《外向型中小企业合规指引手册》
《手册》将分期对企业商事活动一般合规问题进行概括梳理,以及对该期商事活动相关热点问题进行梳理,并提出合规建议,以供企业在对相关问题作出决策时进行参考。
《手册》所包含的一般合规问题所涉范围将最大可能的辐射企业商事活动的各个环节和各个方面,包括但不限于∶数据合规、反腐败/反贿赂、反不正当竞争/反垄断、外汇管理等。
内容导读
上期回顾: 美国数据合规常见的处罚情形包括哪些丨外向型中小企业合规指引手册(6)
本期精彩:企业数据合规经典案例分析
四、典型案例
案例一:中国Cookie隐私第一案
案例简介
朱某在上网浏览相关网站过程中,发现利用百度搜索引擎搜索关键词后,会在特定的网站上出现与关键词有关的广告。
朱某认为,百度网讯科技有限公司(以下简称“百度”)利用网络技术,未经朱某的知情和选择,记录和跟踪了朱某所搜索的关键词,将朱某的兴趣爱好、生活学习工作特点等显露在相关网站上、并利用记录的关键词,对朱某浏览的网页进行广告投放,侵害了朱某的隐私权、使朱某感到恐惧、精神高度紧张,影响了正常的工作和生活。2013年,朱某将百度诉至南京市鼓楼区人民法院,请求判令百度停止侵权并承担赔偿。
一审法院认为,百度利用Cookie技术收集朱某信息,并在朱某不知情和不愿意的情形下进行商业利用,侵犯了朱某的隐私权。
但二审法院认为,百度的个性化推荐利用大数据分析提高了推荐服务的精准性,推荐服务只发生在服务器与浏览器之间,没有对外公开宣扬特定网络用户的网络活动轨迹及上网偏好,也没有强制网络用户必须接受个性化服务推荐,而是提供了相应的退出机制,没有对网络用户的生活安宁产生实质性损害,不构成对朱某隐私权的侵犯。
案例启示
(1)企业网站在收集用户的个人数据时应获得数据主体的同意互联网企业收集数据并且利用数据的过程中,应当注意判断该类数据是否为个人数据信息。企业在收集与使用个人数据信息时,应获得网络用户的知情同意,公开企业隐私政策,披露收集个人数据的目的、方式等。
(2)审慎使用Cookie技术以避免侵犯个人信息企业在使用Cookie技术前,应慎重考虑使用的必要性。如确有必要使用Cookie技术进行数据的收集,应注意对Cookie技术进行披露说明,披露说明的语言应平实,易懂,充分保证用户的知情权。
案例二:Facebook“剑桥分析事件”
案例简介
2013年,剑桥大学的研究人员科某利用所研发的性格测试应用,通过Facebook的开放应用程序编程接口获取了Facebook上近5000万用户的数据,并将数据共享至一家名叫“剑桥分析”的政治咨询公司用于竞选广告的精准推送。
2015年,Facebook在得知相关情况后对该应用进行了屏蔽,并敦促科某与剑桥分析删除所有用户数据,但Facebook并未对剑桥分析是否确实删除了数据作进一步跟进调查。
直至2018年3月事件被媒体曝光,指称Facebook.上超过5000万用户的数据遭到泄露,被剑桥分析用于2016年美国总统大选中对选民进行用户画像以及精准竞选广告投放。
该事件引发了全球范围内数据保护机构对Facebook在隐私以及数据保护的关注。截至目前已有多个国家对Facebook作出了处罚,包括2018年英国信息专员办公室(Information Commissioners 0ffice,IC0)50万欧元(约合64.5万美元)的处罚、2019年6月意大利数据保护机关Guarante110万美元的处罚、2020年1月巴西司法部160万美元的处罚。2020年4月23日,经联邦法院批准,美国联邦贸易委员会(US Federal Trade Commission,FTC)因“剑桥分析事件”对Facebook在与第三方分享数据的违规行为发起调查后与其达成的和解协议正式生效,和解金额是“史无前例”的50亿美元。
案例启示
企业应当主动核查使用第三方数据接口的情况。
由于内部管理等原因,很多企业未能对使用Facebook等平台的接口和插件进行有效的管理。企业应当尽快对其产品中使用第三方接口进行调查和评估,对于没有使用必要的数据应当尽快停止。对于确实需要继续使用的数据接口,应当在企业隐私政策中向用户告知。
同时,企业应建立面临数据突发事件时的应急机制,一旦发生数据突发事件,应当立即组成有数据合规经验的工作小组,必要时应当聘请外部专业律师进行处理。
案例三∶TikTok 案
案例简介
2018年8月,字节跳动北美主体TikTok和字节跳动收购的Musical.ly正式合并,TikTok卷入了Musical.ly接受的美国联邦贸易委员会(FTC)调查。
因 Musical.ly在征得儿童父母同意之前非法收集13岁以下儿童的姓名、电子邮件地址和其他信息,《儿童在线隐私保护法》(COPPA)的规定,Musical.ly同意支付570万美元的罚金以达成指控和解。
2019年5月,注册于美国加州的原Musical.ly实体公司正式更名为 TikTok.Inc,负责运营TikTok美国业务。
TikTok的增长壮大迅速推动了字节跳动的市场估值创下纪录,也使字节跳动成为少有的在中国市场之外拥有数亿用户的中国科技企业之一。
2019年,TikTok受到了美国多个监管部门的法律调查,其中美国海外投资委员会(CFIUS)对其采取了国家安全审查。2019年10月起,字节跳动逐步将TikTok业务与中国"抖音"业务剥离。
案例启示
(1)中国企业应采用透明、清晰、通俗易懂的数据隐私政策,同时避免使用 冗长、复杂、模棱两可的语言撰写隐私政策。
(2)中国企业应当成立专门的数据合规内部团队,负责判断相关商事活动是否符合美国相关数据合规政策,并建立内部合规体系,为防范FTC调查与 CFIUS的审查作出前期准备,必要时可以聘请相关专家进行提前规划。
(3)中国企业在从事海外商事活动中可以考虑与美国企业协商制定积极的风险防控措施,例如聘请来自美国的数据合规专家,使得中国企业在美国有权监管机构面前可以提高可信度。
未完待续……
更多精彩,敬请关注下一期!
声明:以上信息不构成任何投资建议,不代表熊猫出海正式意见。如需咨询相关业务,请关注熊猫出海,并与专业团队取得联系。
内容来源:《外向型中小企业合规指引手册》(第二期)——中国国际贸易促进委员会深圳市委员会
