기업은 경영 과정에서 서비스 목적을 달성하기 위해 사용자의 일부 개인 정보 및 행동 데이터를 수집합니다. 우리나라의 현행 법규는 기업이 시민의 개인 정보를 수집할 때 동의, 합리적, 최소화의 세 가지 기본 원칙을 고수할 것을 요구한다. 동의 원칙은 기업이 개인 정보를 수집할 때 사용자의 동의를 받아야 하며 데이터의 민감도에 따라 동의를 나타내는 방식이 다르다는 것을 의미합니다. 합리성 원칙은 사용자 관련 프로필을 수집할 때 적절한 서비스 시나리오가 있어야 한다는 것을 의미합니다. 최소화 원칙은 기업이 서비스에 필요한 최소 범위 내에서 개인 데이터를 수집해야 하며 지나치게 해서는 안 된다는 것이다. 우리나라' 인터넷 안전법' 과' 전자 상거래법' 에서 개인 데이터 수집에 관한 관련 규정은 모두 상술한 세 가지 원칙의 지도하에 제정된 것이다.
산업 정보화부는 개인 정보 수집을 구체적으로 지도하고 규범화하기 위해 2065 년 5 월' 정보안전기술 개인정보안전규범' GB/T 35273-20 17 (이하' 규범') 을 발표했다. 기술 사양이지만 강제성은 없지만 규범은 개인 정보의 내포, 수집 원칙, 권한 설정 등에 대한 체계적인 세부 규정을 만들어 사법 관행에 중요한 지도의 의미를 갖는다. 규범' 에 따르면 기업은 개인의 민감한 정보를 수집할 때 개인 정보 주체의 명시적 동의를 얻어야 하며, 개인 정보 주체의 명시적 동의는 충분히 알고 있는 기초 위에서 자발적으로 주는 구체적이고 명확하고 명확한 의지의 표현이어야 한다. 사전 제공 또는 자동 수집을 통해 일반 개인 정보를 수집할 경우 정보 주체가 제공하는 제품 및 서비스의 핵심 비즈니스 기능과 중요한 정보를 수집할 필요성을 알리고 제공 거부 또는 동의의 영향을 명시적으로 알리고 개인이 자동 수집을 제공 또는 동의하는지 여부를 선택할 수 있도록 해야 합니다. 추가 기능을 제공하기 위해 개인 정보를 수집하는 경우 먼저 하나씩 설명하고 정보 주체가 하나씩 동의하는지 여부를 선택할 수 있도록 해야 합니다. 정보 주체가 거부할 때 이를 핑계로 핵심 업무 기능 제공을 거부할 수 없고, 서비스 품질을 보장해야 한다. 간단히 말해서, 소비자가 보조 기능에 대한 개인 정보를 제공하는 것에 동의하지 않으면 기업은 주요 서비스 제공을 거부할 수 없습니다. 미성년자에 대하여 법전은 특별한 규정을 만들었다. 14 세 이하의 미성년자의 경우 보호자의 동의를 받아야 개인 정보를 수집할 수 있습니다.
비즈니스 활동의 경우 가장 일반적인 문제는 사용자 권한 부족, 관련 데이터 수집에 해당하는 서비스 시나리오가 없다는 것입니다. 따라서 기업은 정보 수집 권한에 대한 동적 감사 메커니즘을 구축하고 핵심 기능 및 보조 기능을 위해 수집해야 하는 개인 정보를 분류하고, 기능 조정에 따라 정기 또는 비정기적인 감사 및 역추적을 수행해야 합니다. 핵심 기능이 완전히 승인되고 중복 권한이 적시에 폐쇄됩니다. 개인 정보의 과도한 수집으로 인한 영업권 손실 및 행정처벌을 방지합니다.
둘째, 데이터 크롤링: 파충류 자체의 기능과 크롤링 측의 진술에주의를 기울이십시오.
모바일 인터넷 시대에는 다양한 수직 웹 사이트 또는 app 어플리케이션에 대량의 데이터가 캡슐화되었습니다. 업계 조사 분석, 자체 데이터베이스 풍부 등 다양한 목적으로 파충류를 사용하여 데이터를 수집하는 주인공도 검색 엔진에서 빅 데이터 회사 또는 Saas 서비스 회사로 진화하고 있습니다. 캡처 대상이 중국 정부망과 같은 공개 조회 서비스를 제공하는 사이트인 경우 규정 준수 위험은 없습니다. 그러나 대부분의 경우 크롤링 대상은 다양한 비즈니스 서비스 사이트이며, 일반적으로 크롤링 방지 선언을 설정하고 크롤링 방지 기술 조치를 취합니다. 이때, 데이터 파충류는 규정 준수 문제를 매우 중시해야 한다.
사이트에서 robots 프로토콜, 즉 Robots 제외 계약을 선언할 때 데이터 파충류는 robots.txt 에 기록된 금지 크롤링 범위를 피해야 하며, 계약을 준수하지 않을 경우 침해 분쟁이나 불공정 경쟁 소송에 직면할 수 있으며, 파충류는 매우 수동적인 상황에 놓이게 되며, 업무 손실을 배상해야 할 가능성이 높습니다.
