首页
□北京盈科(上海)律师事务所 康烨
如果企业管理者都不好好吃透法律的话,底下的员工就有可能在具体操作、施行时走了样、踩了雷。
笔者曾在一起侵犯公民个人信息案件中担任被告人的辩护人。法庭上,我听到同案被告人在最后陈述环节,说了这么一段话:
“在我们这个行业,打听客户信息是比较常见的,我们也并不觉得有怎么不对,现在我触犯了法律,付出了失去自由的代价,我希望国家能尽早出台个人信息保护法,对个人信息范围进行规定,好让我们知道哪些是需要保护的。”
他的言下之意是:国家对于个人信息保护的规定并不明确,所以他不知道哪些信息可以利用,哪些则不可以。
我不禁感觉有点遗憾:这个被告人在其行业内本已颇有建树,却缺乏相应的法律意识,甚至走过了这么长的司法程序,付出了这么惨痛的代价,还是没有搞明白公民个人信息安全的“雷区”在哪里。
其实,早在2017年6月1日,《网络安全法》就已经实施了,这部法律对于个人信息有明确的规定。
所谓个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
说起来相关法条的规定并不复杂,我可以分享给大家一组“入刑”的数字:0、50、500、5000。
0:出售或者提供行踪轨迹信息,被他人用于犯罪的;知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供;也就是说,只要发生上述两种情形,司法是零容忍的;
50:非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上;
500:非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息500条以上;
5000:非法获取、出售或者提供第三项、第四项规定以外的公民个人信息5000条以上。
由于办案的原因,我曾经研究过数十家网站的隐私保护条款。
经过梳理,我发现其中过半平台与《网络安全法》的要求还有相当大的距离,只有一家由于是跨境电商,考虑到了域内外法规的衔接,在设计条款时显然经法律专业人士把关。
企业的信息安全意识尚如此滞后,企业员工乃至管理者的风险意识就可见一斑了。
正因为如此,如今企业及其员工触犯刑法253条侵犯公民个人信息罪的案例并不鲜见。
《网络安全法》对于信息利用的基本原则有两条:
首先是合法、正当、必要的原则。
网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则、明示收集、使用信息的目的、方式和范围,并经被收集者同意。
其次是未经同意,不得向他人提供原则。
网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
所以说,如果企业管理者都不好好吃透法律的话,底下的员工就有可能在具体操作、施行时走了样、踩了雷。
对于拥有大量用户的互联网公司来说,还需要好好研读一下法律,明白公司的社会责任。
这让我想起电影 《蜘蛛侠》里有一句话: “With great power comes great responsibility!”
翻译过来就是:能力越大,责任越大!
SourcePh" style="display:none">
放大
上一版
