第三方数据未回传提不了 实务分享 | 数据安全相关概念简析（下）

本文整理自华诚公司商事专委会线上分享会

二、

个人信息v隐私信息

一、定义

下面分享一下个人信息和隐私信息的区别。个人信息是指与一个身份已经被识别或者身份可以被识别的自然人相关的任何信息，包括个人的姓名、住址、出生日期、身份证号码、医疗记录。而个人隐私又称私人生活秘密或者是私生活秘密，是指私人生活安宁不受他人非法干扰、私人信息保密不受他人非法搜索、刺探和公开。隐私又包括私生活安宁和私生活秘密两个方面。个人信息和隐私确实有非常密切的关联性。一方面，许多个人信息，比如个人银行账户、身份证号码等都具有一定程度的私密性，都是个人不愿对外公布的私人信息。从另一方面，侵害个人信息常常也会导致对个人隐私的侵害。从侵害方式来看，侵害个人信息多数也采用披露个人信息的方式，与侵害隐私权非常相似。

二、二者不同点

但两者又是不相同的，其有交叉或者区分的关系，其主要区别包括：第一点是性质不同，个人信息同时包含了精神利益和财产利益，而且利用和保护应当是并重的，个人信息的内容除了被动防御第三人侵害之外，还可以对其进行积极的利用。而隐私权主要是一种被动性的人格权，只有在遭受侵害的时候，权利人才能提出主张。

第二点是客体范围不同，隐私权的客体主要是私密信息，如个人身体状况、家庭状况、婚姻状况等，凡是个人不愿意公开披露且不涉及公共利益的部分都可以成为个人隐私。但是个人信息虽然可能会和隐私部分重合，但是它是以信息的形式表现出来的，而且个人的信息不一定具有私密性。比如说现在的网络社会，其实个人的电话号码是需要去公示的，它不是一个隐私的状态，所以个人电话号码它虽然属于个人信息，但不属于个人隐私信息。

第三点是内容不同，隐私权的内容主要包括维护个人的私生活安宁、个人私密不被公开、个人私生活自主决定等。但是个人信息主要是指对个人信息的支配和自主决定，它在性质上主要表现为是对自己的信息的控制权，即任何人未经权利人的许可或者法律允许的话，是不得非法收集、处理、使用、转让个人信息。所以从内容上来看，隐私权侧重于防范个人秘密不被披露，但是个人信息的权利其实侧重个人信息主体对其个人信息的控制权。个人信息和个人隐私不同，有网络运营者获取了个人信息，并不意味着说个人信息主体将自己的个人隐私交给了网络运营者。即使网络运营者通过合法的方式获得了个人信息，但是在没有征得个人同意的情况下，也无权将个人信息用于商业经营活动。

第四点是侵害方式不同。对隐私权的侵害主要表现为对私人领域的非法侵入和对隐私内容的非法披露，但是对个人信息的侵害，除了侵害隐私权的方法之外，它还可以包括对已经公开了个人信息的非法删除、修改。个人信息保护其实是通过使用个人行信息而形成的个人社会形象，也就是说个人的画像，它并非是单纯的生活安宁。对公开个人信息的修改会影响到个人社会形象的塑造，进而导致对个人信息的损害。侵害个人信息按照目前的相关监管要求来说，主要表现为非法搜集、非法利用、非法存储、非法分析、倒卖个人信息等行为。

三、

个人信息保护v数据安全

第三部分区分一下个人信息保护和数据安全。这两个概念可能是目前用的最多的，因为目前的监管规定出台最多的也是针对数据安全和个人信息保护。比如说今年6月发布的《个人信息安全规范（征求意见稿）》、《数据安全管理办法（征求意见稿）》、《儿童个人信息网络保护规定（征求意见稿）》以及《个人信息出境安全评估办法（征求意见稿）》等。在今年的上半年出了好几部相关的征求意见稿。

