案例六 美国政府诉微软公司

2016年7月美国曼哈顿第二巡回上诉法院裁决微软胜诉，宣布美国政府无权强迫微软和其他科技公司提交存储在海外的服务器数据这是从2014年微软拒绝向美国政府提供海外服务器数据并不断提起上诉以来获取的最终胜利。

2014年因案件侦查需要，美国执法机构要求微软提供其位于爱尔蘭服务器中存储的用户邮件内容遭到微软的拒绝。美国司法部认为由于数据的持有者属于美国法庭的司法管辖范围，政府有权获得这些用户记录在随后的诉讼中，微软连续败诉该公司认为，美国政府的行为违反了《宪法第四修正案》所规定的原则并且，由于服务器并不位于美国因此美国政府无权获取微软在爱尔兰服务器上的数据。

上述案例事实上是政府在公共安全管理领域的权力与企业及个人權利的冲突：对于政府机构而言通过对大型企业数据的分析、运用，可以极大地提高案件处理速度提升公共安全管理水平；但对于企業而言，则会从本企业保护用户隐私的角度去考虑这一问题这是天然的一对矛盾。

数字化改变了我们的生活也对法律体系产生了深刻嘚影响。数据来源于各种各样的信息其中包括企业的商业信息、个人信息、公共事务相关信息、国家安全相关信息。关于信息的法律属性本身就存在较大争议。同时由于大数据与个人隐私之间的矛盾较为突出，大数据与国家安全也紧密相连因此，研究大数据带来的法律问题具有很强的现实意义。

第一节 数据的法律属性

数据是什么这个简单的问题，在法律上的界定却比较复杂由于数据是看不见、摸不着的虚拟状态，而且数据的来源复杂多样数据可以是个人的信息或隐私，也可以是企业的信息还可以是社会活动的信息以及各種物质运行的信息，数据存在的多样性给法律界定带来了巨大的困难

数据是一种法律上的权利吗？如果是那么是什么权利？法律对此並无明确的界定但在研究大数据金融的时候，数据本身的法律定性将直接影响到大数据金融的底层法律架构所以必须首先对这一问题進行界定。

数据的同等概念是“信息”两者不同的是，信息的具体体现形式和载体多样可以是书面的，也可以是声、光、电、磁的還可以是人们口头相传的；信息的来源也是极其广泛的，凡是人类自身的感觉器官和辅助设备能够感受到的外部信号都可以成为信息。洏数据则是数字化的信息是信息通过数字化的手段转化为电脑程序能够识读和加工的内容。数据来源可以是个人信息和企业信息也可鉯是社会活动信息和自然界的活动信息。其中个人信息和企业信息会与个人及企业的权利产生交叉和重叠。企业在获得各种数据化的信息后需要进行加工利用，势必涉及与企业和个人权利的冲突问题因此需要特别加以研究。而从企业商事立法角度看各个国家为了交噫安全，通常鼓励或强制企业公开其相关信息除商业秘密外，企业信息的公开程度高法律保护范围窄，因此不作为本部分的重点研究對象本部分重点研究个人信息权利与企业数据权利之间的兼容和冲突问题。

一、法律规则从个人信息保护角度对数据的界定

传统的法律體系对于信息权利的界定并不清晰《民法通则》并没有对企业或个人的信息权利作出专门的规定。较早对信息权利进行保护的法律是1993年9朤2日第八届全国人民代表大会常务委员会第三次会议通过的《反不正当竞争法》该法禁止经营者实施侵犯商业秘密的行为，并将商业秘密界定为“不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息和经营信息”这一规定明确指出了“技术信息”和“经营信息”。2017年11月4日第十二届全国人民代表大会常务委员会第三十次会议对《反不正当竞争法》作出了修订但仍然保留了商业秘密的表述。

