分类目录归档:法律边缘

《民法典》的个人信息保护长尾

长尾效应:原来不受到重视的销量小但种类多的产品或服务由于总量巨大,累积起来的总收益超过主流产品的现象。

——维基百科

随着《民法典(草案)》在二零一零年代的最后几天公布,《民法典》距离2020年3月表决已经指日可待。刨去民法学科大佬们对立法体例、条文的争议,《民法典》的影响当然是天翻地覆,涉及生活中民事法律关系的方方面面,从要取而代之的法律就能窥见一斑。我不关注那么高、那么广的民法议题,只关心隐私保护这么“一亩三分地”。

从《民法总则》内,个人信息保护只有一条原则性的规定,没有实质内容:

自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。

《民法总则》 第一百一十一条

但在《民法典(草案)》中,对个人信息的保护并不至于这样原则性的规定。《民法典(草案)》个人信息保护条款在《网络安全法》《消费者权益保护法》《电子商务法》关于个人信息保护的内容的基础上,增加一些新的内容,比如:隐私与个人信息的分别保护,以及在同意之外增加了个人信息收集、处理的其他合法性基础。这些变化固然重要,但更重要的,是《民法典》的立法层级与适用范围给个人信息保护所带来的变革

关于个人信息保护,除了《网络安全法》,现在提的最多的是《信息安全技术 个人信息安全规范》(GB/T 35273-2017),这是目前国内关于个人信息保护最为详尽的指引,为大量检查、执法活动所参照,但问题在于这份文件的层级过低,只是一份推荐性的国家标准,几乎不具有强制效力。而各部委关于个人信息保护的部门规章,虽然具有强制效力,但只能用于行政执法与行政诉讼,在民事诉讼中也无法援引。在《个人信息保护法》这样全面保护个人信息法律出台前,不得不将“鸡毛当令箭”保护个人信息。我们甚至见到了在支付宝年度账单事件中援引当时尚未生效的《个人信息安全规范》例子

网络安全协调局负责人指出,支付宝、芝麻信用收集使用个人信息的方式,不符合刚刚发布的《个人信息安全规范》国家标准的精神,……

国家互联网信息办公室网络安全协调局约谈“支付宝年度账单事件”当事企业负责人

而在适用范围上,《民法典》的个人信息条款会带来更深远的影响。此前无论是《消费者权益保护法》《网络安全法》《电子商务法》虽然关于个人信息保护有一些规定,但这些法律的适用范围着实有限。比如《消费者权益保护法》仅能关注消费者个人信息保护,对非消费者的个人信息无能为力;《网络安全法》只能关注网络空间内个人信息保护,对线下个人信息无能为力;《电子商务法》则只关注电子商务行为,更加聚焦。但《民法典》不一样,境内所有民事关系都需要遵守《民法典》中个人信息保护的规定。这意味着在《消费者权益保护法》《网络安全法》《电子商务法》无法覆盖到的领域也要开展个人信息保护工作。

首当其冲的就是劳动者个人信息保护。目前,劳动者个人信息保护缺少直接法律的规定,《消费者权益保护法》《网络安全法》《电子商务法》都难以直接适用,基本处于无法可依的状态,但用户单位又都难免掌握劳动者大量的个人信息,之前或许不是一个令人头秃的问题,但《民法典》生效之后就不一样了。

《民法典》生效后,无论单位是否通过网络收集个人信息,都需要合法合规。所有用人单位收集、使用劳动者个人信息的行为,都需要:

  1. 征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
  2. 公开收集、处理信息的规则;
  3. 明示收集、处理信息的目的、方式和范围;
  4. 不违反法律、行政法规的规定和双方的约定。

看上去并不难,但需要公司开展相应的合规工作,增加个人信息处理的透明度,要求劳动者签署相应的个人信息处理同意函,诸如此类的合规措施。问题在于,保障用户个人信息权利并不是一件容易的工作,劳动者会有权要求查阅、抄录、复制个人信息,而个人信息的范围又极为宽泛,甚至考勤记录都可以被认为是个人信息。这样一来,会给用人单位与劳动者的劳动争议带来新的元素。

假设一下,只要用人单位收集个人信息未经同意或没有其他合法性基础,那么劳动者可以用人单位“违反法律、行政法规的规定或双方的约定收集、处理其个人信息”为由,要求用人单位删除包含个人信息的考勤记录(假设不利于劳动者),用人单位就会面临考勤记录举证上的困难,进而影响劳动纠纷,让原本已经浑浊的劳动纠纷更扑朔迷离。劳动仲裁庭与法庭就不得不协调个人信息保护与劳动纠纷的复杂关系,结果也更加不可预测。

这只是《民法典》长尾效应的一个简单示例,除了劳动关系,学生在校学习会是一个更加复杂、敏感的问题,因为会涉及未成年人、甚至是儿童个人信息保护的问题。这些都是个人信息保护会带来的变革,需要所有领域严肃对待个人信息保护工作,这恐怕才是《民法典》个人信息保护条款的真正影响力。

