1、 商業機構個人信息運用白皮書（概要版） 瑪娜數據科技發展基金會 & 上海星瀚律師事務所 目目 錄錄 摘要摘要 . 1 第第 1 章章 個人信息有關的基本概念個人信息有關的基本概念 . 2 1.1 個人信息的定義 . 2 1.2 個人信息的范疇 . 2 1.3 個人信息的分類 . 2 1.3.1 敏感個人信息和瑣碎個人信息 . 2 1.3.2 直接的個人信息和間接的個人信息 . 2 1.3.3 個人提供的信息、被觀測到的信息和推測的個人信息 . 3 1.4 個人信息的權屬 . 3 第第 2 章章 商業機構個人信息運用的現狀和特點商業機構個人信息運用的現狀和特點. 4 2.1 個人信息熱點事件 .

2、 4 2.2 個人信息運用引發的刑事犯罪 . 5 2.3 目前商業機構個人信息運用和保護的現狀 . 6 2.3.1 立法相對零散和滯后，執法力度欠缺 . 6 2.3.2 商業機構處于強勢地位，不合規現象頻現 . 6 2.3.3 公民個人信息保護意識缺乏，維權渠道不完善 . 6 第第 3 章章 商業機構運用個人信息的基本模式商業機構運用個人信息的基本模式. 7 3.1 個人信息運用的不同階段 . 7 3.1.1 個人信息收集階段 . 7 3.1.2 個人信息存儲階段 . 7 3.1.3 個人信息使用階段 . 7 3.2 個人信息商業運用模式總結 . 7 3.2.1 “自取自用”模式 . 7 3.

3、2.2 “他取自用”模式 . 8 3.2.3 “他取他用”模式 . 8 3.2.4 混合模式 . 8 商業機構個人信息運用白皮書（概要版） 瑪娜數據科技發展基金會 & 上海星瀚律師事務所 第第 4 章章 個人信息在不同行業中的運用方式個人信息在不同行業中的運用方式. 9 4.1 金融行業 . 9 4.2 社交媒體行業 . 9 4.3 電商平臺行業 . 9 4.4 （跨境）餐飲、零售行業 . 9 4.5 房地產中介、獵頭公司等居間服務行業 . 10 4.6 專業類數據公司 . 10 4.6.1 數據交易平臺 . 10 4.6.2 數據采集、數據分析等公司. 10 4.7 生物行業 . 10 第第

4、 5 章章 國內個人信息相關的法律法規及政策國內個人信息相關的法律法規及政策. 11 5.1 個人信息相關法律、法規及政策概覽 . 11 5.2 個人信息保護的基本原則 . 11 5.2.1 知情同意原則 . 11 5.2.2 合法正當原則 . 11 5.2.3 信息收集最小化原則 . 11 5.2.4 目的限制原則 . 11 5. 3 侵犯個人信息的法律責任. 11 5.3.1 民事責任 . 11 5.3.2 行政責任 . 11 5.3.3 刑事責任 . 12 第第 6 章章 國國外外個人信息相關個人信息相關立法立法 . 13 6.1 美國分散立法與行業自律結合的模式 . 13 6.2 日本

5、政府立法和行業自律結合的模式 . 13 6.3 歐盟國家主導模式 . 13 6.4 跨國個人信息保護合作 . 13 6.5 各國個人信息保護模式的對比與借鑒 . 14 第第 7 章章 商業機構個人信息運用合規性分析商業機構個人信息運用合規性分析. 15 7.1 用戶的“知情同意”權未得到充分保障 . 15 7.1.1 告知及用戶授權方式不清晰 . 15 7.1.2 告知和用戶授權的內容過于寬泛或模糊不清 . 15 商業機構個人信息運用白皮書（概要版） 瑪娜數據科技發展基金會 & 上海星瀚律師事務所 7.1.3 強制用戶授權 . 15 7.2 未經授權，收集個人信息 . 15 7.3 個人信息內

6、部管理存在漏洞 . 15 7.3.1 人員管理制度形同虛設 . 15 7.3.2 未采取合理技術保護措施 . 15 7.4 使用個人信息超過授權范圍或未經授權 . 16 7.5 非法將個人信息提供或出售給第三方 . 16 第第 8 章章 個人信息個人信息運用和保護相關建議運用和保護相關建議. 17 8.1 政府層面 . 17 8.1.1 盡快制定個人信息保護法，完善個人信息保護法律體系 . 17 8.1.2 完善侵犯個人信息的民事責任 . 17 8.1.3 建立個人信息分類分級保護機制 . 17 8.1.4 建立統一執法部門，加大執法力度，重點打擊黑色產業鏈 . 17 8.1.5 適當開放政府

7、數據資源，設立數據交易平臺準入機制 . 18 8.2 商業機構層面 . 18 8.2.1 探索個人信息收集與付費服務的新模式 . 18 8.2.2 建立合伙關系或股權投資關系對原始信息提供者進行溢價分享 . 18 8.2.3 根據信息的敏感程度，進行分級分類保護與分倉存儲 . 18 8.2.4 規范個人信息收集和使用行為，完善機構內部管理流程 . 18 8.2.5 制定個人信息泄露應急預案 . 19 8.2.6 通過區塊鏈等新技術的運用，提高個人信息運用的安全性 . 19 8.3 個人及社會層面 . 19 8.3.1 成立專門行業協會，提升個人信息保護意識 . 19 8.3.2 加大社會輿論監

8、督. 19 8.3.3 通過行業協會、基金會等組織開展公益訴訟 . 20 1 商業機構個人信息運用白皮書（概要版） 瑪娜數據科技發展基金會 & 上海星瀚律師事務所 摘要摘要 網絡信息時代的飛速發展使得個人信息成為各類商業機構的“兵家必爭”之地，因此個人信息的合法運用與保護已經成為了全球關注并亟待解決的核心熱點問題。 本白皮書從近兩年國內外有關個人信息運用的熱點事件出發，對于目前商業機構在運用和保護個人信息時存在的諸多問題進行分析，從立法、商業機構及公民自身等多個方面總結了造成這些問題的宏觀原因。 其次，白皮書著重對商業機構如何運用個人信息的模式進行總結及歸納，首先從信息收集、存儲、使用的各個環

