大数据时代个人信息保护合规要点
作者:黄胜律师(微信号:shenghuang2012,邮箱:shenghuang2008@live.cn)
*作者声明:本文仅代表作者本人观点,不代表任职单位立场*
在互联网和大数据时代,企业通过各种途径(例如线下经营活动、通过自营网站和手机App等线上方式)收集的大量用户个人信息可帮助他们了解用户的行为模式和消费习惯,从而为用户提供更好服务,是企业核心竞争力的有机组成部分。随着我国不断加强对个人信息保护的监管,如何合法合规地收集和利用这些个人信息也相应成为企业合规经营需要重点关注的问题。
一、我国个人信息保护的法律体系和法律责任
1.法律体系
随着实践中不断出现的个人信息被泄露的问题,我国在过去5年中颁布的含有个人信息保护相关规定的法律、法规、规章和司法解释多达20多项,以加强对个人信息的保护。 我国目前没有统一的个人信息保护法,与个人信息保护的规定散见于法律、法规、规章和司法解释中。法律主要包括《中华人民共和国刑法修正案(七)》(2009年,此时间为实施年份,下同)、《中华人民共和国侵权责任法》(2010)、《全国人民代表大会常务委员会关于加强网络信息保护的决定》(2012)、《中华人民共和国消费者权益保护法》(2014)和《中华人民共和国广告法》(2015)等。法规主要包括《征信业管理条例》(2013)。司法解释主要包括《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(2014)。
规章主要包括工信部从电信和互联网角度颁布的规定以及国家工商总局从消费者和网络交易的角度颁布的规定,此外,其他一些部委也颁布了与本部门监管相关的一些规定,例如国家卫生和计划生育委员会颁布的《人口健康信息管理办法(试行)》(2014)和国家邮政局颁布的《寄递服务用户个人信息安全管理规定》(2014)。由于我国在法律层面的规定过于原则,工信部颁布的规章中包含了不少具体实操性规定,是企业合规需要重点研究的对象,这些规章主要包括《电信和互联网用户个人信息保护规定》(2013)、《通信短信息服务管理规定》(2015)和《互联网电子邮件服务管理办法》(2006)。此外,工商总局颁布的相关规章主要包括《网络交易管理办法》(2014)和《侵害消费者权益行为处罚办法》(2015)。
除了前述有法律约束力的法律法规之外,我国还发布了一些对实践具有重要指导意义的非强制性国家标准,例如《信息安全技术公共及商用服务信息系统个人信息保护指南》(2013)、《电信和互联网服务用户个人信息保护定义及分类》(2014)以及《电信和互联网服务用户个人信息保护分级指南》(2014)。
2.法律责任
违反个人信息保护相关规定的法律责任包括民事、刑事和行政责任。非法披露个人信息主要可构成侵犯个人隐私权或名誉权等人身性权利,需要承担的民事责任主要包括赔偿损失、赔礼道歉、消除影响和恢复名誉等,主要法律依据为《中华人民共和国侵权责任法》和《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》。
根据《中华人民共和国刑法修正案(七)》第二百五十三条之一,出售或者非法提供个人信息的特定单位(如金融、电信、交通、教育、医疗等)人员,或者窃取或者以其他方法非法获得个人信息的人员,可被处以刑事责任;单位构成犯罪的,单位及其直接责任人员需要承担刑事责任。由于《中华人民共和国刑法修正案(七)》对出售或非法提供个人信息的适用单位范围限定过窄且刑罚过轻,无法有效遏制违法买卖、泄露个人信息的违法行为, 2015年7月10日公布的《中华人民共和国刑法修正案(九)》草案二次审议稿取消了“金融、电信、交通、教育、医疗”等单位的限定用语,并将最高刑期由三年提高至七年。
对于违反相关个人信息保护规定的,相关政府主管部门(例如工信部和工商总局地方部门)可责令限期改正、处以警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等行政处罚,同时可将违法记录记入社会信用档案并予以公布(例如工商部门的企业信用信息公示系统)。
二、个人信息定义和基本保护义务
我国目前法律对个人信息并没有统一的定义,目前比较全面的定义主要有:
