第五講個人信息保護制度小心！你的個人隱私容易被這樣泄漏空調(diào)暗藏攝像頭女租客被偷拍半年卻不敢報警你的身份隱私是如何被賣的？人臉識別《個人信息保護法》立法進程回顧

隨著社會信息化進程的深入，個人信息成為整個網(wǎng)絡空間中最為重要的數(shù)據(jù)類型，不僅關(guān)涉到公民的私權(quán)利保護，也關(guān)系到公私領(lǐng)域?qū)τ趥€人信息的利用。面對個人信息保護這一共性問題，雖然已經(jīng)有相關(guān)法律法規(guī)有所涉及，但單獨的行業(yè)監(jiān)管難以實現(xiàn)相應的頂層設(shè)計，在個人信息保護問題上，仍然需要統(tǒng)一立法實現(xiàn)頂層設(shè)計。2018年9月，十三屆全國人大常委會將個人信息保護法納入立法計劃。

2020年10月21日，全國人大法工委公開就《中華人民共和國個人信息保護法(草案)》征求意見。2021年8月20日，全國人民代表大會常務委員會第三十次會議表決通過。2021年11月1日起施行。一、《個人信息保護法》的制度框架

第一章

總 則（第1-12條）第二章個人信息處理規(guī)則第一節(jié) 一般規(guī)定（第13-27條）第二節(jié) 敏感個人信息的處理規(guī)則（第28-32條）第三節(jié) 國家機關(guān)處理個人信息的特別規(guī)定（第33-37條）第三章 個人信息跨境提供的規(guī)則（第38-43條）第四章 個人在個人信息處理活動中的權(quán)利（第44-50條）第五章 個人信息處理者的義務（第51-59條）第六章 履行個人信息保護職責的部門（第60-65條）第七章 法律責任（第66-71條）第八章附

則（第72-74條）二、個人信息的界定個人信息personal

information

個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。。

個人信息包括姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯(lián)系方式、通信記錄和內(nèi)容、賬號密碼、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。個人敏感信息personal

sensitive

information

敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。個人敏感信息包括身份證件號碼、個人生物識別信息、銀行賬號、通信記錄和內(nèi)容、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14歲以下(含)兒童的個人信息等。三、個人信息保護的基本原則個人信息保護四原則：第一，合法原則；第二，正當原則；第三，必要原則（也經(jīng)常被表述為“最小化”原則）；第四，誠信原則。

《個人信息保護法》第五條 處理個人信息應當遵循合法、正當、必要和誠信原則，不得通過誤導、欺詐、脅迫等方式處理個人信息。（一）合法性原則合法性原則貫穿個人信息收集、使用、加工、傳輸、再授權(quán)的全過程。

《個人信息保護法》第十條

任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息；不得從事危害國家安全、公共利益的個人信息處

理活動。（二）正當原則

a)權(quán)責一致——采取技術(shù)和其他必要的措施保障個人信息的安全，對其個人信息處理活動對個人信息主體合法權(quán)益造成的損害承擔責任；b)目的明確——具有明確、清晰、具體的個人信息處理目的；

c)選擇同意——向個人信息主體明示個人信息處理目的、方式、范圍等規(guī)則，征求其授權(quán)同意；

d)主體參與——向個人信息主體提供能夠查詢、更正、刪除其個人信息，以及撤回授權(quán)同意、注銷賬戶、投訴等方法；

e)公開透明——以明確、易懂和合理的方式公開處理個人信息的范圍、目的、規(guī)則等，并接受外部監(jiān)督；

f)確保安全——具備與所面臨的安全風險相匹配的安全能力，并采取足夠的管理措施和技術(shù)手段，保護個人信息的保密性、完整性、可用性。（三）必要原則第十三條 符合下列情形之一的，個人信息處理者方可處理個人信息：

（一）為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需；（三）為履行法定職責或者法定義務所必需；（四）為應對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需；

