2月21日,最高檢舉行以“堅(jiān)持以人民為中心,加強(qiáng)網(wǎng)絡(luò)時(shí)代人格權(quán)刑事保護(hù)”為主題的新聞發(fā)布會(huì),在此次會(huì)議上發(fā)布了最高人民檢察院第三十四批指導(dǎo)性案例。此次指導(dǎo)性案例聚焦網(wǎng)絡(luò)時(shí)代、人格權(quán)、刑事保護(hù)三方面,這些案件能給企業(yè)帶來(lái)哪些警示?對(duì)企業(yè)的數(shù)據(jù)信息合規(guī)又提出了哪些新要求?
未來(lái),數(shù)據(jù)信息行業(yè)對(duì)數(shù)據(jù)信息的安全保護(hù)能力和合規(guī)水平將成為企業(yè)的核心競(jìng)爭(zhēng)力之一,本文從企業(yè)長(zhǎng)效經(jīng)營(yíng)的角度,分享對(duì)企業(yè)數(shù)據(jù)信息合規(guī)治理的經(jīng)驗(yàn),希望對(duì)你有所幫助。
”
文 | 許秀慧 王蕓 杜欣宜 北京德恒(蘭州)律師事務(wù)所
本文由作者向新則獨(dú)家供稿
2月21日,最高檢舉行以“堅(jiān)持以人民為中心,加強(qiáng)網(wǎng)絡(luò)時(shí)代人格權(quán)刑事保護(hù)”為主題的新聞發(fā)布會(huì),在此次會(huì)議上發(fā)布了最高人民檢察院第三十四批指導(dǎo)性案例。此次指導(dǎo)性案例聚焦網(wǎng)絡(luò)時(shí)代、人格權(quán)、刑事保護(hù)的三個(gè)方面。
一是從時(shí)代要求看,人民群眾在新時(shí)代對(duì)民主、法治、公平、正義、安全、環(huán)境等方面的要求日益增長(zhǎng),希望過(guò)上更有尊嚴(yán)、更體面的生活,加強(qiáng)對(duì)名譽(yù)、榮譽(yù)、隱私和個(gè)人信息的保護(hù),是人民群眾在新時(shí)代提出的更高法治需求。
二是從法律層面看,民法典專編規(guī)定了人格權(quán),強(qiáng)化了對(duì)人格權(quán)的保護(hù),彰顯了國(guó)家和法律對(duì)人格尊嚴(yán)的尊重和保護(hù)。個(gè)人信息保護(hù)法進(jìn)一步加大了對(duì)個(gè)人信息保護(hù)的力度,完善了個(gè)人信息保護(hù)法律體系。
三是從科技發(fā)展看,網(wǎng)絡(luò)已經(jīng)融入人民群眾生產(chǎn)、生活的方方面面。網(wǎng)絡(luò)的發(fā)展帶來(lái)了便利,但網(wǎng)絡(luò)空間也是亂象叢生。而且,利用網(wǎng)絡(luò)實(shí)施犯罪相較傳統(tǒng)的犯罪手段,對(duì)被害人的權(quán)益危害更大、社會(huì)影響更惡劣。選擇了這一主題發(fā)布指導(dǎo)性案例,意在引導(dǎo)執(zhí)法、司法機(jī)關(guān)加強(qiáng)司法活動(dòng),懲治犯罪,同時(shí)對(duì)社會(huì)也是警示和教育(摘自最高檢相關(guān)文章)。筆者站在企業(yè)長(zhǎng)效經(jīng)營(yíng)角度有以下幾點(diǎn)觀察:
01.網(wǎng)絡(luò)時(shí)代個(gè)人信息權(quán)益被侵害,在人格權(quán)方面主要體現(xiàn)在誹謗、名譽(yù)權(quán)、榮譽(yù)權(quán)等方面被侵害,這些案件能給企業(yè)帶來(lái)怎么樣的警示?