1.《电信和互联网用户个人信息保护规定》第四条:本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。
2.《侵害消费者权益行为处罚办法》第十一条:前款中的消费者个人信息是指经营者在提供商品或者服务活动中收集的消费者姓名、性别、职业、出生日期、身份证件号码、住址、联系方式、收入和财产状况、健康状况、消费情况等能够单独或者与其他信息结合识别消费者的信息。
3.2015年7月公布的《中华人民共和国网络安全法(草案)》第六十五条:公民个人信息,是指以电子或者其他方式记录的公民的姓名、出生日期、身份证件号码、个人生物识别信息、职业、住址、电话号码等个人身份信息,以及其他能够单独或者与其他信息结合能够识别公民个人身份的各种信息。
4.《全国民事审判工作会议纪要》(2015年4月征求意见稿)20:能够单独或者相互结合识别特定个人身份及行为隐私的信息构成网络公民个人信息(如网络用户的网络认证账户和密码、IP地址、上下线时间、网络浏览日志、网页地址、使用的搜索引擎关键词,公民个人的姓名、职业、家庭、婚姻、指纹、音频、视频等)。
5.《信息安全技术公共及商用服务信息系统个人信息保护指南》第3.1条:可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。个人信息可以分为个人敏感信息和个人一般信息。
上述五种定义的共同特征是将“单独或者与其他信息结合”能够识别用户身份和个人活动的信息构成个人信息。值得注意的是,针对近年来基因、指纹、掌纹、脸部等生物识别技术不断成熟并在实践中不断投入使用,《中华人民共和国网络安全法(草案)》首次使用了个人生物识别信息这一上位概念。
此外,有些规定利用列举的方式罗列了应予以特别保护的个人信息。例如,《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十二条规定“网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持。”《征信业管理条例》第十四条规定“禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。”
企业及其工作人员对其收集、使用的用户个人信息应当严格保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供,并应当采取技术措施和其他必要措施,确保信息安全,防止收集的个人电子信息泄露、毁损、丢失。为确保合规,企业在实践中需要重点加强对手机号码、身份证号以及银行卡信息等敏感个人信息的保护,可采取的措施包括对工作人员实行权限管理,监督批量导出和复制行为。此外,2014颁布的两项国家标准(《电信和互联网服务用户个人信息保护定义及分类》和《电信和互联网服务用户个人信息保护分级指南》)将个人信息根据敏感程度分为三大类和十四小类,并根据具体类别制定了严格程度不同的五级标准。国际上通行的ISO27001信息安全管理标准也可作为企业经营活动的参考。
实践中,部分企业会将用户个人信息出售或者有偿分享给其他第三方,据报道,有些公司在2015年4月通过贵阳大数据交易平台将经过清洗和匿名化处理的数据销售给第三方。在出售或者分享时,除非已获得用户的事先同意,这些企业需要对用户的个人信息提前进行匿名化处理,避免提供给第三方的信息可单独或者结合地识别用户身份信息,从而构成违法泄露个人信息。与此相对应地,实践中部分企业出于营销等目的从第三方收购大数据,为降低相关民事、刑事和行政法律责任风险,有必要进行事先调查和筛选,确保接收的数据有来源合法或者已经进行了必要的匿名化处理。
此外,我国规定委托第三方代为收集、加工、处理、存储和使用个人信息的,委托方应当对第三方的个人信息保护工作进行监督和管理,不得委托不符合法律要求的第三方。实践中有越来越多的企业将包括用户个人信息在内的运营数据储存在第三方服务器上,为降低和转移法律风险,在与第三方签订服务协议之时明确其数据保护责任,例如要求其严格遵守我国的个人信息保护法律,并采取所有必要的安全、容灾备灾、加密和防病毒措施防止数据泄露和丢失。
