作者:夏海波律師,比特律-漢盛 TechLaw 中心負責人,高級合夥人。畢業於復旦大學法學院,獲碩士學位,上海市律師協會互聯網業務研究委員會委員,專利代理人,人工智能、大數據領域法律研究者。
2018 年 12 月 15 日,比特律·漢盛 TechLaw 高級合夥人夏海波律師在陸家嘴世紀金融廣場爲客戶舉辦了《互聯網科技公司用戶信息安全合規風險控制》的專題講座。夏律師從四個方面的具體案例入手,詳細分析了互聯網科技公司面臨的風險風險,對具體的法律法規進行了詳細分析,並有針對性地提出來系統的解決方案。
案例 1。百度隱私侵權第一案
朱燁在家中和單位上網瀏覽相關網站過程中,發現利用百度搜索引擎搜索相關關鍵詞後,會在百度廣告聯盟的特定網站上出現與關鍵詞相關的廣告。例如,朱燁在通過百度網站搜索“減肥”、“人工流產”、“隆胸”關鍵字後,再進入“4816”網站和“500
看影視”網站時,就會分別出現有關減肥、流產和隆胸的廣告。朱燁認爲,百度公司未經其知情和選擇,利用網絡技術記錄和跟蹤朱燁所搜索的關鍵詞,將其興趣愛好、個人需求等顯露在相關網站上,並利用記錄的關鍵詞,對其瀏覽的網頁進行廣告投放,侵害了其隱私權,使其感到恐懼,精神高度緊張,影響了正常的工作和生活。2013
年 5 月 6 日,朱燁向南京市鼓樓區人民法院起訴百度公司,請求判令立即停止侵害,賠償精神損害撫慰金 10000 元,承擔公證費 1000 元。
一審法院認爲:百度採取的是“默示同意”原則,不足以保障用戶的知情權和選擇權。判決書中闡述:由於百度公司在網站中默認的是網民同意百度網訊公司使用 cookie 技術收集並利用網民的上網信息,網民可能根本就不知道自己的私人信息會被蒐集和利用,更無從對此表示同意,這就要求百度網訊公司在默認“選擇同意”時要承擔更多、更嚴格的說明和提醒義務,以便網民對百度網訊公司的行爲有充分的瞭解,進而作出理性的選擇。但百度網訊公司網頁中的《使用百度前必讀》標識,雖有說明和提醒的內容,但該字卻放在了網頁的最下方,不僅字體明顯較小,而且還夾放在相關標識中間,實在難以識別並加以注意,無法起到規範的說明和提醒作用。
判決如下:
一、北京百度網訊科技有限公司於判決生效之日起十日內向朱燁賠禮道歉(如北京百度網訊科技有限公司未按判決進行賠禮道歉,法院將通過相關媒體公告判決書的內容,由此產生的費用由北京百度網訊科技有限公司承擔);
二、北京百度網訊科技有限公司於判決生效之日起十日內賠償朱燁公證費損失 1000 元;三、駁回朱燁的其他訴訟請求。
二審法院認爲:百度公司保障了用戶的知情權和選擇權。法院認爲百度提供的隱私權保護聲明及退出機制,已足以保障用戶權利。此外,法院還參考國家推薦性標準《信息安全技術公共及商用服務信息系統個人信息保護指南》(GB/Z28828-2012),認爲非敏感的個人信息的收集、使用僅需要適用默示原則,何況百度收集的信息僅是網絡碎片化信息,並不屬於個人信息,因此更不需要適用明示同意原則。判決:撤銷一審判決,駁回原告全部訴訟請求。
案例 2。林念平起訴四川航空公司侵犯個人信息案
案情介紹:
2013 年 11 月 5 日,林念平訂購了一張由成都飛往昆明的機票,訂票同時將林念平的手機號碼告知四川航空公司,並於當日收到四川航空公司發送的成功出票信息及航班信息。
11 月 9 日,林念平的手機收到一個號碼發送的信息,載明瞭林念平的姓名及詳細的航班信息,並提示林念平所訂購的航班因故將停飛,要求其通過撥打另一電話辦理退票或改簽手續。林念平另訂了一張雲南祥鵬航空公司成都飛往昆明的機票。後證實,林念平於 2013 年 11 月 5 日訂購的航班並未取消。
林念平起訴四川航空公司,要求賠禮道歉和賠償損失,包括退還機票款 370 元、會員賬戶抵扣的 1000 積分;賠償因購買其他航空公司機票而產生的差額款 99 元;支付侵權賠償金 1000 元;支付因本案開庭往返成都與臺北之間的機票費用人民幣 5229 元及精神損害賠償金 3000 元。
