數字化的個人信息是網絡空間和物理空間相互映射的橋梁和紐帶。大數據、人工智能、智能網聯汽車等高新技術的蓬勃發展,麻痹了人們對于保護個人信息重要性的認識。須知,個人信息一旦泄露即不可逆轉,影響慘痛且深遠。
2021年9月2日,重慶市首例消費者個人信息保護民事公益訴訟案在重慶市第一中級人民法院開庭審理。據悉,該案是《中華人民共和國個人信息保護法》(以下簡稱“《個保法》”)頒布后,全國開庭審理的第一例有關個人信息保護的民事公益訴訟案件。該案的審理,對那些掌握海量數據的個人信息處理者敲響了警鐘,對于保護個人信息權益,推動企業建立、完善數據合規制度具有重要意義。
案情:在2020年7月有關媒體刊發“沙坪壩區西部物流園一冷凍倉庫部分厄瓜多爾進口凍南美白蝦外包裝新冠病毒核酸呈陽性”的消息后,重慶揚啟企業營銷策劃有限公司(以下簡稱“重慶揚啟公司”)通過其微信公眾號“揚啟策劃推廣”發布《重慶已購進口白蝦顧客名單》,該名單涉及10979名消費者的住址、電話、姓名、身份證號等個人信息,且被大量轉載傳播。針對此種情況,重慶市消費者權益保護委員會(以下簡稱“重慶市消委會”)以其名義對重慶揚啟公司提起公益訴訟,重慶市人民檢察院第一分院支持起訴。
最終,原被告雙方在審判長的主持下簽署調解書,被告重慶揚啟公司承諾:將在《中國消費者報》上刊登道歉信,公開賠禮道歉,并在自調解書生效起1年內策劃、制作、發布原創消費領域公益宣傳活動或內容4次以上。
評析:近年來,網絡技術、信息技術的發展在給消費者帶來便利的同時,對消費者個人信息的不當收集與濫用問題也日益嚴重。個別的個人信息往往只會涉及到消費者的個人利益,但一旦個人信息主體的數量達到一定量級,就有可能形成事關公共利益的重要數據。此類信息的泄露,影響面廣,受害者眾,極有可能引發系統性問題和連鎖性危害。
在侵害個人信息權益的案件中,被侵權人往往是個人信息權益的所有人(自然人)。自然人在主張侵權損害賠償時,往往基于訴訟成本(時間、精力、金錢)較高、調查取證困難較大等諸多主客觀原因而放棄起訴。即便起訴,往往也難以獲得理想的效果。針對此種情況,《個保法》第七十條允許以檢察院機關、消費者組織或網信部門為原告向人民法院提起公益訴訟。
在本案中,重慶揚啟公司發布的內容,不但包含個人信息,甚至含有敏感個人信息。非法公開此類信息,勢必危害消費者人身、財產安全,侵害個人的信息權益。同時,該公司的泄露行為所涉及的消費者眾多,無疑將破壞公眾安全放心的消費環境,侵害了社會公共利益。在此情況下,以消費者權益保護組織的名義提起訴訟,由檢查機關支持起訴,無疑是一種有效且明智的舉措。并且,本案以消費公益宣傳活動補償損失的訴求在消費者公益訴訟領域也具有顯著創新性。
盡管“技術本身是中立的”,但“便利”與“濫用”只在一念之間。針對社會上諸多濫用個人信息的亂象,《個保法》借鑒國外先進經驗并結合我國的實際情況,設計了相應制度予以規制,取得了重大突破。
大數據時代,越來越多的主體依靠自動化決策提供服務,小到商業領域內的個性化廣告,大到信用系統評分等均涉及通過對數據的收集與分析實現個性化服務。與人工決策相比,自動化決策是基于用戶畫像(如工作表現、經濟狀況、身體狀況、個人興趣、行為穩定性、地理位置和運動軌跡等標簽)而向消費者提供有針對性的服務,具有相對客觀、高效的優點,但其也是一把“雙刃劍”,對信息主體潛藏著諸多負面影響,最為典型地的即為“大數據殺熟”與“個性化推送”。
“大數據殺熟”,是指經營者運用大數據收集消費者的信息,分析其消費偏好、消費習慣、收入水平等因素,將同一商品或服務以不同的價格銷售給不同的消費者從而獲取更多利潤的行為,例如針對蘋果用戶與安卓用戶制定不同的價格,針對消費頻率不同的用戶予以差別定價等。
“個性化推送”,即通過人工智能分析和過濾機制對海量數據進行深度智能分析,完成信息內容與用戶的精準匹配,從而實現對用戶進行個性化信息推送。但是,長此以往,由于推送的信息具有片面性與持續性,從而造成“信息繭房”,束縛用戶對客觀世界的觀察和認知。
