第二节个人信息保护_网络安全与数据合规法律实务-QQ阅读女频青春网

书名：网络安全与数据合规法律实务
作者名：罗振辉
本章字数：7676字
更新时间：2025-05-14 16:20:55

第二节个人信息保护

一、个人信息的定义、种类及历史沿革

（一）个人信息定义

关于个人信息，《民法典》《网络安全法》《个人信息保护法》等法律均做出了相关定义。

《民法典》第一千零三十四条规定：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”

《网络安全法》第七十六条第五项规定：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”

《个人信息保护法》第四条规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”

从上述三部法律的规定可以看出，《民法典》对于个人信息的定义，沿用了《网络安全法》中的定义，其核心是可识别性，即以“能够单独或者与其他信息结合识别特定自然人”作为判断个人信息的标准，这是从信息本身出发，看能否识别出特定的自然人；而《个人信息保护法》中对个人信息的定义，其核心是相关性，即与已识别或者可识别的自然人有关的各种信息，均属于个人信息，这是从自然人出发，与该自然人相关的各种信息都是个人信息。

虽然两种定义模式有所不同，但是所界定的个人信息的范围基本还是相同的。

（二）个人信息的种类

个人信息包括一般个人信息和敏感个人信息。一般个人信息是指通常可以识别特定自然人的信息。而敏感个人信息是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

（三）历史沿革

随着时代的发展，我国法律对个人信息的定义也在不断地完善。

2016年《网络安全法》将个人信息定义为：以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

而2017年《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对个人信息的外延进行了一些扩张。根据该解释，个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信联系方式、住址、账号密码、财产状况、行踪轨迹等。在《网络安全法》的基础上，该解释进一步保护了个人的行踪轨迹。

2020年《信息安全技术——个人信息安全规范》^[3]（GB/T 35273—2020）中对个人信息的定义与《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中的定义一致，但前者列举得更为详细。根据安全规范规定，个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

2020年《民法典》则将个人信息定义为：以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

上述法律和标准规范对个人信息的定义，核心均是可识别性。而2021年《个人信息保护法》则采取了另一种模式的定义。根据《个人信息保护法》第四条规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

从《网络安全法》到《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，再到《民法典》，国家对个人信息的定义进行了不断完善。《网络安全法》将个人信息限定为可识别自然人个人身份的信息；《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》在此基础上进行了补充，除了可识别自然人个人身份外，还有反映特定自然人活动情况；《民法典》则直接规定为可识别特定自然人的各种信息，更为抽象，但包含范围更广。

《民法典》之所以对于个人信息采取较为抽象的概括，在《关于〈中华人民共和国民法典（草案）〉的说明》第四条第四款第六项已经明确：“第四编第六章在现行有关法律规定的基础上，进一步强化对隐私权和个人信息的保护，并为下一步制定个人信息保护法留下空间：一是规定了隐私的定义，列明禁止侵害他人隐私权的具体行为（草案第一千零三十二条、第一千零三十三条）。二是界定了个人信息的定义，明确了处理个人信息应遵循的原则和条件（草案第一千零三十四条、第一千零三十五条）。三是构建自然人与信息处理者之间的基本权利义务框架，明确处理个人信息不承担责任的特定情形，合理平衡保护个人信息与维护公共利益之间的关系（草案第一千零三十六条至第一千零三十八条）。四是规定国家机关及其工作人员负有保护自然人的隐私和个人信息的义务（草案第一千零三十九条）。”^[4]

如今《个人信息保护法》又以另一种模式对个人信息进行定义，因此，可以理解成，个人信息及隐私，会受到《民法典》和《个人信息保护法》两部法律共同保护，《个人信息保护法》保护可被清晰界定为个人信息的信息，而《民法典》则是作为“兜底”，对于处于个人信息与非个人信息灰色地带的信息进行保护，如此，可以最大限度地保护个人信息。

二、加强个人信息保护的时代背景

（一）信息收集渠道增加

随着网络科技的发展，网络安全愈加得到重视，网络实名制也随之产生。一方面，实名制为网络安全提供了保障，但另一方面，实名制也对个人信息保护带来了相应挑战。在实名制下，个人信息极易被收集，这就要求相关部门不断完善个人信息保护机制，加强对个人信息的保护。

（二）涉及个人信息的违法情况不断

对个人信息的保护，在刑事、行政、民事三方面均有体现，且相关侵犯个人信息的处罚实例也越来越多。

在刑事方面，主要是以侵犯公民个人信息罪来对相关犯罪行为进行处罚；在行政方面，主要是根据《网络安全法》《数据安全法》及《个人信息保护法》对有关责任主体进行处罚；在民事方面，则依据《民法典》和《个人信息保护法》对相关侵权行为进行裁判。

（三）个人对信息保护意识不足

毋庸置疑，在大数据时代，个人在互联网上会留下海量的数据。通过大数据技术，企业就可以对海量数据进行深度挖掘和分析整理，可以将碎片化的数据整合成较为完整的个人信息。在大数据时代，人们只通过部分个人信息便可轻易地得到其他的个人信息，然而社会整体却对个人信息保护意识不足，这些数据成了不法分子的“宝藏”。

