根據(jù)網(wǎng)絡(luò)爆料內(nèi)容，此次事件所涉?zhèn)€人信息種類豐富，波及人群范圍廣泛。本文僅從個(gè)人信息保護(hù)的法律角度進(jìn)行分析。

文 |?牟若桃

網(wǎng)傳某大學(xué)畢業(yè)生利用在校期間職務(wù)之便盜取學(xué)校內(nèi)網(wǎng)數(shù)據(jù)，收集全校學(xué)生個(gè)人信息，制作顏值打分網(wǎng)站供人查看。據(jù)報(bào)道，校方已介入此事，對于網(wǎng)傳內(nèi)容正在核實(shí)中。

事件脈絡(luò)圖：

（事件信息源自各個(gè)網(wǎng)絡(luò)信息平臺）

根據(jù)網(wǎng)絡(luò)爆料內(nèi)容，此次事件所涉?zhèn)€人信息種類豐富，波及人群范圍廣泛。事涉?zhèn)€人信息涵蓋了本碩博各階段學(xué)生的姓名、疑似學(xué)生卡照片、學(xué)號、學(xué)院、籍貫、學(xué)歷、生日等個(gè)人信息。本文僅從個(gè)人信息保護(hù)的法律角度，概論以下輿論關(guān)注點(diǎn)：

1、事涉?zhèn)€人信息分析

我國《個(gè)人信息保護(hù)法》第四條界定了個(gè)人信息的含義，即“個(gè)人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。”此次事件中的姓名、學(xué)號、學(xué)院等包括照片在內(nèi)的信息均可相互結(jié)合并識別到具體個(gè)人，因此屬于法定的“個(gè)人信息”范疇。

其中，學(xué)生卡照片此項(xiàng)個(gè)人信息作為“顏值評分”的標(biāo)準(zhǔn)，成為此次事件的討論焦點(diǎn)。已知學(xué)生卡照片屬于個(gè)人信息，那么其是否屬于個(gè)人生物識別信息，需要為之設(shè)置更為嚴(yán)格的收集門檻及保護(hù)措施？

根據(jù)《個(gè)人信息保護(hù)法》，敏感個(gè)人信息包括“生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息”?！缎畔踩夹g(shù) 個(gè)人信息安全規(guī)范》（GB/T 35273-2020）附錄b同樣進(jìn)一步列舉了敏感個(gè)人信息的種類，包括前文提及的“個(gè)人生物識別信息”。

就人像照片而言，其是否屬于“個(gè)人生物識別信息”需要基于其是否具有識別技術(shù)可能進(jìn)一步區(qū)分為兩類：第一類人像照片或因不具備身份識別技術(shù)的可能，例如缺乏生物識別信息的可提取性，而不屬于“個(gè)人生物識別信息”；第二類人像照片則基于與人臉識別技術(shù)的強(qiáng)相關(guān)性，易被認(rèn)定為“個(gè)人生物識別信息”。

首先，僅僅是人像照片并不能直接視為個(gè)人生物識別信息，但如果照片可以通過識別技術(shù)手段用于用戶身份識別，則可能被視為“人臉識別信息”，從而歸為“個(gè)人生物識別信息”該敏感個(gè)人信息的范疇。關(guān)于第一類人像照片和個(gè)人生物識別信息的區(qū)分在“人臉識別第一案”中得到體現(xiàn)。該案中，二審法院認(rèn)為，即便通過拍照行為采集了當(dāng)事人的“面部特征”，但該“面部特征”需要在激活后才進(jìn)行技術(shù)處理變成人臉識別信息。（1）此外，《最高人民法院關(guān)于審理使用人臉識別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問題的規(guī)定》的適用范圍也明確限制在了“使用人臉識別技術(shù)處理或者基于人臉識別技術(shù)生成的人臉信息所引起的民事案件”，因此，該規(guī)定所稱的屬于“生物識別信息”的“人臉信息”也宜解釋為人臉識別過程中涉及的人臉信息。簡而言之，單純的人像不能簡單定性為“個(gè)人生物識別信息”，如果要構(gòu)成該項(xiàng)個(gè)人信息，人像還需要具有“識別”的功能。

