数字化的个人信息是网络空间和物理空间相互映射的桥梁和纽带。大数据、人工智能、智能网联汽车等高新技术的蓬勃发展,麻痹了人们对于保护个人信息重要性的认识。须知,个人信息一旦泄露即不可逆转,影响惨痛且深远。
2021年9月2日,重庆市首例消费者个人信息保护民事公益诉讼案在重庆市第一中级人民法院开庭审理。据悉,该案是《中华人民共和国个人信息保护法》(以下简称“《个保法》”)颁布后,全国开庭审理的第一例有关个人信息保护的民事公益诉讼案件。该案的审理,对那些掌握海量数据的个人信息处理者敲响了警钟,对于保护个人信息权益,推动企业建立、完善数据合规制度具有重要意义。
案情:在2020年7月有关媒体刊发“沙坪坝区西部物流园一冷冻仓库部分厄瓜多尔进口冻南美白虾外包装新冠病毒核酸呈阳性”的消息后,重庆扬啟企业营销策划有限公司(以下简称“重庆扬啟公司”)通过其微信公众号“扬啟策划推广”发布《重庆已购进口白虾顾客名单》,该名单涉及10979名消费者的住址、电话、姓名、身份证号等个人信息,且被大量转载传播。针对此种情况,重庆市消费者权益保护委员会(以下简称“重庆市消委会”)以其名义对重庆扬啟公司提起公益诉讼,重庆市人民检察院第一分院支持起诉。
最终,原被告双方在审判长的主持下签署调解书,被告重庆扬啟公司承诺:将在《中国消费者报》上刊登道歉信,公开赔礼道歉,并在自调解书生效起1年内策划、制作、发布原创消费领域公益宣传活动或内容4次以上。
评析:近年来,网络技术、信息技术的发展在给消费者带来便利的同时,对消费者个人信息的不当收集与滥用问题也日益严重。个别的个人信息往往只会涉及到消费者的个人利益,但一旦个人信息主体的数量达到一定量级,就有可能形成事关公共利益的重要数据。此类信息的泄露,影响面广,受害者众,极有可能引发系统性问题和连锁性危害。
在侵害个人信息权益的案件中,被侵权人往往是个人信息权益的所有人(自然人)。自然人在主张侵权损害赔偿时,往往基于诉讼成本(时间、精力、金钱)较高、调查取证困难较大等诸多主客观原因而放弃起诉。即便起诉,往往也难以获得理想的效果。针对此种情况,《个保法》第七十条允许以检察院机关、消费者组织或网信部门为原告向人民法院提起公益诉讼。
在本案中,重庆扬啟公司发布的内容,不但包含个人信息,甚至含有敏感个人信息。非法公开此类信息,势必危害消费者人身、财产安全,侵害个人的信息权益。同时,该公司的泄露行为所涉及的消费者众多,无疑将破坏公众安全放心的消费环境,侵害了社会公共利益。在此情况下,以消费者权益保护组织的名义提起诉讼,由检查机关支持起诉,无疑是一种有效且明智的举措。并且,本案以消费公益宣传活动补偿损失的诉求在消费者公益诉讼领域也具有显著创新性。
尽管“技术本身是中立的”,但“便利”与“滥用”只在一念之间。针对社会上诸多滥用个人信息的乱象,《个保法》借鉴国外先进经验并结合我国的实际情况,设计了相应制度予以规制,取得了重大突破。
大数据时代,越来越多的主体依靠自动化决策提供服务,小到商业领域内的个性化广告,大到信用系统评分等均涉及通过对数据的收集与分析实现个性化服务。与人工决策相比,自动化决策是基于用户画像(如工作表现、经济状况、身体状况、个人兴趣、行为稳定性、地理位置和运动轨迹等标签)而向消费者提供有针对性的服务,具有相对客观、高效的优点,但其也是一把“双刃剑”,对信息主体潜藏着诸多负面影响,最为典型地的即为“大数据杀熟”与“个性化推送”。
“大数据杀熟”,是指经营者运用大数据收集消费者的信息,分析其消费偏好、消费习惯、收入水平等因素,将同一商品或服务以不同的价格销售给不同的消费者从而获取更多利润的行为,例如针对苹果用户与安卓用户制定不同的价格,针对消费频率不同的用户予以差别定价等。
“个性化推送”,即通过人工智能分析和过滤机制对海量数据进行深度智能分析,完成信息内容与用户的精准匹配,从而实现对用户进行个性化信息推送。但是,长此以往,由于推送的信息具有片面性与持续性,从而造成“信息茧房”,束缚用户对客观世界的观察和认知。
针对自动化决策存在的上述问题,《个保法》第二十四条规定,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
近年来,随着信息技术飞速发展,人脸识别逐步渗透到人们生活的方方面面。但由于信息泄露风险大、安全漏洞难消除等问题,人脸识别技术带来的个人信息保护问题也日益凸显,摇身一变就成为损害消费者权益的幕后帮凶。
对此问题《个人信息保护法》第二十六条规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
敏感个人信息事关自然人的人格尊严、重大人身利益和财产利益,对此类个人信息的处理会对自然人的基本权利以及人身、财产安全产生重大影响,我国《个保法》借鉴了欧盟GDPR、美国CCPA/CPRA 等法域的立法经验,将敏感个人信息定义为一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。
同时,《个保法》列举了敏感个人信息的种类,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。此外,《个保法》还将不满十四周岁未成年人的个人信息列为敏感个人信息,从而强化了对未成年人个人信息权益的保护。
针对敏感个人信息的处理,《个保法》要求只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可处理敏感个人信息。在适用“知情同意原则”的基础上,《个保法》对处理敏感个人信息提出了更高的要求,即应当取得个人的单独同意,法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。这意味着在处理敏感个人信息时,概括同意或推定同意的授权模式为法律所禁止。
