海问观察：大数据与个人信息保护概述

来源：海问律师事务所

作者：张金恩 吴琼 牟小舟

于2016年3月由全国人民代表大会审议通过的《中华人民共和国国民经济和社会发展第十三个五年规划纲要》明确规定"把大数据作为基础性战略资源，全面实施促进大数据发展行动，加快推动数据资源共享开放和开发应用，助力产业转型升级和社会治理创新。"大数据已经被提到了"基础性战略资源"的地位。在当前的市场实践下，大数据的应用也已渗透到诸如金融、医疗、交通、教育、零售等行业。

大数据的应用必然涉及到其与个人信息保护的关系。本文旨在从如下三个方面对个人信息保护及与大数据业务相关的法律问题进行概述性的梳理，以期就此问题建立一个基本的框架：A. 中国个人信息保护相关法规梳理；B. 中国个人信息保护司法情况及具体案例分析；C. 与大数据业务相关的个人信息保护法律问题初步分析。

A 中国个人信息保护相关法规梳理

一、法规概述

中国并没有颁布一部直接针对个人信息保护的基本法律，有关个人信息保护的具体规定散见于《中华人民共和国民法总则》（"《民法总则》"）、《中华人民共和国刑法》、《中华人民共和国侵权责任法》、《中华人民共和国网络安全法》（"《网络安全法》"）以及其他特别领域的法律法规中。其中于2016年11月颁布的《网络安全法》首次在法律层面规定了个人信息保护的基本原则。

就特定领域专门法规，主要适用于掌握大量个人信息的机构主体，包括：（1）电信及互联网领域的电信服务提供者、互联网信息服务提供者；（2）金融领域的银行、征信机构、保险机构、消费金融公司等；（3）消费者保护领域的经营者；（4）公共服务领域的医疗机构、养老院、邮政企业等；（5）因从事监管活动而获得大量个人信息的政府部门；以及（6）中介机构，例如旅行社、房地产经纪机构等。在这些特定领域专门法规中，明确了个人信息收集和使用的规范、不同行业个人信息保护的行政监管部门及行政责任。

同时，也还有一些虽不具有法律强制力但对行业有指导意义的个人信息保护国家标准和行业标准，例如《信息安全技术公共及商用服务信息系统个人信息保护指南》。

二、个人信息保护的基本原则和主要问题

目前法律法规主要是从两个层次对个人信息进行保护：（1）首先，个人信息具有私人权利属性，信息提供者有权决定是否、如何以及经由谁来处理他们的信息。在这个方面，个人信息处理的基本原则是"告知与同意"，违反该等原则将导致民事侵权责任甚至刑事责任，该等原则和责任适用于所有民事主体；（2）其次，针对某些掌握大量个人信息的特殊主体，其行为涉及社会公共利益甚至国家安全，因此，法律对这些主体施加了进一步的风险防控义务和行政责任。

在探讨上述规则之前，首先需要明确个人信息保护的范围，即个人信息的含义。

个人信息的定义和范围

由于中国并没有一部直接针对个人信息保护的基本法律，因此并没有一个统一适用的关于"个人信息"的定义。综合相关法律法规的界定，基本能够达成一致的内涵，即个人信息的核心特征是能够单独或与其他信息结合识别特定的个人。因此，并不是所有与个人有关的信息都是个人信息。在司法实践中，有相当数量的争议是关于某项信息是否能够识别特定个人、是否属于个人信息范畴。

个人信息作为一种民事权利

由全国人民代表大会于2017年3月15日通过的《民法总则》明确规定"自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。"该项对个人信息明确予以保护的规定被认为是《民法总则》的亮点之一。值得一提的是，《民法总则》不仅明确规定"自然人的个人信息受法律保护"从而赋予个人信息民事权利的性质，还要求"任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全"。

个人信息保护的一般原则：告知与同意原则

就"告知"的内容和方式，民事和刑事法规中没有具体规定。电信和互联网领域的专门法规要求，在收集个人信息之前，需要告知信息提供者以下事项：（1）收集、使用规则；（2）收集、使用信息的目的、方式和范围；（3）查询、更正信息的渠道；（4）拒绝提供信息的后果等。

