一 事件背景
央視新聞2020年7月21日報道,“經查實,滴滴全球股份有限公司違反《網路安全法》《資料安全法》《個人資訊保護法》的違法違規行為事實清楚、證據確鑿、情節嚴重、性質惡劣”,“國家網際網路資訊辦公室依據《網路安全法》《資料安全法》《個人資訊保護法》《行政處罰法》等法律法規,對滴滴全球股份有限公司處人民幣80.26億元罰款,對滴滴全球股份有限公司董事長兼CEO程維、Quattroporte柳青各處人民幣100萬元罰款。”
(圖片引自網路)
同時,網站列舉了滴滴公司的違法違規行為,包括如下8個方面16項:
二 法律分析
從前述內容可見,滴滴公司透過其各類軟體,收集了數量巨大的使用者資訊,而且不僅僅涉及直接收集到的使用者個人資訊,還延伸到使用者手機中保留的資訊以及對使用者的習慣進行分析和推測。如果說滴滴公司透過車內監控、軟體實名驗證等方式收集到使用者的人臉、電話、身份、位置等資訊或許具有正當的原因和依據,在未明確告知使用者的情況下分析使用者資訊甚至收集截圖資訊、剪下板和應用列表等與其產品使用完全無關的資訊,就明顯超出合理使用的必要了,收集資訊的手段恐怕也不符合法律的要求。此次處罰,監管部門的措辭非常嚴厲,從“情節嚴重,性質惡劣”的評價可以看出,滴滴公司的違法程度非常嚴重,社會危害巨大,不容輕視。
1、什麼是個人資訊
《民法典》第一千零三十四條規定:“個人資訊是以電子或者其他方式記錄的能夠單獨或者與其他資訊結合識別特定自然人的各種資訊,包括自然人的姓名、出生日期、身份證件號碼、生物識別資訊、住址、電話號碼、電子郵箱、健康資訊、行蹤資訊等。”
《個人資訊保護法》第四條規定:“個人資訊是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種資訊,不包括匿名化處理後的資訊。”
《網路安全法》第七十六條第(五)項規定:“個人資訊,是指以電子或者其他方式記錄的能夠單獨或者與其他資訊結合識別自然人個人身份的各種資訊,包括但不限於自然人的姓名、出生日期、身份證件號碼、個人生物識別資訊、住址、電話號碼等。”
從法律規定關於“個人資訊”的定義可以得知,個人資訊主要是指能夠識別特定自然人的各種資訊(身份證號、生物識別資訊、姓名等),也就是說,個人資訊具有“可識別性”,而不包括匿名化處理後不再能夠識別特定自然人的資訊。
2、為什麼要保護個人資訊
中國的個人資訊保護形勢十分嚴峻,主要原因包括:技術的發展使個人資訊和傳播更加便捷和迅速,且難以追蹤源頭;企業追逐經濟利益,過度收集和處理個人資訊,設定格式條款擴大資訊授權範圍,甚至出售資訊;群眾的個人資訊保護意識不強,例如:隨意掃碼填寫個人資訊、快遞單據隨手亂扔等等,導致資訊洩露;收集資訊的方式日趨隱蔽,例如透過智慧家居等方式收集,很多使用者不具有警惕性;收集的資訊愈發敏感,從身份證號、住址、手機號到人臉、親屬等;資訊收集後的保管難度較大,有些資訊收集主體怠於採取完善的保護措施,導致洩露;資訊處理的過程不透明……等等,在新冠疫情的影響下,各地在疫情防控中,更加廣泛地收集個人資訊,並且利用個人資訊對人群進行管控,資訊保護的重要性愈發重要且迫切。
個人資訊洩露可能導致嚴重後果,例如:遭受電信詐騙、惡意推銷、賬戶被盜,甚至影響人身自由,前段時間引起熱議的“賦紅碼”、“賦黃碼”事件,以及此前登上熱搜的某品牌汽車自動收集車內資料並上傳到國外伺服器等事件,導致個人資訊保護話題被社會密切關注。此外,個人資訊保護不僅對個人有重要意義,對國家安全也有重要影響,例如某些特定身份人員的資訊、習慣、交談,可能涉及國家秘密和重要資訊,若洩露可能引發重大不良影響。因此,在《民法典》和《個人資訊保護法》等規定對個人資訊保護大力推進的背景下,採取有效的措施加強個人資訊保護,落實有關規定的要求迫在眉睫。
3、中國個人資訊保護的現狀如何
隨著《民法典》、《個人資訊保護法》等一系列相關規定的出臺,中國已經建立了並且正在推進建設多層次、多元化的個人資訊保護法律體系:
