本文共计4530字,建议阅读时间10分钟。
引言:近日,滴滴公司被处罚80.26亿元的消息刷爆朋友圈,迅速成为各大网络平台头条新闻,由此引发了一系列的法律问题,最受大众关心的莫过于大数据时代,公民个人信息如何保护?
个人信息保护立法在我国经过十几年讨论、酝酿,《中华人民共和国个人信息保护法》(下称《个人信息保护法》)于2021年8月20日通过并公布,自2021年11月1日起施行,这意味着我国从法律层面重视公民个人信息的保护,在此风口浪尖上,滴滴公司却顶风作案,受到了巨额行政处罚。本文以滴滴公司被罚事件为视角,梳理大数据时代,政府部门如何保护公民个人信息安全。
一、事件背景
2022年7月21日,国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴全球股份有限公司处以人民币80.26亿元的罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。使得历时一年的网络安全审查终于有了结论。
据国家互联网信息办公室有关负责人答记者问,具体介绍了滴滴公司共存在16项,8个方面的违法事实。归纳起来,就是大量、过度地收集客户和司机的个人信息,其实若不是政府出面对滴滴公司严重处罚,公民靠自己维护个人信息安全恐怕遥遥无期,结果也只会让像滴滴公司等侵犯公民个人信息的违法者行为愈演愈烈,通过滴滴公司受罚可总结出,政府部门利用法律手段加大对我国公民个人信息的保护力度是最直接、有效的方式,也是刻不容缓的一件事。
(图片内容来源于央视新闻)
二、个人信息的法律界定
《个人信息保护法》第2条将本法的保护主体予以明确,即自然人的个人信息受法律保护。第3条将适用情形明确为,一是在中华人民共和国境内处理自然人个人信息活动的,适用本法;二是在中华人民共和国境外处理中华人民共和国境内个人信息活动的三种情形:1)以向境内自然人提供产品或者服务为目的;2)分析、评估境内自然人的行为的;3)法律法规规定的其他情形。
第4条将个人信息作定义为,个人信息是以电子或者其他方式记录的与已以识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息,匿名化是指个人信息经过处理无法识别特定自然人且不能复原。同时第4条明确规定个人信息处理的情形为个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。除此之外《中华人民共和国民法典》(下称民法典)在人格权编第1034条规定,个人信息是能够单独或者与其他信息结合识别特定自然人的各种信息,但民法典对个人信息保护的前提是存在处理关系,即存在个人信息的自动化或者大规模收集及利用,此前提与个人信息保护法第4条第2款不谋而合。
相比于《民法典》,《个人信息保护法》是特殊法,在保护个人信息方面优先适用。综上所述,本文将个人信息界定为,个人信息是以电子或者其他方式记录的与已以识别或者可识别的自然人有关的各种信息。比如我们日常使用手机产生的存储在手机上的数据,包括个人身份证号码,学历信息,家庭住址,亲友联系方式等等,再比如,很多手机APP会要求用户提供各种权限才可以使用,如需提供电话号码、位置信息、通话权限等等,大数据时代,通过这一系列数据加上一定的计算方法,很容易就识别出自然人的各种信息,并精准定位到具体个人。海量数据为我们带来便利的同时,也引发了对于公民个人信息保护的法律问题。
三、政府部门如何保护公民个人信息
当前,随着个人信息保护相关法律法规的出台,政府部门发挥保护公民个人信息的职能也尤为重要。我们以案说法,消费者(罗某)在就餐时发现,商家要求其必须扫码点餐。然后罗某就发现,要想点餐,就得先关注这家火锅店的微信公众号,不然就无法点单,在进入点餐系统之后,就会弹出一个界面,要求“点击授权”、并申请“获取位置信息”。案例中商家明显违反了《个人信息保护法》第六条:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息”之规定。商家未经过罗某的同意利用点餐必须扫码的方式获取其个人信息,是我们的生活中比较常见也比较典型的侵犯公民个人信息的行为,但因法律的不完善和个人维权的成本高、意识不强等因素,公民个人在遭受信息侵犯时几乎无人通过诉讼等其他方式维权。《个人信息保护法》第60条“国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定”。明确规定了政府部门(主要为网信部门、公安部门)对侵犯个人信息作出干预以及处理的规定,根据个人信息保护法的相关规定,政府部门针对侵犯公民个人信息的行为可采取以下措施:
1. 加强个人信息保护宣传,加强对采集信息的机构监管的力度。
国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。网信部门是监管主体,一方面须多开展个人信息保护宣传教育工作,另一方面应加强对企业等采集个人信息的第三方机构的监管力度,顺着国家实行个人信息保护法的潮流,和政府其他部门协调加大普法宣传的力度,让公民和商家(公司)知法、学法和尊法。
