《个人信息保护法》三读通过,标志着我国对个人信息的立法保护方面上升到了新的高度;但相对应的是,作为“信息处理者”的企业也有了法律上新的义务。
作者|吕长军中国传媒大学法律硕士校外导师
编辑|布鲁斯
2021年8月,我国《个人信息保护法》三读通过,标志着我国对个人信息的立法保护方面上升到了新的高度;但相对应的是,作为“信息处理者”[1]的企业也有了法律上新的义务,包括:制度完备义务、安全保障义务、个人信息分级分类义务、内部权限管理义务、信息质量与算法合规义务、信息主体权益保障义务、事前风险评估义务(例如事前个人信息保护影响评估)、合规审计义务、以及特殊处理者的义务等,因此需要依法建立起符合法律要求的个人信息及数据[2]合规体系。
一、企业建立个人信息及数据合规体系的价值
《个人信息保护法》中对企业提出了建立个人信息保护合规体系的要求,似乎企业负担加重,但实际上企业按照《个人信息保护法》的要求来进行合规操作有诸多的价值:
其一,合规价值。我国先后出台的《网络安全法》、《数据安全法》和《个人信息保护法》三部法律不仅构建起个人信息和数据保护的基本框架,而且均明确要求企业建立数据(或个人信息)合规制度,而《个人信息保护法》更是要求大型互联网平台、业务类型复杂的企业“应当按照国家规定建立健全个人信息合规制度体系”[3];同时,诸多境外数据保护法律法规如GDPR等也要求企业建立数据及个人信息保护合规体系。可以说,建立个人信息及数据合规体系已经成为现代企业的一项重要法律义务。
其二,品牌价值和市场竞争力。在强调个人数据与隐私保护的大环境下,企业在数据安全和隐私保护方面的有效努力,最终会得到合作方的认可,更为重要的是可以得到消费者的最后认同,这无疑将提升企业的品牌价值和市场竞争力。
其三,降低企业风险及减少损失。任何企业在个人信息及数据方面不合规的行为,均有可能产生行政调查、侵权诉讼、媒体曝光、甚至刑事案件等后果,将可能会为企业带来重大的经济和声誉损失,包括行政处罚、诉讼赔偿、刑事处罚、客户流失等。
其四,有助于应对行政监管或诉讼。企业的个人信息及数据合规体系的完备,可以在一定程度上证明企业已充分尽到数据及个人信息保护的义务,可以有效助力企业应对监管执法和诉讼抗辩。
二、《个人信息保护法》第51条下企业的合规义务
在《个人信息保护法》中,第51条集中阐述了个人信息处理者的主要合规义务,包括制度建设、信息分类、技术措施、人员管理和应急预案五个基本方面以及兜底的其他措施。
第51条规定:
个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
(一)制定内部管理制度和操作规程;
(二)对个人信息实行分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(五)制定并组织实施个人信息安全事件应急预案;
(六)法律、行政法规规定的其他措施。
1、制定公司内部管理制度和操作规程
《个人信息保护法》要求个人信息处理者(企业)内部应建立完善的个人信息保护制度以及操作规程。
1)健全内部管理制度
对企业而言,了解和梳理企业个人信息处理活动的目的、范围和方式,是进行信息处理管理的基础。在此基础上,需要整理、制定适应企业内部的个人信息相关制度,包括但不限于:(1)个人信息收集、传输及处理制度;(2)个人用户信息收集及处理告知制度;(3)个人信息安全保护制度(包括传输、使用及数据库安全等);(4)信息分级分类管理制度;(5)个人信息风险评估制度;(6)审计制度等。
除上述重要制度外,企业内部管理制度中还应有应急预案制度、个人信息出境管理制度等。(详见下文)
内部制度应具有合规性、可行性、完备性;也即既要符合法律法规要求,又要从企业自身实际情况出发,可操作,同时应注意全面覆盖相应各个业务条线,具有完备性。
2)制定个人信息收集、传输、存储及处理操作流程
流程与制度相辅相成。企业应注意“个人信息处理全流程管理”的重要性,实施从个人信息收集、传输、存储到处理、删除等各环节的衔接和涵盖全流程的管理,并在流程中应注意严格的权限管理。
