一、法律、行政法规
(一)《网络安全法》
1.《网络安全法》出台背景及其重要意义
从2015年6月26日第十二届全国人大常委会第十五次会议对《网络安全法(草案)》首次进行审议,到2016年11月7日第十二届全国人大常委会第二十四次会议表决通过,《网络安全法》于2016年11月7日正式公布,并于2017年6月1日起施行。作为我国网络安全领域的基本法,《网络安全法》的出台具有里程碑式的意义。
一方面,随着信息化时代的发展,网络早已融入每个人生活的方方面面,互联网在给社会民众带来便利的同时,也带来了诸多威胁,诸如网络入侵、网络诈骗、个人信息泄露等安全事件层出不穷。因此,急需网络安全领域的统一立法以规制网络参与者的行为,保护各类网络主体的合法权益。另一方面,对于我国而言,网络安全治理具有战略性的意义。我国是一个网络大国,同时也面临着严重的网络安全问题。[1]制定《网络安全法》有利于建设网络强国,维护我国的网络主权,维护国家安全和促进国家发展。
《网络安全法》便是在这样一个背景下诞生的,其填补了我国网络安全领域专门立法的空白,顺应了时代发展的趋势,是我国在信息网络立法进程中迈出的重要一步。
2.《网络安全法》的主要内容
《网络安全法》条文上包括总则、网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急处置、法律责任、附则,共7章79条。在具体适用上,凡是在我国境内建设、运营、维护和使用网络,以及网络安全的监督管理,均需遵守《网络安全法》的相关规定。作为我国网络空间治理的框架性、综合性法律,《网络安全法》明确了网络空间主权原则、网络产品和服务提供者的安全义务、网络运营者的安全义务,进一步完善了个人信息保护规则,并且提出了关键信息基础设施、数据出境、安全等级保护等多方面制度要求。
其中对于个人信息保护而言,《网络安全法》明确了个人信息的含义,即个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。[2]同时,《网络安全法》第四章用较大的篇幅专章规定了个人信息保护的相关要求。而在《网络安全法》其他章节处,也零散分布着部分涉及个人信息保护的相关规定。总体而言,包括了收集、使用个人信息的规则,网络运营者维护网络信息安全的相关义务,网络用户所享有的个人信息保护相关权利,国家网信部门和有关部门网络信息安全监督管理职责以及关于违反个人信息保护规定的法律责任承担等内容。笔者将结合前述规定内容对《网络安全法》所确定的个人信息保护相关规则进行分析。
3.《网络安全法》中个人信息保护的相关规定
《网络安全法》中关于个人信息保护的规定主要涉及如下内容:
(1)明确了个人信息收集、使用的相关原则
《网络安全法》规定收集、使用个人信息应当遵循合法、正当、必要的原则。具体包括:在收集用户个人信息时,应当公开收集、使用规则,明示收集、使用的目的、方式和范围,并经被收集者同意。对于收集个人信息的范围,规定了网络运营者不得收集与其提供服务无关的个人信息。并且,网络运营者应当根据法律、行政法规的规定和其与用户之间的约定收集、使用个人信息。这也体现了关于个人信息保护的知情同意和特定目的原则,提高了个人信息收集过程中的透明度。《网络安全法》同时规定了网络运营者不得泄露、篡改、毁损其收集的个人信息。
在个人信息对外提供方面,《网络安全法》明确规定了网络运营者未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。本法中“经过处理无法识别特定个人且不能复原的”所包含的匿名化标准为大数据流通和交易环节提供了法律依据和要求。“经过处理无法识别”是保护个人信息的一种重要技术措施,其要求个人信息经过数据脱敏等技术手段处理后,过程必须不可逆,不能再从脱敏后的信息中识别出个人。
此外,《网络安全法》对关键信息基础设施的运营者提出了数据本地化的要求,即关键信息基础设施的运营者在我国境内收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当进行安全评估。
(2)规定了网络运营者在维护网络信息安全方面的相关义务
