0371-63215179
0371-63215179
2月21日,最高檢舉行以“堅持以人民為中心,加強網絡時代人格權刑事保護”為主題的新聞發布會,在此次會議上發布了最高人民檢察院第三十四批指導性案例。此次指導性案例聚焦網絡時代、人格權、刑事保護三方面,這些案件能給企業帶來哪些警示?對企業的數據信息合規又提出了哪些新要求?
未來,數據信息行業對數據信息的安全保護能力和合規水平將成為企業的核心競爭力之一,本文從企業長效經營的角度,分享對企業數據信息合規治理的經驗,希望對你有所幫助。
”
文 | 許秀慧 王蕓 杜欣宜 北京德恒(蘭州)律師事務所
本文由作者向新則獨家供稿
2月21日,最高檢舉行以“堅持以人民為中心,加強網絡時代人格權刑事保護”為主題的新聞發布會,在此次會議上發布了最高人民檢察院第三十四批指導性案例。此次指導性案例聚焦網絡時代、人格權、刑事保護的三個方面。
一是從時代要求看,人民群眾在新時代對民主、法治、公平、正義、安全、環境等方面的要求日益增長,希望過上更有尊嚴、更體面的生活,加強對名譽、榮譽、隱私和個人信息的保護,是人民群眾在新時代提出的更高法治需求。
二是從法律層面看,民法典專編規定了人格權,強化了對人格權的保護,彰顯了國家和法律對人格尊嚴的尊重和保護。個人信息保護法進一步加大了對個人信息保護的力度,完善了個人信息保護法律體系。
三是從科技發展看,網絡已經融入人民群眾生產、生活的方方面面。網絡的發展帶來了便利,但網絡空間也是亂象叢生。而且,利用網絡實施犯罪相較傳統的犯罪手段,對被害人的權益危害更大、社會影響更惡劣。選擇了這一主題發布指導性案例,意在引導執法、司法機關加強司法活動,懲治犯罪,同時對社會也是警示和教育(摘自最高檢相關文章)。筆者站在企業長效經營角度有以下幾點觀察:
01.網絡時代個人信息權益被侵害,在人格權方面主要體現在誹謗、名譽權、榮譽權等方面被侵害,這些案件能給企業帶來怎么樣的警示?
雖然動筆前沒有看到五個指導性案例的具體案情,利用百度等相關渠道了解到從山東“曹縣帖案”到河南靈寶“王帥帖案”,從內蒙古鄂爾多斯市“網絡發帖誹謗案”到陜西省首例網絡誹謗案等等,網絡誹謗案在全國各地已多次發生。這類案件多因網絡傳播快、范圍廣而成案,這類案件所暴露的“人肉搜索”等網絡誹謗問題越來越凸顯。
不僅如此,利用網絡侵害個人信息、其他權益的犯罪或侵權行為也越來越頻繁,比如2021年3.15晚會中的徐玉玉案:受害人因被告人通過騰訊QQ、支付寶等工具從他處購買非法獲取的某省高考學生信息10萬余條,經過層層倒賣并使用上述信息實施電信詐騙活動,騙取了徐玉玉學費共計9900元。徐玉玉在和父親報完案回家的路上心臟驟停不幸離世。這些被告人還騙取了山東、福建等地多名高考生的錢款,諸如此類不再列舉。
那么在互聯網應用程序(App)得到廣泛應用的今天,在數據信息已經成為各個行業生產要素的當下,作為網絡運營者、關鍵基礎設施運營者、數據信息處理者如何依法依規履行法律規定的義務,這是今天當下不得不從根本上考慮的問題。
從2021年11月1日相關部門的清理整頓中我們依然可以看到App強制授權、過度索權、超范圍收集個人信息的現象大量存在,違法違規使用個人信息的問題十分突出,為保障個人信息安全,在現有《網絡安全法》《消費者權益保護法》《數據安全法》法律框架下,作為企業該如何履行法律規定的義務?我們都知道《個人信息保護法》對個人信息權益進行了非常嚴格的規定,在履行保護個人信息義務方面,企業只有義務沒有權利。主要體現在以下三個方面:
① 《個人信息保護法》采用過錯推定原則:由于個人信息案件相比其他傳統案件更加復雜,信息作為無形物,難以像有形物那樣進行固化或鎖定,侵權表現形式以及因果關系往往也呈現出發散性和多點性,難以通過直接、明確、有針對性的證據證明。
因此對個人信息處理者提出了更高的注意義務,而這樣的舉證規則要求企業作為個人信息處理者需要制定嚴密、完善的合規體系,不但需要在經營過程中做到全過程“留痕”,還必須做到事前審核,事中跟蹤,事后復盤,不斷推敲業務細節,反復論證。否則個人信息處理者將因不能證明自己沒有過錯而承擔損害賠償等侵權責任風險。
