咨询律师 找律师 案件委托   热门省份: 北京 浙江 上海 山东 广东 天津 重庆 江苏 湖南 湖北 四川 河南 河北 110法律咨询网 法律咨询 律师在线 法律百科
我的位置:110网首页 >> 资料库 >> 论文 >> 经济法 >> 查看资料

个人信息(大数据)法律分析

发布日期:2018-12-10    作者:张勇律师
个人信息(大数据)法律分析
(深圳张勇律师,网络法团队整理)
个人信息的定义:
网络安全法的定义:
个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
《电信和互联网用户个人信息保护规定》第四条:本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。
《侵害消费者权益行为处罚办法》第十一条:前款中的消费者个人信息是指经营者在提供商品或者服务活动中收集的消费者姓名、性别、职业、出生日期、身份证件号码、住址、联系方式、收入和财产状况、健康状况、消费情况等能够单独或者与其他信息结合识别消费者的信息。
民法总则第111条:第一百一十一条自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。第127条:法律对数据、网络虚拟财产的保护有规定的,依照其规定。
《信息安全技术公共及商用服务信息系统个人信息保护指南》(GB/Z 28828-2012)作为我国首个个人信息保护国家指导性标准,将个人信息分为个人一般信息和个人敏感信息,并提出默许同意和明示同意的概念。对于个人一般信息的处理可以建立在默许同意的基础上,只要个人信息主体没有明确表示反对,便可收集和利用。对于个人敏感信息,则需要建立在明示同意的基础上,在收集和利用之前,必须首先获得个人信息主体明确的授权。根据标准定义,个人敏感信息指的是一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。个人一般信息则是指除个人敏感信息以外的个人信息。
网络安全法的规定:
第四十条   网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
第四十一条  网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
第四十三条 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
第四十五条 依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。
第四十七条 网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
第六十四条 网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。
第六十五条 关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第七十六条 本法下列用语的含义:
(一)网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
(二)网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
(三)网络运营者,是指网络的所有者、管理者和网络服务提供者。
(四)网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。
(五)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
刑事规定: 侵犯个人信息罪
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条 刑法第二百五十三条之一规定的公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
2015111实施的《中华人民共和国刑法修正案(
)》第十七条规定对刑法第二百五十三条之一进行了修改。2015111实施的《最高人民法院、最高人民检察院关于执行<中华人民共和国刑法>确定罪名的补充规定(六)》将罪名修改为侵犯公民个人信息罪,同时取消出售、非法提供公民个人信息罪和非法获取公民个人信息罪罪名。违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》
第五条 非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的情节严重”:
(
) 出售或者提供行踪轨迹信息,被他人用于犯罪的;
(
) 知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;
(
) 非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;
(
) 非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;
(
) 非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;
个人信息安全规范
201851实施的《信息安全技术个人信息安全规范》(GB/T 35273-2017)从个人信息处理的生命周期和安全管理两个角度出发,分别针对个人信息处理活动中的典型问题给出了解决路径。从法律效力来讲,《个人信息安全规范》是国家推荐性标准,不属于强制性标准,国家鼓励企业自愿采用。
 
