从法治视角看高校个人信息保护（上）

　　编者按

　　法律法规是网络信息安全建设的重要依据和有力抓手，随着近日国家《数据安全法》和《个人信息保护法》两项法案提交二审，我国将建立更加完善的个人信息保护体系。

　　本文系统总结了当前我国个人信息保护体系，提出了个人信息保护的数据治理建议，我们将分两期进行刊载，本期总结了个人信息的定义与内涵以及我国个人信息保护的法律体系，下期将对个人信息保护数据治理的常见问题、法律责任和治理建议等进行分析。

　　信息技术的高速发展，使得信息的收集、处理变得越来越容易。个人信息的社会价值与市场价值日益显现。在利益驱动下，如果没有有效的法律规制，作为重要社会资源的个人信息会出现误用、滥用的情况。给人们的心理健康、生活、财产和生命等带来风险和损害。

　　个人信息保护的必要性

　　随着信息化与经济社会持续深度融合，网络已成为生产生活的新空间、经济发展的新引擎、交流合作的新纽带。

　　截至2020年12月，我国网民规模达9.89亿，互联网网站超过400万个、应用程序数量超过300万个，个人信息的收集、使用更为广泛。

　　虽然近年来我国个人信息保护力度不断加大，但在现实生活中，一些企业、机构甚至个人，从商业利益等出发，随意收集、违法获取、过度使用、非法买卖个人信息，利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题仍十分突出。在信息化时代，个人信息保护已成为广大人民群众最关心、最直接和最现实的利益问题之一。

　　面对数字经济突飞猛进的发展，个人信息的商业价值也越来越大，如何解决个人信息有序获取、合理使用的问题已成当务之急。

　　学校作为师生个人信息集中地，收集、存储有大量的师生个人信息。从收集的形式上看具有采集数据的便捷性和高效性，大量个人信息背后关联的是其相关的家庭信息，一旦泄露，可能让不法分子有机可乘，后果影响很大，造成的损失也许难以估量。

　　同时个人信息不仅是单纯的个人利益，还涉及国家利益，个人信息保护工作也就成为一项关系国民经济和社会信息化全局的长期性工作。因此对师生的个人信息保护必要且重要。这也是数据治理中应有之义。

　　个人信息除了保护之外，还有利用的问题。例如在疫情防控中，大数据技术的运用对于提高防控效果、提升工作效率具有重要意义。如果一味强调对个人信息的保护，大数据技术运用就会大打折扣。当然，如果一味强调对个人信息以及数据利用又会造成对个人信息无孔不入的侵害。

　　个人信息之法律界定

　　从法律层面上看，2017年6月生效的《网络安全法》第76条规定个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

　　2021年1月生效的《民法典》第1034条规定，自然人的个人信息受法律保护，个人信息是以电子或者其他方式记录的，能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

　　正在审议中的《个人信息保护法（草案）》第4条规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

　　从“个人信息”的定义看，与《网络安全法》第76条第一款第五项和《民法典》第1034条第二款规定的“能够单独或者与其他信息结合识别特定自然人的各种信息”不同，《个人信息保护法（草案）》采取了与欧盟《通用数据保护条例》（General Data Protection Regulation，以下简称“GDPR”）第4条相类似的界定标准，即“与已识别或者可识别的自然人有关的各种信息”。

　　换句话说，《网络安全法》和《民法典》采取了“识别”的路径，《个人信息保护法（草案）》采取了“识别+关联”的路径，一定程度上拓宽了个人信息的范围。

　　注意，本条将“匿名化处理后的信息”排除在“个人信息”的范围之外，也就意味着匿名化信息不需要受到本法的规制。

　　需要强调的是，《个人信息保护法（草案）》第69条第1款第四项对“匿名化”进行了定义，满足“无法识别且无法复原”标准的信息才不属于个人信息，否则还是需要受到本法的规制。

　　此外，就个人敏感信息而言，《民法典》第1032条第二款规定，隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。

　　《个人信息保护法（草案）》第29条第2款将敏感个人信息界定为“一旦泄露或者非法使用，可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息，包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息”。

　　区分敏感与非敏感个人信息的根本原因就在于处理规则上的差异。

　　首先，为了更好地保护敏感的个人信息，对于敏感的个人信息的处理不仅要取得自然人的同意而且这种同意必须是明示的、单独的同意，不能是默示的或者概括的同意。但是，非敏感的个人信息无需如此严格。

　　其次，个人信息处理者对于敏感的个人信息负有更高的注意义务，否则，就会出现因为处理者的安全防护措施不足而造成敏感的个人信息泄露，对自然人会造成很大的损害或风险。

　　依据上述法律对个人信息之规定，学校中包含师生的姓名、电话、住址、身份证号码、电子邮箱和生物信息等均纳入个人信息范畴，无论是我国公民还是外国人（只要是在学校内求学和工作的），法律均对个人信息给予平等之保护。

　　个人信息保护法律体系

　　个人信息保护法还没有正式出台，个人信息保护目前的规定散见于各部法律、司法解释、部门规章之中。

　　在立法层面上

　　立足新发展阶段，贯彻新发展理念，构建新发展格局，加强重点领域、新兴领域、涉外领域立法。

　　在第十三届全国人大三次会议所作的工作报告中，将制定个人信息保护法、数据安全法纳入人大常委会下一步主要工作。我国个人信息保护的立法工作已经进入实质性阶段。相信这两部重要法律也很快会正式出台。

