《电子商务法》课件第13章.pptx

1、1电子商务中的个人信息保护电子商务中的个人信息保护 第一节个人信息的概念个人信息的概念 网络安全法第76条第5款对“个人信息”作了明确定义，并列举了部分个人信息种类：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”其他法律法规如电信和互联网用户个人信息保护规定、互联网企业个人信息保护测评标准定义相似。个人信息概念的核心是个人身份的可识别性，即通过这些信息就可识别出唯一特定的个人。最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定中没

2、有直接定义“个人信息”，而是在第1条中规定了利用信息网络侵害人身权益的权利范围，包括姓名权、名称权、名誉权、荣誉权、肖像权、隐私权等人身权益。同时在第12条列举了一些常见的个人信息形式，包括基因信息基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息。2“个人信息个人信息”与与“数据数据”的关系的关系 数据和信息关系密切，“信息通过数据生成、传输和储存，控制数据即掌握了相关信息”。1但两者也有概念上的区别，表现为“信息的外延大于数据，数据只是信息的一种表达形式，信息还可用其他形式进行表达，如传统媒体。”2由于两者存在这样的密切联系，很多法律文件中并不严格区分两

3、者，而是交叉使用。如欧盟一般数据保护条例中，“定义”部分采用了“Personal Data”（个人数据）的英文表述，但将个人数据定义为“可以识别自然人的信息”。在民法总则中“个人信息”保护同人格权、名誉权等人身性质的权利规定在一起。而将“数据”的规定放在“股权”、“知识产权”等财产性权利之后。可见，我国立法对“数据”更强调其财产属性，而对“个人信息”则更多强调其人身属性。3个人信息权利个人信息权利保护个人信息的权利基础，不同国家的立法实践和学术理论有不同的理解。在美国，个人信息不被滥用和非法披露属于隐私权的一部分。但也有学说认为个人信息是一种财产权益，个人信息保护的权利基础应当是财产权。3欧盟

4、立法将个人信息权利规定为公民的一项基本权利，属于人格权的范畴。4一般认为，我国立法明确了个人信息权利的界限，将个人信息获得保护规定为一项独立的权利，与隐私权相区别。54个人信息权利与隐私权的个人信息权利与隐私权的关系关系隐私权和个人信息权利在内涵、外延上都存在差异，王利明教授总结了两种权利的异同。6两者的主要共同点包括：（1）两者的权利主体都仅限于自然人，而不包括法人；（2）两者都体现出个人对其私人生活的自主决定；（3）两者在客体上存在关联，不希望被他人获知的个人信息属于隐私，部分个人信息的保护客体也属于隐私的范畴；（4）侵权后果存在竞合性，披露隐私个人信息可能导致两种侵权责任的竞合。5但两者

5、也有明显的差异性，主要包括这几个方面：71.权利属性的区别。从权利属性上看，“隐私权主要是一种精神性的人格权，虽然其可以被利用，但其财产价值并非十分突出，隐私主要体现的是人格利益，侵害隐私权也主要导致的是精神损害。”而个人信息在市场经济社会具有明显的经济价值。2.“隐私权是一种消极的、防御性的权利，隐私权是一种消极的、防御性的权利，在该权利遭受侵害之前，个人无法积极主动地行使权利，而只能在遭受侵害的情况下请求他人排除妨害、赔偿损失等。”个人个人信息权则还包括主信息权则还包括主动利用的侧面。动利用的侧面。公民有权充分认识自己对其个人信息状态的控制程度。如公民有权获知自己的哪些信息被哪些市场主体取

6、得了，这些主体对个人信息的利用是怎样的，是否有滥用、泄露、篡改的情况，等等。6个人信息权利与隐私权的关系个人信息权利与隐私权的关系 2.权利客体的区别在客体上，隐私权和个人信息权利并不完全重合。“隐私主要是一种私密性的信息或私人活动而个人信息注重的是身份识别性。”有的个人信息经本人同意公开，不属于隐私；有的隐私内容并没有形成信息。3.权利内容的区别隐私权的内容主要包括维护个人的私生活安宁、个人私密不被公开、个人私生活自主决定等，注重保护个人不受干扰的状态。而个人信息权更注重对个人信息的支配和自主决定。4.保护方式的区别从权利保护的方式来看，“对个人信息的保护应注重预防，而隐私的保护则应注重事后

