被采访者:刘海涛 金杜律师事务所争议解决部
7月25日,刘海涛律师接受安拓咨询(Everpro)邀请,以新《网安法》及其配套法规对跨国公司合规和内部调查影响为题,与150多家企业举行电话会议,期间针对客户提出的各种问题进行了建议分享。
问:刑法第253条之一有关侵犯公民个人信息罪里面有说到的“情节严重”,就是提供50条信息、500条信息和5000条信息, 我刚听得不太清楚,我想问一下数字的法律依据是哪里?
答:这个数字的法律依据是最新的最高检、最高院的司法解释《关于办理侵犯公民个人信息案件适用法律若干问题解释》,今年6月1号与《网安法》同时生效,里面有详细的规定。提醒一下,这里需要注意的是这几个50条[1]、500条[2]、5000条[3]的信息,如果你是在履行职责或者提供服务过程当中获得的这些信息,你再出售或者提供给他人的话,它就降一半来处理了,就不是50条,就变成25条、250条、2500条,25条是一个很吓人的门槛。
问:关于CII的定义,网安法对定义有了一个大概的范围,基本上是属于在公共通信信息服务能源交通水利公共服务这些比较重要的行业领域,但是却没有一一列举。我也有注意到最近网信办又有一条《关键信息基础设施安全保护条例》的公开征求意见稿,里面对CII的定义有了更详细的范围,其中罗列到了像化工、食品药品行业。因为我们公司是一个做饮料的快消品企业,我想问基于现在这个公开意见稿,像我们这种食品企业是不是也可能会被划入CII的范围,或者说食品药品行业有没有细分?比如说食品,婴幼儿奶粉类或者说是民生的像大米油类会不会有特殊的规定,还是说一般的只要涉及到食品、药品行业可能都会落入到CII的范围之内,谢谢!
答:都不是的。我个人理解是两个方面的要件,第一,你必须要是这个行业,第二,你虽然在行业里面,那如果你的网络设施或信息系统被破坏了,丧失功能了或者你所拥有的数据泄露了,“可能严重危害国家安全、国计民生、公共利益”。比如说中电信、中移动就不谈了,我们就说阿里巴巴、百度,它是一个全国性的网络,手里所握有的个人的信息,几乎就是全国范围之内的,他如果数据泄露了,国家一定会认为这是对国家安全是很重要的。如果你是一个药品行业,我打个比方,说我药品生产收集到的信息可能就在比如说长三角一带城市或者企业,你的信息泄露了是不是会涉及到国家安全,涉及到国计民生,能不能被认定为是公共利益受到损害了?上升到这种高度的话需要有一个规模的问题,而不是仅仅是行业的问题。行业里面的企业还有大有小。所以我个人认为可能不仅仅单位所在的行业,还要考虑单位本身的规模以及单位所运行、管理的网络设施或信息系统的规模,规模大到足以被认定为说你的设施被破坏了,国家的安全就会受到影响,或者你的信息被泄露了,国家的安全就受到影响了,我想应该综合起来看。
问:您刚刚说的规模范围是应该由是行业监管部门来定义的吗?