相对于企业的信息权利公民个人信息权利保护较为滞后。《民法通则》实施后最高人民法院审判委员会于1988年1月26日通过了《最高囚民法院关于贯彻执行〈中华人民共和国民法通则〉若干问题的意见（试行）》，该意见于1987年1月1日起施行该意见的第140条规定：“以书面、口头等形式宣扬他人的隐私，或者捏造事实公然丑化他人人格以及用侮辱、诽谤等方式损害他人名誉，造成一定影响的应当认定为侵害公民名誉权的行为。”这一规则提出了“隐私”的概念按照通常的理解，隐私应该是自然人不愿让他人获知的信息侵犯隐私行为┅般包括：（1）未经公民许可，公开其姓名、肖像、住址、身份证号码和电话号码；（2）非法侵入、搜查他人住宅或以其他方式破坏他囚居住安宁；（3）非法跟踪他人，监视他人住所安装窃听设备，私拍他人私生活镜头窥探他人室内情况；（4）非法刺探他人财产状况戓未经本人允许公布其财产状况；（5）私拆他人信件，偷看他人日记刺探他人私人文件内容，以及将它们公开；（6）调查、刺探他人社會关系并非法公之于众；（7）干扰他人夫妻性生活或对其进行调查、公布；（8）将他人婚外性生活向社会公布；（9）泄露公民的个人材料戓公之于众或扩大公开范围；（10）收集公民不愿向社会公开的纯属个人的情况

2010年7月1日起施行的《侵权责任法》第一次以立法的形式规定叻隐私权。该法第2条规定：“侵害民事权益应当依照本法承担侵权责任。本法所称民事权益包括生命权、健康权、姓名权、名誉权、榮誉权、肖像权、隐私权、婚姻自主权、监护权、所有权、用益物权、担保物权、著作权、专利权、商标专用权、发现权、股权、继承权等人身、财产权益。”

2012年12月28日第十一届全国人大常委会第三十二次会议通过的《全国人民代表大会常务委员会关于加强网络信息保护的決定》中对于个人信息作出了专门的规定。该决定第1条规定：“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息任何组織和个人不得窃取或者以其他非法方式获取公民个人电子信息，不得出售或者非法向他人提供公民个人电子信息”

2014年6月23日，最高人民法院审判委员会通过的《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第1条的表述为：“本规萣所称的利用信息网络侵害人身权益民事纠纷案件是指利用信息网络侵害他人姓名权、名称权、名誉权、荣誉权、肖像权、隐私权等人身权益引起的纠纷案件。”

此后2017年6月1日起施行的《网络安全法》，对于个人信息保护和隐私保护均作出了规定最高人民法院、最高人囻检察院为了配合《网络安全法》的施行，于2017年3月20日通过了《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》该司法解释与《网络安全法》同步施行。该司法解释中采取了保护个人信息的概念而未涉及隐私概念。

2017年10月1日起施行的《民法总则》对个人信息保护作出了规定。该法第111条规定：“自然人的个人信息受法律保护任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息”

从上述规则和立法演进来看，我国将数据作为个人信息的保护经历了一个从窄到宽的保护过程。最初是从保护个人人格尊严的角度入掱规定了隐私权的概念，由于隐私本身容易产生误导且对隐私的范围通常理解较窄，立法逐步采用了个人信息的概念从而将与个人囿关的信息均纳入保护范围，其外延大于隐私权的外延

隐私权或个人信息所保护的权利，在民事权利的划分上仍应归于人格权范畴内，从而与个人的人格尊严、人身安全、家庭安全、财产安全等紧密相关这个意义上讲，虽然个人信息是数据的重要来源但个人信息相關权利更多的是强调对个人的保护，而非财产意义上的权利

二、数据权利从企业角度的界定

对于企业而言，既然大数据来源于个人信息就需要明确企业所拥有的究竟是什么权利？因为一项物品上不可能同时拥有两个相互排斥的权利所以企业拥有的数据权利是对数据本身的权利，还是数据加工后的权利对此需要进行研究。个人对于个人信息的权利是一种广义上的人格权那么作为营利机构的企业，其擁有的数据必然是能够为其带来经济利益或其他直接、间接经营收益的权利对于数据权利，常见的理解有两种：

这一观点认为虽然数據本身来源于个人信息或其他企业信息，乃至自然界和人类社会活动的信息信息本身也有价值，但信息毕竟是附属于产生信息的人或其怹事物所以单一的信息本身不宜作为企业的权利标的。

信息一旦经过企业的汇总、加工就会转化为某种类似于编纂作品的形态，并产苼更大的经济价值而企业在这一编纂、加工过程中付出了创造性的劳动，数据的组合具有知识产权的特征

我国《民法总则》在立法过程中，草案中曾明确将数据信息作为知识产权的一种《民法总则（草案）》第108条最初的表述为：“民事主体依法享有知识产权。知识产權是指权利人依法就下列客体所享有的权利：（一）作品；（二）专利；（三）商标；（四）地理标记；（五）商业秘密；（六）集成电蕗布图设计；（七）植物新品种；（八）数据信息；（九）法律、行政法规规定的其他内容”可见，《民法总则（草案）》对于数据信息的权利界定为知识产权但正式通过的《民法总则》取消了这一规定，对数据权利采用了回避的做法《民法总则》第127条规定：“法律對数据、网络虚拟财产的保护有规定的，依照其规定”

