案例解读
未履行个人信息保护义务的法律责任[22]
【案情简介】
2013年11月5日,林某订购了一张由成都飞往昆明的机票,订票同时将其手机号码告知航空公司,并于当日收到航空公司发送的成功出票信息及航班信息。11月9日,林某的手机收到一条信息,载明了林某的姓名及详细的航班信息,并提示林某所订购的航班因故将停飞,要求其通过拨打另一电话办理退票或改签手续。林某订了另一家航空公司的机票。后证实,林某于2013年11月5日订购的航班并未取消。因此,林某起诉航空公司,要求赔礼道歉和赔偿损失等。
航空公司使用××信公司的航班控制系统服务、计算机分销系统服务、民航商务数据网络服务和订座系统延伸服务;航空公司承诺其在中国境内的所有机票销售全部使用××信公司的系统处理完成。因此航空公司辩称,其使用的是××信公司的服务系统,航空公司无法对录入该系统的旅客信息进行有效的监控,林某遭遇“航班取消”短信诈骗,可能是订票系统的环节出现了问题,被不法分子利用。二审法院认为,航空公司不论使用自身的系统还是第三方的系统销售机票,均应采取技术措施和其他必要措施,确保消费者信息安全。航空公司关于售票使用第三方服务系统而无法对消费者个人信息进行监控的辩解意见,不足以说明其已尽到了保障消费者信息安全的义务。综上,林某的证据虽不能证明其个人信息被泄露的具体环节,但已能证明其个人信息是通过航空公司的售票系统有关环节被泄露,且航空公司未尽到保障消费者个人信息安全的相关义务。因此航空公司应当承担侵权责任。
【案例焦点】
航空公司不论使用自身的系统还是第三方的系统销售机票,均应采取技术措施和其他必要措施,确保消费者信息安全。
【裁判要旨】
航空公司不仅负有确保消费者信息安全义务,还负有经营者在个人信息被泄露后采取补救措施的义务。本案中,航空公司在林某打电话告知其个人信息被泄露的情况后,没有立即采取有效措施就泄露事件对售票环节进行调查和补救,也没有积极协助林某向公安机关报案并积极向公安机关提供有关泄露渠道的线索,航空公司仅仅是告知林某该事件与航空公司无关,系犯罪分子所为,应当向公安机关报案,显然没有尽到经营者应当尽到的采取补救措施的义务,更有失社会责任意识。
【专家评析】
委托处理是个人信息处理过程中一种常见的处理手段。许多个人信息处理者并不具备相应的处理技术或基础设施,在收集到个人信息后,会委托给专业的服务企业进行处理,例如实践中的数据服务公司,会为大型企业提供数据清洗、数据结构化、数据分析等专业服务,其本质就是拥有用户个人信息的企业将一部分信息处理业务委托外包。虽然受托的个人信息处理者不是最终的控制者,但个人信息亦发生了客观流转,那么对个人信息安全就会相应地存在赋权不清、增加泄露与不当利用环节、监管动力不足和安全保护义务难以落实等现实问题,在控制者不直接参与信息处理的情形下,更容易导致个人信息安全风险。因此必须对受托方履行个人信息保护义务予以规定,防范在委托处理过程中造成个人信息泄露风险。
个人信息处理者应依法履行信息安全保护义务[23]
【案情简介】
甘肃省××市辖区内多家快递企业的快递单未对用户个人信息采取隐匿化等有效保护措施,直接显示客户姓名、电话号码等个人信息,存在泄露公民个人信息重大隐患。2020年6月29日,甘肃省××市人民检察院(以下简称××市院)收到群众举报上述线索并进行初步调查属实,于2020年8月11日立案调查。××市院通过对快递单拍照取证、走访营业网点、询问相关人员等方式,查明辖区各快递企业的快递单均未对收寄人姓名、手机号等采取隐匿化措施,也未进行信息安全提醒。
××市院与××市邮政管理局(以下简称市邮政局)就完善快递单个人信息保护措施进行多次磋商,并组织召开听证会,邀请人大代表、政协委员、人民监督员、律师、公益诉讼志愿者作为听证员。会上播放了快递单泄露公民信息新闻调查短片,讲解了相关法律政策,进行了多媒体示证,听取了市邮政局和快递企业代表意见。听证员一致认为:××市普遍存在快递单泄露公民个人信息风险,市邮政局对快递行业个人信息安全管理不到位,应当加强监管。2020年9月8日,××市院向市邮政局发出诉前检察建议,建议其依法全面履行快递市场安全监督管理职责,督促快递企业采取有效手段保护用户信息安全。
收到检察建议后,市邮政局印发《关于切实做好邮政行业用户信息安全保护的通知》并进行专项整改:对快递企业负责人集体约谈,要求快递企业规范管理和定期销毁快递运单,杜绝倒卖用户信息前科人员从事快递行业,对快递单采取隐匿化技术处理等措施;开展公民个人信息安全法制宣传,对快递员进行用户信息安全培训。
2020年10月14日,市邮政局就整改情况向××市院进行了书面回复。经抽样调查,快递企业有的在运单上加盖了个人信息保护提示印章,有的在快递网点和快递车悬挂了信息安全提醒标语。顺丰快递单和快递员通信终端用户手机号已全部实现隐匿化技术处理。其他快递企业正在参照推进。各快递企业销毁纸质运单105万份,所有快递企业今后不再留存纸质运单。
【案例焦点】
针对快递单等在公民生活中常见的体现个人信息的载体,个人信息处理者应当进行隐匿化技术处理,如果存在隐患,检察机关可以督促行政机关加强快递收发前端和末端的监管,避免个人信息泄露风险。
【专家评析】
快递管理系统和运单存储大量公民个人信息,容易被不法分子获取、利用,危及公民人身、财产安全,侵害社会公共利益。检察机关围绕快递收发前端和末端的个人信息泄露风险,通过随机问卷调查听取社情民意,通过诉前磋商和公开听证与行政机关和快递企业代表进行会商,共同提出切实可行的保护方案。监督行政机关依法全面履行监管职责,督促快递企业多方面完善公民个人信息保护措施,消除安全隐患,以最小的司法投入取得最佳的办案效果。
[1] 刘俊臣:《关于〈中华人民共和国个人信息保护法(草案)〉的说明》,载中国人大网,http://www.npc.gov.cn/npc/c30834/202108/fbc9ba044c2449c9bc6b6317b94694be.shtml,最后访问时间:2021年8月23日。
[2] 《全国人民代表大会宪法和法律委员会关于〈中华人民共和国个人信息保护法(草案)〉审议结果的报告》,载中国人大网,http://www.npc.gov.cn/npc/c30834/202108/a528d76d41c44f33980eaffe0e329ffe.shtml,最后访问时间:2021年8月23日。(https://www.daowen.com)