3)设置网络安全负责人、个人信息保护负责人等专职人员
《网络安全法》要求网络运营者设置专门安全管理机构和安全管理负责人,《信息安全技术个人信息安全规范》规定了个人信息控制者应当设置个人信息保护负责人,而GDPR则要求设置数据保护官。
《个人信息保护法》没有硬性要求所有的企业均设立“个人信息保护负责人”,而是要求如果处理个人信息达到一定”数量”,则应设置个人信息保护负责人[4],但“数量”并未予以明确标准。当涉及的个人信息数据量较大时,企业应当考虑设定个人信息保护负责人,由其进行相关工作的统筹和管理,在有必要的情况下可以考虑成立相关部门,负责建立内部合规管理制度和相关措施乃至推行制度及措施的实施。
2、个人信息实行分级分类管理
《网络安全法》、《数据保护法》和《个人信息保护法》都提出要将数据进行分级分类管理。无论从合规或管理效率而言,企业都有必要对数据进行分级分类管理。
首先,梳理企业信息库存。搞清企业目前拥有哪些个人信息(数据)、承载个人信息的数据位于何处、如何流动以及与哪些部门相关,是在企业中创建个人信息保护合规框架的基础。
其次,明确所需信息,去除非必要信息。对个人信息的处理,应满足《个人信息法》第6条提出的“明确合理目的”以及“个人权益影响最小”两个原则。因此,企业应当明确其需要哪些类型的个人信息,通过清单等形式将所需信息的内容和目的进行陈列,同时,应在企业系统中去除非必要的信息,并严格要求各部门不再进行收集或储存。
再次,对需要处理的信息进行分级分类,以便进一步的管理,包括处理权限、流程等工作的区分。
其中,企业应对以下两类信息进行甄别并加以特别关注:
1)敏感个人信息。敏感个人信息包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。这类信息多与人身、财产安全相关,因此受到法律特别保护,相关的程序和保护措施要求较之一般个人信息要严格。
2)未成年人(未满十四周岁)个人信息。我国法律要求对该类信息的处理应依法取得其监护人的同意。
需要注意的是,企业收集的个人信息,不仅仅指收集的外部个人信息,也包括对内部员工的个人信息。虽然《个人信息保护法》提出因对内部员工“人力资源管理”从而可以进行各种个人信息的收集、处理,但绝不意味着可以忽略内部员工个人信息权益的保护。
3、个人信息安全保护措施
在网络环境下,数据安全是个人信息保护的基础,而保障数据安全是个人信息处理者的一项重要且基础的工作,同时也是一项法律义务。我国《网络安全法》要求网络运营者保障网络安全、维护网络数据的完整性、保密性和可用性[5];《数据安全法》强制性规定了数据处理者保障数据安全的法律义务[6],《个人信息保护法》则要求企业采用安全技术措施来保护其所处理的个人信息。
匿名化后的数据,不需要遵守有关个人信息保护的条款,但仍应遵守数据保护的法律规定。
4、个人信息处理权限及安全教育与培训
个人信息处理权限制度经过多年企业界的实践,被证明是一项较好的对个人信息及数据管理的机制,《个人信息保护法》将该机制直接列为企业的一项法律义务。该机制的要点在于:
1)设立内部分工和权限制度。将个人信息的收集、储存、使用等处理环节,以及风险监控、合规等工作进行明确的分工,并根据分工和信息分级分类情况,对不同员工设置对应级别的权限。
2)全员参与(而非重点人员参与)安全与权限培训。通过个人信息与数据的安全教育与培训,牢固树立数据安全意识,明确各自权限所在,防止人为造成数据泄露。
5、个人信息安全事件应急制度
合规工作虽能防患于未然,但并不能完全排除风险。随着技术进步和企业产品迭代,安全漏洞总难以避免,因此企业应当制定数据安全事件应急预案并定期演练,以备不时之需。我国《网络安全法》中已规定网络运营者应当制定网络安全事件应急预案[9],及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,及时启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
《个人信息保护法》再次强调企业应建立个人信息安全事件应急预案并定期进行演练,并将此作为企业的一项法律义务。