9、節的維度對于運用個人信息的模式進行歸納，總結出“自取自用”、“他取自用”、“他取他用”及混合模式等典型模式；其次，結合個人信息在金融、社交媒體、電商平臺、餐飲零售等多個重要領域的具體運用，根據各個行業的特征與數據需求，對不同行業的個人信息運用模式進行總結。 在以上對于個人信息運用現狀的分析基礎上，白皮書結合國內的立法現狀、重要概念的解讀歸納了目前國內涉及侵犯個人信息的民事、行政及刑事責任。白皮書還對于國外比較具有代表性的立法理念及個人信息保護模式進行分析借鑒，對國內商業機構的個人信息運用模式中涉及的各個問題進行合規性分析，從政府、商業機構以及社會等多層次多方位提出相應的建議，嘗試總結出一條個人

10、信息開發利用和保護相互平衡的規制路徑。 關鍵詞：關鍵詞：商業機構；個人信息；個人數據；信息運用 2 商業機構個人信息運用白皮書（概要版） 瑪娜數據科技發展基金會 & 上海星瀚律師事務所 第第 1 章章 個人信息有關的基本概念個人信息有關的基本概念 1.1 個人信息的定義個人信息的定義 在我國其他現行的法律規范中對于“個人信息”的定義可以看出，個人信息具有以下幾個特征：首先，公民個人信息的內容極為廣泛，包括了姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯系方式、通信記錄和內容、賬號密碼、財產信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等與個人相關的全部信息，其范圍

11、未進行限制。 其次，個人信息具有“可識別性”與“關聯性”，能夠單獨或者與其他信息結合識別自然人個人身份或反映特定自然人活動情況的各種信息，個人信息若經過匿名化、去標志化的處理后，在不借助額外信息的情況下無法識別個人信息的主體或反映其活動情況的，則不屬于個人信息，這一特征是個人信息的核心特征。 1.2 個人信息的范疇個人信息的范疇 根據“個人信息”的定義分析，我們可以發現中華人民共和國網絡安全法及最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋均列舉了一定的基本個人信息作為示例，對個人信息的范疇進行了大范圍的劃分，但未進行限制，因此可以認為與公民個人相關的具有“

12、可識別性”與“關聯性”等特性的信息均可以被認定為“個人信息”。 另外，根據個人信息的運用領域及行業的不同，除前述所列舉的個人信息外，還包含其他具有行業特征的信息。不同領域的商業機構在開展商業活動時，因其商業模式的不同，接觸到的個人信息也是不同的。 1.3 個人信息的分類個人信息的分類 個人信息的分類對于個人信息的保護具有很重要的意義，目前學界對于個人信息有如下幾種分類方式： 1.3.1 敏感個人信息和瑣碎個人信息敏感個人信息和瑣碎個人信息 敏感個人信息指涉及個人隱私的信息?，嵥閭€人信息是指不涉及個人隱私的信息。根據瑞典資料法的規定，瑣碎個人信息是指“很明顯的沒有導致被記錄者的隱私權受到不當侵害

13、的資料”。 1.3.2 直接的個人信息和間接的個人信息直接的個人信息和間接的個人信息 這種分類是基于個人信息的“可識別性”與“關聯性”進行劃分的。 3 商業機構個人信息運用白皮書（概要版） 瑪娜數據科技發展基金會 & 上海星瀚律師事務所 1.3.3 個人提供的信息、被觀測到的信息和推測的個人信息個人提供的信息、被觀測到的信息和推測的個人信息 個人提供的信息指個人主動向外提供的屬于個人的信息，被觀測到的個人信息，則是通過一些計算機處理技術被觀察到的、第三方提供的評價等。 1.4 個人信息的權屬個人信息的權屬 從法律的角度來講，個人信息以及個人數據的交易應當是以所有權為基礎的。而個人信息以及個人信

14、息整合后形成的個人數據的所有權是否天然歸屬于信息主體？經脫敏處理的個人信息以及整合分析后產生的衍生信息所有權仍存在多種看法。 首先，未經處理的具有可識別性的基礎個人信息由個人提供，在獨立存在的情況下由信息主體享有完全的所有權，這是信息權屬劃分的基本原則。 其次，目前爭議較大的是經收集且經過匿名化處理的個人信息集合，每個處理環節或方面都會涉及相應的著作權或專利權的軟件、硬件開發和創新服務1。有觀點認為，信息處理者享有經個人信息主體同意基于基礎信息進行加工編輯分析而產生的增值信息所有權。也有觀點認為，這種匿名化的處理已經切斷了信息提供者與個人信息的聯系，應當由信息處理者享有此類個人信息的有限所有權

15、和相應的處分權2。另外也有觀點認為，經過信息主體的合法授權，已經取得了信息所有權中的占有、使用的權利，但這種轉讓僅授予了信息處理者部分財產性的利益。 1 陳筱貞.大數據權屬的類型化分析大數據產業的邏輯起點J，法制與經濟，2016年第 3 期：46 2 王融.關于大數據交易核心法律問題數據所有權的探討J大數據，2015(2): 49-55. 4 商業機構個人信息運用白皮書（概要版） 瑪娜數據科技發展基金會 & 上海星瀚律師事務所 第第 2 章章 商業機構個人信息運用的現狀和特點商業機構個人信息運用的現狀和特點 2.1 個人信息熱點事件個人信息熱點事件 我們對 2011年-2018 年這 7 年間

16、商業機構運用個人信息所引發的社會熱點事件進行了匯總。 2011 年年2018 年個人信息熱點事件匯總年個人信息熱點事件匯總 序號 時間 事件內容 1. 2011年 12月 CSDN、天涯、支付寶多家網站密碼外泄 2. 2013年 10月 國內多家酒店 2000 萬入住信息遭泄露 3. 2013年 11月 圓通百萬快遞單被爆網上出售 4. 2014年 03月 攜程支付系統漏洞遭到曝光 5. 2015年 06月 朱燁訴百度侵犯隱私權第一案二審判決 6. 2016年 08月 順豐內部人員泄漏用戶個人信息 7. 2016年 08月 山東女學生徐玉玉遭電信詐騙致死 8. 2017年 02月 新浪起訴脈脈

