引 言
最近一条“广州20万网约车司机信息遭公开售卖”的新闻引人关注,记者在某社交平台上发现有用户李某声称“持有十几万名广州网约车司机的个人信息,并公开向网友询问变现方法。”新闻中提到“广州有30万网约车司机,我这里有20多万条信息可以售卖”,“信息售价3毛/条,包括司机的姓名、手机号、车型和所属平台等”,“信息来源于网约车平台,真实性不用担心”。此新闻一出,再次引发人们对于公民个人信息保护话题的热议,笔者针对网约车行业中涉及个人信息保护问题提出一点法律思考。
一、目前我国已经初步建立了对于个人信息的法律保护制度
《民法典》第111条明确规定:自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
《民法典》作为民事法律关系的基石,民法典明确规定个人信息受法律保护,网约车平台在经营过程中所获取的个人信息亦受法律约束,亦有保护的义务,且不得违法违规使用这些信息。
除了《民法典》的原则性的规定外,我国还出台了《个人信息保护法》、《数据安全法》及《个人信息出境标准合同办法》等法律法规,全面的规定了经营者对于个人信息的保护义务。网约车平台作为交通出行信息的收集者及持有人,有明确的法律保护义务和禁止性义务,违反这些义务将承担明确的法律责任。《个人信息保护法》第66条明确规定:行政处罚最高可以到没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款;第71条规定,构成犯罪的依法追究刑事责任。
从以上的法律的规定可以看出,我们法律法规对于个人信息的保护是有着明确的法律规定,网约车平台应对该问题有着充分的认知。
二、网约车平台是目前个人信息保护执法的高风险区域
1、网约车平台不能依法依规的履行个人信息的保护义务可能面临行政处罚。
经公开渠道,能够检索到2022年11月1日至2023年11月1日期间,我国各地监管部门共作出214篇行政处罚决定,主要执法机关为网信部门、公安机关、市场监督管理局、通信管理局等,处罚决定的法律依据条款通常为《个人信息保护法》第六十六条,违法行为类型主要集中在不履行个人信息保护义务、超范围采集使用个人信息以及非法获取、出售、向他人提供个人信息等。
涉及网约车领域影响力最大的行政处罚案件还是2022年7月国家网信办针对国内某网约车平台所作出的高达80亿元人民币的行政处罚决定,其中就涉及了违反《个人信息保护法》的相关规定的情节。如此巨额的罚款,也应当为各网约车平台企业提出警示,在企业经营过程中,对于个人信息的收集、使用、加工、传输、提供等各个信息处理环节均应合法合规,做到有法必依,否则将面临严重的法律后果。
2、网约车平台出售或者非法获取公民个人信息的,严重情况下涉嫌刑事犯罪。
新闻中李某通过在网约车平台工作期间非法获取并销售的广州网约车司机个人信息体量巨大,达20万条。据广州市交通运输局2023年9月发布的网约车市场运行信息统计数据,广州网约车驾驶员共计26.64万人,也就是说本次遭泄漏信息的驾驶员占广州网约车驾驶员总数的75%以上。
根据《刑法》第二百五十三条之一规定,“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”“窃取或者以其他方法非法获取公民个人信息的”也同样构成犯罪。
在2022年12月最高检发布的《关于印发检察机关依法惩治侵犯公民个人信息犯罪典型案例的通知》中体现了国家依法从严惩治侵犯公民个人信息犯罪的政策导向,从窃取信息的源头到出售末端全面排查、精准打击,彻底斩断犯罪链条,从而切实保护公民个人信息。
根据裁判文书网的公开信息,目前公开的与网约车相关的个人信息的刑事案件共有1件。根据北京市海淀区(2018)京0108刑初1873号判决书显示,其泄露的方式就是平台内部工作人员将有权限的账户交给被告公司的员工,被告公司的员工登录平台后下载司机的信息并用于被告人公司的自有业务的推广。最终该案的被告人公司及工作人员、平台工作人员均被判定犯侵犯公民个人信息罪并处3年至3年2个月的刑期。
