2018年中国数据法治十大事件盘点

2019-02-28 17:54 来源:沪法网
浏览量: 收藏:0 分享

image.png

  数据合规元年开启,《网络安全法》逐步落地,各层次数据立法进程全面启动,行政、司法治理重点突显,市场治理力量初现端倪。

  多年以后,当人们回想起2018年,最受关注的事情莫过于数据安全,不管是18年年初就引爆舆论的Facebook数据泄露事件,还是5月份号称全球最严的个人数据保护法GDPR的生效。这一年,也被国内企业称为数据合规的元年。随着《网络安全法》加入个人信息保护的内容,国内数据立法进程全面开启。

  因此,我们挑选了2018年国内十大关于数据立法、行政法规、标准制定的重要事件,归纳出我国在数据领域后续立法的重点,并展望国内数据领域的立法趋势。

  一、推荐性国家标准《信息安全技术 个人信息安全规范》正式实施,为个人信息保护法预热

  2018年5月1日,《信息安全技术 个人信息安全规范》GB\T35273--2017国家标准正式实施。该标准总体上借用了欧盟的《一般数据保护条例》(GDPR)的立法框架,如将数据分为个人信息和非个人信息进行分别规制,在个人信息的分类上,也沿用了GDPR的个人信息和个人敏感信息的两分法。

  《个人信息安全规范》是继2013年《电信和互联网用户个人信息保护规定》、2015年《网络安全法》、2017年《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》之后,我国官方推出的关于个人信息的首个推荐性国家标准,主要内容为:

  首先,该标准规定了个人信息安全的七个基本原则:权责一致原则、目的明确原则、选择同意原则、最少够用原则、公平透明原则、确保安全原则、主体参与原则。

  其次,该标准围绕着个人信息的收集、使用、委托处理、共享、转让、公开披露、跨境传输、安全事件处置、以及组织的管理要求进行了详细的规定。

  最后,该标准特别强调了对个人信息收集的合法性、最小化、授权同意的要求,并对个人敏感信息提出了明示同意的高要求。

  《个人信息安全规范》通过对个人信息与非个人信息、一般个人信息与敏感个人信息的分类规制思路,以及对个人信息收集阶段时的严入管制,体现了该标准对个人信息保护形成了分类分级的基本思路。作为推荐性标准,《个人信息安全规范》并不会产生直接的强制性效力,但是作为正式立法前的标准化尝试,《个人信息安全规范》可以为后续的《个人信息保护法》、《数据安全法》的立法工作,提供制度试错的机会和实践经验的参考。

  二、《银行业金融机构数据治理指引》发布实施,强化对银行业金融机构数据治理

  2018年5月21日,中国银保监会发布《银行业金融机构数据治理指引》(银保监发〔2018〕22号)。《银行业金融机构数据治理指引》共七章五十五条,分别为总则、数据治理架构、数据管理、数据质量控制、数据价值实现、监督管理和附则。

  《银行业金融机构数据治理指引》主要目的为指导银行业金融机构加强数据治理,提高数据质量,发挥数据价值,提升经营管理能力。《指引》强调银行业金融机构数据监管。

  一是明确银行业金融机构数据治理架构,董事会、监事会和高管层等的职责分工,可结合实际情况设立首席数据官。

  二是明确数据管理和数据质量控制的要求,数据管理需要覆盖数据战略、数据管理制度、数据标准、信息系统、数据共享、数据安全、应急预案、问责机制和自我评估机制等。数据质量控制机制明确将监管数据纳入数据治理范畴。明确由董事会承担数据治理最终责任,建立和实施上至高管层的数据治理问责机制。

  三是明确全面实现数据价值的要求,提出银行业金融机构应当将数据应用嵌入到业务经营、风险管理和内部控制的全流程,实现数据驱动银行发展,这也成为整个《指引》中对银行业来说最为困难的一项要求。

  四是首次提出对数据治理不满足相关法律法规及审慎经营规则要求,银行业监督管理机构可将其与监管评级挂钩,促使金融机构把数据治理工作的优先级进一步提升。

  另外,《指引》第二十四条规定,银行业金融机构“应遵循国家个人信息保护法律法规要求,符合与个人信息安全相关的国家标准”的要求,实际将包括今年5月1日生效的《个人信息安全规范》等国家标准正式纳入了银行业金融机构的合规标准体系,对银行业金融机构的数据治理提出了新的要求。