7、救济。因为个人信息不仅仅关系到个人利益，还有可能涉及到公共利益、公共安全，而隐私则更多地是涉及个人，并不涉及公共利益或公共安全。”5.责任承担的区别隐私权侵害主要采取精神损害赔偿的方式，而个人信息权利也可采用财产救济的方式。7电商平台的信息披露电商平台的信息披露 个人信息权利保护原则个人信息权利保护原则 我国立法中网络安全法第41条第1款规定：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。”明确了个人信息收集、保存和使用的原则。在41条第2款更具体的规定这些原则：“网络运营者不得

8、收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。”除了网络安全法第四十一条明确提到的这三项原则以外，我们还可以总结出网络安全法对个人信息收集、使用的另一要求，即“知情同意原则知情同意原则”。网络安全法第41条第1款规定了网络运营者收集、使用个人信息应当“公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。”8个人信息权利的内容个人信息权利的内容从以上四项个人信息收集使用的原则中，可以总结出网络用户在个人信息权利的两项内容：对信息收集、使用方式的知情同意权；个

9、人信息不被泄露及滥用的权利。对应的是网络运营者的三项义务：第一，依法收集用户信息的义务；第二，对用户信息的保密义务；第三，信息数据安全保障义务。这里的保密义务主要是指不得违法主动出售、泄露、篡改、销毁信息，而安全保障义务则指采取必要措施防止信息泄露。此外，网络安全法第44条还对社会不特定多数人设置了不得窃取、非法获得个人信息的义务。9个人信息的个人信息的“合理使用合理使用”及其限制及其限制最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定进一步明确了个人信息被泄露、不当公开的界限。其中第12条通过列举的方式指明了不得被不当公开的个人信息的种类，主要包括：“网络用户或

10、者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息，造成他人损害，被侵权人请求其承担侵权责任的，人民法院应予支持。”该条同时规定了不构成侵权的例外情况：（一）经自然人书面同意且在约定范围内公开；（二）为促进社会公共利益且在必要范围内；（三）学校、科研机构等基于公共利益为学术研究或者统计的目的，经自然人书面同意，且公开的方式不足以识别特定自然人；（四）自然人自行在网络上公开的信息或者其他已合法公开的个人信息；（五）以合法渠道获取的个人信息；（六）法律或者行政法规另有规定。10个人信息的个人信息的“合理使用合理使用”及其限制及其

11、限制但对于第四项、第五项中的个人信息和国家机关行使职权公开的个人信息，有特殊规定，第12条第2款、第3款：“网络用户或者网络服务提供者以违反社会公共利益、社会公德的方式公开前款第四项、第五项规定的个人信息，或者公开该信息侵害权利人值得保护的重大利益，权利人请求网络用户或者网络服务提供者承担侵权责任的，人民法院应予支持。”“国家机关行使职权公开个人信息的，不适用本条规定。”第十二条第一款规定的六种例外情况可以总结为：即约定、同意发布或出于公共利益的考虑对个人信息的利用不构成侵权。称之为个人信息的“合理使用”。但第二款同时又对“合理使用”规定了界限，即不能以违背公序良俗或者侵害权利人重大利益的方式

12、利用这些信息。11个人信息的个人信息的“合理使用合理使用”及其限制及其限制第十三条便紧接着规定了网络用户或者网络服务提供者，根据国家机关依职权制作的文书和公开实施的职权行为等信息来源所发布的信息一般不构成侵权，但有四种情况例外：（一）网络用户或者网络服务提供者发布的信息与前述信息来源内容不符；（二）网络用户或者网络服务提供者以添加侮辱性内容、诽谤性信息、不当标题或者通过增删信息、调整结构、改变顺序等方式致人误解；（三）前述信息来源已被公开更正，但网络用户拒绝更正或者网络服务提供者不予更正；（四）前述信息来源已被公开更正，网络用户或者网络服务提供者仍然发布更正之前的信息。12电子商务个人信息保护

13、规范电子商务个人信息保护规范网络安全法、工业和信息化部电信和互联网用户个人信息保护规定、网络信息保护决定等法律法规还对网络个人信息的收集、使用的具体流程作了规定。电商平台在这些法律法规中对应的概念是“网络运营者”。这些普遍适用于“网络运营者”的法律规则都适用于电商平台。这些规则可以分为：1.针对网络运营者信息收集和使用的规则2.针对网络运营者信息安全保障措施的规则3.相关监管部门对网络运营者监督检查的规则。13个人信息保护规范：信息收集规则个人信息保护规范：信息收集规则 对于信息收集过程，重点在同意和知情，各类规则都规定了应当同意和知情的事项。网络安全法第41条第1款规定：“个人信息的收集应当