违反责任:
违反个人信息保护相关规定的法律责任包括民事、刑事和行政责任。
民事责任:当权利人个人信息被侵害时,可以要求停止侵害、排除妨碍、更新更正、提 出精神损害赔偿或者财产损害赔偿加以救济。当受害人难以证明自己损失数额时, 可以将侵权者所获利益视为受害人损失来确定损害赔偿的数额。
行政责任:对于违反相关个人信息保护规定的,相关政府主管部门(例如工信部和工商总局地方部门)可责令限期改正、处以警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等行政处罚,同时可将违法记录记入社会信用档案并予以公布(例如工商部门的企业信用信息公示系统)。
刑事责任方面主要在于容易触犯侵犯公民个人信息罪:
违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金
企业应对方案:
主要涉及四个方面的关系。
1、网络运营者收集和使用用户信息时应遵循合法、正当、必要的原则,应向用户公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经用户同意;不得泄露、篡改、毁损收集的用户信息;未经用户同意,不得向第三方提供用户个人信息;应采取技术或其他措施确保收集的用户个人信息的安全,防止信息泄露、毁损、丢失;可以与用户签订相应的用户协议,明确收集时进行弹窗提示并将变更条款醒目加粗或标红,要经用户明确理解且同意。
2、储存及管理信息要做好安全保障,要对自己所收集到的数据信息起到安全保障作用,防止信息泄漏。发生或可能发生个人信息泄漏时补救、报告和通知义务。根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》第四条规定在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施),并规定了在造成或者可能造成严重后果的情况下通知电信局等主管部门的报告以及配合调查义务(见《电信和互联网用户个人信息保护规定》第十四条规定)。
3、数据的商业化利用,网络运营者未经信息主体的同意,不得向他人提供个人信息,但是经过处理无法识别特定个人且不能复原的除外。任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。《网络安全法》首次明确认可了脱敏数据交易的合法性,但其前提是数据经过处理后无法识别特定个人且不能复原。关于利用数据或与第三方合作使用数据时要合法,可以考虑使用三重同意原则避免刑事法律风险。该原则是在新浪微博与脉脉软件数据采集案件中确定的,主要观点如下:互联网中网络平台获取并使用用户信息应遵循的基本原则是用户明示同意原则”+“最少够用原则。网络平台提供方可以就他人未经许可擅自使用其经过用户同意收集并使用的用户数据信息主张权利。互联网中第三方应用通过开放平台,例如Open API模式获取用户信息时应坚持用户授权”+“平台授权”+“用户授权的三重授权原则,第三方应用未经开放平台授权且未经用户同意,获取并使用平台用户信息的行为,构成不正当竞争行为。在互联网行业中,一方披露另一方负面信息时,虽能举证证明该信息属于客观、真实,但披露方式不当,且足以误导相关公众产生错误评价的行为构成商业诋毁。若企业要使用数据,应完善与数据供应商的协议,明确供应商对数据来源合法性的担保责任; 明确数据供应商对个人信息的授权和脱敏责任,明确数据供应商的保密义务等;同时,企业在选择数据供应商时,要对供应商的数据流程进行法律合规性评估,并基于评估结果选择供应商; 在获得数据后,企业内部应当对数据采取必要的保密措施,进行数据分类处理,确定特定的使用目的,避免数据的扩散或泄露;数据进行交易或流转之前,对数据进行必要的处理,尤其应当注意对于个人信息的脱敏。
4、跨境数据,关键信息基础设施的运营者在我国境内运营中收集和产生的个人信息和重要数据因业务需要确需向境外提供的,应当进行安全评估。《征信业管理条例》第二十四条规定征信机构在中国境内采集的信息的整理、保存和加工,应当在中国境内进行。企业在进行个人信息保护培训时,应要求相关工作人员在处理这些数据时需要避免将相关个人信息储存在境外的服务器,或者将相关信息传输到境外。对于使用第三方服务器来存储用户个人信息的企业来说,如果该行业有相关的本地化存储要求,注意选用在中国境内设有服务器的服务提供商。
《个人信息和重要数据出境安全评估办法(征求意见稿)》,对数据出境安全评估的主管部门、重点内容、禁止性规定进行了明确,虽然该办法仍处在征求意见稿阶段,但无疑为网络运营者落实安全评估提供了一定的指引。
《北京市高级人民法院关于加强知识产权审判促进创新发展的若干意见201809》:准确界定权利边界,积极探索数据利益的司法保护模式。综合考虑数据内容以及数据生产者对数据利益形成的贡献度等因素,准确界定数据的利益归属及其权利边界,平衡数据提供者与数据生产者之间及其与公共利益之间的关系。根据不同的数据内容及其表现形式,选择适用著作权法、反不正当竞争法等规定予以保护。请求保护数据利益的一方对其所主张的数据的范围、数量、来源、采集、存储、分析、获利方式以及公认的商业道德、行业惯例等负有举证证明责任。
现存主要问题:
1.数据企业作为数据的收集者、处理者、分析者,凭借自己的投入和付出希望获得相应的财产权利保障,如保障他人自主进行收集、处理、分析的权利及保障社会公众利益,但现行法律对数据主体权利及边界并没有做出相应规定。然而数据在被进行加工和处理后所形成的数据商品,由于没有确认数据在法律上的财产属性,其评估、交易、作价等方面都将缺少法律依据以及相应的会计规则。
2.某些数据的产生和收集具有唯一性和不可重复性,随着数据产业的成熟发展,未来可能还需要对数据的所有权保护及许可、流转等设定相应的类似反垄断的规则,以确保数据信息能够最大程度地被利用和开发,防止数据垄断情形的出现。
3.现行法规没有确认数据的财产属性和地位以及相应的所有权制度,因而一旦发生数据财产被窃取、截获等情形,将难以求助于现行法律的保护。(争论已久的虚拟货币、虚拟财产问题,其实更深层次上推敲也可以归因于现行法律体系对于数据这一客观存在覆盖的缺位。)而目前《全国人大常委会关于加强网络信息保护的决定》规定数据得以纳入法律调整的方式仅仅是作为合同债权的客体。
大数据产业与其他产业的融合是未来数字经济的主流趋势。企业对大数据应用、平台、解决方案等对业务流程的对接都需要通过数据采集、数据商品化、数据整合等程序,应用提供商则需要将产业内、不同产业间、企业内、不同企业间的安全数据进行流通或共享,而如若相关法律法规缺位,势必会成为势头正猛的数据产业业务的发展掣肘。
《一般数据保护条例》(GDPR)简介 《一般数据保护条例》是欧盟新的数据保护法,提出了更为统一的数据保护 方法,将适用于欧盟范围内发生的所有业务。GDPR 取代了所有现有的数据保护 法案,并且增加了企业围绕数据保护的义务以及数据泄露应承担的责任。它也适用于数据处理的方方面面——从个人数据的收集到其使用和处置
没找到您需要的? 您可以 发布法律咨询 ,我们的律师随时在线为您服务
  • 问题越详细,回答越精确,祝您的问题早日得到解决!
发布咨询
发布您的法律问题
推荐律师
魏伟律师
北京朝阳区
吴丁亚律师
北京海淀区
王远洋律师
湖北襄阳
卓旭律所律师
天津南开区
邹坤律师
上海黄浦区
高飞律师
陕西西安
王高强律师
安徽合肥
王林律师
河北保定
罗雨晴律师
湖南长沙
热点专题更多
免费法律咨询 | 广告服务 | 律师加盟 | 联系方式 | 人才招聘 | 友情链接网站地图
载入时间:0.06743秒 copyright©2006 110.com inc. all rights reserved.
版权所有:110.com