张宗保,伟然律师团队成员之一,深圳市企业合规与争议解决律师,深圳市法律文化研究会会员、百度百科认证律师,曾被深圳市罗湖区司法局、深圳市律师协会罗湖区工作委员会评选为2018-2019年度优秀青年律师。毕业于深圳大学法学院,从业以来致力于为企业提供商事法律顾问与争议解决服务,多次接受南方都市报等主流媒体采访并对社会事件发表法律意见。
酒店预订/运营APP收集个人信息的法律限制
现行法律并不禁止APP取得用户的信息包括隐私信息。重点在于其取得需要满足“提供者应当向用户明示并取得同意”的法律条件。
具体而言,酒店预订APP可以通过用户勾选的方式履行完成此法定义务。酒店预订APP应当制定用户协议,并在其中设定关于个人信息的收集、使用、处理三方面的条款规则。
一、经营者义务规则解读
1、明示义务与取得同意的义务
现行法律并不禁止APP取得用户的信息,这里的信息包括隐私信息。
重点在于其取得需要满足一定的法律条件。
这里的法律条件指的是“提供者应当向用户明示并取得同意”。
具体而言,酒店预订APP可以通过用户勾选的方式履行完成此法定义务。
2017.06.01《网络安全法》第二十二条第三款
网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
2、信息存储地的限制
存储地的限制的法律义务的负担主体是“关键信息基础设施的运营者”。
是否满足此主体特性需要在个案中予以认定。
换言之,并非所有APP均禁止跨境取得及存储。
境内酒店自不待言,如果运营方是境外酒店,则依照我国法律,则应当在我国境内建立存储中心对运营数据进行存储。
2017.06.01《网络安全法》第三十七条
关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
3、合法、正当、必要原则
“合法”的判定,可以以“法无禁止即可为”为规则。
“正当”的判定,可以以上文的《网络安全法》第二十二条第三款为规则。
“必要”的判定,则需要考量APP本身的功能来处理。
对于酒店而言,所谓“必要”之限制,应当是入住所必需的基本信息。
值得一提的是,未来随着智能化酒店的建设,关于入住者的入住习惯等个性化信息,在征得用户同意的情况下,酒店可以建立个人数据画像进行保存。
2017.06.01《网络安全法》第四十一条第一款
网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
4、收集、使用规则的公示义务
公开方式,既可以是网站直接页面公示方式,也可以是用户协议中的公示。
这里的公示内容,是“收集、使用规则”。
2017.06.01《网络安全法》第四十一条第一款
网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
5、收集、使用信息的目的、方式和范围的明示义务
“明示收集、使用信息的目的、方式和范围”,可以通过用户协议中的明示。
“公开收集、使用规则”,则可以通过官网子页面公示的方式进行。
2017.06.01《网络安全法》第四十一条第一款
网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
6、先同意后收集原则
这里的所谓“同意”,指的是对“收集、使用信息的目的、方式和范围”的同意。
这里的所谓收集,包括信息收集范围、信息收集目的、信息收集方式。
2017.06.01《网络安全法》第四十一条第一款
网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
7、按约收集、使用以及按约处理
所谓“约定”,指的是用户协议。
酒店预订APP应当制定用户协议,并在其中设定关于个人信息的收集、使用、处理三方面的条款规则。
上述三类规则应当具体并置于我国法律规则限度之内。
2017.06.01《网络安全法》第四十一条第二款
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
8、禁止泄露、篡改、损毁
泄露、篡改、毁损都是主动行为。
法律通过设定行为负面清单来设定规则。
此前我国曾不时发生酒店员工卖出住户信息的行为。
对于有关出售行为,将产生刑事法律责任。
2017.06.01《网络安全法》第四十二条第一款
网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
9、信息安全保障义务
酒店运营方对住客信息的保障的方式是采取技术措施和其他必要措施。
遇到行政监管调查时,酒店运营方需要向监管部门举证证明其对确保其收集的个人信息安全采取了技术措施和其他必要措施。
2017.06.01《网络安全法》第四十二条第二款
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
10、补救义务与报告义务
如果发生黑客攻击酒店入住信息数据库的情况,则不补救、不及时补救、不报告、不及时报告都会产生行政法律责任及可能性的民事法律责任。
2017.06.01《网络安全法》第四十二条第二款
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
11、禁止出售
部分酒店员工和一些私家侦探存在灰色产业链合作,这是触犯刑法的。
出售行为会触发刑事法律责任风险。
2017.06.01《网络安全法》第四十四条
任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
二、法律责任概览
1、 行政法律责任
2017.06.01《网络安全法》第六十四条
网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。
2、刑事法律责任
2017.11.04《刑法》
第二百五十三条之一 【侵犯公民个人信息罪】违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
3、民事法律责任
2021.01.01《民法典》
第一千一百六十七条 侵权行为危及他人人身、财产安全的,被侵权人有权请求侵权人承担停止侵害、排除妨碍、消除危险等侵权责任。
广东伟然律师事务所,是由中国著名旅游法律专家闵令波大律师创立的中国首家以文化和旅游法律专业为核心的综合性律师事务所。伟然律师为文旅企业提供全方位法律服务的同时,还为文旅从业人员及其他企业和社会人士提供公司、劳动、刑事、房地产和婚姻家庭等法律服务。伟然律师团队经长期的钻研与大量的法律实践,专业水平和敬业精神均获得了各界的广泛好评。目前,伟然律师已担任行政机关、行业协会和各类企业等数百家单位的常年法律顾问。
联系方式——深圳总所:0755-25469677;
广州分所:020-83520960
