主要内容
个人信息的概念
根据《个人信息保护法》第4条规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
根据《网络安全法》第76条规定,个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
根据《民法典》第1034条规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
据此可知,由于立法目的不同,所以立法条文内容设置侧重点不同,表述亦有不同。《个人信息保护法》关注处理活动对个人信息造成的影响,意在保护个人信息客体的权益;而《网络安全法》和《民法典》更加关注信息对于自然人身份识别、及其活动情况的反映,意在保护个人信息主体基本的人身和财产安全。
在2020年3月6日发布,10月1日实施的《信息安全技术 个人信息安全规范》(GB/T35273-2020)作为网络安全法配套的规范性文件,比较完整地规定了个人信息保护领域的术语,界定了个人信息的内涵和外延以及个人信息处理原则。在现有法律法规的规定较为原则的情况下,弥补了实践中的落地空白,为企业合规提供了规范性指引。
后期的《互联网个人信息安全保护指南》《App违法违规收集使用个人信息自评估指南》《移动互联网应用程序(App)安全认证实施规则》等文件,都在文件引用部分提及《个人信息安全规范》。
《个人信息安全规范》规定,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。对于个人信息的范围和类型,进一步提供了可参考的附录,各方主体在个人信息保护实践中得到了充分应用。
个人姓名、生日、性别、民族、国籍、家庭关系、住址、个人电话号码、电子邮件地址等 | |
身份证、军官证、护照、驾驶证、工作证、出入证、社保卡、居住证等 | |
个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等 | |
个人信息主体账号、IP地址、个人数字证书等 | |
个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等,以及与个人身体健康状况相关的信息,如体重、身高、肺活量等 | |
个人职业、职位、工作单位、学历、学位、教育经历、工作经历、培训记录、成绩单等 | |
银行账户、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息 | |
通信记录和内容、短信、彩信、电子邮件,以及描述个人通信的数据(通常称为元数据)等 | |
通讯录、好友列表、群列表、电子邮件地址列表等 | |
指包括硬件序列号、设备MAC地址、软件列表、唯一设备识别码(如IMEI/Android ID/IDFA Open UDID/GUID/SIM卡 IMSI 信息等)等在内的描述个人常用设备基本情况的信息 | |
包括行踪轨迹、精准定位信息、住宿信息、经纬度等 | |
婚史、宗教信仰、性取向、未公开的违法犯罪记录等 |
《个人信息安全规范》提供的参考目录,示例繁多且无法全部覆盖“个人信息”的所有情形,但是根据个人信息的定义不难看出,我国法律规定采用“识别+关联”的结构,而判断某项信息是否属于个人信息,除了参考规范示例,亦可考虑“识别”和“关联”两个判断路径。
其中,“识别”,是从信息到个人,从信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人;“关联”,是从个人到信息,如已知特定自然人,则由该特定自然人在其活动中产生的信息(个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。
需要格外注意的是“已知特定自然人”是判断某条信息是否具有“关联性”的前提,如果没有其他信息结合,无法识别到具体自然人的情况下,不能理所当然视某个可能相关的信息直接为个人信息。
举例而言,IP地址本身无法识别到具体个人,不符合识别性的判定标准,但在具体环境中结合其他信息,就有可能符合关联性的判定标准成为个人信息。
