在2020年4月30日,法国数据保护局,CNIL发表一个指导周围的背后它称之为考虑“商业勘探”,意思刮公开网站的数据,以获得个人为销售这些数据给第三方用于直接的市场目的用途的联系信息。该指南是在两个方面显著。首先,它说在的GDPR和隐私问题的背景下,这个活动的CNIL的看法。其次,超出直销有关隐私问题的背景下,指导勾画出一些指导原则的公司,进行屏幕抓取活动或聘请外部供应商来收集和封装这样的数据。

隐私问题

根据调查结果转化为商业勘探,在CNIL指引指出,一些实体刮张贴在网上的目录或列表个人电话联系信息,即使这些人可能没有这样的收集和营销招揽以后再利用给予同意。该指导意见指出,虽然这种接触信息来自公开访问的网站,谁发布的信息,个人没有合理地期望把它刮掉了“探矿”,正因为如此,联系人信息仍然是“个人资料”的GDPR之下,不能再用于营销没有资料当事人的同意。

该指南指出,这种同意应的数据的任何再使用之前,出于营销目的而获得,并且必须是自由给予,具体的,通知明确。该CNIL指出的一般条件提的是,个人同意接收营销传播条款的接受是不够的,因为它不具体。In addition, the CNIL notes, the individuals’ rights under the GDPR must also be complied with, such as the right for an individual to oppose to the processing of their data and the need to provide appropriate information to the individual as to the processing of their data (the business reusing the data should in principle make a privacy policy available to the concerned individuals).

随着这一指导的发布,法国数据保护机构(DPA)已经悄悄地确认,涉及收集个人数据的网络抓取,甚至从公开的网站,暗示需要遵守GDPR,并要求公司(及其供应商)执行所需的合规。这不是欧洲DPA第一次调查数据搜集活动。2020年3月,波兰DPA在GDPR下发了第罚款针对Bisnode,瑞典,总部设公司,专门从事商业智能和数据分析。显然,Bisnode刮了约个人事先登记为个体工商户和其他相关企业的活动,并为它的客户产生了一定的报告已对外公布的政府数据库中的数据。为了满足GDPR下有一定的要求,Bisnode已发送的电子邮件到受影响的个人与已知地址(并在其网站上发布通知),但由于行政成本,做的负担,无法发送邮件通知到数百万其他个人或实体所以。波兰DPA发出了这样的违规罚款。相反,用邮件通知数百万,Bisnode的符合的据报道说它将删除有争议的数据,并对波兰德新社的命令提出上诉。不管结果如何,数据搜集已成为欧盟监管机构开始关注的问题。

关于刮擦的一般关注

As we’ve stated on multiple occasions, it is important for downstream recipients of anonymized web or user data or analytic reports breaking down such data to understand how such data is collected and processed and whether such data collection is done according to applicable law or contractual requirements. Putting aside the GDPR issues, the CNIL guidance is a timely reminder to those entities engaged in web scraping about the importance of due diligence with respect to the data collection. The guidance also laid out some guiding principles for companies that conduct screen scraping activities or hire outside vendors to collect and package such data:

  • 了解web抓取和数据处理活动的持续时间
  • 了解所收集数据的来源,以及所收集数据的网站是否限制其收集和商业再利用
  • 尽量减少个人数据的收集,以及副歌从收集的任何数据是不相关的数据提取的预期目的
  • 通知受收集个人资料影响的个人
  • 仔细监督供应商之间关于数据处理性质以及任何隐私和数据安全义务的关系。国家数据保护委员建议,服务合约应符合《内部法规》的某些规定,并应特别概述收集资料活动的性质,包括处理资料的目的及收集的个人资料的类型(如有的话)。
  • 适当时进行数据保护影响评估(DPIA)