個人信息保護法實施兩年來，對于保護公民個人信息權益，規范個人信息處理活動，促進個人信息合理利用等方面發揮了重要作用

《法治周末》記者 孟偉

進景區沒有紙質票，被強制要求網上購票后刷身份證入園；剛在社交軟件上說要學游泳，打開購物軟件就看到首頁推薦泳衣；下載新的社交軟件，發現推薦的好友全是通訊錄里的人……

隨著信息技術的迅速發展，個人信息保護日益成為全社會關注的問題。2021年11月1日，我國首部全面保護個人信息的專門性立法——個人信息保護法正式實施。

個人信息保護法（以下簡稱“個保法”）實施兩年來，對于保護公民個人信息權益、規范個人信息處理活動、促進個人信息合理利用等方面發揮了重要作用。但隨著信息技術的不斷發展，個人信息保護工作也面臨新的挑戰和要求。

首例涉“人臉識別”民事公益訴訟案

11月7日，《廣州日報》報道了廣州互聯網法院審理的一起涉“人臉識別”個人信息保護民事公益訴訟案。這也是首例涉“人臉識別”民事公益訴訟案。

從2020年9月開始，鄭某利用某即時通訊軟件組建群組，在該群組及微信群、QQ群中向不特定社會公眾發布廣告，宣稱可代查個人名下手機號、通過微信號反查手機號等信息，也可以通過身份證號碼查找個人高清身份證照片。任某、戴某、陳某通過上述群組先后向鄭某購買公民個人信息，制作虛假人臉動態識別視頻，用于解封賬號、驗證APP的實名認證，從中非法獲利。

2022年，廣州市越秀區人民檢察院以鄭某、任某、戴某、陳某4人行為侵害了社會公共利益，依法向廣州互聯網法院提起個人信息保護民事公益訴訟。

法院經審理查明：在未取得信息主體授權同意的情況下，四被告通過“查頭”“過臉”的手段對不特定社會公眾的人臉信息進行非法收集、買賣、使用，侵害了不特定公眾的信息自決權。雖本案中的受害人無法特定化，但已泄露的個人信息仍在網絡黑灰產市場流通，不特定公眾的人格性權益、財產性權益、安全性權益都存在風險的“聚合效應”，與目前個人信息被非法買賣、非法使用等現象的泛濫呈正向相關趨勢。

廣州互聯網法院審理后判決：四被告注銷用于侵權的互聯網賬號、解散或退出用于傳授犯罪方法的通訊群組；被告鄭某向法院支付公益損害賠償金13000元，任某、戴某、陳某各向法院支付公益損害賠償金30000元。四被告在省級以上媒體或具有同等影響力的互聯網媒體上公開發表經法院認可的賠禮道歉聲明。

法院指出，人臉信息屬于敏感個人信息，一旦泄露或者非法使用，將會對個人的人身財產權益造成嚴重侵害。

“信息具有聚合效應，單個信息可能并不屬于敏感信息上的任何一類，但聚合起來就有可能會揭示出敏感的個人信息?！北本┖娇蘸教齑髮W法學院教授裴煒說，區分一般個人信息還是敏感個人信息直接會影響入罪標準。

近年來，檢察機關不斷拓寬公益訴訟案件范圍，2020年9月，最高檢出臺《關于積極穩妥拓展公益訴訟案件范圍的指導意見》，明確將個人信息保護作為網絡侵害領域的辦案重點。

“個保法不是單獨在戰斗”

11月1日，北京互聯網法院通報了自2018年9月至今個人信息保護案件的審理情況，并發布了涉及個人信息保護的典型案例。

其中就有全國首例適用民法典裁判的APP強制收集用戶畫像信息侵權案。

該案中，原告羅某認為被告運營的軟件在用戶首次登錄時強制收集用戶畫像信息用于個性化推送，侵犯其個人信息權益。羅某訴稱，被告運營的軟件在未告知隱私政策的情況下，要求用戶必須填寫“姓名”“職業”“學習目的”“英語水平”等內容才能完成登錄，同時被告還存在未經同意向其發送營銷短信、向關聯軟件共享信息等行為。

北京互聯網法院經審理認為，涉案軟件在首次登錄界面收集用戶畫像信息，未設置“跳過”“拒絕”等路徑，屬于強制收集，構成侵權，依法判決被告涉案軟件運營者承擔相應侵權責任。宣判后，被告上訴。二審維持原判。目前，該判決已生效。

“雖然個人信息保護法頒布實施以來，個人信息處理者的信息保護意識顯著提升，但部分信息處理者仍存在違反個人信息保護法律規定的行為?！北本┗ヂ摼W法院副院長趙瑞罡說。

司法部門已經發布了一系列指導性案例。

2022年12月，最高人民法院發布第35批共4件指導性案例，均為公民個人信息保護刑事案例。該批案例分別涉及人臉識別信息、居民身份證信息、微信等社交媒體賬號、手機驗證碼等刑法保護的公民個人信息范圍、性質，對于明確類案裁判規則，依法保護公民個人信息具有重要的指導意義。

“個保法的發布有很強的震懾作用，對加強侵害個人信息行為的監管提供了非常好的支撐?！币晃婚L期從事個人信息保護研究工作的專家告訴《法治周末》記者，通過目前大量的司法案例來看，個人信息的保護在初期取得了不錯的效果，特別是APP強制索權的現象已經得到了極大的改善。

