|
歡迎入匯�����,共創(chuàng)智識
作者:王偉����、朱宣燁等 來源:轉載自@北京植地律師事務所
2018年5月25日生效的歐盟《通用數(shù)據保護條例》(簡稱GDPR)因其泛化的管轄權和高額的行政罰款引起了世界范圍的關注��。對于處于數(shù)字化轉型的中國企業(yè)而言�����,當務之急是如何建立一套行之有效的大數(shù)據合規(guī)制度,就此���,我們從專業(yè)數(shù)據庫上篩選了2015年5月1日至2018年3月1日期間涉及“個人信息”的民事案例(以下簡稱案件����,或統(tǒng)計案件)并進行統(tǒng)計分析�,以期對企業(yè)的數(shù)據合規(guī)有所裨益。
1.涉?zhèn)€人信息的民事案件數(shù)量有限
我們系統(tǒng)研究了146件涉及個人信息的民事案件,其中侵權糾紛案件139件(其中包含1件企業(yè)間的不正當競爭案件[1]和1件企業(yè)間的經營秘密糾紛案件[2])���,合同糾紛案件共計7件��。除2件案件為企業(yè)間糾紛外�����,其余均為個人與企業(yè)之間發(fā)生的糾紛���。
2.涉案主體的特點
1)涉案主體的行業(yè)分布集中于金融行業(yè)和互聯(lián)網行業(yè)
案件主要集中在對個人信息收集量大��、使用比較頻繁的領域�����,其中典型的如金融行業(yè)����、互聯(lián)網行業(yè)等����。
2)涉案主體絕大為數(shù)據控制者,但是案件開始關切數(shù)據處理者的作用 數(shù)據控制者和數(shù)據處理者是個人信息處理關系中涉及的兩個重要主體���,不同司法區(qū)域的法律對于兩者權利義務的邊界規(guī)定并不完全相同���。簡單而言,兩者的核心區(qū)別在于為自己還是為他人目的處理數(shù)據���,為他人處理數(shù)據的一方就是數(shù)據處理者?����,F(xiàn)有案件主體均有數(shù)據控制者�,僅有兩件案件中數(shù)據處理者作為共同被告出現(xiàn)。但是很多案件在被告的抗辯意見中開始提及數(shù)據處理者�,更有案例對于數(shù)據控制者和數(shù)據處理者的民事責任分擔闡述。比如個人訴某網絡平臺�����、某航空公司的案件中���,法院裁判某航空公司作為數(shù)據控制者應當對數(shù)據處理者中航信的行為擔責,同時認定存在信息共享關系的某網絡平臺和某航空公司均需對原告?zhèn)€人信息泄露情況擔責����。
因此,這對于中國企業(yè)的合規(guī)提出了更高的要求����,如何科學、合理的設計合規(guī)制度需要每個企業(yè)根據自己的行業(yè)特點以及業(yè)務情況而具體研判�����。
3.爭議行為
1)爭議行為類型集中
現(xiàn)有案件中“個人信息記錄錯誤”以及“未經同意使用個人信息”“個人信息泄露”三類行為涉案數(shù)量最多。我們也注意到���,涉及個人信息違法收集����、信息共享����、遺忘權的案件也開始出現(xiàn)。 
2)典型爭議行為類型多樣
涉案爭議行為具體類型十分豐富����,涵蓋了個人信息收集、保存����、使用等生命周期的全流程。不少案件對于涉案行為的爭議背后反映是對個人信息收集使用的商業(yè)模式的爭議��,典型的如個人訴某互聯(lián)網公司收集cookie[3]侵犯隱私權的案件����。就此,我們簡單梳理了典型案件的爭議行為類型以及爭議行為表現(xiàn),以期對正在進行數(shù)字化轉型的企業(yè)有所啟發(fā)���。
序號 | 爭議行為所在環(huán)節(jié) | 爭議行為類型 | 具體的爭議行為表現(xiàn)(典型案例) | 1 | 收集 | 是否是合法收集個人信息 | 1. 搜索引擎網站利用cookie技術記錄和跟蹤了搜索過的關鍵詞進行廣告投放的行為�����。[4] 2. 未經同意�����,擅自使用應用軟件篩選��、調查數(shù)據主體的個人信息的行為。[5] | 2 | 保存 | 個人信息遭遇泄露 | 1. 機票信息�����、酒店信息泄露等等�。[6] 2. 網站系統(tǒng)漏洞導致原告信息泄漏。[7] | 遺忘權 | 搜索“相關搜索”顯示出的原告曾經的職業(yè)經歷對原告不利����。