2019互联网大数据领域九大法律事件回顾

来源:大数据法律研究

文章摘要
回首2019年,从抖音越权使用用户个人信息到ZAO爆红引发公众隐私担忧,从小红书内容违规下架整改到墨迹因数据合规折戟IPO,从“微信外挂”到大数据公司因爬虫业务被调查……违反合法、正当、必要原则侵犯公

回首2019年,从抖音越权使用用户个人信息到ZAO爆红引发公众隐私担忧,从小红书内容违规下架整改到墨迹因数据合规折戟IPO,从“微信外挂”到大数据公司因爬虫业务被调查……违反合法、正当、必要原则侵犯公民个人信息的事件及从事互联网信息服务存在违规行为的现象层出不穷,国家监管力度亦日趋严格:一方面,着力推进互联网大数据领域的立法工作,《App违法违规收集使用个人信息行为认定方法(征求意见稿)》《数据安全管理办法(征求意见稿)》《儿童个人信息网络保护规定》等法律文件陆续出台;另一方面,推进专项治理活动及落实监督检查工作加大对网络运营者的监督和管理。但这并不意味着打压互联网行业的发展,“云储存第一案”二审的改判彰显司法对科技发展的支持与激励态度。
互联网大数据领域九大事件导览
1.墨迹科技IPO被否引起资本市场关注,数据合规自查成企业合规重点
2.“小红书”内容违规下架,内容电商内容审核义务不容忽视
3.新颜科技和魔蝎科技遭公安调查,大数据公司应明晰“爬虫服务”的法律底线
4.“云储存第一案”二审改判,云服务商的侵权责任认定新指引
5.人脸识别技术拓展商业版图,ZAO爆红引发用户隐私担忧
6.法院裁定抖音违规,用户信息争夺战下的合规路径
7.GDPR执法案例出台,欧盟市场数据合规重要指向标
8.江西首例“微信外挂”案,互联网犯罪背后的网络安全风险防范
9.人人网并购案,互联网企业并购的数据合规问题引发关注
互联网大数据风险事件的一次次发生暴露出法律制度不完善、网络运营者数据合规意识淡薄等种种问题,同时亦推动着中国互联网行业在整顿和洗牌中逐渐走向规范。网络运营者必须严格审查业务数据来源及自身商业模式,建立并落实完善的内控合规制度,才能最终形成自身核心竞争力,游刃有余地应对各类违法违规风险。
本文以“法律风险”、“行业影响”为出发点,对一年来行业内重要法律事件进行甄选。同时,以团队原创中对相关事件的深度剖析为基础,按照“事件回顾”和“事件简析”两个维度对这些重要事件进行解读,为网络运营者采取合规措施,降低经营风险提供借鉴。
墨迹科技IPO被否引起资本市场关注,数据合规自查成企业合规重点
事件回顾
2019年10月11日,证监会第十八届发行审核委员会2019年第142次发审委会议召开,北京墨迹风云科技股份有限公司(以下简称“墨迹科技”)首发未通过。证监会发审委在公告中提出询问的主要问题,涉及墨迹天气APP存在未经其许可违规发布互联网新闻信息、通过自主收集及第三方途径获取用户数据是否合规、互联网信息服务收入占营收比过大,以及直接或间接股权关系客户贡献收入占比较大等四方面问题,其中互联网信息服务和数据合规是问询中的重要内容。
事件简析
墨迹科技因为数据安全等问题影响公司上市进程,这体现了国家对从事互联网信息服务或收集使用个人信息中存在违法违规现象的监管力度日趋严格的新趋势。互联网信息服务和数据合规不仅是拟上市企业所需考虑的问题,更是所有网络运营者亦需在日常运营中需要自查完善的重点,增强合规意识,逐步建立和落实合规制度,方可行稳致远。
互联网信息服务方面,相关网络运营者应及时根据《广告法》《互联网广告管理暂行办法》《互联网新闻信息服务管理规定》等有关法律和规定及时进行有关合规风险排查,并指定及执行有关应对方案,以求降低潜在风险。
