|
歡迎入?yún)R,,共創(chuàng)智識 作者:王偉、朱宣燁等 來源:轉(zhuǎn)載自@北京植地律師事務(wù)所 2018年5月25日生效的歐盟《通用數(shù)據(jù)保護(hù)條例》(簡稱GDPR)因其泛化的管轄權(quán)和高額的行政罰款引起了世界范圍的關(guān)注,。對于處于數(shù)字化轉(zhuǎn)型的中國企業(yè)而言,,當(dāng)務(wù)之急是如何建立一套行之有效的大數(shù)據(jù)合規(guī)制度,就此,,我們從專業(yè)數(shù)據(jù)庫上篩選了2015年5月1日至2018年3月1日期間涉及“個(gè)人信息”的民事案例(以下簡稱案件,,或統(tǒng)計(jì)案件)并進(jìn)行統(tǒng)計(jì)分析,以期對企業(yè)的數(shù)據(jù)合規(guī)有所裨益,。 一,、樣本數(shù)據(jù)分析概況 1.涉?zhèn)€人信息的民事案件數(shù)量有限 我們系統(tǒng)研究了146件涉及個(gè)人信息的民事案件,其中侵權(quán)糾紛案件139件(其中包含1件企業(yè)間的不正當(dāng)競爭案件[1]和1件企業(yè)間的經(jīng)營秘密糾紛案件[2]),,合同糾紛案件共計(jì)7件,。除2件案件為企業(yè)間糾紛外,其余均為個(gè)人與企業(yè)之間發(fā)生的糾紛,。 2.涉案主體的特點(diǎn) 1)涉案主體的行業(yè)分布集中于金融行業(yè)和互聯(lián)網(wǎng)行業(yè) 案件主要集中在對個(gè)人信息收集量大,、使用比較頻繁的領(lǐng)域,其中典型的如金融行業(yè),、互聯(lián)網(wǎng)行業(yè)等,。 2)涉案主體絕大為數(shù)據(jù)控制者,但是案件開始關(guān)切數(shù)據(jù)處理者的作用
數(shù)據(jù)控制者和數(shù)據(jù)處理者是個(gè)人信息處理關(guān)系中涉及的兩個(gè)重要主體,,不同司法區(qū)域的法律對于兩者權(quán)利義務(wù)的邊界規(guī)定并不完全相同,。簡單而言,,兩者的核心區(qū)別在于為自己還是為他人目的處理數(shù)據(jù),,為他人處理數(shù)據(jù)的一方就是數(shù)據(jù)處理者。現(xiàn)有案件主體均有數(shù)據(jù)控制者,,僅有兩件案件中數(shù)據(jù)處理者作為共同被告出現(xiàn),。但是很多案件在被告的抗辯意見中開始提及數(shù)據(jù)處理者,更有案例對于數(shù)據(jù)控制者和數(shù)據(jù)處理者的民事責(zé)任分擔(dān)闡述,。比如個(gè)人訴某網(wǎng)絡(luò)平臺,、某航空公司的案件中,法院裁判某航空公司作為數(shù)據(jù)控制者應(yīng)當(dāng)對數(shù)據(jù)處理者中航信的行為擔(dān)責(zé),同時(shí)認(rèn)定存在信息共享關(guān)系的某網(wǎng)絡(luò)平臺和某航空公司均需對原告?zhèn)€人信息泄露情況擔(dān)責(zé),。 因此,,這對于中國企業(yè)的合規(guī)提出了更高的要求,如何科學(xué),、合理的設(shè)計(jì)合規(guī)制度需要每個(gè)企業(yè)根據(jù)自己的行業(yè)特點(diǎn)以及業(yè)務(wù)情況而具體研判,。 3.爭議行為 1)爭議行為類型集中 現(xiàn)有案件中“個(gè)人信息記錄錯(cuò)誤”以及“未經(jīng)同意使用個(gè)人信息”“個(gè)人信息泄露”三類行為涉案數(shù)量最多。我們也注意到,,涉及個(gè)人信息違法收集,、信息共享、遺忘權(quán)的案件也開始出現(xiàn),。
2)典型爭議行為類型多樣 涉案爭議行為具體類型十分豐富,,涵蓋了個(gè)人信息收集、保存,、使用等生命周期的全流程,。不少案件對于涉案行為的爭議背后反映是對個(gè)人信息收集使用的商業(yè)模式的爭議,典型的如個(gè)人訴某互聯(lián)網(wǎng)公司收集cookie[3]侵犯隱私權(quán)的案件,。就此,,我們簡單梳理了典型案件的爭議行為類型以及爭議行為表現(xiàn),以期對正在進(jìn)行數(shù)字化轉(zhuǎn)型的企業(yè)有所啟發(fā),。
