最有看点的互联网金融门户

最有看点的互联网金融门户
国内资讯金融信息服务

谷歌被罚5000万欧元后,中国个人信息专项治理也来了,这次绝不是“挠痒痒”

本文共5742字,预计阅读时间218

文/上海汉盛律师事务所 裴长利 吴承栩 江国强

当地时间2019年1月21日,法国国家信息与自由委员会(简称“CNIL”)以违反欧盟《一般数据保护法案》(GDPR)为由对谷歌重罚5000万欧元,这是GDPR自正式适用后欧盟国家向美国科技巨头企业开出的首张巨额罚单。

相较之下,针对企业违反个人信息保护相关规定的行为,中国尚未出现如此大额的处罚。就在去年的1月份,支付宝曾因为年度账单默认用户勾选芝麻信用服务协议事件引来质疑风波并被网信办约谈,2018年4月又曾因个人信息保护不合规而被央行杭州中心支行根据《消费者权益保护法》处罚人民币5万元。[1]然而支付宝被罚金额与谷歌此次被罚金额相比,着实相去甚远。

然而,中国对侵犯个人信息行为进行处罚的立法规定并非人们所想的只停留在“挠痒痒”的水平(具体参见下文第三部分),问题的关键在于监管部门的执法力度有多大。格外值得注意的是,仅在谷歌被罚事件发生的4天后,中央网信办、工信部、公安部、市场监管总局就联合发布了《关于开展App违法违规收集使用个人信息专项治理的公告》(简称“专项治理公告”),决定自2019年1月至12月,在全国范围组织开展App违法违规收集使用个人信息专项治理。[2]

我们认为,本次专项治理公告传递出的信息需要引起相关从业企业的格外关注,与以往的监管相比,这可能是监管部门加强执法力度的一个转折点。

一、 本轮专项治理的背景

简单来说,本轮专项治理最大的背景是我国社会公众个人信息保护意识的不断觉醒与目前互联网从业企业收集/处理/使用个人信息乱象之间的矛盾不断加大。

其中,社会公众个人信息保护意识的不断觉醒从2017年3月15日颁布的《民法总则》第一百一十一条将“个人信息”作为与隐私权相并列的一项权利加以保护,以及个人信息保护法等69件法律草案列入2018年9月十三届全国人大常委会立法规划中的第一类项目就可以看出;而另一方面,互联网从业企业对个人信息保护的现状却不容乐观。中国电子技术标准化技术研究院信息安全研究中心主任刘贤刚于12月27日在2018大数据合作与合规峰会上就曾表示,在国内,平均每个月都有不同的公司发生或大或小的数据安全事件。[3]

南都个人信息保护研究中心主任蒋琳向1℃记者表示,该机构在2018年11月对娱乐、医疗、体育社交等1000款APP做了隐私政策测评,结果显示透明度高的只有13款(均来自于知名企业旗下的APP);总体仍有超过七成App透明度不及格,两极分化严重。有一款医疗健康类APP直接盗用其他企业互联网政策,甚至连企业的名字都没有改。[4]

与此同时,中消协2018年11月发布的《100款App个人信息收集与隐私政策测评报告》也显示,各类型APP中小企业APP得分均显著低于消费者常用APP,常用APP平均分为74.78,而中小企业APP是39.18。[5]

事实上,这一不容乐观的现状还是在经历了2017年7月网信办、工信部,公安部、国家标准委四部门指导开展了“个人信息保护提升行动之隐私条款的专项工作”[6]之后的现状。结合我们的市场观察,以及(尤其是)本轮专项治理紧跟谷歌被罚事件且将持续一年,我们认为,在2017年专项工作取得初步成果后又出现倒退的背景下,监管部门很有可能会利用此次谷歌被罚的契机,加大对我国互联网从业企业的监管

二、本轮专项治理的重点(涵盖谷歌被罚所违反的两项原则)

对于谷歌具体的违法行为,CNIL保密委员会在审查后主要指出了两点:

1. 违反了信息透明原则。CNIL认为,数据主体需要通过繁复的操作后才能在谷歌分散在各个角落的不同文档中找到与数据处理目的、数据储存期限、个人数据分类这三项重要信息有关的说明;而谷歌在提供服务种类较多(大约20种)、数据交互量极大的情况下,繁杂且对于数据主体具有高干涉性的数据处理过程(包括了目的、周期及分类)却并未清晰、详尽地展现给数据主体,这也导致了数据主体无法完全理解自己的数据将被应用到何种限度。

2. 违反了获取同意原则。CNIL认为,谷歌要收集并处理数据主体信息用于为其配置个性化广告的前提是获取数据主体的明示同意,但谷歌从数据主体端获得的“同意”并不合法。首先,由于文档的分散、界限的模糊,谷歌未能充分告知用户“同意”的具体内容;其次,谷歌获取用户同意的具体操作方式也并不明确及清晰。在数据主体注册谷歌账号时,配置个性化广告的可选项是被预先选中的,这意味着数据主体需要通过操作进行反选才能取消对于个性化广告的同意。