17、非法抓取用戶個人信息 9. 2017年 03月 京東內部員工涉嫌竊取 50億條用戶個人信息 10. 2017年 06月 順豐和菜鳥爭奪用戶個人信息控制權 11. 2017年 08月 華為和騰訊打響用戶個人信息爭奪戰 12. 2018年 01月 支付寶年度賬單事件引發熱議 13. 2018年 01月 江蘇省消保委起訴百度非法獲取用戶個人信息 14. 2018年 02月 Facebook 5000萬用戶個人信息泄露 5 商業機構個人信息運用白皮書（概要版） 瑪娜數據科技發展基金會 & 上海星瀚律師事務所 2.2 個人信息運用引發的刑事犯罪個人信息運用引發的刑事犯罪 從發展趨勢來看，2010年至20

18、17年侵犯公民個人信息的犯罪數量呈明顯上升趨勢，2017年達到最高，共計 1137例，相比 2016 年的 426 例，增加了 711 例。 從案件類型來看，非法獲取公民個人信息罪的占比最高，除此之外，由侵犯公民個人信息引發的詐騙犯罪和信用卡類犯罪也占據一定比重： 從行業來看，快遞、酒店、餐飲等行業是個人信息刑事犯罪高發的行業。 0100020007125213935835842611372010-2017年年侵犯公民個人信息犯罪案件侵犯公民個人信息犯罪案件案件數量59.10%22.80%18.00%7.70%3.80%2.60%2013年年-2016年年侵犯公民個人信息類刑事案比例侵犯公民個

19、人信息類刑事案比例非法獲取公民個人信息罪侵犯公民個人信息罪詐騙罪出售、非法提供公民個人信息罪信用卡類犯罪計算機信息系統類犯罪 6 商業機構個人信息運用白皮書（概要版） 瑪娜數據科技發展基金會 & 上海星瀚律師事務所 2.3 目前商業機構個人信息運用和保護的現狀目前商業機構個人信息運用和保護的現狀 分析上述熱點事件和數據中，可以看出目前商業機構運用個人信息過程中確實存在諸多問題，造成這些問題的主要原因包括： 2.3.1 立法相對零散和滯后，執法力度欠缺立法相對零散和滯后，執法力度欠缺 首先，在立法層面上，在整個個人信息保護領域缺乏專門性、整體性的立法。 另一方面，個人信息的形式、個人信息商業運用

20、的模式等相關問題隨著時代和技術的發展也在不斷變化之中，相關立法也呈現出滯后的現象，導致執法部門缺乏細化的執法依據。 2.3.2 商業機構處于強勢地位，不合規現象頻現商業機構處于強勢地位，不合規現象頻現 由于立法層面的不完善以及個人信息保護意識的淡薄，使得企業在個人信息運用的過程中處于非常強勢的地位，企業往往忽視或者不遵循有關法律規定，隨意收集、使用個人信息，加上對于所存儲的個人信息缺乏必要的技術和制度保障，從而引發了大量的個人信息泄露以及個人信息非法運用事件。 2.3.3 公民公民個人信息保護意識缺乏，維權渠道不完善個人信息保護意識缺乏，維權渠道不完善 從社會整體來看，公民的個人信息保護意識仍

21、有待加強。且缺乏方便有效的維權渠道也給個人信息保護帶來了一定困難。當發現個人信息收到侵犯時，個人的維權途徑一般有幾種：向行政機關舉報、向公安報案，或者提起民事訴訟。三種方式的使用比例如下圖所示： 62.70%26.50%10.80%公民在公民在個人信息個人信息受到侵害時受到侵害時維權途徑選擇維權途徑選擇向行政機關舉報向公安報案提起民事訴訟 7 商業機構個人信息運用白皮書（概要版） 瑪娜數據科技發展基金會 & 上海星瀚律師事務所 第第 3 章章 商業機構運用個人信息的基本模式商業機構運用個人信息的基本模式 3.1 個人信息運用的不同階段個人信息運用的不同階段 3.1.1 個人信息收集階段個人信息

22、收集階段 1. 在提供服務過程中自行收集在提供服務過程中自行收集 在自身提供服務的過程中獲取個人信息是商業機構收集個人信息的主要手段。 2. 通過企業的關聯方收集通過企業的關聯方收集 很多企業在經營過程中，會依靠集團內部的關聯方，共享用戶個人信息。 3. 通過第三方收集通過第三方收集 除通過自身服務以及關聯方獲取個人信息外，許多商業機構會通過第三方渠道獲取和收集個人信息，常見的第三方機構包括：持牌征信機構、獲得官方授權的機構自身直接收集個人信息的非持牌機構，如通信運營商、航空公司及其他各類在提供服務過程中獲取到個人信息的機構；自身不直接收集個人信息的非持牌機構。 3.1.2 個人信息存儲階段

23、1.自行保存自行保存 對于個人信息的存儲，最為常見的方式是商業機構自行保存收集的全部個人信息，信息存放在后臺系統。 2.委托第三方存儲委托第三方存儲 除自行保存個人信息外，部分商業機構會委托獨立的第三方機構或者通過第三方機構提供存儲服務進行信息存儲，如各類云盤、網盤等。 3.1.3 個人信息使用階段 商業機構獲得商業利益的來源主要通過對于個人信息的使用，使用主要分為以下幾種方式： （1）用于商業機構自身運營，如制定新的市場策略、實現用戶服務定制化、定向推送商業機構的廣告或信息等； （2）對外提供風控、個人信息查詢、背景調查、人臉比對識別等數據服務；（3）對于收集的個人信息進行（脫敏）處理后向其

24、他第三方出售或提供個人信息分析結果或個人信息處理模型的構建服務。 3.2 個人信息商業運用模式總結個人信息商業運用模式總結 根據企業個人信息運用不同階段所使用的方式不同，可以歸納出以下幾種個人信息的商業運用模式： 3.2.1 “自取自用自取自用”模式模式即企業主要在自身提供服務的過程中收集個人信息，以及即企業主要在自身提供服務的過程中收集個人信息，以及 8 商業機構個人信息運用白皮書（概要版） 瑪娜數據科技發展基金會 & 上海星瀚律師事務所 通過關聯方獲取個人信息，收集到的信息主要用于企業內部的運營管理，包括通過關聯方獲取個人信息，收集到的信息主要用于企業內部的運營管理，包括調整商業策略、向用