包括:1)建立健全相关制度。网络运营者应当建立健全用户信息保护制度,对收集的用户信息严格保密;同时,网络运营者应当建立网络信息安全投诉、举报制度,及时受理并处理与网络信息安全相关的投诉和举报。2)网络安全管理义务。网络运营者应当采取技术措施和其他必要措施,确保收集的个人信息安全,防止信息泄露、毁损和丢失。《网络安全法》同时提出了实名制要求,即网络运营者在向用户提供服务时,应当要求用户提供真实身份信息,否则,不得为其提供相关服务。同时,网络运营者应当加强对用户发布的信息的管理,发现违法信息的,应当及时采取停止传输、消除等处置措施。3)监管配合义务。《网络安全法》规定在发生或者可能发生个人信息泄露、毁损、丢失的情况时,网络运营者应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。发现用户发布违法信息的,也应当向有关部门报告。对于网信部门和有关部门依法实施的监督检查,网络运营者应当予以配合。
(3)明确了网络用户享有的个人信息相关权利
网络用户享有个人信息删除权。个人信息删除权,是指信息主体在具备法定理由的情形下,请求删除个人信息的权利,通常包括三种情形:第一,收集使用行为不具有合法性,如在收集伊始就没有得到用户的同意且无其他法律依据、用户的同意无效或已被撤销,或收集使用的信息超出了法定或者约定的范围;第二,收集使用个人信息的目的消失,使对个人信息的保存及处理、利用失去了必要性、正当性;第三,约定的收集、使用、保存个人信息的期限届满。[3]《网络安全法》第43条对个人信息删除权作出了具体规定:“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息……”
网络用户还享有个人信息更正权。个人信息更正权,是指在个人信息收集、存储、使用过程中,若个人信息不完整或者不准确时,个人有权要求及时改正、补充的权利,保障个人信息被合法、正确地使用。《网络安全法》第43条对个人信息更正权作出了具体规定:个人“发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正”。
(4)规定了违反个人信息保护相关要求的法律责任承担
包括:1)民事责任,有关主体违反《网络安全法》关于个人信息保护相关规定,给他人造成损害的,应当依法承担民事责任。2)行政责任,网络运营者、网络产品或者服务的提供者违反个人信息保护相关规定,侵害个人信息依法得到保护的权利的,有关部门可以采取责令改正、警告、没收违法所得、罚款、责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等处罚。如果构成违反治安管理行为的,依法给予治安管理处罚。3)违反《网络安全法》相关规定,构成犯罪的,应当依法追究刑事责任。
4.《网络安全法》个人信息保护相关规定的简要评述
在《网络安全法》出台以前,我国也有关于个人信息保护的相关立法,典型如工信部在2013年7月16日发布的《电信和互联网用户个人信息保护规定》等。但该等立法一方面层级较低,另一方面规定内容存在分散化、碎片化的情况,不足以满足个人信息保护的法律规范需求。《网络安全法》在此基础上对于个人信息保护进行了总括式的规定,对于统一个人信息保护的规则适用,保障个人信息权利具有重大的意义,也对后续个人信息的其他立法起到了基础性、导向性的作用。
与此同时,作为网络安全领域整体性、综合性的法律,《网络安全法》对于个人信息保护仍然偏向于原则性的规定,在具体适用及其配套机制的规定上尚不健全,可操作性上有所欠缺。对于《网络安全法》相关规定的实际执行而言,仍然有赖于其他细则规定的出台予以进一步的明确。事实上,在《网络安全法》正式发布之后,有关部门已经接连颁发了诸多配套规定及国家标准,笔者也将在下文中逐一进行分析。
(二)《数据安全法》
《数据安全法》于2021年6月10日由第十三届全国人民代表大会常务委员会第二十九次会议表决通过,并将于2021年9月1日正式施行。从2020年6月28日《数据安全法(草案)》提交第十三届全国人大常委会第二十次会议进行初次审议,到正式表决通过,历时仅1年。《数据安全法》全文共7章,合计55条,规定了数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放等内容。作为我国数据安全领域的基础性法律,《数据安全法》基本确立了我国数据安全立法的基本架构,其正式施行或将对数字经济的发展产生全方位的影响。
《数据安全法》明确了较为宽泛的适用范围,不仅将在中国境内开展的数据处理活动纳入管辖,亦赋予了《数据安全法》必要的域外适用效力,即对于在中华人民共和国境外开展的、损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的数据处理活动,我国也会依《数据安全法》追究其法律责任。此举符合当前数据竞争背景下通过国内立法扩张数据安全方面管辖权的国际潮流,也是国家提高在数据国际竞争中话语权和控制力的需要。
