02
月
13
日
周
二
像守护你爱的人一样守护个人信息吧。
愿现世安稳,岁月静好。
世界上,能让几亿人同时奔波在路上的,也许就只有中国的春节了吧。前两期谈到了春节期间新的生活方式,比如顺风车、微信红包等需要注意的法律问题。这些新的生活方式,都是借着网络这个媒介,进入到春节这个传统节日中,给它平添了一股清风。春节前最后一期,我们就来看看网络吧。
《卜算子·我住长江头》中有一句小编很喜欢的白话:我住长江头,君住长江尾。日日思君不见君,共饮长江水。
现在,一张网,就使曾经的天涯变咫尺,将时空拉得如此之近。但同时,它也网住了几乎每一个用过它的人。不知什么时候,长江水混,人可能就成了网里面的一条鱼。
纸质时代,关于一个人的认知,也许就只能在左邻右舍亲朋好友的口中和他/她的封存在单位的档案袋里获得;但在这个新时代,在互联网的汪洋中,通过零散但无所不包的信息,就能拼凑出他/她的样子,比如,年岁、习惯、爱好、婚姻状况、家庭成员、工作、财产、健康状况,甚至他/她的内心世界是怎样的。这些信息,极有可能成为饕餮者的口中之食。据《法制日报》,2017年9月,浙江松阳判决一起特大侵犯公民信息案,逾7亿条个人信息遭泄露;据新华网报道,2017年,广东警方缴获被泄露、窃取、买卖的公民个人信息7.1亿余条。另据网络信息,2017年上半年,全球有19亿条记录被泄或被盗,比2016年全年总量(14亿)还多。
这张网挖得越来越深,我们也在网中越陷越深。要想岁月静好,我们首先要知道,该如何在这个网络世界里守护好自己的个人信息。
场景一:我的哪些个人信息受保护?
为了春节穿新衣、戴新帽,为了孝敬父母,为了过一个丰富而祥和的春节,你上了很多购物网站,按照要求填了很多相关不相关的个人信息,购买了很多产品和服务。
继《民法总则》、《网络安全法》等一系列各个层级的法律政策之后最近发布的国家标准《信息安全技术个人信息安全规范》(GB/T 35273-2017)(以下简称“《规范》”)将受保护的个人信息划分为:个人信息和个人敏感信息,且在附件中将之前存在争议的网络身份标识信息、个人上网记录、个人常用设备信息均列入到个人信息的控制范围内。
【表2:《个人信息安全规范》资料性附录《个人信息举例》】
【表3:《个人信息安全规范》资料性附录《个人敏感信息举例》】
参考:《国家标准《信息安全技术个人信息安全规范》评析》,易镁金,百度法务部高级法律顾问
场景二:我的被收集的个人信息属于我吗?
春节期间,家人团聚之余,你在各个网站刷刷刷。记得你都上了哪些网络平台吗?都浏览了哪些网页吗?都关注了哪些方面的内容吗?或许你以为这些都不过是“飞鸿踏雪泥”,不过是“泥上偶然留指爪,鸿飞那复计东西”。但显然错了。这些留下的信息,都是在网络上给你自己画像。
目前的法律文件并没有清晰回答这一问题,但在《规范》中提出了“个人信息控制者”的概念,并将其定义为“有权决定个人信息处理目的、方式等的组织或个人”。显然,它们也并非权利所有者。
参考:《汉坤网络安全与数据合规系列之八:个人信息安全的“GSP”来了!》唐志华,朱敏,黄颖
场景三:收集我的个人信息,可以不经我同意吗?
你在首次使用某个应用注册时,你是否注意到屏幕上弹出了一个长篇的文本?还是你根本看都没看就直接点了“同意”按钮?
很多网络和应用在首次使用时,需要使用者进行注册,包括填交一些个人信息,比如身份证号、手机号、邮箱、家庭或工作地址等,有些不告知收集目的和使用范围,有些虽然告知,但其隐私政策文本高度概括非常模糊。这真的可以吗?我们的用户知情权在哪里?
