个人数据使用的时代背景

      11月19日，据央视新闻报道，近日江苏淮安警方依法打击了7家涉嫌侵犯公民个人信息犯罪的公司，涉嫌非法缓存公民个人信息1亿多条。其中，拉卡拉支付旗下的考拉征信涉嫌非法提供身份证返照查询9800多万次，获利3800万元，警方已将考拉征信服务有限公司及北京黑格公司的法定代表人、董事长、销售、技术等20余名涉案人员抓获。

个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。个人信息不仅包括可以单独识别自然人个人身份的信息，其中“身份可识别性”是核心要件。

明确的授权表示

个人信息属于私权领域，在立法和司法实践中需要尊重主体的自主权，尊重收集方和被收集方达成的协议安排。根据《网络安全法》第四十一条的规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。因此，对于属于个人信息的数据，其收集、使用和处理都需要经过信息主体的同意，即应遵从知情同意原则。

《信息安全技术公共及商用服务信息系统个人信息保护指南》（GB/Z 28828-2012）将个人信息分为个人一般信息和个人敏感信息，并提出默许同意和明示同意的概念。对于个人一般信息的处理可以建立在默许同意的基础上，只要个人信息主体没有明确表示反对，便可收集和利用。对于个人敏感信息，则需要建立在明示同意的基础上，在收集和利用之前，必须首先获得个人信息主体明确的授权。

脱敏数据交易合法性

根据《网络安全法》第四十条、四十二条、四十四条的规定，网络运营者应当承担严格的保密责任（包括必要的保密措施、补救措施及泄露后的通知义务），未经信息主体的同意，不得向他人提供个人信息，但是经过处理无法识别特定个人且不能复原的除外。任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。《网络安全法》首次明确认可了“脱敏数据交易的合法性”，

从侵权责任到刑事犯罪

涉及的民事责任主要有侵权责任和违约责任。可以依据《侵权责任法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》及《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》主张隐私权或个人信息侵权责任。如果信息收集者，处理者是基于用户协议或其他协议收集、处理、使用信息的，则违反协议约定或超出协议授权范围将产生违约责任，信息主体可以主张违约责任。

《刑法修正案（九）》将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”，扩大了犯罪主体和侵犯个人信息行为的范围。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》明确了侵犯公民个人信息罪的具体定罪量刑标准，刑事打击侵害公民个人信息行为的力度更大。

流程规范与风险防范

个人与企业签订身份信息协议时，需要明确企业对于信息来源的合法性承担担保；数据供应商具有授权和脱敏责任、保密义务等；企业要对供应商数据流程进行法律合规性审核，再根据审核的结果来选择供应商；进行数据分类处理，确定使用目的，避免数据违规扩散或泄露，超出协议约定的使用范围；对数据进行必要处理再进行交易和流转，个人信息需要脱敏再交易。