第四章  网络安全与数据合规管理



              险发生的场景维度，数据滥用类风险可以分为数据采集风险、数据使用风险、第
              三方关联风险。
                  1. 数据采集风险
                  在数据采集阶段，常见场景分别是向用户直接采集、向第三方采集、通过爬

              虫获得数据，核心风险是未贯彻“告知—同意”规则，未满足充分告知、自愿同
              意、明确授权、变更再次告知并征得同意、允许撤回同意等完整的规范要求。具
              体而言，个人信息采集应保证遵守合法性、正当性、合目的性、透明性、最小必
              要性等原则，告知个人采集信息的目的、用途、期限和个人行使查阅、复制、更

              正、补充、删除、限制处理、撤回同意、免受自动化决策、数据可携带等权利的
              方式，取得个人的授权同意，严格控制采集个人信息的数量和频率。尤其是对于
              特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息，只有在具有特定目
              的和充分必要性时方可采集，并且要取得个人的单独同意，向个人告知处理的必

              要性以及对个人权益的影响。在向第三方采集和网络爬虫场景中，更加需要关注
              多重授权机制的落实，确保取得个人向第三方、被爬虫网站、本企业等多个采集
              方分别作出的同意。
                  数据采集阶段的刑事合规风险主要包括：通过非法购买、收受、交换等方式

              获取公民个人信息，或者在履行职责、提供服务过程中非法收集公民个人信息的，
              可构成侵犯公民个人信息罪；通过爬虫等技术手段非法获取数据信息，可能构成
              非法获取计算机信息系统数据罪或者非法侵入计算机信息系统罪，获取数据过程
              中导致计算机信息系统不能正常运行的，可构成破坏计算机信息系统罪；明知是

              非法获取计算机信息系统数据犯罪所获取的数据而予以转移、收购、代为销售的，
              构成掩饰、隐瞒犯罪所得罪；建立网站、通讯群组非法获取公民个人信息的，还
              可构成非法利用信息网络罪。
                  2. 数据使用风险

                  在数据使用阶段，常见场景包括数据提供、数据共享、用于自动化决策、跨
              境流动，核心风险除了违反“告知—同意”规则以外，还包括将数据用于违法犯
              罪活动。第一，“告知—同意”规则同样适用于数据使用环节，企业不得超出事
              前告知的处理目的和处理方式使用个人信息，尤其是向他人提供个人信息的，应

              当向个人告知接受方的名称、联系方式、处理目的、处理方式和个人信息种类，
              并取得个人的单独同意。第二，在数据共享场景下，未经被收集者同意，不得向


                                                                                     135