[8] | 3 | 使用 | 盜用身份信息開立賬戶 | 銀行及其工作人員利用數(shù)據主體的身份開立賬戶的行為。[9] | 征信信息錯誤 | 數(shù)據主體與銀行之間沒有借款合同關系��,但在征信中心卻存有數(shù)據主體該筆借款的信用不良記錄�����。[10] | 未經同意發(fā)送信息,侵犯生活安寧 | 電商服務平臺利用用戶在購物時留存的手機信息�,給用戶手機發(fā)送商業(yè)短信。[11] | 因銀行錄入電話號碼錯誤����,向與借款無關的原告發(fā)送催促還款短信。[12] | 銀行通過格式條款約定可以向用戶發(fā)送與信用卡相關信息并實際發(fā)送���。[13] | 快遞經營者向快遞服務過程中收集到的手機號碼發(fā)送自身電商業(yè)務信息�����。[14] | 4 | 委托處理���,共享,轉讓��、公開披露 | 違法查詢�,違法披露個人信息 | 違規(guī)或未經同意查詢數(shù)據主體的個人信息,并且披露給第三方��。[15] | 征信信息雖屬真實,但是違反依法披露的規(guī)定 | 在中國人民銀行征信中心公開原告具有不良信用記錄����。[16] |
4.適用案由多元
由于我國尚沒有獨立的侵犯個人信息的民事案件案由,所以涉及個人信息的民事糾紛多取道姓名權�����、隱私權�、名譽權和人格權等其他案由進行訴訟。姓名權糾紛占比高是由于有一個系列案件[17]�,有其偶然性。隱私權糾紛仍然是目前與個人信息保護最為密切的案由����。《民法總則》頒布之后��,人格權糾紛作為兜底的案由��,解決了案由的制定晚于個人信息保護需求的實際情況�,也反映出個人信息獨立于隱私權等既有權利的特殊性�。
5.責任認定情況
1)舉證責任多由原告方承擔
案件顯示,事實認定過程中遇到的最大的問題仍是證明的問題�����。尤其是信息主體,處于信息不對稱的弱勢地位����,舉證能力較弱。但目前我國法律沒有就涉及個人信息的案件規(guī)定專門的舉證責任倒置制度����,案件事實仍由原告方承擔舉證責任。上述案件中����,僅有3件案件中法庭判令由被告承擔舉證責任。其余143件為原告承擔舉證責任��。
2)認定責任事實的比例分析
統(tǒng)計案件中��,侵權類案件139件�,被認定存在侵權事實的案件數(shù)為94件。
3)信息共享者共同擔責�,數(shù)據控制者對數(shù)據處理者的行為擔責或成為趨勢
隨著各方對個人信息案件特點認識的深入,司法領域的態(tài)度發(fā)生轉變�����,比如個人訴某網絡平臺、某航空公司的案件中����,法院裁判某航空公司作為數(shù)據控制者應當對數(shù)據處理者中航信的行為擔責,同時認定存在信息共享關系的某網絡平臺和某航空公司均需對原告?zhèn)€人信息泄露情況擔責��。該案件的判決得到了北京市法院系統(tǒng)的認可和支持�。 我們注意到很多案件的裁判結論直接關系到商業(yè)模式的運行���。根據對于相關判例的研究我們總結了如下幾點作為合規(guī)提示��。
1.重視安全合規(guī)
從樣本案例可知�,涉及信息安全問題案件比例達到了樣本統(tǒng)計案件數(shù)的三分之一�。
企業(yè)遇到的數(shù)據安全問題主要有以下三種情況:
1)由于軟硬件設施故障或操作失誤造成的數(shù)據丟失或者泄露,比如最近的某公司云故障造成創(chuàng)業(yè)公司巨大損失的事件[18]���; 2)黑客襲擊�����、病毒入侵導致數(shù)據丟失或泄露,比如去年個人勒索病毒肆虐事件[19]�; 3)內部工作人員惡意泄露或者破壞數(shù)據�����,比如今年6月發(fā)生的某公司員工開發(fā)惡意軟件進入公司內部生產操作系統(tǒng)�,偷取大量數(shù)據給第三方[20]��。
為應對安全問題����,企業(yè)應當按照《網絡安全法》等法律規(guī)范和標準的要求進行安全合規(guī),主要措施有:
1)依據國家標準和安全等級制定企業(yè)自身的處理數(shù)據操作規(guī)范�����、數(shù)據保存規(guī)定�; 2)對于個人敏感信息,嚴格控制可接觸該信息的人群和流程����,對企業(yè)內部工作人員管理權限進行分級; 3)確立定期數(shù)據安全審計和數(shù)據安全風險培訓的制度���; 4)確立數(shù)據安全日常監(jiān)控制度和應急處理制度�����,進行符合自身業(yè)務類型的數(shù)據安全異常點檢測��,并在出現(xiàn)疑似數(shù)據安全問題時及時保留相關證據���。