4.適用案由多元 由于我國尚沒有獨(dú)立的侵犯個(gè)人信息的民事案件案由,所以涉及個(gè)人信息的民事糾紛多取道姓名權(quán),、隱私權(quán),、名譽(yù)權(quán)和人格權(quán)等其他案由進(jìn)行訴訟。姓名權(quán)糾紛占比高是由于有一個(gè)系列案件[17],,有其偶然性,。隱私權(quán)糾紛仍然是目前與個(gè)人信息保護(hù)最為密切的案由?!睹穹倓t》頒布之后,,人格權(quán)糾紛作為兜底的案由,解決了案由的制定晚于個(gè)人信息保護(hù)需求的實(shí)際情況,,也反映出個(gè)人信息獨(dú)立于隱私權(quán)等既有權(quán)利的特殊性,。 5.責(zé)任認(rèn)定情況 1)舉證責(zé)任多由原告方承擔(dān) 案件顯示,事實(shí)認(rèn)定過程中遇到的最大的問題仍是證明的問題,。尤其是信息主體,,處于信息不對稱的弱勢地位,舉證能力較弱,。但目前我國法律沒有就涉及個(gè)人信息的案件規(guī)定專門的舉證責(zé)任倒置制度,,案件事實(shí)仍由原告方承擔(dān)舉證責(zé)任。上述案件中,,僅有3件案件中法庭判令由被告承擔(dān)舉證責(zé)任,。其余143件為原告承擔(dān)舉證責(zé)任。 2)認(rèn)定責(zé)任事實(shí)的比例分析 統(tǒng)計(jì)案件中,,侵權(quán)類案件139件,,被認(rèn)定存在侵權(quán)事實(shí)的案件數(shù)為94件。 3)信息共享者共同擔(dān)責(zé),,數(shù)據(jù)控制者對數(shù)據(jù)處理者的行為擔(dān)責(zé)或成為趨勢 隨著各方對個(gè)人信息案件特點(diǎn)認(rèn)識的深入,,司法領(lǐng)域的態(tài)度發(fā)生轉(zhuǎn)變,比如個(gè)人訴某網(wǎng)絡(luò)平臺,、某航空公司的案件中,,法院裁判某航空公司作為數(shù)據(jù)控制者應(yīng)當(dāng)對數(shù)據(jù)處理者中航信的行為擔(dān)責(zé),同時(shí)認(rèn)定存在信息共享關(guān)系的某網(wǎng)絡(luò)平臺和某航空公司均需對原告?zhèn)€人信息泄露情況擔(dān)責(zé),。該案件的判決得到了北京市法院系統(tǒng)的認(rèn)可和支持,。
二、合規(guī)提示 我們注意到很多案件的裁判結(jié)論直接關(guān)系到商業(yè)模式的運(yùn)行,。根據(jù)對于相關(guān)判例的研究我們總結(jié)了如下幾點(diǎn)作為合規(guī)提示,。 1.重視安全合規(guī) 從樣本案例可知,涉及信息安全問題案件比例達(dá)到了樣本統(tǒng)計(jì)案件數(shù)的三分之一,。 企業(yè)遇到的數(shù)據(jù)安全問題主要有以下三種情況: 1)由于軟硬件設(shè)施故障或操作失誤造成的數(shù)據(jù)丟失或者泄露,,比如最近的某公司云故障造成創(chuàng)業(yè)公司巨大損失的事件[18]; 2)黑客襲擊,、病毒入侵導(dǎo)致數(shù)據(jù)丟失或泄露,,比如去年個(gè)人勒索病毒肆虐事件[19]; 3)內(nèi)部工作人員惡意泄露或者破壞數(shù)據(jù),,比如今年6月發(fā)生的某公司員工開發(fā)惡意軟件進(jìn)入公司內(nèi)部生產(chǎn)操作系統(tǒng),,偷取大量數(shù)據(jù)給第三方[20]。 為應(yīng)對安全問題,,企業(yè)應(yīng)當(dāng)按照《網(wǎng)絡(luò)安全法》等法律規(guī)范和標(biāo)準(zhǔn)的要求進(jìn)行安全合規(guī),,主要措施有: 1)依據(jù)國家標(biāo)準(zhǔn)和安全等級制定企業(yè)自身的處理數(shù)據(jù)操作規(guī)范、數(shù)據(jù)保存規(guī)定,; 2)對于個(gè)人敏感信息,,嚴(yán)格控制可接觸該信息的人群和流程,對企業(yè)內(nèi)部工作人員管理權(quán)限進(jìn)行分級,; 3)確立定期數(shù)據(jù)安全審計(jì)和數(shù)據(jù)安全風(fēng)險(xiǎn)培訓(xùn)的制度,; 4)確立數(shù)據(jù)安全日常監(jiān)控制度和應(yīng)急處理制度,進(jìn)行符合自身業(yè)務(wù)類型的數(shù)據(jù)安全異常點(diǎn)檢測,,并在出現(xiàn)疑似數(shù)據(jù)安全問題時(shí)及時(shí)保留相關(guān)證據(jù),。 2.界定好與外包服務(wù)提供者、數(shù)據(jù)共享者權(quán)責(zé)范圍 正如統(tǒng)計(jì)案件體現(xiàn)的,,外包服務(wù)提供者和數(shù)據(jù)共享者在提高企業(yè)商業(yè)化使用個(gè)人信息效率的同時(shí),,也增加了企業(yè)自身因個(gè)人信息受到侵害而擔(dān)責(zé)的風(fēng)險(xiǎn)。 