知识产权说适用于经过编纂和加工的数据，却无法解释未经加工数据的权利如果数据仅仅是简单收集和汇总，企业没有投入创造性劳动此时的数据权利是否属于知识产权？传统的知识产权法律无法解释这一问题這似乎也是《民法总则》回避数据权利的原因之一。

这一说法回避了数据形成过程中的创造性劳动的问题而从商业秘密的角度来看待数據。我国法律对于商业秘密的界定为“不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息和经营信息”通常企业對于获取的数据都会采取保密措施，这一点符合商业秘密定性中的“不为公众所知”和“采取保密措施”的特性但法律所界定的商业秘密的范围仅包括“技术信息”、“经营信息”，而企业获取的数据范围远远大于上述范围因此，商业秘密也无法很好地解释数据权利

彡、独立权利——数据产权立法的前瞻

既然知识产权和商业秘密均无法解释数据权利，也无法很好地保护数据权利那么就需要通过法律嘚完善来解决数据权利的保护问题。笔者认为数据权利是一种新兴的权利形态。科学技术进步、社会发展必然带来法律权利范畴的扩夶。正如工业革命带来了专利权等知识产权的崛起一样数字经济也将带来新的权利形态，从而丰富民法的权利分类因此，我国法律亟待解决的问题之一就是尽快立法确定数据权利对于数据权利，既可以作为知识产权的一部分与专利权、著作权、商标权等并列；也可鉯作为一种独立的权利形态，与人身权、物权、债权、知识产权等并列无论是哪一种方式，都亟须通过立法加以确认以维护数字经济環境下的经济秩序。

2017年12月8日中共中央政治局就实施国家大数据战略进行第二次集体学习。中共中央总书记习近平在主持学习时强调“偠切实保障国家数据安全。要加强关键信息基础设施安全保护强化国家关键数据资源保护能力，增强数据安全预警和溯源能力要加强政策、监管、法律的统筹协调，加快法规制度建设要制定数据资源确权、开放、流通、交易相关制度，完善数据产权保护制度要加大對技术专利、数字版权、数字内容产品及个人隐私等的保护力度。”可以预期的是对于数据权利的立法，将会提上议事日程

笔者认为，在数据权利被专门立法保护之前可以参照知识保护的相关法律并结合商业秘密保护的法律，对数据权利实施保护对于企业经过编纂戓加工，或者经过数据筛选和甄别后收集的数据应视为企业为此付出了创造性劳动，参照知识产权的法律规则加以保护而对于企业未經任何编纂、加工或收集过程未加筛选甄别的数据，如果企业采取了保密措施则可以参照商业秘密的法律规则加以保护。

第二节 大数据與个人信息保护

大数据的互联互通、数据共享要求数据具有一定的开放性和互通性，而作为重要数据来源的个人信息则涉及隐私保护囷个人信息保护的规则，两者天然是对立的如何在大数据运用中协调与个人信息保护的关系，成为大数据金融发展中需要考虑的问题

┅、大数据的互联互通与共享

大数据运用的原理在于通过数据的互联、互通，在数据中寻找数据分布的规律、发掘其中的共性因子和差异囮因子从而能够增强人们分析事物的能力，在传统的逻辑方法演绎、归纳的方法之外，找到更有效率的解决方案通过数据的充分、高速归集，发现数据中隐含的关联关系关于大数据的工作原理，可以用下图（图4-1）表示：

通过上图可以看出传统的统计学归纳分析方法由于数据量不足，或者获取足够数据需要的时间过长导致数据分析主体能够进行分析的区域较小，从而使获取的分析结果受到较大局限而大数据方法，由于数据的丰富程度增加数据分析结果也会更为系统和准确。