1.明确了数据安全管理工作的顶层设计和监管分工
《数据安全法》对数据安全管理工作的顶层设计和监管分工进行了明确规划,在顶层设计上,《数据安全法》第5条明确将由中央国家安全领导机构总负责,并在此基础上建立国家数据安全工作协调机制,统筹重要数据目录制定、数据安全风险信息的获取、分析、研判、预警等职责。在具体监管分工上,《数据安全法》明确了在集中领导下各部门、各地区分工负责的管理模式,要求国家网信部门统筹网络数据安全监管,公安机关、国家安全机关依职责监管数据安全,各地区、各部门承担主体责任,各行业主管部门承担本行业监管职责。
2.完善了数据分类分级的保护制度
《数据安全法》的一大亮点在于完善了数据分类分级的保护制度。《网络安全法》第21条首次在法律层面提出了“数据分类”的要求,而《数据安全法》则在此基础上进一步完整地提出了数据分类分级保护制度,并明确站在国家角度、自上而下的数据分类分级制度将成为我国数据安全的基本性制度。在此基础上,《数据安全法》明确了由国家数据安全工作协调机制统筹、协调重要数据目录的制定工作,并规定在国家制定重要数据目录的基础上,由各地区、各部门在其职权范围内确定各自地区、行业或领域的具体重要数据目录。同时,《数据安全法》亦强调将对关系国家安全、国民经济命脉、重要民生、重大公共利益等国家核心数据,将实行更加严格的管理制度。
3.确立了数据安全审查制度
《数据安全法》带来的另一个变化是确立了数据安全审查制度,对影响或可能影响国家安全的数据活动进行国家安全审查。数据安全审查制度的审查范围和重点是“是否影响或者可能影响国家安全的数据活动”。考虑到数据在国际竞争中的地位和作用,数据安全审查对于捍卫国家数据主权,维护数据安全有重要意义。此外,《数据安全法》亦明确“安全审查决定”为最终决定,这意味着数据安全审查决定一经作出即告生效,企业或可能没有相应的救济途径,这也侧面体现了数据安全审查的重要性。
4.对数据跨境流动加以规制
跨境数据流动在数字时代越发常态化,亦是《数据安全法》立法重点关注的方向。《数据安全法》用多个条文对跨境数据流动进行了规制,进一步明确了在跨境数据流动中的监管要求,规定了数据安全审查、数据出口管制、重要数据出境管理、对等反制措施等,并明确了向境外司法或执法机构提供数据的监管要求。
5.明确了数据安全相关的法律责任
对于参与数据处理活动的主体而言,违反《数据安全法》相关规定所引发的法律责任往往亦是关注的重点。《数据安全法》第六章规定了相对严苛的法律责任和行政处罚标准,这既体现了立法层面对数据安全问题的重视,也对组织和个人进行了相应的威慑。
(三)《个人信息保护法》
《个人信息保护法》于2021年8月20日由第十三届全国人民代表大会常务委员会第三十次会议表决通过,于2021年11月1日正式施行。《个人信息保护法》共8章,74条,规定了个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护责任的部门等内容。作为我国个人信息保护领域的基础性法律,《个人信息保护法》在《网络安全法》的基础上,进一步确立了我国个人信息保护立法的基本框架,其正式施行或将对个人信息的使用和保护产生全方位的影响。
1.扩张了个人信息处理的合法性基础
《个人信息保护法》带来的最大变化在于大范围扩张了个人信息处理的合法性基础。从处理个人信息合法性基础的演变看,《网络安全法》第41条第1款明确了收集使用个人信息的合法性基础为“被收集者同意”。自《网络安全法》2017年6月1日生效以来,同意成为收集使用个人信息的唯一合法性基础。《民法典》第1035条第1款第1项沿用了“同意”作为合法性基础,同时增加了“法律、行政法规另有规定的除外”的例外规定。《个人信息保护法》即属于此处“另有规定”的法律,其与《民法典》第1035第1款相衔接,并基于此增加了多项个人信息处理的合法性基础。
从内容上看,《个人信息保护法》第13条增加了多项合法性基础,包括“订立或履行个人作为一方当事人的合同所必需或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”“为履行法定职责或者法定义务所必需”“为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需”“为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息”以及在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息。
2.明确了个人信息跨境流动的规则