더 중요한 것은 파충류가 피사체의 반등반 기술을 우회하거나 돌파하는 기능을 가질 수 없다는 것이다. 우리나라 최고법의 사법해석에 따르면, 컴퓨터 정보 시스템의 침입, 불법 통제를 전문으로 하는 절차와 도구는 (1) 컴퓨터 정보 시스템 보안 조치를 피하거나 돌파하고, 컴퓨터 정보 시스템 데이터 기능을 무단 또는 초월한 것을 의미합니다. (2) 컴퓨터 정보 시스템 보안 조치, 무단 또는 권한 제어 컴퓨터 정보 시스템을 피하거나 돌파하는 기능을 갖추고 있습니다. (3) 침입, 컴퓨터 정보 시스템의 불법 통제, 컴퓨터 정보 시스템 데이터의 불법 획득을 위한 기타 프로그램 및 도구. 앞서 언급한 규정에서 알 수 있듯이, 파충류가 상대방의 기술 조치를 우회하거나 돌파하는 기능을 가지고 있다면 컴퓨터 정보 시스템을 침범하는 절차로 쉽게 인정되어 형법 제 285 조, 제 286 조를 위반하게 된다. 차가 왔다' 앱이' 쿨미코' 버스 데이터를 잡은 사건에서' 차가 왔다' 는 파충류가 사용자 행동을 위장하는 기능을 갖추고 있어 침입 절차로 간주되어 여러 임원이 징역형을 선고받았다.
비즈니스 서비스 사이트 또는 app 가 안티 캡처 기술 조치를 설정하지 않았거나 안티 캡처 선언을 발표하지 않은 경우 관련 데이터를 자유롭게 수집할 수 있는 것은 아닙니다. 20 16 년, 대중평론은 바이두가 파충류 프로그램을 통해 대량의 사용자 평론 정보를 수집하여 자신의 바이두지도, 바이두인식 등의 제품에 사용했기 때문에 부정경쟁이라는 이유로 법원에 소송을 제기했다는 것을 발견했다. 결국 법원은 바이두가 부당한 경쟁을 구성하고 경제적 손실 300 여만 원을 배상할 것을 판결했다. 따라서 포착할 수 있는 데이터의 경우, 피획자의 핵심, 대량 비즈니스 데이터의 경우, 불공정 경쟁, 영업 비밀 침해, 컴퓨터 시스템 데이터 범죄 등 민사분쟁의 위험을 줄이기 위해 파충류로 수집하는 것을 최소화해야 합니다.
셋. 외부 조달: 거래 상대와 거래 데이터에 대한 실사를 수행합니다.
개인 ID 정보 (PII) 와 관련된 데이터 거래는 데이터 수집의 핵심 위험 소스입니다. 우리나라 형법 제 253 조 중 하나인 제 3 항은 훔치거나 다른 방법으로 시민의 개인 정보를 불법적으로 얻는 것은 제 1 항의 규정에 따라 처벌한다고 규정하고 있다. 사법관행에서' 구매' 는 일반적으로' 기타 방법' 중 하나로 여겨진다. 2065438+2008 년 7 월, 산둥 린이시 경찰은 운영자의 내귀신 재판매 데이터로 인한 심각한 시민 개인 정보 침해 사건을 폭로했다. 경찰은 조사 과정에서 새 3 판 상장회사 데이터당이 관련 자료를 매입한 뒤 해당 회사의 부사장을 포함한 여러 임원을 체포해 전 업계에 충격을 준 것으로 밝혀졌다. 데이터당의 경험은 데이터 거래 과정에서 거래 상대와 거래소와 관련된 데이터에 대해 반드시 실사를 해야 한다는 것을 다시 한 번 일깨워 줍니다. 그렇지 않으면 불법 거래의 직접 참가자, 구매 결정을 내린 일련의 관리자 및 관련 재무 담당자는 매우 높은 형사와 법적 위험에 직면하게 될 것입니다.
거래상대의 실사는 주로 데이터 판매자의 자격, 데이터 출처의 합법성, 데이터 수신 범위 및 형식 등을 고려해야 한다. 일반적으로 대기업은 규제 당국의 관심을 받고 규정 준수 체계를 보완할 수 있는 충분한 자원을 보유하고 있습니다. 이에 따라 데이터 구매자의 규정 준수 압력이 낮아지고 내결함성의 공간이 늘어납니다.
거래 상대의 자질보다 더 중요한 것은 거래에 관련된 데이터 소스의 합법성을 보장하는 것이다. 우리나라 정보수집은' 동의, 합리적, 최소화' 의 세 가지 원칙을 강조하기 때문에, 데이터 출처의 합법성을 조사할 때 고려해야 할 주요 요소는 다음과 같습니다. 수집자가 데이터 제공자가 데이터를 수집했는지 여부, 데이터 유통 행위가 수집인의 동의를 받았는지 여부, 데이터 활용 형식이 수집인의 통지와 동의 여부, 수신된 데이터 유형 등이다. 이러한 내용은 보증 계약의 형태로 확인되어야 하지만, 보증 계약은 데이터 수신자의 행정 또는 형사 책임을 완전히 면제한다는 것을 보장하지 않는다는 점에 유의해야 합니다. 민사책임의 경우 데이터 수신업체는 위약책임을 통해서만 최종 손해배상 책임을 데이터 판매자 또는 기타 제 3 자에게 이전할 수 있습니다. 구입한 데이터 유형의 경우, 상대방이 제공할 수 있는 모든 데이터가 아니라 업무상의 필요에 따라 필요한 데이터만 받아야 하며, 관련 데이터를 익명으로 처리하여 데이터 생성자를 다시 식별할 수 없는 정도에 도달해야 합니다.
사법 관행에서 법 집행 기관은 개인 데이터의 적용 범위와 침해 유형을 확대하는 경향이 있다. 따라서 포괄적인 실사가 이루어진 후에도 데이터 수신자는 데이터 제공자가 영업권 상실, 경제보상, 폐업 정비, 영업허가증 취소, 직접책임주관과 같은 민사 및 행정결과를 포함한 해당 법적 결과를 감당할 수 있는지 여부를 진지하게 고려해야 합니다. 데이터 제공자가 행정기관이나 사법기관에 의해 불법적으로 개인 데이터를 수집, 사용 또는 즐기는 것으로 판정되는 경우