三、个人信息保护合规需要重点关注的事项
1.用户同意方式、收集使用范围和隐私政策
《全国人民代表大会常务委员会关于加强网络信息保护的决定》明确要求企业“在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息”,并“应当公开其收集、使用规则”。
第一,根据上述规定,企业需要制定并公布个人信息的收集和使用规则。对于规则的内容,《电信和互联网用户个人信息保护规定》第九条要求该规则应当明确告知用户收集、使用信息的目的、方式和范围,查询、更正信息的渠道以及拒绝提供信息的后果等事项。对于公布的方式,《电信和互联网用户个人信息保护规定》第八条规定应在经营或者服务场所、网站公布。对于拥有官方网站的企业来说,如果其通过该网站收集用户的个人信息(例如,收集用户的姓名、联系地址、手机号码或电子邮箱等),国际上通行的做法是在其官方网站上公布相应的收集和使用规则,该类规则通常名为“隐私政策”(英文通常称为Privacy Policy或者Privacy Statement)。实践中,有些企业将隐私政策一并制定在网站使用条款(英文通常称为Terms of Use或者User Agreement)中,而有些企业则分别单独制定使用条款和隐私政策,并通过使用条款中的援引条款将隐私政策纳入到使用条款中。不论采用何种方式,企业均需要量体裁衣,在满足法律基本要求的情况下制定符合自身情况且可以得到有效执行的隐私政策,避免盲目抄袭其他企业的规则,制定不切实际制定标准过高的隐私保护政策而引起违约或者行政处罚等法律风险。此外,《电信和互联网用户个人信息保护规定》第十二条规定企业网站应当公布有效的联系方式,接受与用户个人信息保护有关的投诉,并自接到投资之日起15日内答复投诉人。最后,实践中有不少涉及到收集个人信息的手机App(例如,很多App注册时需要提供手机号码)并没有在App中加入隐私政策内容或者链接,也没有在用户注册时提示相关隐私政策或者使用条款,这种做法可能存在一定的合规风险。
第二,企业收集个人信息需要事先获得信息主体的同意。我国目前的法律没有明确“同意”的方式,默示同意是否可以是同意的一种方式。国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》中的做法是将个人信息分为个人敏感信息(包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等)和个人一般信息。收集个人一般信息时,可认为个人信息主体默许同意,如果个人信息主体明确反对,要停止收集或删除个人信息;收集个人敏感信息时,需要得到信息主体的明示同意。但根据2015年7月公布的《中华人民共和国网络安全法(草案)》(第十八条规定“网络产品、服务的提供者不得设置恶意程序;其产品、服务具有收集用户信息功能的,应当向用户明示并取得同意”),我国似乎将采取比默示同意更为严格的标准。实践中,为了保证用户有充分机会知悉隐私政策和网站使用条款以及为了证明已经获得用户的同意,企业可考虑在用户网站注册页面单独加一个选项框,写明“我已阅读并同意网站使用条款和隐私政策”,设置链接至使用条款和隐私政策,并保留用户点击同意的证据。用户在注册过程中点击该选项框即可视为同意网站收集其注册过程中提供的个人信息以及使用条款和隐私政策中关于个人信息的处理、转移和利用的规定。
第三,关于个人信息收集和使用的范围,企业应当遵守“必要”原则。《电信和互联网用户个人信息保护规定》第九条规定“不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的,不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。”与“必要”原则相关的是国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》中明确了“最少够用原则”,即“只处理与处理目的有关的最少信息,达到处理目的后,在最短时间内删除个人信息”。目前实践中存在较多问题是手机App收集的个人信息范围远远超过了必要的范围(例如,监测网络流量的工具性软件收集用户通讯录和个人位置等与该服务无关的信息)。为降低法律风险,企业需要严格遵守“必要”原则。