答:第一,国务院要出一个关键信息基础设施的具体范围和安全保护办法的,大家可对照办法来看是属于关键信息基础设施的运营者还是一个普通的网络运营者。第二,我相信中国在今后的执法过程当中,可能说你是关键信息基础设施,我就给你发一个关键信息基础设施运营者的牌照,然后你出了事故,将来我是按牌照来说话;还是说企业出了事情以后,国家某一个网信办来评估你到底是一般的网络运营者还是一个关键信息基础设施的运营者,因为你是哪一档的运营者对国家造成的损害可能是不一样。如果是这样操作,不确定性就大大加大,就是到时候发生了事故是按照“普通的网络运营者”去处理,还是按照说破坏国家安全的程度去处理,那就由国家主管部门去说了算。这方面目前还不是很清楚,但是我个人的想法是说如果让企业经营者对于未来自己要在法律下负有的义务有更准确的预见性,以及如果网络设施或信息系统发生事故,运行、管理出了问题或者说其中的信息泄露了,对于可能会产生的法律后果有更可强的预见性的话,国家应该先分别认定,再相应给企业一个牌照,你是关键信息基础设施的运营者,还是国家经过评估你根本就不是的,那可能将来我知道自己发生了事故应该承担多大的责任,因为根据法律规定我可以预见,这是我的一个想法。
问:《关键信息基础设施安全保护条例》里边也写得比较宽泛,就是说相关的公安部门或者是相关的行业监管机构、行业主管机构、行业主管部门来做指南或者说做识别,就是也没有特别具体的规范。
答:原先我最担心的地方,如果光有一个指南,然后到时候我们某一个企业发生了事故一定要评估一下事故到底有多大,造成多大的损害。那么在这种情况下如果临时有个机构来评估,来看看你的网络范围覆盖面有多广以及对于国家的损害,那就是每个企业对于自己所承担的法律义务是不够清晰的,是没有可预见性的,那我觉得会很糟糕。
目前条例草案中已经提到了第一,“国家行业主管或监管部门按照关键信息基础设施识别指南,组织识别本行业、本领域的关键信息基础设施,并按程序报送识别结果”;第二,“新建、停运关键信息基础设施,或关键信息基础设施发生重大变化的,运营者应当及时将相关情况报告国家行业主管或监管部门。国家行业主管或监管部门应当根据运营者报告的情况及时进行识别调整,并按程序报送调整情况。”
我个人认为为了让企业的运营者对自己承担的法律义务以及产生的后果有更高的可预见性的话,应该给企业事先认定一下,说你这就是关键信息基础设施的运营者,你对于网络设施的保护就应该比如说提高一档进行保护,你就应该按照我们法律去界定责任。根据目前的目前条例草案,我相信将来可能是会有这么一个过程,否则的话主管部门的自由裁量权就太大了是吧?企业的风险也相应过大。
问:网安法现在有没有限制政府部门的工作人员或政府部门?
答:什么叫限制政府部门的工作人员和政府部门?
问:我没有特别细看网安法,但是刚刚您介绍了会有几个重要的角色,比如说关键信息基础设施的运营者,网络运营者,那我理解这些可能都是公司或者非政府的单位,我想问就比如说很多政府部门,它当然其实它可能掌握的信息其实更多。
答:我觉得关键信息基础设施的运营者、网络运营者也包括政府部门,这在《网安法》下并没有对政府部门做出特别的区分。刚才实际说了,比如央行不是什么国有企业对不对,但是央行拥有一个完整的信息基础设施,如果它信息泄露的话,对国家的安全会构成重大的影响,所以我个人觉得网络安全法不会把国家政府部门屏蔽在外面。我不知道我的理解是不是大家同意,至少新的法律规定似乎并没有做这样一个例外性的规定。
问:因为我自己没有特别仔细的研究,但是从刘律师的演讲我学习了很多,认识特别深刻。我们集团information protection的负责的人现在全球召集各个国家在研究,包括欧盟也在出新的信息保护、隐私保护方面的法律,可能明年5月份还是什么时候开始实施,那正好中国在这个时间也出台了我们自己的网络安全信息一系列的法规,所以我们也是在特别初期的研究的过程中,谢谢您!
问:刘律师您好,网安法里面有一条,就是说为用户提供信息发布、即时通讯等服务时需要跟用户确认他提供一个真实的身份信息。我想了解一下,比如说我们公司有时会有公众号的,平时用户可以在公众号下面去留言,但是如果提供这种真实身份信息的话,我理解应该是微信承担这样的一个义务,而只有说对于在我们公司的公众的网页留言的话,这种情况下我们才需要去获得用户提供真实信息。我不知道我这样子理解对不对。
答:你说的是哪一条?
问:《网安法》第24条。
答:网络运营者为用户办理网络接入域名注册服务,办理固定电话移动电话等入网手续或者为用户提供信息发布即时通讯服务,那么在与用户签订协议或者确认提供服务时,应当要求用户提供真实的身份信息。你现在说的是公众号,然后就是说可能用户会在下面留言,那么你们有没有义务要他们提供一个真实信息?实际上我在想就是说实际他留言需不需要跟你们签订协议,或者就是说要不要你们确认?
