|
個人行蹤軌跡信息一般認為是能夠反映個人所在位置����、移動方向及之前行蹤等資訊所組合而成之動態(tài)信息�。生活中常見的個人行蹤軌跡信息包括:手機GPS定位信息、車輛軌跡信息�、車輛卡口信息、航班車票信息以及特定住宿信息等��。 個人行蹤信息泄露將導致個人處于被他人“監(jiān)控”的狀態(tài)�,私人生活空間可能遭受侵擾,甚至被“人肉”���、“網(wǎng)暴”或者遭受不法侵害��。 2021年11月1日生效的《個人信息保護法》第二十八條明確規(guī)定行蹤軌跡屬于敏感個人信息����。在2020年杭州“人臉識別第一案”中,法院判決野生動物園(被告)刪除原告辦卡時提交的照片等面部特征信息����,然而原告要求刪除其入園記錄的訴求未予支持。 法院認為����,入園記錄雖屬于原告的行蹤信息,但沒有證據(jù)證明野生動物園(信息處理者)存在泄露�、篡改、丟失和其他違法使用行為�����,并對原告的個人信息權(quán)益已經(jīng)造成損害或有發(fā)生損害較大可能的情況�。 上述案件發(fā)生于《民法典》及《個人信息保護法》生效之前,新法生效后���,對于個人行蹤軌跡信息的保護規(guī)則將會有哪些變化呢�����? 由上表對比可知,新法實施后�,對于個人行蹤軌跡信息的保護規(guī)則將更加全面,以《民法典》�、《個人信息保護法》的框架已經(jīng)形成,具體司法適用仍有待司法實踐予以豐富�。 個人行蹤軌跡信息既屬于敏感信息又屬于隱私信息�����,適用侵權(quán)損害賠償責任過錯推定的歸責原則���。 根據(jù)《民法典》第一千零三十四條:“個人信息中的私密信息���,適用有關隱私權(quán)的規(guī)定�。”《民法典》第一千零三十二條:“隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間����、私密活動、私密信息��?���!眰€人行蹤信息一般具有私密性�,一旦泄露將會給個人生活安寧帶來紛擾甚至造成嚴重的精神損害�。 《民法典》第一千零三十二條規(guī)定:“自然人享有隱私權(quán)。任何組織或者個人不得以刺探���、侵擾���、泄露、公開等方式侵害他人的隱私權(quán)����。” 對于利用信息網(wǎng)絡侵害個人隱私權(quán)的民事糾紛�,《民法典》第一千一百八十二條規(guī)定:“侵害他人人身權(quán)益造成財產(chǎn)損失的,按照被侵權(quán)人因此受到的損失或侵權(quán)人因此獲得的利益賠償����。” 《最高人民法院關于審理利用信息網(wǎng)絡侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》:“被侵權(quán)人可以起訴網(wǎng)絡用戶或者網(wǎng)絡服務提供者要求刪除���、屏蔽����、斷開鏈接等行為停止侵權(quán),如造成財產(chǎn)損失或者嚴重精神損害的��,可以要求其承擔賠償損失��?�!?/span> 財產(chǎn)損失包含為制止侵權(quán)行為所支付的合理開支�����,賠償損失的金額上限為50萬元����。如在《民法典》實施后首例個人信息民事公益訴訟案中,孫某在被追究刑事責任的同時���,還應當按照獲利賠償損失3.4萬元�。 根據(jù)《個人信息保護法》第二十八條可得出�����,行蹤軌跡屬于敏感個人信息�����。 對于個人信息處理者而言�,“只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下����,個人信息處理者方可處理敏感個人信息”,如提供網(wǎng)絡約車服務需要乘車人位置信息等�����。 同時第五十條:“個人信息處理者應當建立便捷的個人行使權(quán)利的申請受理和處理機制��?�!?/span> 第六十九條:“處理個人信息侵害個人信息權(quán)益造成損害���,個人信息處理者不能證明自己沒有過錯的���,應當承擔損害賠償?shù)惹謾?quán)責任?!睋p害賠償責任按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定;個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的����,根據(jù)實際情況確定賠償數(shù)額����。 同時���,第七十條:“個人信息處理者因處理個人信息�����,侵害眾多個人權(quán)益的��,人民檢察院��、法律規(guī)定的消費者組織和由國家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟����?!?