三、《个人信息保护法》下企业的其他合规义务
除第51条外,《个人信息保护法》还在其他条文中规定了企业的一些重要的合规义务,主要包括:
1、收集、处理个人信息的充分告知义务
《个人信息保护法》再次强调了个人信息收集与处理的“告知-同意”原则。对于需要收集个人信息的企业而言,应制定出明确的个人信息保护政策(《隐私政策》),真实、完整的向用户告知企业的基本情况、个人信息收集、使用目的、范围及场景、个人信息处理方式及规则、对外共享及披露情形、个人信息主体权利保障机制、投诉处理渠道等。
个人信息保护政策应公开发布且应送达个人信息主体,由用户在注册或首次运行产品时阅读并勾选同意后才可继续使用。如涉及个人信息会被用于用户画像和个性化展示的,则应在《隐私政策》中征得用户的同意,充分保障用户知情权;而在进行自动化决策前,应当就自动化决策的透明和公平性做好充分说明。
需要特别注意的是,《个人信息保护法》要求对于收集个人敏感信息的,应取得用户的单独同意[10],因此企业不能采取过去的概约性、打包式的同意,而应单独提示用户勾选同意方可。
2、信息主体权益保障义务(应提供个人信息查阅复制、修正、移转及删除服务)
《个人信息保护法》明确了在个人信息处理活动中个人的各项权利,包括知情权、决定权、限制权、拒绝权、查阅、复制权、可携权、更正、补充权、删除权。既然个人享有一系列个人信息权利,也意味着个人信息处理者负有配合个人权利行使的义务。企业需要根据用户个人的需求,灵活和准确地响应数据主体访问查询、更正、删除、移转等要求。
1)接受信息主体的要求,提供个人信息查阅、复制的途径及服务
长期以来,不少互联网平台将用户信息视为重要的财产性权益,而用户想了解平台到底掌握自己哪些信息却有时连查询的渠道、途径都没有。GDPR开了个人信息严格保护的先河,确认个人有查询权,即有权要求互联网公司(信息控制者)提供掌握本人信息的明细清单。
《个人信息保护法》也规定了企业应为用户提供个人信息查阅、复制的法律义务,因此企业也应制定相应的接受用户要求、核实身份、汇总信息、提供信息的制度和流程。
2)接受信息主体的要求,提供个人信息修正的途径及服务
《个人信息保护法》第十五条规定了信息主体对个人信息的修改权,企业应为个人信息处理者提供修正的途径和服务。相应的,企业应建立起修正沟通渠道、内部修正机制等。
3)接受信息主体的要求,提供移转的途径及服务
《个人信息保护法》第十五条规定了信息主体对个人信息的可携带权,即个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。该规定不仅有利于个人自由处理其个人信息,也有利于打破数据垄断和数据孤岛现象。而作为企业也应就此制定移转的内部操作流程。
4)接受信息主体的要求,提供便捷删除服务
《个人信息保护法》第十五条规定了“基于个人同意而进行的个人信息处理活动,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式”。
撤回同意,是个人信息主体处分自身权利的一种方式。企业应确定撤回方式、撤回渠道等响应机制,并应保证用户行使权力的便利性,符合“便捷原则”。
虽然法律未解释何为“便捷”,但按照通常的理解,“撤回”的难度不应大于“同意”的难度。
因此,企业可在企业主网页、APP登录入口等显著页面安置“撤回”的链接或选项,并提供明晰的操作指导。企业内部因数据的修改和删除有可能涉及多个部门,故应建立一系列的操作流程,并应研判其中的风险。
3、数据与算法的合规义务
1)数据质量的检查和审视,防止因数据质量引发歧视
算法以数据为基础,数据不准确,则算法结果、数据分析结论则基本不会准确,有可能会对相关数据主体带来负面评价,从而导致其合法权益受到影响。
《个人信息保护法》第8条规定:
“处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。”
《个人信息保护法》将保证个人信息质量作为企业的法定义务,从企业的角度说,则应建立检查和审视数据的相应制度和流程,以保障数据获取的准确度。