就"同意"的具体方式，民事和刑事法规中没有具体规定。在特定领域的专门法规中有以下具体要求：

"同意"须真实，不得以欺骗、误导或者强迫等方式收集、使用信息。金融领域的专门法规要求，通过格式条款取得个人信息提供者同意时：（1）应当在协议中明确该授权或同意所适用的向他人提供个人金融信息的范围和具体情形；（2）在协议的醒目位置使用通俗易懂的语言明确提示该授权或同意的可能后果，并在客户签署协议时提醒其注意上述提示。

是否只要获得同意，就可以收集任何信息？互联网和金融领域的专门法规要求，信息收集应当遵循必要原则，不得收集提供服务所必须以外的个人信息或将个人信息用于提供服务之外的目的。

信息集中处理者的风险防控要求

就掌握大量个人信息的特定机构而言，从防控群体性风险、维护公共利益的角度，除了需遵守一般的告知与同意原则、受制于普通民事和刑事责任之外，法律还对其施加了进一步的风险控制义务和行政责任。以电信、互联网服务提供者及银行金融机构为例：

1、电信、互联网服务提供者的内控要求：

建立健全用户信息保护制度，采取技术措施和其他必要措施确保公民个人信息安全；

建立用户投诉处理机制，接到投诉之日起15日内答复投诉人；

建立安全保障措施：（1）确定各部门安全管理责任；（2）建立收集和使用个人信息的工作流程和安全管理制度；（3）对工作人员和代理人实行授权管理、对批量导出、复制、销毁信息实行审查，并采取防泄密措施；（4）妥善保管记录用户个人信息的载体并采取安全储存措施；（5）对储存用户个人信息的信息系统实行接入审查并采取防入侵、防病毒等措施；（6）记录对个人信息进行操作的人员、时间、地点、事项等信息等；

建立自查制度：对个人信息保护情况每年至少进行一次自查；

对工作人员进行个人信息保护安全知识、技能和安全责任培训；

业务外包时，不得委托不符合法律法规规定的有关个人信息保护要求的外包商，对外包商的个人信息保护工作进行监督和管理。

2、银行金融机构的内控要求：

对易发生个人金融信息泄露的环节进行充分排查；

明确规定各部门、岗位和人员的管理责任；

加强管理个人金融信息权限设置；

加强从业人员培训；

业务外包时，审查、评估外包商保护个人金融信息的能力，通过协议明确其保护个人金融信息的职责和保密义务；

跨境流通限制：在中国境内收集的个人信息的储存、处理和分析应当在中国境内进行，除法律法规另有规定外，不得向境外提供。

关键信息基础设施的重点保护及数据跨境流动

《网络安全法》中特别规定了对关键信息基础设施实行重点保护，且在涉及个人信息方面明确规定"关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估"。

违反个人信息保护相关法律法规的责任

违反个人信息保护相关法律法规的责任包括民事责任和刑事责任（适用于所有主体），以及行政责任（主要适用于大量掌握个人信息的特定机构）。

民事责任：在《民法总则》发布之前，有关个人信息保护的民事责任的追究依据主要是《中华人民共和国侵权责任法》中的隐私权；最高人民法院《关于确定民事侵权精神损害赔偿责任若干问题的解释》进一步明确了对隐私权的保护，规定"违反社会公共利益、社会公德侵害他人隐私或者其他人格利益，受害人以侵权为由向人民法院起诉请求赔偿精神损害的，人民法院应当依法予以受理"。法律和司法解释规定被侵权人可以要求侵权人承担赔礼道歉、消除影响、恢复名誉以及赔偿财产或精神损失等侵权责任。根据我们对相关案例的检索，针对侵犯个人信息隐私权的民事诉讼，目前在赔偿方式上以赔礼道歉、恢复名誉为主，以经济赔偿为辅。在《民法总则》明确将个人信息规定为一种民事权利后，可以合理期待个人信息的民事责任保护方面可能会进一步延伸。

刑事责任：针对个人信息保护，《刑法修正案（九）》明确规定了出售或者非法提供公民信息罪以及窃取或者非法取得个人信息罪。构成上述犯罪行为，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

行政责任：针对掌握大量个人信息的特定机构，相关行业监管机关有权对其违反规定收集、使用个人信息的行为或者未采取必要措施对个人信息安全予以保护的予以行政处罚，处罚方式包括责令限期改正、警告、罚款、没收违法所得、责令停业整顿、吊销相关业务经营执照等。