審理結果:
一審法院認爲,林念平雖然舉證證明了四川航空公司掌握、知曉其交易信息及該信息被泄露的客觀事實,但並未舉證證明該信息確係由四川航空公司泄露,應該承擔舉證不能的法律後果,因此駁回林念平的訴訟請求。
二審法院認爲,林念平系遠離證據材料、又缺乏必要的收集證據的條件與手段的普通消費者,四川航空公司收集證據的能力明顯強於林念平,在舉證中處於有利地位,在林念平已經儘自己的所能,將其客觀上能夠收集到的證據予以舉示,證明了其信息在售票渠道被泄露的基本事實,要求林念平進一步舉證,顯然超出其舉證能力,有違公平原則。
撤銷一審判決,支持林念平的主要訴訟請求,包括賠禮道歉、返還四川航空公司會員積分 1000 分,賠償林念平 5648 元。
案例三。雀巢公司員工非法獲取個人信息構成犯罪
案情介紹:
被告人鄭某、楊某在分別擔任雀巢(中國)有限公司(以下簡稱“雀巢公司”)西北區嬰兒營養部市務經理、蘭州分公司嬰兒營養部甘肅區域經理期間,爲了搶佔市場份額,推銷雀巢奶粉,授意該公司蘭州分公司嬰兒營養部員工(被告人楊某某、李某某、杜某某、孫某)通過拉關係、支付好處費等手段,多次從蘭州大學第一附屬醫院、蘭州軍區總醫院、蘭州蘭石醫院等多家醫院醫務人員手中非法獲取公民個人信息。非法獲取個人信息的雀巢公司員工,及提供個人信息的醫院員工均受到了相應的刑事處罰。雀巢公司員工辯稱其係爲完成公司任務收集公民個人信息,多名辯護人亦提出本案系單位犯罪,應追究雀巢公司的刑事責任。
案例 4。行政覈查和處罰風險
(1) 2018 年工信部第一次約談
2018 年 1 月 11 日,針對近期媒體報道相關手機應用軟件存在侵犯用戶個人隱私的問題,工業和信息化部信息通信管理局約談了北京百度網訊科技有限公司、螞蟻金服集團公司(支付寶)、北京字節跳動科技有限公司(今日頭條)。
處理結果:信息通信管理局指出,對照《網絡安全法》《全國人民代表大會常務委員會關於加強網絡信息保護的決定》《電信和互聯網用戶個人信息保護規定》(工業和信息化部令第 24 號)有關規定,三家企業均存在用戶個人信息收集使用規則、使用目的告知不充分的情況,要求三家企業本着充分保障用戶知情權和選擇權的原則立即進行整改。
(2) 2018 年工信部點名通報 12 家公司存在問題
個出差常住的酒店,長年價格在 380 元到 400 元左右。偶然一次,通過前臺瞭解到,淡季的價格在 300 元上下。他用朋友的賬號查詢後發現,果然是 300 元;但用自己的賬號去查,還是 380 元。這種情況被媒體稱爲“大數據殺熟”。
2018 年 11 月 6 日,工業和信息化部組織對 62 家互聯網企業 65 項互聯網服務進行抽查,抽查中存在問題的企業包括蘇寧雲商集團股份有限公司、北京獵豹移動科技有限公司、神州優車(福建)信息技術有限公司、首約科技(北京)有限公司等知名互聯網公司。其中,蘇寧雲商、獵豹移動均存在未告知具體查詢更正渠道,且獵豹移動還沒有提供註銷服務。神州優車、首約科技兩家公司的產品均未公示用戶個人信息收集、使用規則。
處理結果:信息通信管理局指出,對照《網絡安全法》《全國人民代表大會常務委員會關於加強網絡信息保護的決定》《電信和互聯網用戶個人信息保護規定》(工業和信息化部令第 24 號)有關規定,蘇寧雲商集團股份有限公司、北京獵豹移動科技有限公司、神州優車(福建)信息技術有限公司、首約科技(北京)有限公司等知名互聯網公司等企業,要求本着充分保障用戶知情權和選擇權的原則立即進行整改。
(3) 2018 年 7 月消保委點名對地圖類手機 APP 進行測評
2018 年 7 月 18 日,上海市消保委發佈《地圖類手機 APP 涉及個人信息權限評測結果》引起社會廣泛關注。高德地圖、百度地圖、騰訊地圖等企業積極迴應,並提交了相關情況說明及整改報告。未參加發佈的搜狗地圖、圖吧導航也在會後積極與上海市消保委進行溝通。
