早年,大到立法、行政管理,小到每个公司和个人,对个人信息的相关权利都不甚重视,科技公司因个人信息数据获取、保存、使用不当而承担民事、刑事责任的风险也比较低。但今时不同往日,不仅《网络安全法》《电子商务法》等均包括个人信息保护条款,每一项新技术是否会侵犯个人隐私都会引起大众的激烈讨论。
获取、使用甚至交易个人信息数据,是多数科技公司每天都在做的事情。公司只有充分了解个人信息的相关法律法规以及前车之鉴,明白自身义务且认真履行,方能放心收集、使用个人信息数据,踏实做业务。
本文主要归纳整理个人信息相关的法律法规,因个人信息数据使用、保存不当而承担民事、刑事责任的案例讨论将在后续文章中进行。
一、什么是个人信息
《网络安全法》:“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”
以上是法律中对个人信息的定义,但有其他文件对个人信息进行丰富或限定。如公安部网络安全保卫局等机构联合发布的《互联网个人信息安全保护指南》中增加了“通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等”。
《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中,“经过处理无法识别特定个人且不能复原的”信息不构成侵犯公民个人信息罪,即经处理、不能复原的个人相关信息不属于个人信息。
二、个人信息保护
《民法总则》规定了自然人的个人信息受法律保护。《消费者权益保护法》进一步规定消费者在购买、使用商品和接受服务时,享有个人信息依法得到保护的权利。《网络安全法》《电子商务法》中亦有明确规定。《刑法》中有“侵犯公民个人信息罪”,并有专门的司法解释。
我国法律对个人信息既有民事领域的保护,又有刑事领域的保护;既有民法总则层面的概括保护,又有针对消费者、网络平台用户的专门保护。总之,收集、使用个人信息的公司务必对个人信息之保护用心上心。
三、数据获取
公司都知道个人信息保护之重要,具体到获取、使用环节需要注意哪些问题呢?下面是相关法律的具体规定:
《民法总则》:“任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”
《网络安全法》:“网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。”
“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”
“网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”
《电子商务法》:“电子商务经营者收集、使用其用户的个人信息,应当遵守法律、行政法规有关个人信息保护的规定。”
总结来看,个人信息收集者需注意三点:一是公开收集、使用个人信息的规则;二是向公众明示收集、使用个人信息的目的、方式和范围;三是不得过度收集信息,特别是与所提供服务无关的个人信息。
四、数据保存
公司收集个人信息数据后,出于完善产品、提高服务水平等考虑,必会长期保存数据。那么,公司需符合以下要求,才算尽到了保护之义务:
《网络安全法》:“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。”
“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”
“在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”
《消费者权益保护法》:“经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。”
总结来看,个人信息数据保存者需注意三点:一是严格保密、未经本人同意不得向他人提供个人信息,不得泄露、出售或非法向他人提供;二是通过各种措施,建立健全用户信息保护制度;三是发生或可能发生泄露等情况时,及时补救并履行告知和报告义务。
五、权利受损后的责任承担
当确实因意外或管理不善等原因导致个人信息泄露等,公司会承担哪些责任,面临哪些处罚呢?
《网络安全法》:“网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。”
《消费者权益保护法》:“经营者侵害消费者个人信息依法得到保护的权利的,应当停止侵害、恢复名誉、消除影响、赔礼道歉,并赔偿损失。”
上面仅列示了行政处罚和侵权责任的相关规定,如果违反情节严重的,可能会构成犯罪。后续文章中会通过案例来分析科技企业因个人信息数据使用、保存不当而承担民事、刑事责任的情形,希望企业管理者有所关注和预防。