爬虫业务易产生隐患,收集个人信息应按法律规定。
进入9月以来,中国的大数据行业似乎进入了一个前所未有的“整顿期”,据多家媒体报道,已有多家第三方大数据公司被纳入调查行列。
“近来,客户越来越重视隐私保护和数据获取的合规性了,对照半年前,差距真的很大。”陈小阳(化名)是一位律师,大数据公司曾是她的主要客户,这是她近期最直接的感受。
据记者了解,对于一般的大数据公司,数据获取来源主要分为三种:第三方机构授权、关联方或场景的数据以及爬虫业务。而关于数据爬取,理论上是有“红线”的,即要求在遵循一定协议和规则下,大数据公司才能实现自动获取网站站点的信息和数据。但现实中,规则往往被忽略或简化,个人信息隐私保护的问题,在大数据公司的发展过程中,被凸显出来。
事实上,目前与此相关的法规、立法,已在完善。2017年6月,《中华人民共和国网络安全法》(下称“网络安全法”)正式实施,随后《中华人民共和国数据安全法》、《数据安全管理办法(征求意见稿)》以及《网络安全审查办法(征求意见稿)》等相继出现“在路上”。
目前,大数据在经历行业“高光”时刻后,未来如何发展备受关注。就此,新京报记者采访了中国政法大学互联网金融法律研究院院长李爱君,西南财经大学普惠金融与智能金融研究中心副主任陈文,北京大学金融智能研究中心主任助理、《征信与大数据》作者刘新海以及北京金诚同达(上海)律师事务所合伙人彭凯,共同探讨公众关注的大数据话题。
新京报:为何大数据行业近期会聚焦爬虫问题?
彭凯:比较直接的原因是近期几起媒体报道的风险案例集中于大数据服务商,而且这类机构面向金融行业的输出产品都包括了爬虫服务或者基于爬虫技术而形成的标准化产品。
到目前为止,尚未出现公安方面对此类调查公司的正式通告。风险案例本身的具体情形、案由、导火索等,难为外人所知,所以实际上爬虫在其中的地位,目前很难有一个明确的结论。
李爱君:大数据风控公司爬虫业务的数据应是指向了特定的自然人,因此违反了我国的相关法律规定。
刘新海:爬数据,有的是有授权的,有的不一定有授权。而且爬数据的大数据公司,其数据可能还存在留存、甚至贩卖的现象,会产生很多隐患。
一些大数据公司,抓住了市场的需求,另外监管合规没有跟进,有利润他们就做。在我看来,这些大数据公司,他们在开始阶段,没有充分考虑合规性的问题。在国外,像这种个人敏感数据的爬虫行为,基本上都是明令禁止的。
新京报:你认为大数据公司目前存在什么问题?
李爱君:爬虫业务收集的个人信息和隐私数据应按我国法律规定的程序进行收集、存储、处理和转让,否则就是违法行为。
彭凯:近期案例中的大数据服务商,都或多或少牵扯到现金贷行业,“红线”划定主要体现在三类法律法规中:第一,现金贷相关规范,典型如141号文中的“各类机构应当加强客户信息安全保护,不得以‘大数据’为名窃取、滥用客户隐私信息,不得非法买卖或泄露客户信息”。该类规范要求在56号文、P2P相关规范中也有所体现,呈现为“趋同”表述。第二,网络安全与数据合规、信息保护相关规范,主要围绕《网络安全法》展开。第三,刑法,主要涉及罪名有非法获取计算机系统数据罪、侵犯公民个人信息罪等。
总结来看,“红线”主要在一头一尾,即“获取”和“输出”环节,也涉及获取后的“加工使用(二次利用)”。就目前看到的风险案例而言,如果网传信息、评价属实,大数据服务商可能是因合作方涉嫌套路贷犯罪而被牵连,或在套路贷案件中起到了不可忽视的“助推”作用。
新京报记者黄鑫宇编辑李薇佳校对杨许丽
