今年3.15晚会上,央视曝光了一系列非法使用人脸识别的事件,如科勒卫浴旗下门店安装了大量具有人脸识别的摄像头,在用户不知情的情况下收集进店人员的人脸数据,并对其性别、年龄甚至心情等因素分析后生成ID,实现全国门店的数据共享。据了解,科勒卫浴的摄像头上标注有“万店掌”字样,万店掌公司系制造商。除万店掌外,悠络客、雅量等也被点名。被曝光之后,科勒卫浴发表回应,表示“已知晓,将尽快反馈。”3月16日夜间,科勒卫浴通过微博发布声明,称“目前已安排相关门店连夜拆除该类摄像设备”。
一、类安梳理
(一)国内类案
(二)国际类案
二、人脸信息与个人敏感信息界定
(一)人脸信息属性
(二)人脸信息界定
(三)个人敏感信息定义
(四)不同法域下的个人敏感信息差异
三、处理个人敏感信息的相关规则
(一)处理个人信息的基本原则
(二)处理个人敏感信息的规则
(三)对个人生物识别信息的加重保护
四、现实中处理个人信息的相关情形
五、处理个人信息中的法律责任分析
六、结语
(一)国内类案
因为被动物园要求以“刷脸”方式入园,游园年卡办理者郭兵在协商不成后,以服务合同违约为由,将杭州野生动物世界告上法庭。2019年11月20日,这一涉及公民生物识别信息采集的服务合同纠纷案[1],在浙江省杭州市富阳区人民法院一审宣判,判决:杭州野生动物世界赔偿郭兵合同利益损失及交通费共计1038元,删除其办理指纹年卡时提交的包括照片在内的面部特征信息;驳回郭兵提出的其他诉讼请求。该案由于涉及人脸等个人生物识别信息采集、使用等问题,受到舆论广泛关注,被称为“人脸识别第一案”。
同时,近日浙江省慈溪市检察院召开一次检察听证会,这一听证会和售楼处人脸识别系统涉嫌侵犯不特定消费者人脸信息有关。案中,李小姐(化名)在杭州湾某地上班,为了上下班方便,想买套房子。今年春节前的几天,她转了几个楼盘,看中一套房子。为了享受购房优惠,她赶到一家中介机构,向工作人员说明来意:要买房。随后,中介的一番话令李小姐震惊:“对不起,你已经被售楼处的人脸识别记录了,售楼处有了你的信息,我们没法给你优惠。”针对上述情形,慈溪市检察院也派出检察官暗访,事后承办检察官马津津举证说,“调查时,售楼人员自己也承认,他们可以存储买房人脸部特征,用于比对和识别买房人。即使你戴着口罩,也能识别出来。来过几趟,什么时间来的,一览无余。另外,售楼大厅也没有公开明示收集买房人脸部信息的目的、方式和范围,更未主动告知并经买房人同意。”
(二)国际类案
2019年,瑞典数据保护机构(DPA)因当地一所高中使用人脸识别技术来记录学生出席情况开出金额20万瑞典克朗(约人民币14.6万元)的罚单。
也是在2019年,美国四个城市相继禁止政府部门使用人脸识别技术;微软公司疑似因隐私保护和授权瑕疵方面的原因删除了曾为全球最大的人脸识别数据库MS Celeb;Facebook因人脸识别功能或面临着可高达350亿美元的集体索赔。
上述相关事件或案件,与3.15曝光内容有着巨大联系,它们均指向了人脸识别这一个人信息采集所产生的相关问题,在互联网日益发达的今天,我们享受着大数据智能化操作带来的便利性,可以通过人脸识别完成一系列过去无法想象的操作,但人脸识别就那么安全吗?企业在进行相关人脸识别信息采集时的操作又是否合规?上述案(事)件无疑给我们敲响了一记警钟,即企业收集相关个人信息怎么才算合规?个人又该如何保护自己的信息不被泄露?这些我们通过分析做进一步探讨。
(一)人脸信息属性
1.人脸具有更强的人格属性。
相比于个人其他信息,人脸图像与自然人就其人格所享有的精神性权利有着更为密切的联系。作为重要人格权的肖像权,是指自然人对其肖像拥有的允许他人使用和禁止他人非法使用的绝对支配权。若恶意非法使用他人肖像,将构成侵犯名誉权的行为。因此,相比于其他个人信息,面部图像带有更强的人格属性,体现着人格利益与精神价值,也基于此,在实践中对人脸图像的使用更易引发侵犯自然人人格权益的顾虑。对于那些不会牵涉自然人人格属性的使用行为而言,如仅将人脸信息用于机器算法演练的行为,则很难适用人格权法益保护的相关规定。
2.人脸信息在当前经济下有不同的财产价值。
除人格层面的精神性权利之外,人脸在名人肖像商业化使用过程中也逐渐具备财产价值。然而,在传统法学中,一般仅限于名人可就人脸信息包含的财产权益进行主张,当个人肖像被非法商业化利用时,名人能够主张财产损害赔偿,而普通人原则上仅限于精神损害赔偿。在人脸识别技术得以普及的当下,人脸信息不仅仅是自然人的肖像、名誉等人格利益的体现,更是有着门禁钥匙、银行卡支付密码的功能,当人脸信息所蕴含的财产价值得以极大挖掘时,传统肖像权保护领域中针对普通人与名人人脸信息的财产价值划分也被突破。
