自选商户:网络数据采集的合规边界

最后更新 : 2019.11.21  

一、数据的定义

现实中存在各式各样的网络服务,几乎每一种网络服务都需要采集用户的个人信息,在网络环境下,违反个人信息保护的行为频发,个人信息的保护涉及采集、使用、披露等多个环节,采集是个人信息被滥用的源头,因此从源头上对采集个人信息的问题进行控制,划分合法采集与非法采集的边界问题尤其重要。

最近一段时间,由网络数据采集引发的法律风险较多,因此本文以网络数据采集为方向探讨数据采集的合规问题。

在开始这个问题之前,有必要对数据和信息的关系进行辨析,在网络服务提供者的计算机系统中,所有的信息都是以数据形式保存的。数据是使用计算机信息技术将输入的信息以计算机可以识读的形式进行记忆、加工、复制、输出的电和磁的形态的总称。人类可以识别的信息要转换成计算机能够识别的信息,必须借助于数据才能实现,计算机能够识别的数据也可以还原成人类可以识别的信息,在这个还原过程中,有些数据还需要借助设备才能被人所识别,比如音频和视频数据。一般来说,所有的信息,包括个人的动作和声音、人体生物信息等都可以数据的形式存放,因此可以这样说,在互联网时代,数据的采集过程就是信息的采集过程,数据的保存就是信息的保存,对数据的使用就是对个人信息的使用,数据的披露就是信息的披露。

依据《网络安全法》对网络数据和个人信息的定义,网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

数据采集的合法性问题是保护自然人和企业的数据合法权益的起点。但就法律所保护的利益的重要性和迫切性来看,个人信息的保护更为迫切和重要,当然并不是说企业就没有数据方面的权益,企业的数据利益仅与经济利益相关,企业的数据利益通常表现为商业机密和对数据所享有的商业上的利益。对企业商业机密和数据利益的保护,是维护市场主体权益、保护市场竞争秩序的需要,而对个人信息的保护则直接与个人的人身权利保护相关,个人信息违法行为侵害范围为不特定的个人,人身权利和商业利益而言,当然是前者优先。

采集个人信息为何存在非法和合法的区别?要厘定数据采集的合法与非法边界,需要从保护数据的法律的本质出发进行探究。法律之所以对个人信息和企业信息进行保护,主要是出于保护个人隐私的法益。概括而言,对个人隐私的保护,实质上是个人民事权利保护的一部分。

依据张新宝教授的定义,隐私是指私人生活安宁不受他人非法干预,私人信息保密不受他人非法搜集、刺探和公开。隐私包括私人生活安宁和私人生活秘密两个方面。①

个人隐私由个人信息组成,但个人信息与个人隐私通常不能划等号,判断个人信息是否属于隐私信息,要看这些信息能否指向特定的个人。至于信息是否能指向特定的个人,还需要结合其他环境信息进行判断,比如特定的人群等。在一个较大的范围内,单独的信息或者组合在一起的信息如果不能指向特定的个人,就很难说是个人隐私。但如果在一个较小的范围内,情形可能完全不一样,比如性别、出生日期,通常不会人与某个个体联系在一起,因为同一天出生的同性别的个人很多,但如果这样的信息再与其他信息组合在一起,或者这样的信息指向一个小范围的人群,比如一个班级,或者是演艺人士,就可能被人识别出是某一个体的身份信息。

二、数据采集范围的合规性判断

个人隐私是判断数据采集合法性的第一个标准。哪些个人信息可以不经同意而采集,哪些个人信息必须经本人同意而采集,应遵循隐私判断标准。如果经判断,某项拟采集的信息属于个人隐私信息,就应当经过隐私权人,即用户的同意。

隐私从内容上分为受法律保护的隐私和不受法律保护的隐私之分,个人的非法活动尽管在本人意愿中属于不愿意公开的个人信息,但不属于法律保护的隐私。

目前对个人隐私范围的判断,我国法律上并无具体规定,从国外立法看,即使能够划定个人隐私的类型,也难以使用列举的方式穷尽所有个人隐私的种类。

(一)隐私的判断标准

人的隐私与文化传统、习俗、性别、历史时代、所处的场合、人的知名度等因素有密切的联系。不同地域的人们的隐私观念存在差距,在某一个地区视为可以公开的信息在另一个地区可能属于隐私;隐私观念在性别之间也存在差异,将年龄看作隐私的女性可能多于男性;同时,隐私的范围随时间发展而变化,比如现代女性可能将体重视为隐私。