三、涉及法律法规

当前，我国涉及个人信息的规定，散见于相关法律法规，包括：

（一）法律

《关于加强网络信息保护的决定》《个人信息保护法》《数据安全法》《网络安全法》《民法典》《刑法》《消费者权益保护法》《未成年人保护法》《居民身份证法》《护照法》《反恐怖主义法》《国家情报法》《公共图书馆法》《旅游法》《刑事诉讼法》《社会保险法》。

（二）行政法规

《征信业管理条例》《快递暂行条例》。

（三）司法解释

《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。

（四）部门规章

《电信和互联网用户个人信息保护规定》《个人信用信息基础数据库管理暂行办法》《互联网个人信息安全保护指南》《关于在就业补助资金使用信息公开中进一步加强个人信息保护的通知》《寄递服务用户个人信息安全管理规定》《电信和互联网用户个人信息保护规定》《关于金融机构进一步做好客户个人金融信息保护工作的通知》《关于发布金融行业标准做好个人金融信息保护技术管理工作的通知》《信息安全等级保护管理办法》《儿童个人信息网络保护规定》。

（五）行业标准

《信息安全技术——个人信息安全规范》（GB/T 35273—2020）及《个人金融信息保护技术规范》（JR/T 0171—2020）。

各文件涉及个人信息保护条款一览表

续表

四、我国目前个人信息保护特点

（一）多部门参与，多管齐下

因个人信息涉及各方面，如银行、户政、电信、工商等，不同方面的个人信息也各有其特点、保护要求。故个人信息的保护，存在各部门各自出台不同文件的特点。工信部、公安部、人社部、国家密码管理局、国家邮政局、银保监会、中国人民银行等部门都有出台有关个人信息保护的规章文件，列举部分文件如下：

1.公安部网络安全保卫局联合北京网络行业协会、公安部第三研究所于2019年4月10日发布《互联网个人信息安全保护指南》；

2.人力资源和社会保障部、财政部2017年12月5日出台《关于在就业补助资金使用信息公开中进一步加强个人信息保护的通知》；

3.国家邮政局2014年3月19日出台《寄递服务用户个人信息安全管理规定》；

4.工业和信息化部2013年7月16日出台《电信和互联网用户个人信息保护规定》；

5.中国人民银行2012年3月27日出台《关于金融机构进一步做好客户个人金融信息保护工作的通知》、2020年2月13日出台《关于发布金融行业标准做好个人金融信息保护技术管理工作的通知》；

6.公安部、国家保密局、国家密码管理局、国务院信息化工作办公室2007年6月22日联合出台《信息安全等级保护管理办法》；

7.国家互联网信息办公室2019年发布《儿童个人信息网络保护规定》（国家互联网信息办公室第4号令）。

（二）刑事救济为主，力度加大

我国对个人信息的保护，在民事、行政、刑事方面均有相关体现。

1.民事方面

在2020年通过的《民法典》中，已将个人信息保护规定在人格权编中，可根据《民法典》人格权编的相关规定寻求对个人信息侵权的救济。

根据《民法典》第一千零三十八条规定，信息处理者不得泄露或者篡改其收集、存储的个人信息；未经自然人同意，不得向他人非法提供其个人信息。信息处理者应当采取技术措施和其他必要措施，确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失；发生或者可能发生个人信息泄露、篡改、丢失的，应当及时采取补救措施，按照规定告知自然人并向有关主管部门报告。

2021年通过的《个人信息保护法》，则进一步对个人信息侵权提供了保护和救济。根据《个人信息保护法》第五十条规定，个人信息处理者拒绝个人行使权利的请求的，个人可以依法向人民法院提起诉讼。第六十九条规定，处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定；个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额。

2.行政方面

个人信息保护在行政方面，《网络安全法》和《个人信息保护法》均有相关规定，对有关的责任主体进行监管。

根据《网络安全法》第四十三条规定，个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正；网络运营者、网络产品或者服务的提供者侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

根据《个人信息保护》第六十六条规定：“违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。”

3.刑事方面

在刑事方面，我国主要以侵犯公民个人信息罪对个人信息进行保护。

2009年2月28日，《刑法修正案（七）》增设“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”。2015年8月29日，《刑法修正案（九）》将两罪名合并成“侵犯公民个人信息罪”，规定违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

2017年5月8日，最高人民法院、最高人民检察院联合发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，对侵犯公民个人信息罪的定罪量刑标准进行了详细规定。

综上，个人信息受到侵害时，可通过行民事、行政、刑事等途径寻求救济。但在民事方面，主张个人信息民事侵权需要满足相应的侵权归责构成要件，而且可取得的经济赔偿往往非常有限，导致通过民事侵权方式进行个人信息保护难度大、成本高。所以在实践中，对个人信息的保护以刑事救济为主，且对犯罪行为处罚力度也在加大。

五、侵犯个人信息的手段

（一）经营者未经本人同意收集个人信息

根据《网络安全法》和《个人信息保护法》的规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要和诚信原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