3.人脸背后具有更广泛的信息内涵。
技术的发展不仅使人脸的可识别性产生了最大程度的发展,更通过不断发展而挖掘人脸背后的价值。通过人脸识别技术,人脸信息不仅可以用来准确地识别“我是谁”(身份识别场景),同时可以用来比对“我是否是我”(身份验证场景);结合大数据技术我们甚至能够获知和预测“我是一个什么样的人”,而根本无需知道“我是谁”(标签画像场景)。科勒卫浴和慈溪售楼的相关事件就是人脸识别技术上述应用的体现。但这一处理人脸数据的行为可能构成对数据隐私保护制度中收集个人信息“必要性”原则的违反。
(二)人脸信息界定
人脸信息具备以上多重属性,但人脸信息究竟属于何种信息,对该种信息应以何种方式进行利用是我们进一步需要考虑的问题。根据我国现行立法,人的人脸信息属于可识别的个人信息(personal information),且属于个人敏感信息(personal sensitive information)。《民法典》第一千零三十四条规定:“自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”其中,生物识别信息包含个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等信息。
人脸信息属于个人信息无疑,因为面部特征是人与人区别的最直观特征,但人脸信息属于个人敏感信息这一问题值得深思和探讨,一方面,在相关案(事)件中我们已经发现人脸信息所产生的相关财产性权益以及由此可能导致的侵犯人格权益纠纷;另一方面,对个人敏感信息的内涵进行有效梳理或可使我们对人脸信息的利用有更深一步的认识。
(三)个人敏感信息定义
国家标准化管理委员会在《个人信息安全规范》(GB/T35273-2020、下称:《安全规范》)中明确:那些一旦泄露、非法提供或滥用就可能危害人身和财产安全,且极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息应当被认定为个人敏感信息。个人生物识别信息是个人敏感信息的一种。
对个人敏感信息及非敏感信息进行界定会产生适用信息处理规则的差异。信息时代下社会存在三方主体,即作为信息主体的个人、作为个人信息处理者的企业以及承担双重角色的政府。在对个人敏感信息进行制度设计时,立法者会有意提高信息处理者的法定义务,更注重维护个人的信息权益,加大对敏感信息商业化利用的限制。2020年10月21日,全国人大常委会公布的《中华人民共和国个人信息保护法(草案)》(下称:《个人信息保护法(草案)》)对敏感信息和非敏感信息进行明确区分,并对敏感信息以专门章节进行规定。例如:加大对敏感信息处理的必要性限制;规定个人信息处理者具有特定的目的和充分的必要性,方可处理敏感个人信息。因此,对个人信息属个人敏感信息或非敏感信息进行界定具有实践上的重要意义。
同时,在《安全规范》中还对个人敏感信息的其他内容进行列举,试以表格概括:
个人敏感信息所包含的内容
(四)不同法域下的个人敏感信息差异
鉴于个人敏感信息的特殊性和重要性,很多国家都对个人敏感信息作出规定。
在欧盟法下,《一般数据保护条例》(下称:“GDPR”)第9条规定“个人敏感信息”范围,对涉及种族或民族背景、政治观念、宗教或哲学信仰、工会成员身份、能够识别特定个人的生物识别数据、以及与自然人健康、性生活或性取向有关的一种或一种以上类别的个人数据均属于个人敏感信息的范围。
而日本的《个人信息保护法》将个人敏感信息称为“需要注意的个人信息”,是指政令(相当于行政法规)规定的、为避免造成不公正的歧视、偏见和其他不利情况而就其处理需要特别注意的信息,例如种族、信仰、社会身份、病历、犯罪经历、因犯罪而被害的事实及其他方面个人信息。
通过欧盟、日本等域外法对个人敏感信息范围界定的展示,可以看出我国对个人敏感信息的界定借鉴欧盟GDPR的立法思路。但在保护对象的范围方面有所区别,欧盟GDPR主要关注种族、信仰、性别取向等可能导致伦理方面受歧视性待遇的信息,而中国除了保护个人免受歧视性待遇外,还保护个人的人身和财产免受损害。日本的规定比较折中,既防止个人信息所导致的歧视待遇和偏见,同时也注意到其他不利情况。从界定范围来看,我国规定的个人敏感信息范围比GDPR、日本广泛。因此,我国对个人信息权益的保护相对更强。
