第二節 個人信息保護

一、個人信息的定義、種類及歷史沿革

（一）個人信息定義

關于個人信息，《民法典》《網絡安全法》《個人信息保護法》等法律均做出了相關定義。

《民法典》第一千零三十四條規定：“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。”

《網絡安全法》第七十六條第五項規定：“個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。”

《個人信息保護法》第四條規定：“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。”

從上述三部法律的規定可以看出，《民法典》對于個人信息的定義，沿用了《網絡安全法》中的定義，其核心是可識別性，即以“能夠單獨或者與其他信息結合識別特定自然人”作為判斷個人信息的標準，這是從信息本身出發，看能否識別出特定的自然人；而《個人信息保護法》中對個人信息的定義，其核心是相關性，即與已識別或者可識別的自然人有關的各種信息，均屬于個人信息，這是從自然人出發，與該自然人相關的各種信息都是個人信息。

雖然兩種定義模式有所不同，但是所界定的個人信息的范圍基本還是相同的。

（二）個人信息的種類

個人信息包括一般個人信息和敏感個人信息。一般個人信息是指通常可以識別特定自然人的信息。而敏感個人信息是指一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。

（三）歷史沿革

隨著時代的發展，我國法律對個人信息的定義也在不斷地完善。

2016年《網絡安全法》將個人信息定義為：以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。

而2017年《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》對個人信息的外延進行了一些擴張。根據該解釋，個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。在《網絡安全法》的基礎上，該解釋進一步保護了個人的行蹤軌跡。

2020年《信息安全技術——個人信息安全規范》^[3]（GB/T 35273—2020）中對個人信息的定義與《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》中的定義一致，但前者列舉得更為詳細。根據安全規范規定，個人信息包括姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯系方式、通信記錄和內容、賬號密碼、財產信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。

2020年《民法典》則將個人信息定義為：以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。

上述法律和標準規范對個人信息的定義，核心均是可識別性。而2021年《個人信息保護法》則采取了另一種模式的定義。根據《個人信息保護法》第四條規定，個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。

從《網絡安全法》到《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，再到《民法典》，國家對個人信息的定義進行了不斷完善。《網絡安全法》將個人信息限定為可識別自然人個人身份的信息；《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》在此基礎上進行了補充，除了可識別自然人個人身份外，還有反映特定自然人活動情況；《民法典》則直接規定為可識別特定自然人的各種信息，更為抽象，但包含范圍更廣。

《民法典》之所以對于個人信息采取較為抽象的概括，在《關于〈中華人民共和國民法典（草案）〉的說明》第四條第四款第六項已經明確：“第四編第六章在現行有關法律規定的基礎上，進一步強化對隱私權和個人信息的保護，并為下一步制定個人信息保護法留下空間：一是規定了隱私的定義，列明禁止侵害他人隱私權的具體行為（草案第一千零三十二條、第一千零三十三條）。二是界定了個人信息的定義，明確了處理個人信息應遵循的原則和條件（草案第一千零三十四條、第一千零三十五條）。三是構建自然人與信息處理者之間的基本權利義務框架，明確處理個人信息不承擔責任的特定情形，合理平衡保護個人信息與維護公共利益之間的關系（草案第一千零三十六條至第一千零三十八條）。四是規定國家機關及其工作人員負有保護自然人的隱私和個人信息的義務（草案第一千零三十九條）。”^[4]

如今《個人信息保護法》又以另一種模式對個人信息進行定義，因此，可以理解成，個人信息及隱私，會受到《民法典》和《個人信息保護法》兩部法律共同保護，《個人信息保護法》保護可被清晰界定為個人信息的信息，而《民法典》則是作為“兜底”，對于處于個人信息與非個人信息灰色地帶的信息進行保護，如此，可以最大限度地保護個人信息。

二、加強個人信息保護的時代背景

（一）信息收集渠道增加

隨著網絡科技的發展，網絡安全愈加得到重視，網絡實名制也隨之產生。一方面，實名制為網絡安全提供了保障，但另一方面，實名制也對個人信息保護帶來了相應挑戰。在實名制下，個人信息極易被收集，這就要求相關部門不斷完善個人信息保護機制，加強對個人信息的保護。

