文 | 牟若桃
网传某大学毕业生利用在校期间职务之便盗取学校内网数据,收集全校学生个人信息,制作颜值打分网站供人查看。据报道,校方已介入此事,对于网传内容正在核实中。
事件脉络图:
(事件信息源自各个网络信息平台)
根据网络爆料内容,此次事件所涉个人信息种类丰富,波及人群范围广泛。事涉个人信息涵盖了本硕博各阶段学生的姓名、疑似学生卡照片、学号、学院、籍贯、学历、生日等个人信息。本文仅从个人信息保护的法律角度,概论以下舆论关注点:
1、事涉个人信息分析
我国《个人信息保护法》第四条界定了个人信息的含义,即“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”此次事件中的姓名、学号、学院等包括照片在内的信息均可相互结合并识别到具体个人,因此属于法定的“个人信息”范畴。
其中,学生卡照片此项个人信息作为“颜值评分”的标准,成为此次事件的讨论焦点。已知学生卡照片属于个人信息,那么其是否属于个人生物识别信息,需要为之设置更为严格的收集门槛及保护措施?
根据《个人信息保护法》,敏感个人信息包括“生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息”。《信息安全技术 个人信息安全规范》(GB/T 35273-2020)附录b同样进一步列举了敏感个人信息的种类,包括前文提及的“个人生物识别信息”。
就人像照片而言,其是否属于“个人生物识别信息”需要基于其是否具有识别技术可能进一步区分为两类:第一类人像照片或因不具备身份识别技术的可能,例如缺乏生物识别信息的可提取性,而不属于“个人生物识别信息”;第二类人像照片则基于与人脸识别技术的强相关性,易被认定为“个人生物识别信息”。
首先,仅仅是人像照片并不能直接视为个人生物识别信息,但如果照片可以通过识别技术手段用于用户身份识别,则可能被视为“人脸识别信息”,从而归为“个人生物识别信息”该敏感个人信息的范畴。关于第一类人像照片和个人生物识别信息的区分在“人脸识别第一案”中得到体现。该案中,二审法院认为,即便通过拍照行为采集了当事人的“面部特征”,但该“面部特征”需要在激活后才进行技术处理变成人脸识别信息。(1)此外,《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》的适用范围也明确限制在了“使用人脸识别技术处理或者基于人脸识别技术生成的人脸信息所引起的民事案件”,因此,该规定所称的属于“生物识别信息”的“人脸信息”也宜解释为人脸识别过程中涉及的人脸信息。简而言之,单纯的人像不能简单定性为“个人生物识别信息”,如果要构成该项个人信息,人像还需要具有“识别”的功能。
其次,本事件中的学生卡照片,或属前文所述第二类人像照片,即“个人生物识别信息”。最高人民法院发布的指导性案例192号“李某侵犯公民个人信息刑事附带民事公益诉讼案”中(2),被告人李某制作一款具有非法窃取安装者相册照片功能的手机“黑客软件”,并伪装成“颜值检测”软件发布于某论坛提供访客免费下载。用户下载安装“颜值检测”软件使用时,“颜值检测”软件会自动在后台获取手机相册里的照片,并自动上传到被告人搭建的某云服务器后台。该案中,法院认为:本案中安装者相册照片中的“人脸信息”属于生物识别信息,是识别特定个人的敏感信息,极易被他人直接利用或制作合成,从而破解人脸识别验证程序,具有较大的社会危害性。因此,此类具备人脸识别验证可能的人像照片,在司法实践中,大概率会被认定为“个人生物识别信息”。从该案例可以看出,基于公共利益等考量,现有实践中司法机构对于非法处理人脸照片的行为持较大打击力度。就目前所掌握的事件信息看,本事件中数万人的学生卡照片被置于公开网站,同样极易被他人直接利用或制作合成,存在破解人脸识别验证程序的危险,故该行为或受到同等严格的规制。
2、事涉个人信息是否已获取权利主体授权
显然,权利主体(信息被盗取的学生)是基于入学事宜或校园生活的目的向学校提供的相关信息。基于《个人信息保护法》的目的原则和同意规则,个人信息的处理范围都应仅限于以上已同意的使用目的,在权利主体授权范围内进行使用,不得超范围处理个人信息,否则应认定为违法行为。
除此之外,我国《App违法违规收集使用个人信息行为认定方法》也有对主体授权的相关规定,即实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围则视为“未经用户同意收集使用个人信息”。
更何况,本事件中,权利主体授权对象为学校,并非涉事毕业生,该涉事毕业生的行为更无“同意”的合法性基础。
3、涉事毕业生是否可以通过适用《民法典》第一千零三十六条第二项或者《个人信息保护法》第十三条及第二十七条处理“已公开信息”免责
《个人信息保护法》第十三条第六款规定,依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息的,个人信息处理者方可处理个人信息;第二十七条则对该款进行了细化,规定“个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。”
然而,法律意义所称的“公开”,并非仅对个人信息处理者或者在一定范围内的“公开”,而是针对不特定主体的公开,这种对不特定主体的公开,除了权利主体自行向不特定主体公开的信息,例如在面前不特定公众的社交平台公开个人照片,还包括基于法定义务公开的信息,例如裁判文书中的个人信息公开(3)。