雖然動(dòng)筆前沒(méi)有看到五個(gè)指導(dǎo)性案例的具體案情,利用百度等相關(guān)渠道了解到從山東“曹縣帖案”到河南靈寶“王帥帖案”,從內(nèi)蒙古鄂爾多斯市“網(wǎng)絡(luò)發(fā)帖誹謗案”到陜西省首例網(wǎng)絡(luò)誹謗案等等,網(wǎng)絡(luò)誹謗案在全國(guó)各地已多次發(fā)生。這類案件多因網(wǎng)絡(luò)傳播快、范圍廣而成案,這類案件所暴露的“人肉搜索”等網(wǎng)絡(luò)誹謗問(wèn)題越來(lái)越凸顯。
不僅如此,利用網(wǎng)絡(luò)侵害個(gè)人信息、其他權(quán)益的犯罪或侵權(quán)行為也越來(lái)越頻繁,比如2021年3.15晚會(huì)中的徐玉玉案:受害人因被告人通過(guò)騰訊QQ、支付寶等工具從他處購(gòu)買非法獲取的某省高考學(xué)生信息10萬(wàn)余條,經(jīng)過(guò)層層倒賣并使用上述信息實(shí)施電信詐騙活動(dòng),騙取了徐玉玉學(xué)費(fèi)共計(jì)9900元。徐玉玉在和父親報(bào)完案回家的路上心臟驟停不幸離世。這些被告人還騙取了山東、福建等地多名高考生的錢款,諸如此類不再列舉。
那么在互聯(lián)網(wǎng)應(yīng)用程序(App)得到廣泛應(yīng)用的今天,在數(shù)據(jù)信息已經(jīng)成為各個(gè)行業(yè)生產(chǎn)要素的當(dāng)下,作為網(wǎng)絡(luò)運(yùn)營(yíng)者、關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)者、數(shù)據(jù)信息處理者如何依法依規(guī)履行法律規(guī)定的義務(wù),這是今天當(dāng)下不得不從根本上考慮的問(wèn)題。
從2021年11月1日相關(guān)部門的清理整頓中我們依然可以看到App強(qiáng)制授權(quán)、過(guò)度索權(quán)、超范圍收集個(gè)人信息的現(xiàn)象大量存在,違法違規(guī)使用個(gè)人信息的問(wèn)題十分突出,為保障個(gè)人信息安全,在現(xiàn)有《網(wǎng)絡(luò)安全法》《消費(fèi)者權(quán)益保護(hù)法》《數(shù)據(jù)安全法》法律框架下,作為企業(yè)該如何履行法律規(guī)定的義務(wù)?我們都知道《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息權(quán)益進(jìn)行了非常嚴(yán)格的規(guī)定,在履行保護(hù)個(gè)人信息義務(wù)方面,企業(yè)只有義務(wù)沒(méi)有權(quán)利。主要體現(xiàn)在以下三個(gè)方面:
① 《個(gè)人信息保護(hù)法》采用過(guò)錯(cuò)推定原則:由于個(gè)人信息案件相比其他傳統(tǒng)案件更加復(fù)雜,信息作為無(wú)形物,難以像有形物那樣進(jìn)行固化或鎖定,侵權(quán)表現(xiàn)形式以及因果關(guān)系往往也呈現(xiàn)出發(fā)散性和多點(diǎn)性,難以通過(guò)直接、明確、有針對(duì)性的證據(jù)證明。
因此對(duì)個(gè)人信息處理者提出了更高的注意義務(wù),而這樣的舉證規(guī)則要求企業(yè)作為個(gè)人信息處理者需要制定嚴(yán)密、完善的合規(guī)體系,不但需要在經(jīng)營(yíng)過(guò)程中做到全過(guò)程“留痕”,還必須做到事前審核,事中跟蹤,事后復(fù)盤,不斷推敲業(yè)務(wù)細(xì)節(jié),反復(fù)論證。否則個(gè)人信息處理者將因不能證明自己沒(méi)有過(guò)錯(cuò)而承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任風(fēng)險(xiǎn)。
