基于个人信息商业化应用场景的合规策略（上）——个人信息保护的共性问题及应对

崔丽莎

我们先来看一下世界上部分国家或地区的法律中是如何界定个人信息及个人敏感信息的。

表１ 部分国家或地区的个人信息

从表１可以看出，各国规定的“个人信息”定义存在一定的不同，有的即便是同一个国家不同的法律、法规、司法解释之间的界定也不一致。或许我们可以从以下方面全方位认识一下个人信息。

从表１可以看出，各国或地区法律中的“个人信息”名称不统一，欧盟及受其影响较大的国家法律中使用的是“个人数据”。因为欧洲关于“数据保护”的讨论和实践是世界上最早的地区之一，其立法实践可追溯到１９７０年的德国，而到1995年，颁布了第一部面向全欧盟的数据保护法规《欧盟数据保护指令》，一直到2016年4月，欧洲议会通过《通用数据保护条例》，前GDPR时代的21年及后GDPR时代，影响了很多国家的数据保护立法，因此其名称也被很多国家如新加坡、印度等国使用。

以美国为代表的一些国家在早期使用的是“个人隐私”，这些国家有的属于“普通法法域”如加拿大、澳大利亚、新西兰；而有的是采用了与美国一样的“大隐私权保护路径”，即将具有隐私属性的个人信息纳入“隐私权”范畴进行保护，如我国早期的一些司法解释中界定的“个人信息”的含义。但这些国家或地区之后的立法文件中逐渐统一使用 “个人信息”这一名称。

我国港澳台地区虽然称为“个人资料”，但翻译成英语仍是“personal data”如香港《个人资料（隐私）条例》法律文件中的“个人资料”对应的英文就是“personal data”。

总体而言，国际上最常见的两种名称是“个人数据”与“个人信息”。我国有的学者也认为这是两个决然不同的概念，应当加以区分。笔者认为，虽然从字面含义上看，数据与信息的含义有所不同，但从法律语境中看，个人数据与个人信息的定义基本都是关于身份的可识别性和关联性；其次从法律保护的根本目的来看，法律之所以保护“个人数据”或“个人信息”，在于“个人数据”或“个人信息”的泄露、毁损、损害会对主体造成人身或财产上的损害，因此二者在法律文件中是可以通用的。鉴于主要是在我国法律框架下研究合规策略，因此本文统一使用“个人信息”。

1.识别性

“识别性”是各国或地区定义“个人信息”都会使用的维度，具体如图１所示。

“间接可识别”主要是指需结合其他信息才能识别到自然人身份。有的国家还进一步规定了这种“间接可识别”应结合“容易参考”的信息，如日本个人信息保护委员会发布的指南中规定，“如果一个经营者需要向另一个经营者查询以获取’其他信息’，而该经营者很难做到这一点，那么这种情况就不会被认为是’容易参考其他信息’”。我国香港的《个人资料（隐私）条例》、新加坡《个人数据保护法》、韩国《个人信息保护法》也有类似的规定。

很多国家和地区的 “个人信息”都包括“关联性”这一维度，如欧盟、俄罗斯、美国加州、加拿大、澳大利亚、新西兰、印度、日本、中国澳门等，但“关联性”的程度有所不同。有的对于”关联性”没有限制，即任何有关的已识别或可识别的自然人的信息可以视为“个人信息”，美国加州CCPA中规定的个人信息外延还包括“从已识别的任何信息中得出的推论，以创建反映消费者偏好、特征、心理倾向、行为、态度、智力、能力和资质的画像”。

而我国最高院、最高检《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》及《个人信息安全规范》的界定更倾向于“有限的关联性”，需要满足两个条件，一是已知特定自然人（已识别），二是该特定自然人在其活动中产生的信息，即已识别自然人的活动情况。

当然还有一部分国家或地区的法律并未包括“关联性”这一维度，如我国《网络安全法》，仅聚焦于能够单独识别或结合其他信息识别到自然人身份的信息，而自然人身份的延伸、关联性信息并不属于此范畴。

我国最高院、最高检、公安部《关于依法惩处侵害公民个人信息犯罪活动的通知》、最高院《关于审理利用网络侵害人身权益民事纠纷案件适用法律若干问题的规定》对“个人信息”的界定都使用了“隐私性”这一属性。

有关“隐私”与个人信息的关系，笔者认为可以从三个维度来分析：

首先是从内涵和外延维度来看，隐私与个人信息内涵不同，但外延存在交叉。隐私是自然人不愿被他人知晓，能够自由决定是否公开的信息，而个人信息是能够识别到本人，由本人自主决定如何处理的信息；隐私属于自然人的人格利益范畴，个人信息除了具有人格属性外，其最有价值的是其财产属性。但是有的个人信息属于隐私性信息，如健康信息、就诊记录等，因此二者在外延上有所重叠和交叉。

