一、立法动态
1. 上海市丨发布《上海市信息基础设施管理办法》
1月9日,上海市人民政府第190次常务会议通过《上海市信息基础设施管理办法》(“以下简称《办法》”),自2023年3月1日起施行。
《办法》规定:在信息基础设施规划和建设环节,一是统一规划,二是集约建设,三是资源共享;在信息基础设施维护环节,一是明晰维护责任,二是明确事先告知,三是设定协议拆除和及时拆除情形;在信息基础设施管理方面,一是加强维护,二是明确禁止行为,三是加强应急处置,四是强化监督检查。
2. 深圳市发展和改革委员会丨发布《深圳市发展和改革委员会关于公开征求<深圳市数据产权登记管理暂行办法>(征求意见稿)意见的通告》
2月17日,深圳市发展和改革委员会就《深圳市数据产权登记管理暂行办法>(征求意见稿)》(“以下简称《办法》”)向社会公开征求意见,意见反馈截至2023年3月17日。
为规范数据产权登记行为,保护数据要素市场参与主体的合法权益,促进数据作为生产要素开放流动和开发利用,深圳市发展和改革委员会起草了《深圳市数据产权登记管理暂行办法》(征求意见稿)。
《办法》包括总则、登记主体、登记机构、登记行为、管理与监督、法律责任、附则共七章33条。《办法》指出制定的必要性:一是贯彻落实党中央国务院决策部署的重要举措;二是深化深圳数据要素市场化配置改革的必然要求;三是培育本市数据交易生态的迫切需要。
链接:《深圳市发展和改革委员会关于公开征求<深圳市数据产权登记管理暂行办法>(征求意见稿)意见的通告》
3. 国家互联网信息办公室丨公布《个人信息出境标准合同办法》
2月24日,国家互联网信息办公室公布《个人信息出境标准合同办法》(“以下简称《办法》”),自2023年6月1日起施行。
近年来,随着数字经济的蓬勃发展,个人信息出境需求快速增长。为满足日益增长的个人信息出境需要,保护个人信息权益,规范个人信息出境活动,《办法》规定了个人信息出境标准合同的适用范围、订立条件和备案要求,明确了个人信息出境标准合同范本,为向境外提供个人信息提供了具体指引。
4. 苏州丨立法禁止大数据“杀熟”,采集图像身份信息应遵守规定
3月1日起,《苏州市数据条例》(“以下简称《条例》”)正式施行。条例明确禁止大数据“杀熟”等行为,注重保护数据安全。
《条例》共七十条,设总则、数据资源、发展和应用等8章。条例提出要建立公共数据授权运营机制,支持政府把公共数据授权给符合安全监管条件的单位进行运营、加工、处理,形成数据产品和服务供第三方使用,既有效保障了数据安全,又能高效释放公共数据价值。针对屡遭诟病的大数据“杀熟”的情况,该条例明确规定,数据处理者不得利用数据分析对平等条件的对象实施不合理的差别待遇。
链接:《苏州市数据条例》
5. 证监会丨发布《证券期货业网络和信息安全管理办法》
为有效落实《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》相关要求,规范证券期货业网络和信息安全管理,防范化解行业网络和信息安全风险,维护资本市场安全平稳高效运行,证监会制定并发布了《证券期货业网络和信息安全管理办法》(以下简称《办法》)。《办法》将于2023年5月1日起正式实施。
《办法》聚焦网络和信息安全领域,在总结实践经验的基础上,为上位法在证券期货行业的落地实施明确了路径。《办法》全面覆盖了包括证券期货关键信息基础设施运营者、核心机构、经营机构、信息技术系统服务机构等各类主体,以安全保障为基本原则,对网络和信息安全管理提出规范要求,主要内容包括:网络和信息安全运行、投资者个人信息保护、网络和信息安全应急处置、关键信息基础设施安全保护、网络和信息安全促进与发展、监督管理和法律责任等。
二、行业动态
1. 内蒙古通信管理局:发布《关于APP侵害用户权益行为的通报(2023年第1批,第3批)》
关键词:网络安全 个人信息
依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,按照《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号)文件部署,内蒙古通信管理局组织第三方检测机构对部分属地活跃移动APP进行侵害用户权益安全检测,截止目前尚有19款APP未完成整改。
对逾期整改不到位的APP,内蒙古通信管理局将依法依规开展相关处置工作,具体措施包括组织APP下架、停止APP接入服务,以及将受到行政处罚的违规主体依法纳入电信业务经营不良名单或失信名单等。
链接:《关于APP侵害用户权益行为的通报(2023年第1批,第3批)》
2. 广东省:发布《2022广东省数字政府网络安全指数评估报告》
关键词:数字政府 网络安全
近期,广东省发布《2022广东省数字政府网络安全指数评估报告》(“以下简称《报告》”)。《报告》指出,广东加快数字政府网络安全防护体系建设,全省数字政府网络安全工作迈上新台阶、实现新跃升。
2022年广东省数字政府网络安全指数评估覆盖全省21个地市,采集约6.8万项数据。《报告》显示,全省数字政府网络安全指数从2020年53.81分提升至2022年64.19分,同比增长19.3%;网络安全指数达到受控级以上水平的地市由6个增加到12个,同比增长100%。
近年来,广东省委、省政府坚持发展与安全并重,在深化数字政府改革建设过程中,始终将网络和数据安全作为关乎改革成败的底线和生命线。为更好推动全省数字政府网络安全能力提升,广东勇于开拓创新,从2020年起在国内率先组织开展省数字政府网络安全指数评估工作,发布包含4个一级指标、24个二级指标、103个评估项的《广东省数字政府网络安全指数指标体系》,编制《广东省数字政府网络安全指数评估实施指南》对指数评估工作流程加以规范,进一步增强指数评估工作的科学性。
目前,全省数字政府网络安全指数评估工作已经成为广东指导推动各地各部门构建数字政府全方位安全保障体系的重要抓手。经过3年深入实践,网络安全工作从“看不见、摸不着”转变为“可量化、可评估”,为深化全国数字政府网络安全工作、筑牢数字政府安全生命线探索出广东路径。
3. 中央网信办:深入开展“清朗·2023年春节网络环境整治”专项行动 查处一批违法违规典型问题
关键词:清朗行动 网络环境
近期,中央网信办部署开展“清朗·2023年春节网络环境整治”专项行动,各网站平台强化春节期间值班值守,加大发现处置力度,集中查处一批违法违规典型案例,有效遏制网上突出问题,为广大网民营造出良好的春节舆论氛围。截至目前,重点平台累计拦截清理违法不良信息119万余条,各网站平台清理各类垃圾信息73万条,处置违规账号、群组16万余个,专项行动取得明显成效。
专项行动及时处置借春节档电影挑起互撕对立、诱导明星粉丝刷票冲量等问题;严肃查处恶意炒作炫耀服刑经历问题;严格管控编造虚假信息和虚假剧情问题;集中查处恶搞未成年人、诱导未成年人沉迷网络等问题;坚决整治网络赌博引流、传播低俗信息等问题。
链接:中央网信办深入开展“清朗·2023年春节网络环境整治”专项行动 查处一批违法违规典型问题
4. 上海市通信管理局:发布《关于印发<上海市信息通信领域轻微违法行为不予行政处罚清单>的通知》
关键词:互联网信息服务
为贯彻落实《法治政府建设实施纲要(2021-2025年》和《上海法治政府建设规划(2021- 2025年)》有关要求,根据《中华人民共和国行政处罚法》等法律、法规、规章的有关规定,结合上海市信息通信领域执法实际,2月23日,上海市通信管理局制定了《上海市信息通信领域轻微违法行为不子行政处罚清单》(“以下简称《清单》”),自2023年4月1日起施行,有效期至2028年3月31日。《清单》包括:违法行为、义务条款、处罚条款和不予处罚情形。
链接:《关于印发<上海市信息通信领域轻微违法行为不予行政处罚清单> 的通知》
5. 联合国发布《隐私增强技术指南》 聚焦官方统计数据中应用
关键词:隐私增强技术
2023年2月13日,联合国大数据和数据科学专家委员(UNCEBD)会发布《隐私增强技术指南》(“以下简称《指南》”)。
《指南》重点关注隐私增强技术在官方统计数据中的应用,旨在帮助各国的国家统计局更好地理解和运用隐私增强技术处理敏感数据,提升数据的准确性和安全性,进而助力政府科学合理决策。隐私增强技术是用于安全处理和共享敏感数据的技术,旨在平衡隐私保护和数据可用性,可以分为输入端和输出端两大类。
《指南》的主体部分包含五个章节:第一章是背景简介,第二章是方法分类,第三章是各国案例研究,第四章是技术标准,第五章是法律和监管。《指南》重点介绍了七种隐私增强技术的技术概况、发展历史、安全模型和使用成本等,分别是:多方安全计算(sMPC)、同态加密(HE)、差分隐私(DP)、合成数据、分布式学习、零知识证明(ZK)、是可信执行环境(TEE)和安全飞地。
《指南》提出了五大合规要点:
一是强烈建议任何涉及到使用隐私增强技术进行数据分析的项目都应当尽早咨询法律专家,尽量在技术参数部署之前完成相应的合规审查,否则会大大增加合规成本和违法风险。
二是立法一般不会强制性使用隐私增强技术,但是隐私增强技术客观上可以满足法律对于“数据最小化”“数据保护设计”“默认数据保护”等要求,特定监管机构可能会针对某些特殊场景推荐或要求使用特定的隐私增强技术。
三是隐私增强技术的使用必须要与现行法律、政策和社会文化规范相协调一致,以负责任的态度开辟新的发展机遇。
四是涉及到使用来自两个及两个以上司法管辖区的数据集会使情况变得更加复杂,应当充分考虑跨境数据规制等要求。
五是不同法系和司法管辖区对于同一隐私增强技术在特定场景下的使用是否适当可能会做出不同判断,希望立法者及时发布隐私增强技术适用的案例指导。
链接:联合国发布《隐私增强技术指南》 聚焦官方统计数据中应用
6. 首个地方政府公共数据授权运营实施方案拟落地杭州
关键词:公共数据
为加快公共数据有序开发利用,培育数据要素市场,杭州市近日起草了《杭州市公共数据授权运营实施方案(试行)》(征求意见稿),从2023年2月17日至2023年3月18日公开向社会征求意见。
《方案》提出,2023年底前,初步建立公共数据授权运营工作机制,构建授权运营综合评价体系,发布首批授权的公共数据资源目录,完成公共数据授权运营平台搭建,初步形成运营管理、产品定价、收益分配、技术标准等运作模式,实质性开展授权运营工作。
2025年底前,迭代升级公共数据授权运营平台,形成20个以上有价值、可推广的数据产品和服务,发布一批典型应用案例,培育一批公共数据授权运营生态企业,促进数据要素的市场化流通。
该意见稿中的数据范围、推进节奏、明确收益如何分配等要点在业内广受关注。业内认为,该意见稿是杭州市的有益探索,为数据确权、授权运营、收益分配等环节提供了完整可行的方案,目标明确、机制完善,为其他地区推进数据要素提供了示范。
三、案件聚焦
1. 案例丨全国首例网游代练不正当竞争案宣判 代练平台被判赔偿近百万元
【案情简介】
近日,腾讯公司发现一款名为“代练帮”的APP以“返现金”等方式,引诱、鼓励包括未成年人在内的用户,通过其平台进行《王者荣耀》代练交易。腾讯公司称,未成年人可以通过代练,获得成年人的游戏账号,绕过“防沉迷”机制进入游戏。
腾讯公司认为,代练行为使得游戏运营处于被查处的风险中,也极大地损害了社会公共利益,于是要求该APP立即停止上述行为,并赔偿经济损失及维权合理开支共计450万元,APP运营方则辩称:游戏代练等同于游戏陪玩,属于服务性质,因此不构成不正当竞争。
【审理情况】
浦东法院审理后认为,尽管该APP运营方与腾讯公司登记的经营范围不完全相同,但其为腾讯公司的用户提供商业化代练交易,以其经营活动和用户群体作为自身经营的基础资源,故对该APP运营方提出的双方所处行业不同而不具有竞争关系的观点不予采纳。
【法院观点】
浦东法院认为,该APP允许用户通过其平台进行游戏代练交易等一系列行为,破坏了《王者荣耀》游戏的公平竞技机制,损害了消费者的游戏体验和合法利益。该公司从中获取分成收益,系将他人享有竞争性权益的网络游戏作为获利工具;该行为亦使得用户可绕开游戏中的实名制和防沉迷措施,导致运营机制落空,妨碍了网络游戏运营秩序,故认定该APP存在不正当竞争。浦东法院经审理后作出一审判决,认为该APP运营方构成不正当竞争,判决其立即停止该行为,并赔偿腾讯公司经济损失及维权合理开支共98.5万元。
【典型意义】
2021年8月30日,国家新闻出版署出台通知,要求游戏厂商只能在周五、周六、周日和法定节假日的20时至21时为未成年人提供服务。该案涉及未成年人保护,因此法院在开庭审理前,向被告发出诉前禁令,要求立即停止APP运行,防止未成年人继续获得成年人游戏账号。
2. 案例丨贵州省贵阳市南明区人民检察院督促整治校园周边噪声污染大数据监督案例
【案情简介】
2022年3月,贵州省贵阳市南明区人民检察院检察官在履行法治副校长工作职责过程中,接到某中学师生反映,该校周边凌晨时段快速公交专用车道经常有摩托车“飙车”“炸街”,周边建筑工地在午休时段也时常有打桩机轰鸣作业,严重影响师生的学习和休息,不少学生出现了失眠和焦虑问题。
检察机关经过进一步调查,发现其他学校周边也存在不同程度的交通运输、建筑工地、社会生活等噪声污染。同时,检察机关发现,由于校园周边噪声污染变化大、种类多、取证难,交管、住建、环保等部门分别负有不同职能,各自掌握部分信息,对噪声污染的监管存在局限性,容易导致监管盲区,噪声污染问题难以根治。
经大数据比对和筛选,检察机关累计识别出参与道路“飙车”“炸街”人员59人(其中未成年人15人),确定建筑工地噪声污染18处,社会生活噪声污染50处。
【裁判结果】
2022年4月,检察机关将校园周边噪声污染治理问题依法以行政公益诉讼案件立案,就交通运输噪声问题依法向交管部门发出诉前检察建议。检察机关联动交管、住建、公安、市场监管、环保、城市综合执法、教育等职能部门制定了《还“静”于校 校园周边噪声专项整治活动方案》,开展了校园周边噪声污染专项整治,各职能部门整治辖区校园周边噪声污染26处,整治“飙车”“炸街”团伙7批共计59人,扣押摩托车11辆,勒令整改摩托车40辆,协调妇联、团委等对“飙车”“炸街”的15名未成年人及家庭进行法治教育和家庭教育。
【裁判理由】
检察机关通过环保、交管、住建等部门获取噪声举报、噪声值数据、道路监控抓拍、建筑工地施工备案、噪声污染行政处罚等数据信息,经对这些数据信息的综合分析,筛选出校园周边存在的噪声污染行为和噪声污染源,噪声污染违法行为未被行政机关处罚和治理的案件线索。数据分析的关键点在于及时确定声音是否超标、噪声污染行为是否得到行政机关的有效治理。根据《中华人民共和国噪声污染防治法》《贵州省环境噪声污染防治条例》《中华人民共和国声环境质量标准GB3096-2008》等规定,学校等建筑物属噪声敏感建筑物,夜间噪声不得超过45分贝,昼间噪声不得超过55分贝,机动车消声器和喇叭必须符合国家规定。由于相关规定未能得到有效贯彻执行,同时校园周边环境噪声污染源分散多发,噪声污染问题的精确“捕捉”和督促治理,是发挥检察职能维护未成年人良好校园成长环境的重点内容。
3. 案例丨|纪某等人侵犯公民个人信息、非法拘禁案
【案情简介】
2016年底至2018年3月,被告人纪某作为中间人,教授谢某等人通过上网购买位置信息、在汽车上安装GPS、使用设备定位、到被害人住处附近蹲守等方式,非法获取特定被害人个人信息,帮助委托人寻找被害人,以收取居间费用谋取非法利益。2017年10月,被告人纪某非法向恶势力犯罪集团首要分子谷某提供被害人位置信息,以协助谷某找到并非法控制被害人。后在明知谷某强行控制被害人的情况下,仍然为其驾车,帮助谷某实施非法拘禁活动。
【裁判结果】
法院认为,纪某违反国家规定,非法获取并向他人出售公民个人信息,其行为已构成侵犯公民个人信息罪,其与谷某共同故意实施非法拘禁的犯罪行为,已构成非法拘禁罪。据此,以侵犯公民个人信息罪判处被告人纪某有期徒刑二年六个月,罚金人民币十万元;以非法拘禁罪判处被告人纪某有期徒刑一年,合并执行有期徒刑三年,罚金人民币十万元。
【典型意义】
公民个人信息因涉及公民人身、财产隐私,极易通过信息网络传播、非法交易等方式,被不法分子大量窃取、利用,催生下游关联犯罪,严重威胁公民人身安全、财产安全和社会管理秩序。本案的处理不仅严厉打击了利用非法手段出售、提供、获取公民个人信息等犯罪,亦打击了以侵犯公民个人信息的方式带动其他下游犯罪的行为,切断其与下游犯罪的链条,对从源头上预防和减少犯罪发生具有意义,为犯罪分子敲响了警钟。
4. 案例丨儿童个人信息的司法保护—杭州市余杭区人民检察院诉某短视频平台未成年人保护民事公益诉讼案
【案情简介】
公益诉讼起诉人在办理徐某某猥亵儿童刑事案件时发现,某科技公司运营的某短视频App存在侵害众多不特定儿童个人信息的侵权行为,具体包括:
1.未以显著、清晰的方式告知并征得儿童监护人有效明示同意的情况下,允许注册儿童账户,并收集、存储儿童网络账号、位置、联系方式,以及儿童面部识别特征、声音识别特征等个人敏感信息;
2.在未再次征得儿童监护人有效明示同意的情况下,运用后台算法,向具有浏览儿童内容视频喜好的用户直接推送含有儿童个人信息的短视频;
3.某短视频App未对儿童用户采取区分管理措施,默认用户点击“关注”后即可与儿童账户私信联系,并能获取其地理位置、面部特征等个人信息。
公益诉讼起诉人认为,某科技公司前述行为侵害了社会公共利益,遂提起民事公益诉讼。在法院调解下,公益诉讼起诉人与被告某科技公司达成调解协议,某科技公司对调解事项已经履行完毕。
【裁判结果】
杭州互联网法院于2021年3月11日作出(2020)浙0192民初10993号民事调解书:
1.被告某科技公司停止对儿童个人信息的侵权行为,按照《中华人民共和国民法典》、《中华人民共和国未成年人保护法》(2021年6月1日施行)、《中华人民共和国网络安全法》、《儿童个人信息网络保护规定》等法律法规对儿童个人信息保护的要求,对某短视频APP网络平台进行整改。针对案涉问题,被告某科技公司承诺,按双方确认的合规整改方案、时间推进表(具体内容以附件为准),落实、执行;
2.被告某科技公司完成整改后,应对整改完成情况及效果进行评估,并向公益诉讼起诉人、人民法院出具详细的整改完成情况报告书;
3.被告某科技公司应根据相关监管法规要求,将整改措施方案及整改完成情况报告书报送网信部门,自觉接受合规审查;
4.被告某科技公司就涉案侵权行为,在《法治日报》及某短视频App官方帐号首页显著位置公开赔礼道歉;
5.被告某公司承诺在今后的运营过程中严格遵守儿童个人信息保护的法律、法规,并自觉接受网信等行政监管部门的监督检查;
6.被告某公司于调解协议生效后七个工作日内,赔偿因侵权行为造成的社会公共利益损失人民币150万元,款项交相关儿童公益保护组织,专门用于儿童个人信息安全保护等公益事项。
【裁判理由】
1. 面向儿童用户提供网络服务的互联网平台(信息处理者)在缺乏单独《儿童个人信息/隐私保护政策》和《儿童个人用户协议》,未采取合理措施通知监护人并征得监护人有效明示同意的情况下,处理儿童用户地理定位、联系方式、面部、肢体、声音等个人信息的,应认定为违法处理用户个人信息。
2. 儿童个人信息属敏感个人信息,信息处理者未对儿童个人信息建立专门保护池,采取加密存储措施,应认定为违规存储儿童个人信息。
3. 信息处理者在未获得儿童监护人单独授权同意的情况下,基于算法的自动化决策将含有儿童用户个人信息的短视频向其他用户进行推送,应认定为违法处理儿童个人信息。
4. 信息处理者对儿童用户进行画像,未获监护人同意默认开启个性化推荐,运用算法进行内容推送,应认定为违法处理儿童个人信息。
5. 信息处理者在征得监护人同意前,对儿童用户未强制开启陌生人关注限制功能、未强制隐藏儿童用户位置、未强制开启儿童用户私信限制、未强制关闭儿童用户通讯录推荐、未强制关闭通过手机号搜索儿童用户功能、未强制关闭儿童“熟人圈”功能、未强制关闭儿童动态展示功能、未强制关闭推荐儿童给可能感兴趣的人、未强制开启儿童作品在同城不显示等功能,应认定为未履行对儿童用户的隐私安全保护义务。
6. 信息处理者侵害平台内不特定儿童用户个人信息权益,应认定为侵害社会不特定未成年人群体的社会公共利益。
【典型意义】
本案系全国首例儿童个人信息、网络安全保护民事公益诉讼。案件涉及对大型移动互联网(APP)平台处理儿童用户个人信息,是否侵害儿童用户主体权益,以及平台是否尽到对儿童用户网络安全保障义务的司法认定,属于社会关注度高且新型、疑难复杂的案件。
新修订的未成年人保护法增设未成人网络保护专章,对互联网企业如何合法、合规处理儿童个人信息做出了原则性规定,但目前在司法实践中案件量极少,司法机关对此类案件审理还处于起步探索阶段。
本案从平台对儿童用户的识别责任,平台如何获得监护人有效明示同意,平台能否对儿童用户基于画像进行个性化推荐,平台能否对儿童用户进行自动化决策,以及平台如何对儿童隐私信息进行主动安全保护等多个维度,全方位对大型互联网平台保护未成年人个人信息权益做出典范。
5. 案例丨银行处理个人征信信息是否侵害个人信息权益—王某诉某银行股份有限公司个人信息保护纠纷案
【案情简介】
2021年4月26日,原告王某发现其个人征信报告中有若干比由被告某银行的放款记录,其中2021年1月13日放款45万元。原告主张其对该放款不知情也未与该银行签订过借款合同。被告某银行单方面制作虚假电子借款合同、征信查询授权书等,并未经原告同意单方面查询原告征信,上传原告不良征信,私自收集原告人脸、声音信息等侵犯原告个人信息。被告某银行认为双方存在合法有效的金融借款合同关系。为了放款需要,被告在征得原告同意后查询了原告的征信,并根据规定向征信系统报送了原告贷款情况,不存在侵权行为。原告贷款逾期造成自身不良征信记录,应自行承担责任。
【裁判结果】
杭州互联网法院经审理认为,原告通过在线系统与被告签订涉案金融借款合同。根据放贷前原告与客服的面谈双录视频显示,原告对涉案45万元借款的放款银行等信息系明知,原告主张未签订涉案合同的意见法院不予采信。在涉案合同签订过程中,被告银行根据放款审批需要,在原告自行签署授权书授权被告查询的情况下查询原告的个人征信情况,并通过在线双录视频的方式核实原告的行为能力、贷款意愿真实性等内容,符合合法、正当、必要原则,属于合理使用。原告逾期还款后,被告向中国人民银行个人信用信息基础数据库报送其逾期情况符合金融机构管理要求,亦有原告书面授权,并有相应规范依据,不存在侵权行为。遂判决驳回原告诉讼请求。判决后,当事人均服从法院判决未提起上诉,判决已生效。
【裁判理由】
1. 放贷银行在贷款人知情同意的情况下向中国人民银行个人信用信息基础数据库报送贷款人不良征信信息,属于个人信息的合理使用。
2. 放贷银行在审核贷款过程中,通过在线双录视频的方式核实原告的身份信息、贷款意愿真实性等内容,符合合法、正当、必要原则,属于个人信息的合理使用。
【典型意义】
本案例围绕个人信息保护的争议展开,并于《个人信息保护法》施行当日宣判,获得了社会广泛关注。自然人有独立人格,有权防范他人不当处理涉及个人的信息,以维护宪法赋予个体享有的人格自由与尊严。
于此同时,个人信息权益作为一项人格权益并非绝对权,需权衡个人信息上存在的个人利益、社会利益和公共利益。在对该项权益进行保护时,应在保护个人尊严和自由、规范个人信息处理活动的同时,促进个人信息合法合理使用。