随着经济全球化、数字化的不断推进以及我国对外开放的不断扩大,个人信息的跨境流动日益频繁,但由于遥远的地理距离以及不同国家法律制度、保护水平之间的差异,个人信息跨境流动风险更加难以控制。
为控制个人信息的跨境风险,《个保法》首先规定了该法的域外适用效力,即以向境内自然人提供产品或者服务为目的,或者分析、评估境内自然人的行为等,在我国境外处理境内自然人个人信息的活动适用本法,并要求符合上述情形的境外个人信息处理者在我国境内设立专门机构或者指定代表,负责个人信息保护相关事务。
其次,明确向境外提供个人信息的途径,包括通过国家网信部门组织的安全评估、经专业机构认证、订立标准合同、按照我国缔结或参加的国际条约和协定等,并要求个人信息处理者采取必要措施保障境外接收方的处理活动达到本法规定的保护标准;
再次,《个保法》对跨境提供个人信息的“告知-同意”规则提出更为严格的要求,切实保障个人的知情权、决定权等权利。
最后,《个保法》还对跨境提供个人信息的安全评估、向境外司法或执法机构提供个人信息、限制或禁止跨境提供个人信息的措施、对外国歧视性措施的反制等作了有针对性的规定。
为有效降低、控制企业在《个保法》项下的法律风险,我们认为,及时构建一套完善的数据合规制度,是企业防控合规风险的当务之急,也是最佳解决方案。
根据《个保法》规定,违法处理个人信息或者未履行个人信息保护义务,不但会引发民事侵权损害赔偿,还有可能承担极为严厉的行政处罚(没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照),甚至是刑事处罚。
合规制度的首要意义在于帮助企业预防违法犯罪,进而营造企业良好的合规文化。企业对数据处理的各个环节建立严格的制度,既可以避免系统性的合规风险,也可以降低企业员工利用管理漏洞从事违法犯罪行为的可能性。此外,从国内外的行政和刑事执法的经验上看,合规制度可以作为行政法和刑法上的激励机制,也就是说企业建立了合规管理体系,就可以得到行政监管部门的宽大行政处罚,或者受到较为宽大的刑事处理。
健全的合规制度应当包括制度建设、合规体检、内部调查等事前、事中、事后三个维度,主要包括如下三方面内容:
第一,在充分识别、评估行业一般风险及本企业特殊风险的基础上,建立数据合规制度。就个人信息保护而言,企业所面临的行业一般风险包括企业未经授权或超越权限采集公民个人信息数据、企业或其员工传播或倒卖个人信息问题、个人信息处理不当导致的个人信息泄露问题等。针对这些问题,企业应当制定关于个人信息收集、存储、使用、加工、传输、提供、公开、删除等活动的设备技术要求与程序要求。同时,企业还应当根据其主营业务、商业模式、经营范围、营业规模、所在地的监管形势等因素,制定特殊化的数据合规制度。
第二,针对企业合规制度及其实施情况进行合规体检,主要包括定期整体合规体检和不定期的专项合规体检。定期整体合规体检的内容包括但不限于:(1)合规制度是否因为法律法规的更新、执法标准的变化而落后,是否需要针对企业的业务拓展和变化而补充、修订;(2)合规制度是否在企业的日常运营中得到充分遵守;(3)企业对合规制度的执行是否存在强有力的监督。不定期的专项合规体检将针对企业合规制度中的某项或者某几项合规制度,进行专门的检查。
第三,针对已发生的违法违规事件展开内部调查,完善合规制度。即便合规制度再完善、执行监督再严格,员工也难免会出现违法违规行为。此时,企业首先应当对违反国家法律法规和企业相关制度的员工展开内部调查,并对员工违法违规的证据予以固定,以确保在未来可能面临的刑事侦查和行政执法中配合政府部门的调查,减轻企业责任。在处理完合规风险后,企业应当及时总结本次违法违规事件发生的原因,并将获得的经验教训体现在企业的合规制度中,以避免重蹈覆辙,遭受更为严厉的处罚。
北京
北京市朝阳区东三环中路5号财富金融中心35-36层
电话:+86 10 8587 9199
上海
上海市长宁区遵义路150号虹桥南丰城C栋2006室
电话:+86 21 6289 8808
深圳
广东省深圳市福田区金田路荣超经贸中心4801
电话:+86 0755-82730104
天津
天津市河西区郁江道14号观塘大厦1号楼17层
电话:022-87560066
南京
江苏省南京市江宁区庄排路159号2号楼601室
电话:+025-83708988
郑州
河南省郑州市金水区金融岛华仕中心B座2楼
电话:+86 371 8895 8789
呼和浩特
内蒙古呼和浩特市赛罕区绿地腾飞大厦B座15层
电话:0471-3910106
昆明
云南省昆明市盘龙区恒隆广场11楼1106室
电话:+0871-63306330
西安
陕西省西安市高新区锦业路11号绿地中心B座39层
电话:+029-68273708
杭州
浙江省杭州市西湖区学院路77号黄龙国际中心B座11层
电话:+86 571 8673 8786
重庆
地址:重庆市江北区庆云路江2号国金中心T6写字楼8层8-8
电话:+86 23 67528936
海口
海南省海口市龙华区玉沙路5号国贸中心11楼
电话:0898-68508795
东京
日本国东京都港区虎之门一丁目1番18号HULIC TORANOMON BLDG.
电话:+81 3 3591 3796
加拿大
加拿大爱德华王子岛省夏洛特顿市皇后街160号
电话:001-902-918-0888
Copyright 2001- 2020 Anli Partners. All Rights Reserved 京ICP备05023788号-2 京公网安备11010502032603号
法律咨询电话:400-800-5639
