发表于 2017-09-26 14:10
(一) 个人信息的范畴
根据《网络安全法》的规定,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。个人信息不仅包括可以单独识别自然人个人身份的信息,如姓名、身份证号码、电话号码等,还包括与其他信息结合可以识别自然人个人身份的信息,如住址、工作单位、邮箱地址等。
是否具有“身份可识别性”是判断信息是否属于个人信息范畴的核心要件。随着大数据技术的发展,“身份可识别性”的界限越发难以判断,并且必然会随着技术的发展而有所变化。目前我国并没有形成统一或具体的判断标准,因此实践中应当根据数据所属行业、具体的识别方法和手段合理性等因素综合判断。
(二) 信息主体的授权
个人信息一般来讲属于私权的范畴,在立法和司法中应充分尊重信息主体的自决权,尊重信息主体和信息收集方达成的协议安排。根据《网络安全法》第四十一条的规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。因此,对于属于个人信息的数据,其收集、使用和处理都需要经过信息主体的同意,即应遵从知情同意原则。
《信息安全技术公共及商用服务信息系统个人信息保护指南》(GB/Z 28828-2012)作为我国首个个人信息保护国家指导性标准,将个人信息分为个人一般信息和个人敏感信息,并提出默许同意和明示同意的概念。对于个人一般信息的处理可以建立在默许同意的基础上,只要个人信息主体没有明确表示反对,便可收集和利用。对于个人敏感信息,则需要建立在明示同意的基础上,在收集和利用之前,必须首先获得个人信息主体明确的授权。根据标准定义,个人敏感信息指的是一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。个人一般信息则是指除个人敏感信息以外的个人信息。
事实上,在上诉人北京百度网讯科技有限公司与被上诉人朱烨隐私权纠纷一案的民事判决(案号:(2014)宁民终字第5028号)中,法院已经考虑到了个人信息主体授权的完整性和信息技术创新发展的平衡。法院考虑到“百度网讯公司已经明确说明cookie技术、使用cookie技术的可能性后果以及通过提供禁用按钮向用户提供选择退出机制”,因此认为“朱烨在百度网讯公司已经明确告知上述事项后,仍然使用百度搜索引擎服务,应视为对百度网讯公司采用默认‘选择同意’方式的认可”,并进而认定“……将个人信息区分为个人敏感信息和非个人敏感信息的一般个人信息而允许采用不同的知情同意模式,旨在保护个人人格尊严与促进技术创新之间寻求最大公约数”。
(三) 脱敏数据交易
对于收集后的信息,根据《网络安全法》第四十条、四十二条、四十四条的规定,网络运营者应当承担严格的保密责任(包括必要的保密措施、补救措施及泄露后的通知义务),未经信息主体的同意,不得向他人提供个人信息,但是经过处理无法识别特定个人且不能复原的除外。任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
《网络安全法》首次明确认可了“脱敏数据交易的合法性”,但其前提是数据经过处理后无法识别特定个人且不能复原。与个人信息的“身份可识别性”相同,目前我国并没有统一的“不能复原”的判断标准,因此实践中应当根据数据所属行业、具体的识别方法和手段合理性等因素综合考虑。
(四) 法律责任
因个人信息收集、处理、使用产生的民事责任主要包括侵权责任和违约责任。如果包括隐私在内的个人信息未经信息主体同意而被相关企业收集、使用或处理,信息主体可以依据《侵权责任法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》及《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》主张隐私权或个人信息侵权责任(如,北京百度网讯科技公司与朱烨隐私权纠纷案,(2014)宁民终字第5028号)。如果信息收集者/处理者是基于与信息主体的用户协议或其他协议收集、处理、使用信息主体的信息,则违反协议约定或超出协议授权范围的收集、处理行为同时将产生违约责任,信息主体有权选择向信息收集者/处理者主张违约责任。
随着《网络安全法》的实施,非法收集、处理个人信息所产生的行政责任更加明确。根据《网络安全法》第六十四条的规定,网络运营者、网络产品或者服务的提供者违反本法第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。
2015年11月,《刑法修正案(九)》将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”,扩大了犯罪主体和侵犯个人信息行为的范围。于2017年6月1日起施行的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》明确了侵犯公民个人信息罪的具体定罪量刑标准,刑事打击侵害公民个人信息行为的力度更大。
来源:陈标红
Copyright ©2005-2021 勤智数码科技股份有限公司 
川公网安备 51019002003506号 蜀ICP备11012966号-7
