網上投稿
會議中,忽然有陌生的號碼呼叫,接聽后很禮貌的一句:先生,您近期需要買房嗎?心情不悅地掛掉電話,短信又響起:手機尾號為XXXX的機主,我是小葉,請加我微信號碼,有市面上找不到的奢侈好品,看朋友圈包您滿意,退訂回復T。諸如此類的垃圾短信,防不勝防,令人不勝其煩。
日常生活中,如上面的案例,我們每個公民的個人信息被泄露,商家對信息所有人過度營銷、轟炸影響等種種行為已經嚴重影響信息人所有人正常的生活和工作,甚至對于個人生活安寧和隱私保護帶來的巨大的安全隱患。
保護個人信息的重要性
個人信息包含哪些內容?根據民法典第一千零三十四條之規定,個人信息指的是,“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。”根據民法典的規定,可以看出,生活實踐中個人信息主要包括以下四類內容:
一、個人基本信息。包括姓名、性別、年齡、身份證號碼、電話號碼及家庭住址等個人基本信息。
二、個人賬戶信息。主要包括網銀帳號、第三方支付帳號,社交帳號和郵箱帳號。
三、個人隱私信息。如通訊錄信息、通話記錄、短信記錄、聊天記錄、個人視頻、照片、運動軌跡記錄、訪問的網站痕跡等。
四、社會關系信息。自然人的家庭成員信息、親屬關系信息、工作單位信息、好友關系等。
從上述定義不難看出,個人信息覆蓋了我們每個人日常生活的方方面面,從個人生物信息到活動記錄、親屬關系、聯系方式無所不包,如果任何一項個人信息被違法獲取、不當使用,信息所有人除了可能遭受各種廣告推銷的騷擾之外,犯罪分子還可能利用個人信息對我們本人或家人實施詐騙,錢財損失不說,個人名譽也受到損害。
我國個人信息保護的現狀
我國一直很重視個人信息的保護,《個人信息保護法》是一部規制個人信息保護的專門性法律,于2018年9月正式納入人大立法規劃,歷經3年起草制定工作后,于2021年8月20日正式出臺。在此之前,我國還在其他專門單行法律、國家標準中規定了個人信息保護的相關內容,民事法律領域有:《民法典》第四編人格權編中的第六章“隱私權及個人信息保護”、《網絡安全法》、《數據安全法》、《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》。刑事領域有:《刑法》第二百五十三條“侵犯公民個人信息罪”。此外還有全國信息安全標準化技術委員會制定的國家標準:《個人信息安全規范》(GB/T 35273-2020)。上述法律法規、國家標準從民事、刑事、技術規范等各個層面對于我國公民的個人信息保護提供了規范性指引,個人信息處理者不得超越法律的規定擅自使用自然人的個人信息,否則將承擔相應的法律后果。
案例點評
2017年下半年,某貸款公司員工黃某要求某國有銀行客戶經理王某為其提供銀行的客戶資料,并許諾支付給王某獲利的15%作為回扣。被利益誘惑的王某擅自登陸某行內部的電腦系統,對多個客戶資料進行截圖,同時將資料多次通過電子郵箱發送至黃某,黃某再讓員工利用上述信息打電話聯系客戶辦理貸款。
后經公安機關查明,郵件中包含公民姓名及電話號碼等有效信息累計共計3.15萬條,黃某因此按照獲利的15%給予回扣6500元給王某,另支付其3.02萬元作為介紹客戶的“辛苦費”。
本案經檢察機關提起公訴,并經一審法院判處王某犯侵犯公民個人信息罪,判處有期徒刑八個月,緩刑一年,并處罰金1萬元。
其后,某銀保監分局以涉案銀行對客戶信息安全管理不到位的案由作出罰款20萬元的行政處罰決定。而涉事人黃某因泄露客戶信息,則被禁止從事銀行業工作1年。
