作者 | 凌斌(北京大学法学院教授、博士生导师)
法律旨在“定分止争”。而2019个人信息数据法律保护的局面恰是“名分未定”而“天下纷争”。其中的道理,正如商鞅在《商君书》的《定分》篇中说的:“一兔走,百人逐之,非以兔为可分以为百,由名之未定也。夫卖兔者满市,而盗不敢取,由名分已定也。故名分未定,尧、舜、禹、汤且皆如骛而逐之。”又如司马迁《史记·淮阴侯列传》所写:“秦失其鹿,天下共逐之,於是高材疾足者先得焉。”
不论个人信息数据是“兔”是“鹿”,是“百人逐之”还是“天下共逐之”,是“趋之若鹜”还是“捷足先登”,相关产业正值大势已成而天下未定之际,不由得“引无数英雄竞折腰”!
2019年个人信息数据保护的法律实践埋下了许多种子,要在2020年才会开花结果。正像大家即将看到的,入选的许多案件都尚未审结,让人看到了前头却猜不出结局。同样有一系列重大立法发布草案或者纳入日程,但究竟规则如何制定还有很多未知之数。然而,既然历史的意义从来都是未来所赋予,那么这些种子反而比花果更为重要。
我们选取作为2019年度标志的这些事件和案例,未必是传播最广影响最大的,却希望是最有生机而最能长久的。
立法:
全国人大法工委宣布明年将制定《个人信息保护法》和《数据安全法》,美国《加州消费者隐私法案》推动各州和联邦个人信息数据立法
这些2020年以后制定的立法,都酝酿于2019年。2019年12月20日全国人大常委会法工委举行第三次记者会,明确2020年的立法工作计划已经全国人大常委会第四十四次委员长会议原则通过,备受关注的《个人信息保护法》和《数据安全法》将于今年制定。
此外,还有国家互联网信息办公室发布的《网络信息内容生态治理规定》以及《数据安全管理办法》和《个人信息出境安全评估办法》两部征求意见稿。此外,未成年人个人信息保护也已提上立法日程。2019年10月21日第十三届全国人大常委会第十四次会议对未成年人保护法修订草案、预防未成年人犯罪法修订草案进行了初次审议,增设“网络保护专章”,对包括未成年人个人网络信息保护在内的众多问题作出全面规范。在此之前,国家互联网信息办公室于2019年8月22日发布《儿童个人信息网络保护规定》,10月1日正式实施。这还没有算上即将付诸审议表决的统一民法典人格权编。
同时,国外的个人信息、隐私和数据立法也在突飞猛进。2019年10月10日,《加州消费者隐私法案》(CCPA)于2020年1月1日正式实施前,发布了实施条例草案。伊利诺伊州、纽约州和华盛顿州都在酝酿各自的个人信息保护法。层出不穷的地方立法也推动了联邦层面的统一立法。11月26日,多名民主党参议员联合提出了《消费者线上隐私权法》(COPRA)。(许可:2019年世界数据治理十大事件回顾)欧美个人信息数据保护的话语主导和长臂管辖已然对我国的法律实践产生重大影响。今后法律人口中的咒语,除了“GDPR”,恐怕还要加上“CCPA”和“COPRA”。
标准:
全国信息安全标准委员会发布《信息安全技术 个人信息安全规范(征求意见稿)》,三项国家标准发布促进数据交易规范化
《信息安全技术 个人信息安全规范》(GB/T35273—2017)实施不到一年,2019年6月25日全国信息安全标准化技术委员会发布《关于国家标准<信息安全技术 个人信息安全规范>征求意见稿征求意见的通知》,以期有效落实《网络安全法》有关个人信息收集、使用的“合法、正当、必要”原则,具体指引个性化推送、第三方接入管理等常见业务实践,就App收集使用个人信息提供针对性行为指引。
8月30日,国家市场监督管理总局、中国国家标准化管理委员会联合发布《信息技术数据交易服务平台通用功能要求》《信息安全技术数据交易服务安全要求》两项国家标准,将在2020年3月1日正式实施。加上之前2019年1月1日正式实施的《信息技数据交易服务平台交易数据描述》,我国数据交易国家标准达到三项。