/span> 比如重慶市首例消費者個人信息保護民事公益訴訟案件,重慶市消費者權(quán)益保護委員會對重慶某公司非法泄露消費者個人行為提起公益訴訟���,經(jīng)法庭調(diào)解���,被告公司當庭提交《公開道歉信》�,并在判決生效1年內(nèi)策劃開展消費領域公益宣傳活動4次以上��。 人民法院審理個人敏感信息侵害隱私權(quán)和個人信息權(quán)益的侵權(quán)案件�,目前生效的法律規(guī)范有《消費者權(quán)益保護法》《最高人民法院關于審理利用信息網(wǎng)絡侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》等�����。 個人行蹤軌跡信息與人臉識別同屬于敏感個人信息�����,目前最高人民法院已經(jīng)出臺《關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規(guī)定》�,這對于泄露行蹤軌跡信息等其他敏感個人信息的民事案件具有參考意義,行蹤軌跡信息保護的具體司法適用規(guī)則仍有待司法實踐���。 1. 經(jīng)權(quán)利人同意 經(jīng)權(quán)利人同意�����,可以使用其個人行蹤信息����。比如地圖導航應用對于個人定位信息的收集����,權(quán)利人如使用導航服務�����,必須要授權(quán)同意對行蹤信息的收集���。 2. 權(quán)利人自行公開 盡管權(quán)利人自行公開的信息不再具有私密性,但仍不失其個人信息的本質(zhì)屬性�,也絕不意味著可以被隨意使用。其使用仍不能超過行為人公開使用目的及法律規(guī)定的合理范圍����,否則,濫用權(quán)利人公開的個人行蹤信息仍可能侵犯其民事權(quán)益�,甚至可能構(gòu)成刑事犯罪(詳見下文論述)。 3. 公共利益免責情形 “個人信息處理者為應對突發(fā)公共衛(wèi)生事件�,或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需”,或者“為公共利益實施新聞報道�、輿論監(jiān)督等行為,在合理的范圍內(nèi)處理個人信息”�����,不需取得個人同意����。 如疫情防控期間���,疫情防控部門收集確診者及密切接觸者的個人行蹤信息���,以及政府疫情防控部門發(fā)布的高中風險地區(qū)及確診者行蹤信息�,無需取得個人同意��。此處公共利益使用個人行蹤信息的邊界仍需進一步明確����。 個人行蹤信息能夠清晰反映個人的活動軌跡情況��,非法買賣��、提供個人行蹤信息將導致眾多不特定人員的信息遭受侵害��,擾亂社會秩序���,損害了社會公共利益�����。 根據(jù)《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第五條之規(guī)定�����,可以看出刑法對于個人信息的法益保護等級從高到低排序為: 1. 敏感信息(行蹤軌跡信息���、通信內(nèi)容��、征信信息���、財產(chǎn)信息) 2. 特殊信息(住宿信息、通信記錄����、健康生理信息、交易信息) 3. 一般信息 由此可見����,行蹤軌跡信息屬于敏感信息中的最高一級,非法獲取�����、出售或者提供行蹤軌跡信息五十條以上的屬于侵犯公民個人信息罪的“情節(jié)嚴重”情形�����,依法應當追究刑事責任。 同時���,網(wǎng)絡服務提供者拒不履行信息網(wǎng)絡安全管理義務致使泄露個人信息���,也可能導致眾多不特定人員的信息遭受侵害��。 根據(jù)《最高人民法院����、最高人民檢察院關于辦理非法利用信息網(wǎng)絡、幫助信息網(wǎng)絡犯罪活動等刑事案件適用法律若干問題的解釋》第四條可得出:網(wǎng)絡服務提供者拒不履行信息網(wǎng)絡安全管理義務致使泄露行蹤軌跡信息五百條以上的��,應當認定為刑法第二百八十六條拒不履行信息網(wǎng)絡安全管理義務罪的“造成嚴重后果”情形��,網(wǎng)絡服務提供者應當承擔刑事責任�����。 而且��,使用個人已經(jīng)公開的信息也可能構(gòu)成犯罪����。個人公開信息不能視為其放棄對該信息的法益保護��?!秱€人信息保護法》確立了收集個人信息的合法�、正當、必要和誠信原則���,并明確處理的目的����、方式和范圍����。 個人已公開的行蹤信息一般出于某種特定目的,其公開信息的目的和使用范圍一般是明確的�,比如出于疫情防控需要。