问:我理解应该是微信的义务,但是我就想确认一下是不是就是说我们这里也有这样的义务。
答:我觉得第一,在《网安法》下如果你是一个利用微信的网络平台去提供服务的话,你是一个公众号,打个比方,实际上你看到这条规定的后面,他说网络运营者不得为其提供相关服务。实际上你如果是一个公众号,你不是一个网络运营者。虽然我刚才讲了网络安全法附带的法律法规,对公众号可以发表什么不能发表什么有些规定,但是那是另外一回事。我个人理解这条规定是对网络运营者做的一个要求,你不是网络运营者,你就是在网络运营者的平台上有一个公众号,所以我觉得你的理解是对的。
第二,网信办发布的《互联网跟帖评论服务管理规定》(2017年10月1日施行)首先定义“跟帖评论服务,是指互联网站、应用程序、互动传播平台以及其他具有新闻舆论属性和社会动员功能的传播平台,以发帖、回复、留言、“弹幕”等方式,为用户提供发表文字、符号、表情、图片、音视频等信息的服务”。然后说“跟帖评论服务提供者应当对注册用户进行真实身份信息认证,不得向未认证真实身份信息的用户提供跟帖评论服务。”在公众号运营中,跟帖评论服务者与注册用户指应该的是腾讯与微信用户,而公众号运营者也是微信的注册用户。
问:但比如说我是通过这样的公众号提供服务给到相关用户,如果我们需要获取个人信息的话还是需要得到同意的。
答:那当然,那是另外一回事。你说我通过网络的平台获取个人信息,即使你的身份不是一个关键信息基础设施的运营者。但基于个人信息的本身的保护还是有些个很宽泛的规定,刚才我们讲的民法总则也是有规定的,你收集个人信息当然要他同意了。
问:比如说像淘宝网,网络安全法相关规定说会员账户是需要绑定手机的,但是我理解绑定手机,我们要提供的一个真实信息之一吗?或者是我们自己公司也去网站上面,就是说类似这种也是需要用户去提供这样一个手机号码吗?
答:我们注意到今年6月1日以后淘宝网在用户登录页面提示有“为确保您账户的安全及正常使用,依《网络安全法》相关要求,6月1日起会员账户需绑定手机。如您还未绑定,请尽快完成,感谢您的理解及支持!”这里反映的就是《网安法》第24条及其他相关规定的实践。手机号码实名制登记在去年已经进入尾声,2016年10月15日起,所有非实名制的手机号都已停用。淘宝网正是通过用户账号绑定手机号,一气完成了《网安法》第24条下网络运营者要求用户提供真实身份信息的工作。如果我们再看一下淘宝网的《法律声明及隐私权政策》,就会看到使用淘宝网服务所需要提供的最起码的个人信息“为成为我们的会员,以便我们为您提供会员服务,您需要提供手机号码、电子邮箱地址,并创建用户名和密码。如果您仅需使用浏览、搜索等基本服务,您不需要注册成为我们的会员及提供上述信息。”
问:好的,因为我是看到依据网络安全法的相关要求是有这么一条。
答:这是对网络运营者所提出的要求。
问:我们公司是一家车企,在实际的运营过程当中可能会收集比较多的关于车辆的销售和维保记录的信息,那么这中间会涉及到个人信息。我们想问的是因为我们有境外的关联公司,如果说我们公司向境外的关联公司去传输一些就是我们已经把单纯的个人信息隐去的一个车辆的销售和维保记录的话,是否还会涉及到个人信息传输的问题。
答:我个人觉得如果是单纯的技术性信息应该不是的,比如说国外的总部说我们经常需要一些技术上的反馈,比如是发动机的问题还是自动化的问题,我个人认为不是个人信息。因为《网安法》也好,两高的司法解释也好,其他的国家标准文件也好,个人信息的界限是是否可以单独或结合其他信息识别特定的自然人。但是有些车辆是有GPS跟踪的,如果它跟踪的那些信息属于车主的,你同时也传到境外去了的话,可能就属于传输个人的行踪轨迹,当然如果它不能和行踪轨迹信息主体联系起来,那不要紧,你就光知道一个行踪在哪里,但是如果能够和某一个特定信息主体联系起来,那就相当于把个人的行踪轨迹提供出去。但是如果除此之外,我觉得你传输这些个信息仅仅是为了解决技术上的问题或者是做数据总结的话,我觉得不是个问题,而且我也不觉得你可能是运营当中所涉及到的什么重要数据了,是你自己的一个产品的信息,当然重要数据是什么也要依赖将来国家的定义,就目前而言我觉得不是问题。
问:好的刘律师,也就是说您的意思是说如果比如说我们的销售或维保记录可能会涉及到比如说车辆一个特定的车辆的识别码、或者是发动机的号码,然后有涉及到说这辆车什么时候销售,然后什么时候进行过维保,维保的项目是什么?那么您是觉得说这种记录因为不涉及到个人本身人身身份的信息,所以说它不会涉及到个人信息传输的一个问题是吗?
