查看原文
其他

日渐增强的个人信息保护意识,对企业数据合规治理提出哪些新要求?

许秀慧王芸杜欣宜 新则 2023-03-22

2月21日,最高检举行以“坚持以人民为中心,加强网络时代人格权刑事保护”为主题的新闻发布会,在此次会议上发布了最高人民检察院第三十四批指导性案例。此次指导性案例聚焦网络时代、人格权、刑事保护三方面,这些案件能给企业带来哪些警示?对企业的数据信息合规又提出了哪些新要求?


未来,数据信息行业对数据信息的安全保护能力和合规水平将成为企业的核心竞争力之一,本文从企业长效经营的角度,分享对企业数据信息合规治理的经验,希望对你有所帮助。



文 | 许秀慧 王芸 杜欣宜 北京德恒(兰州)律师事务所
本文由作者向新则独家供稿

2月21日,最高检举行以“坚持以人民为中心,加强网络时代人格权刑事保护”为主题的新闻发布会,在此次会议上发布了最高人民检察院第三十四批指导性案例。此次指导性案例聚焦网络时代、人格权、刑事保护的三个方面。

一是从时代要求看,人民群众在新时代对民主、法治、公平、正义、安全、环境等方面的要求日益增长,希望过上更有尊严、更体面的生活,加强对名誉、荣誉、隐私和个人信息的保护,是人民群众在新时代提出的更高法治需求。

二是从法律层面看,民法典专编规定了人格权,强化了对人格权的保护,彰显了国家和法律对人格尊严的尊重和保护。个人信息保护法进一步加大了对个人信息保护的力度,完善了个人信息保护法律体系。

三是从科技发展看,网络已经融入人民群众生产、生活的方方面面。网络的发展带来了便利,但网络空间也是乱象丛生。而且,利用网络实施犯罪相较传统的犯罪手段,对被害人的权益危害更大、社会影响更恶劣。选择了这一主题发布指导性案例,意在引导执法、司法机关加强司法活动,惩治犯罪,同时对社会也是警示和教育摘自最高检相关文章)。笔者站在企业长效经营角度有以下几点观察:

01.
网络时代个人信息权益被侵害,在人格权方面主要体现在诽谤、名誉权、荣誉权等方面被侵害,这些案件能给企业带来怎么样的警示?

虽然动笔前没有看到五个指导性案例的具体案情,利用百度等相关渠道了解到从山东“曹县帖案”到河南灵宝“王帅帖案”,从内蒙古鄂尔多斯市“网络发帖诽谤案”到陕西省首例网络诽谤案等等,网络诽谤案在全国各地已多次发生。这类案件多因网络传播快、范围广而成案,这类案件所暴露的“人肉搜索”等网络诽谤问题越来越凸显。

不仅如此,利用网络侵害个人信息、其他权益的犯罪或侵权行为也越来越频繁,比如2021年3.15晚会中的徐玉玉案:受害人因被告人通过腾讯QQ、支付宝等工具从他处购买非法获取的某省高考学生信息10万余条,经过层层倒卖并使用上述信息实施电信诈骗活动,骗取了徐玉玉学费共计9900元。徐玉玉在和父亲报完案回家的路上心脏骤停不幸离世。这些被告人还骗取了山东、福建等地多名高考生的钱款,诸如此类不再列举。

那么在互联网应用程序(App)得到广泛应用的今天,在数据信息已经成为各个行业生产要素的当下,作为网络运营者、关键基础设施运营者、数据信息处理者如何依法依规履行法律规定的义务,这是今天当下不得不从根本上考虑的问题。

从2021年11月1日相关部门的清理整顿中我们依然可以看到App强制授权、过度索权、超范围收集个人信息的现象大量存在,违法违规使用个人信息的问题十分突出,为保障个人信息安全,在现有《网络安全法》《消费者权益保护法》《数据安全法》法律框架下,作为企业该如何履行法律规定的义务?我们都知道《个人信息保护法》对个人信息权益进行了非常严格的规定,在履行保护个人信息义务方面,企业只有义务没有权利。主要体现在以下三个方面:

① 《个人信息保护法》采用过错推定原则:由于个人信息案件相比其他传统案件更加复杂,信息作为无形物,难以像有形物那样进行固化或锁定,侵权表现形式以及因果关系往往也呈现出发散性和多点性,难以通过直接、明确、有针对性的证据证明。