其次是从当下民事权益保护的角度来看，在我国法律尚未确立“个人信息保护权” 之前，司法实践所采取的审判思路是 “保护具有隐私属性的个人信息”。这也是法释〔２０１４〕１号等司法解释中采用 “隐私性”来界定个人信息的缘由，且实践中的“朱某诉百度案”、“庞某诉去哪儿网、东航案”等也是上述理念的落地案例。

最后从未来立法的角度来看，随着对个人信息的重视、加强保护，“个人信息”应当从“隐私”中独立出来。欧盟已经形成了不同于“隐私权”的保护路径，而我国也在探索独立保护路径，如正在公开征求意见中的《民法典各分编——人格权》第六章的标题便是“隐私权和个人信息”。所以“隐私性”很可能不会成为未来“个人信息”含义中的界定维度。

表1中大部分国家或地区规定的识别对象都仅限于自然人个体，而美国《2018年加利福尼亚州消费者隐私法案》中识别对象既包括个人也包括家庭，如“家庭的水、电量数据”也会被视为该法案规定的“个人信息”。与“家庭”有关的信息具有可探讨的空间，即便是未在法律条款中将“household”作为识别对象的国家，其列举的个人信息“家庭住址”、“配偶信息”等也具有家庭的含义，尤其是采用了“关联性”维度的法律，自然人的生活轨迹是可以延伸到家庭范畴的。

2. 识别对象的身份属性

“身份”是一个具有多重属性的概念，其本身意义是指“个体成员交往中识别个体差异的标志和象征”，除此之外，也有社会阶层、地位、级别等含义。但总体上可分为具有唯一指向性的个体身份及非唯一性的群体身份，如图２所示。

从语义上看，我国《网络安全法》个人信息定义中的“身份”倾向于具有唯一指向性的个体身份；但GDPR中的 “身份”含义更广泛，包括 “physical（身体的），physiological（生理的），genetic（基因的），mental（精神的），economic（经济的），culturalorsocial（文化与社会的）dentity（身份）”，既有唯一指向性的基因身份，又有非唯一性的群体性身份（如经济、文化与社会、精神）。而且受欧盟影响的国家和地区对于“个人敏感信息”的界定也是关于精神、信仰、政治观点等群体身份的信息。

之所以有些识别到群体身份的信息即便不能识别到个体身份也属于敏感信息，主要原因在于这类群体性画像可能被非法、不当使用，如影响选举、就业歧视、名誉损害等，所以除个人信息保护法律介入之外，其他诸如《妇女权益保障法》、《未成年人保护法》、《劳动法》等其他有关群体性权益的法律也应当加以保护。那么反过来，如果有关群体性权益的法律能够充分保障这些群体的人身、财产权益，个人信息保护法律是否就可以聚焦保护以“个体身份”为核心的信息呢？

基于上述维度的分析，我们比较一下欧盟GDPR与我国《网络安全法》、《个人信息安全规范》规定的“个人信息范围”：

表１中的大部分国家和地区都在法律中明确列举了“个人敏感信息”的类型，欧盟GDPR第九条、第十条基本上可以代表这些规定，这些“个人敏感信息”有的是揭示最本源的群体身份（种族、民族血缘或出身），有的是能够直接、唯一识别自然人身份（基因数据、生物特征数据），有的是揭示社会性的群体身份且具有主观属性的信息（工会成员、政治观点、宗教或哲学信仰），有的是具有浓厚的隐私属性且易被歧视的信息（性生活或性取向、有关刑事定罪和罪行的个人数据），

但其共同的特征是具有很强的人身属性和群体属性。

我国的个人敏感信息除强调人身属性之外还强调一旦泄露可能带来财产损害的财产性数据（如银行账号、财产信息、交易信息），另一个特点是强调个体属性和客观属性，并未向ＧＤＰＲ那样将政治观点、宗教或哲学信仰等等具有主观属性及反映群体身份的工会成员、种族或民族血缘或出身等纳入个人敏感信息当中。

大部分国家或地区的立法模式是：同意与正当事由例外相结合；根据信息主体年龄、个人信息敏感度或处理环节区别规定合法性事由。以俄罗斯为代表的国家或地区还涉及到了通知监管机构这一前置条件，有些国家甚至还需要获得监管机构的审批许可才可以处理个人信息。我国现行法律规定合法性事由只有“同意”以及对外提供环节的“匿名化”。

1.征得同意的合规策略

《网络安全法》并未明确“同意”的标准，在合规实践中可以参照《个人信息安全规范》进行制度设计。根据《个人信息安全规范》5.3、5.5、5.6的规定，根据产品面向的对象、产品功能、个人信息的敏感程度，规定了不同的“征得同意”的层次，如图６所示。

    如何区分个人敏感信息与个人非敏感信息

    

