互联网企业个人信息保护义务研究

章节信息目录

所属图书：《网络信息法学研究.2020年.第2期：总第8期》

出版日期：2020-12

字数： 13759

所属分类：

关键词：

换肤

字号

小中大

“后马克思主义”是马克思主义吗？

当前显示为试读部分，购买后可阅读全文×

互联网企业个人信息保护义务研究

《民法典》和《个人信息保护法（草案）》对于个人信息的规定反映了现实对于个人信息保护的迫切需求。作为处理个人信息的重要主体，互联网企业极易威胁个人信息安全。本文抽选三家典型互联网企业为考察对象，认为其隐私政策存在告知说明义务履行不充分、信息授权流于表面、收集目的模糊、信息共享过度等问题。为有效保护个人信息，互联网企业应当完善行业自律义务机制，不以个人信息授权为提供服务的前提，建立分级同意义务规则和匿名化共享信息。

网络服务的繁荣带来个人信息利用价值的提高，进而对用户提出收集处理个人信息的要求。为此进行的个人信息授权被普遍认为是提供服务的必经程序，但《个人信息保护法》尚待出台，互联网企业^[1]的信息处理行为因而缺乏必要规制。为回应个人信息保护的现实挑战，《网络安全法》率先将个人信息保护纳入网络安全管理，《民法典》人格权编专门规定了个人信息保护制度，《个人信息保护法（草案）》已于2020年10月向社会征求意见。

个人信息处理者^[2]主要依据隐私政策对个人信息利用进行说明。隐私政策主要包括个人信息政策的告知说明方式、收集目的和范围及管理等事项。个人信息处理者通常采取隐私声明的方式或以格式合同与用户约定信息收集、使用和删除等内容，这都起着解释说明的作用。故个人信息处理者的隐私政策体现着保护个人信息与发挥数据效用的平衡，也体现着对我国相关法律法规的落实。本文抽取三家互联网行业典型企业隐私政策文本分析为切入点，试图梳理现阶段个人信息流通利用机制，分析目前个人信息领域存在的问题，进而探究企业应当承担的个人信息保护义务。

一个人信息概述

（一）个人信息界定

我国《民法典》第1034条第2款、《网络安全法》第76条第5项均对个人信息的含义做出界定，将识别性作为判断个人信息的重要标准。综合上述法律，个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码等。

我国对于个人信息的定义与美国行政和管理预算局对个人可识别信息的定义相近。^[3]个人可识别信息是指可以单独或与其他个人信息相结合而用于辨别或追溯个人身份的信息，如姓名、身份证号码、生物信息等。而正在审议的《个人信息保护法（草案）》第4条对于个人信息的描述则与欧盟的《通用数据保护条例》（General Data Protection Regulation，GDPR）类似。GDPR认为个人数据是指任何和已识别或可识别的个人相关的信息。二者的差别在于《通用数据保护条例》进一步界定了“可识别的个人”，即通过身份证号码或者身心特点、经济特点、文化或社会特点等一个到数个特定信息可以直接或间接地被识别的个人，而《个人信息保护法（草案）》并未对“可识别的自然人”的含义进行说明。

值得注意的是，相较于个人可识别信息，欧盟的《通用数据保护条例》的法律保护范围更广，将设备识别码、小型文本文件（Cookie）和IP地址同样纳入其中。而我国相关法律对于个人信息的界定并未涉及上述内容。鉴于研究的全面性，本文将设备识别码、小型文本文件（Cookie）和IP地址纳入隐私政策的考察对象。