處理數(shù)據(jù)要有全流程合規(guī)意識

2022-02-23 10:53:22|

來源：法治日報作者：

原標題：處理數(shù)據(jù)要有全流程合規(guī)意識

近日，一科技公司利用爬蟲技術(shù)竊取2.1億條簡歷數(shù)據(jù)，被告人被追究刑事責任的新聞引發(fā)了社會的廣泛關(guān)注。據(jù)媒體報道，該科技公司主要經(jīng)營招聘工具軟件和大數(shù)據(jù)分析等業(yè)務，組建有專門的爬蟲技術(shù)團隊，在未取得求職者和平臺授權(quán)的情況下，秘密爬取了國內(nèi)主流招聘平臺上的大量求職者簡歷數(shù)據(jù)。獲取數(shù)據(jù)后，公司對數(shù)據(jù)進行重整，用于開發(fā)產(chǎn)品意圖謀利。其間，該公司爬蟲技術(shù)團隊負責人還私自將簡歷數(shù)據(jù)對外出售，非法獲利人民幣30余萬元。最終被告單位被判處罰金4000萬元，被告人王某某被判處有期徒刑7年，并處罰金1000萬元，其他被告人均被判處相應刑罰。這起案件，對被告單位判處的罰金數(shù)額、對被告人判處的刑期和罰金數(shù)額，均系近年來全國同類案件判罰較重的案例。

近年來，利用爬蟲技術(shù)實施違法犯罪的案例屢見不鮮，此案也再次給一些從事數(shù)據(jù)收集處理利用的科技企業(yè)敲響了警鐘。伴隨著數(shù)據(jù)安全法和個人信息保護法的出臺，我國已建立由網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、個人信息保護法、民法典以及刑法等諸多法律法規(guī)協(xié)同規(guī)范的數(shù)據(jù)安全法律保障體系。企業(yè)進行數(shù)據(jù)處理時，應當與時俱進，走出以往數(shù)據(jù)處理的觀念誤區(qū)。

首先，技術(shù)中立不代表利用技術(shù)實施數(shù)據(jù)處理的行為不涉嫌違法犯罪，企業(yè)應走出不知法免責的誤區(qū)。利用爬蟲技術(shù)采集網(wǎng)絡(luò)上的個人信息是否合法合規(guī)，是實踐中較為爭議的問題。雖然爬蟲技術(shù)本身并不違法，但是企業(yè)在利用爬蟲技術(shù)采集個人信息時，要注意不得妨礙被采集網(wǎng)站的正常運營，不得違背個人信息主體的意愿。而從這起案件來看，該科技公司在采集數(shù)據(jù)時并未取得求職者和平臺的授權(quán)；對于爬取來的大量求職者簡歷數(shù)據(jù)，該公司還意圖用于開發(fā)產(chǎn)品謀利，顯然違背了法律的相關(guān)規(guī)定。

而在類似刑事案件中，有諸多企業(yè)及相關(guān)人員，甚至有辯護律師傾向于以不知法進行免責抗辯。但由于“不知法不免責”是被遵循的基本原則，在不涉及違法性認識可能性的情況下，企業(yè)及相關(guān)責任人單純以“不知道行為違法”“不知道行為構(gòu)成犯罪”為由進行抗辯，均屬于無效辯解，并不能阻卻犯罪故意的成立。

其次，數(shù)據(jù)處理包含收集、存儲、使用、加工、傳輸、提供、公開等全流程，企業(yè)應走出數(shù)據(jù)處理僅是防止泄露的誤區(qū)。以此案為例，此案之所以是近期類似案例中被處罰較嚴重的案件，除了涉及個人信息數(shù)據(jù)量較大外，恐怕也跟該公司在數(shù)據(jù)處理的多個環(huán)節(jié)均存在違反法律規(guī)定的行為有關(guān)。比如，在數(shù)據(jù)收集環(huán)節(jié)，利用爬蟲技術(shù)大規(guī)模采集求職者簡歷數(shù)據(jù)，未取得求職者和平臺的授權(quán)；在數(shù)據(jù)存儲環(huán)節(jié)監(jiān)管失當，致使員工私自將簡歷數(shù)據(jù)對外出售，導致大量數(shù)據(jù)被泄露；在數(shù)據(jù)使用、加工等環(huán)節(jié)，對收集來的數(shù)據(jù)進行重整并用于開發(fā)產(chǎn)品意圖謀利。在數(shù)據(jù)處理的多個環(huán)節(jié)均存在不同程度的違法，導致案件造成的危害后果嚴重，因而受到嚴厲的處罰。

最后，數(shù)據(jù)處理要形式合規(guī)與實質(zhì)合規(guī)并重，企業(yè)應走出形式化合規(guī)的誤區(qū)。隨著法治的健全，越來越多的企業(yè)開始具有法律意識。有的企業(yè)在內(nèi)部設(shè)立法務部，甚至專門設(shè)立合規(guī)部（員），有的還會聘請外部的專業(yè)律師團隊。但是數(shù)據(jù)處理的合規(guī)，不單純是形式的合規(guī)，也要注重實質(zhì)的合規(guī)。例如在此案中，涉案公司員工私自將求職者簡歷數(shù)據(jù)出售獲利，就暴露出該公司在數(shù)據(jù)存儲環(huán)節(jié)缺乏必要的監(jiān)管。總而言之，數(shù)據(jù)合規(guī)并不是獨立于企業(yè)管理和產(chǎn)品之外的體系，企業(yè)應當將數(shù)據(jù)合規(guī)與企業(yè)管理、生產(chǎn)及服務流程有機融合，進而實現(xiàn)企業(yè)經(jīng)營的合法合規(guī)。

（作者：李翔，系華東政法大學刑事法學院教授、博士生導師）

標簽：