个人信息作为数字经济时代具有重要商业价值的资产,其商业价值仅有在流通中方才能够体现。而在国际经济交流与合作愈发频繁和紧密的当下,个人信息的跨境流动几乎不可避免。《网络安全法》第37条要求关键信息基础设施的运营者原则上应将收集的个人信息在境内存储,确需向境外提供的,需进行安全评估。《个人信息保护法》在此基础上进一步完善了个人信息跨境流动的相关规则。
根据《个人信息保护法》第38条规定,个人信息出境的前提是个人信息处理者因业务需要。在满足该前提的情形下,个人信息处理者可以在满足该条规定情形之一的情况下向境外提供个人信息:
其一,基于《个人信息保护法》第40条规定,当个人信息处理者为关键信息基础设施运营者或者处理的个人信息达到国家网信部门规定数量时,其应当通过国家网信部门组织的安全评估,方可向境外传输个人信息。而当个人信息处理者并非关键信息基础设施运营者且处理的个人信息数量未达到国家网信部门规定的数量时,则应当满足本条第1款规定的其他三项条件中的任意一种。
其二,按照国家网信部门的规定经专业机构进行个人信息保护认证,对于认证实施的主体、认证实施的程序以及认证的具体内容有待国家网信部门出台具体的规定加以明确。
其三,按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务,该条同欧盟的“标准合同条款”(Standard Contractual Clause)相似,旨在通过模板化的合同条款明确双方权利义务,并要求境外接收方提供必要的个人信息保护水平。
其四,法律、行政法规或者国家网信部门规定的其他条件。
3.完善了信息主体所享有的权利
《网络安全法》与《民法典》规定了信息主体所享有的一系列权利,《个人信息保护法》在此基础上重申了信息主体享有查阅、复制、更正、删除等的权利,并首次从法律层面引入了“可携带权”的概念,明确信息主体在符合规定条件的情形下可以请求将个人信息转移至其指定的个人信息处理者。信息主体权利内容的完善不仅意味着信息主体实现对个人信息控制的路径更加清晰,也意味着个人信息处理者应当采取必要的措施,及时地响应信息主体的权利请求,为信息主体行使权利提供必要的保障和便利。
4.明确了个人信息保护的监管框架
《个人信息保护法》不仅是一部明确公民个人信息权益保护的权利法,还是规定各行政部门个人信息保护职责的管理法,其第六章对履行个人信息保护责任的部门及其职责进行了规定,进一步明确了个人信息保护的监管框架。
在中央政府层面,《个人信息保护法》明确了国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国家网信部门在个人信息保护和相关监督管理方面已经积累了相当丰富的实践经验,通过本条进一步明确其职能有助于建立集中统一高效的个人信息保护监管体系。同时,国务院各有关部门,包括工业和信息化部、公安部、市场监督管理总局等主管部门以及中国人民银行等行业主管部门在各自职权范围内负责个人信息保护和监管工作,亦兼顾了各部门和各行业的差异性。
在地方政府层面,《个人信息保护法》明确了由县级以上地方人民政府有关部门履行个人信息保护和监督管理职责。考虑到个人信息保护工作责任繁杂,事务众多,而地方人民政府在前期个人信息保护监管中已经积累了相对丰富的经验,明确地方人民政府监管职责,引导地方人民政府更多参与到个人信息保护监管中来,能够更好地促进个人信息保护工作的协同开展。
5.回应了实践中的新情况、新问题
自《网络安全法》于2017年施行以来,实践中亦出现了很多新问题、新场景,在该等问题或场景下,个人信息保护问题呈现出了一定的特殊性。《个人信息保护法》回应了这些实践中出现的新情况或新问题,并对特定情形下的个人信息保护作出了相应的规定。
例如,针对利用个人信息进行自动化决策的情形,《个人信息保护法》第24条要求个人信息处理者应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。如果通过自动化决策方式向个人进行信息推送、商业营销的,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。如果通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
再如,针对实践中常见的公共场所人脸识别问题,《个人信息保护法》第27条明确,若个人信息处理者确要在公共场所安装图像采集、个人身份识别设备的,仅可出于维护公共安全所必需的目的,且应当设置显著的提示标识。同时,在未取得个人单独同意的情形下,所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的。
