鏈法研究:“公信寶”數據之殤,案涉法律問題解讀
大數據、雲計算、人工智能等領域的快速發展,讓加強個人信息保護的呼聲不斷高漲。從深層次來講,個人信息的保護,不僅涉及到對個人基本權利的保護,還涉及到產業發展、國家戰略、國家安全等多方面的問題。
對於企業而言,數據合規工作的形勢緊迫、任重道遠。隨著日益嚴格的監管及可能面臨的刑事制裁壓力,數據合規工作的開展迫在眉睫。
對於區塊鏈行業來講,近日陷入數據風波的公信寶,會面臨怎樣的法律問題?能給我們哪些啟示?
近日,一則公信寶(杭州存信數據科技有限公司)辦公室被查封的視頻在網絡流傳,業內多家媒體進行了核實,此事證實為真。
公開資料顯示,公信鏈GXChain 是一條為全球數據經濟服務的基礎鏈,旨在打造可信數據的價值網絡。公信寶將藉由區塊鏈技術,起到一個去中心化的平台作用,對接數據買賣雙方,當買方需要數據時,通過區塊鏈技術向全網進行廣播,而數據源通過查詢自身離線數據庫,如果有相關數據則進行智能合約交易,如果沒有就不進行後續操作。
有業內人士向媒體表示,此次公信寶被查的原因與區塊鏈業務並沒有關係。有分析認為,大概率是因為“數據”的事情,而不是因為“區塊鍊和發幣”的事情。包括早前為網貸提供數據,爬蟲抓數據、數據、購買黑數據,知名的風控數據提供商摩羯科技、新顏科技相關人員被警方帶走調查,同時包括魔蠍、有盾、新顏、天機、聚信立等均已經主動或是被動地停止了爬蟲服務。
在媒體曝出的一份2018年產品價格服務表中,公信寶介紹了其爬蟲類數據類型涵蓋社保、學信網、京東、電信、移動、聯通、智聯招聘、芝麻信用分、微信、支付寶,甚至是人行徵信數據等。 (以上內容來源於、金色財經等媒體)
公開資料顯示,杭州存信數據科技有限公司的經營範圍包括了數據處理技術、區塊鏈技術等,其股東除了黃敏強之外,還包括李笑來和真格基金。
在其軟件著作權一覽,爬蟲軟件赫然在列。
依稀記得,在2018年一篇被業內稱為寫區塊鏈寫的最好的文章中曾提及,大數據容易作惡,而區塊鏈技術的出現,有可能幫助互聯網去偽存真,回到其本來的意義,即去中心化的平等體制。打著“做自己數據的主人”口號的公信寶,因為數據問題遭遇滑鐵盧,讓人唏噓。
如果此次事件真如猜測的那樣與區塊鏈無關,而是栽在“數據”上,也並不能說是“空穴來風”。
大數據、雲計算、人工智能等領域的快速發展,讓加強個人信息保護的呼聲再次高漲。從深層次來講,個人信息的保護,不僅涉及到對個人基本權利的保護,還涉及到產業發展、國家戰略、國家安全等多方面的問題。
需要強調的是,爬蟲本身在法律上並不被禁止,但利用爬蟲技術獲取數據就有一定的法律風險。惡意爬蟲會面臨各種法律問題,包括侵犯著作權、侵犯商業秘密、侵犯個人隱私和個人信息、構成不正當競爭,嚴重的,侵入計算機系統的,還構成刑事犯罪。
事實上,關於個人信息的研究和保護,早已成為司法熱點,已被列入國家的立法計劃。
“個人信息”的法律定義是什麼?
2019年8月22日,民法典人格權編草案在十三屆全國人大常委會第十二次會議上進行第三次審議。草案二審稿對個人信息範圍界定作出了具體規定:個人信息的範圍包括自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。草案三審稿在二審稿對個人信息範圍界定的基礎上將自然人的“電子郵箱地址”和“行踪信息”納入個人信息的範圍。
此外,為了加強對個人信息的保護,草案三審稿將“使用”個人信息修改為“處理”個人信息,並增加規定:個人信息的處理包括個人信息的使用、加工、傳輸、提供、公開等。進而盡可能涵蓋個人信息保護的各個環節。
在學術界,對於個人信息的定義也達成了基本的共識:即個人信息是指能夠單獨或者組合後識別特定個人的一切信息,包括姓名、性別、年齡、體重、檔案、醫療記錄、收入、家庭住址、電話號碼、汽車發動機號、電腦序列號,甚至是行走路線、消費習慣、上網瀏覽記錄等。個人信息最基本的特徵是具有識別性,不論是直接的還是間接的、單一信息抑或組合信息,只要能夠判斷出特定個人的信息即認為屬於個人信息。
如果從語義上理解,個人信息就是與自然人有關的全部信息。
如果公信寶如外界猜測的那樣,將可能會面臨什麼樣的法律責任?