同一隐私信息在不同的场合,其隐私意义存在差异,比如年龄在家庭成员和亲属间不属于隐私,但以社会公众的角度看则属于隐私。人的面部在现实空间中,通常不属于隐私,但在网络空间里,一般认为属于隐私。同一隐私信息在现实空间和网络空间中的隐私强弱也有差别,自然人姓名的隐私属性在网络空间中比现实空间更为强烈。

同一隐私信息在不同的人之间,是否构成隐私也有差异。在通讯领域,参与交流的双方或者多方都有权利知道对方的通讯信息,比如电子邮件的接收方有权利知道对方的电子邮箱,电话的被叫方有权利知道对方的电话号码,网络及时通讯的接收方有权知道发送方的昵称、图像,网络服务提供者有权知道用户的IP地址。相互交互中,接收信息或者请求的一方有权知道发送方是谁,就好比是有人敲一户人家的门,被敲门的人家有权利知道敲门的人是谁。因此在相互交互的各方之间,电子邮箱、电话号码、昵称、图像、IP地址等信息不构成隐私信息。

特殊人群的隐私权在现代社会普遍受到不同程度的限制,比如政治公众人物和社会名人。

隐私的范围或者说隐私的判断标准,理论界并无一个成熟的看法,从各国普遍的立法实践来看,法律也不可能给隐私划定一个既定的边界,仅可以按照隐私的内容,将某些隐私排除在法律保护之外,比如以违法犯罪和严重违反社会公共道德行为为内容的隐私不应保护②,当然,这也是一个比较模糊的标准。在实践中,可以排除为个人隐私的信息一般包括以下几类:一是按照法律规定必须公开的信息,比如担任企业股东、董事、监事、法定代表人(负责人)的信息,二是本人自愿公开的信息,比如个人自愿向特定人群或者不特定人群公开其联系方式、住址、亲属关系等,三是已经合法公开的信息。

实务工作者必须使用一个标准判定某些信息是否属于个人隐私。从学理上讲,判断隐私有三个标准:主观标准、客观标准以及主客观相结合的标准。所谓主观标准,就是以隐私权人为角度,以隐私权人的主观思维判断是否属于隐私,简单地说,就是假定自己是隐私权人,判断某类信息是否属于隐私。客观标准就是以社会中具有正常理性的人的思维判断是否属于隐私。主客观相结合的标准,就是将主观标准和客观标准结合进行判断是否属于隐私。主观标准的判断结果因判断者的个人认识不同而存在比较大的差异,客观标准的判断结果又可能与主观标准所做的判断相违背。

我国立法没有规定隐私的判断标准,也没有关于判断隐私的原则。美国是隐私权制度的发源地,美国对隐私的判断标准是通过判例确立的,但判断标准仍然是原则性的。在1967年的“卡茨诉美国”(Katz v.United States)案中,美国最高法院第一次提出根据宪法第四修正案,隐私权的判断标准应当是:是否具有实际的、主观的隐私期待和社会是否认为这一期待合理,这一标准很快被扩大适用于判断各种情况下隐私权的存在于否。③这一判例所确定的判断隐私权的标准就是主客观相结合的标准。

《网络安全法》所列举的个人信息属于个人的身份信息,《网络安全法》未采取穷举的方式列举个人信息的种类,其实在法理上也无法穷举,但该法未否认除列举的个人信息之外,还有其他个人信息,且明确了不限于所列举的范围。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号,以下简称《个人信息刑事案件解释》)对个人信息的解释为:“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

个人信息包括身份信息和行为信息,身份信息是指那些单独或者组合起来能够标识一个自然人区别于其他自然人的信息,行为信息是指自然人在各种活动中形成的信息。《个人信息刑事案件解释》就明确规定了个人信息包括个人身份信息和行为信息。