25、戶定向推送廣告等。調整商業策略、向用戶定向推送廣告等。 3.2.2 “他取自用他取自用”模式模式“他取自用他取自用”模式模式，即企業主要通過外部第三方獲取個人信即企業主要通過外部第三方獲取個人信息，但獲取到個人信息主要用于企業內部使用。息，但獲取到個人信息主要用于企業內部使用。 3.2.3 “他取他用他取他用”模式模式“他取他用他取他用”模式模式，即企業主要通過外部第三方獲取個人信即企業主要通過外部第三方獲取個人信息，并且對于獲取到的個人信息用于向第三方出售或者提供。息，并且對于獲取到的個人信息用于向第三方出售或者提供。 3.2.4 混合模式混合模式在獲取信息的方式上在獲取信息的方式上，既有通

26、過自身服務獲取的方式既有通過自身服務獲取的方式，也通過外也通過外部第三方獲取，在使用用途上，既用于內部經營，也會向第三方提供。部第三方獲取，在使用用途上，既用于內部經營，也會向第三方提供。 商業機構運用個人信息的主要模式如下圖所示： 9 商業機構個人信息運用白皮書（概要版） 瑪娜數據科技發展基金會 & 上海星瀚律師事務所 第第 4 章章 個人信息在不同行業中的運用方式個人信息在不同行業中的運用方式 4.1 金融行業金融行業 金融公司的業務開展依賴于個人信息的收集與分析運用，一方面金融公司在接受用戶的業務申請時，需要通過對用戶信息的綜合考量來確定用戶的投資能力、還款能力及信用水平等；另一方面，當

27、用戶出現逾期情況時，企業通過獲取的用戶財產信息，以及親友信息進行壞賬催收。另外通過結合自身獲取的個人信息與第三方數據源的個人信息，向第三方提供風控、背景調查等服務 4.2 社交媒體行業社交媒體行業 以微信、微博為代表的社交平臺已成為人們生活的重要組成部分。社交媒體企業主要將個人信息用于： 1. 建立用戶個性化模型，為用戶提供定制化服務建立用戶個性化模型，為用戶提供定制化服務 2. 用于第三方軟件的登錄方式，并向第三方開放信息接口用于第三方軟件的登錄方式，并向第三方開放信息接口 4.3 電商平臺行業電商平臺行業 個人信息的運用是電商平臺運營的重要基礎，電商平臺通過分析個人信息對于平臺的經營策略進

28、行調整，達到精準營銷、把控商機的目的。 以某大型電商平臺為例，其收集和使用個人信息主要有以下幾種情形： 1. 用戶必須授權平臺收集和使用個人信息的情形：此種信息的收集為必須項，否用戶必須授權平臺收集和使用個人信息的情形：此種信息的收集為必須項，否則用戶將無法實現正常的網站購物等功能。則用戶將無法實現正常的網站購物等功能。 2. 用戶可以選擇授權平臺收集和使用個人信息的情形，此種信息的收集不是必須用戶可以選擇授權平臺收集和使用個人信息的情形，此種信息的收集不是必須項，即使用戶不提供也可以進行正常的網絡購物，提供此類信息帶來的附加功項，即使用戶不提供也可以進行正常的網絡購物，提供此類信息帶來的附加

29、功能。能。 3. 部分涉及國家安全、國防安全、與犯罪偵查、起訴、審判和判決執行等有關的，部分涉及國家安全、國防安全、與犯罪偵查、起訴、審判和判決執行等有關的，平臺可在未征得用戶授權同意的情況下使用。平臺可在未征得用戶授權同意的情況下使用。 4. 從第三方獲取個人信息，主要是指第三方賬戶與原本的平臺賬戶綁定，并從第從第三方獲取個人信息，主要是指第三方賬戶與原本的平臺賬戶綁定，并從第三方獲取授權共享的賬戶信息。三方獲取授權共享的賬戶信息。 4.4 （跨境）餐飲、零售行業（跨境）餐飲、零售行業 自上世紀 90 年代以來，餐飲和零售企業在中國市場快速發展，尤其是以肯德基、麥當勞、星巴克、沃爾瑪等眾多國

30、際品牌相繼進入中國市場。這些企業在經營過程中積累的大量個人消費信息是跨境企業制定全球化的發展策略具有重要的意義。 10 商業機構個人信息運用白皮書（概要版） 瑪娜數據科技發展基金會 & 上海星瀚律師事務所 1. 通過會員注冊獲取信息，定期發送最新產品廣告，進行定向市場拓展通過會員注冊獲取信息，定期發送最新產品廣告，進行定向市場拓展 2. 利用個人消費信息，分析市場發展趨勢，用于總公司制定市場策略利用個人消費信息，分析市場發展趨勢，用于總公司制定市場策略 4.5 房地產中介、獵頭公司等居間服務行業房地產中介、獵頭公司等居間服務行業 房地產中介、獵頭公司等從事居間服務的企業，依賴于通過個人信息實現

31、信息的傳遞，以完成居間服務。以某大型房地產中介 E 公司為例，通過其股東共享集團內部的個人信息，同時通過第三方渠道獲取了大量個人信息，招聘大量電話銷售人員，通過電話向個人進行電話推銷。 對于獵頭公司，同樣需要通過個人信息的收集和運用開展業務。以 F 公司為例，其通過技術手段，在招聘網站搜索個人投遞簡歷的信息，一方面，F 公司根據簡歷信息為個人匹配合適的企業，另一方面，F 公司將這些信息進行整合，評估企業的規模、實力和人員穩定情況。 4.6 專業類數據公司專業類數據公司 數據交易平臺根據其他合作商業機構的委托，一方面負責對合作方提供的個人信息進行真實性驗證，一方面對于個人信息進行分析處理，并根據

