道可特研究 | 从典型案例看企业数据合规要点

前言：随着大数据时代的到来，数据资源逐渐成为企业乃至整个数据产业发展的核心要素。网络技术的发展使得个人信息的收集、储存、使用方式等都发生了很大变化，个人信息保护也面临着更大挑战。新出台的《个人信息保护法》（以下简称为《个保法》）围绕知情同意原则进行了更为合理和精细的制度设计，同时也对企业数据合规提出了更高要求。

在此背景下，企业能否建立完善的数据合规制度就对其自身发展显得至关重要。本文将结合2021年度《个保法》典型案例，提出企业应注意的数据合规要点。

一、个人信息的认定规则

案例及裁判要点

查博士APP“二手车信息”中个人信息认定

基本案情：北京酷车易美网络科技有限公司所运营的查博士APP，为用户有偿提供二手车历史车况信息查询、车辆检测、汽车保修、二手车估价等服务。本案中余某出售其二手车辆，意向购买人通过查博士APP查询了该二手车辆的历史车况报告，并基于报告中的相关维修信息，要求在余某提出的售价上降低3000元。

事后，余某在查博士APP自行付费查询案涉车辆信息，报告显示了车辆的车况评级、年均行驶里程、年均保养次数、最后保养时间、最后记录时间、每次维修时间、维修保养项目等信息。余某认为，案涉车辆该等信息属于余某的个人信息及个人隐私，酷车易美公司在未经余某同意的前提下，擅自有偿向他人提供余某案涉车辆的前述相关信息，导致余某的车辆信息被非法公开，案涉车辆的行驶里程、维保时间、维保项目等个人信息、个人隐私被非法利用，造成其财产损失。故诉请法院判决酷车易美公司删除案涉车辆信息并赔偿其经济损失3000元。

裁判要点：该案的争议焦点在于历史车况信息是否属于个人信息，经法院裁判，认定有效脱敏化处理的历史车况信息不能关联到车辆所有人等特定自然人，不属于个人信息或隐私，提供历史车况信息查询的行为不构成对个人信息权益或隐私权的侵犯。

法律规定

《个人信息保护法》第四条

案例延伸

《个人信息保护法》第四条规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。本案中，由于涉案公司对提供的历史车况信息已进行有效脱敏，不能关联到车辆所有人等特定自然人，不属于个人信息，因此法院认为涉案公司该行为并不侵犯用户的个人信息权利。不构成个人信息的数据不受《个人信息保护法》的规制，因此也就不具有侵犯个人信息相关权益的法律风险。

可识别性是判断是否属于个人信息的关键，即个人信息与个人信息主体存在某一客观确定联系的可能性。具体而言，与个人相关的，能够直接或间接识别到特定自然人的信息即个人信息。对于个人信息的判断，应当是动态而不是静止的，个人信息的判断应当依据特定的业务情境，而不是预先对数据的性质作出判断。对于同一数据的法律界定，在不同的业务场景下可能会有不同的结果。需要考虑的业务场景的因素包括：数据本身的类型、数据处理涉及的实体、服务提供商的信任水平、收集方法、设备环境、应用和使用以及各方之间的价值交换。

有效脱敏化处理的历史车况信息不属于个人信息或隐私。故对于企业来说，主动采取数据脱敏处理（假名化、去标识化和匿名化）的技术措施，可有效规避个人信息处理法律风险，即企业可以在不影响数据分析结果准确性的前提下，对原始数据中的敏感字段进行处理，从而降低数据敏感度和个人隐私风险。

二、个人信息的处理规则

案例及裁判要点

杭州魔蝎数据科技有限公司违规存储个人信息

基本案情：魔蝎公司与网络贷款公司等单位合作，将其开发的前端插件嵌入网贷平台。网贷平台贷款用户使用网贷平台APP借款时，在魔蝎公司提供的前端插件上输入其社保、公积金、征信中心等网站的账号、密码，并授权魔蝎公司通过其账号和密码代替用户登录上述网站。魔蝎公司获得授权后，利用各类爬虫技术，爬取（复制）上述网站上贷款用户账户内的社保、公积金、征信情况等各类数据，并将获得的用户数据按与用户的约定提供给网贷平台，由网贷平台用于判断用户的资信情况。