答:对,是的。
问:我之前是了解到说国家针对于信息安全等级分级这一块,因为网安法也有提到,那么针对这一块的话可能就是我们国家有一系列的国标,可能有三十几个文件,那么针对于这些国标当中对于网络,不管是就是物理设施、还是网络安全,还是系统安全的要求,这方面是针对于所有的企业都是适用的吗?
答:关于网络安全目前《网安法》适用网络运营者,和关键信息基础设施的运营者。信息安全等级保护从最早的国务院关于计算机信息系统安全的保护条例来看,主要是针对的是计算机信息系统,因为传输最便捷的方法是通过计算机来传输的不是吗?那么其他的就是信息的传输可能会单独的适用相关的国家安全法律法规,包括保守国家秘密法。但是信息安全等级保护,对于网安法下的主体都应该适用。
问:就我理解来说的话,可能信息安全是包含了网络安全,也就是说它是网络安全的一个上位的概念。因为我们了解国标对于各个等级的信息安全,包括网络安全都有非常详尽的规定的,那么我们现在公司就有一个担心就是针对于这些国标性质的规定,我们公司是否也需要强制性的去适用、去遵照这些标准。
答:要看国标是什么国标,它分强制性的国标和推荐性国标两种的,强制性标准和推荐性标准。保障人体健康,人身、财产安全的标准和法律、行政法规规定强制执行的标准是强制性标准,其他标准是推荐性标准
推荐性标准指的是推荐适用,你可以选择不使用,一旦你选择适用,比如说有很多产品在标牌处明示采用某个推荐性国标,那你就相当于向消费者有一个合同项下的承诺,你就必须要遵守其中的标准。我目前不知道你说的信息等级的国标是一个强制性的国标还是一个推荐性国标。如果是一个强制性标准,只要在中国的相关行业的单位肯定都会适用。
问:强制性的国标和推荐性国标怎么区分?
答:国标封面上会说得很清楚。国家标准的代号由大写汉语拼音字母构成。强制性国家标准的代号为“GB”,推荐性国家标准的代号为“GB/T”。还有一种指导性技术文件的代号由大写汉语拼音字母“GB/Z”构成。指导性技术文件不宜由标准引用使其具有强制性或行政约束力。
问:我再补充一个,您现在是讲述的是说网安法当中它其实是对于个人信息和重要数据出境的话,目前来说是仅仅是用于关键信息基础设施运营者,那么就您的理解来说的话可能就是涉及到个人信息及重要安全数据出境的一个实施办法当中,它可能把范围扩大到了一个网络运营者,也就是说是不是可能我们就是说存在局域网运营的大多数的跨国企业的话的一个立法的趋势,就是说可能都会涉及到个人信息和重要数据出境的网络安全审查的评估?
