律谈|大数据时代背景下的个人信息保护
当前我国正处于网络生活全覆盖的大数据时代,随着社交网络的逐渐成熟,移动互联网的迅速提升,云计算、物联网等应用的快速发展,网络大数据正通过信息的流动和共享改变着人们的生活方式、认知观念与思维模式。与此同时,以用户需求为中心汇聚起的巨大信息流成为大数据环境中最重要的社会内容,也因此成为了信息产业争先抢夺的资源。
2019年7月,“淘宝(中国)软件有限公司”诉“安徽美景信息科技有限公司”不正当竞争纠纷案终于落下帷幕。该案的争议焦点在于:何种信息属于应受法律保护的个人信息;企业对何种信息能够加工处理继而对其享有权利。经过两审及再审,浙江省高级人民法院认为,“淘宝(中国)软件有限公司”履行告知义务后获取并使用用户浏览、搜索等痕迹信息的行为是合理合法的。值得肯定的是,浙江省高级人民法院对于该案所秉持的裁判立场和观点,不仅在司法层面合理界分了个人信息保护的法律边界,适度抑制了个人信息边界持续扩张的理论趋势,也给信息产业留有适度发展的空间。该案的司法裁判观点对于目前个人信息保护而言具有重要的启示意义。
一
现行法律、法规、司法解释关于“个人信息保护”的规定
《中华人民共和国网络安全法》《中华人民共和国消费者权益保护法》《中华人民共和国刑法》以及《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》等已从立法层面为个人信息保护予以规范。
上下滑动查看
(一)公民个人信息的概念
《网络安全法》第七十六条的规定:
“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”
《侵犯个人信息司法解释》第一条的规定:
“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”
“可识别性”是公民个人信息的根本特性,即公民个人信息与主体之间须存在某一客观联系。具体而言,公民个人信息可通过以下两种方式予以判断:(1)识别,即可由信息本身的特殊性识别出特定的自然人身份;(2)关联,即已知特定自然人,由该自然人在其活动过程中产生的信息。
(二)公民个人信息的收集、使用
《网络安全法》第四十一条的规定:
“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”
《消费者权益保护法》第二十九条的规定:
“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。”
结合《信息安全技术 个人信息安全规范》【GB/T 35273-2017】,笔者认为个人信息的收集、使用应遵循以下原则:
1.目的明确原则:具有合法、正当、必要、明确的个人信息处理目的;
2.选择同意原则:向个人信息主体明示个人信息处理目的、方式、范围、规则等,征求其授权同意;
3.最少够用原则:除与个人信息主体另有约定外,只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量,目的达成后,应及时根据约定删除个人信息;
4.确保安全原则:具备足够强大的技术支持以满足个人信息保存的秘密性和安全性要求,并建立完善的规章制度以最大程度保护个人信息的安全;
5.主体参与原则:向个人信息主体提供能够访问、更正、删除其个人信息,以及撤回同意、注销账户等方法;
6.保存时间最小化原则:个人信息保存期限应为实现目的所必需的最短时间。
(三)侵犯公民个人信息的法律后果
《信息网络侵害人身权益适用法律规定》第十二条的规定:
“网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持……。”
《刑法》第二百五十三条之一的规定:
“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