这些国家标准的制定和完善,有助于数据交易产业的规范化发展。
执法:
多部门开展规范个人信息保护专项治理行动,《App违法违规收集使用个人信息行为认定方法》正式公布
一系列专项执法行动,给2019年个人信息数据保护打上了鲜明的执法烙印。公安部“净网2019”、市场监管总局“守护消费”暨打击侵害消费者个人信息违法行为、工信部网安局“电信和互联网行业提升网络数据安全保护能力”、工信部信管局“信息通信领域APP侵害用户权益”等专项执法行动,力度之大前所未有。
2019年全年中央网信办、工信部、公安部、市场监管总局四部门联合在全国范围组织开展APP违法违规收集使用个人信息专项治理。12月30日《App违法违规收集使用个人信息行为认定方法》正式公布,将共31种违法违规收集使用个人信息行为分为未公开收集使用规则、未明示收集使用个人信息的目的方式和范围、未经用户同意收集使用个人信息、违反必要原则收集与其提供的服务无关的个人信息、未经同意向他人提供个人信息、未按法律规定提供删除或更正个人信息功能或未公布投诉举报方式等六大类。
移动互联网时代,应用(APP)是个人信息生成、收集、获取、迁移的重要载体。所有立法和标准最终都要归结为对具体应用的执法力度。2019年的专项行动和年底《认定方法》的出台,使得个人信息保护在执法层面得以真切落实,也使得后面将要进一步讨论的合规和惩罚问题变得格外突出。需要小心的是,执法应该是为信息科技产业开道、护航,而不能反而把航道给关死了。
惩治:
全国公安机关“净网2019”专项行动工作,对侵犯个人信息数据的违法犯罪行为加大刑事手段打击力度
2019年个人信息数据保护的一个鲜明特征是刑事手段的显著增加。
一如前述,2019年1月公安部部署组织全国公安机关开展“净网2019”专项行动,对侵犯公民个人信息、黑客攻击破坏等网络违法犯罪活动给予了严厉打击。按照11月14日公安部通报全国公安机关“净网2019”专项行动工作情况及典型案例时的统计数字,截至10月31日,共侦破涉网案件45743起,抓获犯罪嫌疑人65832名。其中,侦破侵犯公民个人信息类案件2868起,抓获犯罪嫌疑人7647名;侦破黑客类案件1361起,抓获犯罪嫌疑人2133名。
特别是2019年9月份以来,刑事力量已经开始介入大数据行业。魔蝎数据、新颜科技、存信数据、天翼征信、聚信立、公信宝、同盾科技子公司、51信用卡等诸多公司相继被查,企业高管乃至技术人员被警察带走。
如同需要警惕合规成本过高,刑事惩治力度加大引发的业内争议在于,就罪刑法定和刑法谦抑原则而言,是否当下的个人信息数据产业已经乱象丛生,到了非刑事手段不足以震慑的的地步,以及法律可否提供行政和民事手段予以替代,似乎也还有可以推敲之处。归根结底,打击个人信息数据违法犯罪的目的,在于维护和催生一个更加公平有序的信息科技产业的持续发展。
合规:
墨迹科技IPO因数据合规等原因被证监会否决, “史上最大规模数据泄露案”瑞智华胜窃取30亿条个人信息被提起公诉
随着执法力度加大,数据合规如今已经成为一项重要的法律要求和一门急需的法律业务。2019年10月11日墨迹科技IPO上会被否,证监会发审委明确提出数据合规问题。本案中证监会要求墨迹天气说明“获取用户数据及标签的过程及方法,是否对用户有明示提示,用户授权在法律上是否完备,是否明确告知收集信息的范围及使用用途”,以及说明对数据安全和个人隐私的保护措施与手段。
