共享单车企业普遍应用的LBS服务,是基于位置的服务,简称“定位服务”,也被广泛应用于社交、导航、网约车、团购等各种社会生活中。海量个人地理信息被频繁获取,暗藏着日益突出的个人地理信息风险。
此外,共享单车企业掌握大量的用户姓名、身份证号码、电话号码、行踪轨迹、支付账户等个人信息,这些个人信息的收集、处理、使用都需要合乎网络安全和数据信息的法律规定,否则,共享单车企业及背后追逐的资本都将面临巨大法律风险及违法成本。
《关于鼓励和规范互联网租赁自行车发展的指导意见(征求意见稿)》出台
有鉴于此,今年5月22日,交通运输部正式发布了《关于鼓励和规范互联网租赁自行车发展的指导意见(征求意见稿)》(以下称“《指导意见》”),开始向社会各界公开征求意见。《指导意见》对社会比较关心的网络信息安全保护提出了针对性措施,规定加强网络和信息安全保护。
其要求互联网租赁自行车运营企业应当遵守国家网络和信息安全有关规定,将服务器设在中国境内,并落实网络安全等级保护制度,建立网络安全管理制度,完善网络安全防范措施,依法合规采集、使用和保护个人信息,强化系统数据安全保护。采取的信息不得侵害用户合法权益和社会公共利益,不得超越提供互联网租赁自行车服务所必需的范围;采取的信息和生成的相关数据应当在国内储存和使用。
《指导意见》关于网络安全以及数据信息的保护,涉及了网络安全等级保护制度、数据跨境传输、个人信息保护,也是10月1日即将生效的《民法总则》和今年6月1日刚实施的《网络安全法》(以下称“《网安法》”)的要求。
《民法总则》第一百一十一条规定了自然人的个人信息受法律保护,任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息,首次从民事基本法层面明确个人信息权,把个人信息作为一项重要的民事权利予以保护。
共享单车企业属于《网安法》所规制的主体“网络运营者”
共享单车企业也属于《网安法》所规制的主体“网络运营者”,其作为网络运营者,需要履行《网安法》及其配套法规规定的网络安全保护义务,包括实施个人信息保护、网络安全等级保护制度、数据跨境传输限制等。
关于个人信息保护,《网安法》规定网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
这就要求企业收集个人信息需合法明示收集,严格保密,不得超越提供互联网租赁自行车服务所必需的范围收集和使用。共享单车企业在用户注册过程中提供的用户协议往往会对个人信息收集和使用进行约定,但虽然有此约定,在实践过程中仍存在滥用用户个人信息的情形,个人信息保护值得共享单车企业引起注意。
关于网络安全等级保护制度,《网安法》规定网络运营者应当按照网络安全等级保护制度的要求,履行相应安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
安全保护义务包括(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施。由于目前相应的网络安全等级保护制度实施办法尚未出台,建议共享单车企业可以依据我国现行的信息安全等级保护制度建立相应的企业网络安全管理制度,完善网络安全防范措施。
关于数据跨境传输限制,由于共享单车企业的数据信息涉及我国公民的个人信息和可能属于国家秘密的地理信息等重要数据,数据跨境传输或引起安全问题不容忽视。因此《指导意见》强调共享单车企业应当将服务器设在中国境内,采取的信息和生成的相关数据应当在国内储存和使用。
《网安法》也第一次将数据出境安全作为一项核心内容,纳入国家网络空间安全整体框架,通过国家法律形式予以规范。作为《网安法》的配套法规,正在制定中的《个人信息和重要数据出境安全评估办法(征求意见稿)》并未将数据出境评估主体限定在关键信息基础设施运营者,其规定网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当按照该办法进行安全评估。含有或累计含有50万人以上的个人信息及包含海洋环境、敏感地理信息数据出境的,网络运营者应报请行业主管或监管部门组织安全评估;个人信息出境未经个人信息主体同意,或可能侵害个人利益以及数据出境给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益的都绝对禁止出境。
刑法加持,“行踪轨迹”纳入刑法保护的“公民个人信息”范围
此外,在5月9日发布的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中,针对司法实践中争议颇多的“公民个人信息”范围,该解释将“行踪轨迹”纳入刑法保护的“公民个人信息”范围,并规定非法获取、出售或者提供行踪轨迹信息50条以上即可入罪,加强了对侵犯个人信息犯罪的打击惩戒力度。
新《测绘法》生效,个人地理信息保护网日渐密集
另外,值得共享单车企业特别关注的是今年7月1日刚刚生效的新修订的《中华人民共和国测绘法》(以下称“《测绘法》”),其出台的背景就包括了地理信息安全风险日益增大,泄密事件频发。《测绘法》规定地理信息生产、保管、利用单位应当对属于国家秘密的地理信息的获取、持有、提供、利用情况进行登记并长期保存,实行可追溯管理。地理信息生产、利用单位和互联网地图服务提供者收集、使用用户个人信息的,应当遵守法律、行政法规关于个人信息保护的规定。《测绘法》强化了对测绘信息、个人地理信息的立法保护,与《网安法》及其配套法规衔接,构建起日渐密集的数据信息保护网。
在逐渐趋严的数据信息保护立法下,共享单车企业需要严格规范公民个人信息的收集,遵循合法、正当、必要的原则,在必要的范围内合规使用数据,落实网络安全等级保护制度,禁止数据非法出境,向他人提供数据时要注意数据脱敏清洗,尤其注意对涉及个人信息及国家秘密的地理信息的管理。
相关文章推荐《共享单车背后的数据安全问题》