数据合规方面,应对数据生命周期的各个环节进行合规审查,根据《网络安全法》、《个人信息安全规范》等一系列现行法律和标准完善企业现行合规体系。同时,应当要把握《网络安全审查办法(征求意见稿)》《网络安全威胁信息发布管理办法(征求意见稿)》等最新规定动态,为监管要求升级做好提前准备。
详见团队解读:团队原创丨从墨迹科技IPO被否看互联网信息服务和数据合规
“小红书”内容违规下架,内容电商内容审核义务不容忽视
事件回顾
自2019年7月29日开始,小红书APP(以下简称“小红书”)在各大安卓手机应用市场陆续下架。8月1日凌晨,小红书发表声明称,公司已对站内内容启动全面排查、整改,进行自查自纠。8月3日,小红书在App Store亦无法搜索下载。在此次下架风波之前,小红书即被多次曝出代发代写虚假“种草笔记”、涉嫌销售违禁药品与烟草等多种负面新闻。目前小红书的下架原因还没有得到官方的明确回应,但主要的猜测集中在小红书平台的内容管控之上。
事件简析
平台治理和内容安全是内容电商进行合规风险控制的重点。如何建立健全并落实内容审核管理机制,是包括小红书在内的每一个网络运营者所无法回避的问题。建立健全并落实内容审核管理机制要求网络运营者切实履行内容审核管理义务,包括账号管理义务、内容审核标准、人员配置要求、及时阻止义务等内容。当信息内容涉及广告时,网络运营者的管理义务应根据《广告法》《互联网广告管理暂行办法》等有关法律和规定有所增加。虽然现行网络运营者的相关管理义务已经形成初步框架,但是审核机制仍存在进一步完善的空间。
新颜科技和魔蝎科技遭公安调查,大数据公司应明晰“爬虫服务”的法律底线
事件回顾
9月6日,魔蝎科技被警方控制,高管被带走,服务瘫痪,新颜科技CEO黄向前被带走,聚信立被曝有警方进驻调查。9月11日,公信宝被警方查封。9月12日,集奥聚合深圳分公司有10多人被带走。财新等媒体报道称,集奥聚合北京办公室也被深圳警方带走多人,包括爬虫数据接入负责人和合同负责人。9月,中国互联网金融协会发出窗口指导,提示行业内机构应清查使用数据的来源是否合规。城商行、农商行、消金公司等多家机构也暂停大数据风控合作业务。部分知名大数据公司已主动停止相关“爬虫”业务,整个大数据行业如履薄冰。
事件简析
网络爬虫(Web Crawler)是一种自动抓取网页并提取网页内容的程序,其虽为一项中立的数据获取手段,但仍不得触犯法律的红线,主要包含数据来源、获取方式和使用方式三个方面。《数据安全管理办法(征求意见稿)》首次明确对网络运营者采取“自动化手段访问收集网站数据”提出要求。数据来源合法是网络爬虫活动合法的前提。数据获取方式合法,特别是采取自动化手段访问收集数据的方式获取,应当根据《数据安全管理办法(征求意见稿)》的相关要求进行自我规范。数据使用方式合法,包括,数据使用目的合法和数据使用方式合法。此次大数据行业的“震荡”暴露出法律制度不完善、部分从业人员合规意识淡薄等种种问题,同时亦推动着中国大数据行业在整顿和洗牌中逐渐走向规范。大数据企业必须严格审查业务数据来源及自身商业模式,建立并落实完善的内控合规制度,最终形成自身核心竞争力,游刃有余地应对违法违规风险。
“云储存第一案”二审改判,云服务商的侵权责任认定新指引
事件回顾
