理解GDPR的跨境效力其实很简单 – It’s simple to understand the extra-territorial effect of GDPR

calm to GDPR《欧盟数据保护条例》(GDPR)已于2018年5月25日生效。在此之前(乃至直至现在),隐私律师为此已经忙碌了很久。由于GDPR具有某种“域外效力”,位于欧盟之外的企业也总会担心,希望了解自己在欧洲之外的生意是否收到影响。
The EU General Data Protection Regulation (GDPR) has come into force on 25 May 2018.   Before the day (and maybe until today), privacy lawyers have been busying in advising their clients on how to comply with the new law .  In particular, since GDPR implies certain “extra-territorial effect”, enterprises located outside of EU are also seeking advice from their counsels on whether the the new regulation would impact their business outside of Europe.

香港電腦保安事故協調中心 (HKCERT) 在一篇帖子里列出了GDPR适用于非欧洲企业的一些例子:
In their post, HKCERT has listed a few examples where a non-EU company’s service would be considered under GDPR’s umbrella.

  1. 未在欧洲设立任何分支机构的一间公司,通过建立于美国服务器的网站向在欧洲内的个人提供免费的社交服务——GDPR适用
    A Company without any EU subsidiaries offering free social media services via a website hosted in US to individuals in the EU – GDPR applies
  2. 酒店预订服务,使用cookies追踪过往顾客(包括身在欧盟的顾客)的浏览历史,以便定向投放广告——GDPR适用
    Hotel book business using cookies to track past customers’ (including EU-based customers) browsing in order to target specific hotel adverts to them – GDPR applies
  3. 一家香港的鲜花速递公司允许身处于欧洲的个人通过该公司的网站在香港订购鲜花并送达香港本地的收件人。而送花的费用是以欧元计价——GDPR适用
    HK flower delivery company allowing individuals in the EU to make orders for fulfilment only in HK. The price for the flower delivery services is denominated in an EU currency – GDPR applies

  4. 香港的零售公司使用网站接收预订并送货。身处欧洲的个人可以访问网站,但网站是英文的。订单是以港币计价,送货范围仅限香港地址—— GDPR不适用
    HK retailer with a website for orders/deliveries. The website is accessible to individuals in the EU in English. The currency is the HK dollar and the address fields only allow HK addresses – GDPR doesn’t apply

那么,究竟应该掌握什么规律,才可以简单确定GDPR的跨境效力呢。很简单:如果你的企业不在欧洲,并且不以身处于欧洲的个人为目标消费者,那么GDPR就管不了你。
Put it in simple, the extra-territorial effect of GDPR is limited. If your company is not targeting individuals who are physically staying in the territory of Europe, GDPR won’t apply to your business.

需要澄清的是:GDPR并不管EU国家公民在EU范围外接受服务时,提供自己的个人信息的情况——只要这些信息的采集和处理过程均是在 EU境外完成。例如,下面这些例子中,服务提供者并不需要将 GDPR作为其处理EU护照持有者的个人信息时的准则,而只需要遵守服务提供当地的法律:
It is important to clarify that GDPR does not apply to the collection and process of a EU passport holder’s personal data when the personal data is collected and processed outside of EU.  For examples, in the following cases, service providers don’t need to take GDPR as the standard for the processing of personal data collected from a EU passport holder, but just need to consider the local laws where the service is provided:

  • 一家日本旅行社为一名通常居住于以色列的法国人提供旅行服务;
    a Japanese company offering tourism services to French expats living permanently in Israel;
  • a mobile APP recommending restaurants in Hong Kong, which enables a UK passport holder to book table and receive discounts.
    一个推荐香港的餐厅的手机APP,可以让身处香港的英国人通过预定餐厅或者获得优惠。

事实上,GDPR其实根本不考虑国籍(其第二条已经说得很清楚了)。GDPR考虑的是在欧盟范围内的任何数据主体的权利。所以,一位旅居于德国的叙利亚难民也拥有与欧洲护照持有者相同的权利。如果你的公司瞄准了在欧洲留学的中国学生,那么你也要以GDPR作为自己的隐私权政策标准。
In fact GDPR never considers citizenship (according to its Article 2).  It simply protects the rights of data subjects for anyone living in the territory of EU. Therefore, a refugee living in Germany will enjoy the same right to the EU passport holders. If your company targets Chinese students studying in Europe, then you should take GDPR as the standard of your privacy policy.

GDPR的跨境效力,其实主要是体现在其对在欧洲营业的企业的规管:只要你的营业地是在欧洲,或者是只要收集信息的主体位于欧洲,那么不管你收集的是来自哪里的个人信息,你都需要符合GDPR的要求。更多的例子可以参考这里
The extra-territorial effect of GDPR is mainly reflected in its effects to the companies who are operating in the territory of EU.  Namely, if a data collector/controller is located in EU, then it shall comply with GDPR, without considering whose data will be collected and where the data will be originated.  See more examples here.

合规过程不易,但思路应当保持简洁。
The process of compliance is not easy, but its concepts should be kept simple.

Data Privacy under the PRC Network Security Law and the Draft PRC E-Commerce Law

First, here are some slides for quick reference if you are lazy and don’t want to read.

Capture6

Capture7
Capture8

The PRC Network Security Law (“NS Law”) has come into force on June 1, 2017. This law provides certain provisions in relation to the data privacy. Some of them appear to be beneficial to the individual data owners, whilst some others may be counter-productive to the protection of data privacy.

In parallel, the legislative branch of the Chinese government has published a draft PRC E-Commerce Law (“Draft EC Law”) for public consultation in December 2016.  This draft law has not yet to be passed by the PRC National People’s Congress (NPC) to become effective. However, its provisions have reflected some basic attitudes of the Chinese authority towards the protection of data privacy.

This essay sets out and provides my comments on the key provisions with respect the data privacy under the NS Law and the Draft EC Law.  In order to make readers digesting these laws easily, I will apply Daniel J. Solove’s theory of categorization of the data privacy issues.

1. Data Collection and Aggregation

“Aggregation” means the gathering of a person’s data from different sources and then combining them to form a clearer image of the person.