14、以用户同意为前提，并应公开信息收集、使用的规则明示收集、使用信息的目的、方式和范围。”电信和互联网用户个人信息保护规定中进一步细化了应当知情的内容，主要包括：收集、使用信息的目的、方式和范围，查询、更正信息的渠道以及拒绝提供信息的后果等事项。（第9条第一款）14个人信息保护规范：信息使用规则个人信息保护规范：信息使用规则 关于个人信息的使用。网络安全法禁止个人信息的泄露、篡改、毁损，禁止将个人信息非法出售或提供给他人，并规定用户有权要求网络运营者删除违法使用或未按约定使用的个人信息。第42条第1款 网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，

15、经过处理无法识别特定个人且不能复原的除外。第43条 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。第44条 任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。15个人信息保护规范：信息使用规则个人信息保护规范：信息使用规则 工信部工信部电信和互联网用户个人信息保护规定电信和互联网用户个人信息保护规定则对则对网络安全网络安全法法的规则做了细化。：的规则做了细化。：第九条 未

16、经用户同意，电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的，应当明确告知用户收集、使用信息的目的、方式和范围，查询、更正信息的渠道以及拒绝提供信息的后果等事项。电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的，不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后，应当停止对用户个人信息的收集和使用，并为用户提供注销号码或者账号的服务。法律、行政法规对

17、本条第一款至第四款规定的情形另有规定的，从其规定。16网络运营者还应当建立相应的监督管理和投诉机制，从制度上保护用户个人信息。网络安全法第四十九条：“网络运营者应当建立网络信息安全投诉、举报制度，公布投诉、举报方式等信息，及时受理并处理有关网络信息安全的投诉和举报。网络运营者对网信部门和有关部门依法实施的监督检查，应当予以配合。电信和互联网用户个人信息保护规定第十二条：“第十二条 电信业务经营者、互联网信息服务提供者应当建立用户投诉处理机制，公布有效的联系方式，接受与用户个人信息保护有关的投诉，并自接到投诉之日起十五日内答复投诉人。”17个人信息保护规范：监督管理和投诉机个人信息保护规范：监督

18、管理和投诉机制义务制义务 电子商务法规定了电商经营者有义务配合有关主管部门，提供数据、信息，而主管部门则有义务保护这些数据、信息的安全。第25条规定：“有关主管部门依照法律、行政法规的规定要求电子商务经营者提供有关电子商务数据信息的，电子商务经营者应当提供。有关主管部门应当采取必要措施保护电子商务经营者提供的数据信息的安全，并对其中的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供。”第87条特别规定了有关主管部门的工作人员违法泄露、出售或非法提供这些信息，需要承担法律责任：“依法负有电子商务监督管理职责的部门的工作人员，玩忽职守、滥用职权、徇私舞弊，或者泄露、出售或者非法向

19、他人提供在履行职责中所知悉的个人信息、隐私和商业秘密的，依法追究法律责任。”18个人信息保护规范：配合主管机关及个人信息保护规范：配合主管机关及其保密义务其保密义务网络运营者对个人信息的保护，除了不能主动泄露、滥用以外，还应采取必要的安全保障措施，防止个人信息被其他组织或个人非法取得并非法利用。网络安全法第22条从技术角度规定了网络运营者应当尽到的安全保障义务：“网络产品、服务应当符合相关国家标准的强制性要求：网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。”“网络产品、服务的提供者应当为其

20、产品、服务持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护。”“网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。”19安全保障措施规范：技术要求安全保障措施规范：技术要求安全保障除了技术性规则以外，还有制度性要求。即网络运营者除了要采取适当的网络安全技术外，还应当建立一套行之有效的安全管理责任体系，如明确安全管理责任、流程，对工作人员和代理人员实行权限管理等。具体措施规定在电信和互联网用户个人信息保护规定第13条，包括：（一）确定各部门、岗位和分支机构的用户个人信息安全管理

