王珺律师在中国政法大学讲授企业合规管理课程（中）

杜春鹏副教授与王珺律师现场合影

要识别合规风险，首要的就是得弄清楚合规义务是什么，而企业又做到了什么程度，一个是应然的层面，一个是实然的层面。对于数据处理者来说，如何识别企业在不同数据处理阶段的合规义务呢？仅知晓或参照法律的具体规定，这对企业的合规实务来说是远远不够的，因为法律条文是抽象的、概括的，而现实需求和表达形式则是具体的、丰富的。

例如法律要求数据处理者在收集个人信息时应履行告知义务并取得个人同意这一基本原则，这项规定义务在具体落实的时候就涉及到告知的内容、形式、具体的文字表述方式等等，如果表述得晦涩或过于“专业”，即便有一个告知的形式，可能也不是法律所认可的“告知”。

因此，在具体实践中，对合规义务的识别和履行不能局限于法律条文的层面，而是需要运用反向合规的思路去理解和运用法律，即结合实务中被民事起诉、被行政甚至刑事处罚的相关案例去进一步提炼总结司法机关或监管部门所认可的合规义务履行方式，如此才更稳妥。

企业数据合规义务覆盖了数据处理的全生命周期，即数据的收集、存储、使用、加工、传输、提供、公开、删除等环节（《个人信息保护法》将“删除”环节也纳入了数据处理周期）。王珺律师在授课内容的第三部分“企业数据合规风险”中所揭示的数据合规风险也是围绕这八个环节进行的。本文仅就合规风险集中暴露的数据收集环节进行分享。

企业收集数据应当采取合法、正当的方式，在法律法规对于数据收集的方式、目的和范围有特别要求时，企业应当遵守该特别要求。在收集个人信息时，还应当限于实现处理目的的最小范围，即遵守目的性限制原则、必要性原则，不得过度、超范围收集个人信息。上述即为法律规定的数据收集阶段的合规义务，企业若有违反合法、正当、必要原则的情况，则可能会承担不同类别的法律责任。具体而言，实务中多出现如下情况和合规风险：

通常认为，用爬虫软件抓取互联网上的公开数据，不存在任何法律风险。因为网络环境中的数据具有可集成、可交互的特点，平台经营者应当在一定程度上容忍他人合法收集或利用其平台中已公开的数据，否则将可能阻碍以公益研究或其他有益用途为目的的数据运用，有违互联网互联互通之精神及促进信息自由流动的原则。但在较为极端的情况下，即使抓取了已公开数据，仍可能违背相关合规义务。

例如，明知平台限制除白名单以外的机器人抓取数据的情况下，行为人仍然抓取了平台的公开数据，则可能会被司法机关认为“显然具有明显的主观恶意，系非正常手段”，后续使用行为也因数据来源不合法而不具有正当性基础。但是在具体案件中，如果平台的限制本身不具有正当性，可以作为抗辩理由。（具体参见北京市海淀区人民法院审理的北京微梦创科网络技术有限公司与云智联网络科技（北京）有限公司不正当竞争纠纷案件，案号(2017)京0108民初24512号）

绝大多数合规风险，出现在获取非公开数据的情况下。

对于非公开数据的保护，多因涉及平台商业策略的实现、数据安全的维护以及用户隐私的保护等因素，平台经营者基于该部分数据所获得的经营利益显然是受法律保护的权益。因此，获取非公开数据行为是受到严格限制的，同时也正是因为非公开数据具有商业价值、经营利益，才一定程度地激发出各种不同类型的非法获取方式，招致不同的法律风险。

最常见的一是爬虫抓取数据的行为。所谓爬虫，是指违反网站robots协议（robots协议会告诉网络搜索引擎的漫游器，此网站中的哪些内容是不应被搜索引擎的漫游器抓取的，哪些是可以被漫游器抓取的）而自动化复制网站信息的软件或程序。二是越权登录行为，指没有权限或超越权限登录进入计算机信息系统，继而查阅、下载、复制、破坏计算机信息系统中数据。三是用技术手段对抗“反爬虫”安全措施或利用系统漏洞，技术性地侵入计算机信息系统获取相关数据。讲述该部分的法律风险时，王珺律师以自己亲办的一起侵犯公民个人信息案为例，给同学们讲述融合了爬虫软件和越权登录两种不同行为模式非法获取数据的办案经历，以及实务中有针对性的有效辩护方法。