  《指引》的公布实施,是在具体行业进行数据治理和监管的重要举措。对于列入立法计划的《个人信息保护法》来说,重视具体细分行业的类型化治理经验,并在此基础上进行抽象提炼,应是重要的立法思路之一。

  三、《网络安全等级保护条例(征求意见稿)》公开征求意见,全面推荐国家网络安全等级保护制度

  2018年6月7日,为了加快《网络安全法》实施落地,深入推进实施国家网络安全等级保护制度,公安部会同有关部门起草了《网络安全等级保护条例(征求意见稿)》,向社会公开征求意见。

  《网络安全等级保护条例(征求意见稿)》拟将网络分为五个安全保护等级,分别为:

  第一级,仅对相关公民、法人和其他组织的合法权益造成损害;

  第二级,对相关公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成危害;

  第三级,对相关公民、法人和其他组织的合法权益造成特别严重损害,或者会对社会秩序和社会公共利益造成严重危害,或者对国家安全造成危害;

  第四级,对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害。

  第五级,对国家安全造成特别严重危害。

  在数据和信息安全保护方面,《网络安全等级保护条例(征求意见稿)》规定,网络运营者应当建立并落实重要数据和个人信息安全保护制度;采取保护措施,保障数据和信息在收集、存储、传输、使用、提供、销毁过程中的安全;建立异地备份恢复等技术措施,保障重要数据的完整性、保密性和可用性。

  未经允许或授权,网络运营者不得收集与其提供的服务无关的数据和个人信息;不得违反法律、行政法规规定和双方约定收集、使用和处理数据和个人信息;不得泄露、篡改、损毁其收集的数据和个人信息;不得非授权访问、使用、提供数据和个人信息。

  四、杭州互联网法院宣判全国首例大数据产品不正当竞争纠纷案,明确用户对脱敏处理后的数据不享有财产权

  2018年8月16日,原告淘宝公司诉被告美景公司涉“生意参谋”零售电商数据平台(以下简称涉案数据产品)不正当竞争,杭州互联网法院认定美景公司的被诉行为构成不正当竞争。

  本案事实是:原告淘宝公司开发、运营的涉案数据产品,是在网络用户浏览、搜索等行为痕迹所产生的巨量原始数据基础上,经过处理后形成的衍生数据,主要功能是为淘宝、天猫商家的网店运营提供系统的数据化参考服务。被告美景公司则运营自己的网站,通过利用已订购涉案数据产品的用户,招揽、组织、帮助他人获取涉案数据产品中的数据内容并从中获取利益。

  本案在数据领域的突破点在于:通过明晰网络运营者使用网络用户信息正当性的评判标准,厘清用户个人信息、原始数据及数据产品的法律属性及权利边界,即认定网络用户对于单个用户信息尚无独立的财产权或财产性权益。网络运营者对于原始网络数据仍应受制于用户对其所提供信息的控制,而不享有独立的权利,网络运营者只能依其与用户的约定享有对原始网络数据的使用权。

  与之不同的是,网络运营者对于其开发的大数据产品,应当享有自己独立的财产性权益,但不赋予网络运营者对数据产品的财产所有权。另外,由于算法脱敏处理后的数据产品系已独立于网络用户信息、原始网络数据,是与用户个人无直接对应关系的衍生数据,因此也否认了网络用户对数据产品享有财产权益。

  本案最终认定淘宝公司对涉案数据产品享有财产权益,对于侵犯其权益的不正当竞争行为有权提起诉讼。美景公司将涉案数据产品为己牟利的行为,属于不劳而获“搭便车”的不正当竞争行为,最后判处美景公司停止侵权,并赔偿原告200万元。

  五、最高人民法院发布个人信息侵权典型案例,体现司法实践对个人信息保护一般采取的隐私权保护路径

  2018年8月17日,最高人民法院发布第一批涉互联网典型案例,旨在进一步统一裁判标准,为涉互联网案件审理提供参考。

  关于个人信息保护的案件是庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司(去哪儿网)隐私权纠纷案,明确了由于航空公司、网络购票平台疏于防范导致消费者个人信息泄露,应当承担相应的侵权责任。

