天开律师网 门户 企业合规律师 查看内容

企业经营中的数据合规重点与刑事风险提示

2023-1-22 16:12| 发布者: 天开律师网| 查看: 302| 评论: 0

摘要: 作者:{天开律师网 整理}随着《数据安全法》的出台,以及近期各种网络安全审查活动的开展,数据安全成为企业关注的法律风险点。本文将以企业为主要视角,分别从企业与政府机构合作、企业自身经营以及信息主体维权三 ...
作者:{admin 整理}

随着《数据安全法》的出台,以及近期各种网络安全审查活动的开展,数据安全成为企业关注的法律风险点。本文将以企业为主要视角,分别从企业与政府机构合作、企业自身经营以及信息主体维权三种不同情景,对企业经营的数据合规问题进行数据安全法与刑事法律的双重解读。

一、企业与政府机构合作模式下的数据合规

以互联网医疗领域为例,某科技公司想和国家卫生健康委员会进行合作,可能被要求或者自愿开发,或与政府部门合作开发接触者追踪APP,通过对医院收集的病人病历进行分析,获取该病人的特定地域、所在行业,来判断哪些地区哪个行业的人群容易患病的类型。根据这些大数据分析对特定地区和行业的用户定制化推荐医院的诊疗服务。

这种政府与企业合作的情境下,政府应当如何协调和处理与企业之间的数据共享关系,并且保证数据工作安全合法?

(一)数据安全方面

1.共享数据的内容及性质

应当明确的是政府与企业之间共享的数据内容是病人病历,属于患者个人信息并无争议,但是否属于政务数据?根据《数据安全法》第四十条,如果政府以履职为目的委托科技公司建设数据收集系统、存储加工数据,这种数据才属于政务数据,且要经过严格批准程序,受托方也不得擅自留存、使用或向他人提供政务数据。而本例中数据收集主体是科技公司,且目的并非受政府委托、为政府服务,而是便于科技公司日后为用户提供定制化诊疗服务,因此,科技公司收集到的数据不属于政务数据。科技公司对收集数据的处理不依照政务数据的处理规范进行规制,而要以个人信息保护的规定来判断科技公司的数据收集和处理行为。

2.数据共享方式的合法性

科技公司与卫健委的合作方式可能是以第三方信息系统接入卫健委系统,对病人病历、地理位置和行业等个人信息进行采集,则需要考察这是否满足合规要求。

《数据安全法》第三十二条规定,“任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。”《互联网医疗健康信息安全管理规范》也要求互联网医疗健康信息安全管理应确保互联网医疗健康信息系统的合规性、可用性和安全性;确保互联网医疗健康信息采集、存储、传输、应用、销毁等全生命周期的信息处理合法、正当、必要的原则,不得过度处理,保障信息完整、保密,保护个人信息安全、公众利益和国家安全。

从海外经验来看,以英国为例,智慧医疗科技公司TPP与英国国家医疗服务体系NHS在医疗数据方面有紧密合作,TPP医疗系统储存着英国2/3以上人口的电子病历,托管5000万名患者的健康档案。[1]而对于患者信息的隐私安全,则需要从国家监管到企业合规都形成完善机制。例如,国家监管层面,确定严格的数据安全保护法规和信息技术服务提供许可标准,同时设立专门数据监管机构和配套监管惩罚措施;行业监管层面,应当设置一系列行业认证和国家标准,以确保充分的数据安全和保护能力;企业层面,在用户端主动采取避免意外数据泄露的程序设计,等等。

在我国,2018年国务院办公厅出台了关于《促进“互联网+医疗健康”发展的意见》,确定了互联网医疗的发展方向,支持医疗健康信息互通共享。针对个人医疗健康信息的保护问题,国家也通过《网络安全法》、《电子病历应用规范(试行)》、《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》等一系列法律和规范性文件予以规制。加上2020年6月生效的《基本医疗卫生与健康促进法》(简称《卫健法》)第九十二条规定,“任何组织或者个人不得非法收集、使用、加工、传输公民个人健康信息,不得非法买卖、提供或者公开公民个人健康信息”,进一步为个人医疗健康信息保护提供法律支撑。同时,我国也相继颁发了《电子病历共享文档规范》、《电子病历与医院信息平台标准符合性测试规范》、《电子健康档案与区域卫生信息平台标准符合性测试规范》等一系列卫生信息标准,各级医疗机构和企业在设计开发和采购医疗信息系统时均应严格执行上述标准。

