法规中的很多条目都将“网络”作为主体,其定义是用于收集、存储、传递、交换及处理信息的系统。
大多数品牌的数据库和平台(比如CRM、电子POS系统、电商网站等)都很容易被判断为“网络”。新法规也对个人信息的收集、使用和保护提出了要求,并指出了相关的违法行为。
此外,《网络安全法》是《中华人民共和国刑法修正案(九)》的补充,后者定义了哪些情况属于非法销售及提供个人信息。相应的处罚为罚款或最高7年有期徒刑。因此,我们建议大家谨慎研究新规。
在数据隐私方面,新法的力度比之前的法规大幅提升。2012年之前,中国并没有针对个人信息保护的系统性法规,仅在一些特定的法案中有几句话提到了个人信息。
比如,护照法中对颁发护照的官员有明确要求,目的在于保证中国公民个人信息的保密性。在彩票管理规定、社会保险法中也有类似的条款。而且,“个人信息”一词直到2012年一项针对个人信息保护的指导意见出台,才有了法律定义。
2013年,个人信息与网络安全首度在立法中建立了联系。此次《网络安全法》是首部将个人信息保护与网络安全融合为一体的法规。
以下是新《网络安全法》的部分条款:
第四十一条:
网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
此条款与广告主和品牌特别相关,因为它要求企业在为营销等目的收集和使用消费者个人信息前,必须获得消费者的同意。
例如:
一家广告代理商采访了多位消费者,了解他们对某一类智能手机的印象,并让受访者在手机上完成一些任务(比如搜索信息、照相等)。所有过程都被录像记录,供代理商及其客户使用。
根据《网络安全法》第四十一条的规定,此代理商需要考虑以下几点:
- 针对“合法”、“正当”的要求,代理商收集个人信息需要有理由,并且与其公司的服务类型相关(比如是代理商要制作的广告的一部分或基础)。
- 针对“必要”的要求,所收集的个人信息需要最少化。比如,仅有受访者的影像、声音(录像中出现)和电话号码(供客户验证其是否参与调研使用)就可以了。没有必要收集受访者的真实姓名、身份证号和地址等信息。
- 此外,代理商还需要向每位受访者提供一封信,描述对其个人信息收集和使用的目的、方法、范围,以及对所收集信息的存储时长。信中还需要包含一段受访者个人声明,由受访者签字表示接受所有条目。
第四十二条(第一段):
网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
此条款规定,网络运营者有责任对收集的个人信息保密。仅在以下情况下才能公开泄露或分享个人信息:
a) 被泄露信息的人同意此做法;或
b) 信息为匿名、无法识别信息涉及的特定个人。
这意味着没有当事人的事先允许,企业不得分享任何个人信息。除非信息被处理过,成为了匿名信息而且不能复原。
同样用刚才的那个调研的例子,如果此代理商采用某种方式让视频采访中的人脸虚化、声调改变,以至于无法再识别受访者个人,而且这些改变无法被恢复,那么此代理商就可以(在没有受访者同意的情况下)与其他方分享视频录像。
第四十四条:
任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
此条款清晰无误地规定,企业不得在无法律依据的前提下购买或销售个人信息(参见上文对第四十一条的评论)。
因此,你不能从其他企业那里购买数据库或“潜在用户”信息。从法律意义上而言,更安全的做法是联合制作广告,让消费者在属于你的一张纸上登记,纸上要包括关于个人信息收集的通知(特别要说明信息收集和使用的目的、方法及范围),并要向消费者提供“拒绝”或“同意”其个人信息被收集、并被提供给其他方(如果需要的话)的选项。
请注意,按照第四十四条的规定,通过软件算法来识别个人身份有可能会被视为通过“其他非法方式”获取个人信息。通常,立法者会用“其他方式”一词指代所有未定义、不可预测、非实体性或复杂的行为。这样一来,法律就能更为灵活,能更好地应对无法预见的各种情况。因此,虽然法规没有明确阐明“其他非法方式”具体有哪些,但是最稳妥的做法是将软件算法识别或个人身份识别都视作非法。
常见问题及解答:
Q1:“网络”和“网络运营者”包括哪些?广告代理商、DMP或DSP术语这一范畴吗?
《网络安全法》的第七十六条给出了两个概念的定义:
(一)网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
(三)网络运营者,是指网络的所有者、管理者和网络服务提供者。
虽然条文仅如此,没有更多细节,但是我们可以认为DMP、DSP及其他广告技术企业都属于“网络”。因此,立法者也很可能认为,拥有或运营这些网络的广告代理商都是“网络运营者”。
Q2:什么算是“个人信息”?
答案仍然可以在《网络安全法》的第七十六条中找到:
(五)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
请注意,2017年5月8日,《中华人民共和国刑法修正案(九)》司法解释公布,并将于2017年6月1日生效(司法解释)。此司法解释在个人信息的定义中加入了“活动情况”一词,对于广告主或许会有影响,比如个人网民在网站或App上留下的数字足迹。
但是,此司法解释并不适用于cookie。事实上,已有司法审判案例裁定cookie不属于个人信息范畴。而且,仅有cookie并无法识别自然人的身份,所以关于cookie的法规应当保持不变。但是,科技发展之后会有怎样的新情况和发展,尚不可知。
另外需要特别指出的是,《网络安全法》并不要求企业在网站上声明或披露收集cookie的政策(同欧盟相关法律不同)。
Q3:我们的企业要利用消费者的个人信息定制广告电子邮件,这是合法的吗?
个人信息的使用、处理、提供和交换是否合法,要取决于:
-此行为的合法性和必要性:数据运营商必须有可靠的理由或目的来收集和使用个人信息,收集的个人信息必须与数据运营商的服务相关;
-符合相关法律程序:法律程序的核心在于信息被收集人的“个人同意”。“同意”的取得方式有很多种,比如书面(协议或信)方式或电子方式(选择加入或不加入的勾选框)。
所以,如果消费者已经被通知,并同意将其个人信息用于定制化的消息,那么此广告邮件就是合法的。否则还请避免此行为。
此外,需要向消费者提供不参与的选择,也就是在任何时候拒绝接收此类邮件的权利,即使他/她此前曾同意过此行为。
请注意,即便是消费者本人从交易中获得了直接利益(例如收到生日礼物),此规则同样适用。换句话说,慷慨或善意并不能免除广告主的合法责任。
Q4:我们企业若要出售消费者个人信息?
企业出售或提供任何公民个人信息都属于违法,
a) 情节严重的,公司将被处以罚款,直接责任人和其他直接责任人处三年以下有期徒刑或者拘役;或
b) 情节特别严重的,公司将被处以罚款,直接责任人和其他直接责任人处七年以下有期徒刑。
所以,请记住,“销售”个人信息往往会给人留下非法行为的印象。在某些情况下,可以转移个人信息,例如将个人信息用于提供数据分析、研究、咨询、媒体规划等具体服务。
但是,如果此交易的唯一目的是“提供”个人信息,则应避免此类个人信息的传递。
Q5:一家合作企业提出“交换”彼此数据,让双方都能更好地“360度了解消费者”。我们需要注意什么?
此交换是可行的,只要相关消费者已经:
- 同意分享其个人信息;
- 知道两个合作伙伴(网络运营商)之间会进行“交换”并了解其目的。
免责声明:
本文仅供一般参考之用,不得视为任何具体事实或情况的法律意见或建议,也不得被作为相应的依赖。请向您自己的法律顾问咨询您的具体情况和问题。
作者:本文由阳狮集团旗下Re:Sources China助力法务经理Donfil Huang及阳狮媒体大中华区分析业务总经理Olivier Maugain联合撰写。