(四)《民法典》
《民法典》于2020年5月28日正式发布,于2021年1月1日生效。其中,《民法典》第111条沿用了《民法总则》第111条的规定,强调自然人的个人信息受法律保护。除此之外,《民法典》在第四编人格权编第六章专章规定了隐私权和个人信息保护,明确了个人信息的定义、个人信息的处理原则和条件、处理个人信息的免责事由、自然人查阅、复制、更正删除个人信息的权利、信息处理者的信息安全保护义务、未经同意不得对外提供个人信息等内容。
总体而言,《民法典》中个人信息保护的相关规定多是在《网络安全法》规定的基础上加以完善,整体规定偏原则性,具体适用仍然需要结合后续出台的个人信息保护相关立法和标准的规定。接下来,将对重要变化内容进行梳理和解析。
1.扩张了个人信息处理行为的规制范围
相较于《网络安全法》第41条规制网络运营者的个人信息收集使用行为,《民法典》第1035条未设置主语且将规制的行为范围扩张至包括收集、存储、使用、加工、传输、提供、公开等在内的全部个人信息处理行为,意味着个人信息全生命周期的处理行为均纳入该条的规制范围,而各环节对应的主体也都受到该条的约束。可以看出,《民法典》对个人信息的保护更加全面,也更加能够满足新形势下的个人信息保护需求。
2.增加了处理个人信息的免责事由
相较于《网络安全法》,《民法典》新增第1036条作为处理个人信息的免责事由。需要强调的是,免责事由就意味着该条规定的三种情形是具有违法性的,只不过通过该条对其进行了免责。而且,该条规定的三种情形均有一个限定语“合理”,具体来说,三种情形分别使用了“合理实施”和“合理处理”的表述,但如何界定是否“合理”,存在较大的不确定性,可能要根据个案进行具体判定。因此,企业要避免对该条的过分依赖,而应主要依据《民法典》第1035条的规定处理个人信息,否则一旦无法适用该条规定,违法性相对应的后果就是企业需要承担相应的责任。
3.强化了自然人查阅、复制个人信息的权利
相较于《网络安全法》第43条规定了个人享有删除、更正个人信息的权利,《民法典》第1037条增加规定了自然人查阅、复制个人信息的权利,意味着信息处理者如果拒绝自然人查阅、复制个人信息的要求,可能构成对该条规定的违反。但从实践落地的角度,该条如不加以规范和限制,可能会给信息处理者造成额外的负担,有待相关细则或司法实践进一步明确该条的具体适用标准。
(五)《消费者权益保护法》
1993年发布的《消费者权益保护法》中并未对个人信息保护相关问题作出规定。但随着市场经济和信息化社会的发展,一方面经营者利用收集的消费者信息改进其生产经营活动,创造了巨大的经济价值;另一方面消费者个人信息被滥用、泄露等问题层出不穷,个人信息保护问题日益得到重视。
因此,在2013年修订的《消费者权益保护法》中对个人信息保护相关问题作出了明确规定。明确了消费者享有个人信息依法得到保护的权益,同时,对经营者收集、使用消费者个人信息提出了合法、正当、必要的原则性要求,明确了经营者收集使用消费者个人信息的规则,同时,要求经营者及其工作人员对消费者个人信息予以保密,采取必要的措施保障信息安全。《消费者权益保护法》进一步规定了经营者侵害消费者个人信息依法得到保护的权利的,应当停止侵害、恢复名誉、消除影响、赔礼道歉,并赔偿损失,同时,由相关部门依法予以行政处罚。
《消费者权益保护法》中涉及个人信息保护的相关条款为:
续表
《消费者权益保护法》对于个人信息保护偏向于原则性规定,在《消费者权益保护法》的实施过程中,普遍反映经营者收集、使用消费者个人信息的制度过于原则,执法主体不明确,法律责任不到位,消费者个人信息被违法收集使用的势头还在蔓延。目前的状况是,消费者举证难,监管部门和消协组织取证难,即使查实的案件也存在追责难、处罚轻的情况,难以起到震慑作用。[4]
2016年,工商总局制定了《消费者权益保护法实施条例(征求意见稿)》。2016年11月16日对工商总局上报国务院的《消费者权益保护法实施条例(送审稿)》进行了公开征求意见。在《消费者权益保护法》的基础上,《消费者权益保护法实施条例(送审稿)》中对个人信息保护的相关问题进行了细化规定,主要包括:
1.明确了消费者个人信息的定义。《消费者权益保护法》并未对消费者个人信息的概念作出界定,在《消费者权益保护法实施条例(送审稿)》第22条则以列举+“可识别”规定兜底的方式对消费者个人信息的概念进行了定义:“消费者个人信息是指经营者在提供商品或者服务活动中收集的消费者姓名、性别、职业、出生日期、身份证件号码、住址、联系方式、收入和财产状况、健康状况、消费情况、生物识别特征等能够单独或者与其他信息结合识别消费者的信息。”
