ARTICLES
专业文章
环境科技企业数据合规要点
环境科技企业数据合规要点
随着我国立法、执法的不断完善,针对数据保护的监管口径也逐渐趋于严格,许多在过去司空见惯的数据相关实践,现在都可能落入"违规"的范畴,涉事企业轻则遭受通报批评导致商誉受损,重则经营中止停业整改,对企业的正常经营可能带来较大的影响。基于此,数据合规作为当今企业必须引起重视的课题,亦是环境科技企业应当关注的要点。
一
收集用户个人信息的合规要点
伴随着大数据时代的到来,不少环境科技企业选择通过提升C端用户的数量来开拓业务,并选择以App、小程序等作为渠道。随着近年来监管力度的加强,包括网信办、工信部在内的多个部门多次对违规收集个人信息、侵害用户权益的App、小程序进行了通报,部分环境科技企业开发的App亦位列其中,个人信息收集合规已经成为环境科技企业不可忽视的重要一环。因此,我们建议环境科技企业着重把握以下几点:
(一)应仅限于业务必要的范围收集数据
《中华人民共和国网络安全法》("《网络安全法》")第四十一条明确将"必要"规定为企业收集个人信息的原则之一。2019年发布的《App违法违规收集使用个人信息行为认定方法》("《认定方法》"),则在《网络安全法》的基础上进一步细化,将"收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关"等行为[1]明确列入违法违规的范畴。例如,某App软件的功能仅是根据用户地理位置提供周边环境污染及天气信息,那么调取用户的联系人通讯录等与上述功能无关的信息就可能属于非必要情形。因此,环境科技企业在收集用户的个人信息之前,应当先对收集行为的必要性进行论证。
(二)收集前应明示目的、方式、范围,并取得被收集者的同意
除信息收集的范围外,信息收集的方式同样是监管关注的重点,《网络安全法》第四十一条也规定,企业应当公开收集、使用个人信息的规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。就具体操作而言,企业可以考虑在App或小程序的隐私政策、用户协议或相关文本中列明以上内容,并通过用户主动确认、主动勾选"同意"等方式,确保个人信息的收集行为均取得用户的合法同意。
由于违反上述要求收集个人信息可能导致App或小程序被下架、企业受到行政处罚等诸多不良后果,环境科技企业应当重视个人信息的收集环节,严格遵循相关规定的要求,以降低合规风险。
二
爬取公开数据的合规风险点
基于产业分工的细化,部分企业选择将更多的精力投入数据的分析与处理中,并通过在互联网上"爬取"的方式获取大量公开数据作为分析基础(例如通过爬取互联网上公开的天气信息,用以整合制作天气预报产品)。在此模式下,企业也容易陷入一个误区,即"信息都是公开的,所以如何爬取都不会违规",但这恰恰与法律及监管的态度相悖。
(一)爬取数据有构成不正当竞争的风险
很多组织、个人的网站虽然免费公开数据,但也往往带有吸引流量等商业性的盈利目的。如果环境科技企业直接爬取同一市场内其他企业基于商业目的公开提供的数据并用于自己的业务,就有可能对数据的原发布者形成实质性替代,并导致原发布者商业机会的损失。在司法实践中,部分法院认为该类行为违反了《中华人民共和国反不正当竞争法》第二条中"遵守公认的商业道德"的要求,属于"损害其他经营者的合法权益,扰乱社会经济秩序"的不正当竞争行为。
(二)极端情况下,爬取数据可能带来行政处罚乃至刑事风险
基于爬取手段的技术差异,爬取者对于被爬取网站系统造成的负担也各不相同。实践中,也曾出现因爬取行为导致被爬取网站响应速度变慢,乃至瘫痪的情况。鉴于《网络安全法》第二十七条规定:"任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动",因此干扰被爬取网站正常运行的行为有可能遭受行政处罚。严重的甚至可能构成《刑法》第二百八十五条中"非法获取计算机信息系统数据"等罪名,并需要承担相应的刑事责任。