从以上案件可以看出,针对网约车平台的个人信息的犯罪亦有发生。虽然案件的被告公司获取个人信息仅仅是用于自己公司的业务推广使用,未流传出去,亦未产生其他严重后果,但是法院在处理本案时是予以了重判,亦能说明刑事法律对保护公民个人信息的鲜明态度。而案例中的行为,该人已经有兜售的行为,无论是否已经出售成功,那么从刑事法律的角度,已经涉嫌刑事犯罪了。
三、在履行个人信息保护义务方面,网约车平台应当扮演好守门人的角色
新闻中提到“(司机的个人)信息来源于网约车平台,真实性不用担心”。众所周知,身处数据时代,对于网约车企业来说,由于其经营方式、经营内容的特殊性,必然掌握海量的个人信息,不仅有司机的个人信息,还有用户的个人信息。同时公民个人信息,根据法律规定指的是“能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”新闻中的个人信息贩卖者声称所售个人信息是用于平台拉新或汽车保险推销,但是在网络如此发达时代,公民的各项个人信息都是彼此之间相互关联,即使部分遭遇泄露,也会被不法分子利用,实施网络侵权、网络诈骗等违法犯罪活动,对于公民名誉权、财产权、生命权等造成无法预估的伤害,对社会公共利益造成不可想象的严重影响。
所以根据《个人信息保护法》第五十八条针对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,法律规定了四项个人信息保护的义务。网约车平台企业作为个人信息数据控制者,在处理相关个人信息的数据的行为应当时时刻刻处于国家的严格监管之下,应当充分保护好公民个人信息,扮演好守门人的角色,同时也是为企业避免可能会遭遇的巨大的法律风险。具体应包含如下几个层面:
1、在业务过程中树立个人信息保护的法律意识。
作为信息保护的义务主体,网约车平台中比如滴滴、T3等全国性的大平台都有强大的法律合规部门,但是还有许多区域性的网约车平台及具有平台性质的第三方公司却明显缺乏这些法律风险意识。这些区域性的网约车平台的主体公司规模都不是很大,对于经营过程中所搜集的各项个人信息以及形成的各项数据的价值和法律风险重视不够。这个问题就需要业务主管部门,包括交管部门、网信部门加强对这类小平台的巡查和监管,同时行业协会多提供相关方面的培训和意识倡导,改变这种局面。
2、网约车平台企业应当在日常经营过程建立起针对个人信息保护的数据合规制度并做好相应的技术保护措施。
上海市在2022年出台了《企业数据合规指引》,该指引从数据合规管理体系、数据风险识别、数据风险评估与处置、数据合规运行与保障等方面对企业数据合规体系的建立提供了明确的指引。相关网约车企业可以参考引用实施。
另外,从管理的角度来说,对于有可能接触到这些信息的个人,要建立严格的管理制度,限制无关人员获取以上信息,更不允许相关人员违法使用这些信息从事不正当的行为。
从技术的层面上讲,个人信息的保护离不开技术的支撑。网约车平台的个人信息基本都是电子信息,信息产生、传输、存储、调取等各个层面都需要有技术保护的措施,并配备有定期巡查的机制。一个不设防的秘密不叫秘密,而不进行技术保护的个人信息就相当于送给公众的传播源。网约车平台在开展网约车平台服务的同时,不能仅仅考虑业务开展的便利,还要充分考虑个人信息保护的技术方式。否则一旦发生泄露并产生严重后果,平台面临的就不是简单的业务受损,面临的可能还会有行政处罚甚至是刑事责任。
且从另外一个角度考虑,大数据时代,真实的交通出行数据同样具有极高的经济价值。网约车平台在对数据进行个人信息脱敏等手段处理后,是可以进行一定程度的商用。从这个角度来讲,保护平台的个人信息亦是保护网约车平台的个人财产,亦值得在此上面投入更多的资源和关注。
原文链接请见:泰和泰研析 | 网约车平台应加强个人信息保护意识