日漸增強的個人信息保護意識,對企業(yè)數(shù)據(jù)合規(guī)治理提出哪些新要求��?
2月21日����,最高檢舉行以“堅持以人民為中心,加強網(wǎng)絡時代人格權刑事保護”為主題的新聞發(fā)布會�����,在此次會議上發(fā)布了最高人民檢察院第三十四批指導性案例。此次指導性案例聚焦網(wǎng)絡時代�����、人格權、刑事保護三方面�,這些案件能給企業(yè)帶來哪些警示?對企業(yè)的數(shù)據(jù)信息合規(guī)又提出了哪些新要求��?
未來��,數(shù)據(jù)信息行業(yè)對數(shù)據(jù)信息的安全保護能力和合規(guī)水平將成為企業(yè)的核心競爭力之一�����,本文從企業(yè)長效經(jīng)營的角度,分享對企業(yè)數(shù)據(jù)信息合規(guī)治理的經(jīng)驗,希望對你有所幫助�����。
”
文 | 許秀慧 王蕓 杜欣宜 北京德恒(蘭州)律師事務所
本文由作者向新則獨家供稿
2月21日�,最高檢舉行以“堅持以人民為中心�����,加強網(wǎng)絡時代人格權刑事保護”為主題的新聞發(fā)布會���,在此次會議上發(fā)布了最高人民檢察院第三十四批指導性案例����。此次指導性案例聚焦網(wǎng)絡時代、人格權�、刑事保護的三個方面���。
一是從時代要求看���,人民群眾在新時代對民主����、法治����、公平、正義���、安全、環(huán)境等方面的要求日益增長�����,希望過上更有尊嚴、更體面的生活��,加強對名譽�����、榮譽�����、隱私和個人信息的保護�����,是人民群眾在新時代提出的更高法治需求。
二是從法律層面看�,民法典專編規(guī)定了人格權���,強化了對人格權的保護,彰顯了國家和法律對人格尊嚴的尊重和保護��。個人信息保護法進一步加大了對個人信息保護的力度,完善了個人信息保護法律體系�。
三是從科技發(fā)展看,網(wǎng)絡已經(jīng)融入人民群眾生產(chǎn)�、生活的方方面面���。網(wǎng)絡的發(fā)展帶來了便利��,但網(wǎng)絡空間也是亂象叢生��。而且�,利用網(wǎng)絡實施犯罪相較傳統(tǒng)的犯罪手段���,對被害人的權益危害更大、社會影響更惡劣���。選擇了這一主題發(fā)布指導性案例,意在引導執(zhí)法��、司法機關加強司法活動���,懲治犯罪,同時對社會也是警示和教育(摘自最高檢相關文章)����。筆者站在企業(yè)長效經(jīng)營角度有以下幾點觀察:
01.網(wǎng)絡時代個人信息權益被侵害����,在人格權方面主要體現(xiàn)在誹謗、名譽權、榮譽權等方面被侵害�����,這些案件能給企業(yè)帶來怎么樣的警示����?
雖然動筆前沒有看到五個指導性案例的具體案情,利用百度等相關渠道了解到從山東“曹縣帖案”到河南靈寶“王帥帖案”�����,從內(nèi)蒙古鄂爾多斯市“網(wǎng)絡發(fā)帖誹謗案”到陜西省首例網(wǎng)絡誹謗案等等�����,網(wǎng)絡誹謗案在全國各地已多次發(fā)生�。這類案件多因網(wǎng)絡傳播快、范圍廣而成案��,這類案件所暴露的“人肉搜索”等網(wǎng)絡誹謗問題越來越凸顯�。
不僅如此���,利用網(wǎng)絡侵害個人信息����、其他權益的犯罪或侵權行為也越來越頻繁�����,比如2021年3.15晚會中的徐玉玉案:受害人因被告人通過騰訊QQ、支付寶等工具從他處購買非法獲取的某省高考學生信息10萬余條��,經(jīng)過層層倒賣并使用上述信息實施電信詐騙活動,騙取了徐玉玉學費共計9900元�。徐玉玉在和父親報完案回家的路上心臟驟停不幸離世����。這些被告人還騙取了山東���、福建等地多名高考生的錢款,諸如此類不再列舉���。
那么在互聯(lián)網(wǎng)應用程序(App)得到廣泛應用的今天,在數(shù)據(jù)信息已經(jīng)成為各個行業(yè)生產(chǎn)要素的當下���,作為網(wǎng)絡運營者、關鍵基礎設施運營者���、數(shù)據(jù)信息處理者如何依法依規(guī)履行法律規(guī)定的義務��,這是今天當下不得不從根本上考慮的問題�����。
