中国国际贸易促进委员会

执法风暴下的大数据爬虫合规之路(6)

爬虫上下游企业合规建议
 
        爬虫技术是中立的,最近的执法趋势实质打击的是对于爬虫技术的非法利用以至于损害公民个人信息权利的乱象。近期,国外HiQ vs LinkedIn爬虫案,二审终于落锤,维持了一审裁定,也让爬虫行业看到了“正当发展”的些许安慰和希望。爬虫业态在诞生和发展中长期处于灰色地带,在相关合规保护义务和追求效率刺激创新发展之间需要找到一个平衡,这是未来爬虫业态的正途。结合目前严格的执法趋势来看,无论是作为上游数据源公司(数据提供方)还是下游数据使用企业(数据接收方),企业均应就目前的合规形势进行应对之策的考量,以下是我们的简要建议:
 
(一)上游数据源公司(数据提供方)
 
1.针对爬取行为本身
 
· 就爬取而言,采取对自身爬取数据的合规瑕疵进行详细评估并更新授权文本(应遵循最小必要原则并对用户进行充分通知并取得其同意,并在后续使用中不得超出原授权范围)、与被爬取平台进行合作等措施降低风险;
· 爬虫使用技术手段应该懂得克制,遵守网站的Robots协议及适用协议,应当充分衡量其承受能力,不能影响其正常运营;
· 爬取的数据在存储、传输、内部使用融合等方面均应满足《个人信息安全规范》的要求。
 
2.内部数据融合
 
        将爬取的数据归入自身数据库进行数据融合应该注意以下几点:
 
· 对爬取数据与原有内部数据进行融合处理后产生的信息,如(单独或结合)仍具备个人识别能力,则还应作为个人信息对待,对其处理应遵循收集个人信息时获得授权同意的范围;
· 如融合处理后产生的是个人敏感信息,还应遵守对个人敏感信息的保护要求;
· 如数据的汇聚融合的使用行为超出了已获得授权的范围,则应当重新获得授权;
· 非获得授权业务的必要,在融合使用时,一般应采用无需定位到具体个人的间接画像(如推送商业广告时);
· 遵循风险规制路径,进行事前、事中、事后的动态风控评估和控制, 采取适当的个人信息保护和安全措施。
 

附件:


分享到微信新浪微博人人网0