会议中,忽然有陌生的号码呼叫,接听后很礼貌的一句:先生,您近期需要买房吗?心情不悦地挂掉电话,短信又响起:手机尾号为XXXX的机主,我是小叶,请加我微信号码,有市面上找不到的奢侈好品,看朋友圈包您满意,退订回复T。诸如此类的垃圾短信,防不胜防,令人不胜其烦。
日常生活中,如上面的案例,我们每个公民的个人信息被泄露,商家对信息所有人过度营销、轰炸影响等种种行为已经严重影响信息人所有人正常的生活和工作,甚至对于个人生活安宁和隐私保护带来的巨大的安全隐患。
保护个人信息的重要性
个人信息包含哪些内容?根据民法典第一千零三十四条之规定,个人信息指的是,“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”根据民法典的规定,可以看出,生活实践中个人信息主要包括以下四类内容:
一、个人基本信息。包括姓名、性别、年龄、身份证号码、电话号码及家庭住址等个人基本信息。
二、个人账户信息。主要包括网银帐号、第三方支付帐号,社交帐号和邮箱帐号。
三、个人隐私信息。如通讯录信息、通话记录、短信记录、聊天记录、个人视频、照片、运动轨迹记录、访问的网站痕迹等。
四、社会关系信息。自然人的家庭成员信息、亲属关系信息、工作单位信息、好友关系等。
从上述定义不难看出,个人信息覆盖了我们每个人日常生活的方方面面,从个人生物信息到活动记录、亲属关系、联系方式无所不包,如果任何一项个人信息被违法获取、不当使用,信息所有人除了可能遭受各种广告推销的骚扰之外,犯罪分子还可能利用个人信息对我们本人或家人实施诈骗,钱财损失不说,个人名誉也受到损害。
我国个人信息保护的现状
我国一直很重视个人信息的保护,《个人信息保护法》是一部规制个人信息保护的专门性法律,于2018年9月正式纳入人大立法规划,历经3年起草制定工作后,于2021年8月20日正式出台。在此之前,我国还在其他专门单行法律、国家标准中规定了个人信息保护的相关内容,民事法律领域有:《民法典》第四编人格权编中的第六章“隐私权及个人信息保护”、《网络安全法》、《数据安全法》、《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》。刑事领域有:《刑法》第二百五十三条“侵犯公民个人信息罪”。此外还有全国信息安全标准化技术委员会制定的国家标准:《个人信息安全规范》(GB/T 35273-2020)。上述法律法规、国家标准从民事、刑事、技术规范等各个层面对于我国公民的个人信息保护提供了规范性指引,个人信息处理者不得超越法律的规定擅自使用自然人的个人信息,否则将承担相应的法律后果。
案例点评
2017年下半年,某贷款公司员工黄某要求某国有银行客户经理王某为其提供银行的客户资料,并许诺支付给王某获利的15%作为回扣。被利益诱惑的王某擅自登陆某行内部的电脑系统,对多个客户资料进行截图,同时将资料多次通过电子邮箱发送至黄某,黄某再让员工利用上述信息打电话联系客户办理贷款。
后经公安机关查明,邮件中包含公民姓名及电话号码等有效信息累计共计3.15万条,黄某因此按照获利的15%给予回扣6500元给王某,另支付其3.02万元作为介绍客户的“辛苦费”。
本案经检察机关提起公诉,并经一审法院判处王某犯侵犯公民个人信息罪,判处有期徒刑八个月,缓刑一年,并处罚金1万元。
其后,某银保监分局以涉案银行对客户信息安全管理不到位的案由作出罚款20万元的行政处罚决定。而涉事人黄某因泄露客户信息,则被禁止从事银行业工作1年。
从上述真实案例看出,虽然王某获利不高,仅仅数千元,却因小失大,身陷囹圄,教训不可谓不深刻。现实生活中,除了银行,还有很多业务领域涉及处理个人信息的机构和企业,比如收集浏览数据分析购物喜好的网购平台、比如知晓客户收件地址信息的快递公司、再比如对了解用户工作经历的招聘平台等,这些行业已经成为公民个人信息可能被泄露的重灾区。
信息处理人如果只是过度收集、不当使用自行获取的个人信息,其可能承担民事或行政责任;然而,在高额利润的诱惑驱使下,如果某些机构或个人专门从事倒卖个人信息非法牟利的行为,这种行为可能涉嫌触犯刑法,构成“侵犯公民个人信息罪”,像王某一样锒铛入狱。前车之鉴,不可不重视。
建议
随着保护个人信息的法律法规日益完善,合法合规已成为悬在个人信息处理者头顶的达摩克里斯之剑。根据《个人信息保护法》第五条之规定:“处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。”本条从立法原则的角度对于如何正当处理个人信息进行了规定,笔者建议做到以下几点,才能确保信息处理人处理个人信息合法合规:
一、自愿授权。信息处理人在收集、使用个人信息之前必须经信息所有人同意,不得通过误导、欺诈、胁迫等方式违背信息所有人意愿不当处理个人信息。这是由个人信息的法律属性决定的,个人信息属于人格权益的一种,人格权益是专属于自然人的绝对权,其有权处分自身权益,更有权排除他人侵害,未经权益人许可,不得擅自收集其个人信息。
二、正当必要。处理个人信息应该在适当的限度内进行,不得过度收集个人信息,比如我们常遇到在餐厅点餐要扫二维码,不仅强制微信授权登录,还要授权相机、电话权限,这些权限肯定不是点餐的必需流程;又比如我们在手机上安装新的App时要授权手机存储读取、相机调用、通讯录读取等控制权限,而这些权限与App的正常使用完全不相关,App运营商只是通过过度收集个人信息,利用大数据、云计算分析用户喜好,辅助精准投放营销,提高营销转化,获取巨大的收益。以后这些超出正当必要要求的处理个人信息的行为都存在违法的风险。
三、替代方案。信息处理者向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。比如读者可以看看手机中的垃圾短信,大多会有“退订回复T”的告知;又比如小区物业不得强制所有业主都要采用人脸识别方式通过小区门禁系统,业主有权利选择其他的识别方式。这些都是“提供便捷的拒绝方式”。简单说,就是信息所有人有权利选择其自认为合适的替代性个人信息处理方案。
四、专人专管。个人信息处理人对收集的个人信息应根据种类和使用目的,进行分类管理,指定专管人员,制定内部管理制度和操作规程,确定操作权限,还要对专管人员进行定期安全教育和培训,尽量减少管理疏漏。收集个人信息达到国家网信部门规定的数量的机构或组织,应当指定个人信息保护负责人,并公开该负责人的联系方式,将个人信息保护负责人的姓名、联系方式等报送个人信息保护的监管部门。
五、信息安全。个人信息处理人对收集的个人信息要做好加密、去标识化等安全技术措施,最好还要制定应急预案,防止个人信息泄露、篡改、丢失的应急处理不足。还应定期对自身处理个人信息遵守法律、行政法规的情况进行合规审计自查。
结束语
信息网络、移动互联网的高速发展,让我们每一个人的个人信息,特别是敏感信息,比以往任何一个时代都更加容易被他人获取,我们的个人信息如果不能得到法律有效的保护,将直接影响的每一个人的人格尊严、财产安全、社会评价,因此以民法典、《刑法》、《个人信息保护法》为代表的一系列法律法规的陆续出台,都凸显了信息化时代下国家和政府对于每一个公民人格尊严的保护和尊重。个人信息,不可擅动,擅动者,必究其责!