2. 约谈商家(公司)的主要负责人并要求其进行合规审计。
相关部门在接到公民投诉后或在履行职责中发现某些商家(公司)的行为存在较大风险或者发生个人信息安全事件时,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,要求采取措施,进行整改,消除隐患,或者要求违法者委托专业机构对其信息处理活动进行合规审计,在源头上遏制商家(公司)、个人和侵犯公民个人信息的行为,从而减少侵害公民个人信息权利事件的发生。
3. 依法给予违法者行政处罚。
案例中商家通过以“扫码点餐”为掩饰搜集公民个人信息,而最近在社会上具有影响力的国家网信办处罚滴滴80.26亿手段相似,滴滴也是利用公民使用滴滴APP打车,过度搜集与使用APP无关的公民个人信息,在如今电子数据覆盖个人生活全部的社会里,若对侵犯公民个人信息的行为不严加处罚,那么会留给不法分子更大的空间侵犯公民个人信息权利。但政府部门在作出行政处罚决定之前,先应采取下列措施来固定证据、调查案件事实,来保证执法程序合法:(1)询问有关当事人,调查与个人信息处理活动有关的情况;(2)查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料;(3)实施现场检查,对涉嫌违法的个人信息处理活动进行调查;(4)检查与个人信息处理活动有关的设备、物品。若一旦确认某些商家(公司)违法行为事实清楚,证据确凿,可根据《个人信息保护法》第七章“法律责任”中的规定,对于情节严重的违法行为,可以处五千万元以下或者上一年度营业额百分之五以下罚款,情节较轻的给予警告。本文中提到的国家网信办对滴滴公司罚款80.26亿,是按照滴滴公司上一年度营业额的百分之五作为罚款,除此之外,还可以对侵犯公民个人信息的商家(公司)的直接负责的主管人员和其他直接责任人员可处十万元以上一百万元以下罚款,案例中虽店员让罗某点餐,但实际上商家(公司)的负责人才是利用点餐获取信息的收集者、获益者和管理者,而滴滴处罚案中网信办对其董事长兼CEO程维、总裁柳青各处人民币100万元罚款理由亦是如此。
4. 涉嫌犯罪和违反治安处罚的,可移送公安机关依法处理。
(2019)吉0122刑初403号案例中,被告人齐某某等人在部分乡镇,以向老百姓发放福利(面或油)为由头,向民众非法获取个人信息,在民众不知情的情况下使用民众个人信息办理开通、实名认证移动通讯卡实名认证通过后,齐某某从移动代理商处领取佣金,像本案例中侵犯公民个人信息的行为,在我国农村边缘地带以及城市老人群体中发生的频率比较高,齐某等人获取个人信息不仅违反了个人信息保护法,其通过发放福利窃取公民个人信息并向代理商出售的行为已构成犯罪,符合《中华人民共和国刑法》第253条中有关侵犯公民个人信息罪的相关规定。个别案件中违法行为达不到刑事犯罪条件的,可由公安部门根据《中华人民共和国治安管理处罚法》第42条“有下列行为之一的,处五日以下拘留或者五百元以下罚款;情节较重的,处五日以上十日以下拘留,可以并处五百元以下罚款:(六)偷窥、偷拍、窃听、散布他人隐私的”之规定进行治安处罚。
5. 请求检察机关对不作为部门或违法公司提起行政公益诉讼。
在保护公民个人信息保护的过程中,一般涉及多个行政机关,存在职能交叉、监管部门层级不同等问题,滴滴处罚案中,难以避免存在个别执法单位执法不配合、互相不协助,尤其是跨省、市区的执法过程中比较容易发生,行政公益诉讼是国家督促行政单位不作为的一种监督方式,更是保护公民个人信息不被侵犯的最后一道防线,检察机关可以对未依法履行个人信息保护监督管理职责的单位和侵犯公民个人信息的公司提起行政公益诉讼,综合运用民事公益诉讼和行政公益诉讼职能,有力解决不履行职责的单位积极履责和违法公司承担法律责任的问题。
四、结语
在如今的大数据时代,数据被赋予了极大的商业价值,各类商业群体对个人信息垂涎三尺,过度不合理的收集公民个人信息使得公民个人如同裸奔,毫无隐私可言,此时个人信息保护就显得尤为重要,近年来,相关的立法不断出台,也恰恰说明国家也在逐步加强个人信息的保护。尤其是涉及国家安全有关的信息,触犯将毫无商量的余地,势必面临着最为严厉的惩罚。企业自身也应当加强自身的数据规范,防患于未然。
注释:
1.最高人民检察院发布11件检察机关个人信息保护公益诉讼典型案例之一:江西省南昌市人民检察院督促整治手机APP侵害公民个人信息行政公益诉讼案;
2.检例第141号:浙江省杭州市余杭区人民检察院对北京某公司侵犯儿童个人信息权益提起民事公益诉讼北京市人民检察院督促保护儿童个人信息权益行政公益诉讼案。
3.国家互联网信息办公室有关负责人就对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定答记者问.(2022年7月21日.网信中国)