  • Art. 22.3 of the NS Law: ISP cannot collect its users’ personal information without the expressive consent. Art. 41 of the NS Law: ISP shall publish the rules, purpose, method, and scope of collection of personal information. No collection without users’ consent.[Comments: (i) These provisions do not distinguish “collection” and “aggregation”.  (ii) As a result, although these provisions have clearly required an operator to obtain consent before collecting its users’ information, they did not address the issue whether a third party can search and aggregate personal information (either from the public domain or from the first-hand data collectors.)]

2. Surveillance

Surveillance means the act or system enabling the government or a company to monitor user’s activities (“Big brother is watching you”).

  • Art. 51 of the Draft EC Law obliges E-commerce business operators to provide data to government authority (although it also said that the government authority should adopt “necessary measures” to protect data security).
    [Comments: (i) This provision legitimized (rather than prohibited) the surveillance practice.]
  • Art. 21.3 of the NS Law: ISPs are obliged to monitor and record user’s activities and should keep records for no less than 6 months.
    [Comments: (i) this could be counter-productive to protecting privacy from the individual data owner’s perspective; (ii) the 6 months storage obligation is not new in China, but the NS Law makes the compliance to be a necessity (at least on paper). ]

3. Identification

Identification means to identify a particular person or a particular group of persons by data analysis.

  • Art. 42.1 of the NS Law: No sharing of identifiable personal data without consent. Art. 50 of the Draft EC Law: an E-commerce business entity is obliged to take protection measures to ensure anonymity before it shares the e-commerce data with another E-commerce business entity.[Comments: Article 42 of the NS Law first prohibits business operators from divulging personal information to a third party. Then it says that if the data cannot identify a particular person, then it is fine to transfer without the data owner’s consent. Article 50 of the Draft EC Law has generally kept consistency with the NS Law on this regard. ]
  • Art. 45 of the Draft EC Law confirms that the buyers have autonomy over their personal data; it also defines the personal data with a detailed list, such as name, ID certificates number, address, contact details, information of geographical location, bank card info, transaction records, payment records and records of accepting logistic services.[Comments: The Draft EC Law did not distinguish the “private personal data” and the “business personal data”.  In some countries, use and aggregation of the business contacts (e.g. office telephone numbers, office email address and other info shown on a business card) may enjoy certain exemptions.]
  • Art. 46 of the Draft EC Law first provides that collection of personal data requires user consent; then it prohibits the denial of service due to the user’s refusal of providing personal data.

4. Disclosure and Insecurity

Disclosure means the data holder’s own act of disclosing the private facts. Insecurity means the situation that the data is attacked and stolen.

  • Art. 21. 2 and 21.4 of the NS Law request ISP to take technical measures to protect its system from attack; ISP also needs to classify, backup and encrypt data.
  • Art. 22.1 and 22.2 of the NS Law request ISP to take remedial actions when its system is in risk; provide security maintenance during the term of service. These provisions also generally requested the producer of network security products or services to report the authority about the data breach.
  • Art. 27 of the NS Law generally prohibits hacking acts. It also prohibits the assistance of hacking practice, such as tech support, advertising, and settlement of payment.
    [Comments: The provision did not clarify if the “assistance” means knowingly assistance. It also did not clarify if “constructive knowledge” also applies to this provision.]
  • Art. 42.2 of the NS Law requests ISP to take technical measures to protect data from disclosure, damages or loss. It also mentioned that the data holder shall report the data breach to the relevant authority.
  • Art. 49 of the Draft EC Law provides that e-commerce business entities must establish rules and technologies to prevent disclosure of data. It also provides if there is a data breach, the e-commerce business entity is obliged to (i) take remedial measures, (ii) notify the users and (iii) report to government authorities.

5. Exclusion 

Exclusion means the act/rule disabling/excluding a user from maintenance and deletion of his personal data from the system. The reason for deletion can be either those data are objectively outdated or the data owner simply changed its mind of disclosing the data.

  • Art. 43 of the NS Law: User has right to request deletion if the service provider’s collection or use of personal information in breach of the law/agreement; or there are mistakes in the personal information.[Comments: According to this provision, if there is no mistake in the personal information and the service provider does not breach the contract, then the data owner will not have right to remove the data he/she has provided to the service provider. It is not clear whether “mistake” herein includes “outdated”.  However, it seems clear that data owner would have lost an absolute right of deletion.]
  • Art. 47 of the Draft EC Law: provides that when a user requests correction or supplement of his/her personal information, the E-commerce business entity should correct or supplement the information accordingly.
  • Art. 48(3) of the Draft EC Law: provides that a user has right to delete its personal information. However, such right of deletion only arises (and is only mentioned) upon lapse of agreed / statutory term of preservation of personal data.

6. Increased Accessibility

Increased accessibility means, without the consent of the personal data owner, making the information that is already available to the public EASIER for a wider scope of the audience to access.

E.g., a buyer’s review of a particular product is usually made available to the public.  However, the buyer might not want his friends or colleagues to know that he purchased such product.

Neither the Draft EC Law nor the NS Law has provision preventing increased accessibility of data.

7. Blackmail, which means using a person’s personal data to blackmail him/her.

In e-commerce scenarios, it is possible that an e-commerce vendor may blackmail a buyer with the buyer’s personal records when the vendor gives a negative review of the vendor’s product. The Draft EC Law has no provision preventing such blackmails.

8. Distortion

Distortion: means disseminating false and misleading information to manipulate the way a person is perceived and judged by others.

  • Art. 42.1 of the NS Law provides that service providers cannot distort personal information. But this appears to be too general.
  • Art. 52 of the Draft EC Law stipulates that the state should promote all e-commerce business entities to ensure that information is accurate and reliable etc.

9. Second Use

Second use means the use of data for purposes unrelated to the purposes for which the data was initially collected without the data subject’s consent.

  • Art. 52 of the Draft EC Law provides that the State shall establish public data sharing mechanism. Such mechanism necessarily involves the second use of data. However, no guidance or rules are provided in relation to second use except to the extent that the State should ensure e-commerce business entities shall protect the liability, security, and authenticity of aggregated data.