21、责任；（二）建立用户个人信息收集、使用及其相关活动的工作流程和安全管理制度；（三）对工作人员及代理人实行权限管理，对批量导出、复制、销毁信息实行审查，并采取防泄密措施；（四）妥善保管记录用户个人信息的纸介质、光介质、电磁介质等载体，并采取相应的安全储存措施；（五）记录对用户个人信息进行操作的人员、时间、地点、事项等信息；（六）按照电信管理机构的规定开展通信网络安全防护工作；（七）电信管理机构规定的其他必要措施。20安全保障措施规范：管理制度要求安全保障措施规范：管理制度要求网络安全法第21条对于安全等级保护的规定为：“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，

22、履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。21安全保障措施规范：等级保护要求安全保障措施规范：等级保护要求如果发生安全隐患或事故，造成个人信息泄露或可能泄露时，除了寻求民事救济，还应当启动应急预案并及时向有关

23、部门申请帮助。网络安全法第25条规定：“在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。”电信和互联网用户个人信息保护规定第14条更细致地对上报的对象作了规定，并规定了在相关管理部门调查处理时的配合义务：“电信业务经营者、互联网信息服务提供者保管的用户个人信息发生或者可能发生泄露、毁损、丢失的，应当立即采取补救措施；造成或者可能造成严重后果的，应当立即向准予其许可或者备案的电信管理机构报告，配合相关部门进行的调查处理。电信管理机构应当对报告或者发现的可能违反本规定的行为的影响进行评估；影响特别重大的，相关省、自治区、直辖市通信管理局应当向工业和信

24、息化部报告。电信管理机构在依据本规定作出处理决定前，可以要求电信业务经营者和互联网信息服务提供者暂停有关行为，电信业务经营者和互联网信息服务提供者应当执行。”22安全保障措施规范：安全保障措施规范：应急应急预案和报告预案和报告网络个人信息保护的监督检查，主要监管主体是电信管理机构，对象是电信业务经营者、互联网信息服务提供者。网络安全法第50条规定：“国家网信部门和有关部门依法履行网络信息安全监督管理职责，发现法律、行政法规禁止发布或者传输的信息的，应当要求网络运营者停止传输，采取消除等处置措施，保存有关记录。”这里提到的禁止发布或传输的信息，自然也包括非法泄露的个人信息。除了信息泄露的时候处置

25、外，网络安全法还规定国家网信部门建立网络信息安全风险评估和应急工作机制，并组织演练。（第五十三条）省级以上网信部门，还可以根据风险评估的结果，约谈其网络运营商责任人，并要求其改建安全措施、消除隐患。（第五十六条）未尽到相应义务的，将被处以行政处罚。（第六十六条、六十九条）23个人信息保护监督监管个人信息保护监督监管电信和互联网用户个人信息保护规定第十七条：“电信管理机构应当对电信业务经营者、互联网信息服务提供者保护用户个人信息的情况实施监督检查。电信管理机构实施监督检查时，可以要求电信业务经营者、互联网信息服务提供者提供相关材料，进入其生产经营场所调查情况，电信业务经营者、互联网信息服务提供者

26、应当予以配合。电信管理机构实施监督检查，应当记录监督检查的情况，不得妨碍电信业务经营者、互联网信息服务提供者正常的经营或者服务活动，不得收取任何费用。”第二十条：“电信管理机构应当将电信业务经营者、互联网信息服务提供者违反本规定的行为记入其社会信用档案并予以公布。”第二十一条：“鼓励电信和互联网行业协会依法制定有关用户个人信息保护的自律性管理制度，引导会员加强自律管理，提高用户个人信息保护水平。”24个人信息保护监督监管个人信息保护监督监管窃取他人个人信息、发布违法取得的个人信息，是侵犯他人的个人信息权利的侵权行为，因此根据侵权责任法应当承担相应的民事责任（直接侵权责任）。未能尽到个人信息安全

27、保障义务的网络运营者，除了要承担相应的民事侵权责任外，根据网络安全法的规定还要承担行政责任。入侵计算机信息系统窃取个人信息甚至可能涉嫌犯罪，按照刑法规定须承担刑事责任。25侵犯个人信息权利的法律责任侵犯个人信息权利的法律责任 根据侵权形式的不同，侵犯个人信息权利的主体也有多种可能。侵犯个人信息权利，也可以分为直接侵权和间接侵权两种形式。比如侵权行为人将违法取得的个人信息发布在电商平台，或利用电商平台出售个人信息，平台就可能构成间接侵权，此类主体的侵权责任同样适用“通知-删除”规则和“红旗”规则。针对个人信息权利的直接侵权，主要规定在消费者权益保护法和侵权责任法中。其中消费者权益保护法规定经营者