其次，本事件中的學(xué)生卡照片，或?qū)偾拔乃龅诙惾讼裾掌?，即“個(gè)人生物識別信息”。最高人民法院發(fā)布的指導(dǎo)性案例192號“李某侵犯公民個(gè)人信息刑事附帶民事公益訴訟案”中（2），被告人李某制作一款具有非法竊取安裝者相冊照片功能的手機(jī)“黑客軟件”，并偽裝成“顏值檢測”軟件發(fā)布于某論壇提供訪客免費(fèi)下載。用戶下載安裝“顏值檢測”軟件使用時(shí)，“顏值檢測”軟件會自動(dòng)在后臺獲取手機(jī)相冊里的照片，并自動(dòng)上傳到被告人搭建的某云服務(wù)器后臺。該案中，法院認(rèn)為：本案中安裝者相冊照片中的“人臉信息”屬于生物識別信息，是識別特定個(gè)人的敏感信息，極易被他人直接利用或制作合成，從而破解人臉識別驗(yàn)證程序，具有較大的社會危害性。因此，此類具備人臉識別驗(yàn)證可能的人像照片，在司法實(shí)踐中，大概率會被認(rèn)定為“個(gè)人生物識別信息”。從該案例可以看出，基于公共利益等考量，現(xiàn)有實(shí)踐中司法機(jī)構(gòu)對于非法處理人臉照片的行為持較大打擊力度。就目前所掌握的事件信息看，本事件中數(shù)萬人的學(xué)生卡照片被置于公開網(wǎng)站，同樣極易被他人直接利用或制作合成，存在破解人臉識別驗(yàn)證程序的危險(xiǎn)，故該行為或受到同等嚴(yán)格的規(guī)制。

2、事涉?zhèn)€人信息是否已獲取權(quán)利主體授權(quán)

顯然，權(quán)利主體（信息被盜取的學(xué)生）是基于入學(xué)事宜或校園生活的目的向?qū)W校提供的相關(guān)信息?；凇秱€(gè)人信息保護(hù)法》的目的原則和同意規(guī)則，個(gè)人信息的處理范圍都應(yīng)僅限于以上已同意的使用目的，在權(quán)利主體授權(quán)范圍內(nèi)進(jìn)行使用，不得超范圍處理個(gè)人信息，否則應(yīng)認(rèn)定為違法行為。

除此之外，我國《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》也有對主體授權(quán)的相關(guān)規(guī)定，即實(shí)際收集的個(gè)人信息或打開的可收集個(gè)人信息權(quán)限超出用戶授權(quán)范圍則視為“未經(jīng)用戶同意收集使用個(gè)人信息”。

更何況，本事件中，權(quán)利主體授權(quán)對象為學(xué)校，并非涉事畢業(yè)生，該涉事畢業(yè)生的行為更無“同意”的合法性基礎(chǔ)。

3、涉事畢業(yè)生是否可以通過適用《民法典》第一千零三十六條第二項(xiàng)或者《個(gè)人信息保護(hù)法》第十三條及第二十七條處理“已公開信息”免責(zé)

《個(gè)人信息保護(hù)法》第十三條第六款規(guī)定，依照本法規(guī)定在合理的范圍內(nèi)處理個(gè)人自行公開或者其他已經(jīng)合法公開的個(gè)人信息的，個(gè)人信息處理者方可處理個(gè)人信息；第二十七條則對該款進(jìn)行了細(xì)化，規(guī)定“個(gè)人信息處理者可以在合理的范圍內(nèi)處理個(gè)人自行公開或者其他已經(jīng)合法公開的個(gè)人信息；個(gè)人明確拒絕的除外。個(gè)人信息處理者處理已公開的個(gè)人信息，對個(gè)人權(quán)益有重大影響的，應(yīng)當(dāng)依照本法規(guī)定取得個(gè)人同意?！?/p>

然而，法律意義所稱的“公開”，并非僅對個(gè)人信息處理者或者在一定范圍內(nèi)的“公開”，而是針對不特定主體的公開，這種對不特定主體的公開，除了權(quán)利主體自行向不特定主體公開的信息，例如在面前不特定公眾的社交平臺公開個(gè)人照片，還包括基于法定義務(wù)公開的信息，例如裁判文書中的個(gè)人信息公開（3）。