答:我们理解是这样的。虽然《网安法》说得是“关键信息基础设施的运营者在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”。但是《个人信息和重要数据出境安全评估办法(征求意见稿)》却规定“网络运营者在中国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当按照本办法进行安全评估。”不再对网络运营者进行区分。《评估办法》甚至还规定“其他个人和组织在中华人民共和国境内收集和产生的个人信息和重要数据出境的安全评估工作参照本办法执行。”可以说今后个人信息和重要数据出境都要经历不同程度的安全评估过程。当然这个还仅仅是个征求意见稿,将来落地时会进一步怎么规定还要拭目以待。
问:刘律师您好,关于个人同意的问题。之前你举例子说到商业银行的例子的时候说,银行可能没有一个步骤是说你同意了之后才能在这里办业务,不同意的话就不能在我这里办业务。那我们现在遇到的问题,就是说我们在网站上帮客户做相关的业务或者是活动的时候,他会看到一条通用语,上面写着“一经提交,您即同意我们的隐私政策”。这个隐私政策是有链接的,点击进去会看到全文的隐私条款。那如果是在这种情况下,客户点击了下面的提交按钮的话,那我是不是可以真的视为他同意了我的隐私政策。然后同时政策里面我会写的很清楚,我会把你的信息分享给我美国的总部,分享给我们欧洲的关联公司等等。在这种情况下,我不是CII, 那我是否可以认为得到他的同意去做这种传播?
答:实际上这种做法是蛮普遍的,但是大家要知道这种所谓的个人隐私政策在法律上的性质是什么?他是合同的一部分,是你跟客户所达成的协议的一部分。这相当于说我签了一下同意的话,就相当于个人隐私政策也成为我们的合同的一部分的条款。你同意合同条款,但是合同的条款在合同法下肯定是个格式条款,是你草拟的,对方没有任何谈判权的一个条款。根据合同法的规定,第一,你有没有用适当的方法去提醒对方关注,你有没有免除自己的责任、加重用户的责任、排除用户的主要权利等。关键是在于提供格式条款的一方应当遵循公平原则确定双方之间的权利和义务,并采取合理的方式提请对方注意免除或者限制其责任的条款,按照对方的要求,对该条款予以说明。
这是合同法下关于格式条款能否在法律上具有约束力的一个要求,如果你的这些格式条款达到了要求,你就可以这么辩解说,这是我草拟的,你也不能去修改他,你也看过了,然后你也签了同意了。但同时法律就会问你有没有提醒对方注意你里面可能有限制了他的权力或者是扩大了他的责任,用适当的方法提醒他注意。那么如果这些条件都满足了,我个人觉得如果消费者有异议,你最起码是在法律上讲你是有defense,但是如果你没有注意到这些问题,可能你单纯就是说有这么一个东西,然后立刻同意了,然后消费者实际也没有机会去看你的所谓个人隐私政策,或者你的个人隐私政策几十条上百条,然后里面隐藏了很多消费者不能完全识别的内容,那么可能它还是有问题。此前欧盟《通用数据保护条例》中关于“同意”有很详细的实践规定,对于我国目前立法上就个人同意的问题,起到了很大的参考作用。
问:明白了,就从格式条款的角度来理解非常好。还有一个问题是跟这种客户同意有关的。根据法律来说,如果你没有得到客户的同意,是不可以给它发商业广告的,比如我给客户发:某年某月某日买某空调某冰箱,尽享夏日清凉。但是如果换一种场景,我在淘宝上开了一家店,客户从我的店里买了一个空调,那我找快递公司把货发过去了,那通常来说我会发条短信,告诉客户订单已经发货了,金额是多少,请你查收。因为我在淘宝上做生意,我要按照淘宝的步骤和规则程序来做,中间我没有机会也没有可能性去设置一个是否同意发送这样的条款。在这种情况下,您觉得我们给客户发货信息的提醒是不是可以视为我已经得到他的默示同意或者是这种类似的?
