据统计,2015年,某手机卫士共为全国用户拦截各类垃圾短信约318.3亿条,同年,为全国用户识别和拦截各类骚扰电话亦高达272.6亿次。《网络安全法》及其配套法规陆续出台,刑法层面,两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的规定》也将于2017年6月1日一并生效,大数据,采集容易保护难,企业如何做好合规应对成了当务之急。
纵观《网络安全法》全文,并未明确限定信息收集者的范围,也即:其默认网络运营者们都有权对用户的信息进行采集。
不过,就“网络运营者”,网安法有明确的定义:“网络运营者,是指网络的所有者、管理者和网络服务提供者”。就这一定义来看,几乎囊括了所有在一线或非一线参与网络运营活动的人,这样宽泛的定义,主要还是为了增加该法适用的广度和深度。
《网络安全法》在第二十二条第三款中规定:“网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。”传统意义上,对于数据的要求往往限于“使用”、“非法出售”等转移层面上,很少在前期收集中,就予以严格规定,体现了网安法全面规制、从头抓起的态度。
“具有收集用户信息功能的,其提供者应得当向用户明示并取得同意”,这意味着,很多互联网公司都需要在首页的“用户协议”等对话框中加入这样一条条款,并需要获得用户的许可。
在此,我们试举陆金所的《服务协议》中的相关章节(节选)为例,其规定较为全面:
类似的,在二十四条中,用户的真实身份信息核验也成为一项重要的要求。
当涉及网络渠道时,第二十四条关于用户真实身份信息核验的规定更为严格,除了明确指出“用户不提供真实身份信息的,网络运营者不得为其提供相关服务”外,其承担的法律责任也进行了“升级”,在罚款之余,可能会被暂停业务、停业整顿、关闭网站、吊销许可证或营业执照。
笔者最近在上网时就明显发现,虽然是“熟客”了,但许多网站都纷纷开始要求提交手机号验证。
个人信息保护是本次网络立法的重要目的所在,也是贯穿始终的基本原则之一。在《网络安全法》中,明确指出了“个人信息”的定义,并要求网络运营者们做到以下的一些内容:
• 具有收集用户信息功能的,应当向用户明示并取得同意
• 收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
• 不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意, 不得向他人提供个人信息,但是,经过处理无法识别特定个人且不能复原的除外
• 采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失
• 用户若发现网络运营者收集、存储的个信有误,有权要求其更正;若发现网络运营者违规使用,有权要求其删除。
在满足统一的要求之后,我们可以结合不同企业的性质,来看看业务运营中需要着重注意的地方:
• 若企业自身收集数据并内部使用(不予公开),那么在使用过程中,应当严格遵照收集信息时,与用户约定的使用目的、方式和范围进行使用,若违规或违约使用;若用户提出了错误信息更正要求,或者违规、违约使用的举报,那就应及时地更正或删除。否则就会面临相应的行政法律责任。
• 若企业在业务运营中,需要处理大数据进行业务推广、提供公开报告的,最应该注意的部分是做好大数据的脱敏处理工作。虽然《网络安全法》明文规定“未经被收集者同意,不得向他人提供信息”,但随之而来的但书规定,又为之留下了一定的余地。网络运营者只要能对合法收集的个人信息进行脱敏处理以达到无法识别个人,且不能复原的程度,那么对该等数据的处理和使用可不受个人信息保护规则的制约。由此可见,立法者有意从制度设计层面为大数据的应用留下可行性空间,以取得个人信息保护和公众利益之间的平衡。
• 若企业本身性质为数据中介,以交易数据为主营业务,那么应注意,避免触及《刑法》中“侵犯公民个人信息罪”,且根据两高新近出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(2017年6月1日生效),只要未经被收集者同意,即便是将合法收集的公民个人信息向他人提供,仍构成该罪。(但是经过处理无法识别特定个人且不能复原的除外)
• 若企业自身收集数据后,需要在集团公司/关联公司/合作伙伴间使用完整、真实、不脱敏的相关数据,那么需要在前期信息采集时,就做好用户授权许可工作。还是以陆金所的《服务协议》为例:
同时,网络运营者应该在页面设置有显眼的“投诉”、“举报”或“更正”等反馈通道,使得用户在发现自己的信息有误或被非法处理时及时向运营者反馈,当然,运营者在收到反馈信息后,必须及时采取合理的措施予以更正或删除,否则就有可能面临罚款、警告等行政处罚,重则责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
《网安法》的一大亮点是在规定了适用于所有基础网络运营者的义务后,又加重了对关键信息基础设施的要求,其中有一项重要的规定是关于数据转移。
第三十七条规定:“在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。”
“境内数据境内用”是《网安法》提出的原则,但也并不是存在例外,只是在今后的实践中,究竟如何理解“因业务需要,确需向境外提供的”,还有待主管部门给出更为明确的评估标准及操作方法。
此外,网信部于2017年4月11日公布的《个人信息和重要数据出境安全评估办法(征求意见稿)》中亦列出了详细的规定:
|
违法情形 未进行真实身份信息核验(适用于办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务) |
|
法律责任 由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 |
|
违法情形 收集用户信息时,未向用户明示并取得同意。 泄露、篡改、毁损其收集的个人信息。 未经被收集者同意,且未进行脱敏处理,就向他人提供个人信息。 未采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。 在发生或者可能发生个人信息泄露、毁损、丢失的情况时,未立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。 违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,且在用户反馈后未删除。 收集、存储的其个人信息有错误的,用户反馈后不予以更正。 |
|
法律责任 由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。 |
网安法背景下,我们建议各家涉及用户信息收集、保存、使用的企业均应做好合规工作,并且配套完善企业内部的人员管理,以免产生法律风险。