② 《個(gè)人信息保護(hù)法》規(guī)定處理個(gè)人信息,或者處理個(gè)人信息未履行本法規(guī)定的個(gè)人信息保護(hù)義務(wù)的,由履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正,給予警告,沒(méi)收違法所得,對(duì)違法處理個(gè)人信息的應(yīng)用程序,責(zé)令暫?;蛘呓K止提供服務(wù);拒不改正的,并處一百萬(wàn)元以下罰款;對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬(wàn)元以上十萬(wàn)元以下罰款。
有前款規(guī)定的違法行為,情節(jié)嚴(yán)重的,由省級(jí)以上履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正,沒(méi)收違法所得,并處五千萬(wàn)元以下或者上一年度營(yíng)業(yè)額的百分之五以下罰款,并可以責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、通報(bào)有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營(yíng)業(yè)執(zhí)照;對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處十萬(wàn)元以上一百萬(wàn)元以下罰款,并可以決定禁止其在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事、高級(jí)管理人員和個(gè)人信息保護(hù)負(fù)責(zé)人。
由此可見(jiàn),《個(gè)人信息保護(hù)法》對(duì)于違法行為,規(guī)定了較為嚴(yán)重的法律后果。
首先,就懲治的違法行為而言,既有“違反規(guī)定”的“積極行為”范疇,又有“未履行保護(hù)義務(wù)”的“消極行為”范疇,如此一來(lái),就對(duì)個(gè)人信息處理者的行為尺度提出了嚴(yán)苛的標(biāo)準(zhǔn),既不能亂作為,也不能無(wú)作為,個(gè)人信息處理者需在“做”與“不做”之間找到平衡點(diǎn)。
其次,就處罰主體而言,既包括公司、單位、app,也穿透到公司、單位、app背后直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員,以往借殼規(guī)避法律責(zé)任的商業(yè)模式將難以繼續(xù),如此一來(lái),不僅《個(gè)人信息保護(hù)法》還有其他一系列法規(guī)的頒布均是在倒逼企業(yè)經(jīng)營(yíng)者積極主動(dòng)對(duì)企業(yè)進(jìn)行數(shù)據(jù)信息合規(guī)治理,因此企圖在灰色地帶鉆法律的漏洞的想法有可能會(huì)付出沉重的代價(jià)。
③ 從《個(gè)人信息保護(hù)法》規(guī)定的監(jiān)管監(jiān)督看國(guó)家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)個(gè)人信息保護(hù)工作和相關(guān)監(jiān)督管理工作。國(guó)務(wù)院有關(guān)部門依照本法和有關(guān)法律、行政法規(guī)的規(guī)定,在各自職責(zé)范圍內(nèi)負(fù)責(zé)個(gè)人信息保護(hù)和監(jiān)督管理工作??h級(jí)以上地方人民政府有關(guān)部門的個(gè)人信息保護(hù)和監(jiān)督管理職責(zé),按照國(guó)家有關(guān)規(guī)定確定。
