王珺律师在中国政法大学讲授企业合规管理课程（上）

王珺律师现场授课照

王珺律师开宗明义，首先明确 “数据”为“信息”的表现形式，“数据”和“信息”的关系是载体与内容的关系，形式是数据，本质是信息。在大数据时代，真正有价值的是数据中所蕴含的信息，我们强调的数据安全，最终目的也是为了保护信息安全。

其次，王珺律师从不同维度给数据的类别做了划分，并认为数据分类分级本身不是最终目的，对不同类别不同级别的数据适用不同的安全保护规则，才是分类的落脚点。在这一部分，王珺律师着重讲解了法律以及司法实务中对“个人信息”的界定。

上述规定的变化，反映出我国法律对于个人信息的界定，从“识别身份”的信息到“反映活动情况”的信息，再到识别身份的“各种信息”、“与人有关的各种信息”，逐步扩大个人信息的范畴，并逐渐从“识别说”转向“关联说”。在“识别说”中，是由信息“推至”个人，“识别”是对信息的限定，即只有通过目标信息能够识别出特定个人，才被认定为个人信息；而在“关联说”中，则是由个人“推至”信息，“识别”是对个人的限定，虽然根据目标信息不能识别到明确而特定的个人，但该目标信息如果与该个人相关，仍然会被认定为个人信息。

目前，我国刑事司法实践中对于如何认定“个人信息”存在一定的争议，主要体现在无法单独识别公民个人的信息，能否认定为刑法意义上的“个人信息”，从而决定着行为人是否构成侵犯公民个人信息罪。下面引用实务中一则案例进行探讨。

基本案情为被告人李某某为推广游戏、寻找玩家用户群体，向他人购买大约10000条传奇游戏用户电话号码，再安排工作人员联系用户，通过有意向的用户在游戏内充值而获利。本案中，李某某单纯购买的电话号码能否认定为“个人信息”从而被判处侵犯公民个人信息罪？

持否定观点者认为：所谓“与其他信息结合识别”，应指结合的信息都在行为人侵害（非法获取、出售或者提供）的对象之列。例如行为人必须同时出售了公民的姓名和住址信息，才能认定为侵犯公民个人信息罪。如果只是出售了公民姓名信息或者住址信息，就不能因为公民姓名信息或者住址信息均具有结合识别的功能，就认定出售公民姓名信息或者住址信息的行为构成侵犯公民个人信息罪。 

同样，单纯的移动电话号码不具有特定公民身份属性，不能单独识别特定主体，但“姓名+移动电话号码”对于大部分公民来说，就有了十分精准的辨识度，这种组合信息属于刑法意义上的公民个人信息。而单纯的电话号码属于部分关联信息，虽然客观上是公民个人信息的一种，但是在刑法意义上，出售、提供、非法获取部分关联信息的，不应被评价为侵犯公民个人信息罪。

持肯定观点者则认为：身份证号与公民个人身份一一对应，可以单独识别公民个人身份，无疑属于公民个人信息的范畴；而工作单位、家庭住址等虽然通常无法单独识别公民个人身份，但同其他信息结合就能识别公民个人身份，所以也属于公民个人信息的范畴。

王珺律师赞同上述否定观点，认为如果获取的信息不具备识别特定个人的功能，则不属于刑法保护的“个人信息”，不应当认定构成侵犯公民个人信息罪。对于赞同否定观点的理由，王珺律师提供了新的视角：《个人信息保护法》规定 “个人信息”不包括匿名化处理后的信息（即不可识别+不能复原），同时《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第三条也规定了，提供经过处理无法识别特定个人且不能复原的个人信息，不属于“提供”公民个人信息，不构成侵犯公民个人信息罪。由此可知，前述出罪的核心原因在于信息本身已不具备识别功能，故客观上已经不属于个人信息。虽然在“获取”阶段没有类似明确规定，但根据同类解释原则，若“获取”的信息不具备识别功能，则同样不应当以侵犯公民个人信息定罪。

目前我国基本法律层面已经形成《网络安全法》《数据安全法》《个人信息保护法》“三驾马车”并行的数据保护合规立法体系。此外在其他法律、行政法规、规章以及规范性文件层面，相关规定更是密集配套出台，数据合规及个人信息保护规范体系日益丰满成型。

从监管体系上看，目前我国数据合规的监管主体呈现出多元化且监管覆盖面广的特点。

根据以上规定，国家网信部门负责统筹协调网络安全、数据安全、个人信息保护工作和相关监督管理工作。国务院相关部门、各地区主管部门、公安机关则在各自职责范围内负责相关工作。

从监管现状来看，则呈现出监督力度日趋严格和监管主体多元化的特点。2019年国家互联网信息办公室、工业和信息化部、公安部、市场监管总局联合在全国范围内开展了针对App违法违规使用个人信息的专项治理活动，是一个非常明显的信号，2021年“滴滴事件”的发生也加速了对汽车行业数据安全的强监管。同时，实务中多头监管的情况也一定程度反映出不同监管主体之间存在着权责不清、交叉执法的现象。

未完待续