杨 涛 上海邦信阳中建中汇律师事务所 律师

2019年3月15日，央视3·15晚会如约而至。其曝光了“骚扰电话”背后的灰色产业链，特别是违法收集、销售、使用用户个人信息的企业，包括壹鸽科技、易龙芯科、秒嘀科技和凌沃网络等。另外，节目还现场演示了杭州递金网络开发科技有限公司的社保掌上通APP，用以说明该APP在隐私政策告知和获取用户同意部分存在的违法行为。如果我们梳理近7年3·15晚会曝光的61起事件（除去科普类型事件）就会发现，曝光度最高的领域为“个人信息安全”。自2012年起，7年共报道11起相关事件。此外，今年两会期间，大会新闻发言人张业遂在答记者问时，明确表态全国人大常委会已将制定《个人信息保护法》列入本届立法规划，“相关部门正在抓紧研究和起草，争取早日出台”。由此可见，个人信息保护将在未来对我们的生活和商业带来深刻的影响。

工信部在3·15晚会的第二天，立即在其官网主页发布了“工业和信息化部坚决行动----严厉查处3·15晚会曝光的信息通信领域违规行为”的公告。针对骚扰电话和APP违规收集公民个人信息分别提出了行动方案，具体如下：

“为防范各类通信资源被用于电话扰民，工业和信息化部将会同相关部门组织开展全面排查清理，严格规范语音专线管理，严查利用透传技术虚拟主叫号码的违规行为，对未通过鉴权的呼叫一律拦截；为加强手机APP个人信息保护，工业和信息化部将配合中央网信办、公安部、市场监督管理总局等部门做好APP违法违规收集使用个人信息专项治理行动。”

根据工信部的这个公告，可以预见在接下来的时间，国家数据监管执法部门，包括网信办、公安部门、市场监督管理局和工信部等将会在数据合规上加大执法力度。因此，企业在数据合规上应该加强自我监督和审查，以保证其数据实践符合法律法规的要求，做到充分保护公民的个人信息，从而能够从容面对执法部门的执法行动。

根据3·15晚会的曝光，在“骚扰电话”背后的产业链涉及探针盒子、大数据、机器人寻呼和透传技术等内容，根据这些技术的先后关联笔者制作简图如下：

从以上的数据流轨迹可以看出，这个产业链以探针盒子为开端，以结合大数据进行用户画像为媒介，最后通过机器人寻呼并使用透传技术来拨打骚扰电话。由于MAC号（Media Access Control Address）和IMEI号（International Mobile Equipment Identity）均具有唯一识别性，因此每一台手机上的这两个数据信息均与手机用户唯一对应。根据《网络安全法》关于个人信息的定义和GB/T 35273《信息安全技术个人信息安全规范》对个人信息的分类例举，MAC号和IMEI号属于个人信息的范畴。所以，当企业在使用探针盒子收集MAC信息开始就已经在收集用户个人信息了。

由于使用探针盒子是在用户毫不之情的情况下获取和收集用户个人信息的，这种隐蔽性行为实际上就是一种窃取行为。

根据《网络安全法》四十四条的规定：任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。根据《网络安全法》第六十四条的规定：窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款。

除了该行政责任外，根据《网络安全法》第七十四条的规定：违反本法规定，给他人造成损害的，依法承担民事责任。因此，由于个人信息被非法收集和使用从而遭致损失的主体还可以通过民事诉讼的方式向侵犯公民个人信息权利一方索要赔偿。

在行政和民事责任之外，根据《刑法修正案（九）》的规定：违反国家有关规定，窃取或以其他方式非法获取公民信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。根据最高人民法院和最高人民检察院2017年发布的《关于办理侵犯公民个人信息案件适用法律若干问题的解释》（“解释”）的规定，前述“违反国家有关规定”指的是“违反法律、行政法规和部门规章”，由于使用探针盒子收集用户的个人信息违反《网络安全法》，故符合该入刑条件。解释同时根据侵犯公民个人信息的数量、信息类型、信息用途、违法所得数额、主体身份、行为人主观恶性大小等作为标准，罗列了“情节严重”和“情节特别严重”的情形。例如获取“特别敏感信息”包括行踪轨迹、财产信息等50条以上属于情形严重；获取“次敏感信息”包括住宿信息、健康生理信息等500条以上的也属于情形严重；此外获取非前述敏感性个人信息以外的个人信息5000条以上同样为情形严重。由于探针盒子收集的个人信息数量以万计，因此，使用探针盒子获取个人信息的个人或者公司都明显违反了《刑法》的相关规定，应受到刑事追诉。