2019年12月20日,新闻发言人、全国人大常委会法制工作委员会立法规划室主任岳仲明介绍,2020年的立法工作计划已经全国人大常委会第四十四次委员长会议原则通过,个人信息保护法、数据安全法将于明年制定。个人信息保护就像一头灰犀牛,正在向所有领域冲来,请大家关注灰犀牛的长尾。

“人脸识别第一案”背后的服务升级大危机

最近, “中国人脸识别第一案”沸沸扬扬,一位旅客购买了一张杭州野生动物世界的双人年卡,有效期内通过同时验证年卡及指纹方式入园。但在三个月后,动物园方面将人脸识别检票系统引入,拆除了原来的指纹检票闸门。该旅客向动物园表示不同意采集人脸信息,但得到的答复是必须进行人脸识别,年卡才能继续使用。旅客想要退卡,但动物园方面表示,只能把他已经进园次数的相应费用扣除,将剩下的钱退还。旅客遂将动物园告上法庭。

在案件中,人脸识别固然是一个敏感的问题,涉及到收集个人信息,甚至还可能涉及分享给第三方(比如人脸识别设备的提供商)。但在使用人脸识别之前,收集的指纹信息同样敏感,与面部识别特征同为个人生物识别信息。因此,人脸识别并不是本案的核心问题,该案件更重要的是暴露了个人信息保护最脆弱的时刻:服务升级时。

无独有偶,在2018年VIPKID手机APP升级后,用户使用时会突然跳出一个弹窗,更新上线全新的“隐私政策”,用户还无法点击“不同意”且不点击“同意”就无法正常使用软件。但另一方面,有家长认为:“我们是交了钱的,当时交钱签协议的时候可不是这样的隐私政策。现在不经过和用户沟通,没有公示,直接就上线,还是强迫别人同意,是不是太过霸道了?”,“是不是可以理解为如果不同意你用我的信息我之前的钱就白交了?”VK平台相关负责人介绍,这些政策是“为了更好的服务用户”。

无论是杭州野生动物世界还是VIPKID,都是在原有服务升级时,对个人信息的收集、使用方式进行了变更。而杭州野生动物世界与VIPKID忽视了除却个人信息收集、使用的法律关系外,还存在着提供游园服务、英语教学服务的法律关系。在中国法下关于个人信息使用的合法性基础仅有同意,在欧盟GDPR下存在若干利用个人信息的合法事由,同意仅是其中之一。因此,企业关于个人信息的利用高度依赖用户的配合,稍有不慎就有违法违约的风险。

因此,企业在收集个人信息时,所需要面对的法律关系远比想象中的复杂,需要协调不同法律关系不互相冲突,如有服务升级、服务变更需要获取新类型个人信息时能够获得用户的同意,不至于用户不同意就导致其他法律关系的违约,直接面临与用户的冲突。

网络版权保护进化论

版权保护是发展最快的法律领域之一。哪怕是不考虑中美贸易谈判中的知识产权与国内法律的修订、司法解释的制定,不断涌现的新问题、不断变化的内外环境也让版权保护的技术、制度、用途不断更新迭代。

如果把版权保护的流程抽象出来,大概会有以下几个流程:(1)确权;(2)找到侵权内容;(3)“消灭”侵权内容。这里面没有一个是轻松的环节。就确权方面,专利、商标还好,毕竟涉及到有登记制度的支持,但版权却是一个大的问题,创作完成即获得知识产权,所以更先进的确权技术被引入。发现侵权内容从来都不是一项轻松的工作,尤其是版权领域“洗稿”的出现更是给侵权识别带来了挑战。“消灭”侵权内容更是如此,除了法院以外,平台在“避风港原则”下也需要承担越来越多地纠纷解决职能。

在版权保护的流程中,逐渐呈现出几个趋势:技术在确权、识别侵权所扮演的角色越来越重要;平台在版权保护方面的措施越发激进,甚至会创设规则;版权的影响力,已经投射到意想不到的领域。

继续阅读

销售、提供VPN服务

江苏网警发布了“净网2019”专项行动第一批行政执法典型案例:

淮安地区有网民在互联网违规提供VPN服务。经查,2018年上半年,违法嫌疑人张某某(男,21岁,淮安人)下载违规VPN软件源代码进行修改,自行制作“酷乐加速”等多款VPN软件,并于当年8月搭建网站对外销售,共计3000余人次购买。今年2月,淮安警方依据《网络安全法》第27条、第63条规定,对张某某予以行政拘留2日并没收违法所得

……江苏网警发布“净网2019”专项行动行政执法典型案例

江苏网警第三批典型案例:

违法嫌疑人周某(男,29岁,连云港人)搭建网站,以每月98、188、368、658元不等价格对外租售境外VPS服务器,并传授VPN通道搭建、使用方法。今年4月,连云港警方根据《网络安全法》第27条、第63条规定,对周某予以行政拘留2日。