 

电信和互联网用户个人信息保护规定

 

 
 

中华人民共和国工业和信息化部令



第24号

  

《电信和互联网用户个人信息保护规定》已经2013年6月28日中华人民共和国工业和信息化部第2次部务会议审议通过,现予公布,自2013年9月1日起施行。

部长  苗圩

2013年7月16日

电信和互联网用户个人信息保护规定

第一章 总则

  第一条 为了保护电信和互联网用户的合法权益,维护网络信息安全,根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《中华人民共和国电信条例》和《互联网信息服务管理办法》等法律、行政法规,制定本规定。



第二条 在中华人民共和国境内提供电信服务和互联网信息服务过程中收集、使用用户个人信息的活动,适用本规定。



第三条 工业和信息化部和各省、自治区、直辖市通信管理局(以下统称电信管理机构)依法对电信和互联网用户个人信息保护工作实施监督管理。



第四条 本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。



第五条 电信业务经营者、互联网信息服务提供者在提供服务的过程中收集、使用用户个人信息,应当遵循合法、正当、必要的原则。



第六条 电信业务经营者、互联网信息服务提供者对其在提供服务过程中收集、使用的用户个人信息的安全负责。



第七条 国家鼓励电信和互联网行业开展用户个人信息保护自律工作。

第二章 信息收集和使用规范

  第八条 电信业务经营者、互联网信息服务提供者应当制定用户个人信息收集、使用规则,并在其经营或者服务场所、网站等予以公布。



第九条 未经用户同意,电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。



电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的,应当明确告知用户收集、使用信息的目的、方式和范围,查询、更正信息的渠道以及拒绝提供信息的后果等事项。



电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的,不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。



电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者账号的服务。



法律、行政法规对本条第一款至第四款规定的情形另有规定的,从其规定。



第十条 电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。



第十一条 电信业务经营者、互联网信息服务提供者委托他人代理市场销售和技术服务等直接面向用户的服务性工作,涉及收集、使用用户个人信息的,应当对代理人的用户个人信息保护工作进行监督和管理,不得委托不符合本规定有关用户个人信息保护要求的代理人代办相关服务。



 第十二条 电信业务经营者、互联网信息服务提供者应当建立用户投诉处理机制,公布有效的联系方式,接受与用户个人信息保护有关的投诉,并自接到投诉之日起十五日内答复投诉人。  

第三章 安全保障措施

  第十三条 电信业务经营者、互联网信息服务提供者应当采取以下措施防止用户个人信息泄露、毁损、篡改或者丢失:



(一)确定各部门、岗位和分支机构的用户个人信息安全管理责任;



(二)建立用户个人信息收集、使用及其相关活动的工作流程和安全管理制度;



(三)对工作人员及代理人实行权限管理,对批量导出、复制、销毁信息实行审查,并采取防泄密措施; 



(四)妥善保管记录用户个人信息的纸介质、光介质、电磁介质等载体,并采取相应的安全储存措施;



(五)对储存用户个人信息的信息系统实行接入审查,并采取防入侵、防病毒等措施;



(六)记录对用户个人信息进行操作的人员、时间、地点、事项等信息;



(七)按照电信管理机构的规定开展通信网络安全防护工作;



(八)电信管理机构规定的其他必要措施。



第十四条 电信业务经营者、互联网信息服务提供者保管的用户个人信息发生或者可能发生泄露、毁损、丢失的,应当立即采取补救措施;造成或者可能造成严重后果的,应当立即向准予其许可或者备案的电信管理机构报告,配合相关部门进行的调查处理。



电信管理机构应当对报告或者发现的可能违反本规定的行为的影响进行评估;影响特别重大的,相关省、自治区、直辖市通信管理局应当向工业和信息化部报告。电信管理机构在依据本规定作出处理决定前,可以要求电信业务经营者和互联网信息服务提供者暂停有关行为,电信业务经营者和互联网信息服务提供者应当执行。



第十五条 电信业务经营者、互联网信息服务提供者应当对其工作人员进行用户个人信息保护相关知识、技能和安全责任培训。



第十六条 电信业务经营者、互联网信息服务提供者应当对用户个人信息保护情况每年至少进行一次自查,记录自查情况,及时消除自查中发现的安全隐患。

第四章 监督检查

  第十七条 电信管理机构应当对电信业务经营者、互联网信息服务提供者保护用户个人信息的情况实施监督检查。



电信管理机构实施监督检查时,可以要求电信业务经营者、互联网信息服务提供者提供相关材料,进入其生产经营场所调查情况,电信业务经营者、互联网信息服务提供者应当予以配合。



电信管理机构实施监督检查,应当记录监督检查的情况,不得妨碍电信业务经营者、互联网信息服务提供者正常的经营或者服务活动,不得收取任何费用。



第十八条 电信管理机构及其工作人员对在履行职责中知悉的用户个人信息应当予以保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。



第十九条 电信管理机构实施电信业务经营许可及经营许可证年检时,应当对用户个人信息保护情况进行审查。



第二十条 电信管理机构应当将电信业务经营者、互联网信息服务提供者违反本规定的行为记入其社会信用档案并予以公布。



第二十一条 鼓励电信和互联网行业协会依法制定有关用户个人信息保护的自律性管理制度,引导会员加强自律管理,提高用户个人信息保护水平。

第五章 法律责任

  第二十二条 电信业务经营者、互联网信息服务提供者违反本规定第八条、第十二条规定的,由电信管理机构依据职权责令限期改正,予以警告,可以并处一万元以下的罚款。



第二十三条 电信业务经营者、互联网信息服务提供者违反本规定第九条至第十一条、第十三条至第十六条、第十七条第二款规定的,由电信管理机构依据职权责令限期改正,予以警告,可以并处一万元以上三万元以下的罚款,向社会公告;构成犯罪的,依法追究刑事责任。



第二十四条 电信管理机构工作人员在对用户个人信息保护工作实施监督管理的过程中玩忽职守、滥用职权、徇私舞弊的,依法给予处理;构成犯罪的,依法追究刑事责任。

第六章 附则

  第二十五条 本规定自2013年9月1日起施行。

 

 
 

中华人民共和国工业和信息化部令



第24号

  