答:理论上讲它不是广告,因为广告法是说你可以推送电子信息,但是接受者必须可以明晰地拒绝接受。这不是个广告,是一个送货信息,和推送什么产品的电子信息应该不一样。第二,推送这种信息有没有违反、侵犯个人隐私,就是说他如果是在买货的时候说因为为了联系方便,留下了自己的手机号码,然后企业以提供服务的目的去使用号码,也没有违反侵犯个人隐私的法律规定,我个人觉得这不是一个问题。除非是因为你有号码给我们,以后我们没事或者是说我的电子系统不定时就给你推送产品信息,然后你都不能拒绝这些垃圾广告,那你肯定就违法了,否则应该不是问题,你为什么会有这样的担忧?
问:好的,谢谢。我们现在想到另外一种可能性,比如说前面的场景是一样的,他在我的淘宝店里买了一个空调,然后我给它发条信息告诉它,你的订单已经发货了,请注意查收。但是我在同一条短信里面加了两句话,就是刚才我说的第一句,后面的话我写上一句:某年某月某日到某年某月某日,买空调送冰箱,尽享夏日清凉。
答:这个广告法范畴,不是侵犯个人隐私的问题。我因为做过广告法的讲座,我的印象当中就是说你推送广告信息的同时,要给用户拒收的选择,比如说很多商家常用的“短信回复T退订”,然后他可以选择退订,就是说我不接受你这样的信息,你就不能再发送了,理论上讲是这样子的。你说我发送一个产品信息的时候顺便做了一条广告,我觉得可能不是太大问题,除非说你将来不停地通过这种渠道给人家发送广告,别人也不能拒绝,可能工商局不会放过。
问:明白了刘律师谢谢您。
问:我想问一下关于前面律师提到的同意的问题。实际上有很多公司,比如说在天猫或者在京东上开网店,那京东和天猫平台肯定不会让开网店的公司设置自己的条款和条件来收集客户的同意的。实际上很多公司的做法做得比较好,比如说在公司淘宝或天猫网店的主页上放一个隐私权政策,隐私权政策上说你通过购买产品本身的行为应视为你同意我们公司的隐私权政策,那隐私权政策会包括说我可能会跟我们的关联公司分享信息,并向这些消费者进一步发送跟我们公司产品有关的所有品牌有关的产品的广告促销信息,如果你不想接受,我可以帮你退订。我想问一下实践上这种做法真的很多,而且平台确实没有给机会去收集同意那这种做法。比如双11,我在一个店里购买了一个产品,我肯定会收到他的促销信息的,我也从来没有点过同意。在这种情况下有什么好的建议?肯定这种做法有一定问题,但是怎么样做能够合规?
答:首先我觉得我同意你的说法,虽然做法有点问题。这种做法相当于推定客户同意,不是人家明示同意。明示同意就是说在你的界面上有这么一个功能,要人家用鼠标去点一下,还要明示说我同意。然后你有一个证据说你用电子方法跟我签订了协议,接下来的问题才是说你是不是一个格式条款,你有没有用适当的方法提醒消费者注意它的权力最大的限制,这是第二个层次的问题。关于解决方法,无非就是说平台没有设置,你有没有可能有个second chance,因为我对于网络上的购物不是特别熟悉,就是说你有没有第二个机会要求消费者做出选择,比如你买了我的产品,我随附一份促销传单,如果消费者感兴趣可以通过传单上的渠道获得进一步的信息。比如说刚才提到的在短信中设置退订,给到消费者选择不同意后退出的机制,来防止日后消费者投诉商家从来没有征求过消费者同意的问题。
又比如说我把链接放在网店上,你点开链接,里面是消费隐私政策,包括我给消费者一个适当的提醒,你同意了消费政策就意味着我将来可能会对你的个人隐私做什么样的动作,因为现在的网安法说得非常清楚,而且刑法也规定了特严格的保护,所以我建议将来类似的政策当中就应该用黑体字来突出地表明,我可能是要存储到境外去,我可能是要跟第三方分享,我分享的人当中甚至包括外国的政府主管部门。这种方法是不是国家就一定认同是另外一回事,但最起码你在国内的时候你说我要收集、处理、使用你的个人信息,你就得到了一定的法律合同上的保障,这是我的一个想法。所以我的建议是说你一定要有这么一个我同意的动作,然后在我同意的文件当中,你清晰地表明了你准备怎么来处理他的个人信息,否则我觉得现在的做法肯定是有问题。
问:谢谢您刘律师,我觉得如果是对于那种使用期限比较长有保修期的产品,比如说你网上买了之后一定要上网注册才能得到质保的服务,这种可能会同时涉及您刚才的建议环节。但是我们公司的产品是那种一次性消费品,所以就存在这种早期的问题,比如说洗发水,比如说现在这样子如果是有问题,我看了一下网安法里面关于同意这一条,他具体用词是应该向客户明示并取得同意,所以同意具体方式是明示同意还是默示同意,其实法律上并没有说对吗?