魔蝎公司在和网贷用户签订的《数据采集服务协议》中明确告知“不会保存用户账号密码，仅在用户每次单独授权的情况下采集信息”，实际情况是未经许可采用技术手段长期保存用户各类账号和密码。截至案发时，在魔蝎公司租用的服务器里发现以明文形式非法保存的个人贷款用户各类账号和密码条数多达2000万条，部分账号密码存在未经用户授权被魔蝎公司二次使用的情况。

裁判要点：杭州魔蝎数据科技有限公司以其他方法非法获取公民个人信息，情节特别严重，行为构成侵犯公民个人信息罪；公司法定代表人、总经理周某以及负责相关程序设计的技术总监袁某也构成侵犯公民个人信息罪。

法律规定

《个人信息保护法》第五条、第六条、第七条

案例延伸

本案中，魔蝎公司采集用户账号密码的行为是合法的，但是按照与网贷用户的采集协议约定，其应仅在用户每次单独授权的情况下采集信息，不应保存用户账号密码，更不得利用存储的账号密码对其他数据进行爬取。针对个人信息的处理，应当遵循合法、正当、公开、透明和最小必要的原则，处理个人信息应当具有明确合理的目的，并应当与处理目的直接相关，不得超出处理目的去处理个人信息，而且应当采取对个人权益影响最小的方式。

实践中，超范围收集、违规使用个人信息的行为是行政机关执法的重点，最小必要原则是个人信息使用合理性原则的基础，也将是监管部门、司法机关进行监管和判决的重要考量。个人信息处理者在个人信息处理活动中，应当严格遵循用户的授权范围和目的，不得扩大使用范围和用途，未获得存储权限的不得存储，未获得公开权限的不得公开，更不得在个人信息主体不知情的情况下改变处理个人信息的方式和目的。目的达成后，应及时删除个人信息。

三、个人信息的知情同意规则

案例及裁判要点

银行上传个人不良征信信息被起诉

基本案情：因经营需要，王某通过某App申请了45万元的信用贷款，贷款发放人为A银行。申请过程中，王某按照流程提供了个人信息，签署了若干份涉及信息收集、征信业务的授权书，并进行人脸核验、视频面谈等步骤。最终，双方顺利签订贷款合同。

在还款过程中，经多次催款王某依然逾期还款，于是A银行将该逾期记录上传至征信系统。后王某在业务办理过程中发现了自己的不良征信记录。王某将A银行诉至法庭，主张被告未经原告同意，单方面查询、上传原告征信，收集原告的人脸和声音，侵犯原告的公民身份信息。

裁判要点：法院认为A银行收集、查询王某个人信息的行为合法，上传征信报告的行为合法。原告在知晓被告收集使用的内容、范围和用途的前提下，就被告收集、查询其个人信息进行了授权；对于上传征信报告的行为，A银行业也已经取得原告书面授权。同时，报送逾期情况是被告的法定义务，逾期信息上传征信系统符合法律规定。

法律规定

《个人信息保护法》第十三条、第十四条、第十七条

案例延伸

知情同意原则是个人信息处理的核心原则。本案中，涉案银行已就相关信息向权利主体取得了明确的同意授权，并在此基础上进行了个人信息使用和处理，符合法律规定。实践中，企业也应秉持知情同意原则，从知情和同意两方面确保个人信息权利，合规取得授权，注意相关法规对“知情”“同意”分别提出的细节性要求，从而有效防范个人信息数据风险。具体而言：

1、在知情权方面，企业应明示收集使用个人信息的目的、方式和范围。企业应向信息主体提供有关个人信息收集、处理的隐私政策，并在隐私政策中列明个人信息的收集、使用规则。为了提高用户友好度，企业还应以显著方式提醒信息主体注意相关政策，例如在APP内通过弹窗形式提示用户阅读隐私政策等收集使用规则。另外，企业应确保隐私政策的格式、字体等适合信息主体阅读，不得使用过小过密、颜色过淡、模糊不清的展示方式。

