?

首席數據官高鵬律師團隊

在當今數字化時代，數據的價值日益凸顯，而合法收集數據成為了企業、機構以及各類組織必須嚴守的關鍵準則。作為律師，深入理解并準確界定合法收集數據的范疇，對于保障各方權益、維護法律秩序至關重要。

一、法律依據：構建合法收集的基石

我國諸多法律法規為數據收集活動劃定了清晰的框架。《網絡安全法》明確規定，網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。這是數據收集合法性的根本遵循，任何偏離這一原則的行為都可能引發法律風險。同時，《數據安全法》從更宏觀的層面強調了數據處理過程中的安全與合規要求，確保數據在整個生命周期中的合法性與安全性。

二、核心原則：合法收集的關鍵要素

（一）合法性原則

數據收集行為必須有明確的法律依據或經用戶合法授權。這意味著收集主體需在法律規定的權限范圍內進行操作，或是通過與用戶簽訂合法的協議、獲得用戶的明確許可來獲取數據。例如，金融機構在收集客戶財務信息時，需依據相關金融監管法規，且在開戶協議等文件中清晰告知客戶信息收集的目的、用途及保護措施，確保收集行為的合法性根基穩固。

（二）正當性原則

收集數據的目的與手段應當正當合理。目的正當要求數據收集不能超出其宣稱的或合理的業務需求范圍，不得基于非法或不道德的動機進行收集，如不能僅為商業間諜目的而收集競爭對手數據。手段正當則體現在收集方式上，應避免采用欺詐、脅迫、偷偷摸摸等不正當手段獲取數據。例如，通過虛假抽獎活動騙取用戶個人信息用于營銷目的，就嚴重違背了正當性原則。

（三）必要性原則

只收集為實現特定目的所必需的最少量數據。這就要求數據收集者在進行收集規劃時，精準評估業務需求，摒棄過度收集的沖動。比如，一款簡單的健身打卡 APP，僅需收集用戶的基本信息、運動記錄以實現其核心功能，若額外收集用戶的通訊錄、精確位置等與功能無直接關聯的數據，就可能涉嫌違反必要性原則，引發法律爭議。

三、告知與同意：不可或缺的程序環節

數據收集者必須向數據主體履行充分的告知義務，明確告知收集的數據類型、收集目的、使用方式、存儲期限以及可能的共享對象等關鍵信息。同意則需是數據主體在充分知情基礎上的自愿、明確表示，通常通過勾選同意框、簽署書面協議或電子確認等有效形式體現。例如，電商平臺在用戶注冊時，以醒目的方式展示隱私政策，詳細說明數據收集與處理情況，用戶勾選同意后才可完成注冊，這種規范的操作模式有助于保障告知與同意程序的有效性，避免后續法律糾紛。

四、特殊數據的特殊規制：敏感領域的嚴格把控

對于涉及個人敏感信息，如種族、民族、宗教信仰、政治信仰、基因信息、生物識別信息、醫療健康信息、金融賬戶信息等，法律設置了更為嚴格的保護門檻。收集這類敏感信息，除了要遵循一般的合法、正當、必要原則外，還需具有特定的目的和充分的必要性，并且往往需要取得數據主體的單獨同意，甚至在某些情況下要經過相關部門的審批或備案。例如，醫療機構收集患者的基因信息用于疾病研究，不僅要滿足醫學倫理審查要求，還要與患者簽訂詳細的知情同意書，確保患者充分知曉信息收集的風險與用途，以符合法律對特殊數據收集的高規格監管要求。

五、數據安全保障：合法收集的延伸責任

合法收集數據不僅僅關注收集過程本身，還涵蓋對收集到的數據的妥善保管與安全防護。數據收集者需采取合理的技術措施和管理手段，防止數據泄露、篡改、丟失或被非法獲取與使用。這包括建立完善的數據加密系統、訪問控制機制、定期安全審計以及制定數據安全事故應急預案等。例如，一家大型互聯網公司，為保護用戶海量數據安全，投入大量資源建設數據中心安全防護體系，從物理隔離到網絡防火墻，從數據備份到員工安全培訓，全方位保障數據安全，這也是合法收集數據不可或缺的重要組成部分。