答:没有,网安法说得很清楚,包括我们刚才讲到的叫民法总则。民法总则就是说任何组织和个人需要获取他人个人信息,应当依法并确保信息安全不得非法收集使用加工传输,就是说你没有权利人的同意,你做这些事情都是违法的。网安法也是,我想他肯定不属于已经明示同意的那种,从法律上不构成明示的同意。从合同上来说就成很大的问题,特别是在法律具有如此严格的保护的规则的情况下,你推定人家说已经同意了,可能问题非常大。
问:我们公司本身不属于关键信息基础设施运营者,但是我的问题是我们公司可能会向关键信息基础设施运营者提供服务,那在服务的过程中我们可能帮他们处理个人信息,也可能会涉及到信息传输到境外的问题,或者客户有时候也会把比如说网络安全法下面的职责外包给我们。我想问如果是这种情况,比如说我们在履行服务的过程中违反了相关的规定,我们公司要承担什么样的责任。
答:首先目前关键信息基础设施的范围尚未明确,但无论如何有一个国家主管部门认定的过程,这不是自我评估可以确定的事情。
如果单位被认定为不属于网安法下的关键信息基础设施运营者,但是因为你的职务原因,你可以搜集到个人信息,然后你侵犯了个人信息的。首先是民法总则要求你不能做这种事情,或者是说只有刑法的规定,而且刑法也不是仅仅针对网安法,它不是网安法的一个配套规则,它是针对个人信息保护的一个总体的规定,而不是特别针对是说在网络环境下你获得的信息。因此你违反了,刑法也来处罚你。实际上对于任何渠道获得的个人信息,然后你违反了法律的规定,它都可以适用到处罚的规定。
从这个角度来说,我个人认为如果公司作为一个单位法人违反了个人信息保护的相关法律法规,肯定要承担相应的法律责任,承担相应的民法项下的责任。我们看一看关于个人隐私的规定的刑法的条款,有单位犯罪的,就是说我们刚才讲了单位犯前三款罪的,对单位判处罚金,对其直接负责的主管人员和其责任人员依照各款的规定进行处罚。就是说破坏个人隐私的行为如果严重到可以受刑法处罚的话,它既有个人的刑责,也有单位的刑责。
问:那比如客户会把在网安法下面他们应该履行的义务外包给我们,比如说去做评估或者让我们去做一个评定说是不是达到一个评估的标准。在这样的情况下,如果我们比如说有行为没有特别符合法律规定,我的理解是不是说最后问责的时候民事责任还有行政责任还是客户先来承担,然后客户根据合同来向我们寻求赔偿。
答:不是。首先说在民事责任问题上,因为现在我们就你所说的情况,又是在一个新的法律环境下,可能没有一个现成的案例,但是从法律的一般原则考虑,他可以去告,比方说阿里巴巴他是一个收集了个人的信息的,但是他自己不能为自己来进行评估,它肯定要第三方对它的信息基础设施做一个评估,而且第三方评估机构还要得到国家的认可才行,它有的时候要求国家的机构进行评估。我提供给你的,因为你的原因,然后让我的信息泄露给第三方了。根据中国法律的规定,他可以视为你们双方,我告阿里巴巴是你是违约,我给你的,我告你们两方,我可以说你们是共同侵权,因为你们没有法律的规定就把我的信息传输出去了,实际上他是可以把你们两方都列为共同被告,这是从民法的角度上来说。从刑法的角度上来说,你肯定是有刑责的,因为你是一个直接的触犯了刑法的一方。那么阿里巴巴作为聘用你的一方,它有没有过失,有没有故意在里面,有没有一个严重的过失的行为足以构成刑事上的责任,我觉得刑法可能也是要评估的,也并不代表说只追究他的责任,不追究你责任,或追究了你的责任就不追究它的责任,我觉得都不是通过合同约定可以解决的。
问:那您觉得就是行政责任项下就是还是按照规定走?
