中文

个人信息保护的主要合规议题

2023-12-12

数据合规个人信息保护的主要合规议题

作者马清泉 ,王译萱

作者：马清泉 ,王译萱

前言

《个人信息保护法》自2021年11月1日施行以来，迄今已有两年多时间。回顾过去两年，我们的生活也不断向数字空间迁移，实践中各领域、各行业、各省市均在积极探索数据开发利用之道。

但由于数据是数字经济时代的特殊且复杂的客体，蕴含着复杂的利益主张，以至于在流通和利用过程中，各方之间的权益形成了巨大的张力。对于个人信息，至少蕴含着两种利益，一是数据处理者对数据享有的财产性权益，二是个人信息主体的个人信息人格权益。

尽管我国针对个人信息保护的细则渐次落地，法网越织越密，但生活中依旧出现个人不断被动让渡信息。由于企业或自然人不识“个人信息”真面目，在数据流通和利用过程中，随意收集、违法获取、过度使用、非法买卖个人信息等乱象频发，引发了广泛关注。

主要内容

一、个人信息的概念

二、个人信息的边界

三、个人信息的判断依据

四、个人信息处理者的合规关键要素

五、关于违法处理个人信息涉嫌犯罪的问题

六、结语

个人信息的概念

根据《个人信息保护法》第4条规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

根据《网络安全法》第76条规定，个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

根据《民法典》第1034条规定，个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。

据此可知，由于立法目的不同，所以立法条文内容设置侧重点不同，表述亦有不同。《个人信息保护法》关注处理活动对个人信息造成的影响，意在保护个人信息客体的权益；而《网络安全法》和《民法典》更加关注信息对于自然人身份识别、及其活动情况的反映，意在保护个人信息主体基本的人身和财产安全。

虽然立法目的和条文表述有所不同，但对于个人信息涵盖的内容而言，并没有本质的差别。

个人信息的边界

在2020年3月6日发布，10月1日实施的《信息安全技术个人信息安全规范》（GB/T35273-2020）作为网络安全法配套的规范性文件，比较完整地规定了个人信息保护领域的术语，界定了个人信息的内涵和外延以及个人信息处理原则。在现有法律法规的规定较为原则的情况下，弥补了实践中的落地空白，为企业合规提供了规范性指引。

后期的《互联网个人信息安全保护指南》《App违法违规收集使用个人信息自评估指南》《移动互联网应用程序（App）安全认证实施规则》等文件，都在文件引用部分提及《个人信息安全规范》。

《个人信息安全规范》规定，个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。对于个人信息的范围和类型，进一步提供了可参考的附录，各方主体在个人信息保护实践中得到了充分应用。

对于个人敏感信息，一旦泄露、非法提供或者滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或者歧视性待遇等不良影响，包括身份证号码、银行账号、行踪轨迹、住宿信息、性取向、14岁以下儿童的个人信息等，《个人信息安全规范》对此亦提供了可参考的附录。

个人基本资料	个人姓名、生日、性别、民族、国籍、家庭关系、住址、个人电话号码、电子邮件地址等
个人身份信息	身份证、军官证、护照、驾驶证、工作证、出入证、社保卡、居住证等
个人生物识别信息	个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等
网络身份标识信息	个人信息主体账号、IP地址、个人数字证书等
个人健康生理信息	个人因生病医治等产生的相关记录，如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等，以及与个人身体健康状况相关的信息，如体重、身高、肺活量等
个人教育工作信息	个人职业、职位、工作单位、学历、学位、教育经历、工作经历、培训记录、成绩单等
个人财产信息	银行账户、鉴别信息（口令）、存款信息（包括资金数量、支付收款记录等）、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等，以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息
个人通信信息	通信记录和内容、短信、彩信、电子邮件，以及描述个人通信的数据（通常称为元数据）等
联系人信息	通讯录、好友列表、群列表、电子邮件地址列表等
个人上网记录	指通过日志储存的个人信息主体操作记录，包括网站浏览记录、软件使用记录、点击记录、收藏列表等
个人常用设备信息	指包括硬件序列号、设备MAC地址、软件列表、唯一设备识别码（如IMEI/Android ID/IDFA Open UDID/GUID/SIM卡 IMSI 信息等）等在内的描述个人常用设备基本情况的信息
个人位置信息	包括行踪轨迹、精准定位信息、住宿信息、经纬度等
其他信息	婚史、宗教信仰、性取向、未公开的违法犯罪记录等

