1、小心!你的个人隐私容易被这样泄漏空调暗藏摄像头 女租客被偷拍半年却不敢报警你的身份隐私是如何被卖的?人脸识别个人信息保护法个人信息保护法立法进程回顾立法进程回顾随着社会信息化进程的深入,个人信息成为整个网络空间中最为重要的数据类型,不仅关涉到公民的私权利保护,也关系到公私领域对于个人信息的利用。面对个人信息保护这一共性问题,虽然已经有相关法律法规有所涉及,但单独的行业监管难以实现相应的顶层设计,在个人信息保护问题上,仍然需要统一立法实现顶层设计。2018年9月,十三届全国人大常委会将个人信息保护法纳入立法计划。2020年10月21日,全国人大法工委公开就中华人民共和国个人信息保护法(草案)征求
2、意见。2021年8月20日,全国人民代表大会常务委员会第三十次会议表决通过。2021年11月1日起施行。一、个人信息保护法的制度框架第一章总则(第1-12条)第二章个人信息处理规则第一节一般规定(第13-27条)第二节敏感个人信息的处理规则(第28-32条)第三节国家机关处理个人信息的特别规定(第33-37条)第三章个人信息跨境提供的规则(第38-43条)第四章个人在个人信息处理活动中的权利(第44-50条)第五章个人信息处理者的义务(第51-59条)第六章履行个人信息保护职责的部门(第60-65条)第七章法律责任(第66-71条)第八章附则(第72-74条)二、个人信息的界定个人信息 per
3、sonal information 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系 方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生 理信息、交易信息等。个人敏感信息 personal sensitive information 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人
4、信息。个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产 信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下(含)儿童 的个人信息等。三、个人信息保护的基本原则个人信息保护四原则:第一,合法原则;第二,正当原则;第三,必要原则(也经常被表述为“最小化”原则);第四,诚信原则。个人信息保护法第五条处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。(一)合法性原则合法性原则贯穿个人信息收集、使用、加工、传输、再授权的全过程。个人信息保护法第十条任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非
5、法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。(二)正当原则a)权责一致采取技术和其他必要的措施保障个人信息的安全,对其个人信息处理活动对个人信息主体合法权益造成的损害承担责任;b)目的明确具有明确、清晰、具体的个人信息处理目的;c)选择同意向个人信息主体明示个人信息处理目的、方式、范围等规则,征求其授权同意;d)主体参与向个人信息主体提供能够查询、更正、删除其个人信息,以及撤回授权同意、注销账户、投诉等方法;e)公开透明以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,并接受外部监督;f)确保安全具备与所面临的安全风险相匹配的安全能力,并采取
6、足够的管理措施和技术手段,保护个人信息的保密性、完整性、可用性。(三)必要原则第十三条符合下列情形之一的,个人信息处理者方可处理个人信息:(一)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;第十九条除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。第二十八条第二款 只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。(四)
7、诚信原则第二十一条 受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。未经个人信息处理者同意,受托人不得转委托他人处理个人信息。第三十四条国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。四、个人信息的处理规则(一)个人信息的收集规则1.收集个人信息的合法性要求:a)不得欺诈、诱骗、强迫个人信息主体提供其个人信息;b)不得隐瞒产品或服务所具有的收集个人信息的功能;c)不得从非法渠道获取个人信息;
8、d)不得收集法律法规明令禁止收集的个人信息。2.收集个人信息的最小化要求 对个人信息控制者的要求包括:a)收集的个人信息的类型应与实现产品或服务的业务功能有直接关联。直接关联 是指没有该信息的参与,产品或服务的功能无法实现;b)自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率;c)间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。3.收集个人信息时的授权同意 对个人信息控制者的要求包括:a)收集个人信息前,应向个人信息主体明确告知所提供产品或服务的不同业务功 能分别收集的个人信息类型,以及收集、使用个人信息的规则(例如收集和使 用个人信息的目的、收集方式和频