但在实践中，经营者收集个人信息时，存在不经本人同意或者以欺诈、诱骗、误导方式收集的情形，导致个人信息大量被泄露。

（二）经营者收集不必要的个人信息

收集个人信息，应当遵循最小必要原则，应当限于实现处理目的的最小范围，不得过度收集个人信息，不得收集与其提供的服务无关的个人信息。经营者收集不必要的个人信息，导致与相关服务无关的信息被泄露的风险加大。

（三）经营者或不法分子故意泄露、出售或者非法向他人提供个人信息

收集个人信息后，经营者成了个人信息控制者，但出于不法目的或监管不严，导致泄露、出售或者非法向他人提供个人信息情况偶有发生。在与个人信息有关的刑事处罚以及行政处罚案例中，大多数违法、犯罪主体都是经营者或者其内部人员。

（四）不法分子通过木马病毒、钓鱼网站等手段盗取、骗取个人信息

不法分子通过非法手段，盗取、骗取个人信息，也是个人信息泄露的主要途径之一。

六、保护个人信息的建议

要进行对个人信息的保护，需从个人信息的收集、存储、使用、委托处理、共享、转让、公开披露等多方面着手，实现全方位、全流程保护。

（一）个人信息的收集

经营者收集个人信息，应当遵循合法、正当、必要的原则，公开收集规则，明示收集信息的目的、方式和范围等规则，并获得个人信息主体的授权同意，不得收集与其提供的服务无关的个人信息，不得以非法途径或手段收集个人信息。

（二）个人信息的存储

1.存储时间最小化

个人信息存储期限应为实现个人信息主体授权使用的目的所必需的最短时间，超出个人信息存储期限后，应对个人信息进行删除或匿名化处理。

2.去标识化处理

收集个人信息后，宜对个人信息进行去标识化处理，并采取技术和管理方面的措施，将可用于恢复识别个人的信息与去标识化后的信息分开存储。

3.敏感个人信息的存储

存储敏感个人信息时，应采用加密等安全措施，原则上不应存储原始个人生物识别信息。

（三）个人信息的使用

1.适用范围限制

使用个人信息时，不应超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要，确需超出上述范围使用个人信息的，应再次征得个人信息主体明示同意。

2.消除明确身份指向性

除为实现个人信息主体授权同意的使用目的所必需外，使用个人信息时应消除身份指向性，避免精确定位到特定个人。

（四）个人信息的共享、转让

1.共享、转让个人信息时，应充分重视风险，事先开展个人信息安全影响评估。

2.共享、转让个人信息，应向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果，并事先征得个人信息主体的授权同意。

3.因共享、转让个人信息发生安全事件而对个人信息主体合法权益造成损害的，应承担相应的责任。

（五）个人信息公开披露

个人信息原则上不应公开披露，确需公开披露时，应事先开展个人信息安全影响评估，向个人信息主体告知公开披露个人信息的目的、类型，并事先征得个人信息主体明示同意。因公开披露个人信息对个人信息主体合法权益造成损害的应承担相应责任。

（六）个人信息安全事件处置

网络运营者应制定个人信息安全事件应急预案，发生个人信息安全事件后，应及时评估事件可能造成的影响，并采取必要措施控制事态，消除隐患，同时及时更新应急预案。

（七）个人信息主体的权利

1.查阅、复制权

个人信息主体提出查阅、复制其主动提供的个人信息时，网络运营者应及时提供。

2.可携带权

个人信息主体请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，网络运营者应当提供转移的途径。

3.更正权

个人信息主体发现网络运营者所持有的该主体的个人信息不准确或不完整的，网络运营者应为其提供请求更正或补充信息的方法。

4.删除权

网络运营者违法或者违反约定收集、使用、共享、转让、公开披露个人信息的，经个人信息主体要求，网络运营者应及时删除个人信息。

5.撤回权

网络运营者应向个人信息主体提供撤回收集、使用其个人信息的授权同意的方法。经个人信息主体主张撤回后，个人信息控制者后续不应再处理相应的个人信息。

网络运营者应保障个人信息主体拒绝接收基于其个人信息推送商业广告的权利。

七、《个人信息保护法》立法情况简介

《个人信息保护法》由中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议于2021年8月20日通过，自2021年11月1日起正式施行。《个人信息保护法》分为八章，分别是总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任、附则。

《个人信息保护法》对同意的形式、敏感个人信息、个人信息保护负责人、个人信息跨境提供的要求、删除权、更正权等制度进行了规定。

同时，《个人信息保护法》也根据国情，特别进行了一些细致规定，如国家机关收集个人信息应遵循的要求、侵害众多个人信息权益的公益诉讼、违法行为记入社会信用档案等。

总体来说，《个人信息保护法》已经响应了社会公众对个人信息保护的迫切需要，并对目前常见的侵害个人信息权利的行为提供了可行的处理方法。值得注意的是，徒法不足以自行，即使目前《个人信息保护法》已经正式实施，其贯彻效果仍受配套细则完善程度、相关部门执法力度、社会公众支持程度制约。