个人信息合理利用亟待解决

进景区没有纸质票，被强制要求网上购票后刷身份证入园；刚在社交软件上说要学游泳，打开购物软件就看到首页推荐泳衣；下载新的社交软件，发现推荐的好友全是通讯录里的人……

随着信息技术的迅速发展，个人信息保护日益成为全社会关注的问题。2021年11月1日，我国首部全面保护个人信息的专门性立法——个人信息保护法正式实施。

个人信息保护法（以下简称“个保法”）实施两年来，对于保护公民个人信息权益、规范个人信息处理活动、促进个人信息合理利用等方面发挥了重要作用。但随着信息技术的不断发展，个人信息保护工作也面临新的挑战和要求。

首例涉“人脸识别”民事公益诉讼案

11月7日，《广州日报》报道了广州互联网法院审理的一起涉“人脸识别”个人信息保护民事公益诉讼案。这也是首例涉“人脸识别”民事公益诉讼案。

从2020年9月开始，郑某利用某即时通讯软件组建群组，在该群组及微信群、QQ群中向不特定社会公众发布广告，宣称可代查个人名下手机号、通过微信号反查手机号等信息，也可以通过身份证号码查找个人高清身份证照片。任某、戴某、陈某通过上述群组先后向郑某购买公民个人信息，制作虚假人脸动态识别视频，用于解封账号、验证APP的实名认证，从中非法获利。

2022年，广州市越秀区人民检察院以郑某、任某、戴某、陈某4人行为侵害了社会公共利益，依法向广州互联网法院提起个人信息保护民事公益诉讼。

法院经审理查明：在未取得信息主体授权同意的情况下，四被告通过“查头”“过脸”的手段对不特定社会公众的人脸信息进行非法收集、买卖、使用，侵害了不特定公众的信息自决权。虽本案中的受害人无法特定化，但已泄露的个人信息仍在网络黑灰产市场流通，不特定公众的人格性权益、财产性权益、安全性权益都存在风险的“聚合效应”，与目前个人信息被非法买卖、非法使用等现象的泛滥呈正向相关趋势。

广州互联网法院审理后判决：四被告注销用于侵权的互联网账号、解散或退出用于传授犯罪方法的通讯群组；被告郑某向法院支付公益损害赔偿金13000元，任某、戴某、陈某各向法院支付公益损害赔偿金30000元。四被告在省级以上媒体或具有同等影响力的互联网媒体上公开发表经法院认可的赔礼道歉声明。

法院指出，人脸信息属于敏感个人信息，一旦泄露或者非法使用，将会对个人的人身财产权益造成严重侵害。

“信息具有聚合效应，单个信息可能并不属于敏感信息上的任何一类，但聚合起来就有可能会揭示出敏感的个人信息。”北京航空航天大学法学院教授裴炜说，区分一般个人信息还是敏感个人信息直接会影响入罪标准。

近年来，检察机关不断拓宽公益诉讼案件范围，2020年9月，最高检出台《关于积极稳妥拓展公益诉讼案件范围的指导意见》，明确将个人信息保护作为网络侵害领域的办案重点。

“个保法不是单独在战斗”

11月1日，北京互联网法院通报了自2018年9月至今个人信息保护案件的审理情况，并发布了涉及个人信息保护的典型案例。

其中就有全国首例适用民法典裁判的APP强制收集用户画像信息侵权案。

该案中，原告罗某认为被告运营的软件在用户首次登录时强制收集用户画像信息用于个性化推送，侵犯其个人信息权益。罗某诉称，被告运营的软件在未告知隐私政策的情况下，要求用户必须填写“姓名”“职业”“学习目的”“英语水平”等内容才能完成登录，同时被告还存在未经同意向其发送营销短信、向关联软件共享信息等行为。

北京互联网法院经审理认为，涉案软件在首次登录界面收集用户画像信息，未设置“跳过”“拒绝”等路径，属于强制收集，构成侵权，依法判决被告涉案软件运营者承担相应侵权责任。宣判后，被告上诉。二审维持原判。目前，该判决已生效。

“虽然个人信息保护法颁布实施以来，个人信息处理者的信息保护意识显著提升，但部分信息处理者仍存在违反个人信息保护法律规定的行为。”北京互联网法院副院长赵瑞罡说。

司法部门已经发布了一系列指导性案例。

2022年12月，最高人民法院发布第35批共4件指导性案例，均为公民个人信息保护刑事案例。该批案例分别涉及人脸识别信息、居民身份证信息、微信等社交媒体账号、手机验证码等刑法保护的公民个人信息范围、性质，对于明确类案裁判规则，依法保护公民个人信息具有重要的指导意义。

“个保法的发布有很强的震慑作用，对加强侵害个人信息行为的监管提供了非常好的支撑。”一位长期从事个人信息保护研究工作的专家告诉《法治周末》记者，通过目前大量的司法案例来看，个人信息的保护在初期取得了不错的效果，特别是APP强制索权的现象已经得到了极大的改善。

“个保法不是单独在战斗，而是好几个法律并肩作战。”中国政法大学传播法研究中心副主任朱巍告诉《法治周末》记者，刑法、民法典、网络安全法、数据安全法与个保法共同构成了保护个人信息安全的“四梁八柱”。