2.针对经营者信息收集的必要性原则,《消费者权益保护法实施条例(送审稿)》明确提出了“经营者不得收集与经营业务无关的信息”。
3.规定了消费者享有删除、修改个人信息的权利。根据《消费者权益保护法实施条例(送审稿)》第22条规定,除法律法规另有规定外,消费者明确要求经营者删除、修改其个人信息的,经营者应当按照消费者的要求予以删除、修改。
4.针对经营者向他人提供消费者个人信息,《消费者权益保护法实施条例(送审稿)》同样规定应当经过消费者同意。但同时提出了“经过处理无法识别特定消费者且不能复原的除外”。该条规定为经营者依法使用匿名化的个人信息留下了一定空间。
5.细化了关于商业性信息推送的规定。《消费者权益保护法实施条例(送审稿)》在《消费者权益保护法》的基础上进一步规定了“未经消费者明确同意或者请求,经营者不得向消费者的固定电话、移动电话等通讯设备,电脑等电子终端或者电子邮箱、网络硬盘等电子信息空间发送商业性电子信息或者拨打商业性推销电话。消费者同意经营者向其发送商业性电子信息或者拨打商业性推销电话的,除双方另有约定以外,不得要求消费者承担费用”。
但从2016年11月16日对外征求意见以来,《消费者权益保护法实施条例》至今尚未发布正式版,笔者也期待《消费者权益保护法实施条例》的正式出台,能够进一步加强消费者个人信息保护。
(六)《电子商务法》
我国电子商务发展迅速,足不出户的购物方式成了社会公众的消费新时尚,但电子商务在给社会民众带来便利的同时,也对电子商务消费者的个人信息保护带来了巨大的挑战。在电子商务的发展过程当中,个人信息被滥用、泄露等问题屡屡发生,因此,《电子商务法》制定之初,个人信息保护问题就成了重点讨论的内容之一。《电子商务法》于2018年8月31日正式发布,并于2019年1月1日起生效实施,全文围绕电子商务经营者、电子商务消费者(用户)以及有关主管部门各自的权利义务对个人信息保护相关内容进行了规定,主要包括:
1.个人信息的收集、使用。《电子商务法》对于个人信息的收集、使用仅作了原则性规定,要求电子商务经营者在收集、使用个人信息时应当遵守有关法律、行政法规的规定。我国《网络安全法》等法律规范均对个人信息的收集、使用作出了相关规定,电子商务经营者在具体场景下收集、使用个人信息时应当遵照该等法律法规的规定进行,如在收集用户个人信息时,应当公开收集、使用规则,明示收集、使用的目的、方式和范围,并经被收集者同意。
2.关于个人信息的保存期限。《网络安全法》并未明确规定用户信息的保存期限要求,仅规定网络运营者应当按照规定留存相关的网络日志不少于6个月。但《电子商务法》中明确要求电子商务平台经营者应当记录、保存平台上的商品和服务信息、交易信息,保存时间自交易完成之日起不少于3年。
3.关于个性化推荐。个性化推荐在电子商务场景下十分普遍,电子商务经营者利用其掌握的用户信息,通过大数据分析电子商务消费者的兴趣爱好,有针对性地进行商品、服务的推送以及搜索结果的展示。通常与个性化推荐相关的场景还包括“大数据杀熟”,指电子商务经营者利用大数据分析结果,对不同用户采取不同的定价策略,甚至出现同一商品或服务对于忠诚度较高的老用户价格要高于新用户的情况,严重侵害了用户的权益。对于这一问题,《电子商务法》明确规定了电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或服务的搜索结果的,应当同时提供不针对其个人特征的选项,以保护消费者的合法权益。
4.用户的相关权利。《电子商务法》第24条明确规定了用户享有信息查询、更正、删除以及注销的权利。[5]同时,要求电子商务经营者明示用户行使前述权利的方式、程序,不得设置不合理的条件。在具体程序上,《电子商务法》要求电子商务经营者收到用户关于信息查询、更正、删除申请的,应当在核实身份后及时履行义务,用户申请注销的,应当立即删除用户信息。
5.主管部门的权利义务。《电子商务法》规定了有关主管部门有权依法要求电子商务经营者提供电子商务数据信息。但有关主管部门应当采取必要的措施保护数据信息的安全,不得泄露、出售或者非法向他人提供。
电子商务法的正式实施对于电子商务发展过程中个人信息的利用以及保护具有重要意义。对于电子商务经营者而言,一方面要遵循《电子商务法》关于个人信息保护的相关规定,另一方面除了《电子商务法》外,我国《网络安全法》等其他法律法规也对个人信息保护作出了相关规定,电子商务经营者也应当加以遵循。同时,《电子商务法》对个人信息保护的相关规定更偏原则性和倡导性,笔者也期待后续关于电子商务场景下个人信息利用与保护的相关细则、标准的出台,以便更好地规范电子商务经营者收集、使用用户个人信息的行为。
