GB/T 35273《信息安全技术个人信息安全规范》在2018年5月1日正式实施,其实这本该是件普“法”同庆的事,但越持续观察我却越来越表示出了强烈的忧虑。当我和一些互联网公司的法务交流意见时,很多人竟然也都深有同感——个人信息的合规竟然莫名其妙更难更糊涂了。
有位互联网公司的资深法务就和我聊了一件尴尬的小事,公司根据35273在修订原来版本的《隐私政策指引》时,法务认为“点赞”日志信息不是个人信息,这引起产品小伙伴的“鄙视”,他把35273文本丢给法务小伙伴说:“看,现在‘点击记录’(附录A 个人信息举例“个人上网记录”)也明确是个人信息了,“网络浏览记录”甚至都是个人敏感信息(附录B 个人敏感信息举例)你把点赞信息放到非个人信息是错的,也是很危险的”。
以“点赞”这类上网记录继续往外推演,其实会有更多更让人犯迷糊的同类争议,例如附录A中的性别、民族、国籍、IP地址、体重身高肺活量、职位、虚假财产信息、通信记录、群列表、IMEI、MAC地址等等。这些信息在一般的互联网产品例如APP中,其实不太会涉及,但是,如果一旦涉及到金融消费领域,那可能每一项所列信息都会成为公司合规的要点。例如P2P借款APP、消费金融APP等,这类APP基本上都会要求用户提供上下十九代联系人的个人信息,例如紧急联系人电话、财产信息、工作信息、身份证照片等等。
一、个人信息之法律定义
相比较于个人信息安全规范如此细致的罗列,我们国家其它法律法规就显得较少了。例如:(1)《网络安全法》仅明确“自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”这几类,如果我们单个认真分析,其实里面的“出生日期”也是有一定问题的,单看一个出生日期是不能认别某个特定自然人身份的。(2)《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中在网络安全法之上,特意加了“反映特定自然人活动情况”(财产状况、行踪轨迹等)作为个人信息类型之一,其实个人认为这条并没有超出网络安全法对个人信息的限定,因为刑法要保护的法益可能会更敏感,所以对自然人活动情况作为特别提示,而实际上,单独的财产状况仍不能构成个人信息(例如某人把放在4S店里的未上牌但有发动机唯一号的待售车辆财产信息在网络上进行出售,不应当视为侵害公民个人信息)。(3)《电信和互联网用户个人信息保护规定》中另行确定“用户使用服务的时间、地点等信息”也视为个人信息,相关分析可见拙文最高院裁定“开机提醒”属个人信息:评“用户使用状态”产品功能的合规,个人理解很大程度上电话本身就是能够识别个人,该电话号码下的服务使用也应当属于个人信息。
很多情况下,人们更愿意相信自己直观看到的文字,例如我们就直接将个人信息安全规范附录A中的mac地址视为个人信息,因为附录A不是明明白白地写了么。为什么很多人会这么想?很大程度上是因为当人们试图去搞明白什么叫个人信息,而他们去检索时,会发现太多不确切的内容:例如,在漫天的新闻报道中的,以及很多专家评述总归是各种迎合个人信息安全规范的姿态,例如“该《规范》则进一步明确了个人敏感信息的具体概念,……除了财产信息、健康生理信息、生物识别信息、身份信息和网络身份标识信息以外,还包括电话号码、网页浏览记录、行踪轨迹等”,“个人信息安全规范确定上网记录属于个人信息啦!!!”等等类似,人们只谈这个规范的意义,因为天下人民苦个人信息泄露之苦久矣,所以现在终于有机会奋起出头了。但没有知道,附录A\B只是供大家理解参考所用的资料性附录而已。
二、个人信息之网络运营者实践
在2017年网信办等机构组织10大平台隐私条款评审后,京东淘宝等平台均对其原隐私政策条款进行大刀阔斧的修订。然后从结果来看,虽然各家都似乎已通过了网信办的条款评审,但从最终的结果来看,是令我十分惊讶的——不同平台修订后的条款内容有些都发生了强烈地冲突。