因此对个人信息处理者提出了更高的注意义务,而这样的举证规则要求企业作为个人信息处理者需要制定严密、完善的合规体系,不但需要在经营过程中做到全过程“留痕”,还必须做到事前审核,事中跟踪,事后复盘,不断推敲业务细节,反复论证。否则个人信息处理者将因不能证明自己没有过错而承担损害赔偿等侵权责任风险。

② 《个人信息保护法》规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。


有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额的百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

由此可见,《个人信息保护法》对于违法行为,规定了较为严重的法律后果。

首先,就惩治的违法行为而言,既有“违反规定”的“积极行为”范畴,又有“未履行保护义务”的“消极行为”范畴,如此一来,就对个人信息处理者的行为尺度提出了严苛的标准,既不能乱作为,也不能无作为,个人信息处理者需在“做”与“不做”之间找到平衡点。

其次,就处罚主体而言,既包括公司、单位、app,也穿透到公司、单位、app背后直接负责的主管人员和其他直接责任人员,以往借壳规避法律责任的商业模式将难以继续,如此一来,不仅《个人信息保护法》还有其他一系列法规的颁布均是在倒逼企业经营者积极主动对企业进行数据信息合规治理,因此企图在灰色地带钻法律的漏洞的想法有可能会付出沉重的代价。

③ 从《个人信息保护法》规定的监管监督看国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。

从法条规定的监管内容来看,个人信息保护监管部门非单一部门职责,而是互相配合的多部门监管体系。互联网、通信、金融、医疗、快递、教育等行业都属于个人信息海量存储行业,而该几类行业分属不同部门监管,因此,凡涉及与该几类行业相关的监管部门都负有相关领域个人信息保护职责,与网信部门互相构成个人信息保护体系。在这样一个九龙治水的监管体系下,企业数据信息合规治理没有退路。

02.
网络空间已经越来越多地成为犯罪空间、侵权空间,但网络空间不是法外之地。

此次最高检颁布的第三十四批指导性案例虽然只有五个案例,但均是具有代表性的典型案例,根据此次新闻发布会上最高检检委会委员、第一检察厅厅长苗生明发言可以获悉:网络环境下对他人侮辱、诽谤、侵犯公民个人信息,具有传播速度快、传播范围广、危害严重、后果严重的特点。但最高检自2019年以来,全国检察机关共批准逮捕涉嫌侮辱罪、诽谤罪犯罪嫌疑人168人;涉嫌侵害公民个人信息罪犯罪嫌疑人12410人;涉嫌侵害英雄烈士名誉、荣誉罪犯罪嫌疑人12人;共起诉涉嫌侮辱罪、诽谤罪被告人213人;涉嫌侵害公民个人信息罪被告人21923人;涉嫌侵害英雄烈士名誉、荣誉罪被告人15人

通过指控犯罪,有力地保护了被害人合法权益,不仅如此,我们从裁判文书网站或其它渠道越来越多的看到网络侵权案件或未履行信息安全保护义务的企业因侵犯个人信息承担民事责任亦或是受到行政处罚。

对于网络数据信息融入比较深的经营行业,更应当高度地意识到网络数据信息安全合规对于长效经营的重要性。

2021年3月12日国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局发布国信办密字(2021)14号关于印发《常见类型移动互联网应用程序必要个人信息范围规定》的通知,对于39个行业的应用程序必要个人信息范围进行了详细规定。

该通知规定39个行业必要信息范围,如房屋租售类必要信息范围为:注册用户移动电话、房源基本信息、房屋地址、面积/户型、期望售价和租金。业主房源信息是房产交易信息和身份识别信息的组合,包含姓名、移动电话、住址、交易价格等内容,均属于《个人信息保护法》保护的公民个人信息。按照《个人信息保护法》未经信息主体另行授权,非法获取、出售限定使用范围的业主房源信息,系侵犯公民个人信息的行为,情节严重、构成犯罪的,应当依法追究刑事责任,同时有可能承担民事赔偿责任或受到行政处罚。作为网络数据信息融入比较深的经营行业,比如房地产行业,数据信息合规治理已经是势在必行的公司治理范畴。

