查看原文
其他

金桥法谈 | 《个人信息保护法》专题——个人信息的界定

The following article is from 互联网与数据合规研究笔记 Author 沈姝迪


 


陈苏 合伙人

广东金桥百信律师事务所

 


沈姝迪 律师

广东金桥百信律师事务所


导言


7月21日,国家互联网信息办公室向滴滴公司开出了80.26亿元的罚单。经查明,滴滴公司存在多项违反《个人信息保护法》的行为,包括但不限于违规收集用户手机相册的截图信息,过度收集乘客人脸识别信息、年龄段信息、职业信息、亲情关系信息等。


这次对滴滴公司的查处体现了国家进行数据治理、保护数据安全的坚定决心,也再次给数据处理者们敲响了警钟。数据处理者在处理数据时,特别是与民众利益密切相关的个人信息,应当严格遵循法律规定,否则也将会面临高额罚款,甚至可能会被责令停业或吊销执照。


本系列将围绕《个人信息保护法》,从立法沿革、立法目的、法条解析、司法实践等多个角度进行研究探索。本期就让我们先来聊一聊何为“个人信息”。


1

个人信息定义的立法沿革


1

《网络安全法》

2017年6月1日实施的《网络安全法》首次正式明确规定了“个人信息”的概念(第76条):


“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等。”


2

《关于办理侵犯公民个人信息刑事案件

适用法律若干问题的解释》

最高人民法院会同最高人民检察院于2017年5月发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,当中对个人信息的定义为:


“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”


3

《信息安全技术 个人信息安全规范》

国家质量监督检验检疫总局、国家标准化管理委员会于2017年12月发布、2020年改版的《信息安全技术  个人信息安全规范》(GB/T 35273-2020)完全采纳了上述司法解释对“个人信息”的定义。


4

《民法典》

2021年1月1日实施的《民法典》,第四编第六章专门对隐私权和个人信息保护作了具体规定,其中第一千零三十四条第一款对个人信息作出如下定义:


“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”


5

《个人信息保护法》

2021年11月1日实施的《个人信息保护法》中第四条对个人信息的定义为:


“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。



2

个人信息的范围


从个人信息定义的立法变化可以看出,个人信息认定的范围是在逐步扩大的:从最开始仅锁定为识别特定自然人的身份信息,到进一步扩大至反映特定自然人活动情况的信息,再到民法典进一步总结为识别特定自然人的各种信息,到个保法中首次作出排除性规定,即“不包括匿名化处理后的信息”。由此可见,我国法律对个人信息保护范围的规定是随着科技、司法实践的发展日趋完善的。


根据《个人信息保护法》的规定,目前个人信息的范围包括了已识别或可识别特定自然人的各种信息,即对信息的种类和内容均无限制,只要“已识别”或“可识别”到特定自然人即可。此外,还应排除了匿名化处理的信息,因为匿名化处理后的信息再无法识别到特定自然人。


另外,需注意匿名化信息并不等同于去标识化信息,两者最大的区别是匿名化处理后的信息无法复原从而无法再识别到特定自然人,但去标识化的信息可以通过技术被复原从而重新识别到特定自然人。


3

个人信息的认定路径


作为行业实践和监管重要参考标准的《信息安全技术 个人信息安全规范》,在附录中提出了个人信息的两种认定路径:



个人信息的认定路径为从信息到个人,即看该信息是否能够识别到特定的自然人。故“可识别性”是这一认定路径的核心要素。


具体来说,“识别”可分为两种模式:直接识别和间接识别。


直接识别

直接识别是指能够单独根据某个信息直接识别到特定自然人。

间接识别

间接识别是指单独根据某个信息无法识直接别到特定自然人,但是结合其他信息即可识别。



个人信息的认定路径为从个人到信息,即已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。


4

个人信息认定的司法实践


01

用户身份识别代码是否属于个人信息?


案例

俞某与浙江天猫网络有限公司等网络侵权责任纠纷一案((2018)京0108民初13661号)

基本案情

俞某在某线下实体门店购买商品,在使用其支付宝完成付款后,发现支付页面下方显示“授权淘宝获取你线下交易信息并展示”,并在其前面设置了“默认勾选”。俞某随即登录其淘宝及天猫APP,均发现刚刚付款完成的交易订单信息已经同步至客户端上,并且俞某在取消勾选授权后仍然出现此类情况。

裁判观点

本案中虽然用户身份识别代码本身不包含任何身份信息和隐私信息,无法单独通过用户身份识别代码识别出特定自然人,但是从本案交易行为的结果来看,被告确实可以通过用户身份代码匹配到该用户的淘宝和天猫账户,而在结合该代码及其关联的平台账号信息后即可识别到特定自然人的个人身份。故在本案中用户身份识别代码属于个人信息。


02

MAC地址是否属于个人信息?