在陈某与北京百度网讯科技有限公司个人信息保护纠纷案(2021鄂11民终3136号)中,陈某在登录个人账号访问百度App及百度贴吧App时,百度公司作为信息处理方,相应服务器均已收集陈某的电话号码、唯一设备标识符、浏览记录、使用时间、时长等,而电话号码为实名认证号码,与IP地址组合后能够识别到陈某在该区域。此时,该区域位置不单纯表达为设备链接网络时的IP地址,也是陈某在某一时刻所处的城市地理位置,可以认定为行踪信息。
随着数据,尤其是个人信息数据在商业经验中的比重不断攀升,有关违背告知同意原则、违背最小必要原则、违规提供个人信息、侵犯个人信息主体权益、违背个人信息安全保障义务等不合规问题层出不穷。
个人信息处理者常常将“技术”放在实现商业目的的关键位置,而忽略了“法律”这条合规红线,为了让技术安全落地,企业有必要了解我国法律赋予个人信息主体的权益,合规工作需要渗透到个人信息处理者日常运营的各个层面,不同的个人信息处理者承担的个人信息保护义务不尽相同,而这往往就是合规的死穴、合规的关键点。
1.撤回同意权
自然人权利:基于个人同意处理个人信息的,自然人有权撤回同意,且不因撤回同意而影响前期基于个人同意已经进行的个人信息处理活动的效力。
处理者义务:不可否认的是“告知-同意”是我国现阶段个人信息处理最重要的合法性基础。在产品设计时,处理者应当提供有效的、便捷的撤回同意方式。
2.知情权、决定权
自然人权利:对其个人信息的处理享有知情权和决定权,限制或拒绝他人的处理行为。
处理者义务:落实告知义务,是获取有效合法性的基础。处理者应向个人告知必要信息,明示处理的目的、方式和范围,征得个人同意。《个人信息保护法》针对不同情形提出了不同的告知要求。
处理者的名称或者姓名和联系方式; 处理目的、处理方式、信息种类、保存期限; 个人行使本法规定权利的方式和程序; 处理的必要性以及对个人权益的影响; 处理不满十四岁未成年人个人信息的,需置顶专门的处理规则; 法律、行政法规规定应当告知的其他事项。
3.查阅权、复制权
自然人权利:向处理者提出查阅、复制其个人信息的要求。
处理者义务:提供查询个人信息以及获取个人信息副本的路径。当然,在有法律、行政法规规定应当保密或者不需要告知的情形的,可以不提供告知、查阅或者复制的服务;在紧急情况下,为了保护自然人的生命健康和财产安全无法及时提供相关服务的,处理者应当在紧急情况消除后及时提供。
4.转移权
自然人权利:将个人信息转移至其指定的个人信息处理者。
处理者义务:在符合国家网信部门规定条件的条件下,向个人提供将个人信息转移至其指定的个人信息处理者的途径。
5.补充、更正权
自然人权利:要求处理者对不准确或者不完整的个人信息,进行更正或补充。
处理者义务:在核实后,及时更正或补充。
6.删除权
自然人权利:要求处理者删除个人信息。
处理者义务:主动删除个人信息,不得在个人主张删除权时,设置不必要或者不合理的条件。
处理目的已实现、无法实现或者为实现处理目的不再必要; 处理者停止提供产品或者服务,或者保存期限已届满; 个人撤回同意; 处理者违法违规或违约处理个人信息; 法律、行政法规规定的其他情形。
7.要求解释说明权
自然人权利:有权要求个人信息处理者对其个人信息处理规则进行解释说明。
处理者义务:在规定时间内响应个人的要求,及时对个人信息处理规则进行明确的解释说明。
8.拒绝自动化决策权
自然人权利:拒绝处理者通过自动化决策方式向个人进行信息推送、商业营销;拒绝处理者仅通过自动化决策的方式作出对个人权益有重大影响的决定。
处理者义务:应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇;应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式;应个人要求对通过自动化决策方式作出对个人权益有重大影响的决定进行说明;停止仅通过自动化决策的方式作出决定。
9.死者个人信息保护权
自然人权利:死者近亲属可以对死者的个人信息行使查阅、复制、更正、删除等权利。
处理者义务:应当积极协助死者近亲属行使相关权利,除非死者在生前另有安排。
对于违反规定处理个人信息,或者未履行个人信息保护义务的行为,《个人信息保护法》从行政责任、民事责任及刑事责任三方面对单位和直接负责的主管人员及其他直接责任人员设置了严格的“双罚制”。