根据《个人信息保护法》及相关法规规定,作为数据信息处理者仅在数据信息收集阶段就应当做到数据收集是否符合合法、正当、最小必要原则,是否在数据收集前对用户以易于理解的方式进行充分、清晰、明确的告知,且是否获取了数据主体的同意,是否为数据主体提供了查询、更正、删除、撤回授权同意、注销账户、获取个人信息副本的渠道,是否保证数据主体可以撤回其处理数据的同意,是否涉及收集未成年人的数据,是否明确收集数据目的和用途,是否提供满足数据收集安全要求的安全管理技术方案,收集人员是否能充分理解数据收集的法律要求、安全和业务需求,并能根据业务需求和具体清况选择合理的数据收集方式等等。

以上符合法律规定的数据信息收集行为不仅要求企业建立一套从制度到组织、从高管到每个员工等等一系列合规治理体系,还涉及到经营过程中大量的规章制度建立、相关文本的起草规范等等一系列具体事务,不仅涉及到合规治理方案的制定还涉及到方案的有效实施及实施后是否有效的检验和评估机制的建立,风险应急措施等等法律问题。

因此,虽然网络无边界,但安全有红线,网络空间不是法外之地,作为网络时代的民事主体应该有高度的网络数据信息安全意识,积极通过各种方式和渠道学习了解《网络安全法》《数据安全法》《个人信息保护法》三大法律保护体系下与此有关的相关法律知识,做到依法上网、依法办网特别是企业更应该做到从上到下,从内到外纵横交错的严密的数据信息安全合规治理体系,才是网络时代应由的经营治理之道。


03.
个人对信息权利保护意识的提高对企业的数据信息合规提出了更高的要求。

自2021年11月1日《个人信息保护法》施行以来,个人信息保护的维权案件有明显的增加,这说明我们国家个人对信息权利的保护意识有所提高。比如:很多小区物业仍然强制要求进入小区进行人脸识别,而且有些地方还有政府推荐造成的看似没有强制,实际强制安装一些人脸识别设备,业主针对这一类强行收集个人敏感信息的行为提起诉讼的有很多起。

《个人信息保护法》等相关法律法规也为公民个人信息的强化保护提供了重要的法律武器,企业应更加关注,在个人信息保护领域企业履行保护的义务是比较严格的。当企业在经营过程中涉及到个人信息的流通、利用和共享时,企业需要谨慎对待,遵照《个人信息保护法》等相关要求,做好个人信息流通的合规工作。

最近,广州互联网法院对一起个人信息未经同意被网站加“*”公布侵犯个人信息权益及名誉权的案件进行了审理。广州互联网法院经审理后做出判决,该网站所发布的案涉信息属于个人信息,构成个人信息权益及名誉权的侵害。

《个人信息保护法》规定:个人信息的处理应当征得被处理信息主体的同意,且该同意应当由个人在充分知情的前提下自愿、明确作出。侵权人网络平台在处理该起个人信息时不仅未取得个人信息主体的同意,且对信息来源的合法性未做任何审查。

在法院审理过程中其虽抗辩已经对该个人信息进行了去标识化处理并未直接指向被侵权人,但是被侵权人提交的证据公证书显示,在侵权网站以被侵权人张某和张某的手机号为关键词搜索后,搜索显示的收件人信息与张某的个人信息完全相互重合。据此广州互联网法院认为网站公布的涉案信息可识别为张某的个人信息。最终根据《民法典》规定,判决网站于判决发生法律效力之日起三日内删除网站所有涉及张某的个人信息,法律效力之日起十日内在“反恶”网站首页连续30日置顶发布道歉声明。

此案中作为个人信息保护的“守门人”,在《个人信息保护法》规定信息处理者必须履行相关个人信息保护义务的前提下,网站应当主动承担平台保护义务。而该案件网站显然没有履行相关的法律义务,其原因是对此法律义务不知悉、无意识、不重视或是根本就是投机钻营,未曾考虑长效经营导致的。

因此数据信息处理者、网络平台、关键基础设施运营者如何做好数据信息保护“守门人”,是企业长效经营应当确实考虑的实际问题,而且未来企业发展中数据信息行业对数据信息的安全保护能力和合规水平将成为企业的一种核心竞争力。

综上所述,目前很多行业对如何做到符合行业实践中合规标准,均在探索中更倾向于阶段性、碎片化的。因此数据信息合规治理路漫漫其修远兮。
 
- END -







# 推荐阅读 #



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存