美国“The National Law Review”网站2020年5月4日消息,法国数据保护局(CNIL)4月30日发布《关于通过爬取工具从公共网络空间提取个人数据并将其重新用于直接营销的指导意见》,对企业抓取网络空间中个人公开数据并用于营销的行为进行了规定。意见指出,相关行为应当遵守基本保障资料原则,即:数据持有者与第三方共享个人数据时需征得个人同意;当个人明确反对不接收非电子直销通信时,相关公司不应当继续进行相关数据爬取和通信活动。
该指南还建议在企业使用网络爬取工具之前采取以下步骤:一是核实被提取的数据的性质和来源,禁止提取网站明文禁止提取的数据;二是尽量减少数据收集,尤其是对个人健康、宗教、性取向等信息的提取尤其需要慎重;三是向个人提供数据爬取通知,包括数据来源情况;四是管理与网络爬取服务提供者的契约关系,确保与爬取服务提供商之间的数据处理协议符合GDPR规定;五是建议在进行数据处理之前执行数据保护影响评估(DPIA)。
CNIL在2019年进行的几次调查发现,许多公司使用爬取工具从公共网络空间自动收集用户数据,部分行为涉嫌违反GDPR和法国数据保护法案。此次发布的指南是在这几次调查的基础上发布的。