公民的個人信息自從進入信息化時代,監管層為了維護網絡安全和社會穩定,從而要求實名認證,但是監管的漏洞又造成濫用個人信息,而且又發生了數起有社會惡劣影響的事宜(如大學生被電信詐騙,騙光了學費導致跳河自殺、滴滴專車姦殺空姐等),導致引發社會熱議。國家監管層針對這一突出的社會問題,對此類信息的應用之合法合規相繼出臺了若干法律法規的規定。本文采用羅列法條的方式對此問題進行闡述說明。
一、公民個人信息的概念
根據《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第一條的規定,“公民個人信息”,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息,包括姓名、身份證件號碼、通信通訊聯繫方式、住址、賬號密碼、財產狀況、行蹤軌跡等。
另外,根據《中華人民共和國網絡安全法》第七十六條“本法下列用語的含義:(五)個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限於自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。”
上述兩個法條中共同的規定是姓名、身份證號碼、住址;相似的規定是通信通訊聯繫方式/電話號碼;不同之處是財產狀況、行蹤軌跡、出生日期、個人生物識別信息。
當公民個人信息受到侵犯時,公民個人自救行為的權利有哪些?
根據《中華人民共和國網絡安全法》第四十三條規定“個人發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的,有權要求網絡運營者刪除其個人信息;發現網絡運營者收集、存儲的其個人信息有錯誤的,有權要求網絡運營者予以更正。網絡運營者應當採取措施予以刪除或者更正。”
至於條文中的“個人”是否包含被限制人身自由的個人比如罪犯,這類個人是不是也有這項權利,另文論述。
其他的自力救濟散見於其他法律規範中,不一一例舉。
二、侵犯公民個人信息的行為
(一)作為
1、洩露 :根據《中華人民共和國居民身份證法》第十九條的規定“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員洩露在履行職責或者提供服務過程中獲得的居民身份證記載的公民個人信息。”根據《中華人民共和國居民身份證法》第二十條“人民警察有下列行為之一的,根據情節輕重,依法給予行政處分;構成犯罪的,依法追究刑事責任:……(五)洩露因製作、發放、查驗、扣押居民身份證而知悉的公民個人信息,侵害公民合法權益的。”根據《中華人民共和國護照法》第二十條第五項規定“ 護照簽發機關工作人員在辦理護照過程中有下列行為之一的,依法給予行政處分;構成犯罪的,依法追究刑事責任:……(五)洩露因製作、簽發護照而知悉的公民個人信息,侵害公民合法權益的”。
根據《公安信息網安全管理規定(試行)》第十六條“公安信息網用戶(是指建設、開發、使用、運維公安信息網的公安機關、公安民警以及經授權使用的警務輔助人員等)不得越權訪問公安信息網,不得越權使用公安信息資源,不得洩露公安信息網上警務工作秘密、公民個人信息等不宜對外公開的信息。”
2、洩露、篡改、毀損:根據《中華人民共和國網絡安全法》第四十二條第一款“網絡運營者不得洩露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識別特定個人且不能復原的除外。”
3、竊取、非法出售/提供:根據《中華人民共和國網絡安全法》第四十四條“任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息。”
(二)不作為
1、保密/保護義務 :根據《中華人民共和國居民身份證法》第十三條第二款規定“有關單位及其工作人員對履行職責或者提供服務過程中獲得的居民身份證記載的公民個人信息,應當予以保密。”根據《中華人民共和國護照法》第十二條規定“護照簽發機關及其工作人員對因製作、簽發護照而知悉的公民個人信息,應當予以保密。”
根據《中華人民共和國網絡安全法》 第四十二條第二款“網絡運營者應當採取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息洩露、毀損、丟失。在發生或者可能發生個人信息洩露、毀損、丟失的情況時,應當立即採取補救措施,按照規定及時告知用戶並向有關主管部門報告。” 根據《中華人民共和國網絡安全法》第四十五條“依法負有網絡安全監督管理職責的部門及其工作人員,必須對在履行職責中知悉的個人信息、隱私和商業秘密嚴格保密,不得洩露、出售或者非法向他人提供。”
2、明示義務:根據《中華人民共和國網絡安全法》第二十二條第三款“網絡產品、服務具有收集用戶信息功能的,其提供者應當向用戶明示並取得同意;涉及用戶個人信息的,還應當遵守本法和有關法律、行政法規關於個人信息保護的規定。”根據《中華人民共和國網絡安全法》第四十一條“網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意。”