  案情基本事实是,庞理鹏委托他人通过去哪儿网为其购买东方航空公司的机票,去哪儿网订单详情页面显示该订单登记的乘机人信息为庞理鹏姓名及身份证号,联系人信息、报销信息均为他人姓名及其手机号。而后原告庞理鹏收到航班因故取消的诈骗短信。对此,庞理鹏向一审法院起诉,认为东方航空和趣拿公司泄露其隐私信息(姓名、手机号码、行程安排),侵害其人身权利。一审法院认定证据不足,判决庞理鹏败诉。原告不服向北京是第一中级人民法院提起上诉。二审法院认为,由于原告的举证能力有限,根据现存事实证明被上诉人泄露上诉人的隐私信息具有高度可能性,因此被告公司在数据安全管理方面存在疏于防范的过错,应当承担侵权责任,法院判决东方航空和趣拿公司向上诉人庞理鹏赔礼道歉。

  本案在明确公民的姓名、电话号码及行程安排等事项属于隐私信息的前提下,二审法院通过纠正一审法院的在举证证明责任分配的原则,将证明信息泄露的责任从弱势一方的用户,转移到需要承担信息安全保障义务的企业一方,通过高度盖然性的证明规则,认定被告方的东方航空和趣拿公司具有过错。该案为个人信息与隐私权相关的司法审判实践提供了范例,不过,在个人信息和隐私的区分和相互关系上,也提出了新的值得探讨的问题。

  六、《电子商务法》通过,就电商领域精准营销作出专门规定

  2018年8月31日,全国人大常委会通过了《电子商务法》,并于2019年1月1日正式实施。《电子商务法》共七章89个条文,分别为总则、电子商务经营者、电子商务合同的订立与履行、电子商务争议解决、电子商务促进、法律责任、附则。

  《电子商务法》由于对电子商务经营者规定了广泛的一般义务和平台经营者特别义务,因此也被认为是一部电商平台义务法。

  涉及到数据保护的领域,电商法第18条第1款规定了“电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的,应当同时向该消费者提供不针对其个人特征的选项,尊重和平等保护消费者合法权益。”

  这一款的规制对象是电商领域的精准营销。精准营销是指,电子商务经营者通过收集消费者的消费行为历史等个人数据,根据消费者的兴趣爱好、消费习惯等特征形成用户画像,并基于这些个人特征进行商品、服务推送,或者决定搜索结果的排序和展现方式,目的在于使得消费者能够更加方便、快捷、精准地获得更加适合自身特征的商品或者服务。

  由于这种基于用户画像的商业模式也存在着潜在的缺点与可能被滥用的风险。如果经营者利用用户画像,在消费者不知情的情况下,进行人为控制和干预则会损害消费者的知情权和自主选择权。

  因此,电商法要求电子商务经营者在根据消费者的兴趣爱好、消费习惯等特征提供商品或者服务的搜索结果时,要充分保障消费者的知情权,一方面要确保消费者知晓搜索结果排序的决定因素是基于其用户画像,另一方面,如果消费者不愿意接受此种搜索结果的排序方式,则有权要求电子商务经营者提供一个不针对其个人特征的搜索结果选项,以尊重和平等保护消费者的知情权和自主选择权。

  需要指出的是,在根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果时,电子商务经营者实际上已经搜集和利用了消费者的个人信息,因此,必须经过消费者的同意,并根据电子商务法第23条和其他法律、行政法规的规定,履行个人信息保护的义务。

  探究立法原意,该条规定原本是针对年初“大数据杀熟”,即老用户通过携程app预订酒店价格比新用户高或滴滴的动态调价的现象,进行的带有消费者保护色彩的应激性规定,目的在于规制大数据时代处于优势地位的平台对处于弱势地位的用户实施的数据歧视现象。但是对于用户画像相关的法律规制路径,在尚无成熟的国内外监管实践可参照的情况下,直接进行立法规制,具体手段和模式还存在商榷和研究空间。究其本质,大数据杀熟应是消费者权益和竞争法问题,用户画像本身的法律属性亦不能直接断言属于个人信息,法律干预应当建立在相对成熟的理论研究和实践经验基础之上,方可更加体现审慎包容的互联网治理思路。