(一)处理个人信息的基本原则
《民法典》在借鉴欧盟GDPR的基础上,以“处理”一词统称对个人信息的收集、存储、使用、加工、传输、提供、公开等活动。当然还包括实践中可能出现的其他行为类型,如个人信息的删除、销毁等,但无论是自动化还是非自动化的处理都被包含在内。因此“处理”一词囊括企业对个人信息收集和后续过程中的一切行为。在此框架下探讨个人信息处理的基本原则就是对企业在收集利用个人信息的一系列过程中应当遵循的普遍性规律的探讨。这其中主要包括必要原则和知情同意原则两个最基本的原则。
1.必要原则
必要原则是指企业处理个人信息应当为订立或履行合同所必需,缺少该信息则企业无法提供基本功能服务。这一原则由来已久是国际上处理个人信息的通则,GDPR规定的处理个人信息数据的“目的限定”原则和“数据最小化”原则要求对个人信息数据的处理仅限于特定的、明确的、合法的目的;即使基于前述目的,还应当满足数据范围最小的限制。这与我国立法所规定的“合法、正当、必要的原则”异曲同工。
《民法典》、《网络安全法》、《消费者权益保护法》、《安全规范》等法律和国家标准均规定“处理个人信息,应当遵循合法、正当、必要原则,不得过度处理”。《安全规范》指出,收集的个人信息类型应与实现产品或服务的业务功能有直接关联。即没有上述个人信息的参与,产品或服务的功能就无法实现。这就意味着,只要用户同意收集其必要个人信息,即使拒绝被收集某些部分个人信息,企业也不得以此为由拒绝提供该产品或服务的全部功能。
尽管存在上述法律规范和国家标准,但必要原则的概念仍然十分抽象,其边界在具体场景中多难以界定。2020年12月,国家网信办为保障公民个人信息权益,研究起草《常见类型移动互联网应用程序(App)必要个人信息范围(征求意见稿)》(下称:《个人信息范围(意见稿)》),以正面清单的方式列举了地图导航、网络约车、即时通信等38类常见类型App的必要个人信息范围,使该原则具备更强的可实施性。同时,《个人信息范围(意见稿)》认为:网络直播类、在线影音类、短视频类、新闻资讯类、运动健身类、浏览器类、输入法类、安全管理类、电子图书类、拍摄美化类、应用商店类、实用工具类App无须个人信息即可使用基本功能服务,换句话说也就是上述类别的App在提供和实现基本功能时,不应当收集用户个人信息。
此外,《安全规范》还要求自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率,间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。必要性原则在此规定中体现的淋漓尽致。
2.“明示同意”原则
除必要原则外,对作为个人信息处理者的企业在进行个人信息处理时,《安全规范》还规定应事先获得个人信息主体(用户)的“明示同意”原则。《安全规范》规定的“同意”方式包括“授权同意”、“明示同意”等,其中对“明示同意”的要求更高。
“明示同意”是指,个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明,或者自主作出的肯定性行为,对其个人信息特定处理作出明确授权的行为。肯定性行为包括用户主动勾选、主动点击“同意”、“注册”、“发送”、“拨打”、主动填写等。
但实务中对该原则并未完全贯彻执行。个别App通过隐性方式获得用户“默示”同意(包括仅展示预先勾选的“同意”、“下一步”等唯一选项,而不对相关内容进行全面性提醒,引导用户直接做出同意及强制捆绑、一次性获得用户关于收集其多种类型个人信息的综合同意),这一操作明显具有违规问题。
(二)处理个人敏感信息的规则
1.特别规则
《安全规范》除规定了一般个人信息的处理规则之外,还着重强调对个人敏感信息的特别处理要求。
2.收集、存储与传输
企业在通过手机APP等收集个人敏感信息前,应征得个人信息主体的明示同意;传输和存储个人敏感信息,应采用加密等安全措施(采用密码技术时应遵循密码管理相关国家标准)。
3.共享、转让
企业在向第三方共享及转让其控制的个人敏感信息前,应向个人信息主体告知涉及的个人敏感信息类型、数据接收方的身份和数据安全能力,并事先取得个人信息主体的明示同意。
4.访问控制