《电信和互联网用户个人信息保护规定》已经2013年6月28日中华人民共和国工业和信息化部第2次部务会议审议通过,现予公布,自2013年9月1日起施行。

部长  苗圩

2013年7月16日

电信和互联网用户个人信息保护规定

第一章 总则

  第一条 为了保护电信和互联网用户的合法权益,维护网络信息安全,根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《中华人民共和国电信条例》和《互联网信息服务管理办法》等法律、行政法规,制定本规定。



第二条 在中华人民共和国境内提供电信服务和互联网信息服务过程中收集、使用用户个人信息的活动,适用本规定。



第三条 工业和信息化部和各省、自治区、直辖市通信管理局(以下统称电信管理机构)依法对电信和互联网用户个人信息保护工作实施监督管理。



第四条 本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。



第五条 电信业务经营者、互联网信息服务提供者在提供服务的过程中收集、使用用户个人信息,应当遵循合法、正当、必要的原则。



第六条 电信业务经营者、互联网信息服务提供者对其在提供服务过程中收集、使用的用户个人信息的安全负责。



第七条 国家鼓励电信和互联网行业开展用户个人信息保护自律工作。

第二章 信息收集和使用规范

  第八条 电信业务经营者、互联网信息服务提供者应当制定用户个人信息收集、使用规则,并在其经营或者服务场所、网站等予以公布。



第九条 未经用户同意,电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。



电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的,应当明确告知用户收集、使用信息的目的、方式和范围,查询、更正信息的渠道以及拒绝提供信息的后果等事项。



电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的,不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。



电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者账号的服务。



法律、行政法规对本条第一款至第四款规定的情形另有规定的,从其规定。



第十条 电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。



第十一条 电信业务经营者、互联网信息服务提供者委托他人代理市场销售和技术服务等直接面向用户的服务性工作,涉及收集、使用用户个人信息的,应当对代理人的用户个人信息保护工作进行监督和管理,不得委托不符合本规定有关用户个人信息保护要求的代理人代办相关服务。



 第十二条 电信业务经营者、互联网信息服务提供者应当建立用户投诉处理机制,公布有效的联系方式,接受与用户个人信息保护有关的投诉,并自接到投诉之日起十五日内答复投诉人。  

第三章 安全保障措施

  第十三条 电信业务经营者、互联网信息服务提供者应当采取以下措施防止用户个人信息泄露、毁损、篡改或者丢失:



(一)确定各部门、岗位和分支机构的用户个人信息安全管理责任;



(二)建立用户个人信息收集、使用及其相关活动的工作流程和安全管理制度;



(三)对工作人员及代理人实行权限管理,对批量导出、复制、销毁信息实行审查,并采取防泄密措施; 



(四)妥善保管记录用户个人信息的纸介质、光介质、电磁介质等载体,并采取相应的安全储存措施;



(五)对储存用户个人信息的信息系统实行接入审查,并采取防入侵、防病毒等措施;



(六)记录对用户个人信息进行操作的人员、时间、地点、事项等信息;



(七)按照电信管理机构的规定开展通信网络安全防护工作;



(八)电信管理机构规定的其他必要措施。



第十四条 电信业务经营者、互联网信息服务提供者保管的用户个人信息发生或者可能发生泄露、毁损、丢失的,应当立即采取补救措施;造成或者可能造成严重后果的,应当立即向准予其许可或者备案的电信管理机构报告,配合相关部门进行的调查处理。



电信管理机构应当对报告或者发现的可能违反本规定的行为的影响进行评估;影响特别重大的,相关省、自治区、直辖市通信管理局应当向工业和信息化部报告。电信管理机构在依据本规定作出处理决定前,可以要求电信业务经营者和互联网信息服务提供者暂停有关行为,电信业务经营者和互联网信息服务提供者应当执行。



第十五条 电信业务经营者、互联网信息服务提供者应当对其工作人员进行用户个人信息保护相关知识、技能和安全责任培训。



第十六条 电信业务经营者、互联网信息服务提供者应当对用户个人信息保护情况每年至少进行一次自查,记录自查情况,及时消除自查中发现的安全隐患。

第四章 监督检查

  第十七条 电信管理机构应当对电信业务经营者、互联网信息服务提供者保护用户个人信息的情况实施监督检查。



电信管理机构实施监督检查时,可以要求电信业务经营者、互联网信息服务提供者提供相关材料,进入其生产经营场所调查情况,电信业务经营者、互联网信息服务提供者应当予以配合。



电信管理机构实施监督检查,应当记录监督检查的情况,不得妨碍电信业务经营者、互联网信息服务提供者正常的经营或者服务活动,不得收取任何费用。



第十八条 电信管理机构及其工作人员对在履行职责中知悉的用户个人信息应当予以保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。



第十九条 电信管理机构实施电信业务经营许可及经营许可证年检时,应当对用户个人信息保护情况进行审查。



第二十条 电信管理机构应当将电信业务经营者、互联网信息服务提供者违反本规定的行为记入其社会信用档案并予以公布。



第二十一条 鼓励电信和互联网行业协会依法制定有关用户个人信息保护的自律性管理制度,引导会员加强自律管理,提高用户个人信息保护水平。

第五章 法律责任

  第二十二条 电信业务经营者、互联网信息服务提供者违反本规定第八条、第十二条规定的,由电信管理机构依据职权责令限期改正,予以警告,可以并处一万元以下的罚款。



第二十三条 电信业务经营者、互联网信息服务提供者违反本规定第九条至第十一条、第十三条至第十六条、第十七条第二款规定的,由电信管理机构依据职权责令限期改正,予以警告,可以并处一万元以上三万元以下的罚款,向社会公告;构成犯罪的,依法追究刑事责任。



第二十四条 电信管理机构工作人员在对用户个人信息保护工作实施监督管理的过程中玩忽职守、滥用职权、徇私舞弊的,依法给予处理;构成犯罪的,依法追究刑事责任。

第六章 附则

  第二十五条 本规定自2013年9月1日起施行。

信息安全技术公共及商用服务信息系统个人信息保护指南

 信息安全技术公共及商用服务信息系统个人信息保护指南

 
工业和信息化部2013年1月21日颁布,自2013年2月1日起施行
 
1  范围
本指导性技术文件规范了全部或部分通过信息系统进行个人信息处理的过程,为信息系统中个人信息处理不同阶段的个人信息保护提供指导。
 
本指导性技术文件适用于指导除政府机关等行使公共管理职责的机构以外的各类组织和机构,如电信、金融、医疗等领域的服务机构,开展信息系统中的个人信息保护工作。
 
2 规范性引用文件
 
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
 
GB/T 20269-2006 信息安全技术 信息系统安全管理要求
 
GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南
 
3 术语和定义
 
GB/T 20269-2006 和GB/Z 20986-2007中界定的以及下列术语和定义适用于本技术性指导文件。
 
3.1 
 
信息系统 information system
 
即计算机信息系统,由计算机(含移动通信终端)及其相关的和配套的设备、设施(含网络)构成,能够按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理。
 
