?

?

?

《民法總則》第一百一十一條規(guī)定，"自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。

?

該條款正式確立個人信息是一項基本民事權利。個人信息受到侵害時，最直接的受害者即是個人，可以通過《民法總則》第一百七十九條規(guī)定的方式進行救濟。個人作為消費者，亦可以根據(jù)《消費者權益保護法》第三十九條和第五十條的規(guī)定，通過協(xié)商、投訴、仲裁或訴訟途徑追究經(jīng)營者的責任，經(jīng)營者應當停止侵害、恢復名譽、消除影響、賠禮道歉，并賠償損失。

?

案例

?

在中國的司法實踐中個人信息遭受侵犯的案件并不少見，但消費者追究經(jīng)營者侵犯個人信息民事責任的案例卻較少，因為該等案件普遍存在訴訟標的低、舉證困難、損失難以證明及賠償額度低等問題。

?

消費者通過網(wǎng)絡平臺或其它渠道提供個人信息，數(shù)據(jù)庫軟硬件資料都掌握在經(jīng)營者公司，消費者無法取得證明個人信息泄露的證據(jù)，如果依據(jù)"誰主張誰舉證"的原則要求消費者對泄露的具體環(huán)節(jié)進行舉證，對消費者明顯有失公平、公正，還會助長經(jīng)營者對保護消費者個人信息的漠視。

?

因此在實踐中，為加大對于個人信息的司法保護，法院很可能會加重經(jīng)營者的舉證責任，要求經(jīng)營者承擔舉證倒置的責任，即證明采取了合理的保護措施，并沒有導致個人信息的泄露。為避免對消費者的相關民事賠償責任,經(jīng)營者一方面確需完善保護個人信息的措施，另一方面也需要考慮，一旦發(fā)生糾紛如何主動證明其沒有泄露個人信息。

?

值得一提的是，依據(jù)《消費者權益保護法》第四十七條的規(guī)定，對侵害眾多消費者合法權益的行為，消費者協(xié)會亦可以代表消費者向人民法院提起訴訟。

?

?

?

此前，F(xiàn)acebook泄密事件引發(fā)全球關注，如果該泄密事件發(fā)生在中國，中國消費者和消費者協(xié)會均可以向其提起訴訟，維護個人的合法權利。那么作為社交平臺的Facebook，可否通過訴訟追究直接肇事者Cambridge Analytica公司的法律責任呢？在中國，這一問題可以參考2016年北京市十大知識產(chǎn)權典型案例之北京淘友天下技術有限公司、北京淘友天下科技發(fā)展有限公司（合稱"淘友公司"）與北京微夢創(chuàng)科網(wǎng)絡技術有限公司（以下簡稱"微夢公司"）不正當競爭糾紛案【案例(2016)京73民終588號】。

?

案例

?

上述案例是全國首例關于用戶個人信息的社交網(wǎng)絡平臺不正當競爭糾紛案。對于社交媒體網(wǎng)絡平臺而言，用戶信息是重要的競爭優(yōu)勢與商業(yè)資源，保護社交網(wǎng)絡平臺上的各類用戶信息，不僅是互聯(lián)網(wǎng)經(jīng)營者開展正常經(jīng)營活動、維持并提升用戶活躍度、保持競爭優(yōu)勢的必要條件，也是對廣大用戶權益的尊重和保障。其他經(jīng)營者在與社交網(wǎng)絡平臺開展合作時，不僅要合法獲取社交網(wǎng)絡平臺的用戶信息，也應妥善保護并正當使用用戶信息。通過上述案例可見，企業(yè)在違規(guī)獲取潛在競爭者的用戶信息時，或將承擔不正當競爭的法律責任。

?

不過，雖然微夢公司在上述案例中贏得了勝訴，法院仍然指出微夢公司對于涉及用戶隱私信息數(shù)據(jù)的保護措施不到位，暴露出其作為網(wǎng)絡運營者在管理、監(jiān)測、記錄網(wǎng)絡運行狀態(tài)，應用、管理、保護用戶數(shù)據(jù)，應對網(wǎng)絡安全事件方面的技術薄弱問題?！秱€人信息安全規(guī)范》對于個人信息的委托處理、共享、轉讓和公開披露以及個人信息安全事件處置等方面均提出了嚴格的要求，加強對于網(wǎng)絡用戶個人信息的保護，企業(yè)應當參考。

?

?

2018年1月11日，工業(yè)和信息化部信息通信管理局針對媒體報道相關手機應用軟件存在侵犯用戶個人隱私的問題，約談了北京百度網(wǎng)訊科技有限公司、螞蟻金服集團公司（支付寶）、北京字節(jié)跳動科技有限公司（今日頭條）。信息通信管理局指出，對照《網(wǎng)絡安全法》《全國人民代表大會常務委員會關于加強網(wǎng)絡信息保護的決定》《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》（工業(yè)和信息化部令第24號）有關規(guī)定，三家企業(yè)均存在用戶個人信息收集使用規(guī)則、使用目的告知不充分的情況，要求三家企業(yè)本著充分保障用戶知情權和選擇權的原則立即進行整改。

?