測評結果:反映出的申請的敏感權限與實際功能不完全對應,缺少讓消費者“一次性授權”的選項等問題。
處理結果:各大互聯網科技公司被要求對所屬 APP 進行整改,企業運營的企業通過緊急下線、取消獲取、功能優化、版本更新等形式進行整改。
(4) 2018 年 8 月-10 月消保委對 18 類手機 APP 進行規範覈查
2018 年 8 月-10 月,上海市消保委聯合《中國消費者報》上海記者站委託北京捷興信源信息技術有限公司,對消費者反映集中及目前用戶使用頻度較高的
“輸入法、瀏覽器、綜合視頻”三類 18 款應用進行了規範覈查。
覈查結果:各類互聯網科技公司問題主要集中在部分應用所申請的敏感權限存在無實際對應功能、《隱私權保護政策》內容不充分、未充分告知用戶信息收集的目的、用途等。
處理結果:各大互聯網科技公司被要求對所屬 APP 進行整改,企業運營的企業通過完善《隱私權保護政策》、緊急下線、取消獲取、功能優化、版本更新等形式進行整改。
互聯網科技公司存在的主要問題
根據工信部網站對外發布的公告和因信息泄露事件被各大媒體報道可知,以下公司都因用戶信息保護不合規、不規範,遭受了巨大的經濟損失,面臨着巨大的合規風險。
(一)公司內部各項管理制度不完善
1、未制定《網絡安全管理制度及操作規程》
根據《網絡安全法》第 21 條第 1 項規定,互聯網科技公司應當對內應當制定相應的網絡安全管理制度及操作規程,尤其是要落實部門責任負責制。
法條索引:《網絡安全法》第 21 條第 1 項規定:國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改:(一)
制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全保護責任。
2、未建立《網絡安全投訴、舉報及處理制度》
根據《網絡安全法》第 49 條規定,互聯網科技公司應當建立網絡安全投訴、舉報及處理制度,並向公衆明確披露。
法條索引:《網絡安全法》第 49 條規定:網絡運營者應當建立網絡信息安全投訴、舉報制度,公佈投訴、舉報方式等信息,及時受理並處理有關網絡信息安全的投訴和舉報。網絡運營者對網信部門和有關部門依法實施的監督檢查,應當予以配合。
3、未建立《用戶信息保護制度》
根據《網絡安全法》第 40 條和《電信和互聯網用戶個人信息保護規定》第 13 條第(二)規定,互聯網科技公司應當建立健全用戶信息保護制度,保障用戶信息安全。
法條索引:《網絡安全法》第 40 條規定:網絡運營者應當對其收集的用戶信息嚴格保密,並建立健全用戶信息保護制度;《電信和互聯網用戶個人信息保護規定》第 13 條第(二)項規定:電信業務經營者、互聯網信息服務提供者應當採取以下措施防止用戶個人信息泄露、毀損、篡改或者丟失:(二)建立用戶個人信息收集、使用及其相關活動的工作流程和安全管理制度;
4、未建立《個人信息安全影響評估制度》
根據《信息安全技術個人信息安全規範》第 10 條第 10.2 款第 a 項規定,互聯網科技公司應當建立個人影響評估制度。
法條索引:《個人信息安全技術個人信息安全規範》第 10 條第 10.2 款規定:建立個人信息安全影響評估制度,定期(至少每年一次)開展個人信息安全影響評估。
5、未制定《用戶信息保護員工培訓制度》
根據《電信和互聯網個人信息保護規定》第 15 條規定,互聯網科技公司應當對內部工作人員進行用戶信息保護相關知識的培訓和考覈。
法條索引:《電信和互聯網個人信息保護規定》第 15 條的規定:電信業務經營者、互聯網信息服務提供者應當對其工作人員進行用戶個人信息保護相關知識、技能和安全責任培訓。
6、未制定《用戶信息保護自查制度》