再看《数据安全法》第三十二条规定,其实并未明确禁止第三方信息系统接入政府系统,尤其《国家健康医疗大数据标准、安全和服务管理办法(试行)》对于卫健委建立健康医疗大数据开放共享的工作机制的共享和交换对象,除医疗卫生机构外,还包括“相关企事业单位”,所以实则企业不当然排除在健康医疗大数据的共享对象之外。以互联网医疗产业发展为背景,第三方信息系统对医疗信息的使用、处理、管理若均符合法律法规及相关标准,则不具有违法性。

3.互联网医疗中个人信息保护

不可否认,这种依托互联网作为载体和手段的健康医疗服务模式不仅得到了来自政策的肯定和引导,也受到了防疫需求的推动,但公民个人医疗、健康信息的安全和隐私保护问题也随之出现,甚至出现了不法人员破解及下载医院信息系统数据后兜售以牟取暴利的案例。[2]涉及到病人的敏感个人信息,企业应当征得病人或监护人、委托代理人的授权许可,同时对于个人信息的采集利用应当遵守最小必要原则,收集的信息以达到目标为界限,不可过度收集。

根据《网络安全法》第四十条规定“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度”,第四十一条规定“收集、使用个人信息需要征求被收集者的同意,未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外”。作为第三方的科技公司利用卫健委系统中的健康医疗数据进行分析并形成模型,属于数据处理行为,这种模型商业化的行为实质上是一种使用行为。根据《网络安全法》规定,收集、使用个人信息需要征得被收集人的同意,第三方机构在卫健委的系统中进行处理、使用的行为自然需要经过患者的同意,并且对医疗机构与第三方机构之间的合作行为也需要向患者披露。但是,以上仅限于未经处理,能识别特定个人且能复原的数据,而经过处理不能识别特定主体,且不能复原的数据利用则属于法定允许的范围内。这说明,对医疗健康信息的保护和妥善利用其实并不相悖,通过合理的机制进行数据脱敏,则可以找到对医疗健康数据的合理利用途径。

(二)刑事风险解读

在这种合作关系下,企业与政府主体(国家工作人员)都存在着一定的刑事风险。以下根据现行《刑法》及相关司法解释进行列举:

1.如果科技公司存在非法获取公民个人信息的行为,则可能构成侵犯公民个人信息罪

《刑法》第二百五十三条之一对侵犯公民个人信息罪的规定如下:

违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。

窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。

单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。

结合《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》解读如下:

(1)“违反国家规定”,可以包括《网络安全法》、《卫健法》,以及即将生效的《数据安全法》等,有关公民个人信息收集、使用、存储、处理等法律规定。

(2)行为方式包括:①向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的;②未经被收集者同意,将合法收集的公民个人信息向他人提供的,但是经过处理无法识别特定个人且不能复原的除外;③通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的。

不论获取公民个人信息的途径是非法的还是合法的,只要对公民个人信息进行转售或未经信息主体同意而提供给他人,都可以满足该罪的行为要件。

(3)“情节严重”包括:①出售或者提供行踪轨迹信息,被他人用于犯罪的;

②知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;

③非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;

④非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;

⑤非法获取、出售或者提供第③、④项规定以外的公民个人信息五千条以上的;

⑥数量未达到第③至⑤项规定标准,但是按相应比例合计达到有关数量标准的;

⑦违法所得五千元以上的;

⑧将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第③至⑦项规定标准一半以上的;

⑨曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的。

⑩为合法经营活动而非法购买、收受第③、④项以外的信息:利用非法购买、收受的公民个人信息获利五万元以上的;曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的。

2.如果科技公司通过非法手段接入卫健委系统获取公民的病历信息,则还可能构成非法获取计算机信息系统数据罪

《刑法》第二百八十五条第二款对非法获取计算机信息系统数据、非法控制计算机信息系统罪的规定如下:

违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

结合《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》解读如下:

(1)“计算机信息系统”:国家事务、国防建设、尖端科学技术领域以外的计算机信息系统。

(2)“情节严重”:①获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的;

②获取第①项以外的身份认证信息五百组以上的;

③非法控制计算机信息系统二十台以上的;

④违法所得五千元以上或者造成经济损失一万元以上的。

3.如果科技公司非法获取医疗机构病患的电子病历信息,可能构成侵犯商业秘密罪

《刑法》第二百一十九条对侵犯商业秘密罪的规定如下:

有下列侵犯商业秘密行为之一,情节严重的,处三年以下有期徒刑,并处或者单处罚金;情节特别严重的,处三年以上十年以下有期徒刑,并处罚金:

(一)以盗窃、贿赂、欺诈、胁迫、电子侵入或者其他不正当手段获取权利人的商业秘密的;

(二)披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密的;

(三)违反保密义务或者违反权利人有关保守商业秘密的要求,披露、使用或者允许他人使用其所掌握的商业秘密的。

明知前款所列行为,获取、披露、使用或者允许他人使用该商业秘密的,以侵犯商业秘密论。

本条所称权利人,是指商业秘密的所有人和经商业秘密所有人许可的商业秘密使用人。

《刑法修正案(十一)》删除了对“商业秘密”的定义,而参考《反不正当竞争法》第九条第三款规定,商业秘密是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息和经营信息。患者信息具备秘密性、法律强制保护的特殊性以及对医疗行业的商业价值属性,在性质上认定为医疗机构的商业秘密并无不妥。

其次,病历资料不仅有患者的个人信息,还包括医生的诊疗内容,而一般认为病历上诊疗信息是医生智力活动成果的结晶,受到知识产权保护。科技公司若收集的是病历资料,那么也包含了医生履职过程中形成的智力成果。

因此,根据科技公司使用病历资料的行为,如果未经医疗机构和患者本人同意或授权,通过电子侵入或其他不正当手段获取患者病历资料则可能构成侵犯商业秘密罪或其他侵犯知识产权类犯罪。

4.如果科技公司合法收集公民个人信息后,不履行信息网络安全管理义务导致用户病历信息泄露,则可能构成拒不履行信息网络安全管理义务罪

《刑法》第二百八十六条之一对拒不履行信息网络安全管理义务罪的规定如下:

网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:

(一)致使违法信息大量传播的;

(二)致使用户信息泄露,造成严重后果的;

(三)致使刑事案件证据灭失,情节严重的;

(四)有其他严重情节的。

单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。

有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。

结合《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》解读如下:

(1)“造成严重后果”:①致使泄露行踪轨迹信息、通信内容、征信信息、财产信息五百条以上的;

②致使泄露住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的用户信息五千条以上的;

③致使泄露第①、②项规定以外的用户信息五万条以上的;

④数量虽未达到前三项规定标准,但是按相应比例折算合计达到有关数量标准的;

⑤造成他人死亡、重伤、精神失常或者被绑架等严重后果的;

⑥造成重大经济损失的;

⑦严重扰乱社会秩序的。

(2)“其他严重情节”:①对绝大多数用户日志未留存或者未落实真实身份信息认证义务

②二年内经多次责令改正拒不改正的;

③致使信息网络服务被主要用于违法犯罪的;

④致使信息网络服务、网络设施被用于实施网络攻击,严重影响生产、生活的;

⑤致使信息网络服务被用于实施危害国家安全犯罪、恐怖活动犯罪、黑社会性质组织犯罪、贪污贿赂犯罪或者其他重大犯罪的;

⑥致使国家机关或者通信、能源、交通、水利、金融、教育、医疗等领域提供公共服务的信息网络受到破坏,严重影响生产、生活的。

5.对于允许第三方信息系统接入卫健委系统的行为,卫健委及政府机构工作人员可能面临一定的法律风险

卫健委作为利用信息网络提供给医疗公共服务的单位,也属于《刑法》第二百八十六条之一第一款规定的“网络服务提供者”,因此,如果因卫健委医疗信息共享不规范导致患者病历信息泄露,经监管部门责令采取改正措施而拒不改正,造成严重后果的,卫健委或其工作人员也可能构成拒不履行信息网络安全管理义务罪。卫健委工作人员属于国家工作人员,也可能构成渎职类犯罪。

由此看来,允许第三方信息系统接入国家掌握的医疗信息系统,对于具体单位和工作人员而言都存在法律风险,这也一定程度上导致第三方信息系统在实践中难以通过接入官方信息系统的方式获取个人信息,而往往是本身作为医疗机构,对其单位经营过程中获取的个人信息加以利用。

二、企业经营过程中的数据合规

近日,许多互联网企业平台受到网络安全审查,例如滴滴、货满满、货车帮、BOSS直聘等知名网络平台,相关部门也对其作出了“下架”、“暂停新用户注册”等决定。由此,企业对收集公民个人信息的行为应当严格自查,严格规范公民个人信息收集方案,遵循最小必要原则。企业如果无法保证数据安全,就无法保证经营安全。