28、侵害消费者人格尊严、侵犯消费者人身自由，应当承担民事责任，其责任承担形式包括“停止侵害、恢复名誉、消除影响、赔礼道歉，并赔偿损失”。（消费者权益保护法第五十条）同时，个人信息中存在部分非公开信息，性质上属于个人隐私。因此，对更一般的个人信息泄露可以适用隐私权保护的相关规范。侵权责任法第二条中明确将隐私权纳入民事权利的范畴，侵犯隐私权应当承担侵权责任。26民事责任民事责任此外，最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定规定了侵犯个人信息权利的责任承担方式、经济损失计算的相关内容。既可以包括赔礼道歉、删除影响等精神性的责任承担方式，也可以包括财产赔偿、精神损害赔

29、偿等财产性的承担方式，第17条规定：“网络用户或者网络服务提供者侵害他人人身权益，造成财产损失或者严重精神损害，被侵权人依据侵权责任法第20条和第22条的规定请求其承担赔偿责任的，人民法院应予支持。”第18条第2款规定：“被侵权人因人身权益受侵害造成的财产损失或者侵权人因此获得的利益无法确定的，人民法院可以根据具体案情在50万元以下的范围内确定赔偿数额。”27民事责任民事责任目前，个人信息泄露的侵权维权比较困难，有媒体报道了五起个人信息维权案件，没有一例适用了前面提到的这几项规则，支持了网络用户的个人信息权利。2014年2月3日，天津市民刘敏(化名)在“天猫”上购买了一张2月28日由天津至西安

30、的天津航空公司机票。但在2月27日，刘敏收到了一条航班取消的短信，拨打短信中的咨询电话后，刘敏觉得对方向其索要账号存在蹊跷，此后经过核实，航班并未取消。刘敏将天津航空和淘宝公司起诉到了天津市东丽区法院，认为只有两名被告知道其隐私信息，并险些造成自己被诈骗。要求对方赔礼道歉并赔偿2.9元。一审法院并未支持刘敏的请求。理由是刘敏没能提供证据证明两名被告泄露了其个人信息，且两名被告并不是掌握刘敏个人信息的唯一介体。天津航空提交了一份中国民用航空局第214号令，指出其是通过中国民航信息网络股份有限公司提供的计算机订座系统提供订票服务。一审法院还认为，发送航班取消短信的人可能涉嫌诈骗犯罪，在公安机关立案

31、侦破以前，法院不能确定是两名被告泄露了刘敏的个人信息。28民事责任案例一民事责任案例一目前比较成功的案例是消费者组织提起公益诉讼的方式。如江苏省消费者保护委员会针对百度移动应用程序提起的公益诉讼。江苏省消委会认为“在手机百度、百度浏览器两款手机移动应用程序消费者安装前，未告知消费者其所获取的各种权限及目的、未取得用户同意的情况下，获取诸如监听电话、定位、读取短彩信、读取联系人、修改系统设置等各种权限”，江苏省消委会认为这些权限是敏感而不必要的，侵犯了消费者的个人信息保护权利，代表消费者向南京市中级人民法院提起公益诉讼。由于百度在受诉后已经调整了相关移动应用程序的权限请求，江苏省消委会已经撤诉并

32、获法院同意。29民事责任案例二民事责任案例二 网络安全法第64条第1款规定了网络运营者和不特定社会公众违反个人信息保护的相关义务的行政责任。网络运营者违反个人信息保护相关义务，可以处以没收违法所得或最高相当于违法所得十倍的罚款。没有违法所得的，可以处以一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。任何个人或组织，违反网络安全法第64条第2款的相关规定，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得

33、一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款。消费者权益保护法第56条第9项同样规定了经营者侵犯消费者个人信息保护权利，可能受到的行政处罚为“责令改正单处或者并处警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款，没有违法所得的，处以五十万元以下的罚款；情节严重的，责令停业整顿、吊销营业执照”。30行政责任行政责任行政机关主动查处，是保护电子商务消费者个人信息权利的另一有效途径。比2018年1月11日，针对近期媒体报道相关手机应用软件存在侵犯用户个人信息的问题，工业和信息化部信息通信管理局约谈了北京百度网讯科技有限公司（百度）、蚂蚁金服集团公司（支付宝）、北京字节跳动科技有限公

