执法风暴下的大数据爬虫合规之路(2)
编辑:商法中心 文章来源:中伦视界? 日期:20-11-11 点击:4783
执法风暴下的大数据爬虫合规之路(2)
(一)数据爬取行为
场景1:企业与用户
常见做法1:
未经授权进行爬取
合规误区:
公开网站上用户信息是公开的,不需要用户授权同意;已经获得用户的同意,爬取用户通讯录中的第三人联系信息并进行后续使用。
风险分析:
通过公开网站中爬取的个人信息,如果不是个人信息主体自行向社会公众公开或者公共机构主动明示公开的信息,则仍然需要获得个人信息主体的授权,用户通讯录中的第三人联系信息往往不可能直接获得该第三人的授权,该等缺乏授权的收集行为明显不具有合法性和正当性。(《网安法》【第四十一条】、【第六十四条】,《个人信息安全规范》【第5.4条】)
常见做法2:
模糊收集措辞,概括性授权收集
合规误区:
意在收集的个人信息范围和类型难以穷尽列举,可以使用“等个人信息”表述模糊处理。
风险分析:
爬虫采集协议文本使用“等个人信息”表述。
1. 违反了相关规定的“透明度”的要求。(《网安法》【第二十二条、四十一条】、《个人信息安全规范》【第5.3条】及《App违法违规收集使用个人信息自评估指南》【评估要点7、20、23】的规定)
2. 实践中该等描述往往伴随着超出使用目的范围的过度收集之嫌,可能违反最小必要原则。(《网安法》【第四十一条】及《个人信息安全规范》【第4条】、《App违法违规收集使用个人信息自评估指南》【评估要点7、25、26、27】)