因此,从降低风险的角度,我们提出以下几点建议:第一,环境科技企业可以更多采用自行收集、协议购买等方式取得数据;第二,如果需要采取爬取手段,企业应当首先审查被爬网站是否具备Robots协议,并遵守被爬网站中Robots协议的要求。其次,企业应当避免突破/破坏网站的防护措施进行数据爬取。最后,在爬取时应当合理控制爬取频率[2],避免给被爬网站的运行造成过度负担。
三
因违反特殊规定而遭遇的数据合规风险
除法律法规中对各类企业普遍性的数据合规要求外,环境科技企业也可能因业务原因触发一些特殊的数据保护与合规标准,并将因此承担更高的合规义务。
(一)环境监测中地理测绘、气象数据的特殊合规要求
实践中,部分环境科技企业存在直接监测、收集某一地区的环境数据的情况。对于其中可能涉及的涉密地理信息与气象数据,现行法存在特殊规定,环境科技企业应当特别重视违反该类规定可能带来的合规风险。
1. 涉密地理信息数据的合规要求
随着科技的发展,大范围监测技术在环境监控中发挥了越来越重要的作用,部分环境科技企业的监测数据中也可能包括相应地区的地理信息等数据。例如,《中华人民共和国测绘法》规定:"地理信息生产、保管、利用单位应当对属于国家秘密的地理信息的获取、持有、提供、利用情况进行登记并长期保存,实行可追溯管理。"因此,如环境企业在业务过程中接触涉密地理信息的,应当尤其重视相关数据的存储安全,并按照上述法律规定对数据的各项情况做好记录和保存工作。
2. 对气象数据、资料的特殊限制
就各类气象资料,《气象数据管理办法(试行)》第二十条规定:"任何单位和个人,未经允许,不得将所获取的气象数据[3]以转发、转让、出售等方式对外披露,或用于气象业务、科研开发以外的其他用途。"《涉外气象探测和资料管理办法》第五条则规定:"任何组织和个人不得向未经批准的境外组织、机构和个人提供气象探测场所和气象资料,不得将涉及国家秘密的气象资料以任何方式提供给其他组织和个人或者予以发表。"因此,如环境科技企业业务开展过程中涉及气象数据的,应当遵守上述规定。尤其当企业需要与境外主体建立合作关系时,应特别注意境外主体能否通过合作取得环境科技企业收集的气象数据。如存在此类情形的,应当提前与监管部门联络,并取得批准。
(二)"关键信息基础设施运营者"的特殊义务
《网络安全法》第三十一条明确"一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益"的网络系统属于"关键信息基础设施",并要求对其进行"重点保护"。《关键信息基础设施安全保护条例(征求意见稿)》也在第十八条中提到"环境保护"行业领域的单位"运行、管理的网络设施和信息系统"有可能被认定为"关键信息基础设施"。
如最终被认定为"关键信息基础设施运营者",企业可能需要为此承担一系列额外的义务,例如设置专门安全管理机构和负责人,并对负责人和关键岗位的人员进行安全背景审查;定期对从业人员进行网络安全教育、技术培训,并进行技能考核;对于重要系统和数据库应当采取容灾备份的措施;就网络安全事件应急预案必须定期进行演练;所收集的数据必须存储在中国境内等。此外,如涉及采购网络产品和服务且存在可能影响国家安全的情形,还将触发网络安全审查,必须由网信部门会同国务院有关部门审查确定企业能否采购相关产品或服务。
(三)"重要数据"的额外保护规定
《中华人民共和国数据安全法》第二十一条使用了"重要数据"这一特别概念,并在《网络安全法》的基础上详细规定了同重要数据保护相关的一系列制度,如明确数据安全负责人和管理机构、定期开展风险评估并发送报告等。
一旦环境科技企业收集的环境信息等数据被归入"重要数据",企业就必须履行重要数据保护义务。虽然"重要数据"的范围及识别标准尚待进一步明确,但如前所述,环境监测中的部分地理、气象数据均可能涉及国家安全,无法排除其在未来被列入"重要数据"范畴内的可能性。因此,我们建议环境科技企业在数据合规过程中应当时刻关注最新的立法动态,了解监管部门的口径,以便提前进行合规规划与应对。
[注]