第十九條 除法律、行政法規(guī)另有規(guī)定外，個人信息的保存期限應當為實現(xiàn)處理目的所必要的最短時間。

第二十八條第二款只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息。（四）誠信原則

第二十一條受托人應當按照約定處理個人信息，不得超出約定的處理目的、處理方式等處理個人信息；委托合同不生效、無效、被撤銷或者終止的，受托人應當將個人信息返還個人信息處理者或者予以刪除，不得保留。未經(jīng)個人信息處理者同意，受托人不得轉(zhuǎn)委托他人處理個人信息。

第三十四條 國家機關(guān)為履行法定職責處理個人信息，應當依照法律、行政法規(guī)規(guī)定的權(quán)限、程序進行，不得超出履行法定職責所必需的范圍和限度。四、個人信息的處理規(guī)則（一）個人信息的收集規(guī)則1.收集個人信息的合法性要求：a)不得欺詐、誘騙、強迫個人信息主體提供其個人信息;b)不得隱瞞產(chǎn)品或服務所具有的收集個人信息的功能;c)不得從非法渠道獲取個人信息;d)不得收集法律法規(guī)明令禁止收集的個人信息。2.收集個人信息的最小化要求

對個人信息控制者的要求包括:a)收集的個人信息的類型應與實現(xiàn)產(chǎn)品或服務的業(yè)務功能有直接關(guān)聯(lián)。直接關(guān)聯(lián)是指沒有該信息的參與，產(chǎn)品或服務的功能無法實現(xiàn);

b)自動采集個人信息的頻率應是實現(xiàn)產(chǎn)品或服務的業(yè)務功能所必需的最低頻率;

c)間接獲取個人信息的數(shù)量應是實現(xiàn)產(chǎn)品或服務的業(yè)務功能所必需的最少數(shù)量。3.收集個人信息時的授權(quán)同意對個人信息控制者的要求包括:

a)收集個人信息前，應向個人信息主體明確告知所提供產(chǎn)品或服務的不同業(yè)務功能分別收集的個人信息類型，以及收集、使用個人信息的規(guī)則

(例如收集和使用個人信息的目的、收集方式和頻率、存放地域、存儲期限、自身的數(shù)據(jù)安全能力、對外共享、轉(zhuǎn)讓、公開披露的有關(guān)情況等)，并獲得個人信息主體的授權(quán)同意;b)間接獲取個人信息時:

1)應要求個人信息提供方說明個人信息來源，并對其個人信息來源的合法性進行確認;

2)應了解個人信息提供方已獲得的個人信息處理的授權(quán)同意范圍，包括使用目的，個人信息主體是否授權(quán)同意轉(zhuǎn)讓、共享、公開披露等。如本組織開展業(yè)務需進行的個人信息處理活動超出該授權(quán)同意范圍，應在獲取個人信息后的合理期限內(nèi)或處理個人信息前，征得個人信息主體的明示同意。4.征得授權(quán)同意的例外以下情形中，個人信息控制者收集、使用個人信息無需征得個人信息主體的授權(quán)同意:a)

與國家安全、國防安全直接相關(guān)的;b)

與公共安全、公共衛(wèi)生、重大公共利益直接相關(guān)的;c)

與犯罪偵查、起訴、審判和判決執(zhí)行等直接相關(guān)的;d)

出于維護個人信息主體或其他個人的生命、財產(chǎn)等重大合法權(quán)益但又很難得到本人同意的;e)

所收集的個人信息是個人信息主體自行向社會公眾公開的;f)

從合法公開披露的信息中收集個人信息的，如合法的新聞報道、政府信息公開等渠道;g)

根據(jù)個人信息主體要求簽訂和履行合同所必需的;

h)

用于維護所提供的產(chǎn)品或服務的安全穩(wěn)定運行所必需的，例如發(fā)現(xiàn)、處置產(chǎn)品或服務的故障;i)

個人信息控制者為新聞單位且其在開展合法的新聞報道所必需的;

j)