答:行政责任项下应该是按照规定走。行政责任上,我认为你也可能是承担行政责任的主体之一。你违反了相关的法律规定,实际上你如果通过电子传输的话,你极有可能是网络运营者,只是可能不能被认定为关键信息基础设施的运营者。你通过你的网络收集到这些信息,然后通过你自身的网络传输出去,因此网安法很可能就会适用于你。即使网安法不适用于你,刑法现在的规定也不仅仅是说通过网络收集到信息,我才处罚,非网络环境下违反了个人信息保护的规定,我就不处罚了,不是的。所以我个人觉得不管是民法、行政法、刑法下的都不存在一个主次的问题,不存在先承担责任后承担责任的问题。
问:那像您刚才说的关于民事责任,您认为还是一个连带的吗?
答:民事责任在于权利人是怎么选择向谁主张,是选择合同项下,我依据协议去告对家,还是说我依据侵权法,因为侵权法就不一定是仅仅是合同对家了,你可能就是侵权问题,可能就是共同侵权人之一。那就看当事人是在民法下选择一个什么法律保护自己。
问:行我明白了。另外我还想跟您确认一个问题,就是您刚才说关于公司内网也可能是网络运营者,那我们就觉得,但是我们公司比如说它的server在境外,然后管理实际上也都是在境外的,但是我们的内网可能会收集员工的信息,那您觉得我们境内的这家公司算网络运营者吗?
答:“网络运营者”是指网络的所有者、管理者和网络服务提供者。而这一界定范围十分广泛,几乎将涉及网络产品服务的主体都纳入其中,因此只要“在中国境内建设、运营、维护和使用网络,以及网络安全的监督管理”,都适用《网络安全法》。而不区分外资企业或内资企业,也不区分提供的产品服务是否收费。所有具有局域网的公司我觉得可能都是一个网络运营者。至于你的server在哪里并不排斥你可能是网络运营者,因为你的server在外面,你依然可以用你在境内的终端去搜集去处理去传输信息,不是吗?你看网络运营者的定义,它没有说必须同时拥有一个server,没有的。
问:但是我看了定义,实际上那几条我们也都是不符合的,就是按照您的说还是要广义的去理解这个概念嘛?
答:假设你是一个可以从事评估的公司对不对?然后你作为一个评估公司,你可能自己具有一定的局域网,假设你有30个员工,你有30台电脑,你30台电脑是连在一个局域网上的,但是你局域网的主机是在境外的,那你的问题就是说我这30个人的一个小型的公司具有30台电脑,有一个小的局域网是不是就会被定义为网络运营者对不对?
根据网络安全法规范网络空间治理的立法意图而言,广泛地涵盖局域网单位是可以理解的,特别是这样的局域网还通过外网与境外的服务器相连接。因为网络安全法最关键的几个定义当中,第76第一款:计算机和其他信息终端及相关设备(没有说设备一定是你拥有的,也没有说设备是你租赁的,也没有说设备一定是在境内的)按照一定规则和程序对信息进行收集存储传输交换处理的系统。你说局域网不就是符合这个定义吗?所以我觉得你只要有局域网并且通过局域网对外传输的,你可能落入到网络经营的范围的可能性极大。
[1] 指“非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条”。
[2] 指“非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条”。
[3] 指“非法获取、出售或者提供其他公民个人信息五千条”。
注:本文摘选于安拓电话会议
被采访人:刘海涛 金杜律师事务所 合伙人
版权归主讲人所有,本文仅限学习交流使用,请勿用作其它用途