3、境內存儲義務:根據《中華人民共和國網絡安全法》第三十七條第一款“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。”
4、禁止性行為:根據《中華人民共和國網絡安全法》第四十一條第二款“網絡運營者不得收集與其提供的服務無關的個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,並應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人信息。”
三、法律後果
(一)尚不構成犯罪的
1、根據《中華人民共和國居民身份證法》第十九條的規定“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員洩露在履行職責或者提供服務過程中獲得的居民身份證記載的公民個人信息,尚不構成犯罪的,由公安機關處十日以上十五日以下拘留,並處五千元罰款,有違法所得的,沒收違法所得。單位有前款行為,構成犯罪的,依法追究刑事責任;尚不構成犯罪的,由公安機關對其直接負責的主管人員和其他直接責任人員,處十日以上十五日以下拘留,並處十萬元以上五十萬元以下罰款,有違法所得的,沒收違法所得。有前兩款行為,對他人造成損害的,依法承擔民事責任。”
2、根據《中華人民共和國護照法》第二十條第五項規定“ 護照簽發機關工作人員在辦理護照過程中有下列行為之一的,依法給予行政處分;……(五)洩露因製作、簽發護照而知悉的公民個人信息,侵害公民合法權益的”。
3、根據《公安信息網安全管理規定(試行)》第三十三條“公安民警違反本規定,造成嚴重後果的,對責任人員和主管領導按照《公安機關人民警察紀律條令》等有關規定予以處分;造成洩密或者存在嚴重保密違法違規行為的,依紀依法予以處分。對非公安民警違反本規定的,參照公安民警管理及相關法律法規予以處理,並依法依規追究責任民警及主管領導的責任。”
4、根據《中華人民共和國網絡安全法》第六十四條“網絡運營者(是指網絡的所有者、管理者和網絡服務提供者)、網絡產品或者服務的提供者違反本法第二十二條第三款、第四十一條至第四十三條規定,侵害個人信息依法得到保護的權利的,由有關主管部門責令改正,可以根據情節單處或者並處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款,沒有違法所得的,處一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款;情節嚴重的,並可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照。違反本法第四十四條規定,竊取或者以其他非法方式獲取、非法出售或者非法向他人提供個人信息,尚不構成犯罪的,由公安機關沒收違法所得,並處違法所得一倍以上十倍以下罰款,沒有違法所得的,處一百萬元以下罰款。”
(二)構成犯罪的
涉及的罪名是侵犯公民個人信息罪,根據《中華人民共和國刑法修正案(七)》第七條“在刑法第二百五十三條後增加一條,作為第二百五十三條之一:“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員,違反國家規定,將本單位在履行職責或者提供服務過程中獲得的公民個人信息,出售或者非法提供給他人,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金。 竊取或者以其他方法非法獲取上述信息,情節嚴重的,依照前款的規定處罰。 單位犯前兩款罪的,對單位判處罰金,並對其直接負責的主管人員和其他直接責任人員,依照各該款的規定處罰。 ”
又根據《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》,明確入罪的以下核心概念:
1、違反國家有關規定,是指違反法律、行政法規、部門規章有關公民個人信息保護的規定的。
2、提供公民個人信息,是指向特定人提供公民個人信息,以及通過信息網絡或者其他途徑發佈公民個人信息的;或者是指未經被收集者同意,將合法收集的公民個人信息向他人提供的,但是經過處理無法識別特定個人且不能復原的除外。
3、以其他方法非法獲取公民個人信息,是指違反國家有關規定,通過購買、收受、交換等方式獲取公民個人信息,或者在履行職責、提供服務過程中收集公民個人信息的。
在司法實踐中對於從業者的單位不是法條字面上理解的國家機關或者金融、電信、交通、教育、醫療等,而是擴張性解釋,涵蓋網絡借貸、徵信等涉及個人信息收集的一切單位。
本文未對合規收集使用個人信息的行為進行介紹和展開討論,諸如徵信機構的收集使用個人信息行為,將在下一篇文章中專題討論。綜上所述,本文希望能對從事個人信息收集工作的單位和從業人員有所幫助。
閱讀更多 ELAINE 的文章