個人信息控制者為學術(shù)研究機構(gòu)，出于公共利益開展統(tǒng)計或?qū)W術(shù)研究所必要，且其對外提供學術(shù)研究或描述的結(jié)果時，對結(jié)果中所包含的個人信息進行去標識化處理的;k)

法律法規(guī)規(guī)定的其他情形。5.收集個人敏感信息時的明示同意對個人信息控制者的要求包括:

a)收集個人敏感信息時，應取得個人信息主體的明示同意。應確保個人信息主體的明示同意是其在完全知情的基礎(chǔ)上自愿給出的、具體的、清晰明確的愿望表示;b)通過主動提供或自動采集方式收集個人敏感信息前，應:

1)向個人信息主體告知所提供產(chǎn)品或服務的核心業(yè)務功能及所必需收集的個人敏感信息，并明確告知拒絕提供或拒絕同意將帶來的影響。應允許個人信息主體選擇是否提供或同意自動采集;

2)產(chǎn)品或服務如提供其他附加功能，需要收集個人敏感信息時，收集前應向個人信息主體逐一說明個人敏感信息為完成何種附加功能所必需，并允許個人信息主體逐項選擇是否提供或同意自動采集個人敏感信息。當個人信息主體拒絕時，可不提供相應的附加功能，但不應以此為理由停止提供核心業(yè)務功能，并應保障相應的服務質(zhì)量。

c)收集年滿14的未成年人的個人信息前，應征得未成年人或其監(jiān)護人的明示同意;不滿14周歲的，應征得其監(jiān)護人的明示同意。（二）個人信息的保存1.個人信息保存時間最小化對個人信息控制者的要求包括:個人信息保存期限應為實現(xiàn)目的所必需的最短時間;超出上述個人信息保存期限后，應對個人信息進行刪除或匿名化處理。2.去標識化處理

收集個人信息后，個人信息控制者宜立即進行去標識化處理，并采取技術(shù)和管理方面的措施，將去標識化后的數(shù)據(jù)與可用于恢復識別個人的信息分開存儲，并確保在后續(xù)的個人信息處理中不重新識別個人。3.個人敏感信息的傳輸和存儲對個人信息控制者的要求包括:a)傳輸和存儲個人敏感信息時，應采用加密等安全措施;

b)存儲個人生物識別信息時，應采用技術(shù)措施處理后再進行存儲，例如僅存儲個人生物識別信息的摘要。4.個人信息控制者停止運營當個人信息控制者停止運營其產(chǎn)品或服務時，應:及時停止繼續(xù)收集個人信息的活動;將停止運營的通知以逐一送達或公告的形式通知個人信息主體;c)對其所持有的個人信息進行刪除或匿名化處理。（三）個人信息的使用個人信息訪問控制措施

對個人信息控制者的要求包括:a)對被授權(quán)訪問個人信息的內(nèi)部數(shù)據(jù)操作人員，應按照最小授權(quán)的原則，使其只能訪問職責所需的最少夠用的個人信息，且僅具備完成職責所需的最少的數(shù)據(jù)操作權(quán)限;b)宜對個人信息的重要操作應設(shè)置內(nèi)部審批流程，如批量修改、拷貝、下載等;c)應對安全管理人員、數(shù)據(jù)操作人員、審計人員的角色進行分離設(shè)置;

d)如確因工作需要，需授權(quán)特定人員超權(quán)限處理個人信息的，應由個人信息保護責任人或個人信息保護工作機構(gòu)進行審批，并記錄在冊;e)對個人敏感信息的訪問、修改等行為，宜在對角色的權(quán)限控制的基礎(chǔ)上，根據(jù)業(yè)務流程的需求觸發(fā)操作授權(quán)。例如，因收到客戶投訴，投訴處理人員才可訪問該用戶的相關(guān)信息。2.個人信息的使用限制對個人信息控制者的要求包括:a)除目的所必需外，使用個人信息時應消除明確身份指向性，避免精確定位到特定個人。

b)對所收集的個人信息進行加工處理而產(chǎn)生的信息，能夠單獨或與其他信息結(jié)合識別自然人個人身份，或者反映自然人個人活動情況的，應將其認定為個人信息。對其處理應遵循收集個人信息時獲得的授權(quán)同意范圍;

c)使用個人信息時，不得超出與收集個人信息時所聲稱的目的具有直接或合理關(guān)聯(lián)的范圍。因業(yè)務需要，確需超出上述范圍使用個人信息的，應再次征得個人信息主體明示同意。3.個人信息更正

