文/游云庭   上海大邦律师事务所  高级合伙人

   汪  婷   上海大邦律师事务所  律师助理                 

    近日, 中国央视曝光了苹果公司iPhone手机未经许可记录用户位置，侵犯用户隐私权事件，虽然此事在西方影响不大，但在中国，很多媒体报道了此事。随着互联网和移动互联网的快速发展，用户个人信息流动日益频繁，数据流动更是突破了国界限制，个人信息跨境传播更是顺畅。本文将以“苹果隐私门”为切入点，分析我国法律对企业将在中国取得的用户数据传输到境外的规定及其法律风险。

一、 收集、使用用户数据的要点

    目前我国涉及用户数据的相关法律比较分散，主要的法律法规如全国人民代表大会常委会《关于加强网络信息保护的决定》关于“任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息，不得出售或者非法向他人提供公民个人电子信息”的规定，和《消费者权益保护法》关于“经营者收集、使用个人信息，不得违反法律、法规”的规定。

    其他的相关的法律法规，如《妇女权益保障法》规定的有关妇女隐私权等人格权受法律保护；《未成年人保护法》规定的禁止任何组织或者个人披露未成年人个人隐私；《身份证法》第十九条有关泄露公民个人信息依法承担民事、刑事责任的规定等。因此，企业收集、使用用户数据，须知悉并了解相关法律、法规的规定。

    在知悉用户数据保护的相关法律法规基础上，《关于加强网络信息保护的决定》也规定：未经用户同意，企业不得收集、使用用户的个人信息。也就是说，企业收集、使用用户的数据，必须得到用户的同意，包括默许同意或明示同意。收集用户的一般信息信息时，可认为用户默许同意，如果用户明确反对，要停止收集或删除个人信息；收集个人敏感信息时，要得到用户的明示同意。否则，一旦被收集或者使用的数据涉及用户的个人隐私，极有可能造成对用户的个人隐私权的侵犯，而企业则需要依法承担相应的法律责任。

    用户的移动轨迹不仅记录着常去的地点名称，而且还包括在这个地点停留的时刻及次数等信息，收集这些位置数据可能会涉及到个人敏感信息，收集个人敏感信息时，须得到用户的明示同意。例如，虽然苹果公司与用户的《iOS软件许可协议》第4（b）同意Apple及其伙伴、被许可人和第三方开放商传播、收集、保持、处理和使用阁下的位置数据和查询，但当用户“关闭记录”，应当视为用户“反对”收集其用户记录，那么苹果公司不可再依据其《格式与条件》第4（b）的规定收集用户的位置信息，其应当立即停止收集用户位置信息，更不得将其收集的用户数据传输到境外。

    如未经用户的明示同意，或者未按照法律法规的明确规定，或者未经主管同意，继续收集并将其收集的用户数据传输到境外的，则可能涉嫌违反国家有关保守公民个人信息的规定，企业可能构成向他人“非法提供”用户的个人信息。

二、 处理用户数据的约束

    在收集、使用用户数据前，企业须公开其收集、使用规则，不采取隐蔽手段或以间接方式收集用户的数据。因为根据《消费者权益保护法》规定：经营者收集、使用个人信息，应当公开其收集、使用规则。

    因此，企业在收集用户的数据时，应当以明确、易懂和适宜的方式如实向用户告知处理个人数据的目的、收集和使用的方式、范围、查询、更正信息的渠道、用户数据保护措施等信息。未经用户同意的，不能“违背收集阶段告知的转移目的或超出告知的转移范围转移个人信息”，不得采用隐蔽手段或以间接方式收集个人数据，更不得将其收集的用户数据转移至境外。

    根据规定，在收集个人数据时，企业仅能收集与其提供服务必需的个人信息，不得收集其提供服务必需以外的用户个人信息，也不能将收集的用户数据用于提供服务之外的目的。换句话说，企业必须只处理与其提供服务必需的最少信息，不得收集其他与其提供服务之外的用户个人信息数据。

三、 安全保障措施

    收集、使用用户数据的，企业必须对收集到的用户数据采取安全保障措施，不得泄露、出售或者非法向他人提供。这个标准是什么，我们的看法是，企业应当以保护企业商业秘密的标准来保护其收集到的用户数据，具体包括内外两部分，对外，数据的存储、传输都应当采取技术措施加密，防止被窃取；对内，应当设置查询数据的权限，经公司高层管理人员审批后才能查看。如果企业发生或者可能泄露、毁损、丢失的，应当立即采取补救措施。

四、 可能面临的法律风险

    如擅自将境内用户数据传输到境外的，那企业可能会承担以下责任：

    （1） 行政责任

    根据《关于加强网络信息保护的决定》规定，可能由电信管理机构依据职权依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚，记入社会信用档案并予以公布；构成违反治安管理行为的，依法给予治安管理处罚。

    （2） 民事责任

    在民事上，根据《民法通则》、《侵权责任法》等规定，可能承担停止侵害、赔偿损失、赔礼道歉、消除影响、恢复名誉等。虽然该条规定为直接规定保护用户数据转移，但如果因用户数据转移过程遭到丢失、泄漏等，则可以利用这条为用户数据的间接保护提供法律依据，也为个人信息侵权的归责和赔偿的确定提供了参考借鉴。

    （3） 刑事责任

   构成犯罪的，依法追究刑事责任。根据《刑法》的规定，可能涉嫌到出售、非法提供公民个人信息罪、非法获取公民个人信息罪或者非法侵入计算机信息系统罪等罪名。

    一般来讲，违反了个别用户的数据信息保密义务，不构成犯罪。但如果出售公民个人信息获利较大，出售或者非法提供多人信息，多次出售或者非法提供公民个人信息，以及公民个人信息被非法提供、出售给他人后，给公民造成了经济上的损失，或者严重影响到公民个人的正常生活，或者被用于进行违法犯罪活动等严重情形，就可能需要承担刑事责任。