企业对个人敏感信息的访问、修改等行为,应加强角色权限控制,在此基础上采取需求触发授权的方式。例如,不是主动访问,而是当收到用户投诉时,投诉处理人员才可访问该个人信息主体的相关信息。
5.内部机构设置、人员管理及安全事件处置
处理超过10万人的个人敏感信息的企业,应设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作;对于从事个人信息处理岗位上的相关人员,企业应当与其签署保密协议,并对大量接触个人敏感信息的人员进行背景审查,了解其犯罪记录、诚信状况等,防止出现个人敏感信息违法行为;一旦企业发生个人敏感信息泄露事件,应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。
(三)对个人生物识别信息的加重保护
由于基因、指纹、面部等个人生物识别信息具有不可逆性,无法通过常规的变更密码等方式修改弥补,一旦发生安全事件,将给个人带来严重损害,对此《安全规范》专门列出应当遵守的加重保护要求。
1.收集环节:单独告知、明示同意
企业在收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,征得个人信息主体的明示同意。
2.原则上禁止存储
企业原则上不应存储原始个人生物识别信息(如样本、图像等),可采取的措施包括但不限于:
3.禁止共享、转让、公开披露
企业原则上不应共享或转让、公开披露个人生物识别信息,确需共享和转让的,仍应当单独向用户告知目的、信息类型等内容,并征得个人信息主体的明示同意。
事实上,除了上述对人脸识别以及其他个人敏感信息的处理,在实务中,个人信息的应用与处理有着非常广泛的场景,因此,我们不妨对相关情形进行列举,以期服务于下文相关的责任分析。
广义而言,企业在处理个人信息的过程中,由于处理不当,或可涉嫌民事、刑事及行政的责任承担,但该责任的确定,依照处理信息的具体行为、具体方式以及信息处理引发的问题的不同也有所不同。以3.15曝光事件的科勒卫浴为例,我们先看看科勒卫浴处理个人信息流程图:
由上图可知,科勒卫浴处理个人信息主要集中在抓拍人脸到全国门店共享的几个阶段,主要涉及个人信息处理中的收集、储存及共享,而依据前文探讨抓拍人脸这一行为是否取得个人的明示同意,要打一个很大的问号;其次,作为个人敏感信息的面部,在进行信息处理时严格遵循规定,禁止共享和转让,科勒卫浴无疑在具体的个人信息处理中已经完全违背这一规定,在此框架下我们探讨相关的责任承担。
(一)行政责任
个人信息的合法权益保护不仅在《民法典》、《网络安全法》中有相应规定在《个人信息保护法(草案)》中也有相应规定。针对科勒卫浴在客户未明示同意的情况下进行个人信息收集并在全国门店共享的行为,作为企业个体,无疑会因扰乱社会及市场秩序等问题被行政处罚,对此,《个人信息保护法(草案)》六十二条、六十三条[3]进行明确规定,该处罚不限于责令改正、停业整顿,甚至面临五千万元以下的罚款乃至吊销许可和相关营业执照。这一处罚的严厉性无疑体现国家对个人信息保护的高标准,同时《网络安全法》第六十四条[4]对网络运营者及网络产品或者服务的提供者侵害个人信息的责任也进行明确规定,虽然主体上有所限制并不适用于科勒卫浴这种线下运营门店。好在因《个人信息保护法(草案)》仍处于草案阶段,即便今后生效,根据“法不溯及既往原则”也不能以此处罚科勒卫浴。以上规定凸显立法者对个人信息处理中的严格要求,在私权意义上有利于更好的保护个体自然人的权利,一定程度上提升自然人作为单一个体的劣势,因此企业在处理个人信息时,切记取得客户的明示同意,同时对那些个人敏感信息确需储存的也要安全储存,杜绝转让和共享。
(二)民事责任
《民法典》的施行无疑对个人信息的保护提升一个新的高度,在人格权编中以专章对个人信息进行规定。对于科勒卫浴这一相关事件而言,其侵犯的客体在《民法典》上似有交叉,科勒卫浴在通过人脸识别进行个人信息收集的过程中,涉嫌侵犯肖像权、隐私权以及个人信息权的多重权利,泛言之即是对权利人人格权的侵害,对此《民法典》[5]对侵害后的责任承担方式进行规定。
科勒卫浴通过人脸识别进行个人信息的非法收集和共享,基于人脸是人的肖像的主要构成部分,非法采集他人人脸信息从肖像权而言或不违法,但科勒卫浴采集制作后,在全国门店进行使用,该未授权的使用行为无疑是直接构成对他人肖像权的侵犯。同时,人脸作为个人敏感信息的重要组成部分,从属于个人信息的一部分,对人脸信息的非法采集无疑也是对权利人个人信息权益的侵犯。