34、司（今日头条）。信息通信管理局要求各互联网企业严格遵守相关法律法规，遵循合法、正当、必要的原则收集使用个人信息，不得收集服务所必需以外的用户个人信息，不得将信息用于提供服务之外的目的，不得非法向他人出售或提供个人信息，同时进一步优化服务协议、用户隐私政策和手机权限调用说明，切实保障网用户知情权和选择权，维护用户合法权益。相关企业均表示将按照要求进行整改。831行政责任案例行政责任案例刑法中个人信息权利保护的直接规定，是253条之一的“侵犯公民个人信息罪”，其中规定：“非法向他人出售或提供公民个人信息的，可以判处三年以下有期徒刑或拘役，并处或者单处罚金；情节特别严重的，可以处以七年以下有期徒刑，

35、并处罚金。（刑法第二百五十三条之一第一款）同时规定，在履行职责或者提供服务过程中获得个人信息，非法出售或提供给他人的，依照前款的规定从重处罚。（刑法第二百五十三条之一第二款）除此之外，关于侵害个人信息保护的犯罪还包括侮辱罪、诽谤罪以及私自开拆、隐匿、毁弃邮件、电报罪；盗窃罪。（刑法第二百四十六条、第二百五十三条）32刑事责任刑事责任目前公民个人信息泄露的问题引起社会广泛关注，这些泄露的信息通过互联网形成了相当规模的地下产业链，为电信诈骗等违法犯罪行为提供了便利。曾有媒体报道，有大学生因个人信息泄露遭遇电信诈骗，损失学费而猝死的新闻。可见打击信息泄露、买卖的地下产业链，刻不容缓。公安部曾于201

36、6年4月起部署全国公安机关开展为期半年的打击整治网络侵犯公民个人信息犯罪专项行动，“累计查破刑事案件750余起，抓获犯罪嫌疑人1900余名，缴获信息230余亿条，清理违法有害信息35.2万余条，关停网站、栏目610余个，专项行动取得明显成效。”但打击侵犯公民个人信息犯罪，显然还需要更加长远持续的努力。最高人民法院于2017年发布一批侵犯公民个人信息犯罪典型案例，从中可以总结出典型的侵犯公民个人信息犯罪行为包括：第一，利用黑客手段窃取公民个人信息出售。第二，非法买卖公民网购、住宿、户籍、征信等各类信息记录。第三，非法提供近住宿记录供他人查询牟利。这三类犯罪行为，分别代表了对个人信息的非法获取、非

37、法交易和非法利用。33刑事责任刑事责任34域外个人信息保护立法域外个人信息保护立法第二节欧盟个人信息保护立法欧盟个人信息保护立法各国对个人信息保护的权利基础理解不同，个人信息保护立法也有不同的模式。欧盟将个人信息规定为一种独立的权利，其立法也采取的是集中立法模式。而美国更重视市场调整和行业自律，除了前面提到过的隐私权范围内的个人信息外，采取的是在各个行业领域分散立法的模式。欧盟个人信息保护立法采取集中立法的模式，欧盟议会于2016年4月14日通过了一般数据保护条例（General Data Protection Regulation），并于2018年5月25日在欧盟成员国内正式生效实施。在此之

38、前，欧盟的个人信息保护立法是欧洲数据保护指令（95/46/EC）。一般数据保护条例堪称有史以来最严格的个人信息权利保护规范，在此选取其中关键性的规则加以简要介绍。35商户入驻审核商户入驻审核为了维护市场交易秩序和保护消费者权益，法律法规会对各类经营者设置准入资格的限制。这些限制既有一般的法律主体资格和商事登记的要求，也有进入关系到人民群众生命、健康、财产安全、国家舆论、环境等特别重要市场的特殊行政审批。电商平台需要设立相应的准入规范，对入驻平台的站内商户经营者进行审核。审核也对应的体现在两个方面。第一，从站内商户在平台注册固定的商户账号，过程中应设置验证机制，验证站内商户经营者的身份、工商登记

39、等信息，并收集经营者的身份信息。为了保障消费者权利受到侵害时能够顺利维权，这些信息应当存储、保存，在消费者维权需要时提供给消费者。第二，如法律法规对涉及的具体市场领域有特殊准入限制，还需要验证商户经营者是否确已具备了相关经营资质，比如在线销售药物，需要核验药品经营许可证。36欧盟法中个人信息的定义欧盟法中个人信息的定义在一般数据保护条例第四条“定义”中，将个人信息定义为：“已识别到的或可被识别到的自然人（“数据主体”）的各种信息。特别是指向数据主体的姓名、身份识别号码、定位数据、在线身份或者一项或多项特征，明确指向自然人的物理的、心理的、基因的、精神的、经济的、文化的或社会的身份。”条文中使用

