天达共和数据合规资讯月报(No.01)2020
资讯
观点
案例
律途
荐读
1. 立法动态
境内立法
2019年12月27日,中国人民银行公布了对2016年制定的《金融消费者权益保护实施办法》修订后的征求意见稿,面向全社会征集意见。这部由央行金融消费权益保护局牵头修订、从规范性文件升格为部门金融消费者权益保护实施办法规章的新规的出台已进入倒计时。实施办法对金融机构行为规范、消费者金融信息保护、金融消费争议解决等方面进行了具体规范。实施办法设专门章节规范消费者金融信息保护,具体包括消费者个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他与特定消费者购买、使用金融产品或服务相关的信息。(来源:http://www.xinhuanet.com/fortune/2019-12/28/c_1125397426.htm)
2020年1月19日,《商业银行互联网贷款管理暂行办法》据传已下发至多家银行,为银行参与互联网贷款及相关合作的持牌消费金融公司、金融科技公司等明确业务规范。在数据合规方面,办法要求商业银行进行借款人身份验证、贷前调查、风险评估和授信审查、贷后管理时,如果需要从外部合作机构获取借款人风险数据,应当至少包含借款人姓名、身份证号、联系电话、银行账户等基本信息,且通过适当方式确认合作机构的数据来源合法合规,并已获得数据所有权人的明确授权。商业银行收集、使用借款人风险数据应当遵循合法、必要、有效的原则,不得违反法律法规和借贷双方约定,不得将风险数据用于从事与贷款业务无关或有损借款人利益的活动,不得违法违规向第三方提供借款人风险数据和泄露借款人敏感数据。(来源:https://www.iyiou.com/p/122402.html)
2020年1月20日,《信息安全技术 个人信息告知同意指南(征求意见稿)》发布,从告知内容、方式及征得个人信息主体同意收集、使用、对外提供个人信息的方式等方面为网络运营者提供指导。征求意见稿明确了告知同意的适用及例外情形、告知同意的基本原则、告知的内容、方式、展示及适当性、同意的模式选择、机制设计、变更与撤回及告知同意的证据留存等问题,并在附录中详细列出了收集未成年人个人信息、SDK(软件开发工具包)收集个人信息、个性化推荐以及互联网金融、网上购物等八类场景下的履行告知义务的具体要求。
2020年1月20日,《信息安全技术 移动互联网应用(App)收集个人信息基本规范(征求意见稿)》发布,结合App违法违规收集使用个人信息专项治理工作实践经验,第三次面向社会征求意见。本次主要更新部分包括:对第4章APP收集要求进行优化,并在附录A和附录B中增加了旅游服务、酒店服务、网络游戏、在线影音、儿童教育、电子图书、拍摄美化、应用商店、网络直播9个服务类型的最小必要信息和最小必要权限范围。
2020年1月21日,交通运输部发布了《邮政业寄递安全监督管理办法》(以下称“《办法》”),《办法》将于2020年2月15日起施行。对于用户信息的保护,在网络安全层面,《办法》要求企业按照国家网络安全等级保护制度的要求,履行安全保护义务,防止保存于网络中的用户信息泄露或者被窃取、篡改;在文件管理层面,《办法》要求企业建立寄递详情单及电子数据管理制度,定期销毁已经使用过的寄递详情单,妥善保管用户信息等电子数据;《办法》明确了规定未经法律明确授权或者用户书面同意,邮政企业、快递企业及其从业人员不得将用户身份信息以及用户使用邮政服务、快递服务的信息提供给任何单位或者个人。(来源:http://finance.jrj.com.cn/2020/01/20143628705682.shtml)。
2020年1月21日支付清算协会印发《人脸识别线下支付行业自律公约》(以下称“《公约》”)。《公约》要求,会员单位应建立人脸信息全生命周期安全管理机制。在采集环节,要坚持“用户授权、最小够用”,明确告知用户信息使用目的、方式和范围,并获得用户授权,避免与需求无关的特征采集。在存储环节,将原始人脸信息加密存储,并与银行账号或支付账号、身份证号等用户个人隐私进行安全隔离。在使用环节,收单机构、商户等中间环节不得归集或截留原始人脸信息,实现端到端的个人隐私保护。(来源:https://k.sina.com.cn/article_2109032275_7db5475300100nbtp.html)