以上原因简言之,即一方面,谷歌有关数据收集、处理与使用的规则不够通俗易懂、不够简单明了;另一方面,谷歌收集数据时默认为用户勾选了“同意”选项,而不是让用户主动勾选“同意”选项。

反观我国监管部门本次专项治理的关注重点为:①遵循合法、正当、必要的原则,不收集与所提供服务无关的个人信息;②收集个人信息时要以通俗易懂、简单明了的方式展示个人信息收集使用规则,并经个人信息主体自主选择同意;③不以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得违反法律法规和与用户的约定收集使用个人信息。④倡导App运营者在定向推送新闻、时政、广告时,为用户提供拒绝接收定向推送的选项。简言之,本轮专项治理重点关注的就是公告指出的大量存在的App强制授权、过度索权、超范围收集个人信息的行为。

由此可以清晰地看出,上述第②点即是谷歌本次被罚的两大原因。

通过上述表格也可以看出,根据《信息安全技术个人信息安全规范》的要求,明示同意适用于收集个人敏感信息、未成年人信息、以及超出原先授权范围的信息,而本次专项治理直接统一明确“收集个人信息时要经个人信息主体自主选择同意”,可以看出在某种程度上其扩展了需要“明示同意”的情形范围。暂且不论该种扩张解释在法理上是否合适,但至少可以看出监管部门加大监管力度的倾向。

三、本轮专项治理可以适用的罚则

根据《专项治理公告》的规定,本次专项治理可适用的罚则主要包括:①责令有关App运营者限期整改;②逾期不改的,公开曝光;③情节严重的,依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;④构成犯罪的,追究刑事责任。

结合现有法律法规规定的角度而言,该等处罚具体可包括:

1. 依据《电信和互联网用户个人信息保护规定》进行处罚

根据《电信和互联网用户个人信息保护规定》第二十二至二十四条的规定,违反该规定要求的个人信息保护的行为,可以:①责令限期改正;②予以警告;③并处一万元以上三万元以下的罚款;④向社会公告;⑤构成犯罪的,依法追究刑事责任。

2. 依据《消费者权益保护法》进行处罚

根据《消费者权益保护法》第五十六条的规定,侵害消费者个人信息依法得到保护的权利的(主要是第二十九条的规定,笔者注),除承担相应的民事责任外,其他有关法律、法规对处罚机关和处罚方式有规定的,依照法律、法规的规定执行;法律、法规未作规定的,由工商行政管理部门或者其他有关行政部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款,没有违法所得的,处以五十万元以下的罚款;情节严重的,责令停业整顿、吊销营业执照。

3. 依据《网络安全法》进行处罚

根据《网络安全法》第六十四条的规定:

对于侵害个人信息依法得到保护的权利的,由有关主管部门:①责令改正;②可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;③情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

对于窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。

与此同时,根据该法第七十一条、七十四条的规定,有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示;构成犯罪的,依法追究刑事责任。

4. 依据《刑法》及相关司法解释进行处罚

我国《刑法》第二百五十三条和第二百八十六条分别规定了侵犯公民个人信息罪和拒不履行信息网络安全管理义务罪。值得特别关注的是,根据《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(简称“司法解释”)第二条的规定,违反法律、行政法规、部门规章有关公民个人信息保护的规定的,都应当认定为侵犯公民个人信息罪项下的“违反国家有关规定”。根据该等规定:

犯侵犯公民个人信息罪,情节严重的,处3年以下有期徒刑或拘役,并处或者单处罚金;情节特别严重的,处3年以上7年以下有期徒刑,并处罚金。单位犯罪的,依照本解释规定的相应自然人犯罪的定罪量刑标准,对直接负责的主管人员和其他直接责任人员定罪处罚,并对单位判处罚金。

犯拒不履行信息网络安全管理义务罪的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金。

综合上述处罚规定可以看出,对于从业企业而言,违反我国个人信息保护相关规定的行为:

1. 在经济处罚方面,有直接违法所得的,最高可处没收违法所得并处违法所得十倍罚款;对于没有直接违法所得或者违法所得无法计算的,最高可处人民币100万元罚款;

2. 在行为处罚方面,最高可以吊销相关业务许可或营业执照;

3. 在刑事处罚方面,最高可处7年有期徒刑并处罚金。

需要特别注意的是,尽管我国法律规定对于行政处罚中的罚金规定与GDPR规定的相当于2000万欧元/企业“上一年全球总营业额4%的金额”(取较高的一项)的罚款相比少之又少,但二年内受过行政处罚后又非法获取出售或者提供个人信息的,将受到刑事处罚,而且处罚将涉及直接负责的主管人员和其他直接责任人员。从这个角度而言,行政处罚即使罚金再低,也绝非“挠痒痒”

