在大数据时代,越来越多的科技公司参与到数据分析的队伍,挖掘数据的最大价值。近期,笔者团队在为多家科技公司提供法律服务的过程中,了解到该等科技公司都曾参与“数据碰撞”的业务。什么是“数据碰撞”?“数据碰撞”是否有法律风险?我们将在本文中详细解读,为相关公司提供参考。
我们认为,“数据碰撞”需要做好合规处理,否则容易带来法律风险。
一、 “数据碰撞”的业务模式
以笔者团队近期服务的某一数据公司(“A公司”)为例,A公司专门为市场各大主流APP及网站提供用户数据分析服务,并在服务过程中根据授权获取用户数据,形成数据库。
为加强数据分析和挖掘,A公司与第三方数据公司合作(“B公司”),允许B公司通过“数据碰撞”的方式访问A公司的数据库。B公司将其数据库和A公司的数据库进行碰撞比对,并对由此产生的重合数据、交叉数据进行深度分析。
由于A公司和B公司的数据可能有重合,即使A公司未向B公司提供用户的姓名,仅提供其他数据,B公司仍有可能在数据比对的过程中,发现重合的数据,并识别到特定个人。如A公司数据库中显示用户C使用华为手机,经常在每晚9-10点登录微博,查看化妆品相关信息。如这些数据与B公司数据库中的用户D吻合,B公司则可能识别出用户C即是B公司数据库中的用户D。
那么,这种“数据碰撞”是否有法律风险?如何规避法律风险?我们将从法律角度进行分析。
二、从法律角度如何看待“数据碰撞”?
(1) 如数据已匿名化,A公司处理用户数据无需遵守个人信息保护规定
根据《网络安全法》1、《个人信息安全规范》2和《个人信息保护法(草案二次审议稿)》相关规定,经匿名化(指数据无法识别到特定个人且无法复原)处理后的信息不属于个人信息。
因此,如A公司已将用户数据匿名化,该等用户数据已不属于个人信息。A公司与B公司合作开展“数据碰撞”业务,也无需遵守个人信息保护的相关规定。
(2) 如数据未匿名化,“数据碰撞”属于共享个人信息
如A公司未将用户数据匿名化,则该等用户数据仍属于个人信息。
在“数据碰撞”业务中,A公司允许B公司访问其数据库,并允许B公司获取数据库中的数据用于数据比对。上述行为等同于A公司向B公司提供数据库中的个人信息,且A公司和B公司均对该等个人信息有独立的控制权。因此,A公司的上述行为,属于共享个人信息3。
三、未经授权的“数据碰撞”是否存在法律风险?
在个人信息保护法律下,对个人信息采取不同的处理技术,将带来不一样的法律效果。因此,我们在讨论“数据碰撞”是否合法时,也应按照该等数据的处理程度而进行分类判断。
一般而言,对个人信息的处理程度如下所示(从左到右处理程度由低到高):
(1) 如数据未去标识化,未经授权的“数据碰撞”很可能存在法律风险
未去标识化的原始个人信息可以被识别到特定自然人,因此也需要法律最大力度的保护。对于这一类数据的信息共享,应取得个人信息主体的授权同意4。因此,如数据未去标识化,未经用户明确授权而开展“数据碰撞”业务不合法。
而在实践中,为了节约成本及开展业务的便利,科技公司通常不会就“数据碰撞”业务取得用户的授权同意。根据《网络安全法》和《个人信息保护法(草案二次审议稿)》的相关规定,该等行为可能会受到警告或罚款处罚,且可能需要承担相应的民事责任甚至刑事责任。
(2) 如数据已去标识化,未经授权的“数据碰撞”法律风险较低
根据《个人信息安全规范》5,如A公司已对数据去标识化,且确保B公司无法重新识别或者关联个人信息主体的,则未经用户授权同意的“数据碰撞”业务仍是合法的。
因此,对于A公司来说,确保B公司无法重新识别或者关联个人信息主体则尤为重要。A公司应在开展“数据碰撞”业务前,评估B公司的重识别技术能力,确定一个可接受的重识别风险阈值,最终拟定可行的去标识化方案,以确保去标识化后的数据,B公司无法重新识别或者关联个人信息主体,从而避免A公司的违规风险。
(3) 如数据已匿名化,未经授权的“数据碰撞”没有法律风险
如上所述,匿名化后的数据不可识别个人信息主体且无法复原,已不属于法律所保护的个人信息,使用该等数据无需遵守个人信息保护相关的规定。
因此,如数据已匿名化,未经授权的“数据碰撞”仍是合法的。
四、本期小结与下期预告
“数据碰撞”本质是通过数据共享、比对挖掘数据的内在价值,我们相信很多科技公司都曾参与过类似业务。而在实现数据价值的同时,公司也应处理好隐私保护和数据安全。
如公司在共享个人信息时,未采取去标识化、匿名化等技术手段,也未取得用户明确的授权同意,则会面临不合规的风险,不仅会受到警告或罚款处罚,甚至可能需要承担相应的民事责任和刑事责任。因此,科技公司应充分重视数据共享的法律风险。
下期文章我们将把视角转向个人信息主体的授权同意,分析什么样的授权同意才符合法律要求。
1.《中华人民共和国网络安全法》:“未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”
2.《信息安全技术个人信息安全规范》(GB/T 35273-2020):“注:个人信息经匿名化处理后所得的信息不属于个人信息。”
3.《信息安全技术个人信息安全规范》(GB/T 35273-2020):“共享:个人信息控制者向其他控制者提供个人信息,且双方分别对个人信息拥有独立控制权的过程。”
4.《信息安全技术个人信息安全规范》(GB/T 35273-2020):“9.2个人信息共享、转让:b)向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果,并事先征得个人信息主体的授权同意。”
5.《信息安全技术个人信息安全规范》(GB/T 35273-2020):“9.2个人信息共享、转让:b)共享、转让经去标识化处理的个人信息,且确保数据接收方无法重新识别或者关联个人信息主体的除外;”