在大数据时代,为拓展市场,迎合消费者喜好,实现对消费者的服务,企业的市场活动离不开对消费者个人信息的收集和使用。
与此同时,监管部门也越来越重视对消费者个人信息的保护,这对企业在个人信息保护方面的合规性提出了更高的要求。
个人信息包括了隐私,个人信息中的私密信息,适用有关隐私权的规定,个人信息中的非私密信息,如姓名、出生日期、住址、电话号码、电子邮箱等,适用有关个人信息保护的规定。
热点案例
CASES
1、非法收集个人信息
央视315晚会曝光监控自动抓取人脸数据,万店掌等机构被点名
根据央视报道,万店掌推出的具有“人脸识别”功能的摄像头,在科勒卫浴等多个店铺门店安装后,未经用户许可抓取人脸数据,对用户的性别、年龄甚至心情等进行分析。
根据相关法律法规的要求,商家须提前告知消费者拟收集、使用信息的目的、方式和范围,并经过权利人同意,方可收集个人信息。日常经营活动中,很多企业、商家及门店往往容易忽视告知环节,未经消费者同意,就开始大量收集个人信息,或者虽有让消费者确认个人信息收集、隐私政策的环节,但实际上设置了默认、强制同意,告知不完整,以致最终的信息收集行为仍然涉嫌违法违规。
2、泄露个人信息
去哪儿网泄露用户航班信息
用户庞某在去哪儿网购买了机票后,收到的诈骗短信显示了所买航班的起飞时间、降落时间、机场名称、航班号等,他认为这些信息是由去哪儿网泄露,遂提起诉讼;北京市第一中级人民法院认定去哪儿网构成侵权,需向庞某赔礼道歉。
3、出售公民个人信息
郭某某侵犯公民个人信息案——将在提供服务过程中获得的公民个人信息出售、提供给他人的,构成侵犯公民个人信息罪
被告人郭某某利用其原在某信息技术服务公司工作的便利和通过QQ群交换等途径,非法获取楼盘业主、公司企业法定代表人及股民等的姓名、电话、住址及工作单位等各类公民个人信息共计185203条,上传存储于“腾讯微云”个人账户内。后通过QQ群发布信息,将上述非法获取的公民个人信息出售给他人,从中非法获利人民币4000元。法院以侵犯公民个人信息罪判处被告人郭某某有期徒刑七个月,并处罚金2000元。
实践中,大量企业违规收集个人信息,甚至收集与其提供商品或服务无关的个人信息,这些行为都是被禁止的。
即便是经过同意,合法收集的信息,也不得超出约定使用,如果未经用户同意,也不得通过合法获取的用户信息向用户发送其他商业广告或者于其他商业目的中使用,否则就可能会构成侵权。
企业除了不能主动泄露或提供以外,还应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失。
因此,企业应当将收集、存储的个人信息当做自己企业的商业秘密一样保护。一旦发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。
为了避免违反法律规定和侵犯消费者合法权益,应遵守合法、正当、必要的原则,在最小范围之限内收集用户个人信息,采取对个人权益影响最小的方式使用用户个人信息。
建议企业对现有经营活动主动进行合规审查,设立专员或可委托专业人员对日常经营过程中的此类风险做好预防和控制,并及时关注个人信息保护方面的最新政策和合规指引,以避免不必要的民事、行政甚至刑事风险。
法条指引
一、关于个人信息收集有关规定
1、《中华人民共和国消费者权益保护法(2013修正)》
第二十九条第一款规定,经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。
2、《中华人民共和国个人信息保护法》
第十七条规定,个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
(一)个人信息处理者的名称或者姓名和联系方式;
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(三)个人行使本法规定权利的方式和程序;
(四)法律、行政法规规定应当告知的其他事项。前款规定事项发生变更的,应当将变更部分告知个人。
个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。
3、《中华人民共和国网络安全法》
第四十一条第一款规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
二、关于个人信息使用有关规定
1、《中华人民共和国民法典》
第一千零三十五条 处理个人信息的,应当遵循合法、正当、必要原则,
不得过度处理......个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
第一千零三十八条 信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。
第一千零三十六条 处理个人信息,有下列情形之一的,行为人不承担民事责任:
(一)在该自然人或者其监护人同意的范围内合理实施的行为;
(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;
(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。
2、《中华人民共和国个人信息保护法》
第五十一条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
(一)制定内部管理制度和操作规程;
(二)对个人信息实行分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(五)制定并组织实施个人信息安全事件应急预案;
(六)法律、行政法规规定的其他措施。
三、侵犯个人信息的法律责任
1、刑事责任
《刑法》第二百五十三条 之一 【侵犯公民个人信息罪】违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金; 情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
2、民事责任
侵犯个人信息的,应当承担停止侵害、排除妨碍、消除危险、消除影响、
恢复名誉、赔礼道歉、赔偿损失等民事责任。
3、行政处罚
《中华人民共和国个人信息保护法》第五十一条:违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。