(一)数据安全方面

在开展合规工作前,对于合规主体和数据性质应当明确以下基础问题:

1.关于关键信息基础设施运营者的认定

2016年,《网络安全法》首次在我国法律体系内正式提出“关键信息基础设施”(critical information infrastructure,CII)这一概念,并对CII运营者的安全保护义务与措施、风控措施与应急机制以及相应的法律责任都予以规定,但对CII的认定和保护范围尚不明确导致相关条文长期“沉寂”。直至今年,国务院于8月17日发布《关键信息基础设施安全保护条例》(以下简称《条例》),对CII安全保护的适用范围、监管主体、评估对象等做出界定,并为安全保护工作开展提供系统指引和工作遵循,实则对《网络安全法》中关于CII的16个条文的进一步细化,从规范体系上为《网络安全法》做了有力补充。《条例》也让企业在CII安全保护方面的权利和责任得以合法化,企业如何在数据安全领域自我定位、自我审查,如何开展数据合规得到进一步明示。

根据《条例》第二条,CII是指“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等”。同时《条例》第二章提供了认定CII的规则指引,考虑因素在于:(1)对于本行业、本领域关键核心业务的重要程度;(2)一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;(3)对其他行业和领域的关联性影响。

以滴滴为例,尽管滴滴事件发生时尚未有明确的CII运营者界定标准,但其作为国内最大的出行平台软件,其收集的信息包括地图、公民个人信息、道路信息等等,这些数据经过排列组合,可以分析得到重要信息,例如国家不予公开的地理位置信息,涉密部门员工的工作信息等等。从实质审查,其掌握的数据若向境外泄漏,则足以达到“严重危害国家安全、国计民生、公共利益”的程度。

需要注意的是,从《网络安全法》到《数据安全法》再到将于今年11月生效的《个人信息保护法》,再到国务院出台的关于“互联网+”的相关行政法规,都强调了关键信息基础设施运营者在我国境内收集和产生过的个人信息应当存储于境内,跨境则都需经安全评估等法律程序。同样从滴滴事件可以看出,数据跨境交流与网络安全、数据安全乃至国家安全都存在关联,如滴滴这样的行业龙头企业尚有“马前失蹄”,足以见得我国企业对网络数据安全保护意识匮乏,亟需转变经营理念、重视数据合规。

2.“重要数据”的界定

2017年国家网信办关于《个人信息和重要数据出境安全评估办法(征求意见稿)》第十三条第四款,“重要数据,是指与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南。”结合《数据安全法》第二十一条规定,“国家建立分类分级保护制度”,“国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护”。“各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。”

从上述条文内容来看,“重要数据”的界定应当主要依赖形式标准,也就是由国家、地区、部门、行业、领域的权威机构制作具体目录,表现为各种标准、识别指南等文件。尽管目前数据分级体系的形式标准尚未全面建立,但以滴滴为典型的数据出境事件已经出现,意味着当前企业的合规经营一定程度上需要自行衡量何为重要数据。

具体而言,开展数据合规工作,应当注意以下几个方面:

1.互联网企业、上市公司应当注重双重合规

双重合规是顺应时代的举措,仅根据国内或国外法律进行合规,对企业的发展会产生阻碍。中国的企业处于数字化和全球化的时代,面临国际化的双重合规要求。7月6日,国务院办公厅发布《依法从严打击证券违法活动的意见》,专门提出了加强跨境监管的合作,包括完善数据安全,数据的跨境流动,设备信息的管理,完善这些法律法规。所以对于经营企业而言,保障数据安全的合规更加紧迫。在美上市的中国企业除了要符合在美上市的相关规定外,也应根据我国的规定进行合规,并且在两者冲突时,优先考虑国内的合规性。中外立法和执法趋势不仅与国家的发展状况有关,更与国际关系,国际形势有关,在中美关系紧张的形势之下,我国企业应当趋利避害,审时度势,合理规范商业行为。

2.集团企业、关联企业的数据合规工作应当标准化、系统化、制度化

由于现在很多企业有多家子公司、分公司,企业内部结构复杂,同一集团内部持有的数据可能分类结果上不一致,从而很难实现集团内合规上的一致性。

首先,建立数据安全治理体系,应当委派高管牵头负责数据安全治理工作,根据《数据安全法》等法规的监管要求开展自身数据分类分级工作,对企业数据实施分类分级管理,分类分级结果与数据存储、权限、脱敏、开发等措施挂钩,实现体系管理。