從2021年11月1日相關部門的清理整頓中我們依然可以看到App強制授權、過度索權���、超范圍收集個人信息的現(xiàn)象大量存在�,違法違規(guī)使用個人信息的問題十分突出,為保障個人信息安全,在現(xiàn)有《網(wǎng)絡安全法》《消費者權益保護法》《數(shù)據(jù)安全法》法律框架下���,作為企業(yè)該如何履行法律規(guī)定的義務?我們都知道《個人信息保護法》對個人信息權益進行了非常嚴格的規(guī)定�����,在履行保護個人信息義務方面,企業(yè)只有義務沒有權利����。主要體現(xiàn)在以下三個方面:
① 《個人信息保護法》采用過錯推定原則:由于個人信息案件相比其他傳統(tǒng)案件更加復雜����,信息作為無形物,難以像有形物那樣進行固化或鎖定����,侵權表現(xiàn)形式以及因果關系往往也呈現(xiàn)出發(fā)散性和多點性����,難以通過直接、明確����、有針對性的證據(jù)證明���。
因此對個人信息處理者提出了更高的注意義務,而這樣的舉證規(guī)則要求企業(yè)作為個人信息處理者需要制定嚴密�����、完善的合規(guī)體系�,不但需要在經(jīng)營過程中做到全過程“留痕”���,還必須做到事前審核,事中跟蹤���,事后復盤�����,不斷推敲業(yè)務細節(jié)����,反復論證�。否則個人信息處理者將因不能證明自己沒有過錯而承擔損害賠償?shù)惹謾嘭熑物L險��。
② 《個人信息保護法》規(guī)定處理個人信息�����,或者處理個人信息未履行本法規(guī)定的個人信息保護義務的�,由履行個人信息保護職責的部門責令改正��,給予警告���,沒收違法所得,對違法處理個人信息的應用程序��,責令暫停或者終止提供服務��;拒不改正的����,并處一百萬元以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款�����。
有前款規(guī)定的違法行為�,情節(jié)嚴重的�,由省級以上履行個人信息保護職責的部門責令改正,沒收違法所得���,并處五千萬元以下或者上一年度營業(yè)額的百分之五以下罰款,并可以責令暫停相關業(yè)務或者停業(yè)整頓�����、通報有關主管部門吊銷相關業(yè)務許可或者吊銷營業(yè)執(zhí)照��;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款,并可以決定禁止其在一定期限內(nèi)擔任相關企業(yè)的董事����、監(jiān)事����、高級管理人員和個人信息保護負責人。
由此可見�,《個人信息保護法》對于違法行為���,規(guī)定了較為嚴重的法律后果�����。
首先���,就懲治的違法行為而言��,既有“違反規(guī)定”的“積極行為”范疇,又有“未履行保護義務”的“消極行為”范疇�,如此一來���,就對個人信息處理者的行為尺度提出了嚴苛的標準����,既不能亂作為����,也不能無作為,個人信息處理者需在“做”與“不做”之間找到平衡點����。
其次���,就處罰主體而言,既包括公司�、單位����、app,也穿透到公司���、單位���、app背后直接負責的主管人員和其他直接責任人員,以往借殼規(guī)避法律責任的商業(yè)模式將難以繼續(xù)��,如此一來,不僅《個人信息保護法》還有其他一系列法規(guī)的頒布均是在倒逼企業(yè)經(jīng)營者積極主動對企業(yè)進行數(shù)據(jù)信息合規(guī)治理����,因此企圖在灰色地帶鉆法律的漏洞的想法有可能會付出沉重的代價。
③ 從《個人信息保護法》規(guī)定的監(jiān)管監(jiān)督看國家網(wǎng)信部門負責統(tǒng)籌協(xié)調(diào)個人信息保護工作和相關監(jiān)督管理工作�����。國務院有關部門依照本法和有關法律�、行政法規(guī)的規(guī)定��,在各自職責范圍內(nèi)負責個人信息保護和監(jiān)督管理工作����。縣級以上地方人民政府有關部門的個人信息保護和監(jiān)督管理職責�,按照國家有關規(guī)定確定。
從法條規(guī)定的監(jiān)管內(nèi)容來看�����,個人信息保護監(jiān)管部門非單一部門職責,而是互相配合的多部門監(jiān)管體系��?���;ヂ?lián)網(wǎng)�����、通信、金融����、醫(yī)療����、快遞�����、教育等行業(yè)都屬于個人信息海量存儲行業(yè)��,而該幾類行業(yè)分屬不同部門監(jiān)管,因此��,凡涉及與該幾類行業(yè)相關的監(jiān)管部門都負有相關領域個人信息保護職責�����,與網(wǎng)信部門互相構成個人信息保護體系����。在這樣一個九龍治水的監(jiān)管體系下��,企業(yè)數(shù)據(jù)信息合規(guī)治理沒有退路��。