本案中,征信信息不同于一般个人信息,其既可以防范风险,为交易安全创造条件,又可以促使个体保持良好信用,以较低的交易成本获得较多的交易机会,而缺乏良好信用记录的个人则相反。
本案通过厘清征信信息的法律属性,明确信贷业务机构处理征信信息行为的审查标准,以及个人信息权益保护的两项请求权基础,对逾期的不诚信行为进行否定性评价,引导个人维护自身良好信用,促进征信业健康发展,构建诚实守信的社会信用体系,形成“诚信受益,失信惩戒”的社会环境。体现了个人信息保护的时代精神,对类案处理有一定的参考价值。
四、专业问答
2月24日,国家互联网信息办公室公布《个人信息出境标准合同办法》(以下简称《办法》)。国家互联网信息办公室有关负责人就《办法》相关问题回答了记者提问。
1、请简要介绍《办法》出台的背景?
答:近年来,随着数字经济的蓬勃发展,个人信息出境需求快速增长,个人信息权益保护面临较大挑战。《个人信息保护法》对个人信息跨境提供规则作了基础性规定,按照国家网信部门制定的标准合同订立合同是向境外提供个人信息的法定途径之一。制定出台《办法》是落实法律规定的重要举措,目的是为了保护个人信息权益,规范个人信息出境活动。
2、哪些情形可以通过订立标准合同的方式向境外提供个人信息?
答:《办法》明确了个人信息处理者通过订立标准合同的方式向境外提供个人信息应当同时符合下列情形:一是非关键信息基础设施运营者;二是处理个人信息不满100万人的;三是自上年1月1日起累计向境外提供个人信息不满10万人的;四是自上年1月1日起累计向境外提供敏感个人信息不满1万人的。
同时,《办法》明确,法律、行政法规或者国家网信部门另有规定的,从其规定。要求个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。
3、个人信息处理者如何开展个人信息保护影响评估?
答:《办法》要求个人信息处理者向境外提供个人信息前,应当开展个人信息保护影响评估,重点评估以下内容:
一是个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;
二是出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险;
三是境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全;
四是个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
五是境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响;
六是其他可能影响个人信息出境安全的事项。
4、个人信息处理者如何进行标准合同备案?
答:《办法》规定个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。备案需提交的材料包括标准合同和个人信息保护影响评估报告。
5、在标准合同有效期内出现哪些情形,个人信息处理者需要重新履行备案手续?
答:《办法》明确了在标准合同有效期内,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行备案手续的3种情形:
一是向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;
二是境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;
三是可能影响个人信息权益的其他情形。
6、标准合同备案后如何保障个人信息处理者的商业秘密等合法权益?
答:《办法》规定了网信部门及其工作人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供、非法使用。