境外立法
2020年1月1日,美国《加州消费者隐私法》(California Consumer Privacy Act,以下称“CCPA”)正式实施。CCPA具有域外效力,其适用范围延伸可到包括位于中国境内且在美国没有常设机构也没有人员的公司。CCPA赋予了受保护的消费者知情权、访问权、拒绝权、删除权和可携权和服务和价格平等权。违法责任方面,在发生个人信息数据泄露事件时消费者可按每起事件100-750美元/每人的法定赔偿金额或实际损害金额两者中较高者向违法者索赔,可能引发企业的巨额赔偿责任。这是美国目前对消费者隐私保护最全面的立法。
2. 执法聚焦
自2019年10月31日工业和信息化部(以下称“工信部”)发布《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》以来,截至目前,工信部已于2019年12月19日、2020年1月8日先后向社会通报了两批共计56款存在问题的应用软件名单,并于2020年1月3日对公布的第一批APP中 3款未按要求完成整改的APP进行下架。根据工信部在第二批通报中所表示的,工信部将持续加强APP监督检查,形成常态化监管机制。(来源:http://www.miit.gov.cn)
2019年12月20日,APP专项治理工作组发布《关于61款APP存在收集使用个人信息问题的通告》,公布61款存在收集使用个人信息问题的App名单,要求营运者对App进行整改并在30日内向工作组反馈整改情况。(来源: “App个人信息举报”微信公众号)
2019年12月起,中国互联网金融协会(以下称“互金协会”)根据人民银行《关于发布金融行业标准,加强移动金融客户端应用软件安全管理通知》的要求,牵头开展金融客户端实名备案的工作。据悉,截至2020年1月13日,已有53家公司互金协会申请了移动金融客户端应用软件(APP)备案。(来源:http://www.01caijing.com/article/256259.htm)
2020年1月13日,国家计算机病毒应急处理中心近期在“净网2020”专项行动中通过互联网监测发现24款违法违规涉嫌超范围采集个人隐私信息的移动应用,并进行通报。(来源:http://www.xinhuanet.com/2020-01/13/c_1125455263.htm)
2020年1月18日,公安部发布打击治理电信网络违法犯罪专项行动显著成效。2019年,全国共破获电信网络诈骗案件20万起、抓获犯罪嫌疑人16.3万人,同比分别上升52.7%、123.3%,发案数同比下降3.1%。公安机关今年将继续开展打击治理专项行动,坚决遏制电信网络新型违法犯罪的多发高发势头。(来源:https://www.mps.gov.cn/n2253534/n2253535/c6869366/content.html)
3. 热点评述
疫情下的数据应用与保护
自去年年底新型冠状病毒导致的肺炎疫情出现以来,各地都在采取措施,防止疫情扩散。政府有关部门、电信运营商和一些互联网公司通过大数据分析,为疫情控制提供数据支持。例如,武汉市长在1月26日的新闻发布会上表示约有500万人离开武汉,随后,百度慧眼即对社会公布其大数据分析结果,提供了1月1日至26日期间武汉人口迁出主要流向分析[1],为流向城市的疫情防控起到一定的参考作用。与此同时,多地针对武汉返乡人员开始进行信息登记和活动监控。这本是疫情防控的有效措施,武汉返乡人员的配合,将为控制疫情提供重要的信息基础。然而,返乡人员的个人信息却被公开披露并在网上大肆传播,其中涉及身份证号码、手机号码、住址、行踪等大量个人敏感信息,一旦泄露,极易导致个人名誉、身心健康受损或受到歧视性待遇。实际上,从网上流传的一些信息和视频已经可以看到,部分武汉返乡人员已受到外界骚扰甚至言辞侮辱。
大数据技术对于疫情防控可起到的积极作用不言而喻,但对于基于个人信息的大数据分析而言,其应用不应以牺牲个人信息主体的合法权益为代价。根据我国目前已生效的强制性法律法规,除非为特别法定目的外,对个人信息的收集和使用均应以个人信息主体的授权同意为合法基础,这一原则适用于个人信息全生命周期,包括对外共享和公开披露个人信息。尽管《信息安全技术 个人信息安全规范》(以下称“《个人信息安全规范》”)提供了取得个人信息主体同意的例外情形,例如,在与公共安全、公共卫生、重大公共利益直接相关的情形下,收集、使用或共享、转让、公开披露个人信息无需征得个人信息主体的授权同意[2],但《个人信息安全规范》作为推荐性国家标准,并不具有法律强制效力。