2.界定好與外包服務提供者���、數(shù)據共享者權責范圍
正如統(tǒng)計案件體現(xiàn)的,外包服務提供者和數(shù)據共享者在提高企業(yè)商業(yè)化使用個人信息效率的同時���,也增加了企業(yè)自身因個人信息受到侵害而擔責的風險�����。
為此�,企業(yè)應當注意:
1)進行數(shù)據共享和尋求外包服務時�����,注重相對方的數(shù)據合規(guī)情況和資質���; 2)通過合同準確界定各自在參與個人信息處理活動中的作用和主體性質�����,明確各方具體權責義務����; 3)以及約定對第三方造成損害時的責任承擔��,內部追償?shù)姆秶取?/span>
3.關注隱私協(xié)議的格式合同性質
《合同法》的規(guī)定����,提供格式條款的一方應當遵循公平原則確定當事人之間的權利和義務,并采取合理的方式提請對方注意免除或者限制其責任的條款�,按照對方的要求,對該條款予以說明�。提供格式條款一方免除其責任、加重對方責任�、排除對方主要權利的條款也會被認定無效。隱私協(xié)議屬于格式合同��,所以隱私協(xié)議的條款內容和展現(xiàn)形式可能因其格式條款的性質而被質疑�。
個人訴某互聯(lián)網公司案的一審判決即認為某互聯(lián)網公司細小字體的《使用某搜索引擎前必讀》無法保障用戶知情權與選擇權。雖然該案的二審判決改變了這種看法����,但是隨著我國個人信息保護規(guī)則的逐步明晰,《信息安全技術個人信息安全規(guī)范》等配套標準的逐步出臺���,對于隱私協(xié)議的要求必然日趨嚴格���,所以應引起企業(yè)的重視�����。而比較有效的方案是參照國家發(fā)布的諸如《信息安全技術 個人信息安全規(guī)范》等規(guī)范標準結合自身行業(yè)特點進行制作����,對于重要條款和內容利用加粗或加下劃線等方式進行提示���,對可能限制數(shù)據主體權益的條款仔細斟酌�。
[1]北京知識產權法院(2016)京73民終588號民事判決書 [2]參見廣西壯族自治區(qū)桂林市疊彩區(qū)人民法院(2015)疊民初字第605號民事判決書 [3]Cookie技術可以被網站應用于跟蹤統(tǒng)計用戶訪問該網站的習慣����,例如訪問網站的用戶名和計算機名、使用的瀏覽器�、訪問時間、訪問的具體頁面����、瀏覽停留的時間 [4]江蘇省南京市中級人民法院(2014)寧民終字第5028號民事判決書 [5]廣東省深圳市福田區(qū)人民法院(2016)粵0304民初24741號民事判決書 [6]江蘇省東臺市人民法院(2015)東民初字第1887號民事判決書 [7]海南省三亞市中級人民法院(2016)瓊02民終375號民事判決書 [8]北京市海淀區(qū)人民法院(2015)海民初字第17417號民事判決書 [9]北京市海淀區(qū)人民法院(2016)京0108民初8187號民事判決書 [10]山西省大同縣人民法院(2016)晉0227民初63號民事判決書 [11]上海市浦東新區(qū)人民法院 (2016)滬0115民初2998號民事判決書 [12]廣西壯族自治區(qū)欽州市中級人民法院 (2015)欽北民初字第1883號判決書 [13]上海市第一中級人民法院(2015)滬一中民六(商)終字第107號民事判決書 [14]四川省樂山市市中區(qū)人民法院(2015)樂中民初字第3090號民事判決書 [15]廣東省深圳市福田區(qū)人民法院(2015)深福法民一初字第4278號民事判決書 [16]江西省安遠縣人民法院(2015)安民一初字第177號民事判決書 [17]某幾家金融機構違法違規(guī)操作造成的同類案件 [18]http://tech.hexun.com/2018-08-10/193739278.html,最后訪問時間:2018年8月10日 [19]http://www./bk/12761.html,最后訪問時間:2018年8月10日 [20]http://www./post/436.html��,最后訪問時間:2018年8月10日
|