如果處理信息違背或改變了個人公開其信息的目的和用途����,并實施可能危及不特定公民人身或財產(chǎn)安全行為的,仍有可能構(gòu)成侵犯公民個人信息罪��。 四��、企業(yè)的數(shù)據(jù)合規(guī)建議 互聯(lián)網(wǎng)技術的發(fā)展使得個人信息更多地暴露在網(wǎng)絡之中,增大了被不法利用的風險��。企業(yè)作為主要的個人信息處理者��,其經(jīng)營行為應注意合乎法律規(guī)范��,追求經(jīng)濟效率時只有行穩(wěn)才能致遠����。 企業(yè)經(jīng)營應注意以下方面: (一)企業(yè)應當規(guī)范數(shù)據(jù)處理流程,防范民事責任風險 1. 按照法律法規(guī)要求不斷更新�����、改造數(shù)據(jù)信息處理流程�,做到民事責任風險的可控���。 企業(yè)應當經(jīng)常復盤自身業(yè)務模式����,對于涉及個人信息的業(yè)務流程進行重點梳理�,根據(jù)新的法律規(guī)定和國家、行業(yè)標準重新評估業(yè)務合規(guī)風險�,改造、更新數(shù)據(jù)信息處理流程。 對于新業(yè)務設立的服務內(nèi)容�����,應當進行充分的內(nèi)部測試�����,且在通過一定期限和范圍內(nèi)的試運營后方可投入市場�����。
2. 重視個人信息數(shù)據(jù)的處理���。 《個人信息保護法》第四條規(guī)定:“個人信息不包括匿名化處理后的信息�����?�!边@體現(xiàn)了平衡保護企業(yè)數(shù)據(jù)經(jīng)濟價值與個人信息安全的立法宗旨�����。 建議涉及信息處理的企業(yè)主體及時進行匿名化�、去標識化處理。如在合理存儲期限內(nèi)單獨加密存儲行蹤軌跡信息����,建立指定數(shù)據(jù)刪除銷毀機制,實現(xiàn)有效的數(shù)據(jù)刪除管控���,防止因?qū)Υ鎯刂怪械臄?shù)據(jù)進行恢復而導致的數(shù)據(jù)泄露風險等�����。 3. 建立高效的用戶反饋機制�����。 《個人保護法》明確了個人信息主體的自主決策權(quán)�����,對于用戶的投訴反饋,企業(yè)應當建立相關機制其正當權(quán)利的行使���。 如用戶撤回同意或者通知刪除后�����,應當及時刪除銷毀����。涉及用戶侵權(quán)投訴時,經(jīng)調(diào)查屬實后��,及時屏蔽內(nèi)容��、斷開鏈接�,甚至下架APP整改。 刑事處罰對于企業(yè)來說是最嚴重甚至是“致命”的風險��,受到刑事處罰的企業(yè)商業(yè)信譽和個人聲譽都將面臨巨大的損害�����。 數(shù)據(jù)合規(guī)是企業(yè)合規(guī)的重要方面����,行蹤軌跡信息又屬于數(shù)據(jù)信息中的重要內(nèi)容,因此做好該類敏感信息的合規(guī)管理至關重要�。 1. 樹立底線思維紅線意識���,加強企業(yè)員工培訓。 既要堅決杜絕非法獲取�、出售或者泄露用戶行蹤軌跡信息的行為,更要注意清查數(shù)據(jù)信息處理全流程可能存在的隱患�,及時做出調(diào)整。 2. 加強刑事合規(guī)建設�����,預防網(wǎng)絡犯罪���。 根據(jù)最高人民檢察院2021年4月發(fā)布的《關于開展企業(yè)合規(guī)改革試點工作方案》��,部分試點地區(qū)推行的企業(yè)合規(guī)不起訴制度一般適用于可能判處3年以下有期徒刑�����、拘役��、管制或者單處罰金的案件。侵害公民個人信息類犯罪基礎量刑在3年以下�����,具備申請適用合規(guī)不起訴制度的條件,但即使檢察院啟動該制度����,后期合規(guī)考察仍十分嚴格。 因此���,企業(yè)只有加強考察期內(nèi)企業(yè)的合規(guī)建設才有可能滿足不起訴的條件���。對于企業(yè)而言,如其倒逼進行合規(guī)建設��,倒不如前期開始重視�����。 3. 積極履行自身網(wǎng)絡安全管理義務�����,避免因不作為或者消極作為而入罪���。 直接處理信息的企業(yè)����,應當積極履行安全管理義務,防范數(shù)據(jù)信息泄露案件事件發(fā)生�。作為平臺型企業(yè),還要積極履行平臺監(jiān)管職責���,定期公示社會報告�。 如發(fā)生相關事件應當及時向監(jiān)管部門匯報���,并采取有效措施防止不利影響的擴大��,遇到困難主動匯報并請求指導�,切忌心存僥幸����,放之任之。 蘇國慶:湖北得偉君尚(湖北自貿(mào)區(qū)武漢片區(qū))律師事務所律師�����。
|
