随着信息技术的快速发展和互联网应用的普及,中国进入大数据发展的高速期,随着越来越多的组织大量收集、使用个人信息,给人们生活带来便利的同时,也出现了对个人信息的非法收集、滥用、泄露等问题,个人信息安全面临严重威胁。各大数据资源主体在进行各种业务的探索和尝试的同时,也希望在法律及风险允许情况下进行业务拓展。
一、大数据项目合作业务的常见形态及或有法律风险
大数据业务合作项目需求中常见形态主要分为两类:第一类是只需要统计结果:数据验真(是/否与实际数据一致)、为统计数据出具一个分数值、分类数据统计值,所有统计结果都保证不能追溯到原始数据。第二类是需要直接个人信息字段:如政府征信项目和公安公共安全管理项目。
合作过程中,合作方在收集、使用用户个人信息时,应当遵循合法、正当、必要的原则,应当明确告知用户收集、使用信息的目的、方式和范围,并应当对其个人信息严格保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。否则,可能需承担行政处罚、侵权、违约等法律责任。
二、大数据项目合作业务中涉及的个人信息保护相关法律规定
2015年11月1日开始实施的《中华人民共和国刑法修正案(九)》将刑法第二百五十三条之一【侵犯公民个人信息罪】修改为:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
2017年6月1日开始生效的《中华人民共和国网络安全法》(以下简称《网络安全法》)第四十条规定:“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。”
《网络安全法》第四十一条规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。“
《网络安全法》第四十二条规定:”网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。“
《中华人民共和国消费者权益保护法》(以下简称《消费者权益保护法》) 第二十九条规定:”经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。
经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。
经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。“
《中华人民共和国电子商务法》(以下简称《电子商务法》)第二十四条规定:”电子商务经营者应当明示用户信息查询、更正、删除以及用户注销的方式、程序,不得对用户信息查询、更正、删除以及用户注销设置不合理条件。
电子商务经营者收到用户信息查询或者更正、删除的申请的,应当在核实身份后及时提供查询或者更正、删除用户信息。用户注销的,电子商务经营者应当立即删除该用户的信息;依照法律、行政法规的规定或者双方约定保存的,依照其规定。“
2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》(以下简称《人大常委会信息保护决定》)第一条第一款规定:”国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息“;《人大常委会信息保护决定》第三条规定:”网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。“
《人大常委会信息保护决定》第二条规定:”网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则。“
《人大常委会信息保护决定》对“公民个人电子信息”范围未做出界定,根据通常理解“公民个人电子信息”应包括“能够识别公民个人身份和涉及公民个人隐私的电子信息”和一般的个人电子信息。
2018年5月1日实施的GB/T 35273-2017《信息安全技术个人信息安全规范》第3条将个人信息区分个人敏感信息和其他一般信息。其中第3条第2款将个人敏感信息认定为一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息,包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下(含)儿童的个人信息等。
《电信和互联网用户个人信息保护规定》(以下简称《信息保护规定》)第四条规定:”本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。“
《信息保护规定》第九条之第一、二款规定:”未经用户同意,电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。
电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的,应当明确告知用户收集、使用信息的目的、方式和范围,查询、更正信息的渠道以及拒绝提供信息的后果等事项。“
《信息保护规定》第十条规定:”电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。“
中央网络安全和信息化委员会办公室,工业和信息化部,公安部,国家市场监督管理总局于2019年1月23日发布并生效的《关于开展App违法违规收集使用个人信息专项治理的公告》第一条规定:App运营者收集使用个人信息时要严格履行《网络安全法》规定的责任义务,对获取的个人信息安全负责,采取有效措施加强个人信息保护。遵循合法、正当、必要的原则,不收集与所提供服务无关的个人信息;收集个人信息时要以通俗易懂、简单明了的方式展示个人信息收集使用规则,并经个人信息主体自主选择同意;不以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得违反法律法规和与用户的约定收集使用个人信息。倡导App运营者在定向推送新闻、时政、广告时,为用户提供拒绝接收定向推送的选项。
三、关于大数据项目合作业务中个人信息保护的建议
1.建议合作各方应严格遵守《刑法》、《网络安全法》、《消费者权益保护法》、《电子商务法》、《人大常委会信息保护决定》及《工信部信息保护规定》等相关法律、法规及规章关于个人信息安全的规定,在业务活动中依法律规定收集公民个人信息,并严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。否则,可能承担包括刑事责任在内的相应法律责任。
2.在国家日益加强保护公民个人身份和涉及公民个人隐私的电子信息的背景下,建议合作各方审慎开展有关用户个人信息的收集、使用、加工及提供给第三方使用的相关业务,并事前通过用户协议征得用户的授权,避免损害用户的合法权益进而承担法律责任。
3.合作各方可事先向相关主管机关咨询大数据业务模式的合规性及可收集、提供相关信息的范围。同时,数据提供方应当充分审查、评估合作伙伴保护个人信息的能力,并将其作为选择合作伙伴的重要指标。
4.无论是数据提供方或是数据使用方,均应通过技术措施及管理制度对客户个人信息进行保护,避免员工非法向第三方披露或泄露个人信息。对于违反限定范围接触、使用客户个人信息,以及泄露和买卖客户个人信息的从业人员,应严肃处理,涉嫌构成犯罪的,应当依法移送司法机关,并追究相关人员的法律责任。
5.目前第一个个人征信牌照已正式发放给百行征信有限公司(以下简称“百行征信”),该公司股东包括中国互联网金融协会以及芝麻信用、腾讯征信等8家原先一直试水个人征信业务的企业。另外《征信业务管理办法》(征求意见稿)已于2016年由中国人民银行征信管理局下发,离正式发布应已为期不远,如有可能,符合条件的合作各方可尝试申请成立一家征信机构,或与百行征信进行业务合作,合法获取部分个人信息,这将会使上述业务合法化,极大地降低相关法律风险。
综上,对个人信息面临的安全问题,大数据项目合作各方均应规范个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为,遏制个人信息非法收集、滥用、泄漏等乱象,最大程度地保障个人的合法权益和社会公共利益。
大数据合作项目中的个人信息保护边界
作者:葛友山 闫部伟来源:中银律师事务所

随着信息技术的快速发展和互联网应用的普及,中国进入大数据发展的高速期,随着越来越多的组织大量收集、使用个人信息,给人们生活带来便利的同时,也出现了对个人信息的非法收集、滥用、泄露等问题,个人信息安全面