隐私通说指的是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息[6],因此隐私的内容和个人敏感信息有交叉部分,比如权利人的病历,既属于个人敏感信息中的个人健康生理信息,同时因权利人不希望除医生以外的其他人知晓,也构成通说意义的隐私,本案中科勒卫浴主要是通过人脸识别进行精准销售,因此该信息尚不属于所谓的隐私,但科勒卫浴若通过该人脸识别进一步挖掘从而知晓权利人的其他尚不为一般人所知的信息则必然构成对权利人的隐私权的侵犯。
在肖像权、个人信息权益出现竞合后,虽然从法律而言是违反《民法典》的两个规定,但其本质仍为一种行为,因此权利人对科勒卫浴提起诉讼以单一规定或以侵犯人格权这一总括性规定均可要求侵权人承担侵权责任。
在此条件下侵权损害赔偿的数额值得关注,《民法典》第一千一百八十二条规定被侵权人可以因此侵权受到的损失进行数额确定。司法实践中,损失数额或可采“被侵权人丧失的商业优惠额度”,如上文案例中的李小姐因被人脸识别而失去的优惠理论上即可作为损失数额进行确定,若科勒卫浴在营销中也是类似模式,则该种损失数额的确定也可应用在相应对科勒卫浴提起的侵权损害赔偿中。
(三)刑事责任
科勒卫浴非法进行人脸识别信息采集,或涉嫌侵犯公民个人信息罪。《中华人民共和国刑法典》第二百五十三条[7]对侵犯公民个人信息罪作出明确规定,同时最高人民法院、最高人民检察院也联合出台《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下称:《解释》)将其细化。为使读者对侵犯公民个人信息罪的构成要件一目了然,以下表对其进行概括,现着重分析。
侵犯公民个人信息罪的构成要件
构成本罪的犯罪主体为一般主体,意味着任一自然人都有具备实施该犯罪可能,同时单位也可成为实施本罪的犯罪主体,法条有具体规定不作赘述。从主观方面而言,本罪要求犯罪人在实施该犯罪时具备故意目的,也即过失不构成本罪,本罪要求有向他人出售或者提供公民个人信息或有以窃取或者其他方法非获取公民个人信息等行为,但上述行为完全不可能以过失方式进行。从侵犯客体而言,本罪侵犯的客体为公民个人身份信息的安全和公民身份管理秩序,公民身份信息的安全和公民身份管理秩序无疑是两种法益,犯罪人实施本罪首先使被窃取或被出售信息的公民个人的安全受到影响,因此本罪首要侵犯的是公民个人身份信息的安全,其次才构成对国家公民身份管理秩序的侵犯,因此在保护法益的问题上公民安全法益具有优先性。从犯罪的客观方面而言,本罪要求犯罪人向他人出售提供公民个人信息或以窃取、收买等方法非法获取公民个人信息,此处的公民个人信息并非一般意义上的所有信息,《解释》中的定义为“是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”这一定义与我们上文所述的个人信息或个人敏感信息虽有交叉,但又不完全相同,该定义注重强调公民个人信息对特定自然人身份的识别性或该信息能反映特定自然人的活动情况,也只有此种信息方才可能威胁公民身份信息的安全。具备该行为并不一定构成本罪,刑法还要求该行为情节严重,情节严重与否的认定,在《解释》中作出明确规定[8],在这一规定中,情节严重的情形依据行为的不同而有所不同,因此构成该规定的任一情形均可构成本罪。
本案中,科勒卫浴客观通过人脸识别非法实施了采集他人脸部数据的行为,并将数据在全国门店中共享,应该说脸部数据具有唯一不可复制性,因此该数据属于可直接识别自然人特征的公民个人信息,对该信息进行非法采集并共享构成违反国家有关规定,向他人出售或者提供公民个人信息,情节上若科勒卫浴满足《解释》中第五条情节严重情形中的(五)--(八),则当然构成侵犯公民个人信息罪。
通过上述分析,我们不难发现国家对个人信息保护的重点关注,不管是普通行政法意义上的个人信息亦或是刑法上保护的公民个人信息安全法益指向的信息,在现实采集处理中都要慎之又慎。
[1]载于中国裁判文书网,案号:(2019)浙0111民初6971号。
[2]《中华人民共和国个人信息保护法(草案)》
第三十四条国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。
[3]《中华人民共和国个人信息保护法(草案)》