案例

成都九正科技实业有限公司与璧合科技股份有限公司买卖合同纠纷一案((2020)津01民终3291号)

基本案情

涉案产品“招财宝”携带至人流密集处,开启后可直接搜集附近不特定人所使用的智能终端设备的MAC地址(包括对方的11位电话号码),并将搜集到的MAC地址等信息上传至产品用户的云服务器,产品使用者可以通过使用相关的App向通过招财宝产品搜集到的MAC地址推送短信广告、投放朋友圈广告等。

裁判观点

本案中虽被上诉人称搜集到的手机MAC地址信息仅为一串代码,并不能包含或单独识别到特定自然人,但实际上手机MAC地址信息与其他信息结合可以获取到该手机用户的电话号码,从而可以识别到特定自然人的身份信息。因此,在本案中手机MAC地址信息属于个人信息。


03

微信好友关系、阅读信息是否属于个人信息?


案例

黄某与被告腾讯科技(深圳)有限公司广州分公司、腾讯科技(北京)有限公司隐私权、个人信息权益网络侵权责任纠纷一案((2019)京0491民初16142号)

基本案情

黄某在使用微信读书时发现,在其未同意授权微信将其微信好友关系数据分享至微信读书的情况下,在微信读书的“关注”栏目下出现了黄某微信好友中使用该软件的名单,并在黄某没有进行任何添加关注操作的情况下,在“我关注的”和“关注我的”栏目下均出现了大量黄某的微信好友。此外,微信读书还在未经黄某自愿授权的情况下向“关注我的”好友公开黄某的阅读信息,甚至即使双方未互相关注都能够查看微信好友的书架、正在阅读的读物、读书想法等。

裁判观点

本案中,微信好友关系的表现形式是黄某的微信好友列表,腾讯公司获取的信息包括用户的昵称、头像、OPEN_ID以及共同使用微信读书的微信好友的OPEN_ID。这些信息虽然不包括微信帐号、手机号等可单独识别特定个人的信息,但是,昵称、头像、OPEN_ID、以及多个OPEN_ID之间的好友关系链等信息在特定场景下结合其他数据仍可识别到相对应用户的具体主体身份信息。


微信读书中的读书信息包含了用户的读书时长、最近阅读、书架、推荐书籍、读书想法等信息,能够反映用户阅读习惯、偏好等,符合“从个人到信息”的特征,也应该属于个人信息。


04

昵称是否属于个人信息?


案例

周某与广州唯品会电子商务有限公司个人信息保护纠纷一案((2022)粤01民终3937号)

基本案情

周某发现唯品会平台存在主动获取、收集、使用用户信息的情况,便要求唯品会披露在使用唯品会电商网站及APP客户端的过程中所收集使用个人信息的情况,唯品会称平台只会收集用户主动填报的信息,且需用户自行通过APP查看个人信息收集情况,平台无法披露。

裁判观点

根据查明事实,周某在唯品会APP中的昵称为“唯品会会员”,虽然该昵称由唯品会APP自动生成,并非周某自行填写,但根据《个人信息保护法》第四条的规定,周某作为唯品会公司可识别的注册用户,其昵称仍属于个人信息范畴,至于该昵称为个人自行填写或是由系统自动生成,均不影响其性质的认定。


小结


要落实保护个人信息,个人信息的界定必定是首要解决的问题。一般来说,大家对于像姓名、身份证号码等这些能够单独直接识别到特定自然人的信息认定为个人信息都争议不大,在实践中存在争议的往往是那些无法单独识别到特定自然人的信息,需要结合已掌握的其他信息、具体的场景来综合判断是否属于个人信息。个人信息的界定应当是动态的,不能一概而论。


企业(数据处理者)在处理数据时,也应该先自行分辨出哪些属于个人信息。对于个人信息的处理始终秉承合法、正当、必要、诚信原则,公开个人信息处理规则,明示处理目的、方式和范围,保障个人信息主体的各项权利。


供稿 | 陈苏 沈姝迪

编辑 | 罗影璇



@广东金桥百信律师事务所

Kingbridge

Tiktok

正式进驻抖音视频号!

期待你的关注!


金桥百信 招贤纳士

广东金桥百信律师事务所1995年在广州设立,是国内第一批合伙制律师事务所。办公地址位于广州市CBD核心——珠江新城超甲级写字楼高德置地广场G座楼24、25楼,办公面积近5000平方米,执业律师逾460人。2015年事务所启动改制和创新管理,2019年凭借自身的核心竞争力和优势顺利入选ALB 2019年亚洲最大50家律师事务所,2020年被评为2016-2019年度广州优秀律师事务所

广东金桥百信律师事务所因不断壮大需求,诚邀志同道合的法律精英加盟,携手合作、共创美好金桥。

合伙人加盟联系

人才发展委员会副主任罗建欣律师

邮箱:luojianxin@kingbridgelaw.com

电话:186 8888 9563

律师、实习律师/助理、实习生加入联系

人力资源部郑小姐

邮箱:kingbridge@gdjqbx.com

电话:135 8043 6900

工作地点:广州市天河区珠江东路16号高德置地冬广场G座24、25楼



推荐阅读

金桥法谈 | 潘氏父子六年铁窗洗冤录成功辩护分享
金桥法谈 | 八月法闻
金桥法谈 | 《数据出境安全评估办法》亮点解读
金桥法谈 | 网络数据合规指南——数据的分类分级




点击分享

点赞

点亮在看


继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存