（二）涉及個人信息的違法情況不斷

對個人信息的保護，在刑事、行政、民事三方面均有體現，且相關侵犯個人信息的處罰實例也越來越多。

在刑事方面，主要是以侵犯公民個人信息罪來對相關犯罪行為進行處罰；在行政方面，主要是根據《網絡安全法》《數據安全法》及《個人信息保護法》對有關責任主體進行處罰；在民事方面，則依據《民法典》和《個人信息保護法》對相關侵權行為進行裁判。

（三）個人對信息保護意識不足

毋庸置疑，在大數據時代，個人在互聯網上會留下海量的數據。通過大數據技術，企業就可以對海量數據進行深度挖掘和分析整理，可以將碎片化的數據整合成較為完整的個人信息。在大數據時代，人們只通過部分個人信息便可輕易地得到其他的個人信息，然而社會整體卻對個人信息保護意識不足，這些數據成了不法分子的“寶藏”。

三、涉及法律法規

當前，我國涉及個人信息的規定，散見于相關法律法規，包括：

（一）法律

《關于加強網絡信息保護的決定》《個人信息保護法》《數據安全法》《網絡安全法》《民法典》《刑法》《消費者權益保護法》《未成年人保護法》《居民身份證法》《護照法》《反恐怖主義法》《國家情報法》《公共圖書館法》《旅游法》《刑事訴訟法》《社會保險法》。

（二）行政法規

《征信業管理條例》《快遞暫行條例》。

（三）司法解釋

《關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》。

（四）部門規章

《電信和互聯網用戶個人信息保護規定》《個人信用信息基礎數據庫管理暫行辦法》《互聯網個人信息安全保護指南》《關于在就業補助資金使用信息公開中進一步加強個人信息保護的通知》《寄遞服務用戶個人信息安全管理規定》《電信和互聯網用戶個人信息保護規定》《關于金融機構進一步做好客戶個人金融信息保護工作的通知》《關于發布金融行業標準做好個人金融信息保護技術管理工作的通知》《信息安全等級保護管理辦法》《兒童個人信息網絡保護規定》。

（五）行業標準

《信息安全技術——個人信息安全規范》（GB/T 35273—2020）及《個人金融信息保護技術規范》（JR/T 0171—2020）。

四、我國目前個人信息保護特點

（一）多部門參與，多管齊下

因個人信息涉及各方面，如銀行、戶政、電信、工商等，不同方面的個人信息也各有其特點、保護要求。故個人信息的保護，存在各部門各自出臺不同文件的特點。工信部、公安部、人社部、國家密碼管理局、國家郵政局、銀保監會、中國人民銀行等部門都有出臺有關個人信息保護的規章文件，列舉部分文件如下：

1.公安部網絡安全保衛局聯合北京網絡行業協會、公安部第三研究所于2019年4月10日發布《互聯網個人信息安全保護指南》；

2.人力資源和社會保障部、財政部2017年12月5日出臺《關于在就業補助資金使用信息公開中進一步加強個人信息保護的通知》；

3.國家郵政局2014年3月19日出臺《寄遞服務用戶個人信息安全管理規定》；

4.工業和信息化部2013年7月16日出臺《電信和互聯網用戶個人信息保護規定》；

5.中國人民銀行2012年3月27日出臺《關于金融機構進一步做好客戶個人金融信息保護工作的通知》、2020年2月13日出臺《關于發布金融行業標準做好個人金融信息保護技術管理工作的通知》；

6.公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室2007年6月22日聯合出臺《信息安全等級保護管理辦法》；

7.國家互聯網信息辦公室2019年發布《兒童個人信息網絡保護規定》（國家互聯網信息辦公室第4號令）。

（二）刑事救濟為主，力度加大

我國對個人信息的保護，在民事、行政、刑事方面均有相關體現。

1.民事方面

在2020年通過的《民法典》中，已將個人信息保護規定在人格權編中，可根據《民法典》人格權編的相關規定尋求對個人信息侵權的救濟。

根據《民法典》第一千零三十八條規定，信息處理者不得泄露或者篡改其收集、存儲的個人信息；未經自然人同意，不得向他人非法提供其個人信息。信息處理者應當采取技術措施和其他必要措施，確保其收集、存儲的個人信息安全，防止信息泄露、篡改、丟失；發生或者可能發生個人信息泄露、篡改、丟失的，應當及時采取補救措施，按照規定告知自然人并向有關主管部門報告。