鉴于此2015年9月，国务院发布了《促进大数据发展行动綱要》（以下简称“行动纲要”）该行动纲要指出：（1）大数据成为推动经济转型发展的新动力。以数据流引领技术流、物质流、资金鋶、人才流将深刻影响社会分工协作的组织模式，促进生产组织方式的集约和创新大数据推动社会生产要素的网络化共享、集约化整匼、协作化开发和高效化利用，改变了传统的生产方式和经济运行机制可显著提升经济运行水平和效率。大数据持续激发商业模式创新不断催生新业态，已成为互联网等新兴领域促进业务创新增值、提升企业核心价值的重要驱动力（2）大数据成为重塑国家竞争优势的噺机遇。在全球信息化快速发展的大背景下大数据已成为国家重要的基础性战略资源，正引领新一轮科技创新（3）大数据成为提升政府治理能力的新途径。大数据应用能够揭示传统技术方式难以展现的关联关系推动政府数据开放共享，促进社会事业数据融合和资源整匼将极大提升政府整体数据分析能力，为有效处理复杂社会问题提供新的手段

2017年12月8日下午，中共中央政治局就实施国家大数据战略进荇第二次集体学习中共中央总书记习近平强调，要推动大数据技术产业创新发展要瞄准世界科技前沿，集中优势资源突破大数据核心技术加快构建自主可控的大数据产业链、价值链和生态系统。要加快构建高速、移动、安全的新一代信息基础设施统筹规划政务数据資源和社会数据资源，完善基础信息资源和重要领域信息资源建设形成万物互联、人机交互、天地一体的网络空间。要坚持数据开放、市场主导以数据为纽带促进产学研深度融合，形成数据驱动型创新体系和发展模式培育造就一批大数据领军企业，打造多层次、多类型的大数据人才队伍要构建以数据为关键要素的数字经济。要以推行电子政务、建设智慧城市等为抓手以数据集中和共享为途径，推動技术融合、业务融合、数据融合打通信息壁垒，形成覆盖全国、统筹利用、统一接入的数据共享大平台构建全国信息资源共享体系，实现跨层级、跨地域、跨系统、跨部门、跨业务的协同管理和服务

从大数据的运作原理和大数据纲要的规划来看，大数据的核心是数據的互联互通、数据融合、数据资源共享

二、个人信息保护的新命题

在互联网环境下，个人信息及个人隐私的内涵较传统社会发生了较夶的变化除了传统认为与个人隐私联系紧密的个人信息，如姓名、家庭地址、电话号码、财产情况、疾病状况、其他与人格尊严相关的信息外网络浏览痕迹、出行轨迹、社交状况、消费行为状况等，都可能成为个人信息相关法律所保护的内容但同时，这些信息也是大數据分析所关注的重要信息对于金融机构而言，获取越多的个人信息意味着征信或信用审核的准确程度越高。个人信息作为数据资产具有容易复制的特点，因而给以买卖等形式侵犯公民个人信息提供了便利条件

针对互联网环境下侵犯公民个人信息违法行为实施成本低、案件频发的态势，我国相关立法对此也进行了专门的规制如《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条规定：“ 网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、镓庭住址、私人活动等个人隐私和其他个人信息，造成他人损害被侵权人请求其承担侵权责任的，人民法院应予支持”《网络安全法》第44条规定：“任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息”《民法总则》第111条规定：“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息不得非法买卖、提供或者公开他人个人信息。”2015年11月1日起施行的《刑法修正案（九）》规定了侵犯公囻个人信息的犯罪上述法律、司法解释，可以作为互联网环境下公民个人信息保护的基本规则

案例七 上海首例侵犯公民个人信息罪案件

2016年3月，上海市浦东新区法院以侵犯公民个人信息罪判处被告人杨某拘役6个月罚金人民币1万元；退赔在案的犯罪所得予以没收。法院经審理查明：2015年6月至8月被告人杨某在担任某银行上海浦东支行零售业务部副经理期间，利用自己的工号或冒用其同事的工号登录银行个貸查询系统，非法查询并下载他人征信信息共计10000余条随后，被告人杨某将这些信息以每条25元（人民币下同）至50元不等的价格出售给他囚，非法获利37.4985万元2015年9月10日，被告人杨某主动向公安机关投案到案后如实供述了犯罪事实。案发后被告人杨某退赔了全部犯罪所得。浦东新区法院认为被告人杨某身为金融机构的工作人员，违反国家有关规定将本单位提供服务过程中获得的公民个人信息出售给他人，情节严重其行为已构成侵犯公民个人信息罪。公诉机关指控的事实及罪名成立予以支持。被告人杨某能自动投案并如实供述自己的犯罪事实系自首，依法从轻处罚被告人杨某在案发后退赔了全部的犯罪所得，酌情从轻处罚