《电子商务法》关于个人信息保护的相关条款:
续表
(七)《刑法》
《刑法》是保护公民权利、维护社会稳定发展的有力武器,在《刑法》中设置网络信息安全保护的相关条款,一方面有利于增强民众的防范意识,明确涉及信息安全的相关行为边界;另一方面随着信息化社会的发展,侵害公民个人信息的犯罪行为也随之增加,因此,通过《刑法》的规定明确对该类犯罪行为的打击,也十分有必要。
我国《刑法》中涉及信息安全保护的主要罪名及具体规定包括:
续表
续表
续表
接下来,笔者将重点对实践中经常出现的“侵犯公民个人信息罪”以及“拒不履行网络安全义务罪”加以分析,其他部分罪名笔者将结合相关场景(比如“爬虫”技术应用)在本书后续章节中展开阐述。
1.侵犯公民个人信息罪
《刑法》第253条之一规定了“侵犯公民个人信息罪”。回顾该条罪名的制定过程,最早可以追溯到2009年的《刑法修正案(七)》,其中规定了:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
为了更好地保护个人信息,2015年《刑法修正案(九)》又对该条款进行了修改。将犯罪主体从特殊主体扩大到一般主体;从重处罚“将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的”的行为;同时将本罪最高刑期由“三年以下有期徒刑或者拘役”,修改为“三年以上七年以下有期徒刑”;取消了非法获取公民个人信息的“情节严重”的入罪条件。这一系列改动将非法出售合法渠道获取的公民个人信息的行为也囊括进来,扩大了犯罪主体范围,体现了刑法对于保护公民个人信息力度的加强。
具体分析本罪的构成要件,构成本罪需相关主体违反国家有关规定,实施了向他人出售或者提供公民个人信息、窃取或者以其他方法非法获取公民个人信息的行为。从侵害对象或者法益看,行为对象必须是公民个人信息,如果是其他对象,则可能构成刑法规制的其他犯罪,比如侵犯商业秘密罪。同时,本罪亦存在单位犯罪的可能。
但本罪规定亦存在不少模糊之处,比如公民个人信息的内涵和范围如何界定;入罪条件中“情节严重”的标准等问题,给本罪在司法实践中的具体适用造成了一定困难。也因此,2017年5月8日,最高人民法院、最高人民检察院发布了《侵犯公民个人信息刑事案件解释》(法释〔2017〕10号)对上述相关问题作出了进一步的明确规定,笔者将在下文中详细展开讨论。
2.拒不履行信息网络安全管理义务罪
《刑法》第286条之一对拒不履行信息网络安全管理义务罪作出了相应规定。该条为2015年8月29日发布的《刑法修正案(九)》中新增罪名,本罪的犯罪主体为“网络服务提供者”,单位亦可以构成本罪。在《刑法修正案(九)》之前,我国《刑法》并未明确规定网络服务提供者犯罪的刑事责任,因此,该条规定在一定程度上填补了《刑法》规制的空白,也有利于增强网络服务提供者履行网络安全管理义务的意识。
本罪在客观方面表现为网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施后拒不改正,同时,符合下列情形之一的:(1)致使违法信息大量传播;(2)致使用户信息泄露,造成严重后果的;(3)致使刑事案件证据灭失,情节严重的;(4)有其他严重情节的。在理解本罪客观方面构成要件上,有以下三点需要特别注意:
(1)信息网络安全管理义务
我国在很长一段时间内,关于网络服务提供者的信息网络安全义务的范围缺乏系统的规定,散见于诸多法律、行政法规当中。而在《网络安全法》出台之后,对网络服务提供者的安全管理义务也作出了相应的规定。如《网络安全法》要求网络服务提供者应当采取防范计算机病毒、网络攻击、网络侵入等危害网络安全行为的技术措施;加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施。
(2)前提条件需经过行政部门处理
“经监管部门责令采取改正措施而拒不改正”是构成本罪的前提条件。信息网络安全监管部门事前未依据法律、行政法规规定发出指令;相关指令没有法律、行政法规依据;或者不是根据法律、行政法规而仅依据部门规章发出改正通知;又或者仅仅发出口头整改通知,甚至违法发出指令的,网络服务提供者均不构成该罪。[6]
(3)三种特定的危害情形
