澳大利亚、英国等11家数据保护机构发布数据抓取联合声明

文|王金钧 中国信息通信研究院互联网法律研究中心助理研究员

8月24日，澳大利亚信息专员办公室（OAIC）联合英国信息专员办公室（ICO）等11家国际数据保护机构发布了一份数据抓取联合声明。随着数据抓取技术实践越来越普遍，其引发的个人信息及隐私泄露风险也愈加凸显，通过数据抓取获取的数据可能会流向恶意第三方和情报机构，以此实现非法牟利或情报收集。

OAIC及ICO于今年7月展开了对 Clearview AI公司的联合调查，并最终认定其数据抓取行为违反了澳大利亚《1988年隐私法》。根据该法规定，就数据抓取行为而言，相关实体应（1）采取合理措施，防止其持有的个人信息因数据抓取被滥用、干扰或丢失，防止未经授权的访问、修改和披露，（2）根据“数据泄露通知框架（Notifiable Data Breaches scheme）”，当数据抓取行为所导致的数据泄露可能对数据主体产生严重影响时，相关实体应当通知数据主体和OAIC。

在此背景下，此联合声明就网络平台如何实现数据抓取合规提出了相应建议，其中包含了相关法律的强制性规定。以下是声明的主要内容。

一、概述

数据抓取是指从网络上自动提取数据，这一技术能够从网络上公开的数据中提取大量的个人信息。在大多数司法辖区，“可公开获取”“可公开访问”或“具有公开性质（public nature）的个人信息”仍属于数据及隐私保护法管辖范围。换言之，此类信息的收集行为仍受到辖区内数据及隐私保护法的限制，持有大量可公开访问数据的社交媒体公司（SMC）或其他运营商仍负有相应的保护义务。因此，大规模数据抓取在大多数的司法辖区都可构成法律定义的“数据泄露”行为。联合声明概述（1）有关数据抓取行为的隐私风险，（2）社交媒体平台和其他网站应如何防止非法的数据抓取，以满足现有监管要求，（3）个人可以采取的措施，将数据抓取所带来隐私风险降到最小。

二、隐私风险

数据抓取可能会被用于如下非法用途：（1）有针对性的网络攻击。例如，发布在“黑客论坛”上的个人身份信息及联系方式可能被用于有针对性的网络社会工程（social engineering）或钓鱼攻击；（2）身份欺诈。被抓取的数据可能被用于贷款、信用卡申请，或伪造社交媒体账号；（3）监控个人行为。被抓取的数据可进一步补充SMC的个人数据库，并向有关机构提供未经授权的访问，以实现监控目的；（4）政治目的。被抓取的数据可能被外国政府和情报机构获取，损害国家安全；（5）垃圾邮件。被抓取的数据可能包含联系方式，用于向其发送大量的垃圾邮件。

报告还指出，数据抓取者可能会将一个网站抓取的数据与其他网站抓取的数据进行汇总比对，得出更加精准的数据画像，将其用于违法目的。数据抓取行为所引发的个人信息及隐私保护风险将削弱人们对于社交媒体网站的信任，限制其对个人信息的控制权，从而对数字经济产生不利影响。

三、社交媒体网站应采取的保护措施

社交媒体及其他类型网站有义务采取措施防止非法的数据抓取。报告指出，由于数据抓取技术的不断发展和数据价值的提升，数据抓取相关的安全保护责任也应是动态的（dynamic responsibility），必须随时保持警惕。由于单一的安全措施不足以应对数据抓取所带来的风险，SMC应采取多层次的技术和程序控制措施，包括：（1）创建一个专门的团队和/或职位，负责识别和实施控制措施，以防范、监控和应对抓取行为；（2）“限制（rate limiting）”一个账户每小时或每天访问其他账户资料的次数，并在发现异常活动时限制其继续访问；（3）对新账户开始寻找其他用户的速度和积极性进行监测；（4）通过监测“僵尸活动（bot activity）”识别数据抓取者，例如，同一账户从不同的IP地址访问平台，且发生在较短时间内；（5）使用验证码等技术以检测僵尸账号，并阻止该账号继续访问；（6）在确认存在数据搜刮的情况下，采取适当的法律行动，向数据抓取者发送停止抓取行为的通知，要求并确认其删除相关信息；（7）在数据抓取可能构成数据泄露的地区，按要求通知受到影响的个人和隐私机构。

此外，SMC应提升用户对自身信息的保护意识，告知用户将在什么环节分享自身信息，提升其对平台隐私设置的认识和了解。SMC应定期对保护措施进行测试和更新，以确保这些措施始终有效。

四、用户应采取的保护措施

防止非法数据抓取的重要一环是提升用户对于自身信息及隐私的保护意识，用户可以采取下列措施，以应对数据抓取引发的相关风险。（1）阅读SMC及其他网站的隐私政策——尤其关注SMC及其他网站的信息披露政策，将有助于用户选择共享哪些信息，并认识由此产生的相关风险；（2）认真考虑信息分享的数量和种类——特别是敏感信息，用户个人应限制分享某些私人信息，如身份证号码、地址信息等，并考虑分享这些信息是否会产生名誉受损、歧视、骚扰、欺诈等风险；（3）理解及管理网站隐私设置，用户个人应了解并掌握网站所提供的隐私保护手段，并通过操作这些机制来提升对自身信息的控制水平。

报告指出，用户应从长远考虑他们所分享的信息所可能造成的影响，即便SMC和其他网站会提供删除或者隐藏信息的设置，但数据抓取技术可能使信息会永远留存在网络上。最后，如果用户担心自己的隐私信息被非法抓取或用于非法目的，可以联系SMC和网站，如果对于答复不满意，可以继续向当地数据保护机构投诉。

五、结论

声明本身不具备强制效力，但可能包含了各地数据及隐私保护法的相关规定。除了SMC和其他网站应当采取的措施以外，声明还强调了用户自身需要采取的限制行动。在当今“分享生活”的潮流下，提升用户自身信息及隐私保护意识显得尤为重要，用户应积极地了解SMC及其他网站的隐私政策，知晓自己共享了哪些信息以及在什么时候共享，如何修改、隐藏及删除相应信息，以及在事件发生如何采取补救措施。SMC可在声明发出后1个月内提出反馈意见，以展示它们是如何满足相关要求的。

原文链接：

https://www.oaic.gov.au/newsroom/global-expectations-of-social-media-platforms-and-other-sites-to-safeguard-against-unlawful-data-scraping

声明：本文来自CAICT互联网法律研究中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。