  七、《民法典》各分编草案公布,个人信息保护条款写入人格权编

  2018年9月,民法典各分编草案提请十三届全国人大常委会第五次会议审议,其中,在民法典中增加人格权编备受关注。此次民法典的编纂过程中,人格权编独立成编,并就个人信息的保护专门规定了五个条款。

  人格权编草案提出,不得非法收集、使用个人信息,不得以电话等方式侵扰他人生活安宁。

  除法律另有规定或者权利人同意外,任何组织或者个人不得获取、隐匿、扣留、检查、毁弃、删除、泄露、公开买卖他人的私人信息;不得以短信、电话、即时通讯工具、传单、电子邮件等方式侵扰他人的生活安宁。

  自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

  收集、使用自然人个人信息的,应当遵循合法、正当、必要原则,并应当征得被收集者同意;公开收集、使用信息的规则;明示收集、使用信息的目的、方式和范围;不违反法律、行政法规的规定和当事人之间的约定。

  存在非法收集、使用信息的行为;自然人可以请求信息持有人及时删除其个人信息。

  此次人格权编进一步强化对隐私权和个人信息的保护,并为即将制定的个人信息保护法留下衔接空间。

  学界在个人信息权与隐私权的关系上一直存在争议,尚未达成共识,此次人格权编将个人信息列入,体现了立法者目前的基本立法思路,即个人信息作为关系到每个人的人格利益的客体,即民事主体对其特定的人格利益享有的权利的客体,是民事主体最基本、最重要的权利保护的客体之一。

  八、《公安机关互联网安全监督检查规定》、《互联网个人信息安全保护指引(征求意见稿)》发布,完善网安法对个人信息的保护

  2016年,《网络安全法》作为保障网络安全,维护网络空间主权和国家安全、社会、公民合法利益的基本法,一方面,网安法赋予网络运营者数据保护的义务,如网络运营者应该采取数据分类、重要数据备份和加密等措施,防止数据被窃取或者篡改,以及数据本地化管理与跨境流动审查;另一方面,网安法强调对个人信息的保护,通过第四章网络信息安全进行专章保护,规定网络运营者的信息安全规定了网络运营者在对用户个人信息收集、使用、对外授权、交换、泄露,以及网络运营者在对个人信息的内部管理、技术系统方面的规定。

  2018年11月,作为执行网安法的下位性行政规范文件,公安部发布《互联网安全监督检查规定》(“《第151号令》”)、公安部网络安全保卫局发布《互联网个人信息安全保护指引(征求意见稿)》,其中,《第151号令》旨在为公安机关监督互联网安全执法保驾护航,主要侧重于公安机关及其人员对用户个人信息的保密规定;《互联网个人信息安全保护指引(征求意见稿)》则旨在从管理机制、技术措施和业务流程三个方面指导互联网企业建立健全个人信息安全保护的安全管理机制和技术措施。

  《第151号令》和《互联网个人信息安全保护指引(征求意见稿)》主要要求个人信息持有者从以下三个方面开展安全保护工作:一是在企业内部管理机制方面,建立信息安全防火墙,防范企业数据泄露的刑事风险;二是在公安机关的技术措施方面,规定公安机关对网络安全监督检查采取的可能方式;三是在数据的业务流程方面,指引企业从个人信息的收集、保存、应用、删除、第三方委托处理、共享和转让、公开披露和应急处理等全流程进行相关规定,保护个人信息的安全。

  《第151号令》的出台,意味着网络安全法开始全面实施;《互联网个人信息安全保护指引(征求意见稿)》,作为首个执法部门出台的互联网个人信息保护行政性规范文件的公布,也意味着个人信息保护公法规制的进一步体系化和规范化。

  九、中国消费者协会发布《100款App个人信息收集与隐私政策评价报告》

  2018年11月28日,中国消费者协会发布《100款App个人信息收集与隐私政策测评报告》。报告针对10类(通讯社交、影音播放、网上购物、交易支付、出行导航、金融理财、旅游住宿、新闻阅读、邮箱云盘和拍摄美化)100款App进行现场体验,同时邀请专家对App用户协议、隐私政策进行审核。

  评测结果表明:10类App均存在过度收集或使用个人信息的情况;位置信息、通讯录信息、手机号码等是过度或使用的最常见的个人信息;通讯社交、影音播放和拍摄美化类App普遍涉嫌过度收集或使用用户位置信息;部分App涉嫌过度收集个人财产信息、生物识别信息等敏感信息。

