哪些个人信息是受法律保护的?
《网络安全法》定义,个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
即将于2021年11月1日正式施行的《个人信息保护法》也明确了,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
02
泄露用户信息,
员工和公司可能要承担哪些责任?
1. 民事责任
另外,根据《消费者权益保护法》相关规定,工商行政管理部门还可根据情节严重程度处以警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款,没有违法所得的,处以五十万元以下的罚款。
在阿里云事件中,浙江省通信管理局即采用了“责令改正”的方式予以处罚,该处罚针对的不是员工而是运营主体以及主要责任人,对于具体员工的处理,主要还是根据阿里云的内部规定。
2. 刑事责任
我国在刑事层面对个人信息保护也有相应的规定,可能会涉及侵犯公民个人信息罪。
根据《刑法》第二百五十三条之一的规定,侵犯公民个人信息罪是指违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。刑法由于其对应的有相应的刑罚情节,故而对个人信息保护的要求标准较高,需要有情节严重。
《刑法修正案九》已经明确单位在保护公民个人信息上负有监管责任。
03
公民遭遇信息泄露,如何维权?
第一,首先要收集证据线索,从民事角度来讲,可以与侵权方协商要求其停止侵权,赔礼道歉或者赔偿损失。
第二,可以向工信部等监管机构,例如向互联网管理部门、工商部门、消协、行业管理部门和相关机构进行投诉举报。
第三,向公安部门报案,根据刑法相关规定,向他人提供公民个人信息以及非法获取公民个人信息情节严重可能涉嫌刑事犯罪的,公安机关可以介入调查。
第四,通过诉讼手段维权
公民在发现个人信息泄露时,可以使用传统的诉讼手段来维护自己的权利,通过向侵权行为地或者被告住所地人民法院提起民事诉讼,追究泄露个人信息主体的民事责任。
第五,检察机关支持起诉或提起检查建议
根据《民事诉讼法》第十五条规定,机关、社会团体、企业事业单位对损害国家、集体或者个人民事权益的行为,可以支持受损害的单位或者个人向人民法院起诉。故公民在遇到个人信息泄露的时候,还可以向检察机关寻求帮助,检察机关可以通过支持起诉、发出检察建议等方式履行保护公民个人信息安全的职责。
这些维权方式的成本都比较高,打官司要请律师和承担时间成本,去报案或者举报的话要等有关部门的调查和处理。因此更重要的是各行各业应该加强信息保护力度。
04
企业应加强个人信息保护措施
① 网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
② 确定各部门、岗位和分支机构的用户个人信息安全管理责任。建立用户个人信息收集、使用及其相关活动的工作流程和安全管理制度
根据《网络安全法》第十条规定,建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。
个人信息保护任重而道远,尽管法律已经在大数据安全、个人信息保护上提供了有力的保障,但是还是需要信息处理者时刻保持警惕,完善内部管理制度,公民也要增强个人信息保护意识,及时止损。
相关法规 丨 Regulations
《中华人民共和国网络安全法》
第七十六条个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
《中华人民共和国个人信息保护法》
第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
《中华人民共和国网络安全法》
第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
《中华人民共和国消费者权益保护法》
第五十六条 经营者有下列情形之一,除承担相应的民事责任外,其他有关法律、法规对处罚机关和处罚方式有规定的,依照法律、法规的规定执行;法律、法规未作规定的,由工商行政管理部门或者其他有关行政部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款,没有违法所得的,处以五十万元以下的罚款;情节严重的,责令停业整顿、吊销营业执照:
(一)提供的商品或者服务不符合保障人身、财产安全要求的;
(二)在商品中掺杂、掺假,以假充真,以次充好,或者以不合格商品冒充合格商品的;
(三)生产国家明令淘汰的商品或者销售失效、变质的商品的;
(四)伪造商品的产地,伪造或者冒用他人的厂名、厂址,篡改生产日期,伪造或者冒用认证标志等质量标志的;
(五)销售的商品应当检验、检疫而未检验、检疫或者伪造检验、检疫结果的;
(六)对商品或者服务作虚假或者引人误解的宣传的;
(七)拒绝或者拖延有关行政部门责令对缺陷商品或者服务采取停止销售、警示、召回、无害化处理、销毁、停止生产或者服务等措施的;
(八)对消费者提出的修理、重作、更换、退货、补足商品数量、退还货款和服务费用或者赔偿损失的要求,故意拖延或者无理拒绝的;
(九)侵害消费者人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的;
(十)法律、法规规定的对损害消费者权益应当予以处罚的其他情形。
经营者有前款规定情形的,除依照法律、法规规定予以处罚外,处罚机关应当记入信用档案,向社会公布。
《中华人民共和国刑法修正案(九)》
十七、 将刑法第二百五十三条之一修改为:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
“违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
“窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
“单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”