2019年8月5日《21世纪经济报道》刊文,被称为“史上最大规模数据泄露案”的犯罪嫌疑人、瑞智华胜7名高管,已被浙江省绍兴市越城区检察院提起公诉。作为一家曾在新三板上市的企业,瑞智华胜违规非法窃取海量用户信息,用于互联网营销牟利变现。腾讯、百度、京东、今日头条、新浪微博、携程、12306等96个互联网公司的产品数据均有涉及。
此外,个人信息数据违规收集的另一面就是违规泄露。不仅窃取的一方可能会承担民事乃至刑事责任,泄露的一方也会遭受严厉处罚。英国和美国的执法部门给出了范例。2019年7月,英国信息专员办公室(ICO)先后就英国航空和万豪国际违反GDPR导致信息泄露开出1.83亿英镑和9920万英镑的巨额罚单。而Facebook也因8700万人数据泄露被美国联邦贸易委员(FTC)重罚50亿美元的天文数字。这意味着,个人信息数据泄露不仅可以惩罚窃取者,也可以对相关组织机构违规泄露数据追究责任,从源头上加以控制。
但是合规也无疑加重了企业的经营和融资成本。GDPR已然沉重打击了欧洲的数据产业,这一幕是否会在中国重演,是我们格外需要警惕的问题。合规的目的是为了企业的健康发展。但是如果合规压垮了企业,那就变成了本末倒置。这个度怎么把握,是2019年数据合规给我们提出的问题。
司法:
智慧司法助力个人信息数据保护,北京互联网法院建成“天枰链”、广州互联网法院“网通法链”正式上线、杭州互联网法院发布“区块链智能合约”
中国法院对于ABCD信息技术的应用可谓举世无双,一骑绝尘。
2019年2月27日发布的司法改革“五五纲要”以大量篇幅专章论述“建设现代化智慧法院应用体系”,特别提出要结合互联网法院业务特色和技术特点,改造优化电子诉讼平台,完善与国家机关、相关机构和主要电子商务平台的数据对接方式(最高人民法院关于深化人民法院司法体制综合配套改革的意见——人民法院第五个五年改革纲要(2019—2023)。3月最高人民法院在12个省(区、市)开展“移动微法院”试点。12月31日上午,最高人民法院智慧法院实验室建成启用。
最高人民法院在2019年12月4日发布的《中国法院的互联网司法》白皮书显示,杭州、北京、广州互联网法院共受理互联网案件近12万件,审结8.84万件,在线立案申请率为96.8%,全流程在线审结8.08万件,一审服判息诉率达98%。法院通过电话、邮箱、微信、短信、公众号等在线送达文书达9.69万次。(李贞、魏良炜:《互联网司法:“指尖诉讼 掌上办案”》,《人民日报·海外版》2020年01月15日)
北京市高级人民法院2019年工作报告中提及的一项重要成就,是北京互联网法院运用区块链技术建成“天平链”,解决电子证据存证、认证的难题。2019年3月30日,国家互联网信息办公室发布第一批境内区块链信息服务备案编号的公告,北京互联网法院“天平链”成为首批通过备案的区块链。
而广东省高级人民法院2019年工作报告同样强调,广州互联网法院依托5G、大数据、区块链、人工智能等最新科技成果,不断拓宽“网上法治”新领域。其“网通法链”智慧信用生态系统在2019年3月30日正式上线,并在全国率先推出首个司法信用概念和首个互联网司法信用报告制度。2019年10月24日,杭州互联网法院发布全国首个区块链智能合约司法应用,实现网络数据和网络行为的全流程记录、全链路可信、全节点见证、全方位协作。
从“智慧司法”“移动微法院”到“司法区块链”“天平链”“网通法链”,司法不仅在保护个人信息数据方面扮演着重要角色,而且深度参与到个人信息数据的记录、运用、生产和流通当中。由此产生的深刻影响将会在2020年继续发酵。
权属:
用户诉腾讯“QQ浏览器”违法收集头像、好友关系等数据侵犯隐私权,用户诉腾讯“微信读书”违法收集个人阅读记录等数据侵犯隐私权