资料来源：《信息安全技术个人信息安全规范》，以上划线字体为个人敏感信息的举例内容。

个人信息的判断依据

《个人信息安全规范》提供的参考目录，示例繁多且无法全部覆盖“个人信息”的所有情形，但是根据个人信息的定义不难看出，我国法律规定采用“识别+关联”的结构，而判断某项信息是否属于个人信息，除了参考规范示例，亦可考虑“识别”和“关联”两个判断路径。

其中，“识别”，是从信息到个人，从信息本身的特殊性识别出特定自然人，个人信息应有助于识别出特定个人；“关联”，是从个人到信息，如已知特定自然人，则由该特定自然人在其活动中产生的信息（个人位置信息、个人通话记录、个人浏览记录等）即为个人信息。

需要格外注意的是“已知特定自然人”是判断某条信息是否具有“关联性”的前提，如果没有其他信息结合，无法识别到具体自然人的情况下，不能理所当然视某个可能相关的信息直接为个人信息。

举例而言，IP地址本身无法识别到具体个人，不符合识别性的判定标准，但在具体环境中结合其他信息，就有可能符合关联性的判定标准成为个人信息。

在陈某与北京百度网讯科技有限公司个人信息保护纠纷案（2021鄂11民终3136号）中，陈某在登录个人账号访问百度App及百度贴吧App时，百度公司作为信息处理方，相应服务器均已收集陈某的电话号码、唯一设备标识符、浏览记录、使用时间、时长等，而电话号码为实名认证号码，与IP地址组合后能够识别到陈某在该区域。此时，该区域位置不单纯表达为设备链接网络时的IP地址，也是陈某在某一时刻所处的城市地理位置，可以认定为行踪信息。

个人信息处理者的合规关键要素

随着数据，尤其是个人信息数据在商业经验中的比重不断攀升，有关违背告知同意原则、违背最小必要原则、违规提供个人信息、侵犯个人信息主体权益、违背个人信息安全保障义务等不合规问题层出不穷。

个人信息处理者常常将“技术”放在实现商业目的的关键位置，而忽略了“法律”这条合规红线，为了让技术安全落地，企业有必要了解我国法律赋予个人信息主体的权益，合规工作需要渗透到个人信息处理者日常运营的各个层面，不同的个人信息处理者承担的个人信息保护义务不尽相同，而这往往就是合规的死穴、合规的关键点。

1.撤回同意权

自然人权利：基于个人同意处理个人信息的，自然人有权撤回同意，且不因撤回同意而影响前期基于个人同意已经进行的个人信息处理活动的效力。

处理者义务：不可否认的是“告知-同意”是我国现阶段个人信息处理最重要的合法性基础。在产品设计时，处理者应当提供有效的、便捷的撤回同意方式。

2.知情权、决定权

自然人权利：对其个人信息的处理享有知情权和决定权，限制或拒绝他人的处理行为。

处理者义务：落实告知义务，是获取有效合法性的基础。处理者应向个人告知必要信息，明示处理的目的、方式和范围，征得个人同意。《个人信息保护法》针对不同情形提出了不同的告知要求。

其中，对于“个人敏感信息”的处理情形，提出了更为严格的要求：

处理者的名称或者姓名和联系方式；
处理目的、处理方式、信息种类、保存期限；
个人行使本法规定权利的方式和程序；
处理的必要性以及对个人权益的影响；
处理不满十四岁未成年人个人信息的，需置顶专门的处理规则；
法律、行政法规规定应当告知的其他事项。

3.查阅权、复制权

自然人权利：向处理者提出查阅、复制其个人信息的要求。

处理者义务：提供查询个人信息以及获取个人信息副本的路径。当然，在有法律、行政法规规定应当保密或者不需要告知的情形的，可以不提供告知、查阅或者复制的服务；在紧急情况下，为了保护自然人的生命健康和财产安全无法及时提供相关服务的，处理者应当在紧急情况消除后及时提供。