微博正文

上海市宝山区人民法院依法公开开庭宣判被告人戴某提供侵入、非法控制计算机信息系统程序、工具罪一案,判处有期徒刑三年,缓刑三年,并处罚金人民币一万元。一男子因出售VPN获刑

案件名称:卢某、曹某提供侵入、非法控制计算机信息系统程序、工具罪

案号:(2018)豫12刑终271号

审理法院:三门峡市中级人民法院

裁判日期: 2018-12-17

裁判结果(维持一审判决):

  • 一、被告人卢某犯提供侵入、非法控制计算机信息系统程序、工具罪,判处有期徒刑三年三个月,并处罚金40000元;
  • 二、被告人曹某某犯提供侵入、非法控制计算机信息系统程序、工具罪,判处有期徒刑一年二个月,并处罚金10000元;
  • 三、被告人赵某某犯提供侵入、非法控制计算机信息系统程序、工具罪,判处有期徒刑一年三个月,并处罚金10000元;
  • 四、被告人李某某犯提供侵入、非法控制计算机信息系统程序、工具罪,判处有期徒刑一年二个月,并处罚金10000元;
  • 五、被告人盖某某犯提供侵入、非法控制计算机信息系统程序、工具罪,判处有期徒刑一年二个月,并处罚金10000元;
  • 六、被告人田某某犯提供侵入、非法控制计算机信息系统程序、工具罪,判处有期徒刑一年二个月,并处罚金10000元;
  • 七、被告人乔某某犯提供侵入、非法控制计算机信息系统程序、工具罪,判处有期徒刑一年二个月,并处罚金10000元;
  • 八、公安机关已扣押的作案工具笔记本电脑、电脑主机、路由器、IU服务器及手机等(详见清单),依法没收,上缴国库;
  • 九、继续追缴本案各被告人犯罪所得,上缴国库。

案件事实:2014年6月,被告人卢某以林某某名义注册成立河南非凡云科技有限公司,租赁郑州市金水区丰庆路丰庆华府小区7号楼1单元20楼077号作为公司办公场所。自2015年4月以来,被告人卢勃租用境外服务器架设VPN专用网络,陆续雇佣被告人曹某某、赵某某、李某某、盖某某、田某某、乔某某与马某某(另案起诉)等人,分设技术部与业务部两个部门,通过开设的淘宝店铺、开发的挂机乐等网站,非法出售可绕开我国互联网防火墙监管非法访问境外互联网网站的“VPN”翻墙服务。其中,被告人赵某某、李某某、乔某某与马某某等人为业务部人员,由赵某某任负责人,业务部人员负责在淘宝、QQ群、论坛、贴吧等处发布广告招揽客户销售“VPN”,为客户开设账户,教授、帮助客户使用“VPN”翻墙登陆境外互联网网站,给客户电脑安装用于连接“VPN”的openvpn软件等。

多次销售

案件基本事实

2015年7月至2016年12月30日间,被告人胡某为非法牟利,租用国内、国外服务器,自行制作并出租“土行孙”、“四十二”翻墙软件,为境内2000余名网络用户非法提供境外互联网接入服务。2016年3月、2016年6月上海市公安局浦东分局先后两次约谈被告人胡某,并要求其停止联网服务。
两次约谈后,吴某屡教不改继续利用上述方式非法牟利,2016年10月20日,上海市公安局浦东分局对其作出责令停止联网、警告、并处罚款人民币15000元,没收违法所得人民币40445.06元的行政处罚。
在利益的驱使下,无视国家法律法规的胡某拒不改正,于2016年10月至2016年12月30日,继续出租“土行孙”翻墙软件,违法所得共计人民币23万余元。最终,受到了法律的惩处。

案件裁判要旨

法院认为,胡某非法提供国际联网代理服务,拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施后拒不改正,情节严重,其行为已构成拒不履行信息网络安全管理义务罪。
2018年9月11日,上海市浦东新区人民法院以拒不履行信息网络安全管理义务罪,判处被告人胡某拘役六个月,缓刑六个月,并处罚金人民币3万元。同时,对扣押在案的作案工具、已经退出的违法所得均依法予以没收。

使用

韶关市的一位网民因“擅自建立、使用非法定信道进行国际联网”而被“处以警告并处罚款壹仟元”。广东公安执法信息公开平台

相关法条

《网络安全法》第二十七条

任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。

《刑法》第二百八十五条 ……

【提供侵入、非法控制计算机信息系统程序、工具罪】提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。

工业和信息化部关于清理规范互联网网络接入服务市场的通知(工信部信管函[2017]32号)

4.违规开展跨境业务问题。未经电信主管部门批准,不得自行建立或租用专线(含虚拟专用网络VPN)等其他信道开展跨境经营活动。基础电信企业向用户出租的国际专线,应集中建立用户档案,向用户明确使用用途仅供其内部办公专用,不得用于连接境内外的数据中心或业务平台开展电信业务经营活动。