個人信息主體發(fā)現(xiàn)個人信息控制者所持有的該主體的個人信息有錯誤或不完整的，個人信息控制者應為其提供請求更正或補充信息的方法。4.個人信息刪除對個人信息控制者的要求包括:a)符合以下情形的，個人信息主體要求刪除的，應及時刪除個人信息:1)個人信息控制者違反法律法規(guī)規(guī)定，收集、使用個人信息的;2)個人信息控制者違反了與個人信息主體的約定，收集、使用個人信息的。

b)個人信息控制者違反法律法規(guī)規(guī)定或違反與個人信息主體的約定向第三方共享、轉(zhuǎn)讓個人信息，且個人信息主體要求刪除的，個人信息控制者應立即停止共享、轉(zhuǎn)讓的行為，并通知第三方及時刪除;

c)個人信息控制者違反法律法規(guī)規(guī)定或與個人信息主體的約定，公開披露個人信息，且個人信息主體要求刪除的，個人信息控制者應立即停止公開披露的行為，并發(fā)布通知要求相關(guān)接收方刪除相應的信息。6.約束信息系統(tǒng)自動化決策??

個人信息處理者利用個人信息進行自動化決策，應當保證決策的透明度和結(jié)果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。通過自動化決策方式向個人進行信息推送、商業(yè)營銷，應當同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式。通過自動化決策方式作出對個人權(quán)益有重大影響的決定，個人有權(quán)要求個人信息處理者予以說明，并有權(quán)拒絕個人信息處理者僅通過自動化決策的方式作出決定。7.個人信息的委托處理???

個人信息處理者委托處理個人信息的，應當與受托人約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權(quán)利和義務等，并對受托人的個人信息處理活動進行監(jiān)督。受托人應當按照約定處理個人信息，不得超出約定的處理目的、處理方式等處理個人信息；委托合同不生效、無效、被撤銷或者終止的，受托人應當將個人信息返還個人信息處理者或者

予以刪除，不得保留。未經(jīng)個人信息處理者同意，受托人不得轉(zhuǎn)委托他人處理個人信息。接受委托處理個人信息的受托人，應當依法采取必要措施保障所處理的個人信息的安全，并協(xié)助個人信息處理者履行本法規(guī)定的義務。??????8.個人信息跨境提供規(guī)則（1）跨境提供個人信息的條件：

《個人信息保護法》第三十八條個人信息處理者因業(yè)務等需要，確需向中華人民共和國境外提供個人信息的，應當具備下列條件之一：（一）依照本法第四十條的規(guī)定通過國家網(wǎng)信部門組織的安全評估；（二）按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構(gòu)進行個人信息保護認證；（三）按照國家網(wǎng)信部門制定的標準合同與境外接收方訂立合同，約定雙方的權(quán)利和義務；（四）法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件。中華人民共和國締結(jié)或者參加的國際條約、協(xié)定對向中華人民共和國境外提供個人信息的條件等有規(guī)定的，可以按照其規(guī)定執(zhí)行。個人信息處理者應當采取必要措施，保障境外接收方處理個人信息的活動達到本法規(guī)定的個人信息保護標準。（2）告知與同意要求

個人信息處理者向中華人民共和國境外提供個人信息的，應當向個人告知境外接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項，并取得個人的單獨同意。（3）安全評估