在防控疫情的背景下,《中华人民共和国传染病防治法》(以下称“《传染病防治法》”)赋予了疾病预防控制机构、医疗机构收集、分析、调查、核实传染病疫情信息(其中必然包括个人信息)的权力,相关个人有义务配合,这意味着疾病预防控制机构、医疗机构收集、使用个人信息无需经个人信息主体授权同意[3]。但《传染病防治法》同时明确规定,疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料,且如果疾病预防控制机构违反《传染病防治法》规定,故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料的,县级以上人民政府卫生行政部门可责令其限期改正、通报批评、给予警告,对负有责任的主管人员和其他直接责任人员,可依法给予降级、撤职、开除的处分,并可以依法吊销有关责任人员的执业证书;构成犯罪的,依法追究刑事责任[4]。此外,根据《突发公共卫生事件应急条例》的规定,街道、乡镇以及居民委员会、村民委员会基于卫生行政主管部门和其他有关部门、医疗卫生机构的授权,也同样有权向个人信息主体收集疫情信息而无需征得个人信息主体的同意,但基于其权力来源,上述机构应同样履行疾病预防控制机构、医疗机构在《传染病防治法》下对个人隐私的保护义务[5]。
根据上述规定,除法律明确授权的机构外,其他单位或个人收集、披露或以其他方式使用与疫情有关的个人信息,应当取得个人信息主体的同意,对于其已经掌握的个人信息,如果用于疫情分析等目的超出个人信息主体原来的授权范围,还应当另行取得个人信息主体的同意,否则,未经个人信息主体同意,以疫情防控为由任意公开披露武汉返乡人员的个人信息缺乏合法基础,甚至涉嫌违反法律。
从疫情大范围爆发至今,这场全国范围内对抗疫情的战役已半月有余。这场战役目前仍处于攻坚阶段,危难之际见真情,正需要全国上下众志成城,齐心协力。一批又一批医护人员从各地赶赴武汉参与救治,全国各地、各行各业也都在积极为武汉提供物资支援和精神支持。数据的有效利用为疫情的防范、控制和治愈提供强有力的帮助,但同时,数据安全和个人信息隐私的保护同样重要,这不但关乎眼前,更关乎未来,关乎我们每个人。请不要忘记,在这场战役中,我们的敌人是疫情,而不是武汉人,不是我们的同胞。风雨后总能见彩虹,相信我们终将取得对抗疫情战役的胜利。
注释:
[1] 详情见百度迁徙:http://qianxi.baidu.com。
[2] 《个人信息安全规范》第5.4条、第8.5条。
[3] 《传染病防治法》第十二条、第三十三条。
[4] 《传染病防治法》第十二条、第六十八条、第六十九条。
[5] 《突发公共卫生事件应急条例》第四十条。
天达共和数据合规工作组团队简介
天达共和数据合规工作组由多名在公司合规、数据和互联网领域具有丰富经验的合伙人/顾问、律师组成,人员以北京总部和上海为核心,业务范围覆盖全国。依托于天达共和一体化管理的综合力优势,加之具有与数据合规相关的民事、刑事、公司并购/重组、反垄断/反不正当竞争、知识产权等法律专业服务能力及项目经验,我们可以为客户提供的业务涵盖数据系统安全运营以及数据生命周期全过程和各个应用场景下数据应用处理的法律业务,涉及的业务内容包括数据合规审查综合项目、数据合规风控体系的建立与完善、数据合规专项服务、行政检查应对、争议解决、合规培训等。建立在对中国国内外,包括欧洲、美国、日本等重点国家和地区,数据领域法律法规深度研究和持续关注的基础上,并结合多年公司合规业务领域的经验,数据合规工作组为包括国家机关、大中型企事业单位、跨国企业集团、外资企业和民营企业的大量客户提供了各项数据合规相关的法律服务。数据已经成为战略性资源,企业的运营和发展离不开数据的有效利用和保护。天达共和数据合规工作组秉承“成功,始于助人成功”以及专业至精、尽心竭力的服务理念,力求助力客户,为客户提供高效、优质、专业的服务。
申晓雨
天达共和合伙人
李丽霞
天达共和合伙人
叶 鹏
天达共和合伙人
张 劢
天达共和律师
吴雅涵
天达共和实习律师
康雅斯
天达共和法务人员