|
声音
|
|
□ 李 翔
近日,一科技公司利用爬虫技术窃取2.1亿条简历数据,被告人被追究刑事责任的新闻引发了社会的广泛关注。据媒体报道,该科技公司主要经营招聘工具软件和大数据分析等业务,组建有专门的爬虫技术团队,在未取得求职者和平台授权的情况下,秘密爬取了国内主流招聘平台上的大量求职者简历数据。获取数据后,公司对数据进行重整,用于开发产品意图谋利。其间,该公司爬虫技术团队负责人还私自将简历数据对外出售,非法获利人民币30余万元。最终被告单位被判处罚金4000万元,被告人王某某被判处有期徒刑7年,并处罚金1000万元,其他被告人均被判处相应刑罚。这起案件,对被告单位判处的罚金数额、对被告人判处的刑期和罚金数额,均系近年来全国同类案件判罚较重的案例。 近年来,利用爬虫技术实施违法犯罪的案例屡见不鲜,此案也再次给一些从事数据收集处理利用的科技企业敲响了警钟。伴随着数据安全法和个人信息保护法的出台,我国已建立由网络安全法、数据安全法、个人信息保护法、民法典以及刑法等诸多法律法规协同规范的数据安全法律保障体系。企业进行数据处理时,应当与时俱进,走出以往数据处理的观念误区。 首先,技术中立不代表利用技术实施数据处理的行为不涉嫌违法犯罪,企业应走出不知法免责的误区。利用爬虫技术采集网络上的个人信息是否合法合规,是实践中较为争议的问题。虽然爬虫技术本身并不违法,但是企业在利用爬虫技术采集个人信息时,要注意不得妨碍被采集网站的正常运营,不得违背个人信息主体的意愿。而从这起案件来看,该科技公司在采集数据时并未取得求职者和平台的授权;对于爬取来的大量求职者简历数据,该公司还意图用于开发产品谋利,显然违背了法律的相关规定。 而在类似刑事案件中,有诸多企业及相关人员,甚至有辩护律师倾向于以不知法进行免责抗辩。但由于“不知法不免责”是被遵循的基本原则,在不涉及违法性认识可能性的情况下,企业及相关责任人单纯以“不知道行为违法”“不知道行为构成犯罪”为由进行抗辩,均属于无效辩解,并不能阻却犯罪故意的成立。 其次,数据处理包含收集、存储、使用、加工、传输、提供、公开等全流程,企业应走出数据处理仅是防止泄露的误区。以此案为例,此案之所以是近期类似案例中被处罚较严重的案件,除了涉及个人信息数据量较大外,恐怕也跟该公司在数据处理的多个环节均存在违反法律规定的行为有关。比如,在数据收集环节,利用爬虫技术大规模采集求职者简历数据,未取得求职者和平台的授权;在数据存储环节监管失当,致使员工私自将简历数据对外出售,导致大量数据被泄露;在数据使用、加工等环节,对收集来的数据进行重整并用于开发产品意图谋利。在数据处理的多个环节均存在不同程度的违法,导致案件造成的危害后果严重,因而受到严厉的处罚。 最后,数据处理要形式合规与实质合规并重,企业应走出形式化合规的误区。随着法治的健全,越来越多的企业开始具有法律意识。有的企业在内部设立法务部,甚至专门设立合规部(员),有的还会聘请外部的专业律师团队。但是数据处理的合规,不单纯是形式的合规,也要注重实质的合规。例如在此案中,涉案公司员工私自将求职者简历数据出售获利,就暴露出该公司在数据存储环节缺乏必要的监管。总而言之,数据合规并不是独立于企业管理和产品之外的体系,企业应当将数据合规与企业管理、生产及服务流程有机融合,进而实现企业经营的合法合规。 (作者系华东政法大学刑事法学院教授、博士生导师)
|
|
处理数据要有全流程合规意识
|
|
|
|