2022年的“滴滴案”,让CEO真正地关注到了“双罚制”。由于违法处理个人信息,除了公司被处罚80.26亿外,董事长兼CEO程维、总裁柳青各处100万元的罚款。可见,直接负责业务的主管人员与公司形成了“唇亡齿寒”的紧密关系。
由于《个人信息保护法》与《网络安全法》《数据安全法》均将约谈制度合法化,更是增加刑事移送的规定,与刑法对个人信息领域犯罪的规定有了很好的衔接。也就是说,直接负责的主管人员及其他直接责任人员除了会面临行政责任、民事责任,也会有触及刑事责任的可能。
1.司法案例数据
我们将“个人信息保护法”设定为引用条文,通过Alpha案例库检索2021年11月1日至2023年11月1日的司法案例,共获取89篇裁判文书。从现有检索结果不难看出,当前最主要的案由是刑事,共50件,已占案件总数的一半以上。其中,包含有期徒刑的案件36件,拘役案件12件,每一案件均处以1万元以下、50万元以上不等的罚金附加刑。
另将“侵犯公民个人信息罪”作为关键词,通过Alpha案例库检索2021年11月1日至2023年11月1日的司法案例,共获取1991篇裁判文书。其中刑事案件共1586件,占79.66%。其中,包含有期徒刑的案件744件,拘役案件225件,更有957件案件处以1万元以下、50万元以上不等的罚金附加刑。
当然,在诉讼过程中存在个人信息保护纠纷与隐私权纠纷、名誉权纠纷等案由并列的情形,部分案件无法公开裁判文书,再加上司法案例公开逐减等因素,实际案例数量理应远远大于我们检索的数量。
2.侵犯公民个人信息罪的刑事责任
行为 | 情形 | 单位 | 直接负责主管人员和其他直接责任人员 |
情节严重 | 罚金(单处/并处) | 拘役; 3年以下有期徒刑 | |
情节特别严重 | 罚金 | 3年-7年有期徒刑 | |
履行职责、提供服务过程中获取后,出售或提供给他人 | 从重处罚 | 罚金 | 3年-7年有期徒刑 |
情形 | 数量/数额 | ||
情节严重 | 特别严重 | ||
第一类:敏感信息 | 行踪轨迹信息、通信内容、征信信息、财产信息等与人身安全、财产安全直接相关的信息 | 50条以上 | 500条以上 |
第二类:重要信息 | 住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息 | 500条以上 | 5000条以上 |
第三类:一般信息 | 除敏感信息与重要信息以外的个人信息 | 5000条以上 | 50000条以上 |
三类信息 | 违法所得 | 5000元以上 | 50000元以上 |
《个人信息保护法》已经为社会营造出了浓郁的个人信息保护氛围,全民个人信息保护意识“触底反弹”,监管部门从轻描淡写的警告到“滴滴案”扎扎实实的80.26亿的罚单,这已经充分说明这部法律的普适性和重要性。
当然,随着个人在工作和生活中个人信息和算法技术无限融合,追踪、迁移、监测等个人信息处理活动将变得更加频繁,保护体系也会变得更加完善。个人信息处理者不可仅仅将意识囿于《个人信息保护法》所设定的规则之中,还需关注其他法律法规对个人信息保护所做出的规定。
王译萱 律师 0532-85773167 马清泉 律师 文康网络安全与数据合规专业委员会
专栏文章
-
数据合规
建筑行业的数据资产开发与合规管理(下)
专业解读2024-09-24 -
数据合规
建筑行业的数据资产开发与合规管理(上)
专业解读2024-09-19 -
数据合规
如何起草数据“三权分置”合同条款——基于数据共享、数据运营、数据授权、数据合作、委托处理、数据交易场景
专业解读2024-09-11 -
数据合规
数据资产确权的法律路径探析
本文将从法律服务层面浅析数据资产及其权属认定的实践路径。2024-09-10 -
数据合规
城投公司开发数据资产的策略与实施
专业解读2024-06-06 -
数据合规
数据要素背景下的公共数据合规解读
为促进公共数据资源实现有序流通、高效配置,数据安全保障体系进一步完善,有必要对相关规范和标准加以解读。2024-05-13 -
数据合规
探析日本个人信息保护制度
本文将对日本个人信息保护的法律适用以及实务要点进行梳理和说明,以期为开展对日跨境投资的中国企业提供参考。2024-04-16 -
数据合规
城投企业数据资源入表的合规逻辑
《企业数据资源相关会计处理暂行规定》2024-03-21