电信和互联网用户 个人信息保护白皮书 （2018 年） b u m o c . 5 h t i g 中国信息通信研究院 2018年11月 版权声明 本白皮书版权属于中国信息通信研究院，并受法律保 m o c . 5 护。转载、摘编或利用其它方式使用本白皮书文字或者观点 的，应注明“来源：中国信息通信研究院”。违反上述声明 者，本院将追究其相关法律责任。 h t i g b u 前 言 数字经济时代，大数据、人工智能等技术创新及广泛应用，个人 信息的数据资源价值凸显，用户个人信息保护已成为用户权益保护的 最主要、最热点领域之一。党的十九大报告提出“新时代中国特色社 会主义思想，必须坚持以人民为中心的发展思想”，电信和互联网行 业坚持这一基本思想，将用户利益摆在核心位置，高度重视用户个人 信息保护工作。 m o c . 5 近年来，全球范围内掀起了个人信息保护立法的浪潮，美国、欧 盟、日本等先后制定或修订个人信息保护相关规定，确立了个人信息 收集和使用的基本规则，逐步完善了个人信息保护制度。我国采取政 b u 府主导的监管模式，法规标准、企业自律、用户监督等方面多管齐下， h t i g 推动个人信息保护水平提升。 随着个人信息链条延长，侵犯个人信息行为纷繁涌现，用户个人 信息保护面临严峻态势，主要体现在感知层面智能设备的普及和多样 化放大了个人信息收集的安全风险；网络层面数据传输量巨大，传输 安全存在隐患；应用层面新技术的涌现挑战个人信息流通安全；商业 层面企业收集使用个人信息存在泄露风险。如何在保护用户个人信息 安全的同时努力做到合理、正当使用，成为了工作重点。 展望未来，持续开展用户个人信息保护工作，要平衡好个人信息 安全和行业发展的双重需求，充分提高思想认识、把握关键原则、多 种路径完善治理、探索新型技术应用，调动各方积极性，建立健全开 放、协作、高效的多方参与的综合保护体系。 目 录 一、用户个人信息保护的内涵 ............................................................................ 5 （一）个人信息的概念分析...................................................................... 5 （二）个人信息保护的内涵演变.............................................................. 7 二、用户个人信息保护的国际形势 .................................................................... 8 （一）用户个人信息保护面临严峻态势.................................................. 8 （二）欧盟、美国及日本形成三种典型保护模式.................................. 9 （三）用户个人信息保护的国际间规则积极推进................................ 14 三、用户个人信息保护的国内现状.................................................................. 16 m o c . 5 （一）我国已初步建立个人信息保护体系............................................ 16 （二）立法及标准相继出台.................................................................... 17 （三）监管机构依法履职开展各类监管行动........................................ 19 （四）企业从理念到操作提升个人信息保护能力................................ 21 b u （五）行业组织多管齐下开展工作........................................................ 22 （六）用户对个人信息保护需求强烈.................................................... 24 h t i g 四、国内个人信息保护典型案例与特征.......................................................... 25 （一）典型案例分析................................................................................ 25 （二）典型应用分析................................................................................ 28 （三）问题特征研究................................................................................ 