京东评审后的隐私政策对个人信息的定义是:本隐私政策中涉及的个人信息包括:基本信息(包括个人姓名、生日、性别、住址、个人电话号码、电子邮箱);个人身份信息(包括身份证、军官证、护照、驾驶证等);面部特征;网络身份标识信息(包括系统账号、IP地址、邮箱地址及与前述有关的密码、口令、口令保护答案);个人财产信息(交易和消费记录、以及余额、京豆、优惠券、京东E卡、游戏类兑换码等虚拟财产信息);通讯录;个人上网记录(包括网站浏览记录、软件使用记录、点击记录);个人常用设备信息(包括硬件型号、设备MAC地址、操作系统类型、软件列表唯一设备识别码(如IMEI/android ID/IDFA/OPENUDID/GUID、SIM卡IMSI信息等在内的描述个人常用设备基本情况的信息);个人位置信息(包括行程信息、精准定位信息、住宿信息、经纬度等)。
再来看一下同样经过网信办评审过的淘宝隐私条款,对于和京东相关的日志或设备信息,他是这么表述的“请注意,单独的设备信息、日志信息等是无法识别特定自然人身份的信息。如果我们将这类非个人信息与其他信息结合用于识别特定自然人身份,或者将其与个人信息结合使用,则在结合使用期间,这类非个人信息将被视为个人信息”。
另外,苹果公司的隐私政策有如下表述“我们还会收集利用其本身无法与任何特定个人直接建立联系的数据。我们可出于任何目的而收集、使用、转让和披露非个人信息。下文是我们可能收集的非个人信息以及我们如何使用这些信息的一些示例:我们会收集诸如职业、语言、邮编、区号、唯一设备标识符、引荐 URL、位置以及用户在使用 Apple 产品时所处时区等信息……如果我们将非个人信息与个人信息结合使用,则在结合使用期间,此类信息将被视为个人信息。”
谷歌的隐私权政策认为“凡是与您的 Google 帐户相关联的信息,我们一律会视为个人信息。”。
从上各类条款来看,京东的隐私条款一看就是从附录A中摘抄出来的,连表达方式和分类都一样,这类隐私条款虽然看起来很美,但把个人信息和个人隐私一概不加区别,实际上对于公众的认知是有误导之嫌的。个人认为淘宝、苹果以及谷歌的隐私政策才更符合法律定义,而且如果大家仔细对比,淘宝的隐私权政策,其实和个人信息安全规范所附的《隐私政策模板》基本表述一致的,想来京东估计也不愿用这个模板。这些在同一评审后的矛盾性条款,竟然都能同时生存下来,实在令人不解。其实,如果大家更机智一点,就别在自己的隐私政策中区别个人信息和个人隐私了。
三、个人信息之刑法契合
除此外,在实践中,以司法领域里的刑事案件为例,非常多的刑事案件判决都试图对个人信息的认定“蒙混过关”,大部分的情况下,刑事法官在裁判文书中的说理水平远远逊于民事案件法官。在这类刑事裁判文书中,法院的裁决逻辑非常简单,即“犯罪嫌疑人获取了某某信息+两高司解关于个人信息的定义+诺,符合个人信息定义了吧,那就定吧”。
例如:某地法院对某案是这么说理的,“本院认为:关于辩护人辩称QQ和微信提取好友信息和注册信息不属于公民个人信息的意见”+“经查,最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条规定:刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等”+“根据被告人供述、证人证言及提取数据的视频资料等证据足以证实,QQ和微信提取好友信息和注册信息属于公民个人信息的范畴,故对该辩护意见,本院不予采纳。”
这就是一段非常“完美”的用以论证“QQ和微信提取好友信息和注册信息属于个人信息”的判词,法官用“足以证实”这类表述就可以定案。而实际上,“好友信息和注册信息”都没有被明确定义在两高司解之中,法官必须对这两个概念进行识别性论证,这种简单而粗暴的论证太过于敷衍。
在《最高人民法院、最高人民检察院、公安部关于依法惩处侵害公民个人信息犯罪活动的通知(公通字〔2013〕12号)》中,个人信息有如下描述:公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。在网安法实施前,这种对个人信息和个人隐私不加区别的定义虽然合理,但目前不宜再继续延用了。
