Скрапинг общедоступных данных. Это законно?

Мы все слышали о непрекращающихся случаях, когда компании отказываются от судебных исков против деятельности по очистке веб-страниц. Стоит упомянуть дела LinkedIn против HiQ по очистке общедоступных данных и дело Facebook Inc. против BrandTotal Ltd. по очистке данных от Facebook. Что еще интересно, в одном случае решение было принято в пользу парсера данных, а в другом — компании, чья платформа парсится. Наблюдение за такими случаями с разными исходами вызывает вопросы, особенно в связи с недавним Общим регламентом по защите данных (GDPR), о том, насколько законен на самом деле веб-скрапинг общедоступных данных?

Почему похожие дела приводят к разным результатам?

HiQ Labs Inc. (HiQ) — компания по анализу данных, которая с помощью автоматических ботов извлекала из LinkedIn информацию, которую пользователи LinkedIn размещали в своих профилях. Следовательно, LinkedIn Corp. отправила HiQ письмо с обоснованием и воздержанием, требуя от HiQ прекратить доступ и сбор данных с сервера LinkedIn, и в ответ HiQ подала иск против LinkedIn.До сих пор суд выносил решение в пользу HiQ, разрешая доступ к общедоступным данным, но это не может быть четко указано, поскольку разбирательство может быть продолжено в высоком суде.

Однако в деле Facebook против BrandTotal Ltd, где BrandTotal Ltd использовала расширения Google Chrome для извлечения данных пользователей Facebook, суд вынес окончательное решение в пользу Facebook Inc. В настоящее время основное различие между обоими случаями заключается в том, как выполнялся парсинг. В последнем случае веб-скрапинг был выполнен мошенническим образом с помощью расширения, в котором ни в одном из Условий и услуг не упоминается, что оно собирает огромные объемы данных от пользователей Facebook, во-вторых, Пользовательские условия и услуги Facebook Inc. включают пункт который запрещает «получать доступ или собирать данные из продуктов Facebook «с использованием автоматизированных средств» без разрешения Facebook», поэтому любой сбор данных представляет собой нарушение договора.

Как видно из обоих случаев, публичный сбор данных может быть как в некоторой степени законным, так и незаконным, если не были соблюдены все меры предосторожности и процедуры. Настоятельно рекомендуется следить за любыми новыми обновлениями по очистке данных и законности, потому что дело HiQ против LinkedIn может навязать новое историческое дело по этому вопросу в ближайшем будущем.

В делах HiQ против LinkedIn и Facebook Inc. против BrandTotal Ltd возникает вопрос о применимости Закона о компьютерном мошенничестве и злоупотреблениях (CFAA) к данным, которые общедоступны в Интернете, однако как это будет в случае GDPR?

Парсинг общедоступных данных и GDPR

Если вы решили парсить общедоступные данные, есть несколько вещей, которые вы должны принять во внимание, прежде чем начать:

1. Установите правовую основу для использования данных, поймите, какую сумму вы собираетесь собрать и из какого источника.

Итак, вы приняли решение парсить данные — начните с понимания того, является ли это общедоступным источником, например, он не требует регистрации перед доступом к данным, или в нем прямо не указано, что использование этих данных запрещено. После того, как вы установили, что источник действительно является общедоступным, поймите, по каким причинам вы очищаете данные, чтобы при необходимости вы могли представить законную причину получения данных. — Если хотите, вы можете ознакомиться с информацией о 6 юридических основания для законной обработки в статье 6 GDPR. Наконец, поймите, какие объемы данных будут очищены и что ненужные данные не будут получены.

2. Содержат ли данные данные специальной категории?

Поняв, сколько данных находится в теме, убедитесь, что никакие данные особой категории не включены и не очищены без необходимости избегать какой-либо конфронтации. Данные специальной категории — это любые данные, касающиеся расы, этнической принадлежности, сексуальной ориентации, данных о состоянии здоровья, биометрических данных и т. д. Однако, если вы пришли к выводу, что вам нужны данные специальной категории, обязательно внимательно следуйте всем шагам и запросить разрешение субъекта данных на использование данных, где это возможно. GDPR требует явного разрешения на использование данных специальной категории. Оценка воздействия данных может потребоваться для выполнения в определенных случаях большого количества данных специальной категории. Если данные, которые вы очищаете, такие простые, как электронные письма, номера телефонов и имена, они не подпадают под действие этого пункта.

3. Ознакомление с любыми условиями издателя базы данных, если это применимо.

Если субъект данных сам опубликовал информацию, она является общедоступной информацией, но существует на платформе социальных сетей, например. LinkedIn, Facebook или любая другая платформа, чтобы не оказаться в ситуации, аналогичной той, в которой оказался BrandTotal Ltd. — ознакомьтесь с Правилами и условиями платформы.Понимание того, не запрещает ли владелец данных использование данных и был ли субъект данных проинформирован о возможности использования третьими лицами его опубликованных данных, имеет решающее значение и обеспечивает ваше понимание политик в отношении парсинга.

4. Для дополнительной защиты вы всегда можете проверить позицию местных органов по защите данных в отношении использования персональных данных из общедоступных источников.

В некоторых странах, например во Франции, использование общедоступных данных в маркетинговых целях запрещено национальным законодательством.

Парсинг данных не освобождает от обязанности соблюдать принципы GDPR

После выполнения предупредительных мер перед очисткой общедоступных данных необходимо взвесить, как GDPR вмешивается в этот вопрос. При работе с любыми данными, независимо от того, являются ли они общедоступными или нет, необходимо учитывать определенные принципы GDPR.

1. Принцип минимизации данных — следите за тем, чтобы вычищенные данные были сведены к минимуму до необходимого
2. Ограничение цели — нельзя получать данные, которые не служат никакой цели.
3. Точность — данные, получаемые или хранящиеся, должны быть точными и часто обновляться, если они со временем изменялись.
4. Законность, справедливость и прозрачность — обработка данных должна осуществляться законно и прозрачно, а не по примеру BrandTotal Ltd.
5. Ограничение хранения — хранить нужное и удалять, когда оно больше не нужно
6. Целостность и конфиденциальность — обеспечьте максимальную защиту полученных данных

Могу ли я очистить общедоступные адреса электронной почты и номера телефонов?

Если вы следовали всем предыдущим советам и учли все — да, вы можете. Просто убедитесь, что вы не используете их в маркетинговых целях во Франции, и предоставьте человеку возможность отказаться от маркетинговых электронных писем в случае, если вы осуществляете маркетинг на основе полученных данных, а также будьте готовы предоставить информацию о где вы получили данные.Помните, что данные юридических лиц не подпадают под действие GDPR, поэтому вы можете использовать общедоступные данные юридических лиц в маркетинговых целях, это данные физических лиц, с которыми вы должны быть осторожны.

В заключение… отказ от ответственности.

Необходимо учитывать, что каждое действие по очистке данных является личной ответственностью, которую берет на себя лицо, осуществляющее очистку, поэтому этот совет от Web Scraper не следует принимать в полном объеме. Помните, что знакомство с GDPR и доступными документами — отличное начало! GDPR был разработан для запрета мошеннических действий с данными, для обеспечения прозрачности и безопасности данных субъектов данных, для ограничения использования ненужных данных, а не для остановки бизнеса. Парсинг данных в соответствии с GDPR может показаться сложным, однако это возможно с применением соответствующих средств.

Статья: Специалист по защите данных Эльвира Креке от Юридически