針對自動化決策存在的上述問題,《個保法》第二十四條規定,個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。通過自動化決策方式向個人進行信息推送、商業營銷,應當同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式。
近年來,隨著信息技術飛速發展,人臉識別逐步滲透到人們生活的方方面面。但由于信息泄露風險大、安全漏洞難消除等問題,人臉識別技術帶來的個人信息保護問題也日益凸顯,搖身一變就成為損害消費者權益的幕后幫兇。
對此問題《個人信息保護法》第二十六條規定,在公共場所安裝圖像采集、個人身份識別設備,應當為維護公共安全所必需,遵守國家有關規定,并設置顯著的提示標識。所收集的個人圖像、身份識別信息只能用于維護公共安全的目的,不得用于其他目的;取得個人單獨同意的除外。
敏感個人信息事關自然人的人格尊嚴、重大人身利益和財產利益,對此類個人信息的處理會對自然人的基本權利以及人身、財產安全產生重大影響,我國《個保法》借鑒了歐盟GDPR、美國CCPA/CPRA 等法域的立法經驗,將敏感個人信息定義為一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息。
同時,《個保法》列舉了敏感個人信息的種類,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息。此外,《個保法》還將不滿十四周歲未成年人的個人信息列為敏感個人信息,從而強化了對未成年人個人信息權益的保護。
針對敏感個人信息的處理,《個保法》要求只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,方可處理敏感個人信息。在適用“知情同意原則”的基礎上,《個保法》對處理敏感個人信息提出了更高的要求,即應當取得個人的單獨同意,法律、行政法規規定處理敏感個人信息應當取得書面同意的,從其規定。這意味著在處理敏感個人信息時,概括同意或推定同意的授權模式為法律所禁止。
隨著經濟全球化、數字化的不斷推進以及我國對外開放的不斷擴大,個人信息的跨境流動日益頻繁,但由于遙遠的地理距離以及不同國家法律制度、保護水平之間的差異,個人信息跨境流動風險更加難以控制。
為控制個人信息的跨境風險,《個保法》首先規定了該法的域外適用效力,即以向境內自然人提供產品或者服務為目的,或者分析、評估境內自然人的行為等,在我國境外處理境內自然人個人信息的活動適用本法,并要求符合上述情形的境外個人信息處理者在我國境內設立專門機構或者指定代表,負責個人信息保護相關事務。
其次,明確向境外提供個人信息的途徑,包括通過國家網信部門組織的安全評估、經專業機構認證、訂立標準合同、按照我國締結或參加的國際條約和協定等,并要求個人信息處理者采取必要措施保障境外接收方的處理活動達到本法規定的保護標準;
再次,《個保法》對跨境提供個人信息的“告知-同意”規則提出更為嚴格的要求,切實保障個人的知情權、決定權等權利。
最后,《個保法》還對跨境提供個人信息的安全評估、向境外司法或執法機構提供個人信息、限制或禁止跨境提供個人信息的措施、對外國歧視性措施的反制等作了有針對性的規定。
為有效降低、控制企業在《個保法》項下的法律風險,我們認為,及時構建一套完善的數據合規制度,是企業防控合規風險的當務之急,也是最佳解決方案。
根據《個保法》規定,違法處理個人信息或者未履行個人信息保護義務,不但會引發民事侵權損害賠償,還有可能承擔極為嚴厲的行政處罰(沒收違法所得,并處五千萬元以下或者上一年度營業額百分之五以下罰款,并可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照),甚至是刑事處罰。
合規制度的首要意義在于幫助企業預防違法犯罪,進而營造企業良好的合規文化。企業對數據處理的各個環節建立嚴格的制度,既可以避免系統性的合規風險,也可以降低企業員工利用管理漏洞從事違法犯罪行為的可能性。此外,從國內外的行政和刑事執法的經驗上看,合規制度可以作為行政法和刑法上的激勵機制,也就是說企業建立了合規管理體系,就可以得到行政監管部門的寬大行政處罰,或者受到較為寬大的刑事處理。