在最近的空姐在滴滴顺风车遇难一案中,郑州公安局某警队辅助人员将获取的案件现场照片私自传播给朋友4人,该4人又将空姐遗体照片转发至各微信群。后该5人因涉嫌侵犯公民个人信息被采取刑事拘留措施。问题来了,这些人的行为确实令人反感,但在法律定性上,遗体照片(假设可见脸部特证)是否属于个人信息?个人倾向于认定为个人信息,但就一张照片的传播,对照条文,远不能达到侵害公民个人信息犯罪的“情节严重”标准,入该罪确有些矫枉过正了。
相比较于刑事案件中说理部分的极简风格以及眉毛胡子一把抓,民事案件对于相关概念的分析才真是令人酣畅淋漓,例如百度隐私权第一案、微博大数据争议案等。之所以出现这种原因,也是因为刑事案件长期积习就是如此,说得越多错的越多,而且反正我公权至上我说了算,民事案件法官需要双方当事人都信服所以喜欢洋洒,而刑事案件里刑事法官基本上只要搞定被告人单方就行了没什么压力,相信很多刑事辩护律师看到一审判决那些毫无充分说理的判词,都不知道该如何反驳了。
四、个人信息之“本源”
回到主题,我们应当回到个人信息认定的本源,其实就几个字而已:识别个人。对此,个人信息安全规范在附录A的说明文字中,其实解释得非常准确,但可惜这些文字都被附录A和附录B抢了风头了。
即,两种方式来确定是不是个人信息,一是“识别”(从信息到个人),即我们看到一个信息时,就能确定到一个特定的个人,而所谓的“确定”,个人愚见仍可以分为三种类型,首先是“唯一且直接确定特定人”,例如身份证号、生物识别信息、姓名、身份证;其次是“能联系到个人”的信息,例如住址、电话号码、邮箱、帐号密码这类;最后是数据画像精确到特定人,即互联网公司通过碎片信息的打包集合,识别出这个碎片打包信息就是某个特定人。
二是“关联”(从个人到信息),这种识别方式也是实践中最为混乱的方式,其逻辑在于,先存在特定人的识别,然后这个特定人的所有活动,都视为个人信息。例如某人实名登陆其APP帐号,然后开始为网红点赞,开始浏览各类网站信息,这些点赞和浏览记录,就是个人信息,而且有时候也是非常敏感的个人信息。但是,十分值得注意的,理想状况下,某人新买一个手机,安装了快手短视频,没有帐户登陆就给上面的小姐姐点赞或产生了各类浏览记录了,那这个点赞和浏览记录就不是个人信息;同样的道理,虽然用户登陆帐户进行了点赞,但是APP却把点赞信息在生成当时就进行了去标识化,人们不会知道到底是哪个特定人点了赞,这种点赞就不是个人信息了。
很多时候,识别终端的信息(例如IMEI等)并不应当就被视为是一种个人信息,根据目前的法律规定,识别个人的才是个人信息。
对此,我看到很多专家亦有此方面的忧虑或有相关评析,例如腾讯网络安全与犯罪研究基地高级研究员田申认为“为了满足法律与标准的适用统一,法律与标准只能将“不确定的”信息通过“概述+列举”的方式予以规定。因此,法律与标准所描述的类型化信息(例如:cookies、IMEI等)需要结合具体场景进一步确定,尤其是在刑事领域。如果简单的将概念化、类型化的信息不加区分地直接根据定义,经行认定为刑法意义上的“公民个人信息”,将导致刑事打击的范围过宽。”
还有,例如GB/T 35273《信息安全技术个人信息安全规范》起草人之一的洪延青老师就认为:“附录A某项信息是否属于个人的信息,考虑两个路径,一是识别,从信息到个人,由信息本身特殊性识别出特定自然人,个人信息应有助于识别出特定个人。二是关联路径,我特别想强调,关联路径前提是个人已经识别出来了,他后续做的一系列动作,系统又被记录了,他所做的动作往往显示偏好和行为轨迹,这些肯定是属于个人信息的。这是识别路径和关联路径。”
对于个人信息的定义,社会上普遍形成了矫枉过正的姿态,虽然大家都痛恨个人信息泄露所带来的负面影响,但以违反法律为代价去维护所谓的公平正义,恰是真正的不公平正义,长此以往,就会成为历史深处的忧虑。
评《个人信息安全规范》之“个人信息”定义:写在历史深处的忧虑
作者:麻策来源:网络法实务圈

GB/T 35273《信息安全技术个人信息安全规范》在2018年5月1日正式实施,其实这本该是件普“法”同庆的事,但越持续观察我却越来越表示出了强烈的忧虑。