一区二区高清视频,中文字幕精品一区二区有码,亚洲欧美综合图片

<tbody id="np4sm"><pre id="np4sm"></pre></tbody>

天衡研究

App數據合規十講（二）：個人信息如何識別？

2020-10-13 11:43:00

近年來，App強制授權、過度索權、超范圍收集個人信息的現象愈演愈烈。2019年伊始，國家多部委重拳出擊，著重整治App違規違法收集個人信息亂象。截至目前，已有幾十款App遭到強制下架、上百款App被點名整改，App收集個人信息領域迎來了強監管元年。面對來勢洶洶的強監管高壓，App運營商該如何做好信息收集工作？哪些個人信息可以收集？哪些不行？其中有哪些風險點值得關注？在接下來的一段時間里，本團隊將陸續推出App合規的系列文章，為App運營商合規收集個人信息提供方法和思路。

本篇是系列文章的第二篇：個人信息如何識別？

在法律層面上，只有明確了個人信息的定義，才能開展后續信息收集、使用、處理、共享等法律行為。因此，識別個人信息是法律活動的開始，也是法律活動的前提和基礎。我國對于個人信息的識別方法經歷了“直接識別”法到“直接識別+間接識別”法再到“識別+關聯”法的演變。同時，對個人信息的識別還需要區分清楚何為信息、何為敏感信息，何為重要數據。

（一）“直接識別”法

迄今為止，我國并沒有專門規范個人信息的法律，因此對個人信息識別機制的規定大多散落在各種規范性文件之中。2012年全國人民代表大會常務委員會發布《關于加強網絡信息保護的決定》，其中第一條規定“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息”。此時所稱的“能夠識別的電子信息”，無論是學者還是實務界，通常認為主要指自然人的姓名、出生年月日、身份證、婚姻、家庭、教育、職業等能直接識別到個人的電子信息，也就是所謂通過指名道姓才能識別到個人的信息。從而該《決定》從法律位階上確定了個人信息“直接識別”的判斷標準。

（二）“直接識別+間接識別”法

“直接識別”的判斷標準使得個人信息局限于通過指名道姓一眼知悉的信息，很多重要的個人信息，例如培訓記錄、未體現姓名的成績單、通訊錄等都被排除在外，個人信息的范圍變得異常狹窄，不利于政府監管。因此2016年全國人大常委會發布《網絡安全法》，其中第76條規定個人信息是指“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等”。該條款所規定的“能夠單獨或者與其他信息結合”，將原本單獨識別的判斷標準拓寬為“直接識別+間接識別”，使得個人信息的界定范圍擴大。舉例來說，如果按照之前“直接識別”的判斷標準，單純根據工號無法定位到個人，所以“工號”不屬于個人信息，但是按照現在的判斷標準，工號如果和職工所在的公司相結合進行識別能夠查詢到個人，那么“工號”和“公司信息”就屬于個人信息。

（三）“識別+關聯”法

雖然《網絡安全法》擴大了個人信息的識別范圍，然而隨著科技時代的到來，很多涉及利用技術采集個人信息的法律問題開始凸顯。例如，網頁瀏覽器，例如360安全瀏覽器5.0正式版軟件會收集并上傳用戶計算機中安裝應用程序的情況；cookie技術會追蹤用戶在計算機上瀏覽的信息，進而向用戶精準推銷廣告。瀏覽器或者cookie收集用戶在電腦上留存的信息如果以“識別”說來判斷的話，雖然此類信息反映了網絡用戶的網絡活動軌跡和上網偏好，具有隱私屬性，但這種信息一旦與網絡用戶身份相分離，便無法確定具體的信息歸屬主體，因此不屬于個人信息范疇?？梢姡?ldquo;識別”說無法解決隨著科學技術的發展而產生的新問題。

基于此種現狀，最高院、最高檢在2017發布《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，其中規定公民個人信息是指“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息。” 《信息安全技術個人安全規范》進一步解釋，判定某項信息是否屬于個人信息，應考慮兩個路徑：一是識別，即從信息到個人。由信息本身的特殊性識別出特定自然人，個人信息應有助于識別出特定個人；二是關聯，即從個人到信息。如已知特定自然人，則由該特定自然人在其活動中產生的信息（如個人位置信息、個人通話記錄、個人瀏覽記錄等）即為個人信息。符合上述兩種情形之一的信息，均應判定為個人信息。該規定使得個人信息識別機制由之前的“直接識別+間接識別”的判斷標準演變為“識別+關聯”的判斷標準。

我國個人信息識別機制的演變詳見下圖1：

（四）個人信息、敏感信息和重要數據的區別

個人信息的識別除了學會“識別+關聯”的判斷標準外，還應該區分清楚個人信息、敏感信息和重要數據。

所謂的個人信息即是“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息。”，關鍵在于以“識別+關聯”的判斷標準進行分析。

所謂的敏感信息是指“一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。”

此處所稱的“泄露”是指：個人信息一旦泄露，將導致個人信息主體及收集、使用個人信息的組織和機構喪失對個人信息的控制能力，造成個人信息擴散范圍和用途的不可控。例如，個人信息主體的身份證復印件被他人用于手機號卡實名登記、銀行賬戶開戶辦卡等。

此處所稱的“非法提供”是指：某些個人信息僅因在個人信息主體授權同意范圍外擴散，即可給個人信息主體權益帶來重大風險，應判定為個人敏感信息。例如，性取向、存款信息、傳染病史等。

此處所稱的“濫用”是指：某些個人信息在被超出授權合理界限使用（如變更處理目的、擴大處理范圍等），可能給個人信息主體權益帶來重大風險，應判定為個人敏感信息。例如，在未取得個人信息主體授權時，將健康信息用于保險公司營銷和確定個體保費高低。

由上面論述可以看出，敏感信息是經泄露或者非法提供或者濫用的個人信息，個人信息中包含著敏感信息和一般信息。

此外，所謂的重要數據則是指“一旦泄露可能直接影響國家安全、經濟安全、社會穩定、公共健康和安全的數據，如未公開的政府信息，大面積人口、基因健康、地理、礦產資源等。重要數據一般不包括企業生產經營和內部管理信息、個人信息等。”

因此可以看出，一般情況下，重要數據和個人信息并不交叉重合，個人信息包含著敏感信息。具體關系圖詳見下圖：