(二)隐私信息的类别

根据法学理论界的通说以及司法实践,属于个人隐私的信息包括但不限于以下各类:

1.身份信息

(1)基本身份信息,包括姓名、联系方式、住址、身份证件号码、出生日期、网络空间中的“昵称”“头像”等。

(2)亲属关系,包括亲属的个人信息。

(3)生理信息。包括生理指标、人体生物信息等。生理指标包括身高、体重等信息。人体生物信息包括面部特征、指纹、虹膜、声波、基因、血型等。

(4)健康信息,包括健康指标(比如血压、心率等)、生理缺陷等。

(5)档案信息,包括一个人的学习和工作履历、受处分的信息等。

2.行为信息:

(1)私生活信息,包括私生活经历、个人日记、宗教信仰、婚姻状况等。

(2)信用信息,包括债务违约记录、征信信息等。

(3)支付信息,包括银行账户、支付账户的交易明细、操作记录等。

(4)财产信息,包括不动产信息、移动通讯设备信息(包括移动设备的型号、操作系统、设备唯一识别码等信息)、车辆信息、金融资产信息(包括银行存款、保险、证券等信息)等。

(5)收入信息,包括工资收入、利息收入、投资收益等。

(6)就业信息,包括失业或者就业的状态、就业单位等信息。

(7)受教育信息,包括学历、就读院校、考试成绩等信息。

(8)医疗信息,包括就诊经历、健康体检经历、治疗效果等信息。

(9)行踪信息,包括旅行、住宿、运动等信息。

(10)社会保险缴纳信息。

(11)通讯信息,包括社交媒体通讯号码及通讯记录、电子邮件地址及通讯记录、移动电话和固定电话号码及通讯记录、各种通讯方式的密码等。

(12)纳税信息。

(13)社会交往信息,包括电话通讯录信息、社交媒体交往信息。

(14)网络活动信息,包括网页浏览记录、网络下载和上传、网络购物、网络注册、登录等信息。

(15)违法犯罪记录。目前这方面存在一些争议,依据《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(法释〔2014〕11号)犯罪记录属于个人隐私。

(16)受侵害记录。

(17)地理位置。

(三)违反个人信息保护的行为与侵犯隐私权的关系

违反个人信息保护规定的行为与侵犯隐私权的行为不能划等号,二者有一定的区别,侵犯隐私权需要将身份信息和行为信息与特定的个体相结合或者根据依据公开的身份信息和行为信息能够判断出特定的个体为标准,仅仅公开个别信息但无法判断属于特定个体的,尚不构成对隐私权的侵犯,但采集个人信息,即便无法与个体联系在一起,仍然属于违反个人信息保护规定的行为。违法采集个人信息,如果只限于系统自动采集、尚未为人所知,一般不构成对隐私权的侵犯,但仍然可能构成违反个人信息保护规定的行为。

违反个人信息保护的行为,应当承担行政责任和刑事责任,而侵犯隐私权的行为承担的是民事侵权责任。追究行为人违反个人信息保护的法律责任,不以侵犯隐私权为前提。

(四)个人信息采集的禁止性规定

法律可能针对某些类型的数据采集机构和所采集的个人信息的性质作出具体的禁止性规定。《征信业管理条例》第十四条规定,禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。但是,征信机构明确告知信息主体提供该信息可能产生的不利后果,并取得其书面同意的除外。在明确禁止采集的个人信息时,即使个人同意采集的,也不能采集,但如果履行特定的告知程序后允许采集的可以采集。

于此相关的另一个问题是,禁止采集的法律依据到底是法律?还是国务院的行政法规?抑或是部委规章?这个问题,可以参考《个人信息刑事案件解释》,这个文件规定,违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。

①张新宝,《隐私权的法律保护》(第二版),群众出版社2004年5月版,第7页。

②廖新仲,《论隐私权的边界》,载《法律适用》2014年第9期。

③曾尔恕、黄宇昕《美国网络隐私权的法律保护》,载《20世纪外国民商法的变革》,法律出版社2004年6月版,第364页。

一机多商户一机多商户https://pos.shawting.club

自选商户自选商户https://pos.shawting.club

- END -

22
0