[数据安全] 荷兰数据保护局《个人和私人组织数据抓取指南》：“数据抓取几乎总是非法”

0 序

• 2024年5月1日，荷兰数据保护局（Autoriteit Persoonsgegevens，AP）发布了《个人和私人组织数据抓取指南》。
• 指南中为数据抓取设定了严格的框架，与《通用数据保护条例》（GDPR）保持一致，并明确了允许数据抓取的有限情况。

1 要点速览

1. 非法实践和GDPR违规

指南强调了个人数据抓取普遍非法的基本原则。数据抓取被定义为互联网数据的自动化收集和存储，通常涉及个人数据，这带来了重大的隐私风险和违反GDPR的法律后果。AP明确表示，这种行为“几乎总是非法的”，除非是在非常有限的例外情况下。采取这一严格立场，对解决创建和销售个人数据资料，或从私人账户提取信息等明显违反GDPR的行为至关重要。

2. 公开并不等于同意

指南中，一个重要内容是驳斥了公开数据可以自由抓取的普遍误解。AP阐明，数据的公开可用性，并不意味着同意抓取数据。指南的说明、解释，对于法律从业者和公众理解同意机制在数据保护法中的核心地位具有重要作用。简单来说，同意不能被数据的公开性所替代。

3. 法律例外和有限许可

指南允许在一般禁止抓取的情况下有一些例外，这些例外被严格定义。比如，“家庭用途”场景。这种场景下，数据抓取是为了个人项目而在小规模进行的；出于特定公司目的的有针对性抓取，例如监控与自身公司相关的新闻也可能是被允许的。这些例外强调了数据抓取需要合理的法律依据和使用适当比例，以符合GDPR关于数据最小化和目的限制的原则。

4. 私人和政府实体的影响

虽然指南主要针对私人实体和个人，但也指出政府抓取活动同样充满隐私风险。AP指出，其正在制定针对政府数据抓取的单独指导方针。这种双重方法，强调了AP致力于确保所有形式的数据抓取都得到全面监管，维护个人数据保护的完整性。

2 报告内容

1. 引言

描述了数据抓取的各种应用，从算法训练到监测公众意见以服务于商业目的。报告承认抓取技术的发展本质上是中性的，但也指出由于抓取大量个人数据而产生的广泛隐私风险。本节为指南奠定了基础，强调了理解和减轻抓取工具和活动设计阶段隐私风险的重要性。

2. 什么是抓取？

解释了抓取的技术过程及其与网络爬虫的区别。
本节说明抓取不仅仅是搜索，还包括为特定用途收集并存储数据，这些数据通常包括个人敏感信息，并详细说明了有助于界定抓取与其他数据收集形式的技术范围和含义。

3. GDPR的适用性

讨论了GDPR何时适用于抓取活动，重点是家庭用途等例外情况以及将GDPR扩展到欧盟管辖范围以外的情况。这部分对于确定从事抓取活动的实体的法律界限和责任至关重要，包括特定条件下非欧洲实体的适用性。

4. GDPR原则

概述了在抓取个人数据时必须遵守的GDPR核心原则，包括合法性、公平性和透明性。强调组织需要从抓取工具的开发阶段，就开始整合隐私考虑（隐私设计），以确保从一开始就遵守GDPR。

5. 合法性原则

探讨了对抓取到的个人数据进行处理的法律依据。特别关注在何种条件下抓取可能符合“合法利益”理由，这是抓取活动中较难以证明的方面之一，包括对确定合法利益因素的深入分析，以及平衡这些利益与个人权利、自由的严格评估。

6. 特殊类别的个人数据

详细说明了处理特殊类别个人数据的严格条件，强调了一般禁止和有限例外。这部分对于可能无意中抓取敏感数据的实体至关重要，指导他们在该情形下应如何更好履行合规义务。

7. 涉及犯罪的个人数据

讨论了在处理犯罪定罪、罪行相关个人数据时的额外限制和需要仔细考虑的内容。

8. 合法性总结和示例

总结了合法性原则的考虑并提供了实际示例，作为对整个指南中详细讨论的法律门槛和场景的简单回顾。

9. 数据保护影响评估和事先咨询

解释了评估数据保护影响的必要性，以及在某些条件下事先咨询监管机构的重要性，强调应该采取主动合规措施。

10. 使用抓取训练算法

讨论了使用抓取数据训练算法时的特定考虑，特别是在AI背景下伦理和法律的细微差别。

X 参考文献

• 荷兰数据保护局《个人和私人组织数据抓取指南》：“数据抓取几乎总是非法” - 微信/DataLaw 前沿观察站