2)保证算法公平合理,防止不合理差别待遇
互联网时代“算法为王”。算法推荐是搜索引擎、社交软件、电子商务等几乎所有平台的标配。平台用代码、算法替代了传统的内容分发过程中编辑的角色,提高了服务效率的同时,也会导致例如大数据杀熟、劣质内容泛滥等一系列侵犯用户权利的现象。也正因为算法推荐下的社会问题层出不穷,国家开始通过立法手段进行干预,并在《个人信息保护法》下初步确立了算法问责制,这在我国还是首次。
《个人信息保护法》第二十四条规定,
个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正。
算法的透明性、公平及公正性本属于伦理范畴,《个人信息保护法》将它上升到了法律的高度,成为相关企业的法律义务。它要求个人信息处理者必须对所用算法进行检查和审视,保证自动化决策的透明度和结果的公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
3)自动化决策(算法),需遵循“明确合理目的”以及“个人权益影响最小”两个原则
《个人信息保护法》第六条规定,企业进行自动化决策,需遵循“明确合理目的”以及“个人权益影响最小”两个原则,而且在自动化决策对个人权益造成重大影响时,应“向个人提供便捷的拒绝方式”,也即赋予个人主体拒绝权。这对于长期以来通过个性化推荐、通过用户画像为用户提供各种信息服务的企业来说,产生较强的影响和制约。
4、事前风险评估义务[11]
根据《个人信息保护法》的规定,在下列情况中,企业应当进行事前风险评估,且应将风险评估报告和处理情况记录至少保存三年:
1)处理敏感个人信息;
2)利用个人信息进行自动化决策;
3)委托处理个人信息、向他人提供个人信息、公开个人信息;
4)向境外提供个人信息;
5)其他对个人有重大影响的个人信息处理活动。
我国《数据安全法》中仅规定“重要数据”的处理者应当对其数据活动定期开展风险评估,并向有关主管部门报送风险评估报告[12];《个人信息保护法》则明确在涉及“敏感个人信息”、“自动化决策”、“委托处理”、“向第三方提供”、“对外公开”、“跨境提供”等情形下赋予所有的个人信息处理者以“事前评估”的义务。
因此,风险评估将成为作为信息处理者的企业的一项经常性工作,应将其制度化、常态化,在保证评估质量的情况下尽量实现高效、快捷。
笔者认为,风险评估报告应当包括本组织涉及的个人信息种类、数量,收集、存储、使用、委托、提供等的情况,面临的安全风险及其应对措施等。
5、合规审计义务
《个人信息保护法》要求定期对企业处理个人信息遵守法律、行政法规的情况进行合规审计[13]。但由谁审计、具体审计内容、审计标准尚未有明确规定,企业应未雨绸缪,参照《个人信息保护法》、《网络安全法》、《数据保护法》三部基本法律中相对具体的规定,制定出应对审计的方案。笔者认为,主要内容应包括:
1)审查内部管理制度和个人信息备忘录的完备性和合规性;
2)定期审计个人信息处理和管理工作;
3)审计履行个人信息查阅复制、修正、移转及删除义务情况(信息主体权益保障情况);
4)审核风险评估报告及记录情况;
5)审核个人信息相关的合同及其他法律文书;
6)根据个人信息及数据相关法律法规的更新,及时调整内部制度的情况。
6、委托外部进行个人信息处理的合规义务
《个人信息保护法》并非不允许进行个人信息的外部委托处理,但是应区分“共同处理”与“委托处理”,其中,共同处理应取得信息主体的充分授权。
在数字经济发展迅猛的今天,数据外部委托处理已经极为常见,比如云服务,SAAS服务等,均需要数据的外部存储与处理。委托处理虽不必取得信息主体的授权,但是,《个人信息保护法》生效后,在对委托第三方(受托人)处理的情况下,委托处理个人信息之前,应事先进行个人信息保护影响评估,并对处理情况进行记录。
双方应签订书面委托合同,其中应清楚载明委托事项、受托人权限、期间等事项,尤其是委托受托人进行信息处理不应超过个人权利主体的授权权限或相关法律授予的权限。
7、跨境数据传输的合规义务