值得注意的是,法律对“合理范围”的界限也有所规定。单某、江西某公司个人信息保护纠纷一案(4)中,单某在一平台下单商品,卖家称拉其入群其可获取返现红包,单某加入群聊后,卖家在群中公布其下单信息,示意管理员向其发红包。事后,单某要求卖家在群聊中删除其个人信息,被卖家拒绝。诉讼过程中,卖家辩称单某的订单地址、姓名、电话等信息可在一些公开APP中查询到,为网络上公开的内容。法院则认为案涉订单信息体现了单某更为特定的个人信息,卖家的信息公开行为不属于对已公开的个人信息的合理使用。结合本事件来看,即便是公众自行公开的个人信息,其使用范围也受到信息公开目的的限制(5),退一步而言,“合理”的前提毫无疑问包含了处理行为的“合法”。
4、如事件信息属实,涉事毕业生行为可能违反的法律规定(因获取信息手段、网站搭建参与者、网站全部内容等事实暂不明朗,本文仅就个人信息保护层面,结合截止目前已知信息梳理以下规定):
类别 | 法律规定 | 内容 |
民事 | 《中华人民共和国个人信息保护法》第六十九条 | 处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。 |
《中华人民共和国个人信息保护法》第七十条 | 个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。 | |
《中华人民共和国民法典》第一千零三十七条第二款 | 自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。 | |
《中华人民共和国民法典》第一千一百六十五条 | 行为人因过错侵害他人民事权益造成损害的,应当承担侵权责任。 依照法律规定推定行为人有过错,其不能证明自己没有过错的,应当承担侵权责任。 | |
《中华人民共和国网络安全法》第七十四条 | 违反本法规定,给他人造成损害的,依法承担民事责任。 违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。 | |
行政 | 《中华人民共和国个人信息保护法》第六十六条 | 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。 |
《中华人民共和国数据安全法》第四十五条 | 开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。 | |
《中华人民共和国网络安全法》第六十四条 | 违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。 | |
刑事 | 《中华人民共和国刑法》第二百八十五条 | 【非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。 |
《最高人民法院最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第一条 | 非法获取计算机信息系统数据或者非法控制计算机信息系统,具有下列情形之一的,应当认定为刑法第二百八十五条第二款规定的“情节严重”: (二)获取第(一)项以外的身份认证信息五百组以上的; | |
《中华人民共和国刑法》第二百八十七条 | 【非法利用信息网络罪】利用信息网络实施下列行为之一,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金: (二)发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息的; | |
《中华人民共和国刑法》第二百五十三条之一 | 【侵犯公民个人信息罪】违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。 违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。 窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。 |
5、若查证属实,学校可能承担的相关责任
相应的,若事件信息经查证属实,结合情节轻重,个人信息收集单位(学校)亦可能基于《中华人民共和国个人信息保护法》第六十六条、《中华人民共和国数据安全法》第四十五条等规定,承担相应责任。
结语
信息安全无小事,此次信息盗取事件也再次向我们敲响警钟:无论是商业主体,还是非营利性质主体,在数据要素时代,任何个人信息处理单位都应在日常的管理中注重并加强个人信息的保护,搭建个人信息数据的合规体系,建立起个人信息保护的事前事后保护机制,例如,在事前制定完善的信息安全事件应急预案,在事后及时告知权利主体并向有关主管部门报告,构筑横纵交错的多层屏障,避免个人信息泄露或信息泄露之后损失范围的扩大,以致对个人权利主体、个人信息处理单位本身乃至社会的利益造成不良影响。
引注:
(1)(2020)浙01民终10940
(2)(2021)沪0120刑初828号
(3)(2019)苏05民终4745号
(4) (2022)赣0111民初4656号
(5)(2019)京049101民初10989号
作者介绍
牟若桃
微信:Charlottaoo
浙江垦丁律师事务所麻策团队实习律师,硕士毕业于中国政法大学,法语专业八级,具有世界500强企业、新能源汽车企业法律事务经历。深度参与团队数据合规重点项目及网络法实务。
声明:本文来自网络法实务圈,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。