🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
查看原文
其他

“脱敏处理”,能否成为企业对个人信息侵权案件的有效抗辩?

新则 2022-12-10

以下文章来源于泰和泰律师 ,作者陈福中等


近几年来,随着对个人信息保护的执法力度不断加强,不少企业及机构已经在部分经营活动中有意识地对有关个人信息进行“脱敏处理”。何为“脱敏处理”?“脱敏处理”的实际效果如何?企业只要对个人信息进行了脱敏处理,就能挣脱相关法律法规设置的“束缚”,使个人信息得以更加自由的交易流通吗?

文 | 陈福中 肖郁钧 佘孟霞 泰和泰律师事务所来源 | 泰和泰律师

- 1 -问题的提出

杭州蜂鸟云商实业有限公司等侵犯公民个人信息一案【(2019)浙01刑终329号】中,杭州蜂鸟公司为推广其保险业务,向另一公司购买潜在客户的电话信息,双方特别约定对客户姓名、电话号码等个人信息进行脱敏处理后上传至外呼平台,从而在不显示客户完整姓名及电话号码的情况下进行拨号。后买卖双方及主要负责人均被当地检察机关以涉嫌侵犯公民个人信息罪为由诉至法院。

在庭审中,被告人辩称案涉数据已经进行脱敏处理,不应纳入个人信息条数的计算,但法院认为“即使手机号码中部分数字被隐藏,该部分公民个人信息也已被实际利用,而被告公司因掌握了管理员账号,事实上可查看包括完整手机号在内的所有信息并可导出数据”,未采纳被告人的抗辩理由。

无独有偶,在常某、刘某等侵犯公民个人信息一案【(2018)鲁13刑终549号】中,刘某关于“公司入职培训时说买卖的数据系脱敏信息,是国家许可的”的抗辩也未能被法院采纳。

付某等侵犯公民个人信息一案【(2020)渝刑申49号】中,付某对外出售其所掌握的小区业主信息,尽管通过技术处理隐去了业主的姓名,但从一审、二审到再审,案涉相关信息均被法院确认属于个人信息,付某被判构成侵犯公民个人信息罪。

上述案例折射出实践中有的人对个人信息脱敏处理在法律上的性质存在一定的认识偏差。

近几年来,随着对个人信息保护的执法力度不断加强,不少企业或者机构个人信息保护意识大幅提升,在经营活动中已经开始有意识地对有关个人信息进行脱敏处理(比如在外卖订单上用星号对用户的姓名和电话号码进行部分替代)。但这是否就意味着只要对个人信息进行了脱敏处理,就能挣脱相关法律法规设置的“束缚”,使个人信息得以更加自由的交易流通?

- 2 -
脱敏处理的法律效果分析

要回答上述问题,我们首先需要明确另一个问题:何为“脱敏处理”?

脱敏处理实际上是一个技术概念,而非严格意义上的法律概念,我国较高位阶的法律(法律、行政法规)中暂未见对“脱敏处理”进行明确定义,语义上目前还存在一定的模糊性。

参考国家网信办会同国家发改委、工信部、公安部、交通运输部联合制定的《汽车数据安全管理若干规定(试行)》第六条的规定:“国家倡导汽车数据处理者在开展汽车数据处理活动中坚持:……(四)脱敏处理原则,尽可能进行匿名化、去标识化等处理”,我们初步认为,广义的脱敏处理包括了匿名化和去标识化两种处理方式。

《个人信息保护法》在附则中对匿名化和去标识化分别作了如下定义:匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程”,“去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程”。

据此规定,匿名化与去标识化并不等同,“在不借助额外信息的情况下无法识别特定自然人”是匿名化和去标识化的共同点,但二者不同在于匿名化后的信息即便借助其他信息也无法识别特定自然人且不能复原,而去标识化的信息在借助其他额外信息的情况下仍然可以重新识别特定自然人。

不难看出,匿名化处理的认定标准相对较高,事实上也较难实现,毕竟在万物互联的时代,蛛丝马迹的信息碎片一经汇聚到一起都可能带来重新识别的可能性。此外,就一般情况而言,经匿名化处理后的信息,由于无法识别特定自然人并复原,其商业价值已大大贬损,在目前很多常见的商业场景中很难作为成为交易标的,故通常商业交易语境下的“脱敏处理”往往仅仅是指做了一定的去标识化处理。前述案例中各被告人所称的“脱敏处理”就是这个意思。