《个人信息保护法》并非禁止个人信息跨境传输,而是规定了实现数据跨境传输的必要条件以及制度性框架,并引入了国际上一些较为成熟的做法,如标准合同机制等。但是,在操作层面还有待于进一步的制度以及有关部门的指导性意见去进行细化,包括标准合同模板、国家网信部门的评估流程及标准、认证部门及认证标准、不对等国家的清单等[14]。因此,在跨境数据流动场景中,企业应严格按照《个人信息保护法》、《网络安全法》与《数据安全法》的规定,慎重处理跨境数据传输的问题。
对于企业(尤其是互联网企业)而言,《个人信息保护法》要求的企业合规内容多而杂,可能涉及企业多个部门,因此企业应根据自身实际情况有一个完整的应对思路和方案,所有部门都应当做好调整和配合的准备。
我国的《个人信息保护法》吸收了国外立法的优秀做法以及过往国内实践宝贵经验,可谓是“集大成者”,真正把我国对个人信息保护提升到了新的水平;但“徒法不足以自行”,个人信息保护法还有待于包括企业在内的各方一起努力,才能真正起到保护公民个人信息、维护公民网络空间权益以及促进信息合理利用的作用。
相关链接:
全文|《中华人民共和国个人信息保护法》
每周速览|个人信息保护法草案三审
注释:
[1]个人信息处理者不仅仅包括企业,也包括政府部门、事业单位等;本文主要讨论企业的合规义务。
[2]数据是信息的载体,个人信息在网络环境下通常以数据形式存在,故在网络时代个人信息保护和数据保护不可分离。
[3]参见《个人信息保护法》第58条。
[4]参见《个人信息保护法》第五十二条:处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。
[5]参见《网络安全法》第10条。
[6]参见《数据安全法》第25条。
[9]参见《网络安全法》第 25条。
[10]参见《个人信息保护法》第 29条。
[11]参见《个人信息保护法》第 55条。
[12]参见《数据安全法》第28条.
[13]《个人信息保护法》第54条规定:个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
[14]参见《个人信息保护法》第38条、第40条、第43条。
新媒体采编相关法律法规
在国内新媒体发展的过程中,政策法规的出台以及管理体系的调整可以说是在匆忙之中启动的。特别是互联网的跨媒体特征,给原来按照行业界限划分的管理体制带来了挑战。新媒体面临的法律环境是比较复杂的,仅仅针对互联网的相关法律法规就有数十个,其中有宪法与法律,有司法解释,有行政法规、部门规章和部门通知,还有地方法规和行业规范。而面对新媒体不断涌现的新应用,已有政策法规还将继续调整、修改,新的法规还会不断颁布。作为新媒体从业人员,需要对这些政策法规有面上的了解,树立相应的法律意识,这也是避免触碰管理和法规红线,保障媒体正常运行的基本要求。
涉及网络管理的法律法规虽然比较繁多,但实践经验表明,与日常编务工作密切相关的主要集中在与信息内容安全、版权保护以及名誉权保护等几个方面,主要条款摘录如下:
《互联网信息服务管理办法》
本办法主要是对网络信息服务提出基本规范,其中必须重点掌握:
第十五条互联网信息服务提供者不得制作、复制、发布、传播含有下列内容的信息:
(一)反对宪法所确定的基本原则的;
(二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
(三)损害国家荣誉和利益的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)破坏国家宗教政策,宣扬邪教和封建迷信的;
(六)散布谣言,扰乱社会秩序,破坏社会稳定的;
(七)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
(八)侮辱或者诽谤他人,侵害他人合法权益的;
(九)含有法律、行政法规禁止的其他内容的。
第十六条互联网信息服务提供者发现其网站传输的信息明显属于本办法第十五条所列内容之一的,应当立即停止传输,保存有关记录,并向国家有关机关报告。
《互联网电子公告服务管理规定》