2021年通過的《個人信息保護法》，則進一步對個人信息侵權提供了保護和救濟。根據《個人信息保護法》第五十條規定，個人信息處理者拒絕個人行使權利的請求的，個人可以依法向人民法院提起訴訟。第六十九條規定，處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任。前款規定的損害賠償責任按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定；個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的，根據實際情況確定賠償數額。

2.行政方面

個人信息保護在行政方面，《網絡安全法》和《個人信息保護法》均有相關規定，對有關的責任主體進行監管。

根據《網絡安全法》第四十三條規定，個人發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的，有權要求網絡運營者刪除其個人信息；發現網絡運營者收集、存儲的其個人信息有錯誤的，有權要求網絡運營者予以更正；網絡運營者、網絡產品或者服務的提供者侵害個人信息依法得到保護的權利的，由有關主管部門責令改正，可以根據情節單處或者并處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款，沒有違法所得的，處一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款；情節嚴重的，并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照。

根據《個人信息保護》第六十六條規定：“違反本法規定處理個人信息，或者處理個人信息未履行本法規定的個人信息保護義務的，由履行個人信息保護職責的部門責令改正，給予警告，沒收違法所得，對違法處理個人信息的應用程序，責令暫停或者終止提供服務；拒不改正的，并處一百萬元以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。有前款規定的違法行為，情節嚴重的，由省級以上履行個人信息保護職責的部門責令改正，沒收違法所得，并處五千萬元以下或者上一年度營業額百分之五以下罰款，并可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照；對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款，并可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。”

3.刑事方面

在刑事方面，我國主要以侵犯公民個人信息罪對個人信息進行保護。

2009年2月28日，《刑法修正案（七）》增設“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”。2015年8月29日，《刑法修正案（九）》將兩罪名合并成“侵犯公民個人信息罪”，規定違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。

2017年5月8日，最高人民法院、最高人民檢察院聯合發布《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，對侵犯公民個人信息罪的定罪量刑標準進行了詳細規定。

綜上，個人信息受到侵害時，可通過行民事、行政、刑事等途徑尋求救濟。但在民事方面，主張個人信息民事侵權需要滿足相應的侵權歸責構成要件，而且可取得的經濟賠償往往非常有限，導致通過民事侵權方式進行個人信息保護難度大、成本高。所以在實踐中，對個人信息的保護以刑事救濟為主，且對犯罪行為處罰力度也在加大。

五、侵犯個人信息的手段

（一）經營者未經本人同意收集個人信息

根據《網絡安全法》和《個人信息保護法》的規定，網絡運營者收集、使用個人信息，應當遵循合法、正當、必要和誠信原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。

但在實踐中，經營者收集個人信息時，存在不經本人同意或者以欺詐、誘騙、誤導方式收集的情形，導致個人信息大量被泄露。

（二）經營者收集不必要的個人信息

收集個人信息，應當遵循最小必要原則，應當限于實現處理目的的最小范圍，不得過度收集個人信息，不得收集與其提供的服務無關的個人信息。經營者收集不必要的個人信息，導致與相關服務無關的信息被泄露的風險加大。

（三）經營者或不法分子故意泄露、出售或者非法向他人提供個人信息

收集個人信息后，經營者成了個人信息控制者，但出于不法目的或監管不嚴，導致泄露、出售或者非法向他人提供個人信息情況偶有發生。在與個人信息有關的刑事處罰以及行政處罰案例中，大多數違法、犯罪主體都是經營者或者其內部人員。

（四）不法分子通過木馬病毒、釣魚網站等手段盜取、騙取個人信息

不法分子通過非法手段，盜取、騙取個人信息，也是個人信息泄露的主要途徑之一。

六、保護個人信息的建議

要進行對個人信息的保護，需從個人信息的收集、存儲、使用、委托處理、共享、轉讓、公開披露等多方面著手，實現全方位、全流程保護。

（一）個人信息的收集

經營者收集個人信息，應當遵循合法、正當、必要的原則，公開收集規則，明示收集信息的目的、方式和范圍等規則，并獲得個人信息主體的授權同意，不得收集與其提供的服務無關的個人信息，不得以非法途徑或手段收集個人信息。