笔者认为,随着信息技术的飞速发展和互联网技术的全面普及,个人信息的批量处理和传递个人信息越来越容易,信息资源已然成为重要的生产要素和社会财富。而在各类信息中,个人信息的价值日益凸显,成为数字经济最重要的元素之一。与此同时也导致了个人信息遭受不当收集、恶意使用、篡改的隐患随之增多,轻则威胁个人生命和财产安全,重则将可能危及社会稳定和国家安全。因此,除了个人信息主体应当关注自身隐私的保护外,个人信息控制者亦应当在法律框架范围内收集、使用个人信息。
另外,就法律救济途径而言,当前我国已逐步从私法、公法等不同层面完善个人信息保护,侵犯公民个人信息的违法行为,将受到法律的严惩。
二
近年来涉及公民个人信息保护的司法裁判规则摘要
案例一、淘宝(中国)软件有限公司诉安徽美景信息科技有限公司不正当竞争纠纷案【案号:(2019)浙民申1209号】
【法院观点】淘宝(中国)软件有限公司作为网络服务提供者,在网络上已公示了《淘宝平台服务协议》与淘宝隐私权政策,明确宣示了收集、使用用户信息的目的、方式、范围,同时提示会根据用户浏览及搜索记录、设备信息、位置信息、订单信息等,提取浏览、搜索偏好、行为习惯等特征,并承诺会将个人信息作匿名化、去标识化处理。“生意参谋”数据产品所涉网络用户信息主要表现为网络用户浏览、搜索、收藏、加购、交易等行为痕迹信息,以及由行为痕迹信息推测所得出的行为人的性别、职业、所在区域、个人偏好等标签信息。这些行为痕迹信息与标签信息并不具备能够单独或者与其他信息结合识别自然人个人身份的可能性。“生意参谋”数据产品中涉及的用户信息种类均在上述服务协议和隐私权政策已宣示的信息收集、使用范围之内。淘宝(中国)软件有限公司收集并使用用户数据信息的行为并未违反相关个人信息的保护。
【裁判规则】个人信息经去标识化处理后,无法复原或识别到个人信息主体的,则此类信息的使用无需再另行通知用户并征得用户同意。
案例二、高方雄诉北京快手科技有限公司网络侵权责任纠纷案【案号:(2018)琼02民终822号】
【法院观点】原告在吸毒被查获时系未成年人,快手用户在被告运营的快手APP上发布的信息中披露了原告的姓名,并配有其照片,虽然该用户对原告的眼部进行了马赛克处理,但未对其他面部特征及面部以外的重要可识别身体部位进行不可识别的技术处理,侵犯了原告的合法权益。被告作为网络服务提供者,未对发布违法案件信息的用户尽到保护未成年人隐私的事先提示义务及事后监管义务,应对此承担连带责任。
【裁判规则】任何组织或个人不得披露未成年人的个人隐私。在未成年人犯罪案件中,新闻报道、影视节目、公开出版物、网络等不得披露未成年人的姓名、住所、照片、图像以及可能推断出该未成年人的资料。
案例三、庞理鹏诉北京趣拿信息技术有限公司等隐私权纠纷案【案号:(2017)京01民终509号】
【法院观点】被告网站作为消费者出行信息的控制者,应有相应的能力保护消费者的个人信息免受泄露,这也是其应尽的法律义务。被告尤其在知晓可能涉嫌泄露乘客隐私后,未迅速采取专门的、有针对性的有效措施,以加强其信息安全保护,应承担侵权责任。
【裁判规则】信息控制者负有保护个人信息安全的义务,应当采取一定措施保障个人信息不被泄露,被告未举证证明其采取了专门的、有针对性的有效措施以加强个人信息安全保护,法院认定被告存在泄露原告个人隐私信息的高度可能,因此判令被告承担侵权责任。
案例四、时玉国诉王茹香等隐私权纠纷案【案号:(2017)京0109民初4483号】
【法院观点】被告将执勤人员实名制统计表信息在微信群、微信朋友圈中转发、公开,而该表涉及包括原告在内多名村民的姓名、性别、身份证号码、银行账户、工资金额等信息,法院认定涉案行为构成侵权。
【裁判规则】公民个人姓名、身份证号码、银行卡号等信息从整体上属于个人隐私,他人在微信中转发公开等传播行为构成侵犯隐私权。
案例五、赵鹏诉北京链接房地产经纪有限公司等隐私权纠纷案【案号:(2018)京0105民初9840号】
【法院观点】作为企业员工的管理者,被告未建立信息安全的管理制度和操作规程,没有对客户信息安全进行风险提示,也没有对客户敏感信息采取加密处理等措施以保障客户的信息安全,从而无法确保经纪人谨慎依约合法地使用公民个人信息。本案侵权事实的发生与被告内部对客户个人信息的保护存在监管漏洞直接相关,因被告的管理存在过错,故应对原告个人信息泄露承担侵权责任。