從上述真實案例看出,雖然王某獲利不高,僅僅數千元,卻因小失大,身陷囹圄,教訓不可謂不深刻。現實生活中,除了銀行,還有很多業務領域涉及處理個人信息的機構和企業,比如收集瀏覽數據分析購物喜好的網購平臺、比如知曉客戶收件地址信息的快遞公司、再比如對了解用戶工作經歷的招聘平臺等,這些行業已經成為公民個人信息可能被泄露的重災區。
信息處理人如果只是過度收集、不當使用自行獲取的個人信息,其可能承擔民事或行政責任;然而,在高額利潤的誘惑驅使下,如果某些機構或個人專門從事倒賣個人信息非法牟利的行為,這種行為可能涉嫌觸犯刑法,構成“侵犯公民個人信息罪”,像王某一樣鋃鐺入獄。前車之鑒,不可不重視。
建議
隨著保護個人信息的法律法規日益完善,合法合規已成為懸在個人信息處理者頭頂的達摩克里斯之劍。根據《個人信息保護法》第五條之規定:“處理個人信息應當遵循合法、正當、必要和誠信原則,不得通過誤導、欺詐、脅迫等方式處理個人信息。”本條從立法原則的角度對于如何正當處理個人信息進行了規定,筆者建議做到以下幾點,才能確保信息處理人處理個人信息合法合規:
一、自愿授權。信息處理人在收集、使用個人信息之前必須經信息所有人同意,不得通過誤導、欺詐、脅迫等方式違背信息所有人意愿不當處理個人信息。這是由個人信息的法律屬性決定的,個人信息屬于人格權益的一種,人格權益是專屬于自然人的絕對權,其有權處分自身權益,更有權排除他人侵害,未經權益人許可,不得擅自收集其個人信息。
二、正當必要。處理個人信息應該在適當的限度內進行,不得過度收集個人信息,比如我們常遇到在餐廳點餐要掃二維碼,不僅強制微信授權登錄,還要授權相機、電話權限,這些權限肯定不是點餐的必需流程;又比如我們在手機上安裝新的App時要授權手機存儲讀取、相機調用、通訊錄讀取等控制權限,而這些權限與App的正常使用完全不相關,App運營商只是通過過度收集個人信息,利用大數據、云計算分析用戶喜好,輔助精準投放營銷,提高營銷轉化,獲取巨大的收益。以后這些超出正當必要要求的處理個人信息的行為都存在違法的風險。
三、替代方案。信息處理者向個人進行信息推送、商業營銷,應當同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式。比如讀者可以看看手機中的垃圾短信,大多會有“退訂回復T”的告知;又比如小區物業不得強制所有業主都要采用人臉識別方式通過小區門禁系統,業主有權利選擇其他的識別方式。這些都是“提供便捷的拒絕方式”。簡單說,就是信息所有人有權利選擇其自認為合適的替代性個人信息處理方案。
四、專人專管。個人信息處理人對收集的個人信息應根據種類和使用目的,進行分類管理,指定專管人員,制定內部管理制度和操作規程,確定操作權限,還要對專管人員進行定期安全教育和培訓,盡量減少管理疏漏。收集個人信息達到國家網信部門規定的數量的機構或組織,應當指定個人信息保護負責人,并公開該負責人的聯系方式,將個人信息保護負責人的姓名、聯系方式等報送個人信息保護的監管部門。
五、信息安全。個人信息處理人對收集的個人信息要做好加密、去標識化等安全技術措施,最好還要制定應急預案,防止個人信息泄露、篡改、丟失的應急處理不足。還應定期對自身處理個人信息遵守法律、行政法規的情況進行合規審計自查。
結束語
信息網絡、移動互聯網的高速發展,讓我們每一個人的個人信息,特別是敏感信息,比以往任何一個時代都更加容易被他人獲取,我們的個人信息如果不能得到法律有效的保護,將直接影響的每一個人的人格尊嚴、財產安全、社會評價,因此以民法典、《刑法》、《個人信息保護法》為代表的一系列法律法規的陸續出臺,都凸顯了信息化時代下國家和政府對于每一個公民人格尊嚴的保護和尊重。個人信息,不可擅動,擅動者,必究其責!
滬公網安備 31010402007129號