其次,企业应该定期开展风险评估和数据安全成熟度评估,并通过实网攻防以及安全应急响应演练,及时改进存在的风险,一旦发生安全事件后能及时响应,做出最合适的反应措施,从而把损失降低到最小。

最终,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,增强员工数据安全意识,提高企业自身数据安全能力。

企业合规并非一次性工程,而需要长期的维持和培训。企业在进行了一阶段的合规工作后,应当重视合规机制的构建。《数据安全法》第22条,规定的数据安全风险评估、报告、信息共享和监测的预警机制,很多企业已经开始进行构建,即在开展业务的时候,进行数据安全或者网络安全的风险评估。比如评估系统的脆弱性,一旦遭受攻击或者是意外事件,可能遭受危害的程度,可以采取什么样的技术措施,或者应急措施。企业应当建立数据安全的风险评估报告、信息共享和监测预警机制。只有这样,才能保证企业良好持续经营。

3.中小企业应当注意合规成本的必要性

对于境内的中小企业而言,合规成本是不得不考虑的问题。如果成立管理部门成本太高,中小企业至少也应该设立合规官的岗位,由专职且相对独立的人员对企业的主要业务行为和重点风险领域进行合规整改,保证企业的主营商业模式和重点业务领域合法合规,把钱花在刀刃上。

数据安全风险的防控不仅是法律问题,也是技术问题,需要结合企业自身的盈利模式具体分析。企业并非为了合规而合规,其根本目的仍在于保证企业有持续稳定的盈利空间,这需要多方的共同参与,包括企业经营者、企业法务、合规官、律师团队等多重视角。对于大部分境内的中小企业而言,数据安全风险主要体现在对个人信息的收集和处理上,风险点在于过度收集、多次分享、超权限利用等行为。其实多数情况下,只要能揭示企业经营的数据安全风险点,合规整改是存在较大空间且不必然减损主营业务的。换言之,在当前阶段,树立数据安全风险意识和合规意识,了解相关法律规定,听取专业人员的意见,就足以防控绝境内中小企业面临的大多数数据安全风险。

(二)刑事风险解读

针对企业在获取个人、政府机构或其他企业的相关信息数据时,需要注重其中的刑事风险点,避免企业或企业经营者涉刑。

其一,针对信息获取行为。企业如果存在非法获取公民个人信息的行为,则可能构成侵犯公民个人信息罪。如果企业通过非法手段接入公民的个人信息,则还可能同时构成非法获取计算机信息系统数据罪,如果获取的是相关行业秘密信息等也可能构成侵犯商业秘密罪。

其二,针对信息处理行为。企业如果违反数据安全保护义务,且拒不改正或者造成大量数据泄露等严重后果的,可能构成拒不履行信息网络安全管理义务罪。《数据安全法》第三十四条规定,法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。因此,如未获得在线数据处理行业许可证,违反准入许可制度从事相关经营活动的,则可能构成《刑法》第二百二十五条的非法经营罪。

三、信息主体维权:以人脸识别信息为例

公民对于个人信息收集保护意识逐步提升,关于人脸识别问题在手机人脸识别技术成熟时期,就已经受到了一定的质疑和关注。例如在客户进入公共场所如酒店、餐厅等,通过人脸识别的方式识别客户是否为酒店的VIP客户;人脸识别第一案野生动物世界将年卡入园方式从指纹识别升级到人脸识别而涉嫌侵犯个人隐私;央视315晚会曝光部分品牌门店安装人脸识别摄像头违规获取海量人脸信息等事件。因此,信息获取方及使用方需要具备合规意识,而信息主体也同样应当强化保护意识。

1.个人信息保护意识的培养

不论是企业还是公民,都应当提高个人信息保护意识,意识到人脸信息属于敏感个人信息,具有高敏感性和不可修改性,对于收集人脸信息等个人敏感信息的行为,应当进行合理地辨别,判断其是否尽到了告知义务,以及其收集信息的范围是否符合最小必要原则。