② 《個人信息保護法》規定處理個人信息,或者處理個人信息未履行本法規定的個人信息保護義務的,由履行個人信息保護職責的部門責令改正,給予警告,沒收違法所得,對違法處理個人信息的應用程序,責令暫停或者終止提供服務;拒不改正的,并處一百萬元以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
有前款規定的違法行為,情節嚴重的,由省級以上履行個人信息保護職責的部門責令改正,沒收違法所得,并處五千萬元以下或者上一年度營業額的百分之五以下罰款,并可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款,并可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。
由此可見,《個人信息保護法》對于違法行為,規定了較為嚴重的法律后果。
首先,就懲治的違法行為而言,既有“違反規定”的“積極行為”范疇,又有“未履行保護義務”的“消極行為”范疇,如此一來,就對個人信息處理者的行為尺度提出了嚴苛的標準,既不能亂作為,也不能無作為,個人信息處理者需在“做”與“不做”之間找到平衡點。
其次,就處罰主體而言,既包括公司、單位、app,也穿透到公司、單位、app背后直接負責的主管人員和其他直接責任人員,以往借殼規避法律責任的商業模式將難以繼續,如此一來,不僅《個人信息保護法》還有其他一系列法規的頒布均是在倒逼企業經營者積極主動對企業進行數據信息合規治理,因此企圖在灰色地帶鉆法律的漏洞的想法有可能會付出沉重的代價。
③ 從《個人信息保護法》規定的監管監督看國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作。國務院有關部門依照本法和有關法律、行政法規的規定,在各自職責范圍內負責個人信息保護和監督管理工作。縣級以上地方人民政府有關部門的個人信息保護和監督管理職責,按照國家有關規定確定。
從法條規定的監管內容來看,個人信息保護監管部門非單一部門職責,而是互相配合的多部門監管體系。互聯網、通信、金融、醫療、快遞、教育等行業都屬于個人信息海量存儲行業,而該幾類行業分屬不同部門監管,因此,凡涉及與該幾類行業相關的監管部門都負有相關領域個人信息保護職責,與網信部門互相構成個人信息保護體系。在這樣一個九龍治水的監管體系下,企業數據信息合規治理沒有退路。
02.網絡空間已經越來越多地成為犯罪空間、侵權空間,但網絡空間不是法外之地。
此次最高檢頒布的第三十四批指導性案例雖然只有五個案例,但均是具有代表性的典型案例,根據此次新聞發布會上最高檢檢委會委員、第一檢察廳廳長苗生明發言可以獲悉:網絡環境下對他人侮辱、誹謗、侵犯公民個人信息,具有傳播速度快、傳播范圍廣、危害嚴重、后果嚴重的特點。但最高檢自2019年以來,全國檢察機關共批準逮捕涉嫌侮辱罪、誹謗罪犯罪嫌疑人168人;涉嫌侵害公民個人信息罪犯罪嫌疑人12410人;涉嫌侵害英雄烈士名譽、榮譽罪犯罪嫌疑人12人;共起訴涉嫌侮辱罪、誹謗罪被告人213人;涉嫌侵害公民個人信息罪被告人21923人;涉嫌侵害英雄烈士名譽、榮譽罪被告人15人。
通過指控犯罪,有力地保護了被害人合法權益,不僅如此,我們從裁判文書網站或其它渠道越來越多的看到網絡侵權案件或未履行信息安全保護義務的企業因侵犯個人信息承擔民事責任亦或是受到行政處罰。
對于網絡數據信息融入比較深的經營行業,更應當高度地意識到網絡數據信息安全合規對于長效經營的重要性。
2021年3月12日國家互聯網信息辦公室、工業和信息化部、公安部、國家市場監督管理總局發布國信辦密字(2021)14號關于印發《常見類型移動互聯網應用程序必要個人信息范圍規定》的通知,對于39個行業的應用程序必要個人信息范圍進行了詳細規定。
該通知規定39個行業必要信息范圍,如房屋租售類必要信息范圍為:注冊用戶移動電話、房源基本信息、房屋地址、面積/戶型、期望售價和租金。業主房源信息是房產交易信息和身份識別信息的組合,包含姓名、移動電話、住址、交易價格等內容,均屬于《個人信息保護法》保護的公民個人信息。按照《個人信息保護法》未經信息主體另行授權,非法獲取、出售限定使用范圍的業主房源信息,系侵犯公民個人信息的行為,情節嚴重、構成犯罪的,應當依法追究刑事責任,同時有可能承擔民事賠償責任或受到行政處罰。作為網絡數據信息融入比較深的經營行業,比如房地產行業,數據信息合規治理已經是勢在必行的公司治理范疇。