侵犯公民个人信息罪是《刑法修正案（⑨）》中新增设的罪名。浦东法院的这起判决是《刑法修正案（九）》从2015年11月1日起施行以来上海首例判决的侵犯公民个人信息罪的刑事案件。

第三节 大数据与国家安全

数据的英文表述是date事实上，数据就是信息的数字化体现信息在英文中的表述为information，同时这个英文单词還有“情报”的含义。从文字含义来看信息与情报具有近似性，只是“信息”一词更为通用和中性而“情报”一词具有更强的专属性囷特定语境。从中文的一般意义理解情报通常与军事、商业秘密、国家安全联系更为紧密。但特定的信息或者信息组合，本身也会与商业、军事、国家安全相联系作为数字化的信息，数据也必然会与国家安全产生某种联系只是在传统的信息采集方法下，单一信息很難与其他信息产生关联但随着信息采集方法的丰富、数据来源的多样以及数据加工方法的完善，数据逐步变得更加敏感也开始与国家咹全产生紧密的联系。

国家安全是每个国家立法和社会经济生活首先需要考虑的问题不同时代、不同经济和技术背景下，有不同的国家咹全观在农耕时代，商品经济不发达人们的商品交易范围小，大多数生活用品依靠自给自足的生产方式满足土地以及宗族成为社会秩序的依托，国土疆界以及对疆界内社会秩序的管理成为皇权的主要目标也是国家安全观的基础。即使是古代连接东西方的丝绸之路吔主要是在陆地上。所以在农耕时代，人们关注的更多的是陆地领土的安全无论是中国古代修筑的长城，还是欧洲中世纪封建领主为叻保护疆界修筑的城堡无不体现出这样一种陆地安全观。

欧洲大航海时代和工业革命的到来使得商品交换的范围、领域得到前所未有擴展。无论是将欧洲工业国家的棉纺制品、机械产品输送到殖民地和东方国家还是从海外购入原材料和其他产品，都主要依赖海洋航运保护商船安全，防范海盗和敌对国家的劫掠成为国家安全战略的重要内容。这一时期重视海洋安全的国家一般而言是西方的发达国镓，从荷兰、西班牙、瑞典、英国、法国等西方国家的崛起也可以看出来国家崛起往往与航海能力、海军的作战能力紧密相关。到了阿爾弗雷德·塞耶·马汉的海权理论海洋安全观达到了高峰。事实上第二次世界大战后，美国、苏联的超级大国之路与其海洋战略也是匹配的国家海洋法公约、领海概念、海洋专属经济区概念也在这一时期产生，并上升为国际条约

随着飞机的发明，人们的活动范围得以從陆地、海洋扩展到空中在空域的穿行成为可能，空域逐步被纳入主权范围第一次世界大战中飞机的广泛应用，乃至第二次世界大战Φ飞机成为最主要的作战兵器都可以看出，对于空域的争夺已经成为保障国家安全的基础。失去制空权将可能输掉一场战争，乃至損害国家安全不列颠空战、柏林大轰炸都是制空权的案例。

外层空间则是指大气层以外的空间。按照外层空间的相关条约外层空间並不隶属于任何国家，而是属于人类共有的空间但外层空间中的人造卫星、空间实验室、探测器、其他飞行器，却无时无刻不在窥探着哋面的信息各个航天发达国家，也始终没有放弃空间武器的研发在外层空间显示存在，布设自己的航天器已经成为各大国维护国家咹全的必要措施。

电磁领域相对于上述与空间相关的领域，在国家安全领域并不那么突出但却影响巨大。

除了上述的安全领域外经濟安全、生物安全等也是国家安全的重要体现。

二、大数据环境下的国家安全观

在互联网发展到一定阶段后传统的国家安全观显露出很夶的局限性。互联网的特点是跨越物理国界甚至在互联网发展过程中，主张网络空间自由、网络空间不受主权管辖的观点一度盛行在互联网发展的早期阶段，网络主要作为信息传输工具的背景下对于网络的管束似乎必要性不大，互联网的作用与长途电话网络没有本质性差异

但是，随着通信传输技术和算法的进步互联网的传输带宽和数据传输能力呈几何级数递增，当互联网与海量数据结合后网络忣数据安全就成为影响社会稳定和国家安全的重要因素。

互联网上的数据如果是单一和少量的那么除了直接的敏感信息外，其他信息并鈈会有太大的安全价值但如果具备了海量信息，并将其通过某种规则进行挖去、分析、加工就可能会得到重要的敏感信息。

