一、引言
根据《中国互联网发展报告(2021)》显示,当前我国互联网用户规模已经超过10亿人,互联网普及率高达70.4%,是全球规模最大的数字社会。[1]当信息技术高速发展,给人们带来便捷的同时,使得个人信息数据在社会发展中扮演重要角色,已经逐步发展成为推动经济发展的重要生产要素。[2]在今年十三届全国人大五次会议中,政府工作报告中多次提到,“网络安全、数据安全和个人信息保护”是国家建设网络强国和数字中国战略的重要组成部分,在我国当前发展过程中,要重视网络和数据安全,加强个人信息保护。[3]
2021年11月国家出台《个人信息保护法》,旨在规范个人信息处理、促进个人信息利用、保护个人信息安全。而实践中,个人信息数据滥用的情形屡见不鲜,比如,在央视“3·15”晚会中,出现了对个人信息数据侵犯的案例,一款名为“雷达wifi”的App,通过其自身算法,对央视的测试机进行位置信息数据抓取,在短短一天之内抓取的次数高达6万多次。[4]另外,在生活中,部分公民还存在经常接到骚扰电话,比如刚刚买了房子,就接到了装修公司的推销电话。个人信息数据被违规收集和使用的例子越来越多,影响和威胁人民的信息安全。
根据我们在威科先行数据库统计情况,在民事领域,个人信息保护纠纷的案例已有149件;在刑事领域已有6168件相关案例。[5]面对个人信息数据存在不合理使用的情况,公安机关、司法机关、行政机关积极打击,在2021年4月,最高人民检察院发布检察机关个人信息保护公益诉讼典型案例,为个人信息数据保护提供权威参考。
二、关于个人信息数据保护的解读
在生活中,个人信息数据的非法收集、使用给公民带来了巨大困扰和威胁。在收集处理个人信息数据的时候,需要注意合规要求,避免违法后果的产生。本文以2021年最高人民检察院发布的检察机关个人信息保护公益诉讼典型案例为切入,从合规要求和违法后果的角度对个人信息数据保护进行解读。
(一)个人信息数据保护的合规要求
1. 遵循合法、正当、必要、诚信的原则
根据《个人信息保护法》第五条,处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。从前述规定来看,信息收集者收集、处理个人信息数据时,主观层面应当具有明确、合理的目的;同时,在客观层面,满足必要的前提下,应当尽可能缩小收集的信息数据范围,必须使收集的范围与目的直接相关,并且不得利用收集到的个人信息数据进行目的范围外的处理活动。
以App运营者为例,在江西省南昌市人民检察院督促整治手机APP侵害公民个人信息行政公益诉讼案中,江西省南昌市人民检察院从有关媒体报道中发现,本地部分手机APP存在侵害用户个人隐私和违规收集使用用户个人信息问题,包括未明示收集使用个人信息的目的、方式和范围;未经用户同意收集使用个人信息;违反必要原则,收集与提供的服务无关的个人信息;未经同意向他人提供个人信息等,损害了社会公共利益。[6]从该案件中,检察机关明确提到,APP的运营商未示明收集使用个人信息的目的、方式和范围。这一点明显违反前述《个人信息保护法》第五条的立法目的。
由此,在实践过程中,APP运营者应当在明显位置向用户示明收集信息的目的、用途。不得隐瞒、或者变相隐瞒其示明义务,比如将用户协议隐藏等措施都是不符合要求的。在《个人信息保护法》的背景下,个人信息处理者首先应当向信息所有者示明收集、处理个人信息的目的,并且要在该目的项下进行个人信息处理活动。其次,在满足收集处理目的的情况下, 需要遵循正当、必要、诚信的原则。以APP运营商为例,其在收集的过程中区分基本业务功能和拓展业务功能所需的个人信息。最后,在基本原则下,应当明确个人信息收集的范围。在国家层面,2021年5月1日,网信办、工信部、公安部与国家市监局联合发布的《常见类型移动互联网应用程序必要个人信息范围规定》正式生效。前述文件对个人信息保护的落实以及基本原则的运用提供指引。同时,该文件针对行业分类,如房屋出租类、二手商品交易类等三十九类App的基本功能服务与必要个人信息进行明确。App运营者可参考该文件梳理自身提供产品和服务所需处理的个人信息。
2. 落实“知情同意”的告知义务
根据《个人信息保护法》第四十四条规定,个人对其个人信息处理享有知情权和决定权,有权限制或者拒绝他人对其个人信息进行处理。“知情同意”作为个人信息数据保护的又一重要原则,在个人信息数据保护中扮演重要的角色。一方面,从个人角度,个人享有知情权;另一方面,从信息收集者的角度,“知情同意”是其合规处理的实质要件。