32、合作方的要求實現其特定商業目的。常見的數據公司主要有以下兩類： 4.6.1 數據交易平臺數據交易平臺 數據交易平臺主要是為企業提供信息交易的居間撮合服務，提供信息及數據的流動性和商業價值。 4.6.2 數據采集、數據分析等公司數據采集、數據分析等公司 除數據交易平臺外，還有一部分是圍繞數據產業鏈做采集、清洗、建模、脫敏、脫密、可視化、算法的公司。以某數據公司為例，其與多家金融企業合作，為公司開展線上及線下的推廣活動，該數據公司將采集到的個人信息提供給金融企業；同時，該公司與多家餐飲企業合作，餐飲企業將會員信息提供給該公司，其根據會員信息向會員推送廣告，并向企業收取服務費用。 4.7 生物行業生

33、物行業 通過隨身攜帶的電子設備以及各種健康、運動、健身軟件，人們在記錄并觀察自己的身體狀況的同時，相關的生物信息也被生物信息數據類公司所獲取。 以國內某大型生物技術公司為例，其對于個人生物信息收集主要通過與多個高校、研究中心、醫院、醫藥公司等的合作，以及通過自身開展項目獲取數據。 11 商業機構個人信息運用白皮書（概要版） 瑪娜數據科技發展基金會 & 上海星瀚律師事務所 第第 5 章章 國內個人信息相關的法律法規及政策國內個人信息相關的法律法規及政策 5.1 個人信息相關法律、法規及政策概覽個人信息相關法律、法規及政策概覽 詳見完整版白皮書。 5.2 個人信息保護的基本原則個人信息保護的基本原

34、則 5.2.1 知情同意原則知情同意原則 知情同意原則指信息收集者應當將個人信息的收集使用行為明確告知信息主體，并獲得信息主體的同意（包括明示同意和默示同意）。 5.2.2 合法正當原則合法正當原則 合法正當原則主要指個人信息的收集方式及目的合法正當。收集方式合法正當主要指經過信息主體的同意或者符合法律法規的規定；目的正當指信息收集者收集信息的目的應當是基于合法經營，不得非法獲取或者非法使用個人信息。 5.2.3 信息收集最小化原則信息收集最小化原則 根據信息收集最小化原則的要求，在收集個人信息時，僅能收集為收集目的所必要的信息，不得收集與目的無關的個人信息。 5.2.4 目的限制原則目的限制

35、原則 目的限制原則指信息使用者或者處理者不能將個人信息用于與信息主體約定以外的用途，在合法的前提下僅限于雙方的約定范圍以及服務目的之內的范圍。 5.3 侵犯個人信息的法律責任侵犯個人信息的法律責任 5.3.1 民事責任民事責任 在民法總則頒布之前，我國主要是通過隱私權、姓名權、名譽權等多個方面的法律規定對個人信息進行保護，另外在侵權責任法及相關司法解釋中也有相關的規定。新修訂的民法總則第 101條明確提出了個人信息將可以獨立于隱私權，而直接作為民事上受保護的利益受到法律保護，明確了隱私和個人信息的二元保護機制。這意味著侵犯個人信息的民事責任承擔形式主要為：停止侵害、賠償損失、賠禮道歉、消除影響

36、、恢復名譽等。另外，網絡安全法、征信業管理條例也對于個人信息受到損害民事責任承擔也做出了規定。 5.3.2 行政責任行政責任 12 商業機構個人信息運用白皮書（概要版） 瑪娜數據科技發展基金會 & 上海星瀚律師事務所 根據網絡安全法規定，網絡運營者、網絡產品或者服務的提供者侵害公民個人信息依法得到保護的權利的，由有關主管部門責令改正，可以根據情節單處或者并處警告、沒收違法所得，并罰款，沒有違法所得的。另外，根據通信網絡安全防護管理辦法、規范互聯網信息服務市場秩序若干規定、征信業管理條例等規定，都對于互聯網信息服務提供者、征信機構等主體及其工作人員在使用個人信造成信息主體合法權益損失的情況下，應

37、當承擔的行政責任做出了規定。 5.2.3 刑事責任刑事責任 根據中華人民共和國刑法修正案（七），違反國家有關規定，向他人出售或者提供公民個人信息，或竊取或者以其他方法非法獲取公民個人信息的，情節嚴重的，構成“侵犯公民個人信息罪”?！皟筛咚痉ń忉尅睂τ诘摹扒楣潎乐亍?、“情節特別嚴重”的情形進行了列舉，從信息類型和數量、違法所得數額、信息用途、主體身份及前科情況等多個方面明確了侵犯公民個人信息罪的入罪要件及量刑標準。 13 商業機構個人信息運用白皮書（概要版） 瑪娜數據科技發展基金會 & 上海星瀚律師事務所 第第 6 章章 國外個人信息相關立法國外個人信息相關立法 6.1 美國美國分散立法與行業自

38、律結合的模式分散立法與行業自律結合的模式 美國的個人信息保護以聯邦隱私權法為基礎，采取政府引導下的行業自律模式，通過分散立法，輔助不同行業自律規則的實施，規范行業內個人信息處理行為3。 6.2 日本日本政府立法和行業自律結合的模式政府立法和行業自律結合的模式 日本現行的個人信息保護制度由三層制度體系組成，頂層是由個人信息保護法作為核心，規定了公私領域個人信息保護的總原則；中層為針對民營企業、政府機關、地方行政法人、地方公共團體等的個別法，為個人信息保護中遇到的各種具體問題提供法律依據；下層為各個行業主管部門制定的具體指導方針和行規，針對不同行業的企業在個人信息的使用中提供具體的操作指導。 6.

39、3 歐盟歐盟國家主導模式國家主導模式 歐盟采用兩個層次的立法模式：歐盟統一立法和歐盟成員國國內立法。歐盟統一立法的層面，歐盟制定了一系列指令、原則、準則、指南等立法規制對各個成員國的國內立法提供理念及原則指導并形成保護標準，使得歐盟各成員國在建立各自的國內個人數據法律制度時在統一的個人隱私保護法律、法規體系之內，便于個人數據在成員國之間自由流通以及統一規制，使得歐盟內得個人數據保護機制存在較為統一的個人數據安全法律體系，且各國也可根據各自的國情需要進行細化4。 6.4 跨國個人信息保護合作跨國個人信息保護合作 歐盟和美國于 2016年 7月初就數據傳輸達成了隱私盾協議（EU-US Privac

40、y Shield） ，要點包括以下幾點： （1）穩健義務,即在進行歐盟公民的個人信息采集時，應當明確告知數據采集、傳輸和使用流程及目的； （2）透明度和安全保證，對于美國的政府機構以及企業進行個人信息采集的全過程，構建了較為完備收集程序要求與監管措施； （3）權利救濟，歐盟公民若懷疑其個人信息受到侵害時，可以向企業進行投訴，或向本國的數據保護機構投訴?？偨Y來說，美國在履行隱私盾協議時將會承擔更多的義務，而歐盟則進一步強化了數據主權。 3 王歸超. 個人信息保護模式的國際借鑒和建議J. 金融經濟（理論版），2013年 3期：P115P117. 4 王歸超. 個人信息保護模式的國際借鑒和建議J.