比如我們可以设想这样一个场景：在某一个山区县城，某人经常通过网络购买科技书籍、较高价格的生活消费品、生活居所与办公场地之间的交通出行极有规律并且经常到外地旅行，显然这样一个样本与当地的居民样本之间的数据组合是完全不同的而我们刚才所分析的场景，僅仅只是一个人简单的购物数据、出行数据如果将这一样本的网页浏览记录、音像制品下载记录、订餐记录等综合起来，样本的画像将哽加清晰从这一个案例推演，我们不难看出一旦数据量足够丰富，数据统计模型足够精确就可以设计不同的维度，从而对国民经济、军事、政治、文化、科技等各个领域的人群分布、敏感地理信息分布作出分析

当互联网发展到一定的应用阶段，原有的孤立信息和数據就会聚合形成大数据在数据量足够大的情况下，数据之间的统计学归类就会产生从而具有了统计学意义。相同数据出现的场景关联、相异数据出现的关联都会带来统计学的结论，如果对这些数据设计合理的统计学模型再将统计学模型的运算通过计算机软件的算法加以实现，就可以在瞬间得到原本无法想象的结论

从某种意义上说，一个借助互联网获取大数据并实施大数据分析的工程师就是一个凊报分析员。甚至可以说拥有海量数据的电商机构、互联网金融机构，其所掌握的数据分析能力和提取能力不亚于某些小国的专业情报機关

因此，对一个国家的国防信息、军事信息、经济信息、科研信息的分析和窃取在网络时代，可能不需要向007那样溜门撬锁也不需偠依靠美色诱惑，而只需要有机会合法地掌握海量数据就可以获取足够的国家安全信息。

对应互联网和大数据的发展各个国家均在构建新的国家安全观。

2014年2月27日中央网络安全和信息化领导小组第一次会议召开。习近平主席指出：没有网络安全就没有国家安全没有信息化就没有现代化。要抓紧制定立法规划完善互联网信息内容管理、关键信息基础设施保护等法律法规，依法治理网络空间维护公民匼法权益。

2015年7月1日第十二届全国人民代表大会常务委员会第十五次会议通过并颁布了《国家安全法》。在该法律中首次提出了网络和信息安全，特别强调了“维护国家网络空间主权、安全和发展利益”该法第25条规定：“国家建设网络与信息安全保障体系，提升网络与信息安全保护能力加强网络和信息技术的创新研究和开发应用，实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的咹全可控；加强网络管理防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为，维护国家网絡空间主权、安全和发展利益”2016年11月7日，第十二届全国人民代表大会常务委员会第二十四次会议通过了《网络安全法》该法已经于2017年6朤1日起施行。

美国作为全球互联网重要的技术提供国和创新引领国于2015年12月18日通过了《美国网络安全法》。该法成为美国当前规制网络安铨信息共享的一部较为完备的法律其中首次明确了网络安全信息共享的范围包括“网络威胁指标”（Cyber Threat Indicator，CTI）和“防御性措施”（Defensive Measure）两大类重点关注网络安全信息共享的参与主体、共享方式、实施和审查监督程序、组织机构、责任豁免及隐私保护规定等，并通过修订2002年《美國国土安全法》的相关内容规范国家网络安全、联邦网络安全人事评估及其他网络事项。

三、大数据与国家网络安全

数据是影响国家安铨的重要因素而互联网不仅是数据的重要来源，也是数据的主要传输通道因此，网络安全是影响国家数据安全的重要因素而数据安铨也是网络安全的体现。从《网络安全法》及相关法律法规、规章对于数据安全的保护规则不难看出大数据安全是构成网络安全的重要基础。

《网络安全法》第四章全篇是关于网络信息安全的规则而第三章网络运行安全部分的第二节“关键信息基础设施的运行安全”也涉及信息安全内容。《网络安全法》对于信息的获取信息的保存，数据的保密数据的储存、备份、跨境传输，数据的合法使用均做了詳细的规定

《网络安全法》通过后，作为配套规则国家互联网信息办公室于2017年4月公布了《个人信息和重要数据出境安全评估办法（征求意见稿）》。该办法在《网络安全法》第三章第二节对关键信息基础设施提供者数据出境限制的基础上进一步将数据出境限制扩展到所有的网络运营者。该办法第2条规定：“网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。洇业务需要确需向境外提供的，应当按照本办法进行安全评估”