2、在同意权方面，企业应获得个人的明确授权，并提高“同意”的可信度。企业应在收集个人信息或打开收集个人信息权限前征得信息主体同意，且实际收集的个人信息或打开的可收集个人信息权限状态不得超出实际授权范围。另外，企业应当向信息主体提供撤回同意收集个人信息的途径、方式，且未经信息主体同意不得更改其设置的可收集个人信息权限状态。

四、个人信息的公开规则

案例及裁判要点

疫情期间泄露消费者个人信息

基本案情：2020年7月14日，有媒体刊发“沙坪坝区西部物流园一冷冻仓库部分厄瓜多尔进口冻南美白虾外包装新冠病毒核酸呈阳性”的消息。同年7月16日，重庆扬啟公司通过其微信公众号“扬啟策划推广”发布文章《重庆已购进口白虾顾客名单》，该名单涉及10979名消费者的住址、电话、姓名、身份证号等个人信息。几天内，该文章被大量转载传播。针对重庆扬啟公司非法泄露众多消费者个人信息的行为，重庆市消委会对此提起消费民事公益诉讼，由重庆市人民检察院第一分院进行起诉。

裁判要点：庭审中，被告公司负责人承认其侵权行为，愿意承担法律责任。由于原被告双方对案件没有实质性争议，双方当庭签署了调解协议书，扬啟公司当庭提交了《公开道歉信》。

法律规定

《个人信息保护法》第十条、第二十五条、第二十七条、第五十五条

案例延伸

处理个人信息前，企业需获得个人授权或者具备其他合法性基础。对于信息主体未经公开的个人信息，若无个人单独同意，企业也不能公开其处理的个人信息。若需公开信息主体的个人信息，企业需要确保获得个人单独的明确授权。尤其是对个人敏感信息的公开行为，可能危害个人信息权利人的人身和财产安全，对个人信息权利造成极大危害。

另外，对于信息主体已自行公开或已经合法公开的个人信息，企业若要进行公开，应进行个人信息保护影响评估。企业应建立负责个人信息保护影响评估的责任部门，如法务部门、数据合规部门或者信息安全部门，由他们负责企业内部个人信息安全影响评估工作的制定、实施和改进，并对个人信息安全评估工作结果的质量负责。当然，若公开此类信息对个人权益有重大影响，同样需要取得信息主体的同意授权。

五、敏感个人信息的保护规则

案例及裁判要点

杭州野生动物世界违规使用人脸信息

基本案情：2019年4月27日，郭某与妻子在杭州野生动物世界购买双人年卡，并留存相关个人身份信息、拍摄照片及录入指纹。后野生动物世界向包括郭某在内的年卡消费者群发短信，表示将入园方式由指纹识别变更为人脸识别，要求客户进行人脸激活，否则无法正常入园。郭某认为野生动物园无权擅自将原入园方式变更为人脸识别入园方式，双方就保持原入园方式以及退卡等相关事宜协商未果，遂引发本案纠纷。

裁判要点：2021年杭州中院作出终（二）审判决，认定野生动物世界因超出事前收集目的，违反了正当性原则，故判决野生动物世界应删除郭某办卡时提交的包括照片在内的面部特征信息等。

法律规定

《个人信息保护法》第六条、第二十八条、第二十九条、第五十五条

案例延伸

本案作为我国“人脸识别第一案”，其核心问题是规范经营者对消费者的个人信息，尤其是指纹、面部信息等敏感个人信息的收集和使用等行为。生物识别信息作为敏感个人信息，深度体现自然人的生理和行为特征，具备较强的人格属性，一旦被泄露或者非法使用，可能导致个人受到歧视或者人身、财产安全受到危害，因此更应谨慎处理和严格保护。

