歡迎入匯,共創智識
作者:王偉、朱宣燁等
來源:轉載自@北京植地律師事務所
2018年5月25日生效的歐盟《通用數據保護條例》(簡稱GDPR)因其泛化的管轄權和高額的行政罰款引起了世界范圍的關注。對于處于數字化轉型的中國企業而言,當務之急是如何建立一套行之有效的大數據合規制度,就此,我們從專業數據庫上篩選了2015年5月1日至2018年3月1日期間涉及“個人信息”的民事案例(以下簡稱案件,或統計案件)并進行統計分析,以期對企業的數據合規有所裨益。
一、樣本數據分析概況
1.涉個人信息的民事案件數量有限
我們系統研究了146件涉及個人信息的民事案件,其中侵權糾紛案件139件(其中包含1件企業間的不正當競爭案件[1]和1件企業間的經營秘密糾紛案件[2]),合同糾紛案件共計7件。除2件案件為企業間糾紛外,其余均為個人與企業之間發生的糾紛。
2.涉案主體的特點
1)涉案主體的行業分布集中于金融行業和互聯網行業
案件主要集中在對個人信息收集量大、使用比較頻繁的領域,其中典型的如金融行業、互聯網行業等。
2)涉案主體絕大為數據控制者,但是案件開始關切數據處理者的作用
數據控制者和數據處理者是個人信息處理關系中涉及的兩個重要主體,不同司法區域的法律對于兩者權利義務的邊界規定并不完全相同。簡單而言,兩者的核心區別在于為自己還是為他人目的處理數據,為他人處理數據的一方就是數據處理者。現有案件主體均有數據控制者,僅有兩件案件中數據處理者作為共同被告出現。但是很多案件在被告的抗辯意見中開始提及數據處理者,更有案例對于數據控制者和數據處理者的民事責任分擔闡述。比如個人訴某網絡平臺、某航空公司的案件中,法院裁判某航空公司作為數據控制者應當對數據處理者中航信的行為擔責,同時認定存在信息共享關系的某網絡平臺和某航空公司均需對原告個人信息泄露情況擔責。
因此,這對于中國企業的合規提出了更高的要求,如何科學、合理的設計合規制度需要每個企業根據自己的行業特點以及業務情況而具體研判。
3.爭議行為
1)爭議行為類型集中
現有案件中“個人信息記錄錯誤”以及“未經同意使用個人信息”“個人信息泄露”三類行為涉案數量最多。我們也注意到,涉及個人信息違法收集、信息共享、遺忘權的案件也開始出現。
2)典型爭議行為類型多樣
涉案爭議行為具體類型十分豐富,涵蓋了個人信息收集、保存、使用等生命周期的全流程。不少案件對于涉案行為的爭議背后反映是對個人信息收集使用的商業模式的爭議,典型的如個人訴某互聯網公司收集cookie[3]侵犯隱私權的案件。就此,我們簡單梳理了典型案件的爭議行為類型以及爭議行為表現,以期對正在進行數字化轉型的企業有所啟發。
序號 | 爭議行為所在環節 | 爭議行為類型 | 具體的爭議行為表現(典型案例) |
1 | 收集 | 是否是合法收集個人信息 | 1. 搜索引擎網站利用cookie技術記錄和跟蹤了搜索過的關鍵詞進行廣告投放的行為。[4] 2. 未經同意,擅自使用應用軟件篩選、調查數據主體的個人信息的行為。[5] |
2 | 保存
| 個人信息遭遇泄露 | 1. 機票信息、酒店信息泄露等等。[6] 2. 網站系統漏洞導致原告信息泄漏。[7] |
遺忘權 | 搜索“相關搜索”顯示出的原告曾經的職業經歷對原告不利。[8] | ||
3
| 使用 | 盜用身份信息開立賬戶 | 銀行及其工作人員利用數據主體的身份開立賬戶的行為。[9] |
征信信息錯誤 | 數據主體與銀行之間沒有借款合同關系,但在征信中心卻存有數據主體該筆借款的信用不良記錄。[10] | ||
未經同意發送信息,侵犯生活安寧 | 電商服務平臺利用用戶在購物時留存的手機信息,給用戶手機發送商業短信。[11] | ||
因銀行錄入電話號碼錯誤,向與借款無關的原告發送催促還款短信。[12] | |||
銀行通過格式條款約定可以向用戶發送與信用卡相關信息并實際發送。[13] | |||
快遞經營者向快遞服務過程中收集到的手機號碼發送自身電商業務信息。[14] | |||
4 | 委托處理,共享,轉讓、公開披露
| 違法查詢,違法披露個人信息 | 違規或未經同意查詢數據主體的個人信息,并且披露給第三方。[15] |
征信信息雖屬真實,但是違反依法披露的規定 | 在中國人民銀行征信中心公開原告具有不良信用記錄。[16] |
4.適用案由多元
由于我國尚沒有獨立的侵犯個人信息的民事案件案由,所以涉及個人信息的民事糾紛多取道姓名權、隱私權、名譽權和人格權等其他案由進行訴訟。姓名權糾紛占比高是由于有一個系列案件[17],有其偶然性。隱私權糾紛仍然是目前與個人信息保護最為密切的案由。《民法總則》頒布之后,人格權糾紛作為兜底的案由,解決了案由的制定晚于個人信息保護需求的實際情況,也反映出個人信息獨立于隱私權等既有權利的特殊性。
5.責任認定情況
1)舉證責任多由原告方承擔
案件顯示,事實認定過程中遇到的最大的問題仍是證明的問題。尤其是信息主體,處于信息不對稱的弱勢地位,舉證能力較弱。但目前我國法律沒有就涉及個人信息的案件規定專門的舉證責任倒置制度,案件事實仍由原告方承擔舉證責任。上述案件中,僅有3件案件中法庭判令由被告承擔舉證責任。其余143件為原告承擔舉證責任。
2)認定責任事實的比例分析
統計案件中,侵權類案件139件,被認定存在侵權事實的案件數為94件。