9、率、存放地域、存储期限、自身的数据安全 能力、对外共享、转让、公开披露的有关情况等),并获得个人信息主体的授 权同意;b)间接获取个人信息时:1)应要求个人信息提供方说明个人信息来源,并对其个人信息来源的合法性进行确认;2)应了解个人信息提供方已获得的个人信息处理的授权同意范围,包括使用目的,个人信息主体是否授权同意转让、共享、公开披露等。如本组织开展业务需进行的个人信息处理活动超出该授权同意范围,应在获取个人信息后的合理期限内或处理个人信息前,征得个人信息主体的明示同意。4.征得授权同意的例外 以下情形中,个人信息控制者收集、使用个人信息无需征得个人信息主体的授权同意:a)与国家安全、国防安
10、全直接相关的;b)与公共安全、公共卫生、重大公共利益直接相关的;c)与犯罪侦查、起诉、审判和判决执行等直接相关的;d)出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的;e)所收集的个人信息是个人信息主体自行向社会公众公开的;f)从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道;g)根据个人信息主体要求签订和履行合同所必需的;h)用于维护所提供的产品或服务的安全稳定运行所必需的,例如发现、处置产品或服务的故障;i)个人信息控制者为新闻单位且其在开展合法的新闻报道所必需的;j)个人信息控制者为学术研究机构,出于公共利益开展统计或学术研究所必要
11、,且其对外提供学术研究或描述的结果时,对结果中所包含的个人信息进行去标识化处理的;k)法律法规规定的其他情形。5.收集个人敏感信息时的明示同意 对个人信息控制者的要求包括:a)收集个人敏感信息时,应取得个人信息主体的明示同意。应确保个人信息主体的明示同意是其在完全知情的基础上自愿给出的、具体的、清晰明确的愿望表示;b)通过主动提供或自动采集方式收集个人敏感信息前,应:1)向个人信息主体告知所提供产品或服务的核心业务功能及所必需收集的个人敏感信息,并明确告知拒绝提供或拒绝同意将带来的影响。应允许个人信息主体选择是否提供或同意自动采集;2)产品或服务如提供其他附加功能,需要收集个人敏感信息时,收集
12、前应向个人信息主体逐一说明个人敏感信息为完成何种附加功能所必需,并允许个人信息主体逐项选择是否提供或同意自动采集个人敏感信息。当个人信息主体拒绝时,可不提供相应的附加功能,但不应以此为理由停止提供核 心业务功能,并应保障相应的服务质量。c)收集年满14的未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。(二)个人信息的保存1.个人信息保存时间最小化 对个人信息控制者的要求包括:a)个人信息保存期限应为实现目的所必需的最短时间;b)超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。2.去标识化处理 收集个人信息后,个人信息控制者宜立即
13、进行去标识化处理,并采取技术和管理方 面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续 的个人信息处理中不重新识别个人。3.个人敏感信息的传输和存储 对个人信息控制者的要求包括:a)传输和存储个人敏感信息时,应采用加密等安全措施;b)存储个人生物识别信息时,应采用技术措施处理后再进行存储,例如仅存储个 人生物识别信息的摘要。4.个人信息控制者停止运营 当个人信息控制者停止运营其产品或服务时,应:a)及时停止继续收集个人信息的活动;b)将停止运营的通知以逐一送达或公告的形式通知个人信息主体;c)对其所持有的个人信息进行删除或匿名化处理。(三)个人信息的使用1.个人信息
14、访问控制措施 对个人信息控制者的要求包括:a)对被授权访问个人信息的内部数据操作人员,应按照最小授权的原则,使其只能访问职责所需的最少够用的个人信息,且仅具备完成职责所需的最少的数据操作权限;b)宜对个人信息的重要操作应设置内部审批流程,如批量修改、拷贝、下载等;c)应对安全管理人员、数据操作人员、审计人员的角色进行分离设置;d)如确因工作需要,需授权特定人员超权限处理个人信息的,应由个人信息保护责任人或个人信息保护工作机构进行审批,并记录在册;e)对个人敏感信息的访问、修改等行为,宜在对角色的权限控制的基础上,根据 业务流程的需求触发操作授权。例如,因收到客户投诉,投诉处理人员才可访问该用户
15、的相关信息。2.个人信息的使用限制 对个人信息控制者的要求包括:a)除目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人。b)对所收集的个人信息进行加工处理而产生的信息,能够单独或与其他信息结合识别自然人个人身份,或者反映自然人个人活动情况的,应将其认定为个人信息。对其处理应遵循收集个人信息时获得的授权同意范围;c)使用个人信息时,不得超出与收集个人信息时所声称的目的具有直接或合理关 联的范围。因业务需要,确需超出上述范围使用个人信息的,应再次征得个人信息主体明示同意。3.个人信息更正 个人信息主体发现个人信息控制者所持有的该主体的个人信息有错误或不完整的,个人信息控制者
16、应为其提供请求更正或补充信息的方法。4.个人信息删除 对个人信息控制者的要求包括:a)符合以下情形的,个人信息主体要求删除的,应及时删除个人信息:1)个人信息控制者违反法律法规规定,收集、使用个人信息的;2)个人信息控制者违反了与个人信息主体的约定,收集、使用个人信息的。b)个人信息控制者违反法律法规规定或违反与个人信息主体的约定向第三方共 享、转让个人信息,且个人信息主体要求删除的,个人信息控制者应立即停止共享、转让的行为,并通知第三方及时删除;c)个人信息控制者违反法律法规规定或与个人信息主体的约定,公开披露个人信息,且个人信息主体要求删除的,个人信息控制者应立即停止公开披露的行为,并发布
17、通知要求相关接收方删除相应的信息。5.个人信息主体撤回同意 对个人信息控制者的要求包括:a)应向个人信息主体提供方法撤回收集、使用其个人信息的同意授权。撤回同意后,个人信息控制者后续不得再处理相应的个人信息;b)应保障个人信息主体拒绝接收基于其个人信息推送的商业广告的权利。对外共享、转让、公开披露个人信息,应向个人信息主体提供撤回同意的方法。6.约束信息系统自动化决策 个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人
