一、前言
当今时代背景下大数据的价值不可估量,它改变着各行业的研究发展方向,更极大丰富了人们生活。
但与此同时,频发的个人信息泄露事件也造了民众的担忧。我们都应该有过扫描商家二维码的经历,可能是为了参加品牌活动,也可能是为了领优惠券,殊不知在此过程中个人信息可能已然被收集。上述情况下,企业多不同程度存在未取得消费者授权、对信息使用范围告知不充分、收集与业务无关的消费者信息等问题,已经涉嫌违反个人信息保护有关法律法规及《个人信息安全规范》。可以说,在当今大数据时代新型的经营运作模式下,企业方亟须加强对收集、使用消费者个人信息行为法律风险的认识,以求在实践中高效、合规地开展相关业务工作。
二、个人信息的概念
根据《网络安全法》第76条第5款的规定,自然人的个人信息是指以电子方式或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
三、个人信息收集原则
近年来,我国加快了对个人信息保护方面的立法实践。《民法总则》第111条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”这是我国首次从民事基本法层面提出个人信息权。此外,《网络安全法》、《中华人民共和国消费者权益保护法》、《关于加强网络信息保护的决定》等相关规定,确立了收集、使用他人个人信息应当遵循的基本原则,即合法、正当、必要的三原则。
1、合法性原则:经营者收集、使用消费者个人信息的,应当遵守法律、行政法规关于个人信息保护的规定;
2、正当性原则:经营者收集、使用消费者个人信息,应当明示收集、使用信息的目的、方式和范围,并经消费者同意;
3、必要性原则:经营者不得收集与其提供的服务无关的消费者个人信息。
代表性法文件
1、《中华人民共和国消费者权益保护法》第二十九条:“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息”。
2、《关于加强网络信息保护的决定》第二条:“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息”。
3、《网络安全法》第22条:“网络产品、服务具有收集消费者信息功能的,其提供者应当向消费者明示并取得同意;涉及消费者个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定”。
4、《网络安全法》第41条第1款:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”。
5、《网络安全法》第41条第2款:“网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与消费者的约定,处理其保存的个人信息”。
四、收集、使用个人信息的方式
根据相关法律法规,企业在收集消费者个人信息前应当得到消费者的授权或同意。取得消费者授权或同意的方式建议通过签订书面授权条款(或协议)的方式取得;其次,应向消费者明示收集信息的目的、范围;最后,企业使用该信息的方式和范围也应当于授权条款中列明。
除此之外,在实际操作中还应当注意:
1、消费者需在自愿的基础上作出明确的“同意”的意思表示,不得以默许的方式获取消费者授权。如在信息收集的网络平台上设置必须经消费者主动勾选“同意”选项的授权取得方式;
2、注意履行经营者应当尽到的提示义务,该提示义务在实务操作中还应当注意格式条款的设定方式及格式条款的效力问题;
3、在授权条款(或协议)中告知消费者收集/使用其个人信息的目的、范围、处理规则,以及其享有的更正、删除个人信息的权利;
4、以前述方式收集他人信息后,经营者实际收集/使用的范围和方式均不应超过书面明示的内容;
5、不建议获取消费者的敏感信息,比如短信信息、位置信息、通话等语音信息,否则难以达到合法、正当、必要三原则的要求,同时涉嫌违背“不得收集与提供的服务无关的个人信息”等法律法规的具体规定,将面临侵害他人信息权益的法律风险;