02.網(wǎng)絡空間已經(jīng)越來越多地成為犯罪空間���、侵權空間,但網(wǎng)絡空間不是法外之地���。
此次最高檢頒布的第三十四批指導性案例雖然只有五個案例���,但均是具有代表性的典型案例,根據(jù)此次新聞發(fā)布會上最高檢檢委會委員���、第一檢察廳廳長苗生明發(fā)言可以獲悉:網(wǎng)絡環(huán)境下對他人侮辱、誹謗�、侵犯公民個人信息,具有傳播速度快�����、傳播范圍廣�����、危害嚴重��、后果嚴重的特點��。但最高檢自2019年以來��,全國檢察機關共批準逮捕涉嫌侮辱罪��、誹謗罪犯罪嫌疑人168人���;涉嫌侵害公民個人信息罪犯罪嫌疑人12410人�����;涉嫌侵害英雄烈士名譽、榮譽罪犯罪嫌疑人12人���;共起訴涉嫌侮辱罪�、誹謗罪被告人213人�;涉嫌侵害公民個人信息罪被告人21923人�����;涉嫌侵害英雄烈士名譽、榮譽罪被告人15人����。
通過指控犯罪�,有力地保護了被害人合法權益,不僅如此�,我們從裁判文書網(wǎng)站或其它渠道越來越多的看到網(wǎng)絡侵權案件或未履行信息安全保護義務的企業(yè)因侵犯個人信息承擔民事責任亦或是受到行政處罰。
對于網(wǎng)絡數(shù)據(jù)信息融入比較深的經(jīng)營行業(yè)�����,更應當高度地意識到網(wǎng)絡數(shù)據(jù)信息安全合規(guī)對于長效經(jīng)營的重要性�����。
2021年3月12日國家互聯(lián)網(wǎng)信息辦公室����、工業(yè)和信息化部���、公安部�����、國家市場監(jiān)督管理總局發(fā)布國信辦密字(2021)14號關于印發(fā)《常見類型移動互聯(lián)網(wǎng)應用程序必要個人信息范圍規(guī)定》的通知,對于39個行業(yè)的應用程序必要個人信息范圍進行了詳細規(guī)定�。
該通知規(guī)定39個行業(yè)必要信息范圍,如房屋租售類必要信息范圍為:注冊用戶移動電話���、房源基本信息�、房屋地址����、面積/戶型��、期望售價和租金�����。業(yè)主房源信息是房產(chǎn)交易信息和身份識別信息的組合�,包含姓名�、移動電話、住址�����、交易價格等內(nèi)容,均屬于《個人信息保護法》保護的公民個人信息��。按照《個人信息保護法》未經(jīng)信息主體另行授權����,非法獲取�����、出售限定使用范圍的業(yè)主房源信息�,系侵犯公民個人信息的行為,情節(jié)嚴重�����、構成犯罪的��,應當依法追究刑事責任���,同時有可能承擔民事賠償責任或受到行政處罰。作為網(wǎng)絡數(shù)據(jù)信息融入比較深的經(jīng)營行業(yè)����,比如房地產(chǎn)行業(yè)��,數(shù)據(jù)信息合規(guī)治理已經(jīng)是勢在必行的公司治理范疇����。
根據(jù)《個人信息保護法》及相關法規(guī)規(guī)定��,作為數(shù)據(jù)信息處理者僅在數(shù)據(jù)信息收集階段就應當做到數(shù)據(jù)收集是否符合合法����、正當、最小必要原則��,是否在數(shù)據(jù)收集前對用戶以易于理解的方式進行充分����、清晰���、明確的告知,且是否獲取了數(shù)據(jù)主體的同意���,是否為數(shù)據(jù)主體提供了查詢�����、更正����、刪除�、撤回授權同意、注銷賬戶�、獲取個人信息副本的渠道,是否保證數(shù)據(jù)主體可以撤回其處理數(shù)據(jù)的同意��,是否涉及收集未成年人的數(shù)據(jù)�����,是否明確收集數(shù)據(jù)目的和用途�,是否提供滿足數(shù)據(jù)收集安全要求的安全管理技術方案�����,收集人員是否能充分理解數(shù)據(jù)收集的法律要求��、安全和業(yè)務需求��,并能根據(jù)業(yè)務需求和具體清況選擇合理的數(shù)據(jù)收集方式等等�。
以上符合法律規(guī)定的數(shù)據(jù)信息收集行為不僅要求企業(yè)建立一套從制度到組織��、從高管到每個員工等等一系列合規(guī)治理體系,還涉及到經(jīng)營過程中大量的規(guī)章制度建立���、相關文本的起草規(guī)范等等一系列具體事務,不僅涉及到合規(guī)治理方案的制定還涉及到方案的有效實施及實施后是否有效的檢驗和評估機制的建立�,風險應急措施等等法律問題。