關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者，應當將在中華人民共和國境內(nèi)收集和產(chǎn)生的個人信息存儲在境內(nèi)。確需向境外提供的，應當通過國家網(wǎng)信部門組織的安全評估；法律、行政法規(guī)和國家網(wǎng)信部門規(guī)定可以不進行安全評估的，從其規(guī)定。（4）執(zhí)法信息提供規(guī)則

第四十一條中華人民共和國主管機關(guān)根據(jù)有關(guān)法律和中華人民共和國締結(jié)或者參加的國際條約、協(xié)定，或者按照平等互惠原則，處理外國司法或者執(zhí)法機構(gòu)關(guān)于提供存儲于境內(nèi)個人信息的請求。非經(jīng)中華人民共和國主管機關(guān)批準，個人信息處理者不得向外國司法或者執(zhí)法機構(gòu)提供存儲于中華人民共和國境內(nèi)的個人信息。（5）對境外違法者的處理措施

第四十二條境外的組織、個人從事侵害中華人民共和國公民的個人信息權(quán)益，或者危害中華人民共和國國家安全、公共利益的個人信息處理活動的，國家網(wǎng)信部門可以將其列入限制或者禁止個人信息提供清單，予以公告，并采取限制或者禁止向其提供個人信息等措施。（6）對等原則

第四十三條 任何國家或者地區(qū)在個人信息保護方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的，中華人民共和國可以根據(jù)實際情況對該國家或者地區(qū)對等采取措施。五、個人信息權(quán)利1.知情權(quán)2.決定權(quán)3.查閱復制權(quán)4.更正權(quán)5.刪除權(quán)六、個人信息處理者的義務1.保全保障義務2.定期合規(guī)審計義務3.個人信息保護影響評估義務4.平臺類個人信息處理者的義務

1)按照國家規(guī)定建立健全個人信息保護合規(guī)制度體系，成立主要由外部成員組成的獨立機構(gòu)對個人信息保護情況進行監(jiān)督；

2)遵循公開、公平、公正的原則，制定平臺規(guī)則，明確平臺內(nèi)產(chǎn)品或者服務提供者處理個人信息的規(guī)范和保護個人信息的義務；

3)對嚴重違反法律、行政法規(guī)處理個人信息的平臺內(nèi)的產(chǎn)品或者服務提供者，停止提供服務；4)定期發(fā)布個人信息保護社會責任報告，接受社會監(jiān)督。七、履行個人信息保護職責的部門1.主管機關(guān)網(wǎng)信部門：統(tǒng)籌其他相關(guān)部門：在各自職責范圍內(nèi)負責個人信息保護和監(jiān)督管理工作2.主管部門的職責：履行個人信息保護職責的部門履行下列個人信息保護職責：（一）開展個人信息保護宣傳教育，指導、監(jiān)督個人信息處理者開展個人信息保護工作；（二）接受、處理與個人信息保護有關(guān)的投訴、舉報；（三）組織對應用程序等個人信息保護情況進行測評，并公布測評結(jié)果；（四）調(diào)查、處理違法個人信息處理活動；（五）法律、行政法規(guī)規(guī)定的其他職責。

國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門依據(jù)本法推進下列個人信息保護工作：???（一）制定個人信息保護具體規(guī)則、標準；

（二）針對小型個人信息處理者、處理敏感個人信息以及人臉識別、人工智能等新技術(shù)、新應用，制定專門的個人信息保護規(guī)則、標準；（三）支持研究開發(fā)和推廣應用安全、方便的電子身份認證技術(shù)，推進網(wǎng)絡身份認證公共服務建設(shè)；（四）推進個人信息保護社會化服務體系建設(shè)，支持有關(guān)機構(gòu)開展個人信息保護評估、認證服務；（五）完善個人信息保護投訴、舉報工作機制。3.主管部門的職權(quán)：（1）詢問（2）查閱、復制權(quán)（3）檢查權(quán)（4）查封、扣押權(quán)（5）約談權(quán)（6）合規(guī)審計權(quán)三、法律責任（一）行政法律責任：

