第二节 多重监管要求的对比分析
1.不同法律法规对个人信息的定义
我国立法对个人信息的定义集中在“识别”及“关联”这两个维度,多部法律都对个人信息的定义做出了阐释,具体如下。
(1)《电信和互联网用户个人信息保护规定》(2013)
个人信息是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。
(2)《网络安全法》(2017)
个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
(3)《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(2017)
个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
(4)《个人信息安全规范》(2020)
个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
(5)《民法典》(2020)
个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
(6)《个人信息保护法》(2021)
个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
可以看出,我国对于“个人信息”的界定在民事、行政、刑事法律角度都有涉及,虽有所差异,但随着立法和执法、司法经验的成熟,尤其是大数据技术的发展,对个人信息的认知也在不断拓展和清晰。但是在个人信息的理解上,还是需要注意如下几个常见误区。
误区1:个人信息并不一定会必然识别出“你是谁”
个人信息能够识别出“特定”个人,无论是识别出该特定自然人的身份(你是谁),还是只识别出一个自然人的行为活动(做了啥)、终端设备(用的啥)等。因此,只要借由信息本身的特殊性可以将某个特定自然人与其他人区分出来、完成识别,即使不知道该自然人的姓名和社会身份,该信息也就构成了“个人信息”。
误区2:个人信息不一定就是隐私
“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”。隐私既是一种客观状态,不以他人是否承认或者如何评价为转移,但同时又具有很强的主观感受性,其核心是“生活安宁”和“不愿为他人知悉”。一条信息能构成“隐私”需要符合信息主体在主观上“不愿为他人知晓”;而构成“个人信息”则需要信息自身“可识别”出特定自然人。因此,哪怕一些信息可以识别出自然人,但并非主观不想让别人知悉,那也只是个人信息,而不是“隐私”。比如,一个人的“性取向信息”是其个人信息,但是否是隐私,在不同群体中会有不一样的认知,对于那些愿意公开与性伴侣关系的人来说就不是隐私;“种族”通常是敏感的个人信息,但很难构成“隐私”;人脸信息也是敏感的个人信息,但并不是隐私。只有当隐私中的“私密信息”同时也能识别出特定自然人的,这样的信息才构成了个人信息。也就是说,只有当一种信息同时具备“主体不愿为他人知晓”(有极强的人格权属性)、“客体能够识别自然人”(有一定的人格权益)两个要件,才能是“构成隐私的个人信息”。例如,不愿为他人知悉的行踪轨迹、浏览记录、消费记录等,且这类信息优先适用“隐私权”路径保护,以“个人信息保护”路径为补充。
误区3:生活中经常会见到隐藏中间几位号码的手机号,但仍然是个人信息
《网络安全法》和《个人信息保护法》都规定了“经过处理无法识别特定个人且不能复原的”或者“匿名化处理后的信息”不再适用个人信息处理的法律要求。上述法律法规中的“匿名化”,是指个人信息经过处理无法识别特定自然人且不能复原的过程。因此,对个人信息“匿名化”的处理要求是比较高的,需要处理后的结果不具备复原识别特定自然人的能力,而且应持续采取相应的机制来防范随着技术发展或者数据融合而重新识别出特定自然人的风险。但是,采取简单隐藏4位数的手机号码或者替换为唯一值的隐私号等处理后的信息通常并不能构成上述的匿名化要求。对于将个人信息处理为隐藏4位数或者替换为唯一值的企业而言,仍会保留处理前后信息的映射表,以持续识别用户以及提供相应服务。因此,此类简单脱敏处理的手机号不属于无法识别特定自然人且不能复原;对于接收该等手机号的主体而言,也存在很多可能通过将不同渠道获取的手机号或其他信息进行“撞库”匹配,从而再次还原出原始手机号。因此,被部分掩码的手机号仍属于个人信息。
2.数据出境方面的法律法规
目前,网信办针对数据出境问题制定的指引文件均处于第一版征求意见稿状态。虽然立法机关尚未对文件的适用性进行界定,但《个人信息出境安全评估办法(征求意见稿)》(后文简称“新办法”)属于后续出台的文件,一般认为其取代《个人信息与重要数据出境评估办法(征求意见稿)》(后文简称“原办法”)成为个人信息出境方面的核心参考标准,而后者主要作为涉及重要数据出境的企业开展合规工作的核心参考标准。
《网络安全法》中仅对关键信息基础设施运营者的境内存储义务做出规定,但关于如何出境,《网络安全法》没有给出明确意见,而是引向了“国家网信部门会同国务院有关部门制定的办法”。原办法先于《网络安全法》的生效时间出台,也是为了支撑法律在数据出境方面的欠缺,但其区别于《网络安全法》之处在于,其将适用主体由“关键信息基础设施运营者”扩大为“网络运营者”,即网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据确因业务需要,确需向境外提供的,应当按规定履行评估义务。同时,其对评估内容、需报请主管部门评估的情形、不得出境的情形等都做出了相对明确的规定。而2017年5月,全国信息安全标准化技术委员会(以下简称信安标委)对外发布了《信息安全技术 数据出境安全评估指南(草案)》,进一步对数据安全出境评估流程、评估要点、评估方法等内容做了具体规定,并在附录中首次以列举的方式发布了《重要数据识别指南》,该指南也一直作为企业识别重要数据的主要参考依据。在草案发布后不久,信安标委再次发布《信息安全技术 数据出境安全评估指南(征求意见稿)》(后文简称“指南”),明确原草案中关于境内运营、数据出境等概念,并对安全评估流程进行了进一步细化。