33 五、发展建议...................................................................................................... 34 （一）提高个人信息保护的思想认识.................................................... 35 （二）把握个人信息保护的关键原则.................................................... 35 （三）多种路径完善个人信息保护体系................................................ 37 （四）主动探索个人信息保护的新型技术............................................ 38 中国信息通信研究院 电信和互联网用户个人信息保护白皮书（2018 年） 一、用户个人信息保护的内涵 （一）个人信息的概念分析 当前各国对个人信息的描述主要有个人信息、个人数据、个人隐 私三类说法。日本、韩国等国家主要使用“个人信息”这一说法；美 国、加拿大、澳大利亚等英美法系国家主要采用“个人隐私”这一概 m o c . 5 念；欧盟及其成员国习惯采用“个人数据”的称谓。本白皮书对这三 种概念不做刻意区分。 全球对用户个人信息并无统一界定，可以是用来识别或反映特定 b u 个体的信息，如姓名、年龄、性别等；也可以是反映个体身份或行为 h t i g 有关的一套符号系统，如通信记录、信用历史等；还可以是与其他信 息结合后能够识别到特定个体及其行为的信息。从立法态势而言，全 球立法对个人信息的定义呈现趋同性，一切与个人身份及行为有关的 内容都相继纳入个人信息的范畴。例如，欧盟《一般数据保护条例》 （简称 GDPR）的定义是“任何指向一个已识别或可识别的自然人（数 据主体）的信息；该可识别的自然人能够被直接或间接地识别，尤其 是通过参照诸如姓名、身份证号码、定位数据、在线身份识别这类标 识，或者是通过参照针对该自然人一个或多个如物理、生理、遗传、 心理、经济、文化或社会身份的要素”。美国加州《消费者隐私保护 法》（简称 CCPA）的定义则包括“直接或间接地识别、关系到、描 述、能够相关联或可合理地连结到特定消费者或家庭的信息”，将生 5 电信和互联网用户个人信息保护白皮书（2018 年） 中国信息通信研究院 物信息、教育信息等纳入其中。 国内立法使用的是“个人信息”这一术语。《网络安全法》的定 义是“以电子或者其他方式记录的能够单独或者与其他信息结合识别 自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、 身份证件号码、个人生物识别信息、住址、电话号码等”；《电信和 互联网用户个人信息保护规定》的定义是“电信业务经营者和互联网 信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身 m o c . 5 份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信 息结合识别用户的信息以及用户使用服务的时间、地点等信息”； 《最 高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适 b u 用法律若干问题的解释》的定义是“以电子或者其他方式记录的能够 h t i g 单独或者与其他信息结合识别特定自然人身份或者反映特定自然人 活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、 住址、账号密码、财产状况、行踪轨迹等”。 此外，2018 年正式实施的国家标准《信息安全技术 个人信息安 全规范》（GB/T 35273-2017）以资料附录的形式给出了个人信息和 个人敏感信息的具体范围与类型，前者包括个人基本资料、个人身份 信息、个人生物识别信息等；后者涵盖个人财产信息、健康生理信息 等。 总的来看，用户个人信息的内涵基本稳定、外延愈发多元，伴随 着技术的演进而不断扩展。 6 中国信息通信研究院 电信和互联网用户个人信息保护白皮书（2018 年） （二）个人信息保护的内涵演变 一些研究将全球的用户个人信息保护分为欧盟与美国两大模式， 前者将个人信息视作基本人权加以保护，特点是重保护、轻应用；后 者则建立在隐私权的基础上，通过保护公民隐私权来实现安全保护与 行业发展之间的有效平衡。尽管欧盟与美国在用户个人信息保护方面 采用了不同的立法模式和监管手段，但这种差异不能抹杀双方在该领 m o c . 5 域日益接近的事实，其实质是用户个人信息保护理念的全球共识正逐 步形成。 早期的个人信息保护更多是纯粹的隐私权保护，哈佛大学的路易 b u 斯·D·布兰蒂斯和萨缪尔·D·沃伦在《哈佛法学评论》中将隐私权界定 为“独处的不受干扰”的权利。随着经济社会发展及信息技术变革应 h t i g 用，个人信息既具有了人格权也具有了财产权的属性，既要安全可控 也要合理使用。个人信息保护的内涵也逐渐发生变化。 上个世纪 70 年代初，美国提出了《公平信息实践法则》（简称 FIPPs），所包括的透明度、个人参与、目的明确、使用限制等成为 个人信息保护制度的基石。随后，经济发展与合作组织（简称 OECD） 在 1980 年发布《保护隐私和个人数据跨境流动指导原则》 （简称 OE