麦格视点｜互联网金融业务中个人信息收集的法律风险控制

一、个人信息和个人信息权

        2017年6月1日起施行的《网络安全法》第七十六条第五项规定：个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

        是否具有“身份可识别性”是判断信息是否属于个人信息的核心要件。伴随着人工智能、大数据、区块链等相关技术的发展，“身份可识别性”的界限越来越难以判断，并且必然会随着技术的发展而有所变化。目前我国并没有形成统一或具体的判断标准，因此实践中应当根据所属行业、具体的识别方法和手段合理性等因素进行综合判断。

        个人信息权的内容包括个人对信息被收集、利用等的知情权，以及自己利用或者授权他人利用的决定权等内容；即便对于可以公开且必须公开的个人信息，个人应当也有一定的控制权。例如，权利人有权知晓在多大程度上公开、向谁公开该信息以及他人会基于何种目的利用信息等等。正是从这个意义上说，大陆法系学者将个人信息权称为“信息自决权”。与此相应，对个人信息权的侵害主要体现为未经许可而收集和利用个人信息、侵害个人信息，主要表现为非法搜集、非法利用、非法存储、非法加工或非法倒卖个人信息等行为形态。

二、信息主体的同意

        个人信息权属于私权范畴，在互联网金融业务以及司法实践中应充分尊重信息主体的自决权，充分尊重信息主体和信息收集方达成的协议安排。这种协议安排，在互联网金融业务中通常表现为信息主体在进入业务平台后按照平台指令输入授权码或者签署授权书文件。

     《网络安全法》第四十一条规定：网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。《网络安全法》第四十二条网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。因此，对于属于个人信息的数据，其收集、使用和处理都需要经过信息主体的同意，即应遵从知情同意原则。

       《信息安全技术公共及商用服务信息系统个人信息保护指南》（GB/Z 28828-2012）于2013年2月1日起实施，其作为我国首个个人信息保护国家指导性标准，将个人信息分为个人一般信息和个人敏感信息，并提出默许同意和明示同意的概念。这项标准明确要求，处理个人信息应有特定、明确和合理的目的，并在个人信息主体知情的情况下获得个人信息主体的同意，在达成个人信息使用目的之后删除个人信息。其中，标准最显著的特点是将个人信息分为个人一般信息和个人敏感信息，并提出默许同意和明示同意的概念。对于个人一般信息的处理可以建立在默许同意的基础上，只要个人信息主体没有明确表示反对，便可收集和利用。对于个人敏感信息，则需要建立在明示同意的基础上，在收集和利用之前，必须首先获得个人信息主体明确的授权；个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。这项标准还提出了处理个人信息时应当遵循的八项基本原则，即目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确。

         在上诉人北京百度网讯科技有限公司与被上诉人朱烨隐私权纠纷一案的民事判决（案号：（2014）宁民终字第5028号）中，法院已经考虑到个人信息主体授权的完整性和信息技术创新发展的平衡。法院考虑到“百度网讯公司已经明确说明cookie技术、使用cookie技术的可能性后果以及通过提供禁用按钮向用户提供选择退出机制”，因此认为“朱烨在百度网讯公司已经明确告知上述事项后，仍然使用百度搜索引擎服务，应视为对百度网讯公司采用默认‘选择同意’方式的认可”，并进而认定“……将个人信息区分为个人敏感信息和非个人敏感信息的一般个人信息而允许采用不同的知情同意模式，旨在保护个人人格尊严与促进技术创新之间寻求最大公约数；……举重以明轻，百度网讯公司在对匿名信息进行收集、利用时采取明示告知和默示同意相结合的方式亦不违反国家对信息行业个人信息保护的公共政策导向，未侵犯网络用户的选择权和知情权；……综上，百度网讯公司的个性化推荐行为不构成侵犯朱烨的隐私权”。

三、 个人信息去隐私化

         数据脱敏（Data Masking），又称数据漂白、数据去隐私化或数据变形，是指对某些敏感信息通过脱敏规则进行数据的变形，实现敏感隐私数据的可靠保护。在涉及客户安全数据或者一些商业性敏感数据的情况下，在不违反系统规则条件下，对真实数据进行改造并提供测试使用，如常见的敏感数据有姓名、身份证号码、地址、电话号码、银行账号、邮箱地址、所属城市、邮编、密码类（如账户查询密码、取款密码、登录密码等）银行帐号、交易日期、交易金额等个人信息都需要进行数据脱敏。