18、提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。7.个人信息的委托处理 个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。未经个人信息处理者同意,受托人不得转委托他人处理个人信息。接受委
19、托处理个人信息的受托人,应当依法采取必要措施保障所处理的个人信息的安全,并协助个人信息处理者履行本法规定的义务。8.个人信息跨境提供规则(1)跨境提供个人信息的条件:个人信息保护法第三十八条 个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(四)法律、行政法规或者国家网信部门规定的其他条件。中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提
20、供个人信息的条件等有规定的,可以按照其规定执行。个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。(2)告知与同意要求个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。(3)安全评估关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家
21、网信部门规定可以不进行安全评估的,从其规定。(4)执法信息提供规则第四十一条中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。(5)对境外违法者的处理措施第四十二条境外的组织、个人从事侵害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人
22、信息等措施。(6)对等原则第四十三条任何国家或者地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。五、个人信息权利1.知情权2.决定权3.查阅复制权4.更正权5.删除权六、个人信息处理者的义务1.保全保障义务2.定期合规审计义务3.个人信息保护影响评估义务4.平台类个人信息处理者的义务1)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;2)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;
23、3)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;4)定期发布个人信息保护社会责任报告,接受社会监督。七、履行个人信息保护职责的部门1.主管机关网信部门:统筹其他相关部门:在各自职责范围内负责个人信息保护和监督管理工作 2.主管部门的职责:履行个人信息保护职责的部门履行下列个人信息保护职责:(一)开展个人信息保护宣传教育,指导、监督个人信息处理者开展个人信息保护工作;(二)接受、处理与个人信息保护有关的投诉、举报;(三)组织对应用程序等个人信息保护情况进行测评,并公布测评结果;(四)调查、处理违法个人信息处理活动;(五)法律、行政法规规定的其他职责。国家网信部
24、门统筹协调有关部门依据本法推进下列个人信息保护工作:(一)制定个人信息保护具体规则、标准;(二)针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准;(三)支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设;(四)推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务;(五)完善个人信息保护投诉、举报工作机制。3.主管部门的职权:(1)询问(2)查阅、复制权(3)检查权(4)查封、扣押权(5)约谈权(6)合规审计权三、法律责任三、法律责任(一)行政法律责任:第六十六条违反本法规定处
25、理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在
26、一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。第六十七条有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。(二)刑事责任1.侵犯公民个人信息罪刑法(2015)第二百五十三条 违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。属于单位犯罪的,对单位判处罚金,并
27、对其直接负责的主管人员和其他直接责任人员,依照上述规定处罚。最高人民法院最高人民法院 最高人民检察院关于办理侵犯公民个人最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释(信息刑事案件适用法律若干问题的解释(20172017)“情节严重”:(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;(五)非法
28、获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;(七)违法所得五千元以上的;(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;(十)其他情节严重的情形。“情节特别严重”:(一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;(二)造成重大经济损失或者恶劣社会影响的;(三)数量或者数额达到前款第三项至第八项规定标准十倍以