《规范》要求,收集个人信息前,应当明确告知收集有关的情况,并获得个人信息主体的授权同意。它还将网络产品或服务的业务功能分为核心业务功能和附加业务功能,收集上述敏感个人信息时,若为核心业务功能所必需而收集,网络运营者应当向个人信息主体告知所收集的具体个人敏感信息,并明确告知拒绝提供或拒绝同意将带来的影响,应允许个人信息主体选择是否提供或同意自动采集;而若为其他附加功能而收集个人信息的,收集前应向个人信息主体逐一说明个人敏感信息为完成何种附加功能所必需,并允许个人信息主体逐项选择是否提供或同意自动采集个人敏感信息。当个人信息主体拒绝时,可不提供相应的附加功能,但不应以此为理由停止提供核心业务功能,并仍应保障相应的服务质量。
也就是说,对于核心业务功能,收集个人敏感信息,必须得到我们的明示同意,而对于附加业务功能,我们可以拒绝。
而且,隐私政策不得使用概括性语言,如不得使用“我们收集您的身份相关信息”,而应明确写明“我们收集您的姓名、电话号码、地址信息”。具体内容中应详细说明使用个人信息的目的、列出收集的个人信息类型、明确描述哪些个人信息为特定业务所必需等。
所以,在点击“同意”按钮之前,请一定要仔细阅读相关条款。
参考:《个人信息安全的“GSP”来了!》唐志华,朱敏,黄颖,汉坤律师事务所;《个人信息保护标准化时代来临——简评》,杨洪泉,安杰律师事务所
场景四:我能知道我的个人信息在哪里使用吗?
去年,你衣锦还乡买辆车,马上就有人给你打电话卖保险;刚喜添贵子,就有人来推销婴幼儿用品。显然,这些陌生电话并不是来自4S店或医院。
现在,我们或许可以稍微放一下心了。
《规范》要求,网络产品或服务的隐私政策应清晰、准确、完整地描述个人信息控制者的个人信息处理行为;个人信息控制者需对个人信息的使用进行详细说明,包括是否共享、转让个人信息以及共享、转让的细节,是否需要公开披露及公开披露的细节;对个人信息的保护进行详细说明,包括保护措施、保护协议及风险。
另外,根据《刑法》和《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称“《解释》”)的相关规定,以下行为方式受到其规制:违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息;违反国家有关规定,在履行职责、提供服务过程中收集公民个人信息;违反国家有关规定,向他人出售或者提供公民个人信息;违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人以及未经被收集者同意,将合法收集的公民个人信息向他人提供(经处理无法识别特定个人且不能复原的除外)。
《解释》明确的入罪标准:
参考:《个人信息保护标准化时代来临——简评》,杨洪泉,安杰律师事务所;《侵犯公民个人信息罪视角下的理解与初探》,田申,腾讯网络安全与犯罪研究基地高级研究员
场景五:我可以撤回我的个人信息吗?
你刚才注册一个网站时习惯性地直接点击了“同意”按钮,但没看相关的隐私政策文本。现在你后悔了,还有挽回的余地吗?你可以撤回我的个人信息吗?
《规范》明确,信息控制者需对用户对其个人信息享有的权利进行详细说明。信息主体,也就是个人,有注销账户和撤销同意的权利,信息控制者必须提供注销账户和撤销同意的途径。如果企业根据所获得的个人信息做出自动的决策,如信用评定,必须给予信息主体提出申诉的渠道。
另外,信息控制者需对处理个人信息安全问题的反馈、投诉进行详细说明,并给出外部争议解决机构及联络方式。
也就是说,即使你在开始注册时一不小心点击了“同意”按钮,你也可以要求撤销。如果你对于平台或服务的处理方式不满意,你还可以提交争议解决机构来帮助你。
参考:《国家推荐标准的二十个要点》,杨迅,通力律师事务所;
《个人信息保护标准化时代来临——《个人信息安全规范》简评》杨洪泉,安杰律师事务所
像守护你爱的人一样守护你的个人信息吧。愿现世安稳,岁月静好。
律商联讯在中国
领取专属 10元无门槛券
私享最新 技术干货