網(wǎng)絡運營者、網(wǎng)絡產(chǎn)品或者服務的提供者均可能成為行政處罰的對象，本文提到的上述幾個案例中，四川航空公司、百度公司、淘友公司以及工業(yè)和信息化部信息通信管理局約談的三個公司，或都存在因侵害個人信息而受到《網(wǎng)絡安全法》第六十四條規(guī)定的行政處罰的可能，但各個案例中對于個人信息的侵犯程度明顯不同，實際處罰可能涉及的多個問題也有待明晰。例如，根據(jù)《網(wǎng)絡安全法》的有關規(guī)定，國家網(wǎng)信部門、電信主管部門、公安部門和其他有關機關在各自職責范圍內(nèi)負責網(wǎng)絡安全保護和監(jiān)督管理工作，但《網(wǎng)絡安全法》第六十四條規(guī)定"有關主管部門"可以作出行政處罰，具體由何等級別的哪個行政主體進行處罰，目前尚不明確。又如，侵犯個人信息的程度、危害結果等因素，對于實際處罰結果有何影響，亦尚不明確。針對這種模糊性，企業(yè)不能掉以輕心，反之，應當嚴格遵守個人信息保護的相關規(guī)定，避免遭受"有關主管部門"作出的任何行政處罰。

?

?

2009年頒布的《刑法修正案（七）》首次將侵犯公民個人信息罪納入刑法。自然人和單位都可能構成犯罪主體，表現(xiàn)形式包括向他人出售或者提供個人信息，竊取或者以其它方法非法獲取個人信息。但是《刑法修正案（七）》將出售或者提供個人信息的責任主體限于"國家機關或者金融、電信、交通、教育、醫(yī)療等單位的工作人員"，2015年頒布的《刑法修正案（九）》進行了相應的修訂，將出售或者提供個人信息的責任主體范圍擴大至任何自然人，同時將"履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人"的情形修訂為從重處罰的情節(jié)。個人作為犯罪主體時，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴重的，處三年以上七年以下有期徒刑，并處罰金；單位作為犯罪主體時，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照各款的規(guī)定處罰。2017年5月9日，最高人民法院、最高人民檢察院發(fā)布的《兩高解釋》，對該罪名的具體適用問題做出了詳細解釋。

?

一般而言，個人作為犯罪主體的侵犯個人信息罪案例較多。2017年5月9日，最高人民法院發(fā)布《侵犯公民個人信息犯罪典型案例》，共計七起，犯罪主體均為個人，侵犯個人信息的范圍包括個人戶籍、車輛檔案、手機定位、個人征信、旅館住宿記錄，也包括個人銀行征信信息、學生信息、網(wǎng)購訂單信息等類型。

?

那么，單位在哪些情形下可能構成侵犯個人信息的犯罪主體？企業(yè)如何杜絕因員工違規(guī)侵犯個人信息而遭受刑事處罰的風險？下述（2016）甘0102刑初第605號案對廣大企業(yè)具有一定的參考意義。

?

案例

?

法院判決認為："經(jīng)查，陳某某等證言、雀巢公司DR任務材料、雀巢公司證明、雀巢公司政策、員工行為規(guī)范等，證明雀巢公司不允許向醫(yī)務人員支付任何資金或者其他利益。不允許員工以非法方式收集消費者個人信息。對于這些規(guī)定，雀巢公司要求所有營養(yǎng)專員接受培訓并簽署承諾函。被告人鄭某、楊某甲、楊某、李某某、杜某某等明知法律法規(guī)以及公司禁止性規(guī)定的情況下，為完成工作業(yè)績而置法律規(guī)范、公司規(guī)范于不顧，違規(guī)操作進而賄買醫(yī)務人員，獲取公民個人信息的行為，并非雀巢公司的單位意志體現(xiàn)，故本案不屬于單位犯罪。"

?

通過上述案例可見，單位構成侵犯個人信息犯罪的要件之一，就是單位具有實施犯罪行為的主觀意志。法院在判斷單位員工的犯罪行為是否體現(xiàn)了單位意志時，很重要的考量因素就在于單位是否有隔絕員工實施犯罪行為的相關政策和措施。由此可見，企業(yè)應加強關于個人信息保護的合規(guī)建設，通過發(fā)布各項公司政策或規(guī)章制度，明文禁止員工向他人銷售或提供、竊取或通過其它方法非法獲取個人信息，并通過舉辦員工培訓、講座等活動增強員工的意識。并且，在培訓完成后，應要求員工簽署相關書面承諾函，從而盡量減少單位因員工侵犯個人信息犯罪而被"拉下水"的風險。

?

?