通过探针盒子获取用户个人信息是很明显的违法行为，但是单纯通过探针盒子获取MAC号和IMEI号一般尚不足以进行具体的用户画像，上图中很重要的一环是IMEI号码需要和大数据结合才能直接识别出具体的自然人。而大数据的数据入口主要来自于客户对APP的授权，例如授权其访问通讯录，授权其访问其他使用中的APP软件等。由于用户在安装APP的时候一般并不会花时间和精力去阅读“隐私政策”或“使用条款”的具体细节。因此，很多APP运营者会利用这一点在“隐私政策”或“使用条款”中不知不觉地要求用户过度授权。这次3·15晚会曝光的社保掌上通APP，其告知和要求获取同意的具体内容截图如下：

根据《网络安全法》第四十一条的规定：网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则……网络运营者不得收集与其提供的服务无关的个人信息……该APP在收集社保账户和密码的时候要求“不可撤销的授权”，意味着用户一旦授权将失去对该授权本身的控制权，对此用户肯定是不愿意的，因此该要求缺乏正当性。另外“不可撤销”也不具有必要性，因为客户完全可以在下一次查询的时候再进行新的授权。这款APP除了“不可撤销”的授权程度不合理外，其授权范围也过于宽泛，因为这是一款社保查询APP，但是其授权范围却包含了模拟登陆用户学信网、公积金、运营网站等其他内容，属于过度授权，意在收集“与其提供服务无关的信息”。

因此，该APP隐私条款中的上述内容是违反《网络安全法》第四十一条规定的。根据《网络安全法》第六十四条的规定，网络运营者、网络产品或者服务的提供者违反本法第四十一条，侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。行政处罚的金额可能对于很多公司来讲不算很大，但是“暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照”的处罚对于企业来讲可能是致命的，因此企业应当引起重视。

绝大多数企业是不太可能会去使用探针盒子来获取公民个人信息的，但是非法获取公民个人信息的形式除了使用探针盒子的“窃取”以外，根据《关于办理侵犯公民个人信息案件适用法律若干问题的解释》的规定，还包括通过购买、收受、交换，或在履行职责、提供服务过程中收集公民个人信息等方式。之所以会有人使用探针盒子铤而走险，恰恰是因为市场上有很多人愿意购买个人信息所致，在金融、房产、教育培训、整形、汽车行业尤为显著。这些企业应该做好数据合规管控，禁止通过非法途径获取个人信息，转向通过合法途径获取个人信息。这需要数据流上下游企业之间展开合作，例如金融公司与房产公司合作获取具有房贷意向的客户信息，但是前提是房产公司事先明示告知此等合作关系并获得购房者明示的书面同意。

在考虑获取公民个人信息的时候，一个容易被忽略的点是“交换”也会构成“非法获取公民个人信息”的行为。交换公民个人信息也算是一种常见的商业行为，表现为在两个目标客户群接近但是没有直接竞争关系的企业之间进行的数据交换。由于产品之间存在差异，因此即使在前期告知和收集同意的时候，也难以很好地把握。因此个人数据交换是一个风险相对较高的行为，应当尽量避免，或者至少做好严格的风险评估。

关于APP隐私政策的合规建议，一个较好的办法是进行“APP安全认证”。这项认证是市场监督管理总局和国家网信办在今年3·15当天发布的一项非强制性认证。根据该认证的官方公告，其“鼓励APP运营者自愿通过APP安全认证，同时鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的APP”。该认证的认证机构是中国网络安全审查技术与认证中心，其认证所采用的标准是GB/T 35273《信息安全技术个人信息安全规范》及相关标准、规范，具体细则规定在《移动互联网应用程序（APP）安全认证实施规则》中。可以认为，通过了该项认证基本能保证APP较为全面的合规性。

当然，如果APP运营者不愿意进行安全认证，也可以自查，并采用官方监察的标准对自己的APP隐私政策进行审核。根据今年1月25日四部门联合发布的《中央网信办、工业和信息化部、公安部、市场监管总局关于开展APP违法违规收集使用个人信息专项治理的公告》，全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立了APP违法违规收集使用个人信息专项治理工作组。后该“工作组”编制了《APP违法违规收集使用个人信息自评估指南》来对APP隐私政策进行审核。该“指南”共包括三大部分九个重要评估事项和三十二个具体评估标准，企业可用来参照以审核自身运营APP在个人信息收集上的合规性。

数据合规对于一般的企业来讲主要体现在个人信息保护上面，这是目前的执法热点。随着数据时代的进一步发展，个人信息保护的重要性将会越发显现。公司在数据合规上的表现将直接影响其在数据时代的发展和最终的地位。守法是最低的成本，也许一开始违法者获得短期利益，但终将被市场淘汰，相信只有尊重和保护个人信息，持有对数据时代的敬畏之心的企业，才能在这个特殊的时代获得长远的发展。