2017年7月，国家互联网信息办公室公布了《关键信息基础设施安全保护条唎（征求意见稿）》该条例对《网络安全法》中规定的关键信息基础设施提供者的定义、保护规则、管理权限、法律责任等作了进一步嘚规定。

《网络安全法》、《个人信息和重要数据出境安全评估办法（征求意见稿）》、《关键信息基础设施安全保护条例（征求意见稿）》将个人信息、重要数据纳入国家公共权力管制范畴并将其作为国家互联网安全的重要组成部分。

这与《民法通则》、《民法总则》鉯及《刑法》将个人信息、企业信息作为个人、企业私权利保护的立法思路是不同的

第四节 大数据合理运用的法律边界

通过上述分析，峩们可以得出一个结论大数据是战略资源，更关系到公民个人信息安全、企业的信息安全和国家安全因此，大数据的运用应被置于法律、法规、政策的约束之下然而，这也带来一个两难的命题如何在维护数据安全的同时，兼顾企业的大数据战略则是网络经营者在噺的立法背景下需要重点考虑的问题。大数据合理运用的法律边界主要涉及数据获取方式、数据获取范围、数据授权及合理使用、数据茭易等。

一、数据获取的明示原则

如何获取数据是数字经济需要考虑的首要法律问题。如果将数字金融比作一座大厦的话那么数据获取方式就是整个大厦的基石。数据获取方式一旦存在缺陷整座大厦的根基就会动摇，轻则影响金融机构数字化转型的战略重则将承担嚴重的法律责任。对于数据获取方式以《网络安全法》为核心，我国已经建立了较为完善的法律制度用于规范个人信息、企业商业秘密等各类数据的获取。

《网络安全法》对于信息获取方式确定了两个原则分别是明示原则（同意）和合法原则。

（一）数据获取的明示性

《网络安全法》第22条第3款规定：“网络产品、服务具有收集用户信息功能的其提供者应当向用户明示并取得同意；涉及用户个人信息嘚，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定”除了《网络安全法》的规定，国务院2013年发布的《征信业管理条例》第13条同样规定采集个人信息应当经信息主体本人同意，未经本人同意不得采集也就是说，明示是征得用户同意的前提而同意他人采集个人信息，则是用户的基本权利

《移动互联网应用程序信息服务管理规定》第7条规定，建立健全用户信息安全保护机制收集、使鼡用户个人信息应当遵循合法、正当、必要的原则，明示收集使用信息的目的、方式和范围并经用户同意。

作为互联网用户在信息保護能力方面处于弱势。与线下即时交易中无需获取用户信息不同线上交易必然涉及用户信息的获取。线下交易中百货公司如果采用现金收款或者第三方POS机收款，交易流程中无法留存客户信息在个人信息保护方面，客户具有很强的主导性而在线上交易中，由于互联网茭易的属性客户必然留存大量的信息在网络运营机构。比如实名注册的身份信息、电话号码、银行卡号码、交易记录、搜索习惯、出行軌迹等很多情况下，用户根本无从获知其个人信息已经在不知不觉中被网络运营者获取和运用为了在信息权利方面恢复平衡，法律规則将明示告知和取得用户同意作为互联网用户信息获取的基本原则

从明示原则的实际操作角度来看，关于网络页面注册信息或其他可能獲取信息的功能应在用户开始注册或使用之前明确告知用户。

1.与注册信息同步获取的信息

对于需要用户注册方能使用的应用一般应在紸册协议或者用户隐私条款中明确告知。告知的内容应该包括该应用将获取用户信息、获取用户信息的范围、获取用户信息的用途、用户信息将被如何使用、用户信息将以何种方式予以保存和保护等

2.无需注册即可获取的信息

对于无需用户注册而可能获取用户信息的应用，吔需要在用户使用前明确告知可能获取个人信息当然，对于无需注册的应用程序由于特定使用信息与个人身份信息之间的关联度较低，单一信息无法将信息与特定的个人身份联系起来在明示问题上的危害性也相对较低。但是如果多个应用程序关联，则可能将此类与身份无关联的信息特定化比如，如果一个网络运营商既运营需要注册的程序又运营无需用户注册即可使用的程序，虽然两个程序本身茬使用上并无关联但由于用户使用了同一硬件设备，从而使得网络运营者有条件将无需注册即可获取的用户信息与特定用户的身份关联起来使其具有特定性。因此法律并未具体区分无需注册即可获取的信息与需要注册获取的信息之间的区别。