本规定是规范BBS论坛服务的,重点把握第九条,即违禁信息范围界定,内容与《互联网信息服务管理办法》第十五条完全一致。
第五条互联网新闻信息服务单位分为以下三类:
(一)新闻单位设立的登载超出本单位已刊登播发的新闻信息、提供时政类电子公告服务、向公众发送时政类通讯信息的互联网新闻信息服务单位;
(二)非新闻单位设立的转载新闻信息、提供时政类电子公告服务、向公众发送时政类通讯信息的互联网新闻信息服务单位;
(三)新闻单位设立的登载本单位已刊登播发的新闻信息的互联网新闻信息服务单位。根据《国务院对确需保留的行政审批项目设定行政许可的决定》和有关行政法规,设立前款第(一)项、第(二)项规定的互联网新闻信息服务单位,应当经国务院新闻办公室审批。设立本条第一款第(三)项规定的互联网新闻信息服务单位,应当向国务院新闻办公室或者省、自治区、直辖市人民政府新闻办公室备案。
《信息网络传播权保护条例》
本条例是网络版权保护诉讼主要引用的依据,其中需要重点掌握第五条和第六条,主要是对免于版权责任的几种情况的界定。对该条例第十四条到第十七条的内容也需要准确理解,这几条对于网友自主上传内容涉及的侵权行为及其处置程序作了清晰的界定,与第五条和第六条一样,是网站遭遇版权诉讼时需要经常引用到的条款。
《民法通则》司法解释和《中华人民共和国侵权责任法》
两个法规中,前者是对民事权益保护的一般性规定,后者在第三十六条专门针对网络侵权行为作了界定,因此都需要作详细的了解和掌握。
在行业规范中,则需要掌握《网络色情淫秽信息的13条标准》,用于鉴别低俗信息。
目前用于调节网络版权纠纷的主要依据是《信息网络传播权保护条例》,而在该条例中又主要集中在第五条和第六条的第二、七、八款,以及十四至十七条,其内容如下:
第五条未经权利人许可,任何组织或者个人不得进行下列行为:
(一)故意删除或者改变通过信息网络向公众提供的作品、表演、录音录像制品的权利管理电子信息,但由于技术上的原因无法避免删除或者改变的除外;
(二)通过信息网络向公众提供明知或者应知未经权利人许可被删除或者改变权利管理电子信息的作品、表演、录音录像制品。
第六条通过信息网络提供他人作品,属于下列情形的,可以不经著作权人许可,不向
(二)为报道时事新闻,在向公众提供的作品中不可避免地再现或者引用已经发表的作品;
(七)向公众提供在信息网络上已经发表的关于政治、经济问题的时事性文章;
(八)向公众提供在公众集会上发表的讲话。
这两条主要是针对通过编辑发布到新闻页面上的内容,因为经过编辑发布以及推荐以后,所转载信息的使用性质就发生了改变,成为网站主动实施的一种行为。因此编辑在转载有关内容的时候,应当按照法规的要求进行鉴别和选用。
第十四条对提供信息存储空间或者提供搜索、链接服务的网络服务提供者,权利人认为其服务所涉及的作品、表演、录音录像制品,侵犯自己的信息网络传播权或者被删除、改变了自己的权利管理电子信息的,可以向该网络服务提供者提交书面通知,要求网络服务提供者删除该作品、表演、录音录像制品,或者断开与该作品、表演、录音录像制品的链接。通知书应当包含下列内容:
(一)权利人的姓名(名称)、联系方式和地址;
(二)要求删除或者断开链接的侵权作品、表演、录音录像制品的名称和网络地址;
(三)构成侵权的初步证明材料。
权利人应当对通知书的真实性负责。
第十五条网络服务提供者接到权利人的通知书后,应当立即删除涉嫌侵权的作品、表演、录音录像制品,或者断开与涉嫌侵权的作品、表演、录音录像制品的链接,并同时将通知书转送提供作品、表演、录音录像制品的服务对象;服务对象网络地址不明、无法转送的,应当将通知书的内容同时在信息网络上公告。
第十六条服务对象接到网络服务提供者转送的通知书后,认为其提供的作品、表演、录音录像制品未侵犯他人权利的,可以向网络服务提供者提交书面说明,要求恢复被删除的作品、表演、录音录像制品,或者恢复与被断开的作品、表演、录音录像制品的链接。书面
说明应当包含下列内容:
(一)服务对象的姓名(名称)、联系方式和地址;
(二)要求恢复的作品、表演、录音录像制品的名称和网络地址;
(三)不构成侵权的初步证明材料。
服务对象应当对书面说明的真实性负责。