健全的合規制度應當包括制度建設、合規體檢、內部調查等事前、事中、事后三個維度,主要包括如下三方面內容:
第一,在充分識別、評估行業一般風險及本企業特殊風險的基礎上,建立數據合規制度。就個人信息保護而言,企業所面臨的行業一般風險包括企業未經授權或超越權限采集公民個人信息數據、企業或其員工傳播或倒賣個人信息問題、個人信息處理不當導致的個人信息泄露問題等。針對這些問題,企業應當制定關于個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除等活動的設備技術要求與程序要求。同時,企業還應當根據其主營業務、商業模式、經營范圍、營業規模、所在地的監管形勢等因素,制定特殊化的數據合規制度。
第二,針對企業合規制度及其實施情況進行合規體檢,主要包括定期整體合規體檢和不定期的專項合規體檢。定期整體合規體檢的內容包括但不限于:(1)合規制度是否因為法律法規的更新、執法標準的變化而落后,是否需要針對企業的業務拓展和變化而補充、修訂;(2)合規制度是否在企業的日常運營中得到充分遵守;(3)企業對合規制度的執行是否存在強有力的監督。不定期的專項合規體檢將針對企業合規制度中的某項或者某幾項合規制度,進行專門的檢查。
第三,針對已發生的違法違規事件展開內部調查,完善合規制度。即便合規制度再完善、執行監督再嚴格,員工也難免會出現違法違規行為。此時,企業首先應當對違反國家法律法規和企業相關制度的員工展開內部調查,并對員工違法違規的證據予以固定,以確保在未來可能面臨的刑事偵查和行政執法中配合政府部門的調查,減輕企業責任。在處理完合規風險后,企業應當及時總結本次違法違規事件發生的原因,并將獲得的經驗教訓體現在企業的合規制度中,以避免重蹈覆轍,遭受更為嚴厲的處罰。
北京
北京市朝陽區東三環中路5號財富金融中心35-36層
電話:+86 10 8587 9199
上海
上海市長寧區長寧路1133號長寧來福士廣場T1辦公樓37層
電話:+86 21 6289 8808
深圳
廣東省深圳市福田區金田路榮超經貿中心4801
電話:+86 755 8273 0104
天津
天津市河西區郁江道14號觀塘大廈1號樓17層
電話:+86 22 8756 0066
南京
南京市江寧區秣周東路12號7號樓知識產權大廈10層1006-1008室
電話:+86 25 8370 8988
鄭州
河南省鄭州市金水區金融島華仕中心B座2樓
電話:+86 371 8895 8789
呼和浩特
內蒙古呼和浩特市賽罕區綠地騰飛大廈B座15層
電話:+86 471 3910 106
昆明
云南省昆明市盤龍區恒隆廣場11樓1106室
電話:+86 871 6330 6330
西安
陜西省西安市雁塔區翠華路500號佳和商務大廈A座26層07室
電話:+86 29 8931 3353
杭州
浙江省杭州市西湖區學院路77號黃龍國際中心B座11層
電話:+86 571 8673 8786
重慶
重慶市兩江新區慶云路2號國金中心T6寫字樓8層8-8
電話:+86 23 6752 8936
海口
海南省海口市龍華區玉沙路5號國貿中心11樓
電話:+86 898 6850 8795
日本東京
日本國東京都港區虎之門一丁目1番18號HULIC TORANOMON BLDG.
電話:0081 3 3591 3796
加拿大愛德華王子島省
加拿大愛德華王子島省夏洛特頓市皇后街160號B座
電話:001 902 518 2988
阿聯酋迪拜
迪拜伊瑪爾商業園1號樓505號
電話:971 52 8372673
Copyright 2001-2026 Anli Partners. All Rights Reserved 京ICP備05023788號-2 京公網安備11010502032603號
聲明:本官網文章僅供交流,不構成安理律師對特定事項的法律意見或建議。如您面臨法律問題,建議您聯系安理律師或其他具有相關資格的專業人士尋求法律幫助。安理法律咨詢電話:400-800-5639。
