享久喷剂招商
weige4812
6月20日,据M78安全团队公众号发文称,黑客在非法渠道售卖大学生学习软件超星学习通的数据库信息,兜售的数据包含姓名、手机号、性别、学校、学号、邮箱等信息约1.7亿条,引发网友热议。该信息的真实性还有待进一步调查,但此类事件的频繁发生足以提醒大家关注个人信息保护问题。当个人信息被随意收集、违法获取、过度使用等问题日趋严重时,每个人都是潜在的受害者。那么,在这一套机制里不同的主体到底扮演什么样的角色,谁又将为我们的损害负责呢?
一、个人信息定义与定位
首先,我们聚焦于此次泄露事件的核心——用户信息。根据《民法典》第一千零三十四条,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。很明显,此次信息泄露事件涉及到的用户信息属于个人信息。此外,根据《个人信息保护法》的规定,14周岁以下的学习通用户,其用户信息则属于敏感个人信息。
确定用户信息属于个人信息后,接下来分析,个人信息在我国法律中处于什么样的保护地位。随着技术的不断进步,个人信息保护难度不断提高。与此相对,个人信息在我国并未独立构成一项权利,我国民法典和个人信息保护法均未采纳个人信息权或个人信息权利 的表述,而是围绕着自然人对其个人信息享有的人格权益展开。这就意味着,个人在个人信息处理活动中的权利主体是信息主体,义务主体是个人信息处理者,适用场景仅限于个人信息处理活动中。换言之,信息主体只在个人信息处理活动中对个人信息处理者享有该系列权利,而不能像隐私权一样针对不特定的第三人。如此一来,我们在追责过程中就要理清责任主体,明确各主体承担责任的依据及范围。
二、个人信息保护和追责
此次信息泄露事件到底涉及哪些主体?又受到法律的哪些规制呢?
01
相关法律规定
《民法典》在第111条和第1034至1039条,都对个人信息的保护作出了规定。随后,我国还于2021年8月20日表决通过《个人信息保护法》,并于11月1日正式施行。此外,此次事件还可能涉及到的有《网络安全法》、《刑法》、《关于加强网络信息保护的决定》、《侵权责任法》、《电子商务法》、《规范互联网信息服务市场秩序若干规定》、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等。
02
相关责任主体
信息泄露通常表现为三种形式:第三人恶意攻击、信息处理者的系统故障和人为错误(如存储个人信息的电脑或硬盘被盗)。其中,第三人恶意攻击占比约为百分之五十。因此,此次事件可能涉及到的责任主体有三方。
1.学习通平台(个人信息处理者):在信息处理中,它有义务制定内部管理制度和操作规程,定期对从业人员进行安全教育和培训,制定并组织实施个人信息安全事件应急预案,指定个人信息保护负责人,对敏感个人信息处理情况进行记录等对信息泄露进行防范;在信息泄露后,它应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。
2.国家网信部门和县级以上地方人民政府有关部门(监管者):有接受、处理与个人信息保护有关的投诉、举报;组织对应用程序等个人信息保护情况进行测评,并公布测评结果;调查、处理违法个人信息处理活动等义务。如果违反,将面临行政处分。
3.此次事件如果存在攻击者(窃取人),则应根据其行为的严重程度要求其承担行政或刑事责任,信息主体也可要求其承担侵权责任。
例如,假设此次泄露事件为真,且泄露源于第三方的恶意攻击。那么,根据《网络安全法》第六十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。如果已经构成犯罪,则依据《刑法》第二百五十三条第三款的侵犯公民个人信息罪进行处罚。
在这种情况下,学习通平台是否就没有责任了呢?并不然,我们仍要检查其处理个人信息是否符合法律规定,在信息泄露后是否立即采取了补救措施,是否尽到通知义务。如果没有,仍要依照上述法律规定对其进行追责。相应的,依据《个人信息保护法》它可能被责令改正,给予警告,没收违法所得,罚款甚至被责令暂停或者终止提供学习通这一应用服务。如果情节严重,则可能没收违法所得并处罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照,其直接负责的主管人员和其他直接责任人员也会面临罚款甚至一定期限内的竞业禁止。
03
个人的救济途径
根据现有法律可以看出,对个人信息泄露问题的处理主要属于公权领域。但法律也规定了,个人可以提出侵权行为诉讼,且如果信息主体因信息泄露带来的下游侵害(如欺诈等)而遭受财产损失,可主张由信息处理者承担相应的赔偿责任。但司法实践中,由于信息主体难以知晓并证明信息泄露路径及因果关系的存在,该救济途径的实现存在一定困难。
三、启示与建议
01
明确信息泄露受害者的知情权
目前法律仅规定,发生或者可能发生个人信息泄露、篡改、丢失的…履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人。根据该法条可知,并不是所有信息泄露受害者都可以知道自己有哪些信息被泄露了,这对于个人预防下游损害的发生以及提起侵权行为诉讼极为不利。
02
明确下游侵害的合理预防费用请求权
在个人信息泄露时,个人不仅遭受了人格权益的损害,还可能因下游侵害(如欺诈等)而遭受财产损失。在下游损害已发生时,受害人可主张相应的赔偿;但在下游侵害未发生时,受害人有无遭受损失以及损失的类型是什么,则存在很大争议。通过本次学习通信息泄露事件,可以发现,当信息泄露发生后,受害者需要采取一系列措施预防下游侵害。而此类预防带来的合理支出毫无疑问属于损失,应当由信息处理者负担。所以,应该明确信息主体具有针对下游侵害的合理预防费用请求权。
四、参考文献
[1]郭亮,王晨曦.个人信息保护的立法逻辑、权利实质与发展路径[J].重庆行政,2022,23(02):59-63.
[2]杨婕.解析我国规制个人信息泄露问题的法律路径[J].信息通信技术与政策,2021,47(09):65-71.
[3]谢鸿飞.个人信息泄露侵权责任构成中的损害——兼论风险社会中损害的观念化[J].国家检察官学院学报,2021,29(05):21-37.
[4]阮神裕.民法典视角下个人信息的侵权法保护——以事实不确定性及其解决为中心[J].法学家,2020(04):29-39+192.DOI:10.16094/j.cnki.
1005-0221.2020.04.003.
推文编辑:光影
推荐阅读:
联系我们:
官方微信:南南师兄(id : rdxzky)
官方QQ:南南师兄(723772205)
官方QQ交流群:970125529
官方新浪微博:容大西政考研
官方知乎:容大西政考研
官方B站:容大西政考研
投稿邮箱:rongdafayanxizheng@163.com
首次添加免费领取喷剂小样