2021年8月20日, 十三届全国人大常委会第三十次会议正式表决通过了《中华人民共和国个人信息保护法》。该法是我国第一部保护个人信息的单行立法,该法的通过,标志着我国在个人信息保护领域,从此进入了新纪元。《个人信息保护法》通过以后,国家发布了一系列规章及文件,从规范征信业务的《征信业务管理办法》到规范工业和信息化领域数据处理活动的《工业和信息化领域数据安全管理办法(试行)(公开征求意见稿)》,都对企业的信息合规提出了更精确的要求。紧跟中央的步伐,2021年12月15日,福建省通过了《福建省大数据发展条例》;今年6月1日,厦门市亦发布了《厦门经济特区数据条例(草案征求意见稿)》。从国家到地方出台的一系列法律法规及文件可见,信息合规、保护个人信息,是当今各类企业必须面临的一项重要课题。
从一则案例看起——扫码点餐案:不得强制要求提供与消费无关的个人信息
罗某到某火锅店就餐时,火锅店服务员告知:必须“关注”火锅店的微信公众号才能点餐,否则无法提供服务。罗某提出用纸质菜单点餐,被服务员拒绝。为使服务继续,服务员未经同意使用罗某手机关注了该餐厅的微信公众号操作点餐。扫码点餐的流程为:打开微信,进入“德阳×××火锅”→点击“关注”→进入的页面显示“德阳×××火锅申请获得:你的微信头像、昵称、地区和性别信息”,页面显示“拒绝”“允许”选项→点击“允许”后才能点餐。
罗某认为该火锅店收集个人信息,此行为既不合法、也不正当、更无必要,侵犯了原告个人信息,故诉至法院,要求火锅店删除个人信息,赔礼道歉。火锅店认为:微信头像、昵称、地区和性别属于网络化名,没有侵害个人信息的风险。
法院经审理认为,个人信息的界定实际上有两条路径,一为“识别”,二为“关联”。识别路径是从信息到个人,即通过相关信息能够识别出特定的自然人。本案中,消费者本人在现场,扫码点餐提取的微信头像、昵称、地区和性别,属于关联路径识别了个人信息,是法律规定的“个人信息”,应予保护。罗某到火锅店就餐,并无必要提供手机号、生日、姓名、地理位置、通讯录等与餐饮消费无关的信息。火锅店强制授权收集罗某的微信头像、昵称、地区和性别信息,违反了收集、使用个人信息的合法、正当、必要原则的法律规定,侵犯了罗某的个人信息。法院最终判决,餐厅停止侵权,于判决生效之日起10日内删除获取罗某的个人信息。
由上述案例可见,随着互联网时代的发展,企业对个人信息的收集正在渗透每个用户生活的方方面面,大到银行贷款,小到网购、收寄快递、刷抖音、人脸识别,甚至外出用餐时的扫码点餐,也会涉及个人信息保护的问题。
01 一、个人信息含义
个人信息的类型多种多样,从文字到图片、从职业到身份证号等。我国法律对个人信息的定义,可参见《民法典》第一千零三十四条的规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”
生活实践中常见的个人信息可分为以下四类内容:
序号 | 信息类型 | 内容 |
1 | 个人基本信息 | 包括姓名、性别、年龄、身份证号码、电话号码及家庭住址等 |
2 | 个人账户信息 | 主要包括网银帐号、第三方支付帐号,社交帐号和邮箱帐号 |
3 | 个人隐私信息 | 如通讯录信息、通话记录、短信记录、聊天记录、个人视频、照片、运动轨迹记录、访问的网站痕迹等 |
4 | 社会关系信息 | 自然人的家庭成员信息、亲属关系信息、工作单位信息、好友关系等 |
02 二、处理个人信息应遵循的原则
在整个数据处理活动中,数据处理者都需要遵循一定的原则,在原则的基础之上就各个阶段还应遵守特别的规定。根据《民法典》第一千零三十五条、《网络安全法》第四十一条、《数据安全法》三十二条的规定可概括为合法、正当、必要,即数据保护三原则。
《个人信息保护法》第五条至第九条将上述三原则进行了扩充,包括合法正当必要诚信原则、目的明确合理及最小必要原则、公开透明原则、准确完整和确保安全原则。
序号 | 原则 | 源自《个人信息保护法》的内容 |
1 | 合法正当必要诚信 | 第五条处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。 |
2 | 目的明确合理及最小必要 | 第六条处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。 收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。 |
3 | 公开透明 | 第七条处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。 |
4 | 准确完整 | 第八条处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。 |
5 | 确保安全 | 第九条个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。 |