根據《電信和互聯網個人信息保護規定》第 16 條規定,互聯網科技公司應當每年至少一次就公司內的用戶信息保護情況開展自查工作。
法條索引:《電信和互聯網個人信息保護規定》第 16 條規定:電信業務經營者、互聯網信息服務提供者應當對用戶個人信息保護情況每年至少進行一次自查,記錄自查情況,及時消除自查中發現的安全隱患。
(二)對外《隱私權保護政策》內容不充分
1、部分互聯網科技公司暫未制定《隱私權保護政策》
目前,無論是互聯網科技公司的運營網站還是手機 APP 都存在尚未制定《隱私權保護政策》的問題。
案例展示:以下 APP 功能欄裏面未能查看到存有《隱私權保護政策》
2、未明確告知用戶享有權利
目前,有許多的互聯網科技公司雖然制定了《隱私權保護政策》,但是未依法向用戶明確告知用戶享有的權利。
案例展示:
錯誤 正確
3、未告知用戶訪問、更正及刪除等的渠道
根據法律的規定,互聯網科技公司所制定的《隱私權保護政策》內,應當詳細明確告知用戶訪問、更正及刪除的渠道。
案例展示:
錯誤 正確
4、未明確告知用戶拒絕提供信息後帶來的功能影響
按照法律的規定和工信部多次檢查互聯網科技公司的關注點,互聯網科技公司的《隱私權政策》內,應當明確告知用戶若拒絕提供相關信息,可能會帶來的後果或是造成的功能影響。
案例展示:
錯誤 正確
5、未獲得用戶授權同意擅自將信息提供給第三方
按照法律的規定,互聯網科技公司若要將自己收集的用戶個人信息提供給第三方應當獲得用戶的授權。
案例展示:
錯誤 正確
6、未告知用戶投訴處理方式
依據法律的規定,互聯網科技公司的《隱私權保護政策》中,應當告知用戶投訴處理的方式,以保障用戶能夠有渠道維護自己的權益。
案例展示:
錯誤 正確
互聯網科技公司用戶信息安全合規解決方案
1、盡到合理謹慎義務、最大限度免責
根據法律規定,以及本律師團隊通過總結司法案例得出,互聯網科技公司若想在國家監管越來越嚴的形勢下,繼續利用所屬的網站或是 app 收集、使用用戶個人信息,必須做到合理謹慎,滿足法律要求,一次來最大限度的免除自己責任,降低企業運營的風險。
2、公司系列制度的規範化、合法化和全面化
根據我國當前法律規定,互聯網科技公司應當建立健全系列制度,保障用戶信息安全,保證公司收集、使用用戶信息的行爲規範化、合法化和全面化。
3、公司信息保護操作流程的規範化
根據《網絡安全法》及《電信和互聯網用戶個人信息保護規定》互聯網科技公司在日常網站運營中操作流程應當規範化,應當保障用戶信息安全。應當建立數據安全事件(泄露、毀損、丟失)向主管部門報告機制、建立數據權限管理(代理人權限管理)、操作訪問日誌審計機制、建立用戶信息批量導出、複製、銷燬信息審查機制。
4、《隱私權保護政策》、《用戶服務協議》、《聲明》等內容的規範合法化
根據法律規定,互聯網科技公司若需要收集、使用用戶個人,則應當使用通俗易懂的語言,制定《隱私權保護政策》,並做到放於網站顯眼位置,便於用戶訪問、查看,具體內容應當包含名詞解釋、用戶信息收集方式、只用範圍、目的、轉讓、共享等內容。同時公司還應當與用戶簽訂《用戶服務協議》、對外發布《聲明》等。
5、 公司內部工作人員用戶信息保護培訓的制度化、常態化
根據《電信和互聯網用戶個人信息保護規定》及《信息安全技術個人信息安全規範》的規定,應定期(至少每年一次)或在隱私政策發生重大變化時,對個人信息處理崗位
上的相關人員開展個人信息安全專業化培訓和考覈,確保相關人員熟練掌握隱 私政策和相關規程,這是互聯網科技公司應盡之義務。
6、信息跨境轉移的風險控制方案
未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識別特定個人且不能復原的除外。
關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定。(注:具體實操層面解決方案可聯繫比特律團隊。)