中國關於個人資訊保護從高位階的法律到低位階的規範性檔案、國家標準,設定了多層次的法律規範體系,從宏觀到微觀,全方位對個人資訊保護作出了部署,侵犯個人資訊不僅涉及民事責任,還可能涉及行政責任,嚴重的可能構成犯罪,需要承擔刑事責任。由此可見,中國對於個人資訊保護的力度在逐步加強。
雖然國家已經加大了個人資訊的保護力度,但個人資訊是否真正得到了保護呢?目前看來,仍有許多需要努力的空間。滴滴公司的案件並非孤例,還有很多企業也在做著類似的事情,或許是因為滴滴公司收集的資料體量巨大且極其重要敏感(使用者資訊和道路資料,甚至涉及軍事機密),又赴境外上市(2021年6月,滴滴公司在被八大部門約談要求整改後,仍向美國證監會遞交了上市招股書並完成上市,有傳言稱上市洩露了前述資料),還發生過其他可能危害國家資料安全的情況,成為了必須快速處理的典型物件。滴滴公司以外的其他公司也難免存在個人資訊處理不合法不合規的情況,由於資訊取得便捷、成本低以及資訊取得後的巨大經濟效益,加之資訊保護措施的不夠完善,導致資訊過度違法收集和洩露仍比比皆是。從我們的日常生活中經常接聽到可以準確說出我們個人資訊的詐騙或推銷電話就能看出,資訊保護的道路並不平坦,還有很多問題和困難需要逐步解決。
三 結語
從滴滴公司的處罰結果看,國家已經下定決心對網路安全、資料安全、個人資訊保安進行大力保護,並嚴厲處罰違法違規的主體,80億元的罰款金額,即便是對於滴滴這種規模的公司也並非小數,是否可以給其他具有相似行為或者類似計劃的企業敲響警鐘?無視國家和社會公共利益,盲目逐利的行為,終將接受法律的制裁。
從我們個人的角度看,要充分認識到個人資訊的重要性,在個人資訊被收集時提高敏感性和警惕性,關注個人資訊的收集是否必要、合理且經過自己的同意,不要隨意丟棄和放置包含個人資訊的物品。如果發現自己的個人資訊被侵害,要學會運用法律武器保護自己的權利。當個人資訊保護的概念和方式深入人心時,當違法的成本高於收益時,相信違法違規收集和處理資訊的主體必然會有所收斂,對於個人資訊保護以及網路安全、資料安全甚至國家安全都會起到良好的作用。
一 事件背景
央視新聞2020年7月21日報道,“經查實,滴滴全球股份有限公司違反《網路安全法》《資料安全法》《個人資訊保護法》的違法違規行為事實清楚、證據確鑿、情節嚴重、性質惡劣”,“國家網際網路資訊辦公室依據《網路安全法》《資料安全法》《個人資訊保護法》《行政處罰法》等法律法規,對滴滴全球股份有限公司處人民幣80.26億元罰款,對滴滴全球股份有限公司董事長兼CEO程維、Quattroporte柳青各處人民幣100萬元罰款。”
(圖片引自網路)
同時,網站列舉了滴滴公司的違法違規行為,包括如下8個方面16項:
二 法律分析
從前述內容可見,滴滴公司透過其各類軟體,收集了數量巨大的使用者資訊,而且不僅僅涉及直接收集到的使用者個人資訊,還延伸到使用者手機中保留的資訊以及對使用者的習慣進行分析和推測。如果說滴滴公司透過車內監控、軟體實名驗證等方式收集到使用者的人臉、電話、身份、位置等資訊或許具有正當的原因和依據,在未明確告知使用者的情況下分析使用者資訊甚至收集截圖資訊、剪下板和應用列表等與其產品使用完全無關的資訊,就明顯超出合理使用的必要了,收集資訊的手段恐怕也不符合法律的要求。此次處罰,監管部門的措辭非常嚴厲,從“情節嚴重,性質惡劣”的評價可以看出,滴滴公司的違法程度非常嚴重,社會危害巨大,不容輕視。
1、什麼是個人資訊
《民法典》第一千零三十四條規定:“個人資訊是以電子或者其他方式記錄的能夠單獨或者與其他資訊結合識別特定自然人的各種資訊,包括自然人的姓名、出生日期、身份證件號碼、生物識別資訊、住址、電話號碼、電子郵箱、健康資訊、行蹤資訊等。”
《個人資訊保護法》第四條規定:“個人資訊是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種資訊,不包括匿名化處理後的資訊。”
《網路安全法》第七十六條第(五)項規定:“個人資訊,是指以電子或者其他方式記錄的能夠單獨或者與其他資訊結合識別自然人個人身份的各種資訊,包括但不限於自然人的姓名、出生日期、身份證件號碼、個人生物識別資訊、住址、電話號碼等。”