4.转移权

自然人权利：将个人信息转移至其指定的个人信息处理者。

处理者义务：在符合国家网信部门规定条件的条件下，向个人提供将个人信息转移至其指定的个人信息处理者的途径。

5.补充、更正权

自然人权利：要求处理者对不准确或者不完整的个人信息，进行更正或补充。

处理者义务：在核实后，及时更正或补充。

6.删除权

自然人权利：要求处理者删除个人信息。

处理者义务：主动删除个人信息，不得在个人主张删除权时，设置不必要或者不合理的条件。

《个人信息保护法》第47条明确规定了处理者应当主动删除个人信息的情形：

处理目的已实现、无法实现或者为实现处理目的不再必要；
处理者停止提供产品或者服务，或者保存期限已届满；
个人撤回同意；
处理者违法违规或违约处理个人信息；
法律、行政法规规定的其他情形。

7.要求解释说明权

自然人权利：有权要求个人信息处理者对其个人信息处理规则进行解释说明。

处理者义务：在规定时间内响应个人的要求，及时对个人信息处理规则进行明确的解释说明。

8.拒绝自动化决策权

自然人权利：拒绝处理者通过自动化决策方式向个人进行信息推送、商业营销；拒绝处理者仅通过自动化决策的方式作出对个人权益有重大影响的决定。

处理者义务：应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇；应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式；应个人要求对通过自动化决策方式作出对个人权益有重大影响的决定进行说明；停止仅通过自动化决策的方式作出决定。

9.死者个人信息保护权

自然人权利：死者近亲属可以对死者的个人信息行使查阅、复制、更正、删除等权利。

处理者义务：应当积极协助死者近亲属行使相关权利，除非死者在生前另有安排。

关于违法处理个人信息涉嫌犯罪的问题

对于违反规定处理个人信息，或者未履行个人信息保护义务的行为，《个人信息保护法》从行政责任、民事责任及刑事责任三方面对单位和直接负责的主管人员及其他直接责任人员设置了严格的“双罚制”。

2022年的“滴滴案”，让CEO真正地关注到了“双罚制”。由于违法处理个人信息，除了公司被处罚80.26亿外，董事长兼CEO程维、总裁柳青各处100万元的罚款。可见，直接负责业务的主管人员与公司形成了“唇亡齿寒”的紧密关系。

由于《个人信息保护法》与《网络安全法》《数据安全法》均将约谈制度合法化，更是增加刑事移送的规定，与刑法对个人信息领域犯罪的规定有了很好的衔接。也就是说，直接负责的主管人员及其他直接责任人员除了会面临行政责任、民事责任，也会有触及刑事责任的可能。

1.司法案例数据

我们将“个人信息保护法”设定为引用条文，通过Alpha案例库检索2021年11月1日至2023年11月1日的司法案例，共获取89篇裁判文书。从现有检索结果不难看出，当前最主要的案由是刑事，共50件，已占案件总数的一半以上。其中，包含有期徒刑的案件36件，拘役案件12件，每一案件均处以1万元以下、50万元以上不等的罚金附加刑。

另将“侵犯公民个人信息罪”作为关键词，通过Alpha案例库检索2021年11月1日至2023年11月1日的司法案例，共获取1991篇裁判文书。其中刑事案件共1586件，占79.66%。其中，包含有期徒刑的案件744件，拘役案件225件，更有957件案件处以1万元以下、50万元以上不等的罚金附加刑。

当然，在诉讼过程中存在个人信息保护纠纷与隐私权纠纷、名誉权纠纷等案由并列的情形，部分案件无法公开裁判文书，再加上司法案例公开逐减等因素，实际案例数量理应远远大于我们检索的数量。

2.侵犯公民个人信息罪的刑事责任

根据《中华人民共和国刑法（2020修正）》第253条之一的规定，侵犯公民个人信息罪需要根据犯罪行为及情节轻重承担不同程度的刑事责任，对单位和直接负责主管人员和其他直接责任人员采取“双罚制”。