在浙江省杭州市余杭区人民检察院诉某网络科技有限公司侵害公民个人信息民事公益诉讼案中,杭州市某网络科技有限公司开发经营的一款音乐视频教学类APP,存在未经用户同意收集使用个人信息、违反必要原则收集与其提供的服务无关的个人信息、未公开收集使用规则等情形,违法违规收集、存储用户个人信息,侵害了不特定公民的合法权益,致使社会公共利益受到侵害,在余杭区人民检察院的监督下,杭州市某网络科技有限公司删除违法违规收集、储存的全部用户个人信息1100万余条,在《法治日报》公开道歉。[7]
在《个人信息保护法》的框架下,“知情同意”是信息处理者需要遵循的基本原则之一。即使个人信息处理者是依据《个人信息保护法》第十三条,即例外情形:除同意以外的其他合法性基础进行个人信息处理活动,若非《个人信息保护法》第十八条第一款或第三十五条规定的应当保密、不需要告知或告知将妨碍国家机关履行法定职责等情形,在处理活动开展前依据《个人信息保护法》向个人进行告知更为妥当。这样的告知,应当采取明示的方式。虽然在民事领域,意思表示可以以明示或者默示的方式作出,但是在“知情同意”原则下,应当采取明示的方式。原因在于信息数据的收集者有较高提示义务,“知情同意”也是其免责事由之一,因此,在进行信息收集活动的开始,应当采取最严格的提示方式。
3. 采取必要的安全保护措施
个人信息滥用和个人信息泄露是个人信息数据收集者容易触碰的两个严重问题。前述遵循个人信息数据处理原则能够解决个人信息数据滥用的问题,而采取必要的安全措施是解决个人信息数据泄漏的有效途径。
在中,甘肃省平凉市辖区内多家快递企业的快递单未对用户个人信息采取隐匿化等有效保护措施,直接显示客户姓名、电话号码等个人信息,存在泄露公民个人信息重大隐患。[8]快递行业是我们日常生活离不开的一部分,其中快递单上就包含了姓名、电话、住址等个人信息数据。通过问卷调查发现,90%的人认为快递单会泄漏个人信息数据,98%的人希望对快递单采取隐藏的保护措施。
在互联网时代,个人信息处理者一般拥有双重身份,即其同时扮演网络运营商和数据处理者的角色。根据《个人信息保护法》第五十一条第三款,个人信息处理者应当采取相应的加密、去标识化等安全技术措施。前述案件中,快递企业作为信息处理者,有相应的注意义务,需要对用户的相关信息进行安全保护。在实践中,各行各业也注意到了这个问题,并在改进之中,比如美团外卖,在给外卖骑手提供用户电话时,采取了虚拟电话的方式,保护了用户的电话数据。在此基础上,针对个人信息保护,个人信息处理者还应根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失。
4. 落实向第三方提供个人信息的保护义务
个人信息数据处理者除了面临自己收集处理数据的情况,还存在着向第三方提供个人信息数据的情形。如果其没有把握好向第三方提供信息数据的“度”,如没有如实向个人披露第三方或者第三方超出处理范围等,则会面临自己与第三方共同向个人承担相关责任的情况。
在浙江省温州市鹿城区人民检察院督促保护就诊者个人信息行政公益诉讼案中,[9]2016年至2018年期间,温州某儿童摄影公司员工张某某、某儿童培训公司员工卢某某等人,为公司商业营销需要,采用购买、交换等方式从温州多家医院非法获取1万余条孕产妇个人信息,期间张某某等人还向他人出售、提供孕产妇个人信息。涉案两家公司对员工非法收集、使用、泄露孕产妇个人信息用于商业营销的违法行为未尽到个人信息保护义务,严重侵害就诊者合法权益。在该案中,信息数据收集者并不是第一手收集完毕即完成了信息处理的过程,其还在未经个人同意的情况下将个人信息数据向第三方披露,由此引发了相关的法律风险。
我们注意到,《个人信息保护法》将信息处理进行了不同的区分。在《个人信息保护法》第五十五条中,明确如果委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息应当进行个人信息保护影响评估。个人信息处理者及第三方具有相应的评估义务,同时也要遵循前述个人信息数据处理的基本原则。在我们身边,随着《个人信息保护法》的出台,我们可以发现,微信的界面就发生了变化。在微信界面中,增加了“个人信息与权限”、“个人信息收集清单”、“第三方信息共享清单”这三项内容,可以给个人信息数据处理者一个参考,需要注意此项义务。
5. 注意针对未成年人的信息保护
根据《个人信息保护法》第二十八条,其将未成年人信息作为敏感个人信息。在处理敏感信息的时候,需要取得个人的单独同意;针对未成年人,个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。