3.2 
 
个人信息 personal information
 
可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。个人信息可以分为个人敏感信息和个人一般信息。
 
3.3 
 
个人信息主体 subject of personal information
 
个人信息指向的自然人。
 
3.4 
 
个人信息管理者 administrator of personal information
 
决定个人信息处理的目的和方式,实际控制个人信息并利用信息系统处理个人信息的组织和机构。
 
3.5 
 
个人信息获得者 receiver of personal information
 
从信息系统获取个人信息的个人、组织和机构,依据个人信息主体的意愿对获得的个人信息进行处理。
 
3.6 
 
第三方测评机构 third party testing and evaluation agency
 
独立于个人信息管理者的专业测评机构。
 
3.7 
 
个人敏感信息 personal sensitive information
 
一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。
 
3.8 
 
个人一般信息 personal general information
 
除个人敏感信息以外的个人信息。
 
3.9 
 
个人信息处理 personal information handling
 
处置个人信息的行为,包括收集、加工、转移、删除。
 
3.10 
 
默许同意 tacit consent
 
在个人信息主体无明确反对的情况下,认为个人信息主体同意。
 
3.11 
 
明示同意 expressed consent
 
个人信息主体明确授权同意,并保留证据。
 
4 个人信息保护概述
 
4.1 角色和职责
 
4.1.1 综述
 
信息系统个人信息保护实施过程中涉及的角色主要有个人信息主体、个人信息管理者、个人信息获得者和独立测评机构,其职责见4.1.2至4.1.5。
 
4.1.2 个人信息主体
 
在提供个人信息前,要主动了解个人信息管理者收集的目的、用途等信息,按照个人意愿提供个人信息;发现个人信息出现泄漏、丢失、篡改后,向个人信息管理者投诉或提出质询,或向个人信息保护管理部门发起申诉。
 
4.1.3 个人信息管理者
 
负责依照国家法律、法规和本指导性技术文件,规划、设计和建立信息系统个人信息处理流程;制定个人信息管理制度、落实个人信息管理责任;指定专门机构或人员负责机构内部的个人信息保护工作,接受个人信息主体的投诉与质询;制定个人信息保护的教育培训计划并组织落实;建立个人信息保护的内控机制,并定期对信息系统个人信息的安全状况、保护制度及措施的落实情况进行自查或委托独立测评机构进行测评。
 
管控信息系统个人信息处理过程中的风险,对个人信息处理过程中可能出现的泄露、丢失、损坏、篡改、不当使用等事件制定预案;发现个人信息遭到泄漏、丢失、篡改后,及时采取应对措施,防止事件影响进一步扩大,并及时告知受影响的个人信息主体;发生重大事件的,及时向个人信息保护管理部门通报。
 
接受个人信息保护管理部门对个人信息保护状况的检查、监督和指导,积极参与和配合第三方测评机构对信息系统个人信息保护状况的测评。
 
4.1.4 个人信息获得者
 
当个人信息的获取是出于对方委托加工等目的,个人信息获得者要依照本指导性技术文件和委托合同,对个人信息进行加工,并在完成加工任务后,立即删除相关个人信息。
 
4.1.5 第三方测评机构
 
从维护公众利益角度出发、根据个人信息保护管理部门和行业协会的授权、或受个人信息管理者的委托,依据相关国家法律、法规和本指导性技术文件,对信息系统进行测试和评估,获取个人信息保护状况,作为个人信息管理者评价、监督和指导个人信息保护的依据。
 
4.2 基本原则
 
个人信息管理者在使用信息系统对个人信息进行处理时,宜遵循以下基本原则:
 
a)目的明确原则——处理个人信息具有特定、明确、合理的目的,不扩大使用范围,不在个人信息主体不知情的情况下改变处理个人信息的目的。
 
b)最少够用原则——只处理与处理目的有关的最少信息,达到处理目的后,在最短时间内删除个人信息。
 
c)公开告知原则——对个人信息主体要尽到告知、说明和警示的义务。以明确、易懂和适宜的方式如实向个人信息主体告知处理个人信息的目的、个人信息的收集和使用范围、个人信息保护措施等信息。
 
d)个人同意原则——处理个人信息前要征得个人信息主体的同意。
 
e)质量保证原则——保证处理过程中的个人信息保密、完整、可用,并处于最新状态。
 
f)安全保障原则——采取适当的、与个人信息遭受损害的可能性和严重性相适应的管理措施和技术手段,保护个人信息安全,防止未经个人信息管理者授权的检索、披露及丢失、泄露、损毁和篡改个人信息。
 
g)诚信履行原则——按照收集时的承诺,或基于法定事由处理个人信息,在达到既定目的后不再继续处理个人信息。
 
h)责任明确原则——明确个人信息处理过程中的责任,采取相应的措施落实相关责任,并对个人信息处理过程进行记录以便于追溯。
 
5 个人信息保护
 
5.1 概述
 
信息系统中个人信息的处理过程可分为收集、加工、转移、删除4个主要环节。对个人信息的保护贯穿于4个环节中:
 
a)收集指对个人信息进行获取并记录。
 
b)加工指对个人信息进行的操作,如录入、存储、修改、标注、比对、挖掘、屏蔽等。
 
c)转移指将个人信息提供给个人信息获得者的行为,如向公众公开、向特定群体披露、由于委托他人加工而将个人信息复制到其他信息系统等。
 
d)删除指使个人信息在信息系统中不再可用。
 
5.2 收集阶段
 
5.2.1 要具有特定、明确、合法的目的。
 
5.2.2 收集前要采用个人信息主体易知悉的方式,向个人信息主体明确告知和警示如下事项:
 
a)处理个人信息的目的;
 
b)个人信息的收集方式和手段、收集的具体内容和留存时限;
 
c)个人信息的使用范围,包括披露或向其他组织和机构提供其个人信息的范围;
 
d)个人信息的保护措施;
 
e)个人信息管理者的名称、地址、联系方式等相关信息;
 
f)个人信息主体提供个人信息后可能存在的风险;
 
g)个人信息主体不提供个人信息可能出现的后果;
 
h)个人信息主体的投诉渠道;
 
i)如需将个人信息转移或委托于其他组织和机构,要向个人信息主体明确告知包括但不限于以下信息:转移或委托的目的、转移或委托个人信息的具体内容和使用范围、接受委托的个人信息获得者的名称、地址、联系方式等。
 
