原载于2021年5月6日 华尔街日报(WSJ),作者 Catherine Stupp,
海外征信小组编译
要点: 欧洲监管机构认为从公共资源中采集的个人数据,如果没有个人授权的属于违反隐私法。全球知名个人征信机构Equifax因从公开可访问的来源采集个人数据并用于信用报告,被西班牙隐私监管机构罚款约110万美元。
欧洲数据保护监管机构正调查有关从公共资源搜集到数据的案件。西班牙数据保护局最近要求Equifax删除以这种方式所收集到的数据,并罚款约为110万美元。因为Equifax在其信用报告中使用了税务机关和其他政府机构的个人未偿还债务信息。并调查是如何通过手动或自动化的方式收集数据。
没有个人授权的数据可能会违反欧洲隐私规则。监管机构正在研究最近影响Facebook Inc.和Microsoft Corp.旗下LinkedIn用户的事件,并批准了较小的公司进行数据采集(Scraping)。
“欧洲的方式无法区分公共数据和其他数据。这只是数据,最终都会归结为隐私”——德国莱比锡法律合伙人彼得·赫恩斯。
2018年的《通用数据保护条例(GDPR)》——即在欧盟27个国家适用的隐私法,要求公司保护其处理的个人数据,并要求证明是通过合法途径获得的。同时是GDPR覆盖公共社交媒体、数据库和或其他数据来源。
2021年4月西班牙当局对Equifax的处罚,显示出企业在欧盟地区采集个人数据时所带来的风险。数据保护监管机构在4月23日公布的判决中表示,Equifax并没有相关权利(即:使用从西班牙政府机构收集到的个人债务信息和罚款信息的权利)。 而且Equifax也没有向个人通知当事人情况(该数据被放入信用报告的情况)。同时监管机构补充到,Equifax必须删除以这种方式收集的数据。
监管机构也透露一些信息已经过时且不准确,有96人对于其数据用于Equifax的报告而表示不满,而且近400万人可能会受到了影响。因为这些信息在同一个政府注册文件中公开并提供。
Equifax发言人表示,公司正在评估监管机构的决定,并相信其数据(所使用的来源于西班牙政府机构的数据)是合法的,但并没有提及到罚款问题。西班牙监管机构拒绝了当面沟通的请求。
监管机构关于Equifax删除个人数据的要求可能会带来的将具有蝴蝶效应:通过Equifax访问西班牙政府数据库报告的第三方公司,也需要停止处理这些信息。位于西班牙Valladolid的隐私律师Jorge García Herrero认为:这会对欧洲的金融服务公司带来更大的影响,因为其他公司将被迫停止非法获得数据的信用报告。
然而,数据采集(Data Scraping)是金融服务公司、招聘公司和其他公司业务的一部分,伦敦福雷斯特研究公司的高级分析师Enza Iannopolly说,在过去的五年,更多的公司已经开始根据他们从公共渠道采集的数据,提供服务。
在美国,联邦法官于2019年裁定,人力资源科技公司HiQ Labs Inc.可以从LinkedIn上的公共档案采集数据,且这并不违反计算机欺诈和滥用法案(该法案涉及禁止访问未经授权的计算机,即黑客相关法律(a hacking law))。
来自苏黎世的数据保护顾问Jimmy Orucevic表示道:“如果数据是业务的核心的话,要求公司删除数据,可能比罚款更加痛苦。”
位于加利福尼亚的人脸识别公司Everalbum Inc.于8月关闭了其服务,并于2021年1月份与联邦贸易委员会达成一个合约,要求删除已停用其账户的用户图像以及停止算法使用这些用户的照片或视频。
Iannopolo女士说,公司可以尽量通过合规的方式收集数据,避免惩罚。这包括验证数据的来源,通过剥离可以识别人的特征,进行匿名化。这意味着公司不会使用诸如名称或出生日期之类的细节。
她还表示:“如果是公开、可用的数据,那么我就可以接受它(被使用),并做任何我想要的东西——这其实是一个误解。”
专业分析:
来自公共数据源的个人数据的应用,也存在个人隐私问题和消费者权益保护的问题,在信用报告中使用,需要告知当事人,特别是负面信息的情况下。
类似的问题在国内也存在,即从公开渠道获取的个人信息,如果是负面的,且会对消费者带来不良影响的,同样需要合规地应用。
资料来源: