中国大陆有关个人行踪轨迹信息的法律规定为何?对收集处理个人行踪轨迹的企业商家有哪些规范要求?
来源:苏国庆:湖北得伟君尚(湖北自贸区武汉片区)律师事务所律师。
个人行踪轨迹信息一般认为是能够反映个人所在位置、移动方向及之前行踪等资讯所组合而成之动态信息。生活中常见的个人行踪轨迹信息包括:手机GPS定位信息、车辆轨迹信息、车辆卡口信息、航班车票信息以及特定住宿信息等。
个人行踪信息泄露将导致个人处于被他人“监控”的状态,私人生活空间可能遭受侵扰,甚至被“人肉”、“网暴”或者遭受不法侵害。
2021年11月1日生效的《个人信息保护法》第二十八条明确规定行踪轨迹属于敏感个人信息。在2020年杭州“人脸识别第一案”中,法院判决野生动物园(被告)删除原告办卡时提交的照片等面部特征信息,然而原告要求删除其入园记录的诉求未予支持。
法院认为,入园记录虽属于原告的行踪信息,但没有证据证明野生动物园(信息处理者)存在泄露、篡改、丢失和其他违法使用行为,并对原告的个人信息权益已经造成损害或有发生损害较大可能的情况。
目前,中国大陆对于个人行踪轨迹信息的保护规则,以《民法典》、《个人信息保护法》的框架已经形成,具体司法适用仍有待司法实践予以丰富。
二、个人行踪信息的民法保护
个人行踪轨迹信息既属于敏感信息又属于隐私信息,适用侵权损害赔偿责任过错推定的归责原则。
(一)个人行踪信息的隐私权保护
根据《民法典》第一千零三十四条:“个人信息中的私密信息,适用有关隐私权的规定。”《民法典》第一千零三十二条:“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”个人行踪信息一般具有私密性,一旦泄露将会给个人生活安宁带来纷扰甚至造成严重的精神损害。
《民法典》第一千零三十二条规定:“自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。”
对于利用信息网络侵害个人隐私权的民事纠纷,《民法典》第一千一百八十二条规定:“侵害他人人身权益造成财产损失的,按照被侵权人因此受到的损失或侵权人因此获得的利益赔偿。”
《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》:“被侵权人可以起诉网络用户或者网络服务提供者要求删除、屏蔽、断开链接等行为停止侵权,如造成财产损失或者严重精神损害的,可以要求其承担赔偿损失。”
财产损失包含为制止侵权行为所支付的合理开支,赔偿损失的金额上限为50万元。如在《民法典》实施后首例个人信息民事公益诉讼案中,孙某在被追究刑事责任的同时,还应当按照获利赔偿损失3.4万元。
(二)《个人信息保护法》对个人行踪信息的保护
根据《个人信息保护法》第二十八条可得出,行踪轨迹属于敏感个人信息。
对于个人信息处理者而言,“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息”,如提供网络约车服务需要乘车人位置信息等。
同时第五十条:“个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。”
第六十九条:“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。
同时,第七十条:“个人信息处理者因处理个人信息,侵害众多个人权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”
比如重庆市首例消费者个人信息保护民事公益诉讼案件,重庆市消费者权益保护委员会对重庆某公司非法泄露消费者个人行为提起公益诉讼,经法庭调解,被告公司当庭提交《公开道歉信》,并在判决生效1年内策划开展消费领域公益宣传活动4次以上。
人民法院审理个人敏感信息侵害隐私权和个人信息权益的侵权案件,目前生效的法律规范有《消费者权益保护法》《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》等。
个人行踪轨迹信息与人脸识别同属于敏感个人信息,目前最高人民法院已经出台《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,这对于泄露行踪轨迹信息等其他敏感个人信息的民事案件具有参考意义,行踪轨迹信息保护的具体司法适用规则仍有待司法实践。
(三)个人行踪信息的合理免责使用情形
1. 经权利人同意
经权利人同意,可以使用其个人行踪信息。比如地图导航应用对于个人定位信息的收集,权利人如使用导航服务,必须要授权同意对行踪信息的收集。
2. 权利人自行公开
尽管权利人自行公开的信息不再具有私密性,但仍不失其个人信息的本质属性,也绝不意味着可以被随意使用。其使用仍不能超过行为人公开使用目的及法律规定的合理范围,否则,滥用权利人公开的个人行踪信息仍可能侵犯其民事权益,甚至可能构成刑事犯罪(详见下文论述)。
3. 公共利益免责情形
“个人信息处理者为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需”,或者“为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息”,不需取得个人同意。