40、的概念是“个人数据”（Personal Data），但在定义中将其定义为“信息”（Information），可以见一般数据保护条例的保护对象重在信息的载体数据。37个人信息权的内容：同意个人信息权的内容：同意权权关于个人信息权利的主要内容，一般数据保护条例也将“知情同意”作为个人信息保护最核心的原则，并具体规定了知情和同意的主要内涵。其第4条第11项将“同意”定义为：“数据主体的同意是指数据主体依照其意愿自由作出的、特定的、知情的及明确的指示。指示应以声明或明确肯定的行为作出，表明数据主体同意处理与其相关的个人数据。”数据主体对数据收集、处理的“同意”不能是笼统的，而必须是明确的、特定的。一般

41、数据保护条例第7条第1款规定了有效同意的要件，有效同意的要件之一是，数据控制者必须能够证明，数据主体确实同意处理其个人数据，注意这里的证明责任在数据控制者一方。第2款规定：如果数据主体通过书面声明的方式作出同意，且书面声明涉及其他事项，那么同意应以易于理解且与其他事项显著区别的形式呈现。一般数据保护条例还特别规定了儿童的个人信息需要其监护人的同意，并要求各成员国不得将“儿童”的年龄限制设定在13周岁以下。（第8条）38个人信息权的内容：知情权个人信息权的内容：知情权除了同意，个人信息权利的另一个主要内容是“知情”，其措辞为“信息透明度及其形式”。这一权利内容主要规定在第12条、13条，包括了数

42、据控制者为了让数据主体了解自己的信息是如何被收集、处理、使用的，所应当提供给数据主体的各种信息。根据一般数据保护条例的规定，处理个人数据的各类组织机构必须使用清晰、简洁的语言，以简明、透明、易懂、容易以简明、透明、易懂、容易获得的形式获得的形式提供关于数据控制者身份和联系方式、信息保护官的联系方式、信息使用的目的和方式等信息。以及如何查询自身信息，修改、删除个人信息的方式和途径等信息。在第14条还规定了如从其他主体而不是数据主体处直接获得数据主体的个人信息时，数据控制者所应向数据主体告知的信息。39个人信息权的内容：其他权利个人信息权的内容：其他权利除了同意权、知情权外，数据主体权利还包括其他

43、一些个人信息权利。这些权利贯穿了从数据传输、使用、处理的全部过程。访问权（第15条）：是指数据主体有权要求确认是否正在处理与其有关的个人数据以及（在确认答案是肯定的情况下）访问其个人数据并获得特定信息。纠正权（第16条）：是指数据主体有权要求纠正与其有关的不准确个人数据。删除权（第17条）：又称被遗忘权，是指在某些情况下，数据主体可以要求删除其个人信息的权利。这些特定情况包括：个人数据对最初收集该等个人数据的目的而言不再是必需的；数据处理系基于同意且该等同意被撤回；数据主体反对处理，且数据处理无令人信服的正当处理理由；个人数据系非法收集；为了遵守法定义务，必须删除个人数据；个人数据处理涉及向儿

44、童提供信息社会服务。40个人信息权的内容：其他权利个人信息权的内容：其他权利限制处理权（第18条）：是指数据主体有权要求数据控制者暂停数据处理。这一权利主要用于某些权利的行使条件是否满足尚未核实之前，数据主体有权要求数据控制者暂停处理以避免潜在的损失。如数据主体对个人数据的准确性提出质疑，希望行使纠正权，但准确性是否确有问题需要核实，此时可以要求行使限制处理权，暂停数据控制者对自己个人数据的处理。移植权（第20条）：指若个人信息处理是基于数据主体的同意或数据处理是以自动方式进行的，则数据主体有权从控制者处接收其提供给控制者的个人数据，并将其传输给其他数据控制者。拒绝权和自主决定权（第21条、第