從法律規定關於“個人資訊”的定義可以得知,個人資訊主要是指能夠識別特定自然人的各種資訊(身份證號、生物識別資訊、姓名等),也就是說,個人資訊具有“可識別性”,而不包括匿名化處理後不再能夠識別特定自然人的資訊。
2、為什麼要保護個人資訊
中國的個人資訊保護形勢十分嚴峻,主要原因包括:技術的發展使個人資訊和傳播更加便捷和迅速,且難以追蹤源頭;企業追逐經濟利益,過度收集和處理個人資訊,設定格式條款擴大資訊授權範圍,甚至出售資訊;群眾的個人資訊保護意識不強,例如:隨意掃碼填寫個人資訊、快遞單據隨手亂扔等等,導致資訊洩露;收集資訊的方式日趨隱蔽,例如透過智慧家居等方式收集,很多使用者不具有警惕性;收集的資訊愈發敏感,從身份證號、住址、手機號到人臉、親屬等;資訊收集後的保管難度較大,有些資訊收集主體怠於採取完善的保護措施,導致洩露;資訊處理的過程不透明……等等,在新冠疫情的影響下,各地在疫情防控中,更加廣泛地收集個人資訊,並且利用個人資訊對人群進行管控,資訊保護的重要性愈發重要且迫切。
個人資訊洩露可能導致嚴重後果,例如:遭受電信詐騙、惡意推銷、賬戶被盜,甚至影響人身自由,前段時間引起熱議的“賦紅碼”、“賦黃碼”事件,以及此前登上熱搜的某品牌汽車自動收集車內資料並上傳到國外伺服器等事件,導致個人資訊保護話題被社會密切關注。此外,個人資訊保護不僅對個人有重要意義,對國家安全也有重要影響,例如某些特定身份人員的資訊、習慣、交談,可能涉及國家秘密和重要資訊,若洩露可能引發重大不良影響。因此,在《民法典》和《個人資訊保護法》等規定對個人資訊保護大力推進的背景下,採取有效的措施加強個人資訊保護,落實有關規定的要求迫在眉睫。
3、中國個人資訊保護的現狀如何
隨著《民法典》、《個人資訊保護法》等一系列相關規定的出臺,中國已經建立了並且正在推進建設多層次、多元化的個人資訊保護法律體系:
中國關於個人資訊保護從高位階的法律到低位階的規範性檔案、國家標準,設定了多層次的法律規範體系,從宏觀到微觀,全方位對個人資訊保護作出了部署,侵犯個人資訊不僅涉及民事責任,還可能涉及行政責任,嚴重的可能構成犯罪,需要承擔刑事責任。由此可見,中國對於個人資訊保護的力度在逐步加強。
雖然國家已經加大了個人資訊的保護力度,但個人資訊是否真正得到了保護呢?目前看來,仍有許多需要努力的空間。滴滴公司的案件並非孤例,還有很多企業也在做著類似的事情,或許是因為滴滴公司收集的資料體量巨大且極其重要敏感(使用者資訊和道路資料,甚至涉及軍事機密),又赴境外上市(2021年6月,滴滴公司在被八大部門約談要求整改後,仍向美國證監會遞交了上市招股書並完成上市,有傳言稱上市洩露了前述資料),還發生過其他可能危害國家資料安全的情況,成為了必須快速處理的典型物件。滴滴公司以外的其他公司也難免存在個人資訊處理不合法不合規的情況,由於資訊取得便捷、成本低以及資訊取得後的巨大經濟效益,加之資訊保護措施的不夠完善,導致資訊過度違法收集和洩露仍比比皆是。從我們的日常生活中經常接聽到可以準確說出我們個人資訊的詐騙或推銷電話就能看出,資訊保護的道路並不平坦,還有很多問題和困難需要逐步解決。
三 結語
從滴滴公司的處罰結果看,國家已經下定決心對網路安全、資料安全、個人資訊保安進行大力保護,並嚴厲處罰違法違規的主體,80億元的罰款金額,即便是對於滴滴這種規模的公司也並非小數,是否可以給其他具有相似行為或者類似計劃的企業敲響警鐘?無視國家和社會公共利益,盲目逐利的行為,終將接受法律的制裁。
從我們個人的角度看,要充分認識到個人資訊的重要性,在個人資訊被收集時提高敏感性和警惕性,關注個人資訊的收集是否必要、合理且經過自己的同意,不要隨意丟棄和放置包含個人資訊的物品。如果發現自己的個人資訊被侵害,要學會運用法律武器保護自己的權利。當個人資訊保護的概念和方式深入人心時,當違法的成本高於收益時,相信違法違規收集和處理資訊的主體必然會有所收斂,對於個人資訊保護以及網路安全、資料安全甚至國家安全都會起到良好的作用。