根据《个人信息保护法》相关规定，处理敏感个人信息，应当：

（1）需具有特定的目的和充分的必要性，并采取严格保护措施；

（2）需要取得个人的单独同意，法律、行政法规另有规定需取得书面同意的，或者规定处理敏感个人信息应取得相关行政许可或者作出其他限制的，从其规定；

（3）在告知内容方面，需特别向个人告知处理敏感个人信息的必要性以及对个人权益的影响。

因此，建议企业采取严格措施，建立处理敏感个人信息的风险防范制度，事先开展敏感个人信息处理的风险评估，谨慎确定敏感个人信息的处理目的和处理方式，确保其合法性，尽量将处理敏感个人信息的风险降到最低。在收集阶段，企业需明确告知信息主体敏感个人信息对于个人的重要性及授权的潜在风险。鉴于敏感个人信息不能与一般个人信息进行概括同意，企业可以通过单独的“告知同意界面”的交互设计（如单独的弹框）等方式取得个人单独同意，同时还应履行额外的告知义务，向个人告知处理敏感个人信息的必要性以及对个人权益的影响。在处理阶段，企业应当充分论证对敏感个人信息的使用是否具备特定的目的和充分的必要性，并应向信息权利人特别告知处理敏感个人信息的必要性以及对个人权益的影响，从形式和内容等方面加大对个人敏感信息的保护力度。

六、算法推荐规则

案例及裁判要点

携程平台采集非必要个人信息，大数据杀熟

基本案情：2020年7月，胡女士通过携程APP订购舟山某酒店一间豪华湖景大床房并支付价款2889元。离店时，胡女士偶然发现酒店的实际挂牌价仅为1377.63元。退房后，胡女士与携程沟通，携程以其系平台方，并非涉案订单的合同相对方等为由，仅退还了部分差价。后胡女士以携程公司采集其个人非必要信息，进行“大数据杀熟”等为由起诉到法院，要求“退一赔三”，以及携程APP为她增加不同意《服务协议》和《隐私政策》时仍可继续使用携程服务的选项。

裁判要点：针对采集非必要信息，法院查明携程的“服务协议”“隐私政策”要求索取及处理部分信息超越了形成订单必需的要素信息，包括要求用户特别授权携程及其关联公司、业务合作伙伴共享用户的注册信息、交易、支付数据，并允许其进一步商业利用。这些信息的收集既无必要性，也加重了用户个人信息的使用风险。

针对退还剩余差价并支付订房差价的三倍赔偿金，因携程公司未履行如实告知价格义务，法院认定其存在虚假宣传、价格欺诈行为，判决被告退还剩余差价并支付订房差价的三倍赔偿金。另外,法院责令被告应在其运营的携程旅行APP中为原告增加不同意其现有“服务协议”和“隐私政策”仍可继续使用的选项，或者为原告修订携程旅行APP的“服务协议”和“隐私政策”，去除对用户非必要信息采集和使用的相关内容，修订版本需经法院审定同意。

法律规定

《个人信息保护法》第二十四条、第五十五条

案例延伸

本案属于“大数据杀熟”典型案例。

自动化决策，是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。自动化决策应保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇，即禁止大数据杀熟。通过自动化决策方式进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。自动化决策作出对个人权益有重大影响的决定的，个人有权要求予以说明，并有权拒绝仅通过自动化决策的方式作出决定。

企业在利用个人信息进行自动化决策时，应合理利用算法推荐规则，防止“大数据杀熟”的行为。首先，若要利用个人信息进行自动化决策，企业应进行个人信息保护影响评估，并对整个处理过程进行记录；其次，在向用户提供算法推荐服务时，企业应确保算法的中立，针对同一时间段的同一产品或服务公平对待相同条件的消费者，不能根据消费者个人偏好、交易习惯等在交易价格等交易条件上实行不合理的差别对待。最后，在经营活动中，应当遵循合法、正当、必要的个人信息处理原则，在形成用户画像、进行个性化推荐时应注意信息收集、推送的合规性，确保过程公开透明、结果公平合理，涉及重大影响的决定应保障用户的请求说明权和拒绝权。

七、个人信息的共享转让规则

案例及裁判要点

某大型电商平台违法处理公民个人信息

基本案情：被告A公司是某电商平台经营者，被告B公司是该电商平台内置支付软件的运营者，原告吴某是该电商平台的注册用户。原告登陆电商平台App后，按照界面要求输入姓名及身份证号，以开通支付功能。在相关界面中，原告误触了列表中的银行关联功能，得到“暂无银行卡可以绑定”的反馈。

同时，原告在查阅用户协议后方才发现，电商平台与其内置支付软件的运营主体并不一致。原告将被告诉至法院，主张A公司在未经其同意的情况下，将原告真实身份信息传输给被告B公司，其行为严重侵害原告个人信息权益等合法权益，要求两被告删除其个人信息、赔礼道歉并赔偿维权费用。

