Loading
Fujian Tenet & Partners Law Firm
{{ item.name }}
{{ item.name }}
{{ subItem.name }}
EN
Tenet Researchs/Tenet Reports
App数据合规十讲(二):个人信息如何识别?

2020-10-13 11:43:00

近年来,App强制授权、过度索权、超范围收集个人信息的现象愈演愈烈。2019年伊始,国家多部委重拳出击,着重整治App违规违法收集个人信息乱象。截至目前,已有几十款App遭到强制下架、上百款App被点名整改,App收集个人信息领域迎来了强监管元年。面对来势汹汹的强监管高压,App运营商该如何做好信息收集工作?哪些个人信息可以收集?哪些不行?其中有哪些风险点值得关注?在接下来的一段时间里,本团队将陆续推出App合规的系列文章,为App运营商合规收集个人信息提供方法和思路。

 

本篇是系列文章的第二篇:个人信息如何识别?

 

在法律层面上,只有明确了个人信息的定义,才能开展后续信息收集、使用、处理、共享等法律行为。因此,识别个人信息是法律活动的开始,也是法律活动的前提和基础。我国对于个人信息的识别方法经历了“直接识别”法到“直接识别+间接识别”法再到“识别+关联”法的演变。同时,对个人信息的识别还需要区分清楚何为信息、何为敏感信息,何为重要数据。

(一)“直接识别”法
 

迄今为止,我国并没有专门规范个人信息的法律,因此对个人信息识别机制的规定大多散落在各种规范性文件之中。2012年全国人民代表大会常务委员会发布《关于加强网络信息保护的决定》,其中第一条规定“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”。此时所称的“能够识别的电子信息”,无论是学者还是实务界,通常认为主要指自然人的姓名、出生年月日、身份证、婚姻、家庭、教育、职业等能直接识别到个人的电子信息,也就是所谓通过指名道姓才能识别到个人的信息。从而该《决定》从法律位阶上确定了个人信息“直接识别”的判断标准。

(二)“直接识别+间接识别”法

“直接识别”的判断标准使得个人信息局限于通过指名道姓一眼知悉的信息,很多重要的个人信息,例如培训记录、未体现姓名的成绩单、通讯录等都被排除在外,个人信息的范围变得异常狭窄,不利于政府监管。因此2016年全国人大常委会发布《网络安全法》,其中第76条规定个人信息是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。该条款所规定的“能够单独或者与其他信息结合”,将原本单独识别的判断标准拓宽为“直接识别+间接识别”,使得个人信息的界定范围扩大。举例来说,如果按照之前“直接识别”的判断标准,单纯根据工号无法定位到个人,所以“工号”不属于个人信息,但是按照现在的判断标准,工号如果和职工所在的公司相结合进行识别能够查询到个人,那么“工号”和“公司信息”就属于个人信息。

(三)“识别+关联”法

虽然 《网络安全法》扩大了个人信息的识别范围,然而随着科技时代的到来,很多涉及利用技术采集个人信息的法律问题开始凸显。例如,网页浏览器,例如360安全浏览器5.0正式版软件会收集并上传用户计算机中安装应用程序的情况;cookie技术会追踪用户在计算机上浏览的信息,进而向用户精准推销广告。浏览器或者cookie收集用户在电脑上留存的信息如果以“识别”说来判断的话,虽然此类信息反映了网络用户的网络活动轨迹和上网偏好,具有隐私属性,但这种信息一旦与网络用户身份相分离,便无法确定具体的信息归属主体,因此不属于个人信息范畴。可见,“识别”说无法解决随着科学技术的发展而产生的新问题。

 

基于此种现状,最高院、最高检在2017发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,其中规定公民个人信息是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。” 《信息安全技术个人安全规范》进一步解释,判定某项信息是否属于个人信息,应考虑两个路径:一是识别,即从信息到个人。由信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人;二是关联,即从个人到信息。如已知特定自然人,则由该特定自然人在其活动中产生的信息 (如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。符合上述两种情形之一的信息,均应判定为个人信息。该规定使得个人信息识别机制由之前的“直接识别+间接识别”的判断标准演变为“识别+关联”的判断标准。

 

我国个人信息识别机制的演变详见下图1:


(四)个人信息、敏感信息和重要数据的区别


个人信息的识别除了学会“识别+关联”的判断标准外,还应该区分清楚个人信息、敏感信息和重要数据。

 

所谓的个人信息即是“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。”,关键在于以“识别+关联”的判断标准进行分析。

 

所谓的敏感信息是指“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。”

 

此处所称的“泄露”是指:个人信息一旦泄露,将导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力,造成个人信息扩散范围和用途的不可控。例如,个人信息主体的身份证复印件被他人用于手机号卡实名登记、银行账户开户办卡等。

 

此处所称的“非法提供”是指:某些个人信息仅因在个人信息主体授权同意范围外扩散,即可给个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,性取向、存款信息、传染病史等。

 

此处所称的“滥用”是指:某些个人信息在被超出授权合理界限使用(如变更处理目的、扩大处理范围等),可能给个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,在未取得个人信息主体授权时,将健康信息用于保险公司营销和确定个体保费高低。

 

由上面论述可以看出,敏感信息是经泄露或者非法提供或者滥用的个人信息,个人信息中包含着敏感信息和一般信息。

 

此外,所谓的重要数据则是指“一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。”

 

因此可以看出,一般情况下,重要数据和个人信息并不交叉重合,个人信息包含着敏感信息。具体关系图详见下图:

 
 
 
相关阅读:
App合规十讲(一):政府机构如何监管App运营商?