乐动卓越公司发现www.callmt.com网站提供《我叫MT畅爽版》的iOS版、安卓版游戏是侵权人非法复制《我叫MTonline》游戏的数据包,并通过callmt.com网站非法运营获利,上述行为侵害了乐动卓越公司游戏著作权的复制权、发行权、信息网络传播权。经调查发现,《我叫MT畅爽版》游戏内容存储于阿里云服务器,并通过该服务器向客户端提供游戏服务。2015年10月12日与10月29日,乐动卓越公司分别通过阿里云公司网站的“工单支持”版块、电子邮件与中通快递等方式先后向阿里云计算有限公司(以下简称“阿里云公司”)发出三次通知,要求其删除侵权内容,并提供服务器租用人的具体信息。然而,阿里云公司并未进行删除。因此,乐动卓越公司将阿里云公司起诉至北京市石景山区人民法院。
一审法院支持了乐动卓越公司的诉讼请求,判决阿里云公司赔偿乐动卓越公司的经济损失250000元及诉讼合理支出11240元。二审法院认为阿里云公司属于网络服务提供者但不属于《信息网络传播权保护条例》的适用范围,应当根据《侵权责任法》第三十六条确定阿里云公司的责任。同时认为乐动卓越公司的通知无效,并结合云计算行业的特殊性认为阿里云公司在收到通知后采取的“转通知”的措施属于合理公允的措施。最终,二审法院对一审判决进行了改判,认为阿里云公司的行为并不构成侵权,判决撤销一审判决并驳回乐动卓越公司的全部诉讼请求。
事件简析
二审判决一方面根据现有法律的规定分析阿里云公司的责任,另一方面也兼顾云计算的特殊行业规范、行业伦理以及云计算行业的发展现状对阿里云公司所承担的隐私数据安全责任进行了解读。该案的判决明确了云服务商在应对侵权通知时可明确拒绝实施可能侵犯其用户隐私利益的行为而无需顾虑承担连带侵权责任的风险。这一判决既为云服务提供商的侵权责任承担提供指引,也增强了用户对云服务提供商的信心。
人脸识别技术拓展商业版图,ZAO爆红引发用户隐私担忧
事件回顾
陌陌旗下App ZAO此前以AI换脸功能一夜之间爆红网络。只需上传一张个人照片,并且通过人脸验证证明是本人,就可以换脸影视剧片段,与明星“同台飙戏”。8月30日ZAO上线,不到24小时,ZAO就在各应用商店免费应用排行榜中蹿升至第二位。刚刚爆红期间,有媒体披露著名投资人朱啸虎透露目前已经有10多家VC主动邀约ZAO团队。然而,这一商业新热点同样引发了一系列问题。一方面是众多影视剧的版权存在争议,更引人关注的是,“ZAO”的用户协议因涉嫌侵犯用户隐私等问题而被声讨。9月4日早间,工信部就ZAO引起的争议约谈陌陌。
事件简析
ZAO通过运用人脸识别技术拓展商业边界,一经上线就爆红网络。作为网络运营者及投资者,对于新技术开拓的商业市场,应从最能够保护各自利益的角度出发,冷静面对新生市场。
从投资者角度:
当投资者计划投资与网络产品和服务相关的项目时,对目标公司进行网络安全和数据合规尽职调查是不应忽视的重要环节,包括:目标公司的网络安全和数据合规制度构建及落实情况;目标公司的个人信息保护能力;目标公司核心业务的违法性风险及风险应对能力等方面。
从平台运营者角度:
作为网络运营者,对于其通过人脸识别技术所运营的移动客户端,在构建时既要建立和完善符合投资者在进行尽职调查时所要求的,如上文所述的一系列制度安排。同时,更应根据最新管理规定,完成提前做好2020年开始新要求下的合规安排。于2020年1月1号生效的《网络音视频信息服务管理规定》对人脸识别技术,从事前(安全评估、显著标识)、事中(禁止传播、信息管理)、事后(辟谣机制建立健全)三个方面提出了新要求。
法院裁定抖音违规,用户信息争夺战下的合规路径
事件回顾
腾讯认为,抖音与多闪的行为,在未获得用户和腾讯授权同意的情况下,超越权限使用来自腾讯的用户数据信息,利用腾讯原有的用户关系网,扩大抖音、多闪的用户群体,构成不正当竞争。
