【处理个人信息的禁止行为】
任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。
【条文主旨】
本条是关于处理个人信息的禁止行为的规定。
【条文理解】
本条采用禁止性规定的形式,明确禁止行为人从事危害国家安全、公共利益的个人信息处理活动。
遵守法律上关于禁止或者限制的规定,是个人信息处理者的普遍义务。从内容上看,本条在民法典第一千零三十五条第一款第四项“不违反法律、行政法规的规定和双方的约定”的基础上,首先,列举了非法收集等七种非法处理个人信息的行为,这七种非法行为及其表述与民法典第一百一十一条相一致。其次,进一步提出任何组织、个人不得危害国家安全、公共利益的要求,划定了处理个人信息的红线。
一、“非法”的含义与违法主体
本条“非法”中的“法”,按照体系解释,是指宪法、法律和行政法规。法律除了本法,还包括民法典、刑法、消费者权益保护法、电子商务法、网络安全法、数据安全法等,行政法规包括《互联网信息服务管理办法》等。违反宪法、法律或行政法规,个人信息处理者需要承担相应的法律责任。
另外,本条也明确了本法适用的主体为任何组织、个人,相比于其他原则性条款中将规范主体聚焦为“个人信息处理者”,本条所规范的主体具有广泛性。
二、类型化的“非法行为”
本条列举了七种具体的非法行为。从内容上看,首先,不得从事违反法律和行政法规禁止的行为,个人信息的收集、使用、加工、传输,以及买卖、提供或者公开都要遵循具体的法律规定,例如收集个人信息必须取得信息主体的同意、他人对个人信息的访问必须经过授权等。其次,任何组织、个人不得从事危害国家安全、公共利益的行为,例如故意泄露群众财产信息造成社会恐慌、扰乱正常社会秩序等。
本条在草案二审稿中的第一句表述为“任何组织、个人不得违反法律、行政法规的规定处理个人信息”,在正式通过的条文中改为了“任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息”,进一步细化了具体的违法行为,具有更强的指引性。同时,使整个法律条文与民法典第一百一十一条[25]中两个“不得”的表述相一致。
【适用指南】
一、相关违法行为
我国法律法规中,与个人信息相关的主要违法行为及相关规定如下:
根据刑法第二百五十三条之一规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,从重处罚;窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
根据民法典第一百一十一条规定,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
根据消费者权益保护法第二十九条规定,经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息;经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。
根据电子商务法第二十五条规定,有关主管部门应当采取必要措施保护电子商务经营者提供的数据信息的安全,并对其中的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。
根据数据安全法第三十八条规定,国家机关对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。
网络安全法中的个人信息保护体现在其第四章“网络信息安全”中。
二、网络平台责任
2020年,公安部公布了十起侵犯公民个人信息违法犯罪典型案件,具体犯罪行为包括非法盗取居民社保数据、平台用户数据等并在“暗网”贩卖、交易,非法收集公民的手机号码等个人信息并售卖,非法利用公民身份信息注册网络账号牟利,传播疫情防控重点人员信息等[26]。
在这些案件中,互联网平台有两个角色。一个是数据交易的媒介,即罪犯通过互联网平台进行个人信息的贩卖和交易,对此,互联网平台应加强对交易个人信息行为的监控,杜绝个人信息交易行为在平台中发生。另一个是被非法窃取的直接主体,即罪犯通过黑客等手段窃取互联网平台用户的个人信息或数据,对此,互联网平台应做好安全防范措施,保障用户数据安全。平台作为个人信息的收集者、处理者、利用者,责无旁贷。
【相关规定】
《中华人民共和国刑法》第二百五十三条;《中华人民共和国民法典》第一百一十一条;《中华人民共和国消费者权益保护法》第二十九条;《中华人民共和国电子商务法》第二十五条;《中华人民共和国网络安全法》;《中华人民共和国数据安全法》第三十八条。