        一般的脱敏规则分类为可恢复与不可恢复两类。可恢复类，指脱敏后的数据可以通过一定的方式，可以恢复成原来的敏感数据，此类脱敏规则主要指各类加解密算法规则。不可恢复类，指脱敏后的数据被脱敏的部分使用任何方式都不能恢复出。一般可分为替换算法和生成算法两大类。替换算法即将需要脱敏的部分使用定义好的字符或字符串替换，生成类算法则更复杂一些，要求脱敏后的数据符合逻辑规则，即是“看起来很真实的假数据”。

         对于收集后的个人信息，根据《网络安全法》第四十条、四十二条、四十四条的规定，网络运营者应当承担严格的保密责任（包括必要的保密措施、补救措施及泄露后的通知义务），未经信息主体的同意，不得向他人提供个人信息，但是经过处理无法识别特定个人且不能复原的除外。任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。

       《网络安全法》首次明确认可了“脱敏数据交易的合法性”，但其前提是数据经过处理后无法识别特定个人且不能复原。与个人信息的“身份可识别性”相同，目前我国尚没有统一的“不能复原”的判断标准，因此实践中应当根据数据所属行业、具体的识别方法和手段合理性等因素综合考虑。

四、侵犯个人信息权利的法律责任

         因个人信息收集、处理、使用产生的民事责任主要包括侵权责任和违约责任。如果包括隐私在内的个人信息未经信息主体同意而被相关企业收集、使用或处理，信息主体可以依据《侵权责任法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》及《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》主张隐私权或个人信息侵权责任（如，北京百度网讯科技公司与朱烨隐私权纠纷案，（2014）宁民终字第5028号）。如果信息收集者/处理者是基于与信息主体的用户协议或其他协议收集、处理、使用信息主体的信息，则违反协议约定或超出协议授权范围的收集、处理行为同时将产生违约责任，信息主体有权选择向信息收集者/处理者主张违约责任。

      《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十二条规定：网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息，造成他人损害，被侵权人请求其承担侵权责任的，人民法院应予支持。但下列情形除外：（一）经自然人书面同意且在约定范围内公开；（二）为促进社会公共利益且在必要范围内；（三）学校、科研机构等基于公共利益为学术研究或者统计的目的，经自然人书面同意，且公开的方式不足以识别特定自然人；（四）自然人自行在网络上公开的信息或者其他已合法公开的个人信息；（五）以合法渠道获取的个人信息；（六）法律或者行政法规另有规定。网络用户或者网络服务提供者以违反社会公共利益、社会公德的方式公开前款第四项、第五项规定的个人信息，或者公开该信息侵害权利人值得保护的重大利益，权利人请求网络用户或者网络服务提供者承担侵权责任的，人民法院应予支持。国家机关行使职权公开个人信息的，不适用本条规定。

          随着《网络安全法》的实施，非法收集、处理个人信息所产生的行政责任更加明确。根据《网络安全法》第六十四条的规定，网络运营者、网络产品或者服务的提供者违反本法第四十一条至第四十三条规定，侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。违反本法第四十四条规定，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款。

        2015年11月，《刑法修正案（九）》将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”，扩大了犯罪主体和侵犯个人信息行为的范围。于2017年6月1日起施行的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》明确了侵犯公民个人信息罪的具体定罪量刑标准，刑事打击侵害公民个人信息行为的力度更大。

五、法律风险控制措施

        互联网金融从业者不仅应当关注个人信息的有效性，同时还应当注意个人信息使用的合法合规性，避免使用任何未经授权而收集来的个人信息。为防范法律风险，建议互联网金融企业可以采取以下措施：

1、优化业务流程，在业务流程中及早获得信息主体关于查询、收集、使用个人信息的授权；

2、完善与个人信息供应商的服务协议，明确数据供应商对个人信息数据来源合法性的担保责任；

3、明确个人信息供应商对个人信息的授权和脱敏责任，明确数据供应商的保密义务等；

4、互联网金融企业在选择个人信息供应商时，要对个人信息的数据流程进行法律合规性评估，并基于评估结果选择供应商；

5、在获得个人信息后，互联网金融企业内部应当对数据采取必要的保密措施，对数据进行分类处理，确定特定的使用目的，避免数据的扩散或泄露；

6、个人信息进行交易或流转之前，对数据进行必要的处理，尤其应当注意对于个人信息的去隐私化处理。

         大数据时代个人信息的商业利用和保护之间存在着悖论，法律应当始终追究商业价值实现、公共利益和个人隐私保护的平衡。各国都在探索新的个人信息保护立法，遇到很多共性问题，处理上既有共识又有分歧。立法价值取向和处理方式的不同，也导致各国的产业发展冰火两重天。中国的个人信息保护立法不能因噎废食，要在严格保护个人信息的前提下，为商业和技术上的创新留出空间。