5.2.3 处理个人信息前要征得个人信息主体的同意,包括默许同意或明示同意。收集个人一般信息时,可认为个人信息主体默许同意,如果个人信息主体明确反对,要停止收集或删除个人信息;收集个人敏感信息时,要得到个人信息主体的明示同意。
 
5.2.4 只收集能够达到已告知目的的最少信息。
 
5.2.5 要采用已告知的手段和方式直接向个人信息主体收集,不采取隐蔽手段或以间接方式收集个人信息。
 
5.2.6 持续收集个人信息时提供相关功能,允许个人信息主体配置、调整、关闭个人信息收集功能。
 
5.2.7 不直接向未满16周岁的未成年人等限制民事行为能力或无行为能力人收集个人敏感信息,确需收集其个人敏感信息的,要征得其法定监护人的明示同意。
 
5.3 加工阶段
 
5.3.1 不违背收集阶段已告知的使用目的,或超出告知范围对个人信息进行加工。
 
5.3.2 采用已告知的方法和手段。
 
5.3.3 保证加工过程中个人信息不被任何与处理目的无关的个人、组织和机构获知。
 
5.3.4 未经个人信息主体明示同意,不向其他个人、组织和机构披露其处理的个人信息。
 
5.3.5 保证加工过程中信息系统持续稳定运行,个人信息处于完整、可用状态,且保持最新。
 
5.3.6 个人信息主体发现其个人信息存在缺陷并要求修改时,个人信息管理者要根据个人信息主体的要求进行查验核对,在保证个人信息完整性的前提下,修改或补充相关信息。
 
5.3.7 详细记录对个人信息的状态,个人信息主体要求对其个人信息进行查询时,个人信息管理者要如实并免费告知是否拥有其个人信息、拥有其个人信息的内容、个人信息的加工状态等内容,除非告知成本或者请求频率超出合理的范围。
 
5.4 转移阶段
 
5.4.1 不违背收集阶段告知的转移目的,或超出告知的转移范围转移个人信息。
 
5.4.2 向其他组织和机构转移个人信息前,评估其是否能够按照本指导性技术文件的要求处理个人信息,并通过合同明确该组织和机构的个人信息保护责任。
 
5.4.3 保证转移过程中,个人信息不被个人信息获得者之外的任何个人、组织和机构所获知。
 
5.4.4 保证转移前后,个人信息的完整性和可用性,且保持最新。
 
5.4.5 未经个人信息主体的明示同意,或法律法规明确规定,或未经主管部门同意,个人信息管理者不得将个人信息转移给境外个人信息获得者,包括位于境外的个人或境外注册的组织和机构。
 
5.5 删除阶段
 
5.5.1 个人信息主体有正当理由要求删除其个人信息时,及时删除个人信息。删除个人信息可能会影响执法机构调查取证时,采取适当的存储和屏蔽措施。
 
5.5.2 收集阶段告知的个人信息使用目的达到后,立即删除个人信息;如需继续处理,要消除其中能够识别具体个人的内容;如需继续处理个人敏感信息,要获得个人信息主体的明示同意。
 
5.5.3 超出收集阶段告知的个人信息留存期限,要立即删除相关信息;对留存期限有明确规定的,按相关规定执行。
 
5.5.4 个人信息管理者破产或解散时,若无法继续完成承诺的个人信息处理目的,要删除个人信息。删除个人信息可能会影响执法机构调查取证时,采取适当的存储和屏蔽措施。

 信息安全技术公共及商用服务信息系统个人信息保护指南

 
工业和信息化部2013年1月21日颁布,自2013年2月1日起施行
 
1  范围
本指导性技术文件规范了全部或部分通过信息系统进行个人信息处理的过程,为信息系统中个人信息处理不同阶段的个人信息保护提供指导。
 
本指导性技术文件适用于指导除政府机关等行使公共管理职责的机构以外的各类组织和机构,如电信、金融、医疗等领域的服务机构,开展信息系统中的个人信息保护工作。
 
2 规范性引用文件
 
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
 
GB/T 20269-2006 信息安全技术 信息系统安全管理要求
 
GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南
 
3 术语和定义
 
GB/T 20269-2006 和GB/Z 20986-2007中界定的以及下列术语和定义适用于本技术性指导文件。
 
3.1 
 
信息系统 information system
 
即计算机信息系统,由计算机(含移动通信终端)及其相关的和配套的设备、设施(含网络)构成,能够按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理。
 
3.2 
 
个人信息 personal information
 
可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。个人信息可以分为个人敏感信息和个人一般信息。
 
3.3 
 
个人信息主体 subject of personal information
 
个人信息指向的自然人。
 
3.4 
 
个人信息管理者 administrator of personal information
 
决定个人信息处理的目的和方式,实际控制个人信息并利用信息系统处理个人信息的组织和机构。
 
3.5 
 
个人信息获得者 receiver of personal information
 
从信息系统获取个人信息的个人、组织和机构,依据个人信息主体的意愿对获得的个人信息进行处理。
 
3.6 
 
第三方测评机构 third party testing and evaluation agency
 
独立于个人信息管理者的专业测评机构。
 
3.7 
 
个人敏感信息 personal sensitive information
 
一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。
 
3.8 
 
个人一般信息 personal general information
 
除个人敏感信息以外的个人信息。
 
3.9 
 
个人信息处理 personal information handling
 
处置个人信息的行为,包括收集、加工、转移、删除。
 
3.10 
 
默许同意 tacit consent
 
在个人信息主体无明确反对的情况下,认为个人信息主体同意。
 
3.11 
 
明示同意 expressed consent
 
个人信息主体明确授权同意,并保留证据。
 
4 个人信息保护概述
 
4.1 角色和职责
 
4.1.1 综述
 
信息系统个人信息保护实施过程中涉及的角色主要有个人信息主体、个人信息管理者、个人信息获得者和独立测评机构,其职责见4.1.2至4.1.5。
 
4.1.2 个人信息主体
 
在提供个人信息前,要主动了解个人信息管理者收集的目的、用途等信息,按照个人意愿提供个人信息;发现个人信息出现泄漏、丢失、篡改后,向个人信息管理者投诉或提出质询,或向个人信息保护管理部门发起申诉。
 
