个人数据使用合规:现行规则检讨与建议
2017-10-12 09:18:50
  • 0
  • 0
  • 0

来源:第一合规

作者:高富平

【导读】现今社会是数据化的生存模式。数据使用的前提是保护数据上的合法利益,为此数据流通使用的前提是合规。2017年5月9日,两高发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,对刑法规定及其适用作出详细解释。但问题在于,现行法律规定非常粗糙,主要是“合法、公正和必要”原则,收集和使用须经被收集人同意等。(本文源自“数据法律资讯”公众号,编辑时对原文内容略作调整。)

一、国际社会和个人数据保护法律渊源

20世纪70年代美国制定的《隐私法》主要是为解决政府对个人隐私的侵犯的问题。德国70年代末也制定了《联邦个人数据保护法》,适用于公共和私人两个领域。美国和德国的法律实践引发国际社会个人数据保护规则发展。OECD的《隐私保护和个人数据跨境流通的指南》提出了八大原则,基本反映了国际社会对个人数据保护的态度。欧洲委员会的《关于自动处理个人数据中的个人保护公约》是在个人数据处理过程中保护个人权益,成为欧洲国家的国际公约。目前大致有48个成员国。

为贯彻公约,欧盟在1995年出台《个人数据保护指令》,到1998年各国均已制定个人数据保护法律,以在各国贯彻实施指令内容。2016年颁布的《统一数据保护条例》将于2018年5月生效,它将替代指令在全欧盟具有直接法律效力。欧盟法律目的是保护个人的基本权利,尊严(包括隐私)、自由和平等,但并没有赋予数据主体(个人)以个人数据的支配权或控制权,而是个人数据受保护权(right to protection of personal data)。它不是保护个人对个人数据的控制或支配,而是防范他人在使用个人数据时对个人权益侵害。有些情形下,个人需要同意,但有些情形下不需要同意。而赋予个人的权利是救济性权利,以保护个人权益不受侵害。保护方式以行政保护为主,民事救济为辅。

美国privacy概念含义非常广泛,强调个人自由,除非为了公共目的,个人事务自决,免受不法打扰。1973年提出的“公正信息准则”(Fair Information Practice)确立了个人信息(隐私)保护的基本原则,当初主要针对政府对公民信息的侵害,但之后不断演进,成为在公共领域和私人领域均适用的信息隐私保护原则。美国除在个别领域(金融、健康、儿童)制定有专门法律外,在一般商业领域由企业根据公正信息准则实行自治,而信息隐私的侵害行为纳入侵权法调整,通过民事诉讼给受害人以救济,给加害人惩罚。另外,美国刑法存在Identity theft(身份盗用罪),用来惩罚类似我国电信欺诈行为。

二、我国个人信息保护法框架

我国对于个人信息的保护实际是刑法先行。2009年,《刑法修正案(七)》增设了“非法获取公民个人信息罪”,开始个人信息的刑法保护之路。

2012年《关于加强网络信息保护的决定》开启个人信息保护单行立法之路,确立了个人信息基本原则:(1)收集使用必须合法、正当、必要;(2)收集要明示信息的目的、方式和范围,并经被收集者同意;(3)保密和安全存管原则;(4)不得出售或者非法向他人提供。这构成了目前中国法律的核心内容。

2016年我国出台了《网络安全法》,调整网络运营商、网络产品和服务提供者的关系,其适用范围十分广泛。其中第四章是网络信息安全的有关规定,提出了对个人信息的保护规范。规定不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。

理解个人信息的关键是理解“识别”的含义。按照我的理解,识别分为为个人的身份识别和个性特征识别。在我看来,信息的流通并不可怕,可怕的是对信息的流通失去控制。

按照现行法,未经同意收集和使用个人信息,构成对信息主体(个人)权益的侵害,应当承担民事责任。但是,法律实务中少见此类型案件。

我国刑法对个人信息保护最为激进和严苛。自2009年,《刑法修正案(七)》引入个人信息刑事保护制度后,不断扩张和完善,2015年,《刑法修正案(九)》再次对刑法第253条作出修改,将罪名统一称为“侵犯公民个人信息罪”。该罪控制两种行为,其一是 “违反国家有关规定,向他人出售或者提供公民个人信息”的行为;其二是“窃取或者以其他方法非法获取公民个人信息”的行为。并不是所有出售和提供个人信息行为、获得取公民个人信息行为都可入刑,而是“违反国家有关规定”且“情节严重”。为了更明确适用法律,2017年5月9日,两高发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,对刑法规定及其适用作出详细解释。但问题在于,现行法律规定非常粗糙,主要是“合法、公正和必要”原则,收集和使用须经被收集人同意等。

三、个人数据使用合规管理分析与建议

现今社会是数据化的生存模式。数据很难成立所有权意义上的财产,而是一个公共的东西,是人类社会运转和交往的工具。数据使用的前提是保护数据上的合法利益,为此数据流通使用的前提是合规。

哪些数据可以收集?我的观点是任何个人数据均可被收集,关键是合法收集、合法使用。从外部获取信息包括公开途径抓取信息和第三人提供两种方式。目前司法解释规定违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于“以其他方法非法获取公民个人信息” 。但对于什么是合法方式获取信息法律并无规定。

数据的使用行为包括数据的加工、识别个人信息、数据通信和数据泄露。对外提供数据时要获得同意,但这一条件并不能免除刑事责任和行政责任。

我在这里为企业使用数据提出一些建议。企业应当对于数据实行分类、分级管理,把住信息获取的关口,确保持有数据的安全,杜绝泄露、公开,确立全面清晰数据许可使用合同,从不随意披露、交换、提供个人数据给他人,同时在几乎所有的合同中加入个人数据保护条款。

目前,对于企业来讲,如何守住法律红经,又能够合法地利用数据的关键是数据收集和使用的合规管理,就是将法律规则融入企业管理每个环节,实施完善的数据治理。

最新文章
相关阅读