B 个人信息保护的司法实践

一、案件数量统计分析

在大数据环境下与个人信息保护/隐私权保护相关的案件，集中体现在 "隐私权纠纷"和"网络侵权责任纠纷"的民事案由，以及"出售、非法提供公民个人信息罪"和"非法获取公民个人信息罪"的刑事案由中。

目前我们未检索到官方发布的与上述案件类别对应的细分统计。通过我们在第三方案例数据库（威科先行、北大法宝、中国裁判文书网）进行检索作出的不完全统计，自2011年至2016年8月期间，相关案件数量的统计结果如下（由于并没有官方的统计数据，且该等案例数据库收集的案例也不是完整的，所以如下统计数据并不一定能够反映客观的情况，不过我们理解应该还是有一定参考意义。）：

1、案由分类统计结果：

2、年代统计结果：

综上，根据非官方数据库的不完全统计，在近6年时间中，公开的与个人信息保护有关的民事案件约700起、刑事案件约800起，案件数量基本呈逐年上升趋势。

其中，从被诉主体进行区分，针对掌握大量数据的机构主体（网络服务提供者、银行、保险公司、电信服务提供者等）的案件在民事案件中占比约30%，在刑事案件中目前尚未检索到，其余均为个人诉个人的案件。

在上述案件中，与大数据运用直接相关的案例数量并不多，我们目前检索3起案例涉及网络服务提供者基于Cookie的精准营销行为，法院均未认定属于侵犯隐私权。具体包括：（1）用户在搜索引擎搜索某关键词，再访问其他网站，就能看到与该关键词有关的广告信息（涉及"人工流产"等敏感词汇），法院认定用户的检索关键词记录虽然反映了用户网络活动轨迹及上网偏好，但因不符合"个人信息"的可识别性要求而不属于侵犯隐私权；（2）用户使用的360安全浏览器软件收集并上传其计算机中是否安装了其他特定软件的信息，法院认定因该信息并不具有一般的人格或身份属性、且360安全浏览器软件在安装许可协议中已告知相关事项，因此不属于侵犯隐私权；（3）用户使用的360安全浏览器软件收集并上传其计算机中是否安装了其他特定软件的信息、浏览网页等信息，但该案仅检索到关于管辖权问题的裁定书，未检索到涉及实体审理的判决书。

除此之外，网上购物用户因购物信息被泄露而起诉网上购物平台的案例也较为常见。

需要说明的是，虽然根据前述统计情况有关个人信息保护的案件曾逐年快速上升的趋势，但是每一年案件的绝对数量并不是很多。这一方面很可能是因为中国还没有一个完整的官方数据库可供查询，另一方面也可能是因为个人信息保护的意识还正在逐步的建立过程中。随着目前个人信息泄漏以及由此引起的欺诈等越来越多引起社会公众的关注，可以合理预计这个方面的案件也会进一步的增加。

二、个人信息保护相关案件中的主要争议问题

个人信息的认定

个人信息的范围决定了网络服务提供者收集和使用用户数据的界限。根据司法实践，个人信息需要具有人格或身份属性，能够使第三方仅依据该信息判断出公民的真实身份及其人格特性。例如，公民的简要地址（具体到村组，并未具体到公民的门牌号），由于并不必然指向特定的个人，因此也不属于个人信息。但病人病历资料、用户手机号码、身份证号等信息在司法审判实践中均被认定为属于个人信息，应当享有隐私权的保护。

由于"大数据"的真正价值在于对大量信息的汇总、处理和统计，经过处理后的最终结果往往无法识别特定个人且不能复原个人信息，因此目前的司法实践中倾向于认为，对于使用或向他人提供该等大数据处理结果，即使未经个人同意，也不构成对隐私权的侵犯。例如网络用户的网络活动轨迹及软件安装信息，由于该类信息已经与网络用户身份相分离，无法确定具体的信息归属主体，便不再属于个人信息范畴。

使用公民个人信息的同意原则及其例外

同意原则是司法实践中判断是否存在侵权的核心原则。通常而言，只有得到公民的授权才能够对公民个人信息进行一系列授权范围内的使用，相关机构未经公民许可不得将公民个人信息披露给第三人，也不得逾越收集的目的而利用公民所提供的信息，否则均属于对公民个人信息/隐私权的侵犯。