4.1.3 个人信息管理者
 
负责依照国家法律、法规和本指导性技术文件,规划、设计和建立信息系统个人信息处理流程;制定个人信息管理制度、落实个人信息管理责任;指定专门机构或人员负责机构内部的个人信息保护工作,接受个人信息主体的投诉与质询;制定个人信息保护的教育培训计划并组织落实;建立个人信息保护的内控机制,并定期对信息系统个人信息的安全状况、保护制度及措施的落实情况进行自查或委托独立测评机构进行测评。
 
管控信息系统个人信息处理过程中的风险,对个人信息处理过程中可能出现的泄露、丢失、损坏、篡改、不当使用等事件制定预案;发现个人信息遭到泄漏、丢失、篡改后,及时采取应对措施,防止事件影响进一步扩大,并及时告知受影响的个人信息主体;发生重大事件的,及时向个人信息保护管理部门通报。
 
接受个人信息保护管理部门对个人信息保护状况的检查、监督和指导,积极参与和配合第三方测评机构对信息系统个人信息保护状况的测评。
 
4.1.4 个人信息获得者
 
当个人信息的获取是出于对方委托加工等目的,个人信息获得者要依照本指导性技术文件和委托合同,对个人信息进行加工,并在完成加工任务后,立即删除相关个人信息。
 
4.1.5 第三方测评机构
 
从维护公众利益角度出发、根据个人信息保护管理部门和行业协会的授权、或受个人信息管理者的委托,依据相关国家法律、法规和本指导性技术文件,对信息系统进行测试和评估,获取个人信息保护状况,作为个人信息管理者评价、监督和指导个人信息保护的依据。
 
4.2 基本原则
 
个人信息管理者在使用信息系统对个人信息进行处理时,宜遵循以下基本原则:
 
a)目的明确原则——处理个人信息具有特定、明确、合理的目的,不扩大使用范围,不在个人信息主体不知情的情况下改变处理个人信息的目的。
 
b)最少够用原则——只处理与处理目的有关的最少信息,达到处理目的后,在最短时间内删除个人信息。
 
c)公开告知原则——对个人信息主体要尽到告知、说明和警示的义务。以明确、易懂和适宜的方式如实向个人信息主体告知处理个人信息的目的、个人信息的收集和使用范围、个人信息保护措施等信息。
 
d)个人同意原则——处理个人信息前要征得个人信息主体的同意。
 
e)质量保证原则——保证处理过程中的个人信息保密、完整、可用,并处于最新状态。
 
f)安全保障原则——采取适当的、与个人信息遭受损害的可能性和严重性相适应的管理措施和技术手段,保护个人信息安全,防止未经个人信息管理者授权的检索、披露及丢失、泄露、损毁和篡改个人信息。
 
g)诚信履行原则——按照收集时的承诺,或基于法定事由处理个人信息,在达到既定目的后不再继续处理个人信息。
 
h)责任明确原则——明确个人信息处理过程中的责任,采取相应的措施落实相关责任,并对个人信息处理过程进行记录以便于追溯。
 
5 个人信息保护
 
5.1 概述
 
信息系统中个人信息的处理过程可分为收集、加工、转移、删除4个主要环节。对个人信息的保护贯穿于4个环节中:
 
a)收集指对个人信息进行获取并记录。
 
b)加工指对个人信息进行的操作,如录入、存储、修改、标注、比对、挖掘、屏蔽等。
 
c)转移指将个人信息提供给个人信息获得者的行为,如向公众公开、向特定群体披露、由于委托他人加工而将个人信息复制到其他信息系统等。
 
d)删除指使个人信息在信息系统中不再可用。
 
5.2 收集阶段
 
5.2.1 要具有特定、明确、合法的目的。
 
5.2.2 收集前要采用个人信息主体易知悉的方式,向个人信息主体明确告知和警示如下事项:
 
a)处理个人信息的目的;
 
b)个人信息的收集方式和手段、收集的具体内容和留存时限;
 
c)个人信息的使用范围,包括披露或向其他组织和机构提供其个人信息的范围;
 
d)个人信息的保护措施;
 
e)个人信息管理者的名称、地址、联系方式等相关信息;
 
f)个人信息主体提供个人信息后可能存在的风险;
 
g)个人信息主体不提供个人信息可能出现的后果;
 
h)个人信息主体的投诉渠道;
 
i)如需将个人信息转移或委托于其他组织和机构,要向个人信息主体明确告知包括但不限于以下信息:转移或委托的目的、转移或委托个人信息的具体内容和使用范围、接受委托的个人信息获得者的名称、地址、联系方式等。
 
5.2.3 处理个人信息前要征得个人信息主体的同意,包括默许同意或明示同意。收集个人一般信息时,可认为个人信息主体默许同意,如果个人信息主体明确反对,要停止收集或删除个人信息;收集个人敏感信息时,要得到个人信息主体的明示同意。
 