違反個人信息保護的相關規定,其法律責任可能包括民事、行政和刑事責任。
民事責任
非法披露個人信息主要可構成侵犯個人隱私權或名譽權等人身性權利,需要承擔相應的民事責任(主要包括賠償損失、賠禮道歉、消除影響和恢復名譽等),其法律依據為《中華人民共和國侵權責任法》和《最高人民法院關於審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》。
行政責任
如果違反相關個人信息保護規定,相關政府的主管部門(例如工信部)可責令限期改正、處以警告、罰款、沒收違法所得、吊銷許可證或者取消備案、關閉網站、禁止有關責任人員從事網絡服務業務等行政處罰,同時可將違法記錄記入社會信用檔案並予以公佈。
刑事責任
在《中華人民共和國刑法修正案(七)》中第七條:在刑法第二百五十三條後增加一條,作為第二百五十三條之一:“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員,違反國家規定,將本單位在履行職責或者提供服務過程中獲得的公民個人信息,出售或者非法提供給他人,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金。
“竊取或者以其他方法非法獲取上述信息,情節嚴重的,依照前款的規定處罰。
“單位犯前兩款罪的,對單位判處罰金,並對其直接負責的主管人員和其他直接責任人員,依照各該款的規定處罰。”
可以看出,修正案七對出售或非法提供個人信息的適用單位範圍有限定,且刑罰較輕,無法有效遏制違法買賣、洩露個人信息的違法行為。
在2015年11月1日公佈的《中華人民共和國刑法修正案(九)》第十七條中規定:將刑法第二百五十三條之一修改為:“違反國家有關規定,向他人出售或者提供公民個人信息,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金。
“違反國家有關規定,將在履行職責或者提供服務過程中獲得的公民個人信息,出售或者提供給他人的,依照前款的規定從重處罰。
“竊取或者以其他方法非法獲取公民個人信息的,依照第一款的規定處罰。
“單位犯前三款罪的,對單位判處罰金,並對其直接負責的主管人員和其他直接責任人員,依照各該款的規定處罰。”
此外,在兩高和公安部的一則關於依法懲處侵害公民個人信息犯罪活動的通知中指出:
當前,一些犯罪分子為追求不法利益,利用互聯網大肆倒賣公民個人信息,已逐漸形成龐大“地下產業”和黑色利益鏈。買賣的公民個人信息包括戶籍、銀行、電信開戶資料等,涉及公民個人生活的方方面面。部分國家機關和金融、電信、交通、教育、醫療以及物業公司、房產中介、保險、快遞等企事業單位的一些工作人員,將在履行職責或者提供服務過程中獲取的公民個人信息出售、非法提供給他人。
獲取信息的中間商在互聯網上建立數據平台,大肆出售信息謀取暴利。非法調查公司根據這些信息從事非法討債、詐騙和敲詐勒索等違法犯罪活動。此類犯罪不僅危害公民的信息安全,而且極易引發多種犯罪,成為電信詐騙、網絡詐騙以及滋擾型“軟暴力”等信息犯罪的根源,甚至與綁架、敲詐勒索、暴力追債等犯罪活動相結合,影響人們群眾的安全感,威脅社會和諧穩定。
個人信息保護的立法現狀
總體來說,我國目前尚沒有統一的個人信息保護法,與個人信息保護的規定散見於法律、法規、規章和司法解釋中。
但是近些日子以來,有關個人信息和數據合規相關的法律規定,步入立法快車道。
比如《兒童個人信息網絡保護規定》《信息安全技術移動互聯網應用(App)收集個人信息基本規範(草案)》《數據安全管理辦法》《個人信息出境安全評估辦法》《個人信息安全規範》《數據安全管理辦法》《App違法違規收集使用個人信息行為認定方法(徵求意見稿)》等。
另外,2019年4月10日,公安部網絡安全保衛局、北京網絡行業協會、公安部第三研究所聯合發布了《互聯網個人信息安全保護指南》。
個案推動法治
從個案上看,轟動全國、被評選為“2017年推動法治進程十大案件”之一的徐玉玉被電信詐騙案催生了《民法總則》中關於個人信息保護的條款,有人將之稱為“徐玉玉條款”:《民法總則》第一百一十一條規定,「自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的,應當依法取得併確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。」
企業如何做好個人信息保護合規
需要強調的是,對於企業而言,數據合規工作形勢緊迫、任重道遠。隨著日益嚴格的監管及可能面臨的刑事制裁壓力,尤其是對於數據企業,數據合規工作要兼顧深度和廣度。
縱向上,要做到數據來源的合法、數據使用的合法,如果數據出境,也要做到出境的合法。在橫向上,要保證數據的安全以及相應的風險防控工作等。
合規工作的開展,要形成製度化、常規化、體系化。企業應當要建立健全網絡安全及數據保護有關的合規制度與合規體系,這其中要包括合規流程的建立、配套對應的人力。
對於很多區塊鏈行業的公司來講,比如同意和收集用戶個人信息的範圍以及對應的隱私政策等文件的草擬,比如要了解政策要求哪些數據只能存儲在境內?這要求企業對用戶數據進行審查,並形成相應的審查機制。比如錢包企業涉及到支付業務時,要避免將用戶信息存儲在境外服務器。
此外,鑑於目前我國對個人信息保護的監管趨勢趨嚴,也在不斷推出新的法律法規,涉及到數據的企業,需要密切跟進法律進展和立法動態,要確保處理個人信息的措施符合相關法律的要求。針對企業數據合規,鏈法律師團隊也會在以後的文章中分章節進行詳細的介紹,有興趣的讀者朋友們還請保持關注。