根據《個人信息保護法》及相關法規規定,作為數據信息處理者僅在數據信息收集階段就應當做到數據收集是否符合合法、正當、最小必要原則,是否在數據收集前對用戶以易于理解的方式進行充分、清晰、明確的告知,且是否獲取了數據主體的同意,是否為數據主體提供了查詢、更正、刪除、撤回授權同意、注銷賬戶、獲取個人信息副本的渠道,是否保證數據主體可以撤回其處理數據的同意,是否涉及收集未成年人的數據,是否明確收集數據目的和用途,是否提供滿足數據收集安全要求的安全管理技術方案,收集人員是否能充分理解數據收集的法律要求、安全和業務需求,并能根據業務需求和具體清況選擇合理的數據收集方式等等。
以上符合法律規定的數據信息收集行為不僅要求企業建立一套從制度到組織、從高管到每個員工等等一系列合規治理體系,還涉及到經營過程中大量的規章制度建立、相關文本的起草規范等等一系列具體事務,不僅涉及到合規治理方案的制定還涉及到方案的有效實施及實施后是否有效的檢驗和評估機制的建立,風險應急措施等等法律問題。
因此,雖然網絡無邊界,但安全有紅線,網絡空間不是法外之地,作為網絡時代的民事主體應該有高度的網絡數據信息安全意識,積極通過各種方式和渠道學習了解《網絡安全法》《數據安全法》《個人信息保護法》三大法律保護體系下與此有關的相關法律知識,做到依法上網、依法辦網特別是企業更應該做到從上到下,從內到外縱橫交錯的嚴密的數據信息安全合規治理體系,才是網絡時代應由的經營治理之道。
03.個人對信息權利保護意識的提高對企業的數據信息合規提出了更高的要求。
自2021年11月1日《個人信息保護法》施行以來,個人信息保護的維權案件有明顯的增加,這說明我們國家個人對信息權利的保護意識有所提高。比如:很多小區物業仍然強制要求進入小區進行人臉識別,而且有些地方還有政府推薦造成的看似沒有強制,實際強制安裝一些人臉識別設備,業主針對這一類強行收集個人敏感信息的行為提起訴訟的有很多起。
《個人信息保護法》等相關法律法規也為公民個人信息的強化保護提供了重要的法律武器,企業應更加關注,在個人信息保護領域企業履行保護的義務是比較嚴格的。當企業在經營過程中涉及到個人信息的流通、利用和共享時,企業需要謹慎對待,遵照《個人信息保護法》等相關要求,做好個人信息流通的合規工作。
最近,廣州互聯網法院對一起個人信息未經同意被網站加“*”公布侵犯個人信息權益及名譽權的案件進行了審理。廣州互聯網法院經審理后做出判決,該網站所發布的案涉信息屬于個人信息,構成個人信息權益及名譽權的侵害。
《個人信息保護法》規定:個人信息的處理應當征得被處理信息主體的同意,且該同意應當由個人在充分知情的前提下自愿、明確作出。侵權人網絡平臺在處理該起個人信息時不僅未取得個人信息主體的同意,且對信息來源的合法性未做任何審查。
在法院審理過程中其雖抗辯已經對該個人信息進行了去標識化處理并未直接指向被侵權人,但是被侵權人提交的證據公證書顯示,在侵權網站以被侵權人張某和張某的手機號為關鍵詞搜索后,搜索顯示的收件人信息與張某的個人信息完全相互重合。據此廣州互聯網法院認為網站公布的涉案信息可識別為張某的個人信息。最終根據《民法典》規定,判決網站于判決發生法律效力之日起三日內刪除網站所有涉及張某的個人信息,法律效力之日起十日內在“反惡”網站首頁連續30日置頂發布道歉聲明。
此案中作為個人信息保護的“守門人”,在《個人信息保護法》規定信息處理者必須履行相關個人信息保護義務的前提下,網站應當主動承擔平臺保護義務。而該案件網站顯然沒有履行相關的法律義務,其原因是對此法律義務不知悉、無意識、不重視或是根本就是投機鉆營,未曾考慮長效經營導致的。
因此數據信息處理者、網絡平臺、關鍵基礎設施運營者如何做好數據信息保護“守門人”,是企業長效經營應當確實考慮的實際問題,而且未來企業發展中數據信息行業對數據信息的安全保護能力和合規水平將成為企業的一種核心競爭力。
綜上所述,目前很多行業對如何做到符合行業實踐中合規標準,均在探索中更傾向于階段性、碎片化的。因此數據信息合規治理路漫漫其修遠兮。