( 2022-02-23 ) 稿件来源: 法治日报声音 |
|
□ 李 翔
近日,一科技公司利用爬虫技术窃取2.1亿条简历数据,被告人被追究刑事责任的新闻引发了社会的广泛关注。据媒体报道,该科技公司主要经营招聘工具软件和大数据分析等业务,组建有专门的爬虫技术团队,在未取得求职者和平台授权的情况下,秘密爬取了国内主流招聘平台上的大量求职者简历数据。获取数据后,公司对数据进行重整,用于开发产品意图谋利。其间,该公司爬虫技术团队负责人还私自将简历数据对外出售,非法获利人民币30余万元。最终被告单位被判处罚金4000万元,被告人王某某被判处有期徒刑7年,并处罚金1000万元,其他被告人均被判处相应刑罚。这起案件,对被告单位判处的罚金数额、对被告人判处的刑期和罚金数额,均系近年来全国同类案件判罚较重的案例。 近年来,利用爬虫技术实施违法犯罪的案例屡见不鲜,此案也再次给一些从事数据收集处理利用的科技企业敲响了警钟。伴随着数据安全法和个人信息保护法的出台,我国已建立由网络安全法、数据安全法、个人信息保护法、民法典以及刑法等诸多法律法规协同规范的数据安全法律保障体系。企业进行数据处理时,应当与时俱进,走出以往数据处理的观念误区。 首先,技术中立不代表利用技术实施数据处理的行为不涉嫌违法犯罪,企业应走出不知法免责的误区。利用爬虫技术采集网络上的个人信息是否合法合规,是实践中较为争议的问题。虽然爬虫技术本身并不违法,但是企业在利用爬虫技术采集个人信息时,要注意不得妨碍被采集网站的正常运营,不得违背个人信息主体的意愿。而从这起案件来看,该科技公司在采集数据时并未取得求职者和平台的授权;对于爬取来的大量求职者简历数据,该公司还意图用于开发产品谋利,显然违背了法律的相关规定。 而在类似刑事案件中,有诸多企业及相关人员,甚至有辩护律师倾向于以不知法进行免责抗辩。但由于“不知法不免责”是被遵循的基本原则,在不涉及违法性认识可能性的情况下,企业及相关责任人单纯以“不知道行为违法”“不知道行为构成犯罪”为由进行抗辩,均属于无效辩解,并不能阻却犯罪故意的成立。 其次,数据处理包含收集、存储、使用、加工、传输、提供、公开等全流程,企业应走出数据处理仅是防止泄露的误区。以此案为例,此案之所以是近期类似案例中被处罚较严重的案件,除了涉及个人信息数据量较大外,恐怕也跟该公司在数据处理的多个环节均存在违反法律规定的行为有关。比如,在数据收集环节,利用爬虫技术大规模采集求职者简历数据,未取得求职者和平台的授权;在数据存储环节监管失当,致使员工私自将简历数据对外出售,导致大量数据被泄露;在数据使用、加工等环节,对收集来的数据进行重整并用于开发产品意图谋利。在数据处理的多个环节均存在不同程度的违法,导致案件造成的危害后果严重,因而受到严厉的处罚。 最后,数据处理要形式合规与实质合规并重,企业应走出形式化合规的误区。随着法治的健全,越来越多的企业开始具有法律意识。有的企业在内部设立法务部,甚至专门设立合规部(员),有的还会聘请外部的专业律师团队。但是数据处理的合规,不单纯是形式的合规,也要注重实质的合规。例如在此案中,涉案公司员工私自将求职者简历数据出售获利,就暴露出该公司在数据存储环节缺乏必要的监管。总而言之,数据合规并不是独立于企业管理和产品之外的体系,企业应当将数据合规与企业管理、生产及服务流程有机融合,进而实现企业经营的合法合规。 (作者系华东政法大学刑事法学院教授、博士生导师)
|
|
|