在江苏省无锡市人民检察院督促保护学生个人信息行政公益诉讼案中,2016年7月,甲培训机构总经理孟某购买中小学在校学生个人信息23万余条,并将上述信息用于其培训机构电话招生。[10]2018年7月,孟某向王某出售、向乙培训机构总经理方某提供上述信息。甲乙两培训机构均无办学许可证,而上述信息多为格式统一、内容全面、精确度高的整个学校或整个班级的信息,内容包括学校、学生姓名、入学年份、班级、学号、邮寄地址及父母姓名、联系方式等,给广大学生个人信息保护带来严重安全隐患。
在网络高度发达的现代社会,未成年人个人信息网络保护面临严峻挑战。一方面,由于未成年人心智尚未成熟,个人信息保护意识相对淡薄,加之“触网”年龄越来越低,其个人信息很容易被过度采集。另一方面,对未成年人网络空间合法权益的侵犯,通常带有损害扩散迅速、受害范围广泛、受害时间持续、受害人数众多、受害方式隐秘等特点。《个人信息保护法》专门将未成年信息保护作为专门条款,强调个人信息处理者在处理未成年人信息数据时,应当取得其父母或者其他监护人的同意。这就给信息处理者带来了特别注意义务,需要在收集信息的过程中识别未成年人信息,并且取得其父母或者监护人的同意。
(二)个人信息数据收集不当的法律后果
一般而言,个人信息数据的收集由大型平台完成,一旦发生信息泄露或者滥用,可能导致极为严重的后果。个人信息保护法特别规定了这类平台需要履行的义务,包括按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构进行监督,遵循公开、公平、公正的原则制定平台规则,对严重违法处理个人信息的平台内产品或者服务提供者停止提供服务,定期发布个人信息保护社会责任报告接受社会监督等。如果平台违反规定,将面临刑事、民事、行政三种责任处罚。
首先,关于行政责任。违法收集个人信息数据,《个人信息保护法》根据个人信息处理的不同情况,对违法处理个人信息的行为设置了不同梯次的行政处罚。对未造成严重后果的轻微或一般违法行为,可由执法部门责令改正、给予警告、没收违法所得,对拒不改正的最高可处一百万元罚款;对情节严重的违法行为,最高可处五千万元或上一年度营业额百分之五的罚款,并可以对相关责任人员作出相关从业禁止的处罚。
其次,关于民事责任。如果平台违法收集个人信息数据,对相关人员造成损失的,应当承担民事领域中的侵权责任,包括但不限于:赔偿损失、赔礼道歉等。
最后,关于刑事责任。如果违法程度达到刑事立案标准,可能涉嫌构成侵犯公民个人信息罪、出售、非法提供公民个人信息罪、非法获取公民个人信息罪,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
三、结语
徒法不足以自行,在数据时代,需要各方共同努力打造一个有序的数字社会。首先,从个人信息数据收集者角度,要严格遵循《个人信息保护法》的基本原则,合法合规的收集处理数据,同时采取有效的安全措施对数据进行保护;其次,从个人角度,应当保护好自身数据,不要轻易向他人透露与自身有关的个人信息数据,尤其是敏感数据;最后,从公权力机关角度,要实现对互联网应用的常态化监管,将风险在事前化解。
数字化社会给大家带来便捷,但数字化各方的共享共赢仍需要各方努力。
[1] 参见:《中国互联网发展报告(2021)》。
[2] 参见:蔡颖慧,《严打非法“采挖”保护个人信息安全》,载《光明日报》2022年4月14日。
[3] 参见十三届全国人大五次会议政府工作报告。
[4] 参见:http://theory.people.com.cn/n1/2022/0414/c40531-32398646.html
[5] 根据威科先行数据库检索,检索日期截止到2022年4月23日。
[6] 参见:https://www.spp.gov.cn/spp/jcgyssljgrxxbh/202104/t20210422527813.shtml
[7] 参见:https://www.spp.gov.cn/spp/jcgyssljgrxxbh/202104/t20210422527821.shtml
[8] 参见:https://www.spp.gov.cn/spp/dxwlzp2021/202105/t20210518518485.shtml
[9] 参见:https://www.spp.gov.cn/spp/jcgyssljgrxxbh/202104/t20210422527816.shtml
[10] 参见:https://www.spp.gov.cn/spp/jcgyssljgrxxbh/202104/t20210422_527818.shtml
浅析个人信息数据保护
作者:张毅来源:金诚同达

一、引言 根据《中国互联网发展报告(2021)》显示,当前我国互联网用户规模已经超过10亿人,互联网普及率高达70.4%,是全球规模最大的数字社会。