為此,,企業(yè)應(yīng)當(dāng)注意: 1)進(jìn)行數(shù)據(jù)共享和尋求外包服務(wù)時(shí),,注重相對方的數(shù)據(jù)合規(guī)情況和資質(zhì); 2)通過合同準(zhǔn)確界定各自在參與個(gè)人信息處理活動(dòng)中的作用和主體性質(zhì),,明確各方具體權(quán)責(zé)義務(wù),; 3)以及約定對第三方造成損害時(shí)的責(zé)任承擔(dān),內(nèi)部追償?shù)姆秶取?/span> 3.關(guān)注隱私協(xié)議的格式合同性質(zhì) 《合同法》的規(guī)定,,提供格式條款的一方應(yīng)當(dāng)遵循公平原則確定當(dāng)事人之間的權(quán)利和義務(wù),,并采取合理的方式提請對方注意免除或者限制其責(zé)任的條款,按照對方的要求,,對該條款予以說明,。提供格式條款一方免除其責(zé)任,、加重對方責(zé)任、排除對方主要權(quán)利的條款也會被認(rèn)定無效,。隱私協(xié)議屬于格式合同,,所以隱私協(xié)議的條款內(nèi)容和展現(xiàn)形式可能因其格式條款的性質(zhì)而被質(zhì)疑。 個(gè)人訴某互聯(lián)網(wǎng)公司案的一審判決即認(rèn)為某互聯(lián)網(wǎng)公司細(xì)小字體的《使用某搜索引擎前必讀》無法保障用戶知情權(quán)與選擇權(quán),。雖然該案的二審判決改變了這種看法,,但是隨著我國個(gè)人信息保護(hù)規(guī)則的逐步明晰,《信息安全技術(shù)個(gè)人信息安全規(guī)范》等配套標(biāo)準(zhǔn)的逐步出臺,,對于隱私協(xié)議的要求必然日趨嚴(yán)格,,所以應(yīng)引起企業(yè)的重視。而比較有效的方案是參照國家發(fā)布的諸如《信息安全技術(shù) 個(gè)人信息安全規(guī)范》等規(guī)范標(biāo)準(zhǔn)結(jié)合自身行業(yè)特點(diǎn)進(jìn)行制作,,對于重要條款和內(nèi)容利用加粗或加下劃線等方式進(jìn)行提示,,對可能限制數(shù)據(jù)主體權(quán)益的條款仔細(xì)斟酌。 [1]北京知識產(chǎn)權(quán)法院(2016)京73民終588號民事判決書 [2]參見廣西壯族自治區(qū)桂林市疊彩區(qū)人民法院(2015)疊民初字第605號民事判決書 [3]Cookie技術(shù)可以被網(wǎng)站應(yīng)用于跟蹤統(tǒng)計(jì)用戶訪問該網(wǎng)站的習(xí)慣,,例如訪問網(wǎng)站的用戶名和計(jì)算機(jī)名,、使用的瀏覽器、訪問時(shí)間,、訪問的具體頁面,、瀏覽停留的時(shí)間 [4]江蘇省南京市中級人民法院(2014)寧民終字第5028號民事判決書 [5]廣東省深圳市福田區(qū)人民法院(2016)粵0304民初24741號民事判決書 [6]江蘇省東臺市人民法院(2015)東民初字第1887號民事判決書 [7]海南省三亞市中級人民法院(2016)瓊02民終375號民事判決書 [8]北京市海淀區(qū)人民法院(2015)海民初字第17417號民事判決書 [9]北京市海淀區(qū)人民法院(2016)京0108民初8187號民事判決書 [10]山西省大同縣人民法院(2016)晉0227民初63號民事判決書 [11]上海市浦東新區(qū)人民法院 (2016)滬0115民初2998號民事判決書 [12]廣西壯族自治區(qū)欽州市中級人民法院 (2015)欽北民初字第1883號判決書 [13]上海市第一中級人民法院(2015)滬一中民六(商)終字第107號民事判決書 [14]四川省樂山市市中區(qū)人民法院(2015)樂中民初字第3090號民事判決書 [15]廣東省深圳市福田區(qū)人民法院(2015)深福法民一初字第4278號民事判決書 [16]江西省安遠(yuǎn)縣人民法院(2015)安民一初字第177號民事判決書 [17]某幾家金融機(jī)構(gòu)違法違規(guī)操作造成的同類案件 [18]http://tech.hexun.com/2018-08-10/193739278.html,最后訪問時(shí)間:2018年8月10日 [19]http://www./bk/12761.html,,最后訪問時(shí)間:2018年8月10日 [20]http://www./post/436.html,,最后訪問時(shí)間:2018年8月10日 |
|
|