3)信息共享者共同擔責,數據控制者對數據處理者的行為擔責或成為趨勢
隨著各方對個人信息案件特點認識的深入,司法領域的態度發生轉變,比如個人訴某網絡平臺、某航空公司的案件中,法院裁判某航空公司作為數據控制者應當對數據處理者中航信的行為擔責,同時認定存在信息共享關系的某網絡平臺和某航空公司均需對原告個人信息泄露情況擔責。該案件的判決得到了北京市法院系統的認可和支持。
二、合規提示
我們注意到很多案件的裁判結論直接關系到商業模式的運行。根據對于相關判例的研究我們總結了如下幾點作為合規提示。
1.重視安全合規
從樣本案例可知,涉及信息安全問題案件比例達到了樣本統計案件數的三分之一。
企業遇到的數據安全問題主要有以下三種情況:
1)由于軟硬件設施故障或操作失誤造成的數據丟失或者泄露,比如最近的某公司云故障造成創業公司巨大損失的事件[18];
2)黑客襲擊、病毒入侵導致數據丟失或泄露,比如去年個人勒索病毒肆虐事件[19];
3)內部工作人員惡意泄露或者破壞數據,比如今年6月發生的某公司員工開發惡意軟件進入公司內部生產操作系統,偷取大量數據給第三方[20]。
為應對安全問題,企業應當按照《網絡安全法》等法律規范和標準的要求進行安全合規,主要措施有:
1)依據國家標準和安全等級制定企業自身的處理數據操作規范、數據保存規定;
2)對于個人敏感信息,嚴格控制可接觸該信息的人群和流程,對企業內部工作人員管理權限進行分級;
3)確立定期數據安全審計和數據安全風險培訓的制度;
4)確立數據安全日常監控制度和應急處理制度,進行符合自身業務類型的數據安全異常點檢測,并在出現疑似數據安全問題時及時保留相關證據。
2.界定好與外包服務提供者、數據共享者權責范圍
正如統計案件體現的,外包服務提供者和數據共享者在提高企業商業化使用個人信息效率的同時,也增加了企業自身因個人信息受到侵害而擔責的風險。
為此,企業應當注意:
1)進行數據共享和尋求外包服務時,注重相對方的數據合規情況和資質;
2)通過合同準確界定各自在參與個人信息處理活動中的作用和主體性質,明確各方具體權責義務;
3)以及約定對第三方造成損害時的責任承擔,內部追償的范圍等。
3.關注隱私協議的格式合同性質
《合同法》的規定,提供格式條款的一方應當遵循公平原則確定當事人之間的權利和義務,并采取合理的方式提請對方注意免除或者限制其責任的條款,按照對方的要求,對該條款予以說明。提供格式條款一方免除其責任、加重對方責任、排除對方主要權利的條款也會被認定無效。隱私協議屬于格式合同,所以隱私協議的條款內容和展現形式可能因其格式條款的性質而被質疑。
個人訴某互聯網公司案的一審判決即認為某互聯網公司細小字體的《使用某搜索引擎前必讀》無法保障用戶知情權與選擇權。雖然該案的二審判決改變了這種看法,但是隨著我國個人信息保護規則的逐步明晰,《信息安全技術個人信息安全規范》等配套標準的逐步出臺,對于隱私協議的要求必然日趨嚴格,所以應引起企業的重視。而比較有效的方案是參照國家發布的諸如《信息安全技術 個人信息安全規范》等規范標準結合自身行業特點進行制作,對于重要條款和內容利用加粗或加下劃線等方式進行提示,對可能限制數據主體權益的條款仔細斟酌。
[1]北京知識產權法院(2016)京73民終588號民事判決書
[2]參見廣西壯族自治區桂林市疊彩區人民法院(2015)疊民初字第605號民事判決書
[3]Cookie技術可以被網站應用于跟蹤統計用戶訪問該網站的習慣,例如訪問網站的用戶名和計算機名、使用的瀏覽器、訪問時間、訪問的具體頁面、瀏覽停留的時間
[4]江蘇省南京市中級人民法院(2014)寧民終字第5028號民事判決書
[5]廣東省深圳市福田區人民法院(2016)粵0304民初24741號民事判決書
[6]江蘇省東臺市人民法院(2015)東民初字第1887號民事判決書
[7]海南省三亞市中級人民法院(2016)瓊02民終375號民事判決書
[8]北京市海淀區人民法院(2015)海民初字第17417號民事判決書
[9]北京市海淀區人民法院(2016)京0108民初8187號民事判決書
[10]山西省大同縣人民法院(2016)晉0227民初63號民事判決書
[11]上海市浦東新區人民法院 (2016)滬0115民初2998號民事判決書
[12]廣西壯族自治區欽州市中級人民法院 (2015)欽北民初字第1883號判決書
[13]上海市第一中級人民法院(2015)滬一中民六(商)終字第107號民事判決書
[14]四川省樂山市市中區人民法院(2015)樂中民初字第3090號民事判決書
[15]廣東省深圳市福田區人民法院(2015)深福法民一初字第4278號民事判決書
[16]江西省安遠縣人民法院(2015)安民一初字第177號民事判決書
[17]某幾家金融機構違法違規操作造成的同類案件
[18]http://tech.hexun.com/2018-08-10/193739278.html,最后訪問時間:2018年8月10日
[19]http://www.pcwenti.com/bk/12761.html,最后訪問時間:2018年8月10日
[20]http://www.heibai.org/post/436.html,最后訪問時間:2018年8月10日