【裁判规则】企业员工将工作过程中所掌握的客户信息提供予他人用于非法目的,企业因在个人信息管理方面存在漏洞应承担侵权责任。
三
关于个人信息保护的法律建议
大数据时代背景下,加强保护公民个人信息安全,保障公民个人信息不被泄露极其重要。伴随着移动互联网技术和新型通讯技术的发展普及,公民个人信息获取、传输、传播都极为快捷和便利,高速便捷的网络服务在让广大民众享受信息共享所带来便利的同时,与公民个人信息密切相关的侵权、违法犯罪行为也日益增多,加强数据保护在当前形势下显得尤为迫切。笔者结合过往参与的科技、电信与互联网、互联网金融、银行金融等领域的网络安全与数据合规项目经验,就个人信息保护问题提供如下法律建议:
(一)完善立法、严格执法,为维护个人信息权益保驾护航
1.在立法层面上,我国现行法律法规中对于个人信息保护的规定较为零散、未形成体系,且保护范围狭窄,截至当前尚未有一部完备、统一的个人信息保护法律。数据化时代日新月异,我国应当尽快完善立法上的不足,制定新规定,以应对新出现的侵害个人信息的情形,为保护个人信息提供立法保障。
2.在执法层面上,行政机关对于侵害个人信息行为的管理职能划分不够明确,执法缺乏统一的尺度。行政机关应明确划分监督、管理个人信息保护的职能机构,严查个人信息贩卖的违法行为,确保个人信息保护法律的有效实施。
(二)增强意识、提高警惕,为减少个人信息泄露杜隙防微
1.就个人信息主体而言,应当增强个人信息保护意识,提高个人信息防范意识,以降低个人信息泄露的概率及其可能造成的损害。
2.在使用软件等服务过程中,对于需要网络用户进行授权的情形,应当尽量根据最少够用原则、时间最小化原则等进行选择性授权,避免暴露更多个人信息。
3.在服务结束或授权期限届满后,应当确认个人信息的采集、使用是否结束,并通过更正、删除个人信息、撤回同意、注销账户等方法确保个人信息安全。
4.在个人信息遭受泄露、买卖等侵害时,个人信息主体应当及时维权防止损害扩大(包括但不限于与个人信息控制者协商、向监管部门投诉、向公安机关报案或向法院提起诉讼等)。
(三)建立制度、规范管理,使个人信息保护落到实处
1.个人信息控制者应采取合理措施保障个人信息安全
在数据化时代,单方、孤立的信息被大量收集整理后,一旦发生泄露,将对个人隐私造成巨大威胁,因此,信息控制者应妥善保管个人信息,采取措施予以防范。同时,信息控制者应当建立个人信息保护制度与规范,通过技术手段防范个人信息泄露等事件的发生。当发现可能或已有个人信息泄露的情况,应迅速采取有效措施防止损失扩大,及时加强个人信息安全保护。
2.对个人敏感信息应当进行特别保护
针对个人敏感信息(包括但不限于个人财产信息、个人健康生理信息、个人生物识别信息、个人身份信息、网络身份标识信息等其他信息)应当采取较强的保护措施,如制定个人信息保护工作的目标、范围、原则、安全框架等总体方针,以及信息安全策略的相关规章制度和文件,从数据的生命周期角度出发,在数据收集、存储、显示、处理、使用、销毁等各个环节需建立安全防护措施。根据信息敏感程度的级别采取不同的控制措施,包括但不限于访问控制或进行一定强度的加密算法进行加密存储、敏感信息脱敏显示等。
另外,因工作需要而接触敏感信息的员工,亦可能成为泄露个人信息的另一行为主体,用人单位若管理不善,需要为该等员工的行为后果负责。因此,个人信息控制主体还应当对可能接触到个人敏感信息的人员进行规范教育、严格管理、安全审计及事后追责,对于数据访问、内外部传输使用、脱敏、解密等重要操作建立建立健全完善的审批等机制,并与相关人员签署保密协议等。同时还应当进行必要的信息安全培训,要求相关人员在日常工作中形成良好操作习惯,提升个人信息保护意识。
3.以匿名化等适当手段保护个人信息
所谓匿名化,系指通过对个人信息进行技术处理,使得个人信息主体无法被识别,且处理后的信息无法被复原的过程。对个人信息进行匿名化处理,一定程度上切断了个人与匿名数据之间的法律联系,在数据被充分匿名化之后,可以在一定程度上保护个人隐私不被侵犯。