四、本轮专项治理过程中,从业企业应当重点自查并整改的方向

结合上述分析可以看出,逐步细化和提高对个人数据的保护标准在我国亦是大势所趋,而苹果、微软等国际互联网巨头企业都逐渐允诺对于数据保护会采用全球化统一的标准。我们认为,无论中国从业企业的相关业务会被纳入GDPR管辖范围(尤其是在欧盟设有实体的企业),还是相关业务仅仅受到中国法律的管辖,也无论是从防范法律风险还是增强企业商业竞争力的角度考虑,中国从业企业都需要密切关注相关监管动态及自身在个人信息保护方面的政策和具体做法。

我们建议,从业企业在日后的经营过程中,需要尽快全面自查并更新企业面向用户的相关协议文本及隐私政策,在关注相关协议文本是否完整获取企业提供服务需要获得的使用、共享、转移用户数据/信息的授权之外,还需要通过合规部门自查或聘请第三方专业机构协助自查,重点关注:

第一,有没有通过默认勾选、停止安装等手段直接或间接强制获取授权;

第二,有没有以兜底条款等方式,获取超过自身提供服务所需的用户授权;

第三,获取授权的内容及对授权内容的收集、处理与使用规则是否有用通俗易懂、简单明了的方式向用户展示;

第四,有没有为用户提供便捷查询已经授权企业获取的个人信息内容、协议与隐私政策等的途径;

第五,有没有为用户提供取消授权、删除账号等有效途径。

(感谢许仞峰、高雅、易嘉慧对本文写作的贡献)


[1] 据澎湃新闻2018年4月报道,该处罚系与其他两项违规行为一并作出,共处罚人民币18万元。参见“违规收集个人信息被罚五万!支付宝笑了”,网站链接:https://m.thepaper.cn/newsDetail_forward_2065324,最后访问日期:2019年1月27日。除此之外,根据报道, 2019年初,中国互联网协会在京组织召开手机APP收集和使用用户个人信息情况专家评议会。会议通告了一些APP疑似存在过度收集“短信”“通讯录”“位置”“录音”等用户敏感信息。宜人贷、你我贷、猪宝钱包、美期分期、信用白条、安逸花、掌e贷等互联网金融机构被点名通告未到场参会,被要求尽快与协会联系并明确问题,下一步协会将进行专门约谈并通告。参见网站链接:http://finance.china.com.cn/news/20190104/4859244.shtml,最后访问日期:2019年1月27日。

[2] 参见网信办官网“关于开展App违法违规收集使用个人信息专项治理的公告”,网站链接:http://www.cac.gov.cn/2019-01/25/c_1124042599.htm,最后访问日期:2019年1月27日。

[3] 参见第一财经“每个月都会有数据安全事件发生,个人信息保护形势依然严峻”,网站链接:https://www.yicai.com/news/100088846.html,最后访问日期:2019年1月27日。

[4] 同上。

[5] 具体参见中消协“100款App个人信息收集与隐私政策测评报告”,网站链接:http://www.cca.cn/jmxf/detail/28310.html,最后访问日期:2019年1月27日。

[6] 该次专项工作首批选取了京东商城、航旅纵横、滴滴出行、携程网、淘宝网、高德地图、新浪微博、支付宝、腾讯微信、百度地图十款网络产品和服务的隐私条款内容、展示方式和征得用户同意方式等进行综合评判。评判后,十款产品和服务在隐私政策方面根据评审要点,陆续修改并上线了新版的隐私条款。参见工信部“个人信息保护倡议书签署仪式举行 公布隐私条款专项工作评审结果”,网站链接:http://www.cac.gov.cn/2017-09/25/c_1121715816.htm,最后访问日期:2019年1月27日。

用微信扫描可以分享至好友和朋友圈

扫描二维码或搜索微信号“iweiyangx”
关注未央网官方微信公众号,获取互联网金融领域前沿资讯。

发表评论

发表评论

您的评论提交后会进行审核,审核通过的留言会展示在下方留言区域,请耐心等待。

评论

您的个人信息不会被公开,请放心填写! 标记为的是必填项

取消

监管是开放银行获得全球接受的最大挑战

栀航 02-12

欧盟委员会发布GDPR半年成绩单

JD Alois 01-29

5700万美元,谷歌收到GDPR法规发布后最大罚单

Pymnts 01-22

数据泄露事件频发,美国版GDPR或将出台

MM 01-07

GDPR:2018年表现疲软,2019年或将迎来新气象

栀航 01-04

版权所有 © 清华大学五道口金融学院互联网金融实验室 | 京ICP备17044750号-1