其他尚有争议的如网页浏览记录，在实践中可以参考图７因素来评估：

√具体的业务场景。以网页浏览记录为例，用户浏览的信息内容不同，如工具类应用信息、资讯信息、商品信息、药品信息，对应浏览记录的敏感度也会存在差别。

√个人信息泄露或被非法使用后对个人信息主体造成的人身或财产上的影响。人身影响主要是指是否会导致名誉受损、歧视性待遇等。

即便依据上述因素也无法准确判断且纳入个人敏感信息范畴不会增加业务负担时可考虑将其纳入个人敏感信息保护。

√产品定位：如专门针对未成年人的产品 （如儿童智能手表），或实践中可能存在很多未成年人用户的产品（如网络游戏、短视频产品）。

√存在识别未成年人的显著可能性：如要求用户主动提供或自动采集的个人信息字段中存在识别未成年人的显著可能性，如身份证号码、生日信息、年龄信息。

鉴于核心功能与附加功能征得用户同意的程度一致，因此在个人敏感信息的“同意”合规策略中不再进一步区分。请详见图８及文字说明。

个人敏感信息征得明示同意的方式：引入“登录状态”、“功能是否默认开启”的视角来设计策略：

未登录状态下默认开启的功能：在用户首次下载安装后使用前通过弹窗提示实现，弹窗文案内容包括功能类型＋收集的个人敏感信息类型＋后果描述。

如果该个人敏感信息是产品自动采集的，则后果描述是“请停止使用该产品”；如果是需要用户提供的（在线填写、主动提交）的，则后果描述是“可以继续使用该产品，但请不要主动提供上述信息”。

登录状态下默认开启的功能：在用户首次注册／登录时，在登录界面增加H5页面链接来告知用户，并通过勾选、点击“  同意”或“下一步”的按钮征得明示同意。

图８ 征得同意的合规策略

H5页面文案内容包括功能类型＋收集的个人敏感信息类型 ＋后果描述（如果该个人敏感信息是登录后自动采集的，则后果描述是“请不要登录”；如果是需要用户提供的（在线填写、主动提交）的，则可以继续使用该产品，但请不要主动提供上述信息）。

√利用手机操作系统的弹窗提示的方式告知并征得用户明示同意：

以下方案主要针对产品定位是未成年人的应用，其他情况建议统一放在《隐私政策》中告知即可；另外如果进一步区分未成年人的年龄存在困难或成本增加，可统一采用征得监护人同意的方式。

√手机语音验证方式，未成年人使用手机注册/登录时，可注明使用监护人的手机号码来验证，拨打该手机号码，语音验证。

√电子邮件验证方式，未成年人使用电子邮箱注册/登录时，可注明使用监护人的邮箱来验证，发送验证邮件。

√账户验证方式，未成年人购买商品、游戏点数、道具、打赏之前，可注明使用监护人的信用卡、借记卡或其他在线支付系统进行账户验证。

个人非敏感信息：在一揽子《 隐私政策》中告知用户即可，产品中应设置查看《隐私政策》的链接。

2.匿名化

匿名化是指“通过对个人信息的技术处理，使得个人信息主体无法被识别，且处理后的信息不能被复原的过程”。匿名化之后的信息不再属于个人信息，这一点基本上已经形成了共识，这也是目前我国数据交易所交易的主要信息类型。

匿名化（anonymization）与去标识化（de-identification）是不同的技术手段，去标识化虽然采用了一定的技术处理无法识别到个人信息主体，但被隐藏的身份标识仍被保存着，一旦结合其他信息便能重新识别个人信息主体；而匿名化则完全不再留存身份标识，且无法被重新识别。

需要注意的是，法律语境中的“匿名化”与技术语境中的“ 匿名化”存在一定的差异，可以说，当信息集合足够大时，很难存在无法重新识别的匿名化数据，而个人信息控制者为了满足业务所需的数据价值，也无法达到技术上的匿名化程度。因此，笔者认为，只要达到了合理匿名化程度即可，可结合“动机（尝试重新识别的可能性）”“可获取的其他信息资源”“（当下的）技术能力”① 来综合判断当前是否实现了匿名化。

如果匿名化后的信息再次被识别，则应当属于个人信息的范畴-，企业或其他实体使用、对外提供识别后的个人信息，应按照上文所述的策略重新征得个人信息主体的同意。

（二）个人信息处理合规证明义务

1.记录个人信息处理活动

我国现行法律法规虽然没有如GDPR规定“记录保存义务”，但在《网络安全法》第二十一条规定了网络运营者应“  采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月”；以及在《个人信息安全规范（修订草案）》10.2条规定了“个人信息处理活动记录”，因此该措施是合规证明的良好范式。笔者建议可从以下方面来记录个人信息处理活动：

《网络安全法》第三十七条规定了关键信息基础设施运营者在数据出境时应履行安全评估义务，为此国家网信办制定了《个人信息和重要数据出境安全评估办法（征求意见稿）》，全国信息安全标准化技术委员会正在制定《信息安全技术数据出境安全评估指南（草案）》、《个人信息安全影响评估指南（草案）》。这表明加强对个人信息全生命周期的安全评估是非常重要合规举措之一，每个环节的评估要点如图９所示。

责任编辑：刘明

为便于阅读，将脚注全部略去，望理解。