從法條規(guī)定的監(jiān)管內(nèi)容來(lái)看,個(gè)人信息保護(hù)監(jiān)管部門非單一部門職責(zé),而是互相配合的多部門監(jiān)管體系?;ヂ?lián)網(wǎng)、通信、金融、醫(yī)療、快遞、教育等行業(yè)都屬于個(gè)人信息海量存儲(chǔ)行業(yè),而該幾類行業(yè)分屬不同部門監(jiān)管,因此,凡涉及與該幾類行業(yè)相關(guān)的監(jiān)管部門都負(fù)有相關(guān)領(lǐng)域個(gè)人信息保護(hù)職責(zé),與網(wǎng)信部門互相構(gòu)成個(gè)人信息保護(hù)體系。在這樣一個(gè)九龍治水的監(jiān)管體系下,企業(yè)數(shù)據(jù)信息合規(guī)治理沒(méi)有退路。
02.網(wǎng)絡(luò)空間已經(jīng)越來(lái)越多地成為犯罪空間、侵權(quán)空間,但網(wǎng)絡(luò)空間不是法外之地。
此次最高檢頒布的第三十四批指導(dǎo)性案例雖然只有五個(gè)案例,但均是具有代表性的典型案例,根據(jù)此次新聞發(fā)布會(huì)上最高檢檢委會(huì)委員、第一檢察廳廳長(zhǎng)苗生明發(fā)言可以獲悉:網(wǎng)絡(luò)環(huán)境下對(duì)他人侮辱、誹謗、侵犯公民個(gè)人信息,具有傳播速度快、傳播范圍廣、危害嚴(yán)重、后果嚴(yán)重的特點(diǎn)。但最高檢自2019年以來(lái),全國(guó)檢察機(jī)關(guān)共批準(zhǔn)逮捕涉嫌侮辱罪、誹謗罪犯罪嫌疑人168人;涉嫌侵害公民個(gè)人信息罪犯罪嫌疑人12410人;涉嫌侵害英雄烈士名譽(yù)、榮譽(yù)罪犯罪嫌疑人12人;共起訴涉嫌侮辱罪、誹謗罪被告人213人;涉嫌侵害公民個(gè)人信息罪被告人21923人;涉嫌侵害英雄烈士名譽(yù)、榮譽(yù)罪被告人15人。
通過(guò)指控犯罪,有力地保護(hù)了被害人合法權(quán)益,不僅如此,我們從裁判文書網(wǎng)站或其它渠道越來(lái)越多的看到網(wǎng)絡(luò)侵權(quán)案件或未履行信息安全保護(hù)義務(wù)的企業(yè)因侵犯?jìng)€(gè)人信息承擔(dān)民事責(zé)任亦或是受到行政處罰。
對(duì)于網(wǎng)絡(luò)數(shù)據(jù)信息融入比較深的經(jīng)營(yíng)行業(yè),更應(yīng)當(dāng)高度地意識(shí)到網(wǎng)絡(luò)數(shù)據(jù)信息安全合規(guī)對(duì)于長(zhǎng)效經(jīng)營(yíng)的重要性。
2021年3月12日國(guó)家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布國(guó)信辦密字(2021)14號(hào)關(guān)于印發(fā)《常見(jiàn)類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》的通知,對(duì)于39個(gè)行業(yè)的應(yīng)用程序必要個(gè)人信息范圍進(jìn)行了詳細(xì)規(guī)定。
該通知規(guī)定39個(gè)行業(yè)必要信息范圍,如房屋租售類必要信息范圍為:注冊(cè)用戶移動(dòng)電話、房源基本信息、房屋地址、面積/戶型、期望售價(jià)和租金。業(yè)主房源信息是房產(chǎn)交易信息和身份識(shí)別信息的組合,包含姓名、移動(dòng)電話、住址、交易價(jià)格等內(nèi)容,均屬于《個(gè)人信息保護(hù)法》保護(hù)的公民個(gè)人信息。按照《個(gè)人信息保護(hù)法》未經(jīng)信息主體另行授權(quán),非法獲取、出售限定使用范圍的業(yè)主房源信息,系侵犯公民個(gè)人信息的行為,情節(jié)嚴(yán)重、構(gòu)成犯罪的,應(yīng)當(dāng)依法追究刑事責(zé)任,同時(shí)有可能承擔(dān)民事賠償責(zé)任或受到行政處罰。作為網(wǎng)絡(luò)數(shù)據(jù)信息融入比較深的經(jīng)營(yíng)行業(yè),比如房地產(chǎn)行業(yè),數(shù)據(jù)信息合規(guī)治理已經(jīng)是勢(shì)在必行的公司治理范疇。