41、金融經濟（理論版），2013年 3期：P115P117. 14 商業機構個人信息運用白皮書（概要版） 瑪娜數據科技發展基金會 & 上海星瀚律師事務所 6.5 各國個人信息保護模式的對比與借鑒各國個人信息保護模式的對比與借鑒 以上各國的做法，對我國的個人信息保護工作有幾點借鑒意義： 一是要從宏觀上明確個人信息保護的立法導向，是更注重公民個人權利的保護，還是側重個人權利和商業運用的平衡。 二是建立完整細致的法律體系，無論是采用統一立法還是分散立法的模式，對于個人信息的保護必須建立細化的規則。 三是確立統一的執法部門，建立高效的行政和司法救濟機制。 15 商業機構個人信息運用白皮書（概要版） 瑪娜數

42、據科技發展基金會 & 上海星瀚律師事務所 第第 7 章章 商業機構個人信息運用合規性分析商業機構個人信息運用合規性分析 7.1 用戶的用戶的“知情同意知情同意”權未得到充分保障權未得到充分保障 7.1.1 告知及用戶授權方式不清晰告知及用戶授權方式不清晰 以線上企業為例，目前企業告知和取得用戶授權的方式主要有：公示方式、默認勾選方式、主動點擊方式，其中“主動點擊方式”的保障力度最大。但實踐中采用這種方式的并不多，為了便利性及用戶體驗的考慮，往往選擇公示或者“默認勾選”的方式取得用戶的同意。大部分用戶對于企業收集個人信息的方式、范圍、用途等情況一概不知，更無從談起個人信息的維權。 7.1.2 告

43、知和用戶授權的內容過于寬泛或模糊不清告知和用戶授權的內容過于寬泛或模糊不清 目前企業的普遍做法是，在相關協議中盡可能將用戶授權收集個人信息的范圍和用途擴大，或者使用模糊化的詞句，使得用戶授權企業收集個人信息的范圍遠遠超過了提供服務的必要范圍。這樣的做法導致企業收集個人信息的范圍無限制擴張，加大了個人信息泄露的風險，以及泄漏后對個人可能造成的影響。 7.1.3 強制用戶授權強制用戶授權 許多 APP 在進行注冊時，企業會強制要求同意或者簽署“用戶協議”，如果用戶選擇“不同意”或者不勾選協議，便無法進行下一步的操作或者使用 APP。通過這種強制授權的方式，再加上寬泛和模糊的授權內容，使得企業可以以

44、非常低的成本獲得用戶的授權，而且授權的范圍幾乎不受任何限制。 7.2 未經授權，收集個人信息未經授權，收集個人信息 實踐中，企業對于從第三方獲取的個人信息，一般不會向用戶進行告知，以及取得用戶同意。一方面，通過這樣方式獲取的個人信息往往數量較大，企業告知的成本會相應增加，另一方面，許多企業也知道第三方提供的個人信息來源未必合法。 7.3 個人信息內部管理存在漏洞個人信息內部管理存在漏洞 7.3.1 人員管理制度形同虛設人員管理制度形同虛設 在人員管理上，大部分企業僅僅只有幾張流于形式的所謂“保密制度”，員工可以非常輕松地獲取企業保存的全部個人信息。 7.3.2 未采取合理技術保護措施未采取合理

45、技術保護措施 目前大部分企業是將原始個人信息直接保存在系統中，沒有采取任何技術手 16 商業機構個人信息運用白皮書（概要版） 瑪娜數據科技發展基金會 & 上海星瀚律師事務所 段，或者僅僅是采取了簡單的加密措施。這樣使得個人信息在企業內部存儲的過程中，極易發生泄露或者被內部員工非法盜取利用。 7.4 使用個人信息超過授權范圍或未經授權使用個人信息超過授權范圍或未經授權 很多情況企業對于個人信息的用途，并不會逐一告知用戶。企業使用個人信息超過授權范圍或者根本未經授權，增加了企業濫用個人信息的可能性，使得個人信息被非法利用的風險進一步擴大。 7.5 非法將個人信息提供或出售給第三方非法將個人信息提供

46、或出售給第三方 企業收集的個人信息，除了在經過分析處理后，用于企業自身使用外，更為直接簡便的用途是提供或者出售給第三方。企業未經授權，提供個人信息給第三方或者出售、變相出售個人信息給第三方，造成的后果是個人信息的流轉的范圍變得極不可控，一旦發生大規模的個人信息泄露事件，很難追查到源頭，而且導致企業不注重個人信息本身的分析和加工，使得個人信息難以發揮其價值。 17 商業機構個人信息運用白皮書（概要版） 瑪娜數據科技發展基金會 & 上海星瀚律師事務所 第第 8 章章 個人信息運用和保護相關建議個人信息運用和保護相關建議 8.1 政府層面政府層面 8.1.1 盡快制定個人信息保護法，完善個人信息保護

47、法律體系盡快制定個人信息保護法，完善個人信息保護法律體系 統一的個人信息保護法可以將分散于各個法律法規之中對于個人信息保護的理念及細則進行歸攏，更有利于向民眾普及個人信息法律保護的常識和意識5。 8.1.2 完善侵犯個人信息的民事責任完善侵犯個人信息的民事責任 對于侵犯個人信息的行為，可以通過歸責原則和舉證責任的設置，便于公民向企業及其他侵權人主張侵權責任。在歸責原則上，對于侵犯公民個人信息的行為建議適用無過錯責任原則（即侵犯公民個人信息行為的成立不需要以侵權人存在主觀過錯為前提條件） ，由被侵權人對自身存在免責事由承擔舉證責任。 8.1.3 建立個人信息分類分級保護機制建立個人信息分類分級保