值得注意的是，法律對“合理范圍”的界限也有所規(guī)定。單某、江西某公司個(gè)人信息保護(hù)糾紛一案（4）中，單某在一平臺下單商品，賣家稱拉其入群其可獲取返現(xiàn)紅包，單某加入群聊后，賣家在群中公布其下單信息，示意管理員向其發(fā)紅包。事后，單某要求賣家在群聊中刪除其個(gè)人信息，被賣家拒絕。訴訟過程中，賣家辯稱單某的訂單地址、姓名、電話等信息可在一些公開APP中查詢到，為網(wǎng)絡(luò)上公開的內(nèi)容。法院則認(rèn)為案涉訂單信息體現(xiàn)了單某更為特定的個(gè)人信息，賣家的信息公開行為不屬于對已公開的個(gè)人信息的合理使用。結(jié)合本事件來看，即便是公眾自行公開的個(gè)人信息，其使用范圍也受到信息公開目的的限制（5），退一步而言，“合理”的前提毫無疑問包含了處理行為的“合法”。

4、如事件信息屬實(shí)，涉事畢業(yè)生行為可能違反的法律規(guī)定（因獲取信息手段、網(wǎng)站搭建參與者、網(wǎng)站全部內(nèi)容等事實(shí)暫不明朗，本文僅就個(gè)人信息保護(hù)層面，結(jié)合截止目前已知信息梳理以下規(guī)定）：

5、若查證屬實(shí)，學(xué)?？赡艹袚?dān)的相關(guān)責(zé)任

相應(yīng)的，若事件信息經(jīng)查證屬實(shí)，結(jié)合情節(jié)輕重，個(gè)人信息收集單位（學(xué)校）亦可能基于《中華人民共和國個(gè)人信息保護(hù)法》第六十六條、《中華人民共和國數(shù)據(jù)安全法》第四十五條等規(guī)定，承擔(dān)相應(yīng)責(zé)任。

結(jié)語

信息安全無小事，此次信息盜取事件也再次向我們敲響警鐘：無論是商業(yè)主體，還是非營利性質(zhì)主體，在數(shù)據(jù)要素時(shí)代，任何個(gè)人信息處理單位都應(yīng)在日常的管理中注重并加強(qiáng)個(gè)人信息的保護(hù)，搭建個(gè)人信息數(shù)據(jù)的合規(guī)體系，建立起個(gè)人信息保護(hù)的事前事后保護(hù)機(jī)制，例如，在事前制定完善的信息安全事件應(yīng)急預(yù)案，在事后及時(shí)告知權(quán)利主體并向有關(guān)主管部門報(bào)告，構(gòu)筑橫縱交錯(cuò)的多層屏障，避免個(gè)人信息泄露或信息泄露之后損失范圍的擴(kuò)大，以致對個(gè)人權(quán)利主體、個(gè)人信息處理單位本身乃至社會的利益造成不良影響。

引注：

（1）（2020）浙01民終10940

（2）（2021）滬0120刑初828號

（3）（2019）蘇05民終4745號

（4） (2022)贛0111民初4656號

（5）（2019）京049101民初10989號

作者介紹

牟若桃

微信：Charlottaoo

浙江墾丁律師事務(wù)所麻策團(tuán)隊(duì)實(shí)習(xí)律師，碩士畢業(yè)于中國政法大學(xué)，法語專業(yè)八級，具有世界500強(qiáng)企業(yè)、新能源汽車企業(yè)法律事務(wù)經(jīng)歷。深度參與團(tuán)隊(duì)數(shù)據(jù)合規(guī)重點(diǎn)項(xiàng)目及網(wǎng)絡(luò)法實(shí)務(wù)。

聲明：本文來自公眾號網(wǎng)絡(luò)法實(shí)務(wù)圈，版權(quán)歸作者所有。文章內(nèi)容僅代表作者獨(dú)立觀點(diǎn)，不代表合天網(wǎng)安實(shí)驗(yàn)室立場，轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán)，請聯(lián)系刪除。