　　在法律适用层面

　　我国先后颁布了《全国人民代表大会常务委员会关于加强网络信息保护的决定》《刑法（修正案）》《网络安全法》《国家安全法》《中华人民共和国密码法》《民法典》等法律。

　　其中《民法典》是大数据时代下个人信息保护的民法基础。《全国人民代表大会常务委员会关于加强网络信息保护的决定》《网络安全法》在宏观层面提供了个人信息保护的法律依据。

　　具体而言，《刑法修正案（七）》与《刑法修正案（九）》增设了侵害个人信息构成犯罪的规定，《消费者权益保护法》和《侵权责任法》则在民事层面涉及到个人信息的保护。

　　《民法典》人格权编中明确了自然人的个人信息受法律保护，并将自然人的“电子邮箱地址”和“行踪信息”纳入个人信息的范围。

　　有关个人信息保护的司法解释主要包括：《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》和《最高人民法院最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，两个司法解释分别在民事与刑事领域细化了侵犯个人信息的认定标准和法律责任。

　　在部门规章层面

　　《信息安全技术网络安全等级保护基本要求》（简称“等保2.0”），在等级保护标准在1.0时代标准的基础上，注重主动防御，从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计，实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。

　　《电信和互联网用户个人信息保护规定》侧重于规定电信业务经营者和互联网信息服务提供者在个人信息保护方面的职责。

　　《互联网个人信息安全保护指南》引导个人信息持有者采取有效的信息安全保护措施。

　　《儿童个人信息网络保护规定》主要聚焦于十四周岁以下未成年人的网络个人信息保护。

　　《信息安全技术信息安全规范个人信息安全规范（GB/T35273-2020）》则在具体操作规范上提供了指导与参考意见（该标准除了授权同意、账户注销、实现个人信息主体自主意愿的方法等内容的修改外，还新增了多项业务功能的自主选择、用户画像、个性化展示、个人信息汇聚融合、个人信息安全工程、第三方接入管理等相关要求）。

　　《App违法违规收集使用个人信息行为认定方法》《互联网个人信息安全保护指南》《网络安全实践指南一移动互联网应用业务功能个人信息收集必要性规范》等规范性文件和行业规范的相继发布和实施，为个人信息的保护要求提供了具体的规范和指引。

　　此外《数据安全法（草案）》与《个人信息保护法（草案）》也在审议之中，应该也很快会出台。

　　《个人信息保护法（草案）》明确了“个人信息”的内涵和外延，理顺相关主体之间的关系，并覆盖对个人信息的收集、存储、使用、共享、跨境传输等多个方面。

　　在规章层面

　　目前处于公开征求意见的《数据安全管理办法》涉及我国境内利用网络开展数据收集、存储、传输、处理、使用等活动，而《个人信息出境安全评估办法》则规制网络运营者向境外提供我国公民个人信息的行为。

　　在行业规范层面

　　目前处于公开征求意见的《信息安全技术个人信息告知同意指南》以及《移动互联网App个人信息安全防范指引》探索尝试为信息设备端口收集个人信息提供规范指引。

　　个人信息权利之内涵

　　第一，信息决定权

　　信息决定权，简称决定权，是指本人得以直接控制与支配其个人信息，并决定其个人信息是否被收集、处理与利用以及以何种方式、目的、范围收集、处理与利用的权利。

　　决定权集中反映了个人信息权的人格权属性——绝对性与支配性，在各项权利内容中居于核心地位。

　　第二，信息保密权

　　信息保密权，简称保密权，是指本人得以请求信息处理主体保持信息隐秘性的权利。

　　第三，信息查询权，简称查询权

　　是指本人得以查询其个人信息及其有关的处理的情况，并要求答复的权利。

　　对信息的控制与支配，必须首先了解哪些个人信息被收集、处理与利用的情况，特别是在此过程中信息是否被保持完整、正确与适时。

　　信息查询权是重要的当事人权利，除非因公益或保密之需要，任何机关不得任意剥夺。

　　第四，信息更正权

　　信息更正权，简称更正权，是指本人得以请求信息处理主体对不正确、不全面、不时新的个人信息进行更正与补充的权利。

　　更正权具体包括：个人信息错误更正权，即对于错误的个人信息，本人有更正的权利。

　　个人信息补充权，即对于遗漏或新发生的个人信息，本人有补充的权利。

　　个人信息更新权是本人要求对于过时的个人信息及时更新的权利。

　　第五，信息封锁权

　　信息封锁权，简称封锁权，是指在法定或约定事由出现时，本人得以请求信息处理主体以一定方式暂时停止信息处理的权利。本人有权请求信息处理主体以暂时停止信息的处理与利用的权利。

　　该项请求权是依照公平信息使用原则建构的。根据该原则，在没有通知当事人并获得其书面同意之前，信息处理主体不可以将个人为某种特定目的所提供的资料用在另一个目的上。

　　德国联邦《个人资料保护法》规定，所谓封锁，就是以限制继续处理和使用个人资料为目的而对个人资料加注特定“符号”。

　　第六，信息删除权

　　信息删除权，简称删除权，是指在法定或约定的事由出现时，本人得以请求信息处理主体删除其个人信息的权利。

　　第七，信息报酬请求权

　　信息报酬请求权，简称报酬请求权，是指本人因其个人信息被商业性利用而得以向信息处理主体请求支付对价的权利。

　　报酬请求权来源于“信息有价”的社会观念。特定的信息处理主体必须在对信息控制、处理与利用前后向本人提供一定的报酬。

　　作者：范江波（西南财经大学信息与教育技术中心）

　　责编：郑艺龙