附件。互聯網科技公司用戶信息保護法規彙總
年份
|
法律法規
|
大記事
—|—|—
2009 年 2 月
|
《中華人民共和國刑法修正案(七)》
|
刑七首次將特定主體的“個人信息保護
義務與責任寫入刑法”
2011 年 11 月
|
《規範互聯網信息服務秩序若干規定》
|
劃定了“識別+隱私”的個人信息範圍,
同時確立了用戶同意規則
2012 年 11 月
|
工信部發布的首個《個人信息國家標準》
|
明確區分一般個人信息和個人敏感信息,
並提出默示同意和明示同意的概念
2012 年 12 月
|
全國人大常委發佈的《關於加強網絡信息保護的決定》
|
確立了個人信息的法律地位
2013 年 1 月
|
《徵信業務管理條例》
|
對徵信業務相關的個人信息收集、使用、
儲存、加工作出規定
2013 年 9 月
|
《電信和互聯網用戶個人信息保護規定》
|
對電信業務經營者、互聯網信息服務提供者
收集和使用個人信息作出規定
2013 年 10 月
|
《消費者權益保護法》
|
首次將消費者個人信息列入保護範圍,
並設定民事、行政責任。
2014 年 6 月
|
《最高人民法院關於審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》第 12 條
|
明確規定公開他人信息的侵權責任
2015 年 11 月
|
《中華人民共和國刑法修正案(九)》
|
將“違反規定,向他人出售或者
提供公民個人信息”的行爲定性爲犯罪行爲
2017 年 6 月
|
《網絡產品和服務安全審查辦法》
|
明確了在審查網絡產品和服務的安全性和
可控性時,應考慮“產品和服務提供者
利用提供產品和服務的便利條件非法收集、
存儲、處理、利用用戶相關信息的風險”
這一重要因素
2017 年 6 月
|
《網絡安全法》
|
確立了個人信息保護的原則“識別性”內涵、
方式及責任。明確要求網絡運營者建立健全
用戶信息保護制度
2017 年 10 月
|
《中華人民共和國民法總則》
|
首次將個人信息寫入民法,並確立其
獨立的司法地位
2018 年 5 月
|
全國信息安全標準化技術委員會發布的《信息安全技術 個人信息安全規範》
|
該規範建立了一個完整的互聯網信息的通用
規範,規範個人信息控制者在收集、保存、
使用、共享、轉讓、公開披露等
信息處理環節中的相關行爲
2018 年 8 月
|
《電子商務法》
|
明確對網絡交易中涉及的個人信息保護
作出規定
聯繫我們:微信:legalguard;電話:18911142242
文章推薦:
分類 / 逐條深度解讀電子商務法
無人駕駛法律責任認定與承擔分析
AI 機器人電話騷擾的法律風險問題分析
人工智能應用的法律問題及責任機制分析
證券法適用於新加坡 Token 發售 / 發行之規範及案例
UT/ST 之分及 ST 項目 Reg D & Reg
S 註冊發行
Reg A+: 對於小公司 or
STO 更好的上市方式?
發行證券型 Token 準備工作 / 流程及關鍵點分析
關於 SAFT:Simple Agreement for Future
Tokens
區塊鏈私募基金模式設計及 Token 合規要點
Token
Fund 的設立管理及傳統 VC 發展趨勢
新加坡區塊鏈公司架構設計及問題分析
區塊鏈項目落地新加坡實務操作要點分析
香港證監會發布虛擬資產持牌監管標準及運營者框架監管聲明
香港 1-9 號金融牌照分類及申請條件
數據處理協議法律合規審查要點分析
GDPR 之“用戶數據可攜權”評析(一)——認識“用戶數據可攜權”
GDPR 之“用戶數據可攜權”評析(二)
——“用戶數據可攜權”實務運用問題分析
繁體中文
简体中文
English
日本語
Español