根據(jù)《個(gè)人信息保護(hù)法》及相關(guān)法規(guī)規(guī)定,作為數(shù)據(jù)信息處理者僅在數(shù)據(jù)信息收集階段就應(yīng)當(dāng)做到數(shù)據(jù)收集是否符合合法、正當(dāng)、最小必要原則,是否在數(shù)據(jù)收集前對(duì)用戶以易于理解的方式進(jìn)行充分、清晰、明確的告知,且是否獲取了數(shù)據(jù)主體的同意,是否為數(shù)據(jù)主體提供了查詢、更正、刪除、撤回授權(quán)同意、注銷賬戶、獲取個(gè)人信息副本的渠道,是否保證數(shù)據(jù)主體可以撤回其處理數(shù)據(jù)的同意,是否涉及收集未成年人的數(shù)據(jù),是否明確收集數(shù)據(jù)目的和用途,是否提供滿足數(shù)據(jù)收集安全要求的安全管理技術(shù)方案,收集人員是否能充分理解數(shù)據(jù)收集的法律要求、安全和業(yè)務(wù)需求,并能根據(jù)業(yè)務(wù)需求和具體清況選擇合理的數(shù)據(jù)收集方式等等。
以上符合法律規(guī)定的數(shù)據(jù)信息收集行為不僅要求企業(yè)建立一套從制度到組織、從高管到每個(gè)員工等等一系列合規(guī)治理體系,還涉及到經(jīng)營(yíng)過(guò)程中大量的規(guī)章制度建立、相關(guān)文本的起草規(guī)范等等一系列具體事務(wù),不僅涉及到合規(guī)治理方案的制定還涉及到方案的有效實(shí)施及實(shí)施后是否有效的檢驗(yàn)和評(píng)估機(jī)制的建立,風(fēng)險(xiǎn)應(yīng)急措施等等法律問(wèn)題。
因此,雖然網(wǎng)絡(luò)無(wú)邊界,但安全有紅線,網(wǎng)絡(luò)空間不是法外之地,作為網(wǎng)絡(luò)時(shí)代的民事主體應(yīng)該有高度的網(wǎng)絡(luò)數(shù)據(jù)信息安全意識(shí),積極通過(guò)各種方式和渠道學(xué)習(xí)了解《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》三大法律保護(hù)體系下與此有關(guān)的相關(guān)法律知識(shí),做到依法上網(wǎng)、依法辦網(wǎng)特別是企業(yè)更應(yīng)該做到從上到下,從內(nèi)到外縱橫交錯(cuò)的嚴(yán)密的數(shù)據(jù)信息安全合規(guī)治理體系,才是網(wǎng)絡(luò)時(shí)代應(yīng)由的經(jīng)營(yíng)治理之道。
03.個(gè)人對(duì)信息權(quán)利保護(hù)意識(shí)的提高對(duì)企業(yè)的數(shù)據(jù)信息合規(guī)提出了更高的要求。
自2021年11月1日《個(gè)人信息保護(hù)法》施行以來(lái),個(gè)人信息保護(hù)的維權(quán)案件有明顯的增加,這說(shuō)明我們國(guó)家個(gè)人對(duì)信息權(quán)利的保護(hù)意識(shí)有所提高。比如:很多小區(qū)物業(yè)仍然強(qiáng)制要求進(jìn)入小區(qū)進(jìn)行人臉識(shí)別,而且有些地方還有政府推薦造成的看似沒(méi)有強(qiáng)制,實(shí)際強(qiáng)制安裝一些人臉識(shí)別設(shè)備,業(yè)主針對(duì)這一類強(qiáng)行收集個(gè)人敏感信息的行為提起訴訟的有很多起。