裁判要点：就将原告个人信息提供给第三方这一情况，经法院查明，A公司从未以任何形式明确或单独告知用户并取得其同意，仅在相关隐私政策中作出模糊说明；B公司收集原告个人信息的行为，也未以任何形式告知或取得原告同意，因此A公司对外提供、B公司收集个人信息的行为侵害原告个人信息权益。

法律规定

《个人信息保护法》第十条

案例延伸

将数据作为生产要素和重要资源进行流动和共享是目前企业间的重要合作方式，不同行业平台通过合作打破数据孤岛，打通数据共享，开发产品以完善自身业务，符合《国民经济和社会发展第十四个五年规划和2035年远景目标纲要》中“统筹数据开发利用”“强化算力智能调度”“推进数据跨部门、跨层级、跨地区汇聚融合”的国家战略意图。但该做法在发掘数据社会价值和制造经济效益的同时，也让企业的共享、转让、融合数据行为面临了更多安全风险和法律责任要求。

一旦企业决定进行共享和转让数据合作，首先，此前的数据处理环节就涉及合规问题，比如平台在原有的《用户协议》《隐私政策》中进行告知同意时并不包含共享数据的使用明示，属于超范围收集、使用数据。其次，在双方企业进行数据整合时，对方的数据来源合法性难以判断，数据流转路径复杂，传输过程难以控制。在企业之间的数据合作中，一方企业的不合规将可能导致各方合作行为的违法和侵权责任，从而引发连带责任风险。另外，企业之间的数据合作还可能引发技术适用违规、合作方数据泄露、数据成果侵害他人合法权益或社会公共利益等法律风险。

若要和第三方共享或向第三方转让个人信息，企业需制定清晰、合理的规则，并向信息主体寻求授权。在《个人信息保护法》出台之前，个人信息的共享转让只需要向用户告知企业的类型，但是根据个保法的规定，共享个人信息应当向用户明确告知共享者的名称等基本信息。这也是在充分保障用户的知情权，即在用户个人信息提供出去之后，其有权知晓其信息可能会被哪些主体使用，以及如何被使用。因此，这也给企业的数据合规提出了更高的要求，有可能接触到个人信息的企业都应当按照个保法的相关规定做合规的梳理，以避免侵犯用户的个人信息权益。

八、结语

在个人信息保护规则日益精细完善的背景下，制定完善的数据合规制度对企业来说十分重要。建议企业在数据处理活动中，应当根据其数据处理身份识别、厘清并履行所适用的义务，建立个人信息保护机制及规范，把握合规要点，进行事先防范和定期自查，依法合规处理个人信息，健康有序开展商业活动。

作者简介

白小莉
北京市道可特律师事务所 高级合伙人
邮箱：baixiaoli@dtlawyers

参考文献

1. 包文蕾《个人信息“可识别性”规则的适用困境与破解》smp.weixin.qq/s/Or1MyFyuEIPCJBd7veANLw
2. 张晓丽《<个人信息保护法>下合法性基础的适用探析》smp.weixin.qq/s/T1tLKdjbVwAKXC2YreiMCw
3. 看见就非常（“个人图书馆”文章）《科普：数据脱敏、加密、假名化、去标识化与匿名化的区分》.360doc27/wxarticlenew/936249787.html?ref=1
4. 郑佳宁《知情同意原则在信息采集中的适用与规则构建》smp.weixin.qq/s/iX6Dd5d4Bzs7UAw3tfaYwg
5. 田圣斌《个人信息安全影响评估机制》smp.weixin.qq/s/AFlLhKFSdDRlzwLplJjWEA
6. 参见田圣斌：《敏感个人信息的保护》smp.weixin.qq/s/0V79-cuEWkpAhElLwySPxw
7. 张国栋、李太阳《以反垄断法规制“大数据杀熟”，企业如何做到算法合规？》smp.weixin.qq/s/pJbLpbrFRTTPfDzpWcN2zg
8. 郑梅《简析App使用第三方SDK的合规现状及对策》smp.weixin.qq/s/axEzoLkRPD3TVQl5UV2LTw