2019年3月18日,天津市滨海新区人民法院对腾讯申请抖音、多闪保全申请公布了裁定结果,要求抖音立即停止将微信、QQ开放平台授权登录服务提供给多闪使用的行为。
事件简析
从数据经济发展整体的趋势来看数据收集使用是大势所趋,对数据的利用和保护已经成为一个不可回避的问题。当前,司法实践已经形成共识,即数据是一种能够被用于当下、将来并带来相应经济利益的无形财产,是能够带来市场势力的竞争资源。从司法实践中看,审判法院对大数据引发的不正当竞争纠纷中双方竞争关系的认定要素,主要有双方用户群体、业务模式、经营范围。虽然当前类型化的不正当竞争行为仍然不能涵盖网络不正当竞争行为的大部分,如信息抓取行为,但是这并不意味着互联网经营者可以任意采取技术措施取得竞争优势。当数据信息收集行为触及用户隐私权与数据财产利益时,网络经营者任凭技术能力获得相关数据信息或竞争优势的,或将违反《反不正当竞争法》
GDPR执法案例出台,欧盟市场数据合规重要指向标
事件回顾(截至2019年3月27日)
GDPR自2018年5月正式实施以来,正式发布的执法案例有限,但都呈现出涉案公司规模较大,涉案行为典型,处理结果严格的特点。因此,研究分析现有的GDPR执法案例对总结GDPR框架下的数据合规要点有着重要意义。已出现相关执法案例的国家包括:英国、德国、荷兰和爱尔兰。
事件简析
GDPR框架下,对我国在欧企业或有涉欧业务的企业主要有六方面的合规要点,包括:数据泄露72小时报告义务;数据间接获取时,联合控制者的合规责任;个人数据收集最小化原则;数据跨境处理时的有关要求;数据授权撤销程序的设计;以及未成年人的信息数据保护要求。
江西首例“微信外挂”案,互联网犯罪背后的网络安全风险防范
事件回顾
2019年5月9日,江西省首例“微信外挂”案一审开庭审理,检察机关认为,袁某等人提供的专门用于侵入、非法控制计算机信息系统的程序、工具,对微信实施了未授权的增加、修改操作,绕过了微信的安全保护措施,对微信的正常操作流程形成干扰,属于破坏性程序。19名被告人的行为均触犯刑法,犯罪事实清楚,证据确实、充分,应当以提供侵入、非法控制计算机信息系统程序、工具罪追究其刑事责任。
事件简析
微信外挂”软件的开发与销售具有严重的社会危害性。本案中“微信外挂”软件的开发与销售具有突出的互联网犯罪特征,以提供侵入、非法控制计算机信息系统程序、工具罪对本案涉案人员进行定性,能够体现出刑事法律对互联网犯罪的规范与警示作用。为防范互联网犯罪背后的网络安全风险,负责网络安全保护和监督管理工作的有关部门应当积极履行部门监管职责。同时,网络运营者应当切实履行相关安全维护义务。
人人网并购案,互联网企业并购的数据合规问题引发关注
事件回顾
2018年11月14日,沉寂已久的人人网迎来一波登录高潮。引发这一状况的契机,是当日人人公司宣布以2000万美元现金对价将人人网社交平台业务相关资产出售给北京多牛互动传媒股份有限公司。同时,人人网被收购后原网站用户信息数据如何进行处理也倍受关注。
事件简析
在个人信息控制者收购兼并的数据处理上,目前我国尚未形成体系化的制度规定。《信息安全技术个人信息安全规范》首次对企业并购过程中涉及到的个人信息数据处理问题作出回应。依据现有合规体系,能够发现法律法规对目标公司和收购方两方有不同的合规要求。
目标公司的数据保护义务包括:告知义务;个人信息主体撤回同意权的保护;删除义务;保密义务。
收购方的数据保护义务包括:告知义务;审慎义务;重新取得信息主体授权;保护义务。
涉及数据转让行为,同时需要满足《网安法》《个人信息安全规范》《个人信息安全指引》等系列个人信息保护制度规范的合规要求。

技术驱动法律,专业成就未来