《个人信息保护法》规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》则规定:“未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法规定的‘提供公民个人信息’,但是经过处理无法识别特定个人且不能复原的除外。”两者关于将匿名化信息排除在个人信息之外的意思基本是一致的。

也就是说,如果做到了真正的匿名化,则此类信息已被明确排除在个人信息的范畴以外,无需受个保法以及其他相关法律规则的约束。相比之下,去标识化处理尽管提高了个人信息的识别难度,降低了被重新识别的可能性,但去标识化信息与其他信息结合后,重新识别的可能性依然存在,因此去标识化并未根本改变个人信息“可识别性”的核心特征,仍会落入个人信息的范畴之中,从而无法获得如同匿名化信息那般的豁免,有关个人信息保护的相关规则都需要适用。

从法律适用和合规的角度上讲,对个人信息进行匿名化处理和去标识化处理,虽然都可称之为“脱敏处理”,但实际效果可谓有天壤之别。换而言之,对个人信息处理者而言,去标识化后的个人信息(尽管有的时候叫做“脱敏”)与未经去标识化处理的个人信息并无实质区别。据此,上述案件中被告人以脱敏处理进行的抗辩(实际上是以“去标识化处理”做抗辩)无法被法院采纳也就是意料之中的事情了。

其实,不止是刑事案件,人民法院在民事案件中对个人信息的认定问题上也采用了几乎一致的标准。例如,在黄某与腾讯公司隐私权、个人信息权益网络侵权责任纠纷一案【(2019)京0491民初16142号】中,法院认为,“昵称、头像、OPEN_ID、以及多个OPEN_ID之间的好友关系链等信息的组合并未达到匿名化的程度,特别是OPEN_ID与用户主体身份具有强对应关系,在特定场景下结合其他数据仍可还原到相对应用户的具体主体身份信息,因此属于个人信息”。

综上可见,在当前的司法视角下,以“去标识化”进行所谓“脱敏处理”的个人信息依然是受法律保护的个人信息,非法采集、买卖、提供此类个人信息仍存在极大的违法乃至犯罪风险,仅以这样的脱敏处理作为抗辩将难以奏效。

而对于真正实现了匿名化处理的场景,则可以基本免除侵犯公民个人信息的风险,至于这样的信息还有多大的商业价值,以及是否存在其他风险,就不在本文讨论范围之内了。

- 3 -
去标识化处理的合规意义

个人信息保护与个人信息流通、发掘个人信息价值是立法目的的两端。《个人信息保护法》并不是一部禁止对个人信息利用的法律,它只是规定了对个人信息的利用应当遵循的规则。

在大部分商业活动中,企业可以合法处理个人信息的法律基础主要是取得个人信息主体的同意,当然,这个同意不仅仅是“您是否同意我们处理您的个人信息”这样一个是或者非的问题,而是一系列清晰、明确且符合合法性、正当性、必要性和诚信原则的规则,且同意应当是自主、自愿的。在任何情况下,企业都不能想当然地认为“只要我做了去标识化处理,就可以随意处理个人信息”。

尽管去标识化处理不能作为侵犯个人信息案件中的有效抗辩,但这绝对不意味着去标识化处理是可有可无的,相反,去标识化处理在个人信息保护的过程中仍然具有重要意义。

《个人信息保护法》第五十一条规定,个人信息处理者应当根据实际情况,采取措施确保个人信息处理活动符合法律、行政法规的规定,防止未经授权的访问以及个人信息泄露、篡改、丢失,其中应当采取的措施就包括“加密、去标识化等安全技术措施”。

也就是说,去标识化处理其实是个人信息处理者履行法定义务的重要表现形式。与此同时,去标识化也是实践中用以防止个人信息被非法访问、泄露、篡改和丢失的有效安全措施之一。企业在处理个人信息的过程中,应当在相应的场景中利用好去标识化的手段,加强个人信息保护工作。

- END -


# 一周直播预告 #




# 鲸川planet #


青年法律人的星球鲸川planet现已上线,这里主要聚焦招聘信息、实务技巧、资料福利、职场吐槽,欢迎关注!

↓↓↓



# 推荐阅读 #





您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存