许多用户是诉诸隐私权保护自己的个人信息数据免受侵犯的。2019年有两起用户诉腾讯的案件广受关注,并且提出了个人信息数据保护的一个首要问题:权属。两个案件都还没有做出终审判决,因此也格外具有探讨的意义。
第一个案件是据2019年6月3日《北京青年报》报道,用户许先生向江西某法院起诉深圳市腾讯计算机系统有限公司未经授权擅自使用其微信帐号和QQ账号中头像等个人信息及其好友信息,涉嫌侵犯其隐私权,要求腾讯公司立即停止在“QQ浏览器”APP中获取徐先生微信帐号和QQ账号中的头像、性别、生日、地区等个人信息及其好友信息的行为。尽管法院于3月20日发布诉讼禁令,据悉原告已经撤诉,但用户的个人信息数据的权属究竟如何,在业内仍属于争议问题。
第二个案件是据2019年5月15日《南方都市报》报道,用户黄女士将“微信读书”软件的运营商腾讯科技(深圳)有限公司广州分公司和“微信”软件的运营商腾讯科技(北京)有限公司诉至北京互联网法院。黄女士在使用“微信读书”软件过程中发现,即使她与自己微信好友在该软件中没有任何关注关系,也能够相互查看对方的书架、对方正在阅读的读物、读书想法等信息,然而这些信息属于原告并不愿向他人展示的隐私信息,因此请求法院:判令腾讯北京公司立即停止向腾讯广州公司提供原告微信好友的数据的行为;判令腾讯广州公司立即停止在微信读书软件中,将原告使用微信读书软件生成的使用信息(包括读书时长、书架、正在阅读的读物)向原告微信好友展示的行为。
两案的实体判决都未见报道(亦未在中国裁判文书网查到判决结果),但都触及并提出了个人信息数据保护的一个根本问题:用户在软件中注册的诸如头像、昵称这样的信息数据,和在软件中产生的诸如好友关系、书架信息、阅读体会这样的信息数据,是否属于“个人”“隐私”,应当归属于谁。以及,如果归属用户,那么联系后面的腾讯诉抖音、多闪不正当竞争案,腾讯是否有权在自己不同产品之间任意复制,是否有权禁止其他企业引导用户迁移到其平台或应用,乃至是否可以在《开发者协议》中禁止他人使用,就都成了疑问。
毫无疑问,头像、昵称的独立性和迁移性天然更强,并不完全依赖于特定软件。而好友关系则很大程度以社交应用为载体。腾讯的QQ和微信无疑都是通讯和社交的伟大作品,为人与人之间沟通提供便利因而承载了好友关系。但另一方面,用户的好友关系、以及在阅读软件中的书架信息、阅读体会的隐私性,又要比头像、昵称更为突出。
如微信读书案的代理律师、北京清律律师事务所主任熊定中所说,“一个人读什么书可能直接关联着他在思想上、生活上的多方面隐私,比如一位患有隐疾的用户可能会在微信读书上阅读相关的医疗书籍,而一个打算怀孕的用户去阅读孕期健康书籍时,也未见得希望自己公司的HR或者部门领导看到。”但这一关切是否足以成为权利,也还需要更多论证。
抛开隐私问题,更进一步的问题,则是个人注册或使用软件中产生的数据是否只能私有,可否直接进入公共领域或者收归国有。很多人喜欢把个人信息数据比喻为战略资源(如石油)或基础设施(如高速公路),这都多多少少意味着并未只有私有化一个确权途径。
2019年10月31日十九届四中全会通过《推进国家治理体系和治理能力现代化若干重大问题的决定》,将“数据”纳入与劳动、资本、土地并驾齐驱的参与分配的生产要素。这既明确了数据的财产价值,也势必同时意味着,作为生产要素的数据究竟归属于谁,特别是源自于个人信息的用户数据应当如何确权,构成了个人信息和用户数据保护的一个更为深层的法理问题。
正像那个经常举作“数据资产化”的例子中所隐含的问题,如果一个患有6种癌症的患者信息,在世界上独一无二,是应当由单个私人或企业所垄断而为价高者得,还是应当为人类所共享?何种选择更加有利于信息数据的使用和累积?背后触及的恐怕是新一轮的财产制度和社会制度之争。
竞争:
腾讯诉抖音、多闪违规使用用户信息不正当竞争,微博诉饭友未经许可非法抓取、展示微博明星账号数据不正当竞争
除了诉诸隐私权外,许多个人信息数据保护的案件是诉诸于反不正当竞争法。而反不正当竞争的根本问题在于竞争。网络和信息科技企业的竞争常常是超越细分市场的。只要面向的是重叠的用户群体,就存在竞争关系。因此是否构成不正当竞争的关键,也在于是否给予用户充分的自由选择。腾讯诉抖音、多闪反不正当竞争案就是这样一个代表性案例。
2019年2月28日,腾讯起诉抖音、多闪违规使用微信/QQ用户头像,涉嫌不正当竞争。腾讯提出微信和QQ产品平台上产生和积累了大量的用户头像、昵称等相关数据,是腾讯公司微信/QQ等产品开展经营活动、进行商业竞争的重要核心资源。抖音、多闪则认为,微信/QQ的头像、昵称归用户所有,用户对其享有完全的控制权,因而抖音、多闪取得用户合法授权后使用用户微信/QQ头像、昵称进行推荐好友,并未侵害腾讯公司的任何合法权益。如同前述的用户诉腾讯“QQ浏览器”案,尽管天津市滨海新区人民法院于3月20日发布诉讼禁令,但用户的个人信息数据所有权究竟归属何处,仍是悬而未决。
可供参考的是早前杭州中级人民法院判决的淘宝诉美景数据产品不正当竞争案((2018)浙01民终7312号)。本案判决将用户数据区别于个人信息,提供了富于启发的个人信息保护思路:需要首先划分用户数据的类别和权属,才能进一步讨论侵权或反不正当竞争问题。将来源于用户的原始网络数据与企业进行深度开发整合后的衍生数据进行区分,明确网络运营者对于基于网络用户信息所产生的原始数据享有有限使用权的同时,也限制了网络运营者对于原始数据的自行处置权,强化了对用户个人信息的保护。而确认数据产品开发者对于数据产品享有独立的财产权益,也有利于保护开发者的合法权益,充分调动对数据产业投资开发的积极性。
此外,与用户维权诉诸隐私权不同的是,诉诸反不正当竞争还要求回答:平台或应用上的注册用户是否具有向其他平台或应用自由迁移其个人信息的选择权。由于迄今为止尚未能在媒体和中国裁判文书网中查到本案的实体判决结果,我们可以参考与此有关的另一个案例:北京知识产权法院已经判决的微博诉饭友反不正当竞争案((2019)京73民终2799号)。
法院在认定饭友APP经营商复娱公司绕开或破坏微博经营商微梦公司技术保护措施、实施抓取和展示新浪微博数据之行为构成实质性替代和妨碍、破坏新浪微博正常运营的同时,也在判决中提及“用户对涉案数据进行自主安排、授权等因素而免责等可能。”这是否意味着经用户授权可能成为平台的有效免责抗辩,还有待进一步的司法实践检验。
依照反不正当竞争法第十二条规定,经营者利用网络从事生产经营活动,……不得利用技术手段,通过影响用户选择或者其他方式,实施妨碍、破坏其他经营者合法提供的网络产品或服务正常运行的行为。这意味着,任何一方都不应利用技术手段对用户选择造成不当影响。未经用户授权的数据抓取是一种不当影响,因而构成不正当竞争;那么,经过用户授权的数据迁移能否也被认定为不当影响,乃至如果一方运用技术手段阻止用户对个人信息的自由迁移是否反而构成对用户选择的不当影响,则是一个在理论和实务上都有待澄清的关键问题。这不仅关系到特定企业之间的利益分配,而且关系到能否建立一个公平有序的竞争环境,让更多企业加入进来,保持市场竞争的应有活力。
身份:
犯罪嫌疑人吴谢宇、劳荣枝因人脸识别先后落网,用户诉杭州野生动物世界“人脸识别第一案”
个人信息数据所以重要,不仅是产业的生产要素,而且是个人的身份认证。人脸不属隐私,却是人身识别的首要特征。