如疫情防控期间,疫情防控部门收集确诊者及密切接触者的个人行踪信息,以及政府疫情防控部门发布的高中风险地区及确诊者行踪信息,无需取得个人同意。此处公共利益使用个人行踪信息的边界仍需进一步明确。
三、个人行踪信息的治安管理处罚和刑法保护
《治安管理处罚法》第42条规定,偷窥、偷拍、窃听、散布他人隐私的,处5日以下拘留或者500元以下罚款,情节较重的,处5-10日拘留,可以并处500元以下罚款。
个人行踪信息能够清晰反映个人的活动轨迹情况,非法买卖、提供个人行踪信息将导致众多不特定人员的信息遭受侵害,扰乱社会秩序,损害了社会公共利益。
根据《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条之规定,可以看出刑法对于个人信息的法益保护等级从高到低排序为:
1. 敏感信息(行踪轨迹信息、通信内容、征信信息、财产信息)
2. 特殊信息(住宿信息、通信记录、健康生理信息、交易信息)
3. 一般信息
由此可见,行踪轨迹信息属于敏感信息中的最高一级,非法获取、出售或者提供行踪轨迹信息五十条以上的属于侵犯公民个人信息罪的“情节严重”情形,依法应当追究刑事责任。
同时,网络服务提供者拒不履行信息网络安全管理义务致使泄露个人信息,也可能导致众多不特定人员的信息遭受侵害。
根据《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》第四条可得出:网络服务提供者拒不履行信息网络安全管理义务致使泄露行踪轨迹信息五百条以上的,应当认定为刑法第二百八十六条拒不履行信息网络安全管理义务罪的“造成严重后果”情形,网络服务提供者应当承担刑事责任。
而且,使用个人已经公开的信息也可能构成犯罪。个人公开信息不能视为其放弃对该信息的法益保护。《个人信息保护法》确立了收集个人信息的合法、正当、必要和诚信原则,并明确处理的目的、方式和范围。
个人已公开的行踪信息一般出于某种特定目的,其公开信息的目的和使用范围一般是明确的,比如出于疫情防控需要。如果处理信息违背或改变了个人公开其信息的目的和用途,并实施可能危及不特定公民人身或财产安全行为的,仍有可能构成侵犯公民个人信息罪。
四、企业的数据法律规范要求
互联网技术的发展使得个人信息更多地暴露在网络之中,增大了被不法利用的风险。企业作为主要的个人信息处理者,其经营行为应注意合乎法律规范,追求经济效率时只有行稳才能致远。
企业经营应注意以下方面:
(一)企业应当规范数据处理流程,防范民事责任风险
1. 按照法律法规要求不断更新、改造数据信息处理流程,做到民事责任风险的可控。
企业应当经常复盘自身业务模式,对于涉及个人信息的业务流程进行重点梳理,根据新的法律规定和国家、行业标准重新评估业务合规风险,改造、更新数据信息处理流程。
对于新业务设立的服务内容,应当进行充分的内部测试,且在通过一定期限和范围内的试运营后方可投入市场。
2. 重视个人信息数据的处理。
《个人信息保护法》第四条规定:“个人信息不包括匿名化处理后的信息。”这体现了平衡保护企业数据经济价值与个人信息安全的立法宗旨。
建议涉及信息处理的企业主体及时进行匿名化、去标识化处理。如在合理存储期限内单独加密存储行踪轨迹信息,建立指定数据删除销毁机制,实现有效的数据删除管控,防止因对存储截止中的数据进行恢复而导致的数据泄露风险等。
3. 建立高效的用户反馈机制。
《个人保护法》明确了个人信息主体的自主决策权,对于用户的投诉反馈,企业应当建立相关机制其正当权利的行使。
如用户撤回同意或者通知删除后,应当及时删除销毁。涉及用户侵权投诉时,经调查属实后,及时屏蔽内容、断开链接,甚至下架APP整改。
(二)筑牢底线思维,杜绝刑事责任风险
刑事处罚对于企业来说是最严重甚至是“致命”的风险,受到刑事处罚的企业商业信誉和个人声誉都将面临巨大的损害。
数据合规是企业合规的重要方面,行踪轨迹信息又属于数据信息中的重要内容,因此做好该类敏感信息的合规管理至关重要。
1. 树立底线思维红线意识,加强企业员工培训。
既要坚决杜绝非法获取、出售或者泄露用户行踪轨迹信息的行为,更要注意清查数据信息处理全流程可能存在的隐患,及时做出调整。
2. 加强刑事合规建设,预防网络犯罪。
根据最高人民检察院2021年4月发布的《关于开展企业合规改革试点工作方案》,部分试点地区推行的企业合规不起诉制度一般适用于可能判处3年以下有期徒刑、拘役、管制或者单处罚金的案件。侵害公民个人信息类犯罪基础量刑在3年以下,具备申请适用合规不起诉制度的条件,但即使检察院启动该制度,后期合规考察仍十分严格。
因此,企业只有加强考察期内企业的合规建设才有可能满足不起诉的条件。对于企业而言,如其倒逼进行合规建设,倒不如前期开始重视。
3. 积极履行自身网络安全管理义务,避免因不作为或者消极作为而入罪。
直接处理信息的企业,应当积极履行安全管理义务,防范数据信息泄露案件事件发生。作为平台型企业,还要积极履行平台监管职责,定期公示社会报告。
如发生相关事件应当及时向监管部门汇报,并采取有效措施防止不利影响的扩大,遇到困难主动汇报并请求指导,切忌心存侥幸,放之任之。