第六十六條違反本法規(guī)定處理個人信息，或者處理個人信息未履行本法規(guī)定的個人信息保護義務的，由履行個人信息保護職責的部門責令改正，給予警告，沒收違法所得，對違法處理個人信息的應用程序，責令暫?；蛘呓K止提供服務；拒不改正的，并處一百萬元以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

有前款規(guī)定的違法行為，情節(jié)嚴重的，由省級以上履行個人信息保護職責的部門責令改正，沒收違法所得，并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款，并可以責令暫停相

關(guān)業(yè)務或者停業(yè)整頓、通報有關(guān)主管部門吊銷相關(guān)業(yè)務許可或者吊銷營業(yè)執(zhí)照；對直接負責的

主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款，并可以決定禁止其在一定期限

內(nèi)擔任相關(guān)企業(yè)的董事、監(jiān)事、高級管理人員和個人信息保護負責人。

第六十七條 有本法規(guī)定的違法行為的，依照有關(guān)法律、行政法規(guī)的規(guī)定記入信用檔案，并予以公示。（二）刑事責任1.侵犯公民個人信息罪刑法（2015）

第二百五十三條違反國家有關(guān)規(guī)定，向他人出售或者提供公民個人信息，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。違反國家有關(guān)規(guī)定，將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的，依照前款的規(guī)定從重處罰。竊取或者以其他方法非法獲取公民個人信息的，依照第一款的規(guī)定處罰。屬于單位犯罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照上述規(guī)定處罰。最高人民法院最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋（2017）“情節(jié)嚴重”：（一）出售或者提供行蹤軌跡信息，被他人用于犯罪的；（二）知道或者應當知道他人利用公民個人信息實施犯罪，向其出售或者提供的；（三）非法獲取、出售或者提供行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息五十條以上的；

（四）非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產(chǎn)安全的公民個人信息五百條以上的；（五）非法獲取、出售或者提供第三項、第四項規(guī)定以外的公民個人信息五千條以上的；（六）數(shù)量未達到第三項至第五項規(guī)定標準，但是按相應比例合計達到有關(guān)數(shù)量標準的；（七）違法所得五千元以上的；

（八）將在履行職責或者提供服務過程中獲得的公民個人信息出售或者提供給他人，數(shù)量或者數(shù)額達到第三項至第七項規(guī)定標準一半以上的；（九）曾因侵犯公民個人信息受過刑事處罰或者二年內(nèi)受過行政處罰，又非法獲取、出售或者提供公民個人信息的；（十）其他情節(jié)嚴重的情形?！扒楣?jié)特別嚴重”：（一）造成被害人死亡、重傷、精神失?；蛘弑唤壖艿葒乐睾蠊模唬ǘ┰斐芍卮蠼?jīng)濟損失或者惡劣社會影響的；（三）數(shù)量或者數(shù)額達到前款第三項至第八項規(guī)定標準十倍以上的；（四）其他情節(jié)特別嚴重的情形。2.拒不履行信息網(wǎng)絡安全管理義務罪

《刑法修正案（九）》將網(wǎng)絡服務提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡安全管理義務，經(jīng)監(jiān)管部門責令采取改正措施而拒不改正，情節(jié)嚴重的行為規(guī)定為犯罪。

《刑法》第二百八十六條之一：網(wǎng)絡服務提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡安全管理義務，經(jīng)監(jiān)管部門責令采取改正措施而拒不改正，有下列情形之一的，處三年以下有期徒刑、拘役或者管制，并處或者單處罰金：（一）致使違法信息大量傳播的；（二）致使用戶信息泄露，造成嚴重后果的；（三）致使刑事案件證據(jù)滅失，情節(jié)嚴重的；（四）有其他嚴重情節(jié)的。“信息網(wǎng)絡安全管理義務”的把握

1、防止違法信息大量傳播義務?！毒W(wǎng)絡安全法》第47條網(wǎng)絡運營者應當加強對其用戶發(fā)布的信息的管理，發(fā)現(xiàn)法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔⒌模瑧斄⒓赐Ｖ箓鬏斣撔畔?，采取消除等處置措施，防止信息擴散，保存有關(guān)記錄，并向有關(guān)主管部門報告。