《個(gè)人信息保護(hù)法》等相關(guān)法律法規(guī)也為公民個(gè)人信息的強(qiáng)化保護(hù)提供了重要的法律武器,企業(yè)應(yīng)更加關(guān)注,在個(gè)人信息保護(hù)領(lǐng)域企業(yè)履行保護(hù)的義務(wù)是比較嚴(yán)格的。當(dāng)企業(yè)在經(jīng)營(yíng)過(guò)程中涉及到個(gè)人信息的流通、利用和共享時(shí),企業(yè)需要謹(jǐn)慎對(duì)待,遵照《個(gè)人信息保護(hù)法》等相關(guān)要求,做好個(gè)人信息流通的合規(guī)工作。
最近,廣州互聯(lián)網(wǎng)法院對(duì)一起個(gè)人信息未經(jīng)同意被網(wǎng)站加“*”公布侵犯?jìng)€(gè)人信息權(quán)益及名譽(yù)權(quán)的案件進(jìn)行了審理。廣州互聯(lián)網(wǎng)法院經(jīng)審理后做出判決,該網(wǎng)站所發(fā)布的案涉信息屬于個(gè)人信息,構(gòu)成個(gè)人信息權(quán)益及名譽(yù)權(quán)的侵害。
《個(gè)人信息保護(hù)法》規(guī)定:個(gè)人信息的處理應(yīng)當(dāng)征得被處理信息主體的同意,且該同意應(yīng)當(dāng)由個(gè)人在充分知情的前提下自愿、明確作出。侵權(quán)人網(wǎng)絡(luò)平臺(tái)在處理該起個(gè)人信息時(shí)不僅未取得個(gè)人信息主體的同意,且對(duì)信息來(lái)源的合法性未做任何審查。
在法院審理過(guò)程中其雖抗辯已經(jīng)對(duì)該個(gè)人信息進(jìn)行了去標(biāo)識(shí)化處理并未直接指向被侵權(quán)人,但是被侵權(quán)人提交的證據(jù)公證書顯示,在侵權(quán)網(wǎng)站以被侵權(quán)人張某和張某的手機(jī)號(hào)為關(guān)鍵詞搜索后,搜索顯示的收件人信息與張某的個(gè)人信息完全相互重合。據(jù)此廣州互聯(lián)網(wǎng)法院認(rèn)為網(wǎng)站公布的涉案信息可識(shí)別為張某的個(gè)人信息。最終根據(jù)《民法典》規(guī)定,判決網(wǎng)站于判決發(fā)生法律效力之日起三日內(nèi)刪除網(wǎng)站所有涉及張某的個(gè)人信息,法律效力之日起十日內(nèi)在“反惡”網(wǎng)站首頁(yè)連續(xù)30日置頂發(fā)布道歉聲明。
此案中作為個(gè)人信息保護(hù)的“守門人”,在《個(gè)人信息保護(hù)法》規(guī)定信息處理者必須履行相關(guān)個(gè)人信息保護(hù)義務(wù)的前提下,網(wǎng)站應(yīng)當(dāng)主動(dòng)承擔(dān)平臺(tái)保護(hù)義務(wù)。而該案件網(wǎng)站顯然沒(méi)有履行相關(guān)的法律義務(wù),其原因是對(duì)此法律義務(wù)不知悉、無(wú)意識(shí)、不重視或是根本就是投機(jī)鉆營(yíng),未曾考慮長(zhǎng)效經(jīng)營(yíng)導(dǎo)致的。
因此數(shù)據(jù)信息處理者、網(wǎng)絡(luò)平臺(tái)、關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)者如何做好數(shù)據(jù)信息保護(hù)“守門人”,是企業(yè)長(zhǎng)效經(jīng)營(yíng)應(yīng)當(dāng)確實(shí)考慮的實(shí)際問(wèn)題,而且未來(lái)企業(yè)發(fā)展中數(shù)據(jù)信息行業(yè)對(duì)數(shù)據(jù)信息的安全保護(hù)能力和合規(guī)水平將成為企業(yè)的一種核心競(jìng)爭(zhēng)力。
綜上所述,目前很多行業(yè)對(duì)如何做到符合行業(yè)實(shí)踐中合規(guī)標(biāo)準(zhǔn),均在探索中更傾向于階段性、碎片化的。因此數(shù)據(jù)信息合規(guī)治理路漫漫其修遠(yuǎn)兮。