裴炜在接受《法治周末》记者采访时表示，个保法为个人信息保护制度搭建了一个整体框架。在她看来，个保法的实施促进了个人信息保护领域的公益诉讼的建设和发展。同时，司法部门发布的一系列指导性案例，激活了个人信息领域的司法保护。执法层面，相关部门开展了关于个人信息保护方面的治理工作，提升了整体的监管质效。

公安部每年组织“净网”专项行动，依法严厉打击侵犯公民个人信息违法犯罪活动。8月10日，公安部召开新闻发布会，通报公安机关打击侵犯公民个人信息违法犯罪成效情况。数据显示，2020年至今年8月，该专项行动累计侦破案件3.6万起，抓获犯罪嫌疑人6.4万名。

个人信息范围和认定仍存争议

北京互联网法院的通报显示：个人信息保护案件涉诉信息类型较为丰富，既包括法律法规列明的手机号、身份证号、行踪信息等，也包含大量法律未明确列举的信息，例如，网页视频浏览记录、职业信息、交易信息、位置信息等，还包括敏感个人信息。

赵瑞罡称，个人信息的认定存在一定的复杂性，比如，在案件中，部分信息经过脱敏化处理，是否还属于个人信息；好友关系、违法犯罪记录等信息属于隐私还是个人信息等问题的认定，往往需要结合使用场景予以个案判定。

“个人信息保护法还是一个比较新的法律制度，在目前整体的立法层面存在一些法律制度相兼容的问题。个人信息保护法所确立的一系列公民的个人信息相关的权益涉及到民法、商法、行政法、刑法、诉讼法等系列相关法律，而各个法在认知个人信息保护方面有比较大的区别”裴炜说。

她表示，个人信息区分为一般个人信息和敏感个人信息，在个保法中用描述加列举的形式对敏感个人信息给予界定，但有一些信息是介于两者之间的，这些信息的分类在司法认知层面还存在比较大的差异。

个保法中对敏感个人信息进行了列举：敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

而民法典只有对个人信息的列举，没有单独对敏感个人信息予以界定。

朱巍告诉《法治周末》记者，个保法与民法典的适用有待进一步协调，“关于侵害公民个人信息罪的司法解释，其中敏感个人信息的范围在不同法律中的相关的内涵和外延的界定不同。按照情节和性质的不同，再区分到底是民事责任、行政责任还是刑事责任”。他建议，对个保法出台实施细则、司法解释等，也可以扩张相关法律规定。

赵瑞罡表示，在个人信息保护问题上仍然存在诸多待解难题，包括相关法律适用有待进一步明晰。个人信息保护法与民法典的适用有待进一步协调；个人信息范围和认定仍存争议。

个人信息的合理利用亟待解决

随着人工智能、大数据等新技术的广泛应用，个人信息的收集、使用和保护等方面仍有挑战。

“个人信息泄露后的精准电信诈骗依旧存在；针对个人信息超过合法性、正当性的采集依旧存在，例如，扫码点餐，刷身份证进景区等；完全没必要收集个人信息的情况现在依然普遍。”朱巍说。

他强调，平台要收敛个人信息的收集的行为，“现在几乎所有景区都在没有边界的采用信息，进门都要刷身份证，坐缆车也要刷身份证，有些还要填写亲属信息。因此，我们的身份证信息、人脸识别、位置信息甚至财务信息全被收集走了”。

在目前个保法框架的基础上，实现信息的合理利用成为亟待解决的问题。

裴炜建议，在目前个人信息保护法的框架之下，要进一步细化个人信息的不同概念、内涵和外延，尽可能的缩小司法、行政执法领域的认知偏差。由于技术本身是不断更新的，立法会相对滞后，紧跟技术革新建立技术标准，为技术和法律制度之间提供过渡和衔接的桥梁。持续发布指导性案例，在行政执法的实践中形成规范。这三者结合起来再逐渐上升为立法，从而完善立法制度。是一个从立法到实践由上而下，再从实践到立法的这样一个由下而上的双向过程。

个人信息保护有强烈的涉外属性

跨国个人信息传输和共享成为越来越普遍的现象，不同国家之间的法律差异和冲突给个人信息保护带来了新的挑战。

“互联网技术是全球联通的状态，数据在全球不断流转和分布，企业可能会同时面临着国内法和域外法的双重规制。中国与美国、欧盟在个人信息的定义、类型化就存在比较大的差异，在个人信息使用或者保护方面就会存在一些障碍，企业的合规也可能会面临比较大的冲突，合一国之规可能会违反另外一国的法律。”裴炜说，个人信息保护具有强烈的涉外属性，未来我国的相关制度建设需要兼容国内和国际需求，强化本国个人信息相关制度向国际规则转化的能力，促进网络空间命运共同体的建设。

如何构建有效的跨国个人信息保护合作机制，确保信息的合法、合规传输和利用，是未来个人信息保护工作的重要方向。

裴炜向《法治周末》记者透露，当前联合国《网络犯罪公约》正在制定中，该公约有望成为第一份由中国积极推动形成的具有国际法效力的网络空间治理规范性文件，而个人信息保护是公约的重要原则之一，同时也是各项程序性规则的制度基础。