（二）個人信息的存儲

1.存儲時間最小化

個人信息存儲期限應為實現個人信息主體授權使用的目的所必需的最短時間，超出個人信息存儲期限后，應對個人信息進行刪除或匿名化處理。

2.去標識化處理

收集個人信息后，宜對個人信息進行去標識化處理，并采取技術和管理方面的措施，將可用于恢復識別個人的信息與去標識化后的信息分開存儲。

3.敏感個人信息的存儲

存儲敏感個人信息時，應采用加密等安全措施，原則上不應存儲原始個人生物識別信息。

（三）個人信息的使用

1.適用范圍限制

使用個人信息時，不應超出與收集個人信息時所聲稱的目的具有直接或合理關聯的范圍。因業務需要，確需超出上述范圍使用個人信息的，應再次征得個人信息主體明示同意。

2.消除明確身份指向性

除為實現個人信息主體授權同意的使用目的所必需外，使用個人信息時應消除身份指向性，避免精確定位到特定個人。

（四）個人信息的共享、轉讓

1.共享、轉讓個人信息時，應充分重視風險，事先開展個人信息安全影響評估。

2.共享、轉讓個人信息，應向個人信息主體告知共享、轉讓個人信息的目的、數據接收方的類型以及可能產生的后果，并事先征得個人信息主體的授權同意。

3.因共享、轉讓個人信息發生安全事件而對個人信息主體合法權益造成損害的，應承擔相應的責任。

（五）個人信息公開披露

個人信息原則上不應公開披露，確需公開披露時，應事先開展個人信息安全影響評估，向個人信息主體告知公開披露個人信息的目的、類型，并事先征得個人信息主體明示同意。因公開披露個人信息對個人信息主體合法權益造成損害的應承擔相應責任。

（六）個人信息安全事件處置

網絡運營者應制定個人信息安全事件應急預案，發生個人信息安全事件后，應及時評估事件可能造成的影響，并采取必要措施控制事態，消除隱患，同時及時更新應急預案。

（七）個人信息主體的權利

1.查閱、復制權

個人信息主體提出查閱、復制其主動提供的個人信息時，網絡運營者應及時提供。

2.可攜帶權

個人信息主體請求將個人信息轉移至其指定的個人信息處理者，符合國家網信部門規定條件的，網絡運營者應當提供轉移的途徑。

3.更正權

個人信息主體發現網絡運營者所持有的該主體的個人信息不準確或不完整的，網絡運營者應為其提供請求更正或補充信息的方法。

4.刪除權

網絡運營者違法或者違反約定收集、使用、共享、轉讓、公開披露個人信息的，經個人信息主體要求，網絡運營者應及時刪除個人信息。

5.撤回權

網絡運營者應向個人信息主體提供撤回收集、使用其個人信息的授權同意的方法。經個人信息主體主張撤回后，個人信息控制者后續不應再處理相應的個人信息。

網絡運營者應保障個人信息主體拒絕接收基于其個人信息推送商業廣告的權利。

七、《個人信息保護法》立法情況簡介

《個人信息保護法》由中華人民共和國第十三屆全國人民代表大會常務委員會第三十次會議于2021年8月20日通過，自2021年11月1日起正式施行。《個人信息保護法》分為八章，分別是總則、個人信息處理規則、個人信息跨境提供的規則、個人在個人信息處理活動中的權利、個人信息處理者的義務、履行個人信息保護職責的部門、法律責任、附則。

《個人信息保護法》對同意的形式、敏感個人信息、個人信息保護負責人、個人信息跨境提供的要求、刪除權、更正權等制度進行了規定。

同時，《個人信息保護法》也根據國情，特別進行了一些細致規定，如國家機關收集個人信息應遵循的要求、侵害眾多個人信息權益的公益訴訟、違法行為記入社會信用檔案等。

總體來說，《個人信息保護法》已經響應了社會公眾對個人信息保護的迫切需要，并對目前常見的侵害個人信息權利的行為提供了可行的處理方法。值得注意的是，徒法不足以自行，即使目前《個人信息保護法》已經正式實施，其貫徹效果仍受配套細則完善程度、相關部門執法力度、社會公眾支持程度制約。