48、護機制 建議將個人信息區分為三個等級：第一等級是一般等級，主要包括個人的基本信息、一般消費信息等，對于這類信息，企業可以在符合法律法規規定的前提下，進行收集和使用；第二等級是限制等級，主要包括涉及到個人財產、行蹤軌跡等個人隱私的信息，在收集、存儲和使用方面需要有更多的限制，比如限制企業收集該類信息的數量和頻率；第三等級是禁止等級，主要是針對個人生物信息等重大敏感信息，在一般情況下不能進行收集和使用，如確有部分企業需要收集使用該類信息，應當通過行政審批方可實施。 8.1.4 建立統一執法部門，加大執法力度，重點打擊黑色產業鏈建立統一執法部門，加大執法力度，重點打擊黑色產業鏈 為了更好地對個人信息

49、運用和保護方面的問題進行監管，應當設立統一的執法部門，建議將各部門的職能調整如下：網信辦作為黨政機關起到宏觀把控的作用，工信部作為行政機關負責具體的行政執法活動，網安大隊對于涉及到互聯網的執法活動提供技術支持。 就執法力度而言，政府部門應該建立常態化的監管機制，對企業的個人信息收集和使用行為進行更為嚴格的審查；在執法對象方面，建議政府部門從打擊產業鏈出發，包括非法出售、提供、黑客侵入、販售、軟件設計等整個產業鏈，可以有效地從源頭上切斷非法運用個人信息的渠道。 5 安全牛. 個人信息與隱私保護法律法規現狀 18 商業機構個人信息運用白皮書（概要版） 瑪娜數據科技發展基金會 & 上海星瀚律師事務所

50、 8.1.5 適當開放政府數據資源，設適當開放政府數據資源，設立數據交易平臺準入機制立數據交易平臺準入機制 對于個人信息保護，鼓勵合法的個人信息交易，有利于解決濫用個人信息的問題。如政府機構可以將公共服務時收集的個人信息進行脫敏處理，并通過適當的方式向企業開放，可以緩解個人信息交易的亂象。對于獲得了合法經營資格、嚴格守法自律的數據處理企業及數據交易平臺，應當給予充分的肯定和鼓勵，并通過企業名錄公示等方式，使普通民眾對此獲得充分了解6。 8.2 商業機構層面商業機構層面 8.2.1 探索個人信息收集與付費服務的新模式探索個人信息收集與付費服務的新模式 建議企業可以探索和發展付費服務與免費服務相結

51、合的新商業模式，即用戶在接受服務時，有權選擇付費或者接受免費服務，若選擇免費服務的，則需要提供個人信息作為對價，若選擇付費的，除提供服務所必需的信息外，企業不應再收集其他個人信息。 8.2.2 建立合伙關系或股權投資關系對原始信息提供者進行溢價分享建立合伙關系或股權投資關系對原始信息提供者進行溢價分享 商業機構利用個人信息進行分析處理所產生的數據結果可以使得個人信息的價值可以產生一定的溢價。有觀點認為，原始信息提供者基于其所享有的所有權，對于數據結果仍享有優先的財產權，可以向數據處理者主張分割數據結果在商業活動中產生的溢價部分。而溢價部分的分割方式可以借鑒合伙企業的合伙關系或有限責任公司的股權

52、投資關系，將原始信息提供者視為合伙企業中的有限合伙人，或有限責任公司中的股東，對于數據結果所產生的溢價進行分享。 8.2.3 根據信息的敏感程度，進行分級分類保護與分倉存儲根據信息的敏感程度，進行分級分類保護與分倉存儲 對個人信息進行分級分類存儲、管理與保護是做好個人信息合規，防范法律風險的重要工作。在商業機構進行個人信息運用時，可以根據個人信息的敏感性程度、面臨的安全風險、對信息主體影響力以及信息的重要程度等因素對個人信息進行分類分級保護，并將個人信息根據分級后的結果建立不同的存儲模式與加密措施，對信息進行實時監控和預警。 8.2.4 規范個人信息收集和使用行為，完善機構內部管理流程規范個人

53、信息收集和使用行為，完善機構內部管理流程 企業在內部管理中應當建立健全保障信息安全的規章制度并構建相應的流程，并通過正式、有效的方式發布，并進行版本控制，保證個人信息在企業內部的處理 6 安全牛. 個人信息與隱私保護法律法規現狀 19 商業機構個人信息運用白皮書（概要版） 瑪娜數據科技發展基金會 & 上海星瀚律師事務所 及流轉在規范的流程中進行；應當根據工作需要，對企業工作人員查詢、使用個人信息的權限和程序作出分等級的規定與程序設置，超出其權限范圍的信息查詢需進行登記，如實記載查詢工作人員的姓名，查詢的時間、內容及用途。同時，企業應當設立負責個人信息管理的專職部門或專職人員，降低企業內部泄露的

54、風險。 8.2.5 制定個人信息泄露應急預案制定個人信息泄露應急預案 為了降低系統性風險，企業除了需要在日常管理中，加強對個人信息的保護外，還建議制定個人信息泄露的應急預案，從而保證在發生個人信息泄露時，能夠在短時間內發現泄露的源頭，并進行處置與控制信息安全風險，以爭取將信息泄露風險控制在最低程度。同時，通過應急預案的制定，企業也能對自身個人信息管理中存在的問題進行梳理，及時整改，將問題扼殺在搖籃中。 8.2.6 通過區塊鏈等新技術的運用，提高個人信息運用的安全性通過區塊鏈等新技術的運用，提高個人信息運用的安全性 區塊鏈技術近幾年逐漸興起，區塊鏈是分布式數據存儲、點對點傳輸、共識機制、加密算法

55、等計算機技術的新型應用模式。如果能使用區塊鏈的隔離驗證技術，將個人信息進行隔離驗證處理，既可以保障個人信息需求方的合法用途，又可以最大限度保護用戶隱私,例如，對用戶名字、身份證號等信息利用哈希算法加密，通過隔離驗證來保障個人信息真實性。 8.3 個人及社會層面個人及社會層面 8.3.1 成立專門行業協會，提升個人信息保護意識成立專門行業協會，提升個人信息保護意識 對于公民個人而言，應當做到：不輕易將涉及隱私信息的資料提供給第三方；對于接受互聯網服務過程中，涉及到的各項隱私政策和條款，有基本的認知；對于各個移動應用收集個人信息的方式、范圍及用途有基本的了解。另外，建議成立類似于消費者保護協會的專