例如对无意间的收集行为,应当要求采集方采取告知并删除的处理办法;人脸信息采集摄像头处不仅要明示告知,而且要尽到合理地提示义务,并且应当提供明确的选择以确定同意采集意向。在我们使用手机应用软件时,对于隐私政策、用户协议必须阅读并勾选,该软件才能读取个人信息。同理,人脸信息既然是敏感个人信息,则不应当在未经数据主体同意的情况下被有意地收集、利用。合法合规的收集并利用个人信息必然是一种具有主观意识的行为,如果“无意间”就能收集并利用个人信息,那么意味着这种以营利为目的的收集信息方式面向不特定、不知情的公民,此种收集方式本身就不合规。

2.生物信息的收集保护与个人数据遗忘权

人脸信息不仅属于个人信息,而且应当属于特殊的个人信息,其具有不可更改性和无法补救性,一旦人脸信息泄露被用于非法用途,造成的后果往往很难补救,所以对于人脸信息的必要收集,不仅要建立登记表、保存清单,而且需要其他相应的保护措施,例如定期清除人脸信息重新录入、设立防火墙、设立电子登记册和纸质登记册双重等级等措施。企业进行人脸识别数据删除时,应当将过程进行公示,由公民确认,并接受公民和数据监管机构的监督。此外,还应当在向公民确认同意收集人脸识别数据的协议中,对于企业应当在完成个人数据使用目的后删除数据有明确约定。从人脸识别数据的属性来看,企业不具有永久保存并再次利用甚至分享的权利。

至于个人数据遗忘权与区块链不可篡改性之间的冲突,是可以通过技术手段解决的。比如《环球科学》2018年就刊登过一篇关于如何在不破坏区块链的前提下移除数据的文章。简单来说,其原理就是在区块链上允许临时存储个人信息内容而永久保存哈希数据信息。由此,即便删除实际记录的个人信息内容,遗留的哈希数据信息也可以保证数据的可验证性,进而保证信息主体对个人信息的管理权。[3]关于区块链等新技术必然是朝着人们需求的方向发展的,个人信息权从遭受冲击到强化保护是一个发展的过程,更是人们对技术不断提出新要求的过程,若因为技术而放弃隐私保护则无异于“因噎废食”。

3.刑事风险提示

上述企业以及与政府相关的刑事风险中,已经对各种刑事风险进行分析,可参考上文。例如相关信息收集方未经客户同意,通过设置摄像监控设备等方式广泛收集公民人脸识别数据的行为,达到立案标准的,应当构成侵犯公民个人信息罪。

另一方面,企业经营过程中若发现其他主体对本企业用户信息采取“爬取”、窃取等其他非法手段,则可以通过《反不正当竞争法》等进行维权;情节严重的,可以《刑法》第二百八十五条第二款非法获取计算机信息系统数据罪、第二百一十九条侵犯商业秘密罪等刑事犯罪追究对方责任。

结语

我国对于隐私保护和数据安全在规范层面已经有了初步的架构,但还需要实务部门加快学习新领域新知识新法规新政策,提高监管执法水平。同时,也需要大力推动普法工作,使得企业和公民、数据主体和数据收集者使用者都能理解并主动进入隐私保护和数据安全的法律框架,让数据和信息的管理与流动有序进行。

滴滴网络安全审查事件将“数据安全”、“数据合规”的概念带入了大众视野,又在《数据安全法》实施之际,企业数据合规理应“趁热打铁”。尤其,企业应当明晰数据安全及信息保护工作中存在的刑事风险,合法合规开展工作经营,及时消除刑事风险,对将要面临的刑事风险做好预警,以保障企业经营的可持续性。


注释:

[1] 医师网:《TPP智慧医疗系统助力英国医疗体系防控疫情》,http://www.mdweekly.com.cn/html/huiyi/huiyibaodao/2018/0622/26885.html【最后检索时间2021年9月1日】

[2] 在中国裁判文书网(https://wenshu.court.gov.cn/)检索关键词为“统方”的“非法获取计算机信息系统数据、非法控制计算机信息系统罪”一审判决书共12篇,均为非法获取医院统方数据用于非法牟利的案件。【最后检索时间2021年9月1日】

[3] Protecting the'right to be forgotten'in the age of blockchain(2018,October 31)retrieved 1 September 2021 from https://theconversation.com/protecting-the-right-to-be-forgotten-in-the-age-of-blockchain-104847.

中文版参见中国数字科技馆《在区块链时代,如何保护自己的“被遗忘权”》,https://www.cdstm.cn/gallery/hycx/qyzx/201812/t20181206_898917.html【最后检索时间2021年9月1日】


本文作者:梁雅丽 唐宛茁


鲜花

握手

雷人

路过

鸡蛋