45、22条）：这一权利主要是针对“数据画像”，根据一般数据保护条例第四条的定义，数据画像是指“为评估与自然人相关的某些个人情况，特别是为了分析或预测该自然人的工作表现、经济状况、健康状况、个人偏好、兴趣、可信度、行为、位置或行踪，而对个人数据进行的任何形式的自动化处理和利用。”数据画像通过大数据分析来实现对数据主体的消费习惯、经济能力等信息的分析和挖掘。一般数据保护条例要求数据控制者在对数据主体进行数据画像时应当保护数据主体自主决定的权利，且数据主体有权拒绝被数据画像。41责任主体的主要义务：数据主体的种类责任主体的主要义务：数据主体的种类“数据控制者（Data Controller）”与“数据处

46、理者（Data Processor）是欧盟个人信息立法中的两个关键概念，二者合称为责任主体。“数据控制者”是指单独或与他人联合决定个人信息处理的目的和方式的主体。比如收集客户信息的移动端应用程序（APP）运营者等。它们可决定个人信息收集的目的和使用模式。“数据处理者”是指具体为数据控制者进行运算、处理信息的主体（但不包括数据控制者的雇员）。如网络服务供应商、电信运营商或其他外包商等。按照原欧盟个人信息保护指令，“数据控制者”对个人信息保护承担主要责任，直接对信息主体负责，确保有关的法律得到遵守；而“数据处理者”所承担的责任要小得多，它们基于合同对“数据控制者”负责。一般数据保护条例强化了“数据

47、处理者”的责任，赋予数据处理者与数据控制者相似的法律责任，并在第28条规定如果数据处理者对数据的处理、使用做了特别重大的决定，那么它将获得数据控制者的地位。42个人信息保护个人信息保护责任责任主体主体的义务的义务数据控制者的一般义务主要包括总体上应遵守一般数据保护条例（第24条），从设计开始就应当注重数据保护（第25条第1款），数据必须默认不得对公众开放（第25条第2款），与联合控制者在数据保护方面的义务承担应当明确（第26条），并应设立在欧盟之外的控制者或处理者的代表（第27条），以及记录关键的数据处理活动信息的义务（第30条）。数据处理者的一般义务主要规定在第28条，包括处理数据应当得到控

48、制者的授权，对数据保密，采取必要的措施保证数据安全，在数据处理完毕后删除原始信息及其复制件等。43个人信息保护个人信息保护责任主体的责任主体的义务义务安全安全保障义务保障义务一般数据保护条例专门规定了数据控制者和处理者所应尽到的安全保障义务，在第32条中，规定了数据控制者、处理者所应采取的技术手段。第33条中，规定了在数据泄露时所应采取的通知和补救义务。第34条中还特别规定，如果某些信息泄露可能造成数据主体权利和自由的严重损害，控制人应当用清楚明确的语言与数据主体进行交流，提醒数据主体这一高风险。数据数据保护评估义务保护评估义务这一项义务主要针对高风险的数据处理技术。如果某种数据处理方法，可能

49、给数据主体的数据安全带来较高风险，一般数据保护条例第35条规定，数据控制者在进行该等操作之前，应当首先对这种技术给数据安全带来的影响进行评估，并应征求数据安全专员的意见。这一法条还规定，各成员国的监管机构应该就哪些数据处理技术必须进行这一评估，哪些数据处理技术不必进行这一评估，分别列出清单。其中第三款明确了数据画像技术属于需要进行评估的技术。44个人信息保护个人信息保护责任主体的责任主体的义务义务设置数据安全专员的义务数据控制者和处理者在符合法定条件的情况下需要任命一名数据安全专员。数据安全专员的职责是根据一般数据保护条例以及各成员国的国内相关立法，协助数据主体保护数据安全，并提醒数据控制者、

50、处理者潜在的合规风险，并配合监管机构。接受欧盟及成员国政府监管的义务一般数据保护条例的第40条至第43条，给各成员国、监管机构、欧洲数据保护委员会和欧盟委员会设定了在行为准则和认证中的义务。这里的“行为准则”指的是对各国的数据控制者、处理者设置的义务规范。而“认证”则类似于本书第一编第五章中所提到的标准指引。45个人敏感信息个人敏感信息除了上述个人信息权利和数据控制者、处理者的义务外，一般数据保护条例还规定了一类特别敏感，可能会对数据主体的个人自由和权利带来潜在严重影响的数据，并禁止任何数据控制者、处理者在法定豁免情况之外，收集、处理此类信息。（第9条）这些信息主要包括三类：第一，种族或民族出