行为	情形	单位	直接负责主管人员和其他直接责任人员
向他人出售或者提供；窃取、购买、收受、交换等方式获取后，向他人出售或者提供给他人	情节严重	罚金（单处/并处）	拘役； 3年以下有期徒刑
向他人出售或者提供；窃取、购买、收受、交换等方式获取后，向他人出售或者提供给他人	情节特别严重	罚金	3年-7年有期徒刑
履行职责、提供服务过程中获取后，出售或提供给他人	从重处罚	罚金	3年-7年有期徒刑

另外，根据公民个人信息自身的重要程度，我国法律将个人信息分为敏感信息、重要信息以及一般信息三类，《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条依据三类信息对人身和财产产生的影响，就非法获取、出售或者提供公民个人信息的行为设置了相对明确的入罪标准。

	情形	数量/数额
	情形	情节严重	特别严重
第一类：敏感信息	行踪轨迹信息、通信内容、征信信息、财产信息等与人身安全、财产安全直接相关的信息	50条以上	500条以上
第二类：重要信息	住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息	500条以上	5000条以上
第三类：一般信息	除敏感信息与重要信息以外的个人信息	5000条以上	50000条以上
三类信息	违法所得	5000元以上	50000元以上

注：在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，数量或者数额达到规定标准一半以上的即可入罪。

结语

《个人信息保护法》已经为社会营造出了浓郁的个人信息保护氛围，全民个人信息保护意识“触底反弹”，监管部门从轻描淡写的警告到“滴滴案”扎扎实实的80.26亿的罚单，这已经充分说明这部法律的普适性和重要性。

当然，随着个人在工作和生活中个人信息和算法技术无限融合，追踪、迁移、监测等个人信息处理活动将变得更加频繁，保护体系也会变得更加完善。个人信息处理者不可仅仅将意识囿于《个人信息保护法》所设定的规则之中，还需关注其他法律法规对个人信息保护所做出的规定。

王译萱

律师

wangyixuan@wincon.cn

0532-85773167

王译萱律师系文康网络安全与数据合规专业委员会副主任，主要业务领域为民商事诉讼/仲裁，房地产，公司与并购，科技与互联网。可围绕基础电信设施的建设和开发，大数据、个人信息及隐私保护、数据收集与跨境传输及数字娱乐等方面提供相关法律服务。

王译萱律师具有数字法务官资格，同时是国内首批获得国际 EXIN DPO数据保护官＆ISO信息安全官双认证资质的法律从业者，并已通过PDPP、PDPF、ISO/IEC 27001职业资质认证，工作语言为中文、德文与英文。

扫码添加王律师微信

马清泉

律师

maqingquan@wincon.cn

0532-68972937

马清泉律师系文康律所网络安全与数据合规专委会主任，青岛市律师协会企业合规专委会副主任，青岛市企业合规研究会副会长。业务领域主要为网络安全与数据合规、投资并购与公司治理、争议解决与诉讼，曾为诸多企业（涵盖数据安全、金融科技、智能制造、虚拟现实、交通物流、文化传媒等领域）提供法律顾问与合规支持。

马清泉律师是我国首批国际 EXIN DPO（数据保护官）& ISO（信息安全官）双认证律师，《中小企业合规管理体系有效性评价》及《数据合规管理体系要求》等标准起草人，青岛市大数据发展促进会专家成员，荣膺2021年度ACE中国法律科技律师10强，法律研究在《法治日报》等媒体刊载。

扫码添加马律师微信

文康网络安全与数据合规专业委员会

文康网络安全与数据合规专业委员会深度参与数字经济法治化过程，具有丰富的数字经济业务经验和深厚的理论功底，并对新科技具有跨专业的认知和理解，致力于协助客户有效应对复杂的法律和政策监管，为各行业客户提供多样化的隐私保护、数据安全与流通等方面的解决方案，切实解决客户的法律合规问题。

文康作为数字经济领域新型法律服务的践行者，可以在数据要素、数据资源、智能制造、车联网、数字化转型、元宇宙、区块链、数据跨境、互联网金融、人工智能、医疗健康、电子商务、云计算等多个领域提供专业支持，始终保持对新科技以及所涉法律问题的研究，为客户提供当前监管环境下具有实践性的建议与服务，并与技术公司建立合作，具有为客户提供“法律+技术”一站式解决方案的能力。