[3] 杨合庆:《〈中华人民共和国网络安全法〉释义》,中国民主法制出版社2017年版,第73页。
[4] 网络安全法第二十一条规定:“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任……”
[5] 网络安全法第四十五条规定:“依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。”第五十九条第一款规定:“网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。”
[6] 数据安全法第二十七条第二款规定:“重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。”
[7] 王锡锌:《个人信息国家保护义务及展开》,载《中国法学》2021年第1期。
[8] 杨合庆:《〈中华人民共和国网络安全法〉释义》,中国民主法制出版社2017年版,第73页。
[9] 参见龙卫球:《个人信息保护法具有深远的国际意义》,载《经济参考报》2021年8月23日。
[10] See Article 27 of GDPR:The controllers or processors not established in the Union shall designate in writing a representative in the Union.
[11] See Article 3 of GDPR:2. This Regulation Applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:(a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or (b) the monitoring of their behaviour as far as their behaviour takes place within the Union.
[12] 个人信息保护法在域外管辖问题上,采用了与数据安全法同样的原则。数据安全法第二条第二款规定,在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
[13] 参见刘明辉、史德刚主编:《审计》,东北财经大学出版社2017年版,第445页。
[14] 《中华人民共和国个人信息保护法(草案)》第五十三条规定:“个人信息处理者应当定期对其个人信息处理活动、采取的保护措施等是否符合法律、行政法规的规定进行审计。履行个人信息保护职责的部门有权要求个人信息处理者委托专业机构进行审计。”
[15] 参见王春晖:《〈个人信息保护法(草案)〉(二审稿)解析》,载《中国电信业》2021年第7期。
[16] 参见《工信部召开全国视频会议 部署推进2020年电信和互联网行业网络数据安全管理工作》,载工信部官网,https://wap.miit.gov.cn/jgsj/waj/gzdt/art/2020/art_6e57ed2502b f414e893c7c3bd9c7189d.html,最后访问时间:2021年11月7日;《关于做好我省2020年电信和互联网行业网络数据安全管理工作的通知》,载江西省通信管理局官网,https://jxca.miit.gov.cn/zwgk/tzgg/art/2020/art_2a6cf5d04e7843feb2136ce3d7462c32.html,最后访问时间:2021年11月7日。
[17] See Article 35 of GDPR:3. A data protection impact assessment referred to in paragraph 1 shall in particular be required in the case of:
(a) a systematic and extensive evaluation of personal aspects relating to natural persons which is based on automated processing, including profiling, and on which decisions are based that produce legal effects concerning the natural person or similarly significantly affect the natural person;
(b) processing on a large scale of special categories of data referred to in Article 9(1), or of personal data relating to criminal convictions and offences referred to in Article 10; or
(c) a systematic monitoring of a publicly accessible area on a large scale.
[18] 即产品或服务发布前,业务功能发生重大变化时,法律法规有新的要求时,业务模式、信息系统、运行环境发生重大变更时,发生重大个人信息安全事件时。
[19] Asia-Pacific Economic Cooperation, APEC Privacy Framework,2004/AMM/014rev1(Nov.2004).参见丁晓东:《论个人信息法律保护的思想渊源与基本原理——基于“公平信息实践”的分析》,载《现代法学》2019年第3期。
[20] 李明发、胡安琪:《论互联网社会自治在规则层面的实现》,载《电子政务》2018年第3期。
[21] 肖红军、李平:《平台型企业社会责任的生态化治理》,载《管理世界》2019年第4期。
[22] 案号:(2015)成民终字第1634号。
[23] 《甘肃省××市人民检察院督促整治快递单泄露公民个人信息行政公益诉讼案》,载最高人民检察院官网,https://www.spp.gov.cn/spp/jcgyssljgrxxbh/202104/t20210422_527817.shtml,最后访问时间:2021年10月7日。