03 三、个人信息处理各阶段合规要点
从工信部发布的《个人信息安全规范》、公安部发布的《互联网个人信息安全保护指南》、信标委发布的《网络安全标准实践指南——移动互联网应用程序(APP)个人信息保护常见文集及处置指南》来看,目前对个人信息保护的监管核心主要集中在以下阶段:
序号 | 阶段 | 要点 |
1 | 收集 | 确保合法性、确保最小必要、确保公开透明、确保获得明示同意 |
2 | 存储 | 最短期限存储、本地化存储、分类加密存储 |
3 | 使用 | 1、展示限制 对展示的个人信息采取去标识化处理等措施,如张**替代真实姓名。 2、目的限制 应与收集个人信息时所声称的目的具有直接或合理的关联。 3、自动化决策限制(个性化展示和大数据杀熟) ●利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇(“大数据杀熟”) ●通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式 ●通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定 ●不得基于用户画像向未满十四周岁的未成年人推荐个性化产品或者服务。 |
4 | 加工和传输 | 从技术层面和制度层面进行保障,确保加工、传输过程的安全 |
5 | 提供 | 1、委托处理 应注意与受托人明确约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利义务,并对受托人的个人信息处理活动进行监督。 2、向第三方转让、共享 ●应当向个人信息主体告知共享、转让的目的、数据接收方的类型及可能的后果,征得个人信息主体的授权同意;通过合同等方式明确数据接收方的责任和义务。 ●准确记录和存储个人信息的共享、转让情况以及接收方基本情况;帮助个人信息主体了解数据接收方对个人信息的存储、使用等情况;个人生物识别信息原则上不应共享、转让。 3、跨境提供 跨境提供个人信息应当具备前提条件:即业务必要的情况下,通过安全评估、经过保护认证、签订标准合同、采取必要措施。 |
6 | 公开 | 原则上不得公开披露,确需公开时,应: ●展开个人信息安全影响评估,依评估结果采取有效保护措施; ●告知公开披露个人信息的目的、范围,并事先征得个人信息主体明示同意; ●准确记录和保存个人信息的公开披露情况,包括公开披露的日期、规模、目的、公开范围等; ●承担对个人合法权益造成损害的相应责任; ●不得公开个人生物识别信息 。 |
7 | 删除 | 个人信息处理者应主动删除个人信息的情形: ●处理目的已实现、无法实现或者为实现处理目的不再必要; ●个人信息处理者停止提供产品或者服务,或者保存期限已届满 ; ●个人撤回同意; ●个人信息处理者违反法律、行政法规或者违反约定处理个人信息; ●法律、行政法规规定的其他情形。 |
04 四、处理个人信息合规建议
随着保护个人信息的法律法规日益完善,合法合规已成为个人信息处理企业必须面临的课题。《个人信息保护法》第五条规定:“处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。”除了法律规定的原则以外,从合规角度而言,企业在处理个人信息过程中还应注意以下几点:
1. 自愿授权。个人信息属于人格权益的一种,人格权益属于绝对权,自然人有权处分自身权益、排除他人侵害,未经权益人许可,企业不得擅自收集其个人信息。故企业在收集、使用个人信息之前必须经信息所有人同意,不得通过误导、欺诈、胁迫等方式违背信息所有人意愿不当处理、超范围处理个人信息。
2. 正当必要。获取个人信息应在适当的限度内进行,不得过度收集、使用。如扫码点餐案中获取的微信头像、昵称、地区和性别信息,又如手机安装新APP时运营商需要获取的与APP正常使用不相关的个人信息,此类超出正当必要要求的获取个人信息的行为都存在合规风险。
3. 替代方案。信息处理者向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。如小区物业不得强制所有业主都要采用人脸识别方式通过小区门禁系统,业主有权利选择其他的识别方式。信息所有人有权利选择替代性个人信息处理方案。
4. 专人专管。企业对收集的个人信息应根据种类和使用目的,进行分类管理,指定专管人员,制定内部管理制度和操作规程,确定操作权限,还要对专管人员进行定期安全教育和培训,尽量减少管理疏漏。收集个人信息达到国家网信部门规定的数量的机构或组织,应当指定个人信息保护负责人,并公开该负责人的联系方式,将个人信息保护负责人的姓名、联系方式等报送个人信息保护的监管部门。
5. 信息安全。企业对收集的个人信息要做好加密、去标识化等安全技术措施。此外,为了预防突发风险,企业还应制定应急预案,防止个人信息泄露、篡改、丢失的应急处理不足。还应定期对自身处理个人信息遵守法律、行政法规的情况进行合规审计自查。