而2019年网信办发布的《个人信息出境安全评估办法(征求意见稿)》疑似取代及承接了原办法及指南的规定,对个人信息出境业务中的网络运营者应当进行评估的内容、申报流程、传输者的义务要求、接收者的义务要求、合作协议的要求以及法律责任等内容均做出了详细规定,给企业开展个人信息出境合规工作提供了细致的参考意见。但相较于原办法,新办法在个人信息出境方面对网络运营者的义务要求更为严格,将所有个人信息出境活动均纳入了需要向省级网信部门申报安全评估的范围之内,对出境的把控实则更为严格,对于一些中小企业来说,如何平衡监管要求与合规成本以及监管审核的尺度等问题,还有待于后续的立法及相关执法情况进行详细解释。
而在这两年之后,网信办于2021年10月29日发布了《数据出境安全评估办法(征求意见稿)》(后文简称“《2021年办法(征求意见稿)》”)。《2021年办法(征求意见稿)》着眼于支撑《数据安全法》规定的数据的出境评估,其中包括了“个人信息”及“重要数据”出境评估,更有利于作为《网络安全法》《数据安全法》及《个人信息保护法》数据安全出境、安全评估相关规定的实施细则,为法律落地做出细化规定。例如,其规定了数据出境的风险自评估与安全评估的义务主体、监管机构、评估重点等,还细化了数据出境评估申报流程、要求和处理时间节点,为数据安全义务方履行合规义务提供了指引。
截至本书稿定稿之日(2022年1月1日),上述法规还没有发布正式稿,且无明确的废止取替等官方声明,对于上述法规彼此间的适用性以及各自的规制范围尚不是十分明确。若上述法规产生冲突,则现普遍认为《2021年办法(征求意见稿)》代替新办法、原办法及指南作为个人信息出境层面的主要参考依据,同时,《2021年办法(征求意见稿)》也代替原办法作为重要数据出境层面的主要参考依据,但此处是否准确还有待于立法机关后续进行阐明。
3.App合规层面的法律法规要求
自2018年年末开始,我国对App方面的合规执法进入白热化阶段,工信部、网信办、市场监督管理局、公安部四部委联合对市场中的App合规情况开展严格的执法行动,中国消费者协会、中国互联网协会、中国网络空间安全协会联合成立App专项治理工作组,也按当前法律法规及国家标准的要求对市场中App的合规情况进行评测。数以百万计的App违规问题被通报,面临整改、下架、约谈、罚款等处罚。为了给企业提供App合规的明确指引,立法机关也不断出台了相应的法律文件,供企业进行合规参考。
在App合规工作开展之初,最为重要的是《App违法违规收集使用个人信息自评估指南》和《App违法违规收集使用个人信息行为认定方法》。这两份文件分别从正面、负面两个方向为App合规工作提供了参考意见,详细列出了App在运营过程中的各项细节问题,表述清晰直接,没有使用过多的法律术语,能够有效地为企业产品、技术部门员工提供指引,在产品设计之初就将隐私保护融入,降低合规风险和成本。2020年,信安标委结合相关法律法规、执法以及行业发展等实际情况,制定了《移动互联网应用程序(App)收集使用个人信息自评估指南》,该文件被视为《App违法违规收集使用个人信息自评估指南》的更新版本,它围绕《App违法违规收集使用个人信息行为认定方法》,将其中的6个评估点细化为71个条款,另通过注释的形式补充了App个人信息保护合规路径及其违法违规典型问题,有助于App运营者透过表象深入理解法律法规、标准规范要求,便于开展App合规自查工作。
此外,立法机关又针对App内一些分化的小场景出台了合规指引,例如,信安标委发布的用于规范设备权限的《网络安全标准实践指南—移动互联网应用程序(App)系统权限申请使用指南》,以及用于规范SDK合规情况的《网络安全标准实践指南—移动互联网应用程序(App)中的第三方软件开发工具包(SDK)安全指引(征求意见稿)》等。
2021年《常见类型移动互联网应用程序必要个人信息范围规定》正式稿出台,划分39类App产品的基本业务功能,并对对应的必要个人信息类型做出明确规定,有效解决了运营者及使用者对于“必要性”问题如何界定的难题,为企业提供清晰的合规指引,同时该文件的出台在一定程度上也象征着我国立法趋向精细化的发展方向。
随后,工信部公布了《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》,该文件细化了App相关开发运营主体的责任义务,分别规定了App开发运营者、App分发平台、App第三方服务提供者、移动智能终端生产企业与网络接入服务提供者这5类主体相应的个人信息保护义务,也是首次同时从App开发运营者与App第三方服务提供者的角度对使用和提供第三方服务提出了明确要求。这有利于进一步规范每类主体开展App个人信息处理活动,促进个人信息的合规利用。
2022年1月5日,网信办公布了《移动互联网应用程序信息服务管理规定(征求意见稿)》,其中明确规定了应用程序提供者、应用程序分发平台这两类主体的责任义务,如应履行信息内容管理主体责任,建立健全信息内容安全管理、信息内容生态治理、网络数据安全、个人信息保护、未成年人保护等管理制度,确保信息内容安全,营造良好网络生态,强化用户权益保护等。该规定具体规定了开展应用程序数据处理活动所应履行的数据安全保护义务(如建立健全全流程数据安全管理制度,采取数据安全技术措施等),并强调从事应用程序个人信息处理活动应当遵循合法、正当、必要和诚信原则,不得以任何理由强制要求用户同意非必要的个人信息处理行为,不得因用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务。这也与此前的规定有所呼应,进一步明确了开展App个人信息处理活动的合规义务。