王珺律师还以广泛受到关注的人脸识别技术为例，讲述了违反知情同意原则所招致的合规风险。

王珺律师在授课过程中，结合上述行政处罚案例，联想到现实中有许多场所张贴了“您已进入人像信息采集区域”的标识，向消费者明示设有监控摄像头，并就此现实中常见的问题引导同学们思考。

与人脸收集相关的合规义务要求：（1）收集人脸信息要获得个人的单独同意，不能未经任何告知和同意就直接收集人脸信息；（2）不能将人脸识别技术、人脸信息处理规则，与其他个人信息的授权和处理规则相捆绑，一并写在隐私政策或者用户协议中，一次性征得用户同意，致使用户丧失对人脸信息处理的选择权；（3）当人脸信息并非产品或服务的必要信息时，不能以用户接受人脸信息采集作为安装或继续使用具体产品或服务的强制性前提条件。

据此可以分析，企业没有明确告知消费者安装有人脸识别监控设备用于采集人脸信息，也没有征求消费者同意的过程，即便有相关标识，仍会被执法机关认定为未获得消费者同意，违反了最基本的知情同意原则。但由于毕竟不同于以欺骗、诱导等非法方式获取，而是获取的方式方法不恰当、告知的内容不明确，因此导致收集信息缺乏正当性，可能会受到行政处罚而非直接面临刑事风险。

对于收集人脸信息用于商业分析的合理商业需求，实务中有许多变通收集数据的方式，比如使用其他生物识别方法如行为识别、步态识别、红外识别，据此分析客流量等用于商业分析的数据。

总的来说，在数据处理过程中违反相关合规义务，或者侵犯他人权利的，企业及相关责任人员可能将面临着承担民事、行政乃至刑事责任的风险。民事责任、行政责任、刑事责任三者之间互相不可替代，哪怕承担了刑事责任，也不能免除对应的民事责任和行政责任，只是当行为人的财产不足以全部承担赔偿、罚款、罚金等财产责任时，需要优先保障民事责任的赔付。总结三大基本法律在各类责任认定、后果承担方面的重要变化如下：

1. 民事责任

《网络安全法》《数据安全法》及《个人信息保护法》均规定数据处理主体违反法律规定，给他人造成损害的，须依法承担停止侵害、赔偿损失、消除影响、恢复原状等民事责任。而对于侵害个人信息权益类案件，《个人信息保护法》明确规定适用过错推定原则，同时也明确了损害赔偿数额的认定规则以及涉个人信息的公益诉讼制度。

2. 行政责任

《网络安全法》《数据安全法》及《个人信息保护法》均规定了责令改正、警告、罚款、没收违法所得、责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照或类似的责任类型。此外，针对企业开展数据处理活动存在较大安全风险的情况，《数据安全法》和《个人信息保护法》不仅分别规定了约谈制、提高了罚金的上限，还增加了对直接负责的主管人员实施职业禁入的处罚。

3. 刑事责任

企业因严重违反数据合规义务而容易涉及的高发罪名有：侵犯公民个人信息罪、非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪、非法控制计算机信息系统罪、破坏计算机信息系统罪、拒不履行网络安全管理义务等罪名。从律师辩护角度，主要是罪名竞合的法律适用问题以及证据方面。

合规风险是未尽合规义务甚至违反合规义务而发生的可能性危害后果，因此明确合规义务是数据合规的第一步。虽然三大法律规定了向用户明示、履行告知义务、获取用户个人的有效同意，甚至单独、书面同意等义务，但都是原则性的规定，无法完全应对实践中千差万别的需求。而案例是具体的、鲜活的，结合案例明确合规义务，能够明确具体哪些方法是不合法的、是不适当的，需要做到什么程度才真正符合合规要求。这种方式虽不能穷尽，但可以类比，这就是诉讼实务经验对企业合规建设来说十分宝贵、有益的地方。

未完待续