2.发生或可能发生个人信息泄漏时补救、报告和通知义务
在已发生或可能发生个人信息泄露时,我国法律明确要求企业需要立即采取补救措施(如《全国人民代表大会常务委员会关于加强网络信息保护的决定》第四条规定“在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施”),并规定了在造成或者可能造成严重后果的情况下通知电信局等主管部门的报告以及配合调查义务(见《电信和互联网用户个人信息保护规定》第十四条规定)。
我国现行有效的法律法规并没有明确规定企业在发生或者可能发生个人信息泄露时通知用户的义务,只是在工信部的个别通知中要求企业“尽快通过网站公告、电子邮件、电话、短信等方式向用户发出警示,提醒用户修改在本网站或其它网站使用的相同用户名和密码”(见《工业和信息化部关于近期部分互联网站信息泄露事件的通告》,2011年11月)。鉴于目前通知用户义务的缺位,2015年7月6日颁布的《中华人民共和国网络安全法(草案)》第三十六条已明确要求企业告知可能受到影响的用户。考虑到通知用户可能对企业的商誉和业务造成致命影响,这一新规将会促使企业更加重视数据安全保护。
3.个人信息本地化存储要求
出于国家安全的考虑,部分行业收集个人信息和用户数据只能存储在中国境内。例如,《人口健康信息管理办法(试行)》第十条规定“不得将人口健康信息在境外的服务器中存储,不得托管、租赁在境外的服务器”;《征信业管理条例》第二十四条规定“征信机构在中国境内采集的信息的整理、保存和加工,应当在中国境内进行”;《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》规定“在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行”;《支付机构互联网支付业务管理办法(征求意见稿)》第四条规定“支付机构开展互联网支付业务,应拥有并运营独立、安全、可靠的支付业务处理系统,该系统及其备份系统的服务器应设置在中华人民共和国境内”。相关企业在处理这些数据时需要避免将相关个人信息储存在境外的服务器,或者将相关信息传输到境外。对于使用第三方服务器来存储用户个人信息的企业来说,如果该行业有相关的本地化存储要求,注意选用在中国境内设有服务器的服务提供商。
4.个人信息跨境转移
实践中,有些企业可能需要将在中国境内收集的个人信息转移至境外,例如,企业需要将国内收集的个人信息传输给境外的服务商进行数据处理,或者跨国公司需要将中国员工个人信息转至总部以统一处理人事问题。对于个人信息跨境转移问题,除上段所述禁止跨境转移之外,我国目前没有明确的法律规定,可供参考的规定是《信息安全技术公共及商用服务信息系统个人信息保护指南》第5.4.5( “未经个人信息主体的明示同意,或法律法规明确规定,或未经主管部门同意,个人信息管理者不得将个人信息转移给境外个人信息获得者,包括位于境外的个人或境外注册的组织和机构”)。尽管该标准中的“明示同意”规定不具有法律约束力,从合规和降低法律风险的角度出发,对于可能涉及将数据转移至境外的企业,可考虑在使用条款和隐私政策中对此进行明确规定(例如,明确其个人信息可能会转移至境外,且其明确同意该跨境转移),确保获得用户的事先明示同意。
采用此种保守做法的另外一个原因是我国正在从国家战略的高度关注个人信息在内的各种数据跨境转移并加强这方面的监管。例如,2015年7月公布的《中华人民共和国网络安全法(草案)》要求关键信息基础设施的运营者在境内存储公民个人信息等重要数据,确需在境外存储或者向境外提供的,应当按照规定进行安全评估。此外,在2015年7月1日颁布的《国务院办公厅关于运用大数据加强对市场主体服务和监管的若干意见》中,我国明确将加强信息跨境流动的监管,以保护国家经济安全和信息安全。根据该通知,国家网信办、公安部、工商总局、工业和信息化部、发展改革委等部门会同法制办负责制定相应的规定,预计在2017年12月底前出台。
综上所述,我国对个人信息保护的监管越来越严格,不断推出新的法律法规,相关企业需要密切跟踪这一领域的法律进展,确保其收集和利用个人信息符合相关法律的要求。