5.2.4 只收集能够达到已告知目的的最少信息。
 
5.2.5 要采用已告知的手段和方式直接向个人信息主体收集,不采取隐蔽手段或以间接方式收集个人信息。
 
5.2.6 持续收集个人信息时提供相关功能,允许个人信息主体配置、调整、关闭个人信息收集功能。
 
5.2.7 不直接向未满16周岁的未成年人等限制民事行为能力或无行为能力人收集个人敏感信息,确需收集其个人敏感信息的,要征得其法定监护人的明示同意。
 
5.3 加工阶段
 
5.3.1 不违背收集阶段已告知的使用目的,或超出告知范围对个人信息进行加工。
 
5.3.2 采用已告知的方法和手段。
 
5.3.3 保证加工过程中个人信息不被任何与处理目的无关的个人、组织和机构获知。
 
5.3.4 未经个人信息主体明示同意,不向其他个人、组织和机构披露其处理的个人信息。
 
5.3.5 保证加工过程中信息系统持续稳定运行,个人信息处于完整、可用状态,且保持最新。
 
5.3.6 个人信息主体发现其个人信息存在缺陷并要求修改时,个人信息管理者要根据个人信息主体的要求进行查验核对,在保证个人信息完整性的前提下,修改或补充相关信息。
 
5.3.7 详细记录对个人信息的状态,个人信息主体要求对其个人信息进行查询时,个人信息管理者要如实并免费告知是否拥有其个人信息、拥有其个人信息的内容、个人信息的加工状态等内容,除非告知成本或者请求频率超出合理的范围。
 
5.4 转移阶段
 
5.4.1 不违背收集阶段告知的转移目的,或超出告知的转移范围转移个人信息。
 
5.4.2 向其他组织和机构转移个人信息前,评估其是否能够按照本指导性技术文件的要求处理个人信息,并通过合同明确该组织和机构的个人信息保护责任。
 
5.4.3 保证转移过程中,个人信息不被个人信息获得者之外的任何个人、组织和机构所获知。
 
5.4.4 保证转移前后,个人信息的完整性和可用性,且保持最新。
 
5.4.5 未经个人信息主体的明示同意,或法律法规明确规定,或未经主管部门同意,个人信息管理者不得将个人信息转移给境外个人信息获得者,包括位于境外的个人或境外注册的组织和机构。
 
5.5 删除阶段
 
5.5.1 个人信息主体有正当理由要求删除其个人信息时,及时删除个人信息。删除个人信息可能会影响执法机构调查取证时,采取适当的存储和屏蔽措施。
 
5.5.2 收集阶段告知的个人信息使用目的达到后,立即删除个人信息;如需继续处理,要消除其中能够识别具体个人的内容;如需继续处理个人敏感信息,要获得个人信息主体的明示同意。
 
5.5.3 超出收集阶段告知的个人信息留存期限,要立即删除相关信息;对留存期限有明确规定的,按相关规定执行。
 
5.5.4 个人信息管理者破产或解散时,若无法继续完成承诺的个人信息处理目的,要删除个人信息。删除个人信息可能会影响执法机构调查取证时,采取适当的存储和屏蔽措施。

简评“杭州律师状告百度索赔百万人民币”的新闻

  最近有一个“杭州律师状告百度索赔百万人民币”的新闻。根据网易新闻,此案原告为浙江金道律师事务所律师郭力,他在百度搜索自己所在律师事务所及自己姓名等关键字时,发现竟然可以查询到自己的邮件,在尝试了百度快照功能后,还可以阅读邮件的全部内容。郭力随后向邮件服务商反映了这一情况,得到的答复是邮件服务器缓存被百度的搜索程序“非法搜索”,致使邮件内容被链接并公开。郭力认为,邮件服务商与百度共同侵犯了他的秘密通信权,并向北京海淀区法院提起诉讼,要求被告在各自网站首页连续30天刊登致歉声明,同时赔偿经济损失1000元、精神损害抚慰金100万元。

对这个案件,于国富律师有一些评论(我已经加入了我的网摘),很有道理,不过还可更深入一些。我觉得,电子邮件本来就不应该被搜索,而不是过滤不过滤的问题。所以说,在邮件服务商,如果把页面安排成普通的页面,让搜索引擎不能识别,那么就是邮件服务商有过错;而在搜索引擎,如果邮件服务商已经做了适当的反搜索设置(例如:设置了阻挡搜索引擎爬虫的robots.txt,对缓存进行了处理等),则责任就是搜索引擎的。如果能证明搜索引擎的爬虫不守规矩,违反技术标准抓取页面,那就更能证明其过错了。

更深入地分析可以发现,本案还不但是上述的事实证据问题,还有一系列法律标准的判断问题。例如,对原告而言,是否只需要证明自己的隐私由于被告的行为被披露了就足够,而转而由被告来证明自己没有过错;还是说,原告必须自己证明被告的行为有过错?等等。。。时间有限,就不多说了……等案件判决书有了再说吧。

  最近有一个“杭州律师状告百度索赔百万人民币”的新闻。根据网易新闻,此案原告为浙江金道律师事务所律师郭力,他在百度搜索自己所在律师事务所及自己姓名等关键字时,发现竟然可以查询到自己的邮件,在尝试了百度快照功能后,还可以阅读邮件的全部内容。郭力随后向邮件服务商反映了这一情况,得到的答复是邮件服务器缓存被百度的搜索程序“非法搜索”,致使邮件内容被链接并公开。郭力认为,邮件服务商与百度共同侵犯了他的秘密通信权,并向北京海淀区法院提起诉讼,要求被告在各自网站首页连续30天刊登致歉声明,同时赔偿经济损失1000元、精神损害抚慰金100万元。

对这个案件,于国富律师有一些评论(我已经加入了我的网摘),很有道理,不过还可更深入一些。我觉得,电子邮件本来就不应该被搜索,而不是过滤不过滤的问题。所以说,在邮件服务商,如果把页面安排成普通的页面,让搜索引擎不能识别,那么就是邮件服务商有过错;而在搜索引擎,如果邮件服务商已经做了适当的反搜索设置(例如:设置了阻挡搜索引擎爬虫的robots.txt,对缓存进行了处理等),则责任就是搜索引擎的。如果能证明搜索引擎的爬虫不守规矩,违反技术标准抓取页面,那就更能证明其过错了。

更深入地分析可以发现,本案还不但是上述的事实证据问题,还有一系列法律标准的判断问题。例如,对原告而言,是否只需要证明自己的隐私由于被告的行为被披露了就足够,而转而由被告来证明自己没有过错;还是说,原告必须自己证明被告的行为有过错?等等。。。时间有限,就不多说了……等案件判决书有了再说吧。