“個保法不是單獨在戰斗，而是好幾個法律并肩作戰?！敝袊ù髮W傳播法研究中心副主任朱巍告訴《法治周末》記者，刑法、民法典、網絡安全法、數據安全法與個保法共同構成了保護個人信息安全的“四梁八柱”。

裴煒在接受《法治周末》記者采訪時表示，個保法為個人信息保護制度搭建了一個整體框架。在她看來，個保法的實施促進了個人信息保護領域的公益訴訟的建設和發展。同時，司法部門發布的一系列指導性案例，激活了個人信息領域的司法保護。執法層面，相關部門開展了關于個人信息保護方面的治理工作，提升了整體的監管質效。

公安部每年組織“凈網”專項行動，依法嚴厲打擊侵犯公民個人信息違法犯罪活動。8月10日，公安部召開新聞發布會，通報公安機關打擊侵犯公民個人信息違法犯罪成效情況。數據顯示，2020年至今年8月，該專項行動累計偵破案件3.6萬起，抓獲犯罪嫌疑人6.4萬名。

個人信息范圍和認定仍存爭議

北京互聯網法院的通報顯示：個人信息保護案件涉訴信息類型較為豐富，既包括法律法規列明的手機號、身份證號、行蹤信息等，也包含大量法律未明確列舉的信息，例如，網頁視頻瀏覽記錄、職業信息、交易信息、位置信息等，還包括敏感個人信息。

趙瑞罡稱，個人信息的認定存在一定的復雜性，比如，在案件中，部分信息經過脫敏化處理，是否還屬于個人信息；好友關系、違法犯罪記錄等信息屬于隱私還是個人信息等問題的認定，往往需要結合使用場景予以個案判定。

“個人信息保護法還是一個比較新的法律制度，在目前整體的立法層面存在一些法律制度相兼容的問題。個人信息保護法所確立的一系列公民的個人信息相關的權益涉及到民法、商法、行政法、刑法、訴訟法等系列相關法律，而各個法在認知個人信息保護方面有比較大的區別”裴煒說。

她表示，個人信息區分為一般個人信息和敏感個人信息，在個保法中用描述加列舉的形式對敏感個人信息給予界定，但有一些信息是介于兩者之間的，這些信息的分類在司法認知層面還存在比較大的差異。

個保法中對敏感個人信息進行了列舉：敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。

而民法典只有對個人信息的列舉，沒有單獨對敏感個人信息予以界定。

朱巍告訴《法治周末》記者，個保法與民法典的適用有待進一步協調，“關于侵害公民個人信息罪的司法解釋，其中敏感個人信息的范圍在不同法律中的相關的內涵和外延的界定不同。按照情節和性質的不同，再區分到底是民事責任、行政責任還是刑事責任”。他建議，對個保法出臺實施細則、司法解釋等，也可以擴張相關法律規定。

趙瑞罡表示，在個人信息保護問題上仍然存在諸多待解難題，包括相關法律適用有待進一步明晰。個人信息保護法與民法典的適用有待進一步協調；個人信息范圍和認定仍存爭議。

個人信息的合理利用亟待解決

隨著人工智能、大數據等新技術的廣泛應用，個人信息的收集、使用和保護等方面仍有挑戰。

“個人信息泄露后的精準電信詐騙依舊存在；針對個人信息超過合法性、正當性的采集依舊存在，例如，掃碼點餐，刷身份證進景區等；完全沒必要收集個人信息的情況現在依然普遍?！敝煳≌f。

他強調，平臺要收斂個人信息的收集的行為，“現在幾乎所有景區都在沒有邊界的采用信息，進門都要刷身份證，坐纜車也要刷身份證，有些還要填寫親屬信息。因此，我們的身份證信息、人臉識別、位置信息甚至財務信息全被收集走了”。

在目前個保法框架的基礎上，實現信息的合理利用成為亟待解決的問題。

裴煒建議，在目前個人信息保護法的框架之下，要進一步細化個人信息的不同概念、內涵和外延，盡可能的縮小司法、行政執法領域的認知偏差。由于技術本身是不斷更新的，立法會相對滯后，緊跟技術革新建立技術標準，為技術和法律制度之間提供過渡和銜接的橋梁。持續發布指導性案例，在行政執法的實踐中形成規范。這三者結合起來再逐漸上升為立法，從而完善立法制度。是一個從立法到實踐由上而下，再從實踐到立法的這樣一個由下而上的雙向過程。

個人信息保護有強烈的涉外屬性

跨國個人信息傳輸和共享成為越來越普遍的現象，不同國家之間的法律差異和沖突給個人信息保護帶來了新的挑戰。

“互聯網技術是全球聯通的狀態，數據在全球不斷流轉和分布，企業可能會同時面臨著國內法和域外法的雙重規制。中國與美國、歐盟在個人信息的定義、類型化就存在比較大的差異，在個人信息使用或者保護方面就會存在一些障礙，企業的合規也可能會面臨比較大的沖突，合一國之規可能會違反另外一國的法律?！迸釤樥f，個人信息保護具有強烈的涉外屬性，未來我國的相關制度建設需要兼容國內和國際需求，強化本國個人信息相關制度向國際規則轉化的能力，促進網絡空間命運共同體的建設。

如何構建有效的跨國個人信息保護合作機制，確保信息的合法、合規傳輸和利用，是未來個人信息保護工作的重要方向。

裴煒向《法治周末》記者透露，當前聯合國《網絡犯罪公約》正在制定中，該公約有望成為第一份由中國積極推動形成的具有國際法效力的網絡空間治理規范性文件，而個人信息保護是公約的重要原則之一，同時也是各項程序性規則的制度基礎。