56、業性行業協會。通過行業協會舉辦各類講座、論壇、開設公眾號、APP 等方式，可以加大個人信息保護的宣傳力度。同時，一旦公民個人發現個人信息遭到侵犯，也有一個相對統一的投訴維權渠道。 8.3.2 加大社會輿論監督加大社會輿論監督 一些社會組織，如行業協會、基金會等需要充分利用自身的影響力以及經驗，加大對商業機構運用個人信息的監督，一旦發生重大的個人信息事件，這些組織要通過輿論監督事后的處置工作，避免許多事件最終不了了之。這些社會組織也可以積極參與到個人信息相關的立法工作中，提供更開闊的思路，以適應個人信息運用迅速的發展變化。 20 商業機構個人信息運用白皮書（概要版） 瑪娜數據科技發展基金會 &

57、上海星瀚律師事務所 8.3.3 通過行業協會、基金會等組織開展公益訴訟通過行業協會、基金會等組織開展公益訴訟 個人在維權過程中，在取證上往往會受到重重阻礙，加上法律知識的缺乏，造成了維權難的現象。但江蘇省消保委起訴百度公司的案例，給了我們很好的啟發，通過行業協會或者民間公益組織，如基金會等，提起公益訴訟，可以大大提高民事訴訟的成功率。 上?，斈葦祿萍及l展基金會就是這樣一家致力于個人信息保護的公益組織，瑪娜基金會于 2016 年 10 月正式成立，是一家旨在促進數據科技技術發展，資助和開展數據科技項目創新的非公募基金會。通過類似于瑪娜基金會的公益組織的介入，可以在刑事及行政監管之外，為個人信息

58、的保護開辟一條新思路。 21 商業機構個人信息運用白皮書（概要版） 瑪娜數據科技發展基金會 & 上海星瀚律師事務所 編委會 聯合出品聯合出品 上?，斈葦祿萍及l展基金會 上海星瀚律師事務所 報告主編報告主編 衛新、阮靄倩、王昊宇、蘇宇吉 特別感謝特別感謝 張唯、胡曉萌、張曉蓉、韋思慧、程金華、陳越峰、丁紹寬 22 商業機構個人信息運用白皮書（概要版） 瑪娜數據科技發展基金會 & 上海星瀚律師事務所 關于瑪娜數據科技發展基金會 上?，斈葦祿萍及l展基金會（以下簡稱瑪娜基金會）成立于 2016 年 10 月，是我國第一家數據類公益慈善基金會。自成立以來，瑪娜基金會始終秉承“以數據驅動科技，以科技助

59、力公益”的宗旨，將數據科技與公益體系深度融合，資助了在社會體系、個體價值、人文教育、生態環境、金融投資等各方面的科技創新公益項目，并不斷探索著信息時代下“數字+公益”的新模式，使公益事業可量化，締造更公開、更透明、更健康的數字公益新生態。 瑪娜基金會集結了一批來自不同背景的專業人士，有來自公益基金會的資深公益人、大數據技術專家、社群領導者、知名律師、資深金融專家等?；饡猿植粩嗵剿髦萍紨祿τ诠嫘袠I在各方面的技術創新及應用，目前基金會已展開個人數據權益、數字公益、公益金融等三大模塊的數字公益產業。 電話：021-5082 0312 郵箱：mannamanadata.org 地址：上海市

60、浦東新區松濤路 563號海外創新園 A幢 501 網址：http:/www.manafoundation.org （個人數據權益保護） （瑪娜基金會官微） 23 商業機構個人信息運用白皮書（概要版） 瑪娜數據科技發展基金會 & 上海星瀚律師事務所 關于上海星瀚律師事務所 上海星瀚律師事務所是一體化運營的精品律師事務所。律所業務領域涵蓋：公司、金融、海商、刑事、涉外、財稅、家事、房產、行政、海關等，能夠為客戶提供高品質的一站式、綜合性法律服務。2019 年，星瀚所獲評 2015-2018 年度“上海市優秀律師事務所”、并被授予“上海市十佳律師事務所”稱號。 專業化發展專業化發展 星瀚所的業務部門

61、堅持專業化發展，由在該領域專業領先的合伙人、資深律師領銜。律所根據案件的專業特點指派對應部門承辦，在跨專業領域的案件中指定多部門合作辦理，確?？蛻臬@得優質、專業的法律服務。 一體化管理一體化管理 星瀚所始終堅持一體化運營，全所執行相同的制度、接受統一的管理，業務流程規范、嚴謹，律師代理的每一個案子均由業務管理部門和客戶服務部門全程跟進，律所至今保持零投訴的優秀記錄。星瀚所擁有智能化的共享知識庫及專業的市場部門，擅長應對行業與行業的跨界、商業與法律的交叉，能夠助力客戶實現商業目標。 國際化發展國際化發展 為迎合行業需要、向客戶提供跨區域的法律服務，我們在南京、武漢設有分所，與全球知名的律師事務所

62、保持戰略合作。星瀚所與諸多國際仲裁中心、國際型商會、全球性的專業機構長期互訪；星瀚律師可以用中文、英文、韓文、日文作為工作語言，為全球客戶提供法律服務。 電話：021-5109 6488 郵箱：BD 地址：上海市長寧區長寧路 1193號長寧來福士 T3座 7樓 網址： （星瀚微法苑微信公眾號） （星瀚官方客服號） 24 商業機構個人信息運用白皮書（概要版） 瑪娜數據科技發展基金會 & 上海星瀚律師事務所 免責聲明 本報告所選取的案例和數據均來自公開材料，研究團隊遵循嚴謹性、完整性和可靠性原則撰寫本報告。同時，研究團隊可對本報告所含信息在不發出通知的情況下做出修改，讀者可自行關注相應的更新和通知。本報告內容僅作信息提供使用，不能用于替代公司專業咨詢顧問提供的咨詢意見。