那么如何区分数据安全和个人信息安全？其实从仅仅从字面上来看也是有差异的：个人信息侧重个人主体相关的信息，而对于数据来说，它包含的就不仅是个人信息了，它还包括非个人信息以及法人、企业组织的一些商业秘密等。从今年新发布的《数据安全管理办法（征求意见稿）》也可以看出，在《管理办法》里除了对网络数据、个人信息、个人信息主体等关键用语的含义规定以外，还界定了重要数据。什么是重要数据？就是一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据。比如说未公开的政府信息，大面积人口基因、基因健康、地理、矿产资源等数据。重要数据一般是不包括企业生产经营和内部管理的信息、个人信息等的。重要数据是关乎社会、国家安全等方面的数据。

四、

案例

下面看一个案例，是2017年发生的顺丰和菜鸟之间的一场冲突。简单介绍一下这个事件的经过：2017年6月，菜鸟网络发出声明，称顺丰快递在2017年6月1日凌晨，关闭了自提柜数据的信息回传，同时在当天中午又进一步关闭了整个淘宝平台的物流信息回传，顺丰的物流会传端口在当天下午也暂停了。对此，顺丰方面的回应是：2017年5月菜鸟从自身商业利益出发，要求蜂巢快递柜提供与其无关的客户隐私数据，此类信息隶属于客户，蜂巢本着客户第一的原则，拒绝这一不合理要求，菜鸟随后在2017年6月1日切断了蜂巢的接口。同时顺丰还表示，阿里系统平台也将顺丰从物流选项中剔除，菜鸟同时封杀了第三方平台接口，以此对商家的发货造成了相关困扰。我们了解到的顺丰方面的回应是：这些信息隶属于客户，属于客户的隐私数据不应该回传给菜鸟。

而事实上是这样的：双方争夺的是数据的商业利益，顺丰的行为也不是基于保护客户的个人信息，而是因为客户的这些物流数据具有商业价值。快递用户个人的信息，包括寄件人、收件人的身份信息，涵盖了用户的身份证号码、姓名、地址、电话号码、快件单号、种类、体积、重量、价值、保价金额等。这些信息其实可以与菜鸟或者阿里已经拥有的用户的其他信息相结合，来刻画用户的真实画像，使得这个画像的数据更加准确；同时将运单上用户身份信息和快件信息结合起来，可以进一步推断出客户用户的需求和偏好，可以向用户做出定向广告推送，其中的商业价值是非常大的！

从这个案例可以看出，数据安全和个人信息保护还是有差别的：它们的侧重点不一样。从企业角度来说，数据安全主要关注的是商业利益的保护；从个人角度来看，个人由于处于相对弱势的地位，需要国家通过公权力对组织提出相关要求，要求组织保护好个人的信息。对于组织而言，其是没有自发力去保护个人信息安全的。对于国内来说，个人信息保护和数据安全的管理，也是做了区分的。目前来说，已有的规定是刚刚下发的《数据安全管理办法（征求意见稿）》，关于个人信息安全管理办法相关的文件还没有出台，只是在2017年12月正式发布了一个个人信息安全规范的国家推荐性的标准，但也不是一个强制性的标准。

五、

总结

未来的几年内，《数据安全法》和《个人信息保护法》将会出台，这也是在列入法律法规的起草的计划内的。因此，目前已出台的一些低位阶的法律法规，或者一些政策性的文件，在笔者看来其实是一种试水，同时也向社会发出一个信号：国家已经开始重视数据安全和个人信息保护这一块，需要相应的网络运营者等对交易中的这些主体作出一个规制。因此，整个社会要提高对这方面的重视程度，为将来出台相关的法律打下法律基础。

最后提一下，之前很多学者都说中国的数据安全、网络安全是九龙治水，为什么会出现九龙治水的情况？其实和前文提到的信息安全、网络安全、网络空间安全等这些概念的区分是有关联的。比如说，在很久以前，网络没有像目前这么发达的情况下，当时只有信息安全，那么信息安全是侧重于物理和技术安全的，彼时可能在工信部、国家密码管理局、国家保密局等部门内会有一个比较重的管理权限。随着网络的发展，出现或发生了很多新的网络安全事件和数据安全事件以后，此时才会有公安部、网信办，还有其他一些机构的介入，同时增加了这些机构的某些职责。而因为这些概念本身有交叉，所以在这些部门的管理上就会存在交叉，才会出现目前九龙治水这样的现状。