《个人信息保护法》颁布，互联网企业的注意事项（一）

《数据安全法》于9月1日如期实施，《个人信息保护法》也意外又理所应当地颁布了，在此整理了一些互联网企业会遇到的关于个人信息的常见问题以及对应的法律规定，供大家参考：

根据《个人信息保护法》的第四条之规定，

“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”

我们可以结合以下的法律规定对“各种信息”进行理解：

《最高人民法院、最高人民检察院、公安部关于依法惩处侵害公民个人信息犯罪活动的通知》（2013年）第二条，“公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。”

《中华人民共和国网络安全法》（2017年）第七十六条第（五）款之规定，“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”

《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（2017年）第一条之规定，“刑法第二百五十三条之一规定的“公民个人信息”，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”

《最高人民检察院关于印发<检察机关办理侵犯公民个人信息案件指引>的通知》（2018年），“二、需要特别注意的问题：（一）对“公民个人信息”的审查认定，根据《解释》的规定，公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。经过处理无法识别特定自然人且不能复原的信息，虽然也可能反映自然人活动情况，但与特定自然人无直接关联，不属于公民个人信息的范畴。”

《互联网个人信息安全保护指南》（2019年）3.1条，“个人信息，以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。注：个人信息还包括通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。”

《常见类型移动互联网应用程序必要个人信息范围规定》（2021年）第五条规定的必要个人信息归纳来包括：①位置类信息；②支付类信息；③移动电话号码；④注册账号；⑤证件信息；⑥消费类信息；⑦婚恋情况；⑧资产信息；⑨医疗信息；⑩出行信息等。

《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》（2021年8月1日起施行）“本规定所称人脸信息属于民法典第一千零三十四条规定的“生物识别信息”。”

上述已经在法律法规或者司法解释中列明的信息均属于个人信息，但是随着科学技术以及经济活动的发展，可识别、采集的信息种类以及信息的重要程度将会不断发展、变化，个人信息并不限于目前已经列明的信息。

《个人信息保护法》第五条至第九条对于处理个人信息的原则进行了明确：合法、正当、必要和诚信原则；具有明确、合理的目的，应当限于实现处理目的的最小范围，不得过度收集个人信息；公开、透明原则，公开个人信息处理规则；保证个人信息的质量；保障个人信息的安全。互联网企业在实际收集用户信息时，往往存在以下风险点：

（一）未明示收集使用个人信息的目的、方式和范围

2020年7月，南昌市人民检察院委托专业检测公司在人民监督员及公证人员的见证下，对本地企业开发经营的“贪玩蓝月”“地宝网”“洪城乐骑行”“江教在线”“魔题库”等6款手机APP进行详细检测，发现上述APP均存在《APP违法违规收集使用个人信息行为认定方法》规定的违法违规收集或使用公民个人信息的情形，包括未明示收集使用个人信息的目的、方式和范围；未经用户同意收集使用个人信息；违反必要原则，收集与提供的服务无关的个人信息；未经同意向他人提供个人信息等。

根据国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅关于印发《App违法违规收集使用个人信息行为认定方法》的通知第二条之规定，以下行为可被认定为“未明示收集使用个人信息的目的、方式和范围”：1.未逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等；2.收集使用个人信息的目的、方式、范围发生变化时，未以适当方式通知用户，适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等；3.在申请打开可收集个人信息的权限，或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时，未同步告知用户其目的，或者目的不明确、难以理解；4.有关收集使用规则的内容晦涩难懂、冗长繁琐，用户难以理解，如使用大量专业术语等。

（二）过度收集个人信息，收集与提供服务无关的个人信息

浙江省杭州市某网络科技有限公司开发经营的一款音乐视频教学类APP，存在未经用户同意收集使用个人信息、违反必要原则收集与其提供的服务无关的个人信息、未公开收集使用规则等情形，违法违规收集、存储用户个人信息，侵害了不特定公民的合法权益，致使社会公共利益受到侵害。2020年6月23日，余杭区人民检察院依法向杭州互联网法院提起民事公益诉讼，诉请被告某网络科技有限公司停止违法违规收集、储存、使用个人信息并公开赔礼道歉。同年9月9日，法院公开开庭审理本案。庭审中，公益诉讼起诉人出示案涉APP违法违规收集个人信息的电子数据等证据，充分阐述社会公共利益受损的情况，被告同意履行检察机关提出的全部诉讼请求。双方当庭达成调解协议：被告立即删除违法违规收集、储存的全部用户个人信息1100万余条；在《法治日报》及案涉APP首页公开赔礼道歉；承诺今后合法合规经营，若存在违反协议约定的行为，将自愿支付50万元违约金用于全国性个人信息保护公益基金的公益支出。

根据国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅关于印发《App违法违规收集使用个人信息行为认定方法》的通知第四条之规定，以下行为可被认定为“违反必要原则，收集与其提供的服务无关的个人信息”：1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关；2.因用户不同意收集非必要个人信息或打开非必要权限，拒绝提供业务功能；3.App新增业务功能申请收集的个人信息超出用户原有同意范围，若用户不同意，则拒绝提供原有业务功能，新增业务功能取代原有业务功能的除外；4.收集个人信息的频度等超出业务功能实际需要；5.仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，强制要求用户同意收集个人信息；6.要求用户一次性同意打开多个可收集个人信息的权限，用户不同意则无法使用。

未完待续

（本文为授权发布，未经许可不得转载）