2019年4月21日,潜逃1380天后,犯罪嫌疑人吴谢宇在重庆江北机场乘机时,因被“天眼”系统的人脸识别发现而落网。11月28日,同样得益于大数据人像识别系统,潜逃20年的劳荣枝在厦门被警方抓获。此前一个月,10月28日,郭某因其所购年卡未经注册人脸识别无法正常入园,将杭州野生动物世界诉至杭州市富阳区人民法院,作为“中国人脸识别第一案”引发社会广泛关注。
两组事件正如人脸的两面。一边是人脸识别诉诸法院,另一边是人脸识别逃犯归案。正所谓有一利必有一弊,凡属选择必有代价。
“天网恢恢”如今已经不再是比喻或科幻想象。人们也早已习惯于交通、工作、学习乃至生活在摄像头之下。
有报道称,“相关数据显示,目前在中国,估计有1.7亿台摄像头已经到位,其中由公安系统掌握的,有2000万。一线城市基本实现全覆盖,……预计未来三年将安装约4亿台新摄像头,更多城镇,甚至农村、企业都将以天网工程、雪亮工程名字加入其中。”(http://www.elecfans.com/consume/700245.html)
而2019年7月上海中医药大学附属闵行蔷薇小学成为首家“AI+学校”,也已利用智慧课堂行为分析系统,实时捕捉学生上课时的面部情绪变化。与此相关,2019年8、9月间,名为“ZAO”的换脸社交软件迅速引爆社交网络,同时引发广泛质疑,直至工信部网络安全管理局直接约谈北京陌陌科技有限公司负责人。
人脸两面,边界何在?尚无定论之际,2020年初的美军无人机斩首伊朗军事领袖苏莱曼尼,无疑为个人信息搜集和使用的这片深海投下了一个重磅炸弹。
公开:
王思聪被谣传失信被执行人,人民法院第五个五年改革纲要深化执行信息公开
“国民老公”一度被误传成“国民老赖”。新京报11月9日澄清:从中国执行信息公开网获悉,王思聪确被列为限制消费人员,但并未被列为失信被执行人。
案件号为(2019)沪0114执4909号限制消费令显示,法院于2019年8月12日立案执行申请人曹悦申请执行上海熊猫互娱文化有限公司其他合同纠纷一案,因熊猫互娱未按执行通知书指定的期间履行生效法律文书确定的给付义务,被采取限制消费措施,限制其法定代表人、主要负责人、影响债务履行的直接责任人员、实际控制人王思聪不得实施高消费及非生活和工作必需的消费行为。
谣传背后是真实的个人信息公开制度。年初发布的司法改革五五纲要明确提出将“被执行人信息、失信被执行人名单信息”在“在同一平台集中统一公开”,形成“一处失信、处处受限”的信用惩戒格局,2019年2月27日)。相应出台了《最高人民法院关于限制被执行人高消费及有关消费的若干规定》《最高人民法院关于公布失信被执行人名单信息的若干规定》《最高人民法院关于全国法院被执行人信息查询平台信息异议处理的若干规定》等更为详细的规定。这都意味着,个人信息不仅是“个人”的,也是“公共”的,在涉及社会信用和公共利益时会被强制披露。
这背后更大的背景,则是中国公民信用体制和社会安全体系的建立。个人信息数据既是基础,也被塑造。信息、信用,二信合一,则是一个更大的问题,不如就此打住。
结语
盘点完2019年的十大个人信息数据保护事例,正好过了一年的最后一个节气:大寒。这是一年中最冷的时节。有在东北生活经历的人都会知道,在大寒时占到风口的结局只有一个:冻成冰棍儿。而在寒风中依然屹立的企业和企业家们,是真正的硬汉。因为他们,我们才有机会在这里盘点。
我们应当向这些个人信息数据相关产业的企业和企业家致敬。也向那些以自己的才智和勇气为信息科技产业和企业开道、护航的法律人致敬。因为他们,我们才有这么多立法、执法和司法的事例可以盘点。
大寒过了,马上就是春节了。春节过了,就是又一个“春雨惊春清谷天”了!愿凌寒傲立、蓄势待发的中国企业,早日熬过严冬,迎接一个明媚的生机勃勃的春天的到来。
声明:本文来自检察风云,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。