2、防止用戶信息泄露義務?！毒W(wǎng)絡安全法》第42條第2款網(wǎng)絡運營者應當采取技術(shù)措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個人信息泄露、毀損、丟失的情況時，應當立即采取補救措施，按照規(guī)定及時告知用戶并向有關(guān)主管部門報告。

3、防止刑事案件證據(jù)滅失義務?！毒W(wǎng)絡安全法》第28條網(wǎng)絡運營者應當為公安機關(guān)、國家安全機關(guān)依法維護國家安全和偵查犯罪的活動提供技術(shù)支持和協(xié)助。“情節(jié)嚴重”的認定1、“致使違法信息大量傳播的”情形；2、“致使用戶信息泄露，造成嚴重后果”的情形。

3、“致使刑事案件證據(jù)滅失，情節(jié)嚴重”的情形?！扒楣?jié)嚴重”可以主要從致使刑事證據(jù)滅失的次數(shù)和滅失的刑事證據(jù)涉及的案件類型等角度加以認定。

4、“有其他嚴重情節(jié)”的情形。例如：（1）致使國家機關(guān)或者金融、電信、交通、教育、醫(yī)療、能源等領(lǐng)域提供公共服務的信息網(wǎng)絡受到破壞，嚴重影響生產(chǎn)、生活或者造成惡劣社會影響的；（2）致使信息網(wǎng)絡服務被多次用于犯罪，或者被用于危害國家安全犯罪、恐怖活動犯罪、黑社會性質(zhì)的組織犯罪、重大毒品犯罪或者其他嚴重犯罪的；（3）致使造成特別重大的經(jīng)濟損失的。討論：“爬蟲兇猛”

2019年9月7日，有消息稱，大數(shù)據(jù)服務公司杭州魔蝎數(shù)據(jù)科技有限公司疑被警方控制，一位核心高管人員被帶走。魔蝎科技主要做To

B端的業(yè)務，為企業(yè)和機構(gòu)提供風險分析、反欺詐、多維度用戶畫像、授信評分、貸后預警等全生命周期風險管理服務。官網(wǎng)顯示，截至目前已服務2000多家客戶，包括銀行、網(wǎng)貸平臺、消費金融公司等?！ぁぁぁぁぁつЭ萍奸_發(fā)的“同業(yè)爬蟲”產(chǎn)品直接將其他現(xiàn)金貸平臺的放款額和風控數(shù)據(jù)爬出來，太野蠻。除了涉嫌利用技術(shù)手段侵犯用戶隱私、買賣公民個人信息，魔蝎科技還涉嫌親自下場放現(xiàn)金貸。

爬蟲作為一種計算機技術(shù)，具有技術(shù)中立性，爬蟲技術(shù)在法律上從來沒有被禁止。爬蟲的發(fā)展歷史可以追溯到20年前，搜索引擎、聚合導航、數(shù)據(jù)分析、人工智能等業(yè)務，都需要基于爬蟲技術(shù)。如何界定爬蟲的合法性？1.數(shù)據(jù)的采集途徑；2.數(shù)據(jù)的采集行為；3.數(shù)據(jù)的使用目的。1.數(shù)據(jù)的采集途徑

（1）個人數(shù)據(jù)：必須在提前告知收集的方式、范圍、目的，并經(jīng)過用戶授權(quán)或同意后，才能采集使用。

《網(wǎng)絡安全法》第四十一條網(wǎng)絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規(guī)則，明示收

集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。網(wǎng)絡運

營者不得收集與其提供的服務無關(guān)的個人信息，不得違反法律、

行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息，并應當依照

法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個人信息。（2）公開數(shù)據(jù)2.數(shù)據(jù)的采集行為

使用技術(shù)手段應該懂得克制，一些容易對服務器和業(yè)務造成干擾甚至破壞的行為，應當充分衡量對方服務器的承