6、企业对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。应当采取技术措施和其他必要措施,确保信息安全。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。
五、个人信息泄露的处理方式
参考案例:(2015)成民终字第1634号
【案情概述】
上诉人林某某通过被上诉人某航空公司官方订票电话购买机票,将姓名、手机号码等个人信息提供给被上诉人。其后林某某的手机收到了载明林某某姓名及详细航班的信息,并谎称航班将停飞、要求其办理退票或改签手续的短信。林某某因此误信了短信中航班停飞的通知而重新购买机票,产生了经济损失。后林某某将该情况告知某航空公司,并要求赔偿。某航空公司在了解原委后仅告知林某某该事件系犯罪分子所为,应当向公安机关报案,并未采取其他处理措施。林某某遂向法院提起诉讼,一审法院认为林某某未举证证明该信息由某航空公司泄露,根据“谁主张、谁举证”原则,判决驳回林某某的诉讼请求。后林某某上诉至成都市中级人民法院。
【二审法院裁判观点】
第一,林某某的证据能够证明其个人信息是从售票渠道泄露的基本事实。
对于其个人信息是由售票渠道泄露的基本事实,林某某举示了银行卡电子账单、手机短信、机票订购信息等证据,某航空公司对此并无异议,其证据达到了盖然性标准,能够证明其个人信息是由售票渠道泄露的基本事实。
第二,林某某不具备进一步举证的能力。
虽然“谁主张,谁举证”是民事诉讼中举证责任的一般原则,但结合案件的具体情况,法院可以根据公平原则和诚实信用原则,综合当事人举证能力确定举证责任的承担。本案中,林某某对于其个人信息是由谁以及从哪个具体环节泄露等证据未能举示。对此本院认为,售票系统由某航空公司及与其有合同关系的第三方掌握,某航空公司为占有或者接近上述证据材料的人,有条件并有能力收集相关证据。林某某系远离证据材料、缺乏必要收集该证据之条件的消费者,某航空公司收集证据的能力明显强于林某某,在举证中处于有利地位。在林某某已经尽自己所能,将其客观上能够收集到的证据予以举示,证明了其信息在售票渠道被泄露这一基本事实的情况下,要求林某某进一步举证,显然超出其举证能力,有违公平原则。
第三,某航空公司未尽到保障个人信息安全等法定义务。
尽管“没有泄露”作为一个消极事实,某航空公司很难证明,但其可以通过举证证明其履行了采取技术措施和其他必要措施,以确保消费者个人信息安全的义务,来说明林某某信息的泄露并非某航空公司的过错造成。某航空公司既没有举证证明案涉个人信息系第三方泄露,也未对其采取确保消费者信息安全的技术措施和其他必要措施的事实进行举证和说明。
综上,林某某的证据虽不能证明其个人信息被泄露的具体环节,但已能证明其个人信息是通过某航空公司的售票系统有关环节被泄露,且某航空公司并未尽到保障消费者个人信息安全的相关义务。因此,某航空公司对此应当承担侵权责任。
相关法律法规:
1、《中华人民共和国消费者权益保护法》第二十九条第二款:“经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施”。
2、《中华人民共和国消费者权益保护法》第五十条:“经营者侵害消费者个人信息依法得到保护的权利的,应当停止侵害、恢复名誉、消除影响、赔礼道歉,并赔偿损失”。
处理方式参考:
企业在收集消费者个人信息后,应当采取技术措施和其他必要措施(如通过发送信息等其他书面形式提示消费者注意相关安全隐患),全面履行对消费者个人信息安全的保障义务;当收到消费者关于信息泄露、丢失的投诉时,首先应当询问并记录消费者所依据的相关证据,告知消费者将立即开展内部调查,同时及时采取补救措施。最后,将调查结果及处理方案反馈消费者。以上环节应当全程留证。
大数据给我们带来便捷与发展的同时,也引发了诸多有待调和的矛盾。本文通过对上述法律法规及案例的简要分析,望能为企业相关业务工作的开展提供参考。
关注!大数据时代,企业如何合法搜集使用个人信息?
作者:白逸来源:建纬律师事务所昆明分所

一、前言 当今时代背景下大数据的价值不可估量,它改变着各行业的研究发展方向,更极大丰富了人们生活。 但与此同时,频发的个人信息泄露事件也造了民众的担忧。