4.规范个人信息共享、转让
个人信息原则上不得共享、转让。个人信息控制者非因收购、兼并、重组、破产等原因共享、转让个人信息时,应充分重视风险,并符合以下要求:
(1)事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;
(2)向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果,并事先征得个人信息主体的授权同意。共享、转让经去标识化处理的个人信息,且确保数据接收方无法重新识别或者关联个人信息主体的除外;
(3)共享、转让个人敏感信息前,除前述告知义务外,还应向个人信息主体告知涉及的个人敏感信息的类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意;
(4)通过合同等方式规制数据接收方的责任和义务;
(5)准确记录和保存个人信息的共享、转让情况,包括共享、转让的日期、规模、目的,以及数据接收方基本情况等;
(6)个人信息控制者发现数据接收方违反法律法规要求或双方约定处理个人信息的,应立即要求数据接收方停止相关行为,且采取或要求数据接收方采取有效补救措施(如更改口令、回收权限、断开网络连接等)控制或消除个人信息面临的安全风险;必要时个人信息控制者应解除与数据接收方的业务关系,并要求数据接收方及时删除从个人信息控制者处获得的个人信息;
(7)帮助个人信息主体了解数据接收方对个人信息的保存、使用等情况,以及个人信息主体的权利,例如,访问、更正、删除、注销账户等。
5.个人信息数据的跨境传输
就目前而言,在中华人民共和国境内运营中收集和产生的个人信息和重要数据,原则上应当在境内存储,特殊情况下因业务需要须跨境传输的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。但截止本稿发出之日,上述部门尚未出台具体的实施细则,结合《个人信息和重要数据出境安全评估方法(征求意见稿)》,笔者理解,个人数据的跨境传输至少须符合以下要求:
(1)向个人信息主体说明数据出境的目的、范围、内容、接收方及接收方所在的国家或地区,并经其明示同意,涉及未成年人的个人信息则须经其监护人同意;
(2)须经数据出境安全评估前置程序,重点评估内容包括:
1)数据出境的必要性;
2)涉及个人信息、重要数据的情况;
3)数据接收方的安全保护能力;
4)数据接收方所在国家和地区的网络安全环境;
5)数据出境、再转移及汇聚后对个人利益、社会公共利益和国家安全的风险等其他重要事项。
6.必要时培养/聘用具备“CISP”、“CISSP”等资质的专业人员
“CISP”全称“Certified Information Security Professional”,
即注册信息安全专业人员;“CISSP”全称
“CertifiedInformationSystemSecurityProfessional”,即注册信息系统安全认证专家,目前我国相关政府机构、网络安全集成服务企业、银行业金融机构等各大企事业单位均已不同程度聘用具备该等资质的专业人员,以期从个人信息数据访问控制、电信及网络安全、信息安全治理及风险治理、软件开发安全架构与设计、运营安全、调查及合规等全流程协助企事业单位完善个人信息保护工作,规避可能潜在的法律风险。
(四)注重公共利益与个人隐私保护的平衡
个人隐私的让渡应当基于保障社会公共利益的必要,在合理的限度内限制个人权利的行使,但不意味着个人信息可以被无限度无规则地使用。事实上,笔者认为在现实生活中公共利益与个人隐私保护并非完全对立。例如在本次新冠疫情抗击过程中,统计与疫情防控有关信息并在一定范围内进行数据共享具有充分正当性和必要性。但是,即使基于社会公共利益的需要,个人信息的公开也必须在必要合理范围内,如果超出必要边界,随意泄露个人信息,甚至是恶意传播,给信息主体造成损害或其他不利后果的,信息控制者和传播者也应当承担相应的法律责任。
文|王霞 陈超 何强
广东卓信律师事务所