第十七条网络服务提供者接到服务对象的书面说明后,应当立即恢复被删除的作品、表演、录音录像制品,或者可以恢复与被断开的作品、表演、录音录像制品的链接,同时将服务对象的书面说明转送权利人。权利人不得再通知网络服务提供者删除该作品、表演、录音录像制品,或者断开与该作品、表演、录音录像制品的链接
以上四条,针对的是网民自主上传的内容。所谓“提供信息存储空间服务”,即指提供论坛、博客、空间、相册等服务,其要点在于相关内容由网民自主上传,没有任何编辑行为。对于这种信息,网站无法对其内容的真实性以及版权信息进行鉴别,因此该条例设置了一个通知――删除――反通知――恢复的程序,即权利人发现侵权,可以通知网站删除,网站删除之后通知原上传者,如原上传者能够提供不侵权的证据,网站可以恢复并通知权利申诉人,之后权利申诉人不得再就同一信息提出删除要求。这样一种程序设置,免除了网站大量的风险,在这个过程之中,只要网站按照程序要求及时进行处理,便不再承担其他法律责任。
近年来涉及网络侵权的案例
1. 2004年,正东唱片诉世纪悦博案。正东唱片公司诉世纪悦博公司在其经营的网站上向公众提供了原告拥有版权的35首歌曲的下载服务。法庭终审判决认定,被告所提供的虽是链接服务,但该链接服务是人工选择、编排、整理的结果,而非计算机的自动链接服务,故应承担“帮助侵权”的责任。
2. 2005年,步升诉百度案,国内首例因利用搜索引擎免费下载MP3被判侵权的案例。上海步升音乐文化传播有限公司称被告百度公司未经其许可,通过互联网提供下载服务,向公众传播其享有录音制作者权的46首歌曲,严重侵犯了其权益。北京市海淀区人民法院一审判决百度立即停止在其网站上提供34首侵权歌曲的访问链接并赔偿原告6.8万元。
3. 2006年,步升诉飞行网,内地首例P2P技术侵权案。北京市第二中级人民法院就上海步升起诉北京飞行网(Kuro)音乐软件开发有限公司一案公布判决结果:飞行网和其服务维护商舶盛舫安信息技术公司连带赔偿步升公司20万元及诉讼合理支出1万元。
4. 2007年,全球四大唱片公司状告雅虎中国案。华纳、环球、百代、索尼四大唱片公司旗下的11家唱片公司诉称,雅虎中文网站向公众提供涉案的47张专辑共计233首歌曲的在线试听、免费下载及相关链接服务,且对歌曲信息进行搜集、整理、分类、编排,侵犯了原告对涉案歌曲所享有的录音制作者权中的复制权、信息网络传播权以及相应的获得报酬
权。北京市第二中级人民法院一审判被告删除有关搜索链接,并赔偿原告经济损失21万余元。
网络侵害名誉侵权的判定依据主要是民法通则和《中华人民共和国侵权责任法》。涉案信息如果是属于编辑主动发布的内容,则网站是侵害的直接行为人,承担全部责任;如果是网络用户发布的内容,则要按照侵权责任法第三十六条规定,与网络用户承担连带责任。
民法通则司法解释中相关条规如下:
第一百条公民享有肖像权,未经本人同意,不得以营利为目的使用公民的肖像。第一百零一条公民、法人享有名誉权,公民的人格尊严受法律保护,禁止用侮辱、诽谤等方式损害公民、法人的名誉。
第一百二十条公民的姓名权、肖像权、名誉权、荣誉权受到侵害的,有权要求停止侵害,恢复名誉,消除影响,赔礼道歉,并可以要求赔偿损失。
法人的名称权、名誉权、荣誉权受到侵害的,适用前款规定。
《中华人民共和国侵权责任法》关于民事权益的范围,是如此界定的:
第二条侵害民事权益,应当依照本法承担侵权责任。
本法所称民事权益,包括生命权、健康权、姓名权、名誉权、荣誉权、肖像权、隐私权、婚姻自主权、监护权、所有权、用益物权、担保物权、著作权、专利权、商标专用权、发现权、股权、继承权等人身、财产权益。
对于网络侵权责任的认定,《中华人民共和国侵权责任法》是如此表述的:
第三十六条:网络用户、网络服务提供者利用网络侵害他人民事权益的,应当承担侵权责任。
网络用户利用网络服务实施侵权行为的,被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。
网络服务提供者知道网络用户利用其网络服务侵害他人民事权益,未采取必要措施的,与该网络用户承担连带责任。
评论