29、上的;(四)其他情节特别严重的情形。2.拒不履行信息网络安全管理义务罪刑法修正案(九)将网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,情节严重的行为规定为犯罪。刑法第二百八十六条之一:网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:(一)致使违法信息大量传播的;(二)致使用户信息泄露,造成严重后果的;(三)致使刑事案件证据灭失,情节严重的;(四)有其他严重情节的。“信息网络安全管理义务”的把握1、防止违法信息大量传播义务
30、。网络安全法第47条网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。2、防止用户信息泄露义务。网络安全法第42条第2款网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。3、防止刑事案件证据灭失义务。网络安全法第28条 网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助
31、。“情节严重”的认定1、“致使违法信息大量传播的”情形;2、“致使用户信息泄露,造成严重后果”的情形。3、“致使刑事案件证据灭失,情节严重”的情形。“情节严重”可以主要从致使刑事证据灭失的次数和灭失的刑事证据涉及的案件类型等角度加以认定。4、“有其他严重情节”的情形。例如:(1)致使国家机关或者金融、电信、交通、教育、医疗、能源等领域提供公共服务的信息网络受到破坏,严重影响生产、生活或者造成恶劣社会影响的;(2)致使信息网络服务被多次用于犯罪,或者被用于危害国家安全犯罪、恐怖活动犯罪、黑社会性质的组织犯罪、重大毒品犯罪或者其他严重犯罪的;(3)致使造成特别重大的经济损失的。讨论:讨论:“爬虫凶
32、爬虫凶猛猛”2019年9月7日,有消息称,大数据服务公司杭州魔蝎数据科技有限公司疑被警方控制,一位核心高管人员被带走。魔蝎科技主要做To B端的业务,为企业和机构提供风险分析、反欺诈、多维度用户画像、授信评分、贷后预警等全生命周期风险管理服务。官网显示,截至目前已服务2000多家客户,包括银行、网贷平台、消费金融公司等。魔蝎科技开发的“同业爬虫”产品直接将其他现金贷平台的放款额和风控数据爬出来,太野蛮。除了涉嫌利用技术手段侵犯用户隐私、买卖公民个人信息,魔蝎科技还涉嫌亲自下场放现金贷。爬虫作为一种计算机技术,具有技术中立性,爬虫技术在法律上从来没有被禁止。爬虫的发展历史可以追溯到 20 年前,
33、搜索引擎、聚合导航、数据分析、人工智能等业务,都需要基于爬虫技术。如何界定爬虫的合法性?1.数据的采集途径;2.数据的采集行为;3.数据的使用目的。1.数据的采集途径(1)个人数据:必须在提前告知收集的方式、范围、目的,并经过用户授权或同意后,才能采集使用。网络安全法第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。(2)
34、公开数据2.数据的采集行为使用技术手段应该懂得克制,一些容易对服务器和业务造成干扰甚至破坏的行为,应当充分衡量对方服务器的承受能力,不能影响对方业务的正常运行。刑法第二百八十六条还规定,违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,构成犯罪。3.数据的使用目的(1)超出约定的使用一种情况是公开收集的数据,但没有遵循之前告知的使用目的,比如用户协议上说只是分析用户行为,帮助提高产品体验,结果变成了出售用户画像数据。还有一种情况,是有知识产权、著作权的作品,可能会允许你下载或引用,但明显标注了使用范围,比如不能转载、不能用于商业行为等,更
35、不能去盗用,这些都是有法律明文保护,所以要注意使用。(2)出售个人信息(3)不正当商业行为深圳市谷米科技有限公司诉武汉元光科技有限公司等不正当竞争纠纷案2015年11月至2016年5月,武汉元光科技有限公司(以下简称元光公司)为了提高其开发的智能公交“车来了”APP在中国市场的用户量及信息查询的准确度,由时任该公司法定代表人兼总裁的邵凌霜授意技术总监陈昴,指使公司员工刘江红、刘坤朋、张翔等人利用网络爬虫技术大量获取竞争对手深圳市谷米科技有限公司(以下简称谷米公司)同类公交信息查询软件“酷米客”APP的实时公交信息数据后,无偿使用于其“车来了”APP软件,并对外提供给公众进行查询。谷米公司以元光
36、公司的上述行为违背了商业道德和诚实信用原则,构成不正当竞争为由诉至法院。公交车作为公共交通工具,其实时运行路线、运行时间等信息仅系客观事实,但当此类信息经过人工收集、分析、编辑、整合并配合GPS精确定位,作为公交信息查询软件的后台数据后,其凭借预报的准确度和精确性就可以使“酷米客”APP软件相较于其他提供实时公交信息查询服务同类软件取得竞争上的优势。而且,随着查询数据越准确及时,使用该款查询软件的用户也就越多,软件的市场占有份额也就越大,这也正是元光公司获取谷米公司数据的动机所在。鉴于“酷米客”APP后台服务器存储的公交实时类信息数据具有实用性并能够为权利人带来现实或将来的经济利益,已经具备无形财产的属性。谷米公司系“酷米客”软件著作权人,对该软件所包含的信息数据的占有、使用、收益及处分享有合法权益。未经谷米公司许可,任何人不得非法获取该软件的后台数据并用于经营行为。元光公司利用网络爬虫技术大量获取并且无偿使用谷米公司“酷米客”软件的实时公交信息数据的行为,具有非法占用他人无形财产权益,破坏他人市场竞争优势,并为自己谋取竞争优势的主观故意,违反了诚实信用原则,扰乱了竞争秩序,构成不正当竞争行为,应当承担相应的侵权责任。据此,判决元光公司向谷米公司赔偿经济损失及合理维权费用50万元并驳回谷米公司的其他诉讼请求。宣判后,双方当事人均未提起上诉。