第六十二条违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的,由履行个人信息保护职责的部门责令改正,没收违法所得,给予警告;拒不改正的, 并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。有前款规定的违法行为,情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
第六十三条有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。
[4]《中华人民共和国网络安全法》
第六十四条网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。
[5]《中华人民共和国民法典》
第九百九十五条人格权受到侵害的,受害人有权依照本法和其他法律的规定请求行为人承担民事责任。受害人的停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉请求权,不适用诉讼时效的规定。
第一千一百八十二条侵害他人人身权益造成财产损失的,按照被侵权人因此受到的损失或者侵权人因此获得的利益赔偿;被侵权人因此受到的损失以及侵权人因此获得的利益难以确定,被侵权人和侵权人就赔偿数额协商不一致,向人民法院提起诉讼的,由人民法院根据实际情况确定赔偿数额。
第一千一百八十三条侵害自然人人身权益造成严重精神损害的,被侵权人有权请求精神损害赔偿。因故意或者重大过失侵害自然人具有人身意义的特定物造成严重精神损害的,被侵权人有权请求精神损害赔偿。
[6]《中华人民共和国民法典》
第一千零三十二条自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。
隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。
[7]《中华人民共和国刑法》
第二百五十三条违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
[8]《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》
第五条非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;
(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;
(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;
(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;
(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;
(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;
(七)违法所得五千元以上的;
(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;
(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;
(十)其他情节严重的情形。
实施前款规定的行为,具有下列情形之一的,应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”:
(一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;
(二)造成重大经济损失或者恶劣社会影响的;
(三)数量或者数额达到前款第三项至第八项规定标准十倍以上的;
(四)其他情节特别严重的情形。
第六条为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:
(一)利用非法购买、收受的公民个人信息获利五万元以上的;
(二)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的;
(三)其他情节严重的情形。
实施前款规定的行为,将购买、收受的公民个人信息非法出售或者提供的,定罪量刑标准适用本解释第五条的规定。