例》在反不正当竞争法、刑法等法律法规基础上,从网络安全、数据安全及个人信息保护角度对自动化采集提出了新的要求。大数据产品提供方需要从制度和实操两个层面落实相关合规要求。具体可参考上期文章《网络数据安全管理条例》出台,大数据产品数据合规怎么做(精准营销篇)中的“问题3”。此外,在收集内容方面,产品提供方需要关注收集、使用和加工相关公开内容是否侵犯他人合法权益。
问题2:收集、加工和使用哪些公开的内容可能会侵犯他人合法权益?
答:即使数据是公开可获取的,产品提供方收集、分析形成信息报告类产品时需要避免构成侵犯他人知识产权、构成不正当竞争或侵犯个人其他合法权益的风险。例如:
问题3:《条例》出台后,产品提供方将自有业务数据用于提供信息报告类大数据产品的,应当关注哪些要点?
答:不同类型的数据在收集环节应当关注的要点不同。《条例》在重申现行法律法规要求基础上,对个人信息收集做了细化规定,明确规定“集中公开展示告知”义务、“清单式告知”义务以及“取得个人单独同意”义务。因此,大数据产品提供方应当识别信息报告类产品需要使用的自有业务数据类型是否涉及个人信息,并在自有业务数据收集环节分别关注以下合规要点:
问题4:《条例》对数据的安全管理提出了哪些要求,大数据产品提供方应当如何落实?
答:《条例》在延续、细化了现行法律法规的数据管理要求的同时,对重要数据的处理者的数据安全管理提出了更严格、更明确的要求。
大数据产品提供方需要梳理自身数据合规管理制度(如有),对照《条例》新增、细化规定,更新、完善现有数据合规管理制度文件,将《条例》相关要求嵌入现有业务流程。
(二)信息报告输出
大数据产品提供方向产品使用方输出信息报告,应当遵守现行法律法规和《条例》对数据提供方的要求,主要包括:
《条例》第12条在上述要求基础上,对数据提供进行了细化和补充:
实务中大数据产品提供方可能存在以下问题和困惑:
问题5:信息报告的形成基于多渠道、多维度海量数据的整合。大数据产品提供方如何识别、判断有关数据是否属于《条例》所称的重要数据?
答:按照现行《数据安全法》《促进和规范数据跨境流动规定》等法律法规,重要数据目录由各地区、各部门制定;数据处理者应当结合相关规定识别、申报重要数据。
《条例》进一步从影响对象、影响程度两个层面对重要数据做出界定:“特定领域、特定群体、特定区域或者达到一定精度和规模”(影响对象层面),“一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全”(影响程度层面)的数据。
实践中,大数据产品提供方应当关注自身所在区域、行业的监管要求,结合实际情况识别、申报重要数据。目前,已有部分地区、行业开展了重要数据识别工作。例如,《汽车数据安全管理若干规定(试行)》明确汽车行业重要数据的范围;《中国(天津)自由贸易试验区企业数据分类分级标准规范》《中国(北京)自由贸易试验区数据分类分级参考规则》明确了重要数据识别标准和参考规则等。对于尚未明确重要数据目录或者识别标准的地区、行业,大数据产品提供方也需要提前参考《条例》对重要数据的定义,以及相关行业、地区现有的重要数据识别标准,预判自有业务数据、数据产品的重要程度,如有必要的,可以参照重要数据提前部署合规措施。
问题6:大数据产品输出的信息报告可能涉及重要数据的,应当遵守《条例》哪些要求?
答:按照《条例》第12条、第31条,对于信息报告可能涉及重要数据的,大数据产品提供方应当履行以下义务:
输出信息报告前应当进行风险评估;
通过合同等与大数据产品使用方约定处理目的、方式、范围以及安全保护义务等,并对产品使用方履行义务的情况进行监督;
对产品提供方向产品使用方提供重要数据的处理情况记录,应当保存至少3年。
大数据产品提供方还应当注意的是,按照《条例》第16条,网络数据处理者为国家机关、关键信息基础设施运营者提供服务,或者参与其他公共基础设施、公共服务系统建设、运行、维护的,未经委托方同意,不得访问、获取、留存、使用、泄露或者向他人提供网络数据,不得对网络数据进行关联分析。
问题7:风险评估应当评估哪些事项?
答:按照《条例》,重要数据的处理者提供重要数据前,应当进行风险评估,但是属于履行法定职责或者法定义务的除外。风险评估应当重点评估下列内容:
1
大数据产品提供方输出信息报告,以及大数据产品使用方使用信息报告的目的、方式、范围等是否合法、正当、必要;
2
提供的信息报告数据遭到篡改、破坏、泄露或者非法获取、非法利用的风险,以及对国家安全、公共利益或者个人、组织合法权益带来的风险;
3
大数据产品使用方的诚信、守法等情况;
4
与大数据产品使用方订立或者拟订立的相关合同中关于数据安全的要求能否有效约束产品使用方履行数据安全保护义务;
5
采取或者拟采取的技术和管理措施等能否有效防范数据遭到篡改、破坏、泄露或者非法获取、非法利用等风险。
问题8:大数据产品提供方要对信息报告内容的真实性、准确性负责吗?
答:大数据产品提供方应当通过数据复核、交叉验证等多渠道和方式核验信息报告内容,对其真实性、准确性负责,避免侵权或不正当竞争等风险。例如,在某企业信息查询平台与某金融服务集团的商业诋毁纠纷案[1]中,某企业信息查询平台运营方在全国企业信用信息公示系统中抓取了某金融服务集团的清算信息,并平台中公布。但是,该平台未明确说明该等清算信息为历史信息,导致公众误认为某金融服务集团正在或即将进入清算程序。法院认为,平台未对信息时效、信息质量等尽到基本的注意义务,构成不正当竞争。
(三)征信类信息报告产品合规要点
大数据产品提供方对企业和个人的信用信息进行采集、整理、保存、加工形成数据产品后向产品使用方提供的,需要关注《征信业管理条例》《征信业务管理办法》对征信业务的特别管理规定。
实务中大数据产品提供方可能存在以下问题和困惑:
问题9:如何判断信息报告类大数据产品是否构成征信业务?
答:《征信业管理条例》对征信业务有明确的规定。信息报告类大数据产品是否构成征信业务,需要结合数据类型、数据用途来综合判断。
问题10:互联网平台日常业务运营中收集的平台用户个人身份信息、日常消费交易信息、个人画像等信息是否属于“信用信息”?互联网平台利用该等信息提供信息报告类产品的,是否落入征信业务?
答:需要结合数据用途判断。互联网平台收集、产生的个人信息能够反映个人的消费能力、消费习惯等特点,金融机构能从中参考该等信息评估个人的偿债能力和偿债意愿。如果大数据产品提供方将该等信息用作金融场景的,相关信息可能构成“信用信息”,产品提供方提供该等信息落入征信业务范畴。
问题11:如果提供信息报告类大数据产品构成征信业务,大数据产品提供方应当遵守哪些数据处理要求?
答:大数据产品提供方开展征信业务的,应当根据《征信业管理条例》《征信业务管理办法》等法律法规取得相应的征信业务经营资质。同时应当遵守《个人信息保护法》《数据安全法》等现行法律法规、《条例》对数据处理的一般要求,以及《征信业务管理办法》对征信机构的特别要求,相关要点如下:
注释:
[1](2020)浙01民终4847号。
*特别声明:
本文仅为交流目的,不代表天元律师事务所的法律意见或对法律的解读,如您需要具体的法律意见,请向相关专业人士寻求法律帮助。
