科技的进步尤其是互联网的飞速发展给我们生活带来极大的便利同时,加大了我们个人信息泄漏的风险。2021年7月4日,根据举报,经检测核实,“滴滴出行”App存在严重违法违规收集使用个人信息问题。国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定,通知应用商店下架“滴滴出行”App,要求滴滴出行科技有限公司严格按照法律要求,参照国家有关标准,认真整改存在的问题,切实保障广大用户个人信息安全。其实不只是“滴滴出行”一个app存在违法违规收集使用个人信息这个问题。针对人民群众反映强烈的App非法获取、超范围收集、过度索权等侵害个人信息的现象,国家互联网信息办公室依据《中华人民共和国网络安全法》《App违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等法律和有关规定,组织对运动健身、新闻资讯、网络直播、应用商店、女性健康等常见类型公众大量使用的部分App的个人信息收集使用情况进行了检测,发现有keep、悦动圈等129款app违法违规收集使用个人信息。
个人信息权利受到侵害,如何维权?
大数据时代,人们不可避免地在不同的场合披露自己的个人信息。而收集个人信息的信息处理者在很多时候难以妥善保管、使用个人信息,以至于出现个人信息泄露、超范围使用等种种现象。这些现象的出现经常会给我们的日常生活带来恶劣的影响,比如由于个人信息泄露常常会导致骚扰电话诈骗电话等的出现,严重威胁个人生活安宁和财产安全。当个人发现自己的个人信息被泄露或者不当使用时,个人可以采取什么样的措施进行维权?个
人信息处理者又会因为自己的违法行为承担什么样的责任呢?
一、协商与投诉、举报
根据《个人信息保护法》第50条,个人信息处理者应当建立便捷个人行使权利的申请受理和处理机制,拒绝个人行使权利的请求的,应当说明理由。也就是说,法律规定了个人信息处理者有义务受理、处理个人信息主体行使权利的申请。因此,当个人信息主体发现自己的个人信息被个人信息处理者非法利用,或者个人信息主体要求个人信息处理者履行删除其个人信息、解释说明个人信息处理规则等义务时,个人信息主体可以联系个人信息处理者。依据第17条,个人信息处理者应当以显著方式、清晰易懂的语言向个人告知个人信息处理者的身份和联系方式。
个人信息主体依据公开的联系方式联系个人信息处理者。个人信息主体可以在联系个人信息处理者后未获得想要的效果的情况下向有关部门进行投诉、举报,也可以在发现个人信息处理者违法处理的情况后直接向有关部门进行投诉、举报。根据《个人信息保护法》第65条规定:任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人。履行个人信息保护职责的部门应当公布接受投诉、举报的联系方式。”应当接受投诉、举报的部门为履行个人信息保护职责的部门。《个人信息保护法》第60条对于履行个人信息保护职责的部门作出的规定沿用了《网络安全法》的监管体制,国家网信部门为个人信息保护的协调管理部门,公安部门、工信部门、市场监督管理部门以及其他行业主管部门在各自职责范围内行使监督管理职责。但是履行职责的部门众多,个人往往无法确定向哪些部门进行投诉,此时法律规定了兜底监管部门,分别是:对于经营或者服务活动中的出现的个人信息权利受损,根据《消费者权益保护法》第56条,市场监管部门为兜底监管部门;对于经营或者服务活动以外的场合,根据《网络安全法》第44、64条,公安机关为兜底监管部门。
二、行政处罚
《个人信息保护法》第66条规定:“违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正。没收连法所得,并处五干万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照:对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚放,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
这明确了个人信息违法的法律责任,严厉处罚了违法信息,提高了违法成本。在《个人信息保护法》之前,《网络安全法》第64条也对个人信息的违法行为作出行政处罚,但是其罚款的金额上限为100万元,对于很多互联网企业来说这样的罚款的金额根本不值一提,因而法律很难真正起到规制企业行为的作用。《个人信息保护法》针对情节严重的违法行为规定了5干万罚款上限。这借鉴了欧盟《通用数据保护条例》的规定,该条例最高可以对于企业处以2千万欧元或上一财经年度全球营业总额4%的行政罚款。和(通用数据保护条例》相同,我国行政处罚计算罚金上限金额的基数是企业的上一年度营业额而非企业利润,导致企业的违法成本大幅度上升。比如,2021年4月10日,市场监管总局对于阿里巴巴集团的垄断行为作出行政处罚决定。由于市场监管总局在2020年对阿里巴巴进行立案调查,因此在罚款计算时,罚款基数为阿里巴巴集团上一年度2019年的营业额。阿里巴巴集团2019年中国境内营业额为4557.12亿元,市场监管总局对于此处以4%的罚款,计182.28亿元。如果阿里巴巴集团违反《个人信息保护法》,依照该法,国家网信部门最高可以对它处以上一年度营业额5%的罚款,也就是28.8亿元,这数字相对于原来只能处以100万元而言,简直是天价罚款了。
三、民事诉讼
若个人信息主体觉得联系个人信息处理者或向行政机关举报都难以获得自己理想的结果时,也可以向法院提起诉讼。但是在个人信息保护案件中,最难点在于如何证明对方存在过错。但是《个人信息保护法》第69条规定了:“处理个人信息侵害个人信息权益造成损害,个人信息处理着不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”这采用了民法典第1165条的过错推定原则,个人信息处理者不必证明对方过错的存在,法律推定个人信息处理者存在过错,其不能证明自己没有过错,应当承担侵权责任。这加重了个人信息处理者的举证责任!个人信息处理者在履行法律规定的保护个人信息义务的同时,也要积极保存相关证据证明自己已经履行必要的保护措施。