因此��,雖然網(wǎng)絡無邊界���,但安全有紅線,網(wǎng)絡空間不是法外之地�,作為網(wǎng)絡時代的民事主體應該有高度的網(wǎng)絡數(shù)據(jù)信息安全意識,積極通過各種方式和渠道學習了解《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》三大法律保護體系下與此有關的相關法律知識���,做到依法上網(wǎng)���、依法辦網(wǎng)特別是企業(yè)更應該做到從上到下,從內(nèi)到外縱橫交錯的嚴密的數(shù)據(jù)信息安全合規(guī)治理體系�����,才是網(wǎng)絡時代應由的經(jīng)營治理之道。
03.個人對信息權利保護意識的提高對企業(yè)的數(shù)據(jù)信息合規(guī)提出了更高的要求�。
自2021年11月1日《個人信息保護法》施行以來,個人信息保護的維權案件有明顯的增加����,這說明我們國家個人對信息權利的保護意識有所提高����。比如:很多小區(qū)物業(yè)仍然強制要求進入小區(qū)進行人臉識別����,而且有些地方還有政府推薦造成的看似沒有強制,實際強制安裝一些人臉識別設備�,業(yè)主針對這一類強行收集個人敏感信息的行為提起訴訟的有很多起。
《個人信息保護法》等相關法律法規(guī)也為公民個人信息的強化保護提供了重要的法律武器�,企業(yè)應更加關注,在個人信息保護領域企業(yè)履行保護的義務是比較嚴格的���。當企業(yè)在經(jīng)營過程中涉及到個人信息的流通�、利用和共享時�,企業(yè)需要謹慎對待��,遵照《個人信息保護法》等相關要求����,做好個人信息流通的合規(guī)工作����。
最近���,廣州互聯(lián)網(wǎng)法院對一起個人信息未經(jīng)同意被網(wǎng)站加“*”公布侵犯個人信息權益及名譽權的案件進行了審理�。廣州互聯(lián)網(wǎng)法院經(jīng)審理后做出判決,該網(wǎng)站所發(fā)布的案涉信息屬于個人信息���,構成個人信息權益及名譽權的侵害。
《個人信息保護法》規(guī)定:個人信息的處理應當征得被處理信息主體的同意�����,且該同意應當由個人在充分知情的前提下自愿���、明確作出。侵權人網(wǎng)絡平臺在處理該起個人信息時不僅未取得個人信息主體的同意���,且對信息來源的合法性未做任何審查�����。
在法院審理過程中其雖抗辯已經(jīng)對該個人信息進行了去標識化處理并未直接指向被侵權人�,但是被侵權人提交的證據(jù)公證書顯示��,在侵權網(wǎng)站以被侵權人張某和張某的手機號為關鍵詞搜索后�,搜索顯示的收件人信息與張某的個人信息完全相互重合。據(jù)此廣州互聯(lián)網(wǎng)法院認為網(wǎng)站公布的涉案信息可識別為張某的個人信息��。最終根據(jù)《民法典》規(guī)定����,判決網(wǎng)站于判決發(fā)生法律效力之日起三日內(nèi)刪除網(wǎng)站所有涉及張某的個人信息��,法律效力之日起十日內(nèi)在“反惡”網(wǎng)站首頁連續(xù)30日置頂發(fā)布道歉聲明���。
此案中作為個人信息保護的“守門人”�,在《個人信息保護法》規(guī)定信息處理者必須履行相關個人信息保護義務的前提下�����,網(wǎng)站應當主動承擔平臺保護義務����。而該案件網(wǎng)站顯然沒有履行相關的法律義務�,其原因是對此法律義務不知悉、無意識����、不重視或是根本就是投機鉆營,未曾考慮長效經(jīng)營導致的�����。
因此數(shù)據(jù)信息處理者、網(wǎng)絡平臺�����、關鍵基礎設施運營者如何做好數(shù)據(jù)信息保護“守門人”�,是企業(yè)長效經(jīng)營應當確實考慮的實際問題,而且未來企業(yè)發(fā)展中數(shù)據(jù)信息行業(yè)對數(shù)據(jù)信息的安全保護能力和合規(guī)水平將成為企業(yè)的一種核心競爭力��。
綜上所述�����,目前很多行業(yè)對如何做到符合行業(yè)實踐中合規(guī)標準��,均在探索中更傾向于階段性、碎片化的��。因此數(shù)據(jù)信息合規(guī)治理路漫漫其修遠兮。
0371-63215179