在案例中，公民同意分为明示同意和默示同意（即通过自身行为表明同意的意思），明示同意的情形较容易判断，默示同意则与信息使用方的先行告知或提示行为密切相关。

其次，以上同意原则存在例外情形。当公安机关、安保部门等国家权力机关出于国家安全、追查刑事犯罪的考虑，或法院、仲裁委员会出于审理案件的需要时，有关部门可依照法律规定的程序对公民个人信息进行检查，公民个人的授权并非必要前提条件。

过失导致用户个人信息泄露的责任承担

对公民个人信息负有保密义务的服务提供者因过失导致公民个人信息遭到泄露的情形，仍应由该服务提供者承担侵权责任。

个人信息被泄露的举证责任

公民在以个人信息被泄露为诉因时，不仅要证明自己个人信息遭到了泄露这一结果，还要证明泄漏源是被诉方，且被诉方网站或系统存在安全隐患、漏洞或安全措施不到位等过错，且该等过错与泄露的结果之间存在因果联系。若起诉方无法证明，则会承担败诉结果。但这样的举证责任在学术界引起较大争论，有的学者认为对起诉方不公平，并主张将网络侵权案件的举证责任调整为过错推定原则，由网络经营者证明无过错。

精神损害赔偿的认定

在隐私权纠纷和网络侵权责任纠纷中，除了停止侵权、消除影响、赔礼道歉等主张之外，由于通常较难证明存在直接的物质损失，起诉方通常都会主张精神损害赔偿，但法院目前在司法实践中对精神损害赔偿的裁量较为严格，通常仅会在被告存在较大过错、并且导致起诉方"生活上严重的不安宁"的客观损害后果时，才会作出支持精神损害赔偿的判决，仅以难以确定的、臆测将来可能发生的事件，作为精神损害事实根据，通常不被支持。

C 与大数据业务相关的个人信息保护法律问题

我们理解，与传统个人信息的利用方式相比，大数据业务表现为基于互联网获取的海量数据信息，通过高效智能的计算技术处理（例如统计、分类、建立模型），得出对用户有价值的规律化信息（例如应用于个性化营销、辅助决策等）。

从个人信息保护的角度，首先需判断，大数据的基础数据信息是否属于个人信息。我们理解，基础数据信息的来源主要包括：

特定信息（易被认定为个人信息）：例如账号注册时用户提供的ID数据、私人邮箱和云空间储存数据；

非特定信息（不易被认定为个人信息）：例如全网搜索数据、全网新闻和评论信息、来自旅游、餐饮、游戏、音乐等平台的汇总性信息；

介于特定性与不特定性之间的信息（是否属于个人信息存在争议）：某特定用户的搜索和浏览记录、支付记录、安全软件监控到的个人电脑使用记录、地图行踪记录等。

对于上述被认定为个人信息的信息，则其收集和使用需遵守"告知与同意"的一般保护原则，并适用特殊机构和行业的风险防控要求。具体而言：

在数据收集阶段，需基于上述数据来源和风险等级，采取适当的方式落实"告知与同意"原则，以实现便捷性与合规性的平衡。例如，需考虑采取明示同意或默示同意、告知的内容详细程度（是否告知将应用于大数据分析目的）。

在数据储存、处理阶段，持有主体需遵守相应的行业内控要求，建立信息保护制度，采取安全保护措施，防止过失泄露事件等。

在数据应用阶段，如果大数据的处理结果为规律化信息，且无法识别特定个人，则可能无需就向他人提供大数据处理结果而获得个人的同意。《网络安全法》就此规定了较为明确的安全港，根据该法："未经被收集者同意不得向他人提供个人信息，但是，经过处理无法识别特定个人且不能复原的除外。"

但是，如果需要向他人披露数据库的原始信息，例如个人支付记录、浏览记录、地图行踪等，则可能被视为属于披露个人信息。

另外，如果虽然不公开原始数据，但对外提供的处理结果是针对特定个人的且具有一定隐私属性，例如得出某一用户的消费习惯、网络活动轨迹或信用等级，则是否属于个人信息，可能存在一定的争议。