  评测结果显示,在隐私政策方面,近一半app隐私政策不符合《个人信息安全规范》的要求;59款App未明确告知收集的个人信息类型,并在收集用户敏感信息时未告知用途;未告知用户个人信息保护期限和停止运营时间的占到三分之二;42款App在向第三方提供个人信息时没有征得用户单独同意。另外,接近一半的App没有针对用户的个人信息删除、修改、变更及时告知的规定。

  消协的本次评测,是国内第三方机构对产业个人信息保护状况进行评估和监督中最有影响力的活动之一。第三方机构和市场的作用,在个人信息监管和保护中,是不可或缺也是最具活力的力量。但是第三方机构评测本身也应当体现市场的逻辑,一方面应有竞争机制来进行约束,另一方面,在评测标准选取、评测程序和实质结果形成方面,都应当向着公平公正公开的方向,促进评测行业向着增强透明度和规范化的方向发展。

  十、网信办发布《金融信息服务管理规定》,加强金融信息服务内容管理,提高金融信息服务质量

  2018年12月26日,国家互联网信息办公室公布《金融信息服务管理规定》(以下简称《规定》)。

  作为规范性文件,《规定》侧重于内容管理,主要是对金融信息服务机构的信息内容和相关行为明确具体要求。金融信息服务是指向从事金融分析、金融交易、金融决策或者其他金融活动的用户提供可能影响金融市场的信息和/或者金融数据的服务。金融信息服务主要是提供包括信息和数据在内的金融信息业务服务,而不是直接提供存贷款、证券交易、购买保险、基金交易、债券交易、外汇买卖等金融业务服务。金融信息服务不同于互联网新闻信息服务,它的主要服务对象是机构和特定投资者,即“特定用户”,而不是社会大众。

  《规定》部分条款是对《外国机构在中国境内提供金融信息服务管理规定》的细化,因此需要与作为部门规章《外国机构在中国境内提供金融信息服务管理规定》配套适用。

  在内容上,《规定》明确金融信息服务提供者不得制作、复制、发布、传播内容的信息,如散布虚假金融信息,危害国家金融安全以及社会稳定的等。在处罚上,金融信息服务提供者违反《规定》相关规定的,由国家或地方互联网信息办公室依据职责进行约谈、公开谴责、责令改正、列入失信名单;依法应当予以行政处罚的,由国家或地方互联网信息办公室等有关主管部门给予行政处罚;构成犯罪的,依法追究刑事责任。同时强调,国家和地方互联网信息办公室根据工作需要,与有关主管部门建立金融信息服务情况通报、信息共享等工作机制,对违法违规行为实施联合惩戒。

  此次制定出台《金融信息服务管理规定》旨在加强金融信息服务内容管理,提高金融信息服务质量,促进金融信息服务健康有序发展,保护自然人、法人和非法人组织的合法权益,维护国家安全和公共利益。

  展望2019:紧锣密鼓的数据立法之年

  数据问题近年来持续居于数字经济领域立法、执法、司法和理论研究的核心地位。随着GDPR的落地实施与影响力的全球化扩展,在中国,以分散型立法模式为主的现状,即将在2019年这一紧锣密鼓的数据立法之年,走向统一化、体系化、立体化的立法模式。《个人信息保护法》《数据安全法》两部重要法律列入立法规划,切合时代需求和中国国情的数据法律规制体系,呼之欲出。这是令人兴奋的立法大事件,同时也为理论和实践提出了巨大的挑战和考验。

  安全和发展,始终是数据法律政策领域必须处理好关系的两大主题。数据治理涉及的安全问题,上到国家,下及个人,将是数据立法关心的核心命题。但是另一方面,数据的生产和共享,是大数据、人工智能乃至更多突破想象力的新兴行业实现跨越式发展的必备资源,也是国家、民族、个人实现跨越式发展的重要驱动力。大数据时代,每一个时间节点,都可能是关键性节点,法律政策会对历史推波助澜,还是产生实质性阻抑,需要充分的研究和论证方可作出决策,更重要的是,在这个过程中,应当继续秉持开门立法的态度,兼听则明,充分听取各方的利益诉求和表达,才有可能建构最为理性、引领全球、面向未来的制度设计。

标签:

责任编辑:liudan
在线客服