本罪是结果犯,相关主体的行为需导致出现了条文规定的特定结果,方才构成犯罪。《刑法修正案(九)》列举了三种特定危害情形,并以有其他严重情节作为兜底。但该等关于危害情形的规定仍然存在模糊之处,比如“致使违法信息大量传播”中的“违法信息”如何认定;“致使用户信息泄露,造成严重后果的”中的“严重后果”标准为何等均不明确,这无疑给该条罪名的适用造成了困难。而直到2019年10月21日发布的《网络犯罪解释》才对前述相关问题作出了回应,笔者也将在下文中具体阐述。
(八)《征信业管理条例》
2013年3月15日,由国务院制定的《征信业管理条例》正式生效,《征信业管理条例》适用于在我国境内从事个人或企业信用信息的采集、整理、保存、加工,并向信息使用者提供的征信业务及相关活动,规范对象主要是征信机构的业务活动及对征信机构的监督管理。个人征信业务中重要的一环是对个人信用信息的收集和使用,因而该条例也着重对这一部分进行了规范。个人信用信息通常包括:(1)个人基本信息,指自然人身份识别信息、职业和居住地址等信息;(2)个人信贷交易信息,指商业银行提供的自然人在个人贷款、贷记卡、准贷记卡、担保等信用活动中形成的交易记录;(3)反映个人信用状况的其他信息,指除信贷交易信息之外的反映个人信用状况的相关信息。[7]
《征信业管理条例》明确了征信机构、信息提供者、信息使用者以及信息主体在征信业务活动中的权利义务,从采集、查询、使用、保存及提供等各环节明确了征信业务的开展规则。
对于采集个人信息,《征信业管理条例》明确规定了除依法公开的信息外,采集个人信息应当经信息主体本人同意。规定了禁止征信机构采集的个人信息范围,包括个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。同时规定,除明确告知信息主体可能的不利后果并取得其同意外,征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。在向征信机构查询个人信息时,《征信业管理条例》规定除了法律规定可以不经同意查询的外,都应当取得信息主体本人的书面同意并明确约定用途。对于个人信息的使用,根据《征信业管理条例》的规定,信息使用者应当按照与个人信息主体约定的用途使用个人信息,不得用作约定以外的用途。《征信业管理条例》明确要求征信机构在中国境内采集的信息的保存应当在中国境内进行,对个人不良信息的保存期限,自不良行为或者事件终止之日起为5年;超过5年的,应当予以删除。此外,在对外提供个人信息方面,《征信业管理条例》规定信息提供者向征信机构提供个人不良信息,应当事先告知信息主体本人。信息使用者未经信息主体同意不得向第三方提供个人信息。同时,要求征信机构如需向境外组织或者个人提供信息,应当遵守法律、行政法规和国务院征信业监督管理部门的有关规定。
《征信业管理条例》同时明确了个人信息主体享有的权利,包括:1.同意权。在采集、查询、向第三方提供信息时均应当取得个人信息主体的同意。2.知情权。信息提供者向征信机构提供个人不良信息时,应当事先告知信息主体本人。信息主体可以向征信机构查询自身信息,并且每年有两次免费获取本人信用报告的权利。3.异议权。个人信息主体如果认为征信机构采集、保存、提供的信息存在错误、遗漏的,可以向征信机构或者信息提供者提出异议,要求更正。4.救济权。如果个人信息主体认为征信机构或者信息提供者、信息使用者侵害其合法权益的,可以向所在地的国务院征信业监督管理部门派出机构投诉。如果认为前述主体侵害了其合法权益的,也可以直接向人民法院起诉。
《征信业管理条例》明确了违反个人信息保护相关要求的法律责任。对于征信机构、信息提供者以及信息使用者而言,如果违反《征信业管理条例》规定实施了非法获取信息、违法提供或者出售信息、过失泄露信息、未按照约定用途使用个人信息等行为的,由监管部门依照规定给予责令改正或者罚款或者没收违法所得等行政处罚。如果给信息主体造成损失,应当依法承担民事责任。构成犯罪的,应当依法追究刑事责任。
对于采集企业信用信息,《征信业管理条例》也作出了相关规定。征信机构可以通过信息主体、企业交易对方、行业协会提供的信息,政府有关部门依法已公开的信息,人民法院依法公布的判决、裁定等多个渠道采集企业信用信息。企业的董事、监事、高级管理人员与其履行职务相关的信息,不作为个人信息,不适用关于个人信息的规定。但征信机构不得采集法律、行政法规禁止采集的企业信息,不得侵犯企业的商业秘密。
征信业务在一定程度上能够防范信用风险、保障交易安全,对于市场经济的发展意义重大。但在《征信业管理条例》颁布之前,征信活动缺乏明确的法律规范,对信息主体的保护严重不足,不当采集、使用信用信息的情况十分普遍。《征信业管理条例》的出台明确了征信活动的边界,为个人信用信息的保护提供了依据,有利于促进征信行业的规范化发展。