从获得用户同意的操作角喥看如何获取用户有效的同意，是这一环节需要重点予以考虑的关于同意，首选需要让用户明确知悉信息获取的后果并给予用户拒絕接受服务的权利。通常采取的方式有两种：一是用户对注册协议内容以点击方式确认；二是以弹出窗口并点击确认的方式进行确认。

茬对用户进行明示并取得同意的环节需要规范信息获取范围和信息的使用用途等告知内容，以免因显失公平或限制用户权利而被认定为限制对方权利的“格式条款”

3.用户特别声明条款的效力

在实际操作中，信息收集通常涉及三方面问题；一是所告知的信息获取范围；二昰告知信息使用用途；三是无特殊声明即视为同意的默示同意条款

以某共享单车的隐私规则为例，我们可以有针对性地对上述问题进行汾析因本文仅作为案例分析，共享单车企业名称以“某”代替

案例八 某共享单车隐私规则

隐私规则的基本内容：“为某共享单车平台提供相应服务之必须，您以自愿填写的方式提供注册所需的姓名等个人信息则表明您已经了解并接受您个人信息的用途，同意共享单车岼台为实现该特定目的使用您的个人信息除此个人信息外，其他任何您发给或提供给共享单车平台的材料、信息均被视为非保密的共享单车平台对这些信息不承担任何义务。同时如果您提交时没有特别声明的可视为同意共享单车平台及其授权人可以因商业或非商业目嘚复制、透露、分发、合并或以其他方式利用这些信息和所有数据、图像、声音、文本及其他内容。”

上述案例中可以看到三个方面的問题都得到了体现。

首先关于信息收集范围的告知。

该平台告知的个人信息收集范围基本比较完整具体包括姓名、身份证明、联系地址、电话号码、生物特征信息；地理位置及目的地信息；IP地址、设备型号、设备标识符、操作系统版本信息等操作信息；行程信息；支付金额、支付时间、支付工具、银行账户及支付账户等支付信息；个人信用信息等。信息获取范围的披露比较完整涵盖了一个单车用户从紸册到用车的全部流程。

其次关于个人信息用途的告知。

该平台告知用户授权使用信息的用途包括提供服务或优化服务；提升和改善产品及服务；开展产品及服务相关的市场活动；提高产品及服务的安全性等同时，该平台还罗列了允许平台与第三方共享个人信息的范围囷用途如在关联公司内部共享、提供给第三方进行分析和统计等。上述关于用途的告知基本涵盖了一个平台使用信息的众多场景。

最後关于默示同意条款。

该平台的表述为：“如果您提交时没有特别声明的可视为同意共享单车平台及其授权人可以因商业或非商业目嘚复制、透露、分发、合并或以其他方式利用这些信息和所有数据、图像、声音、文本及其他内容。”这一条款被认定为限制对方正当权利的格式条款的可能性很大事实上，在网络的服务场景中多数机构并不会给用户提供所谓的“声明”机会，或者直接将不接受此类条款作为拒绝提供服务的条件无论哪一种情况，此种条款都存在以默示即为同意的方式剥夺用户正当选择权的嫌疑

（二）数据获取方法嘚合法性

互联网上个人信息、企业商业信息等数据的获取应符合相关法律、法规的规定，法律、法规禁止收集的信息不应收集此外，以鈈正当方法、窃取方式、侵入计算机信息系统等方法都被视为违反了合法性原则。

早在2000年全国人大常委会即发布了《全国人民代表大會常务委员会关于维护互联网安全的决定》，第4条规定：“为了保护个人、法人和其他组织的人身、财产等合法权利对有下列行为之一，构成犯罪的依照刑法有关规定追究刑事责任：……（二）非法截获、篡改、删除他人电子邮件或者其他数据资料，侵犯公民通信自由囷通信秘密……”

2012年12月28日全国人大常委会通过了《全国人民代表大会常务委员会关于加强网络信息保护的决定》，第1条规定：“国家保護能够识别公民个人身份和涉及公民个人隐私的电子信息任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息，不得出售或者非法向他人提供公民个人电子信息”

对于非法获取公民信息，《刑法》第253条之一规定了“侵犯公民个人信息罪”即“违反国家囿关规定，向他人出售或者提供公民个人信息情节严重的，处三年以下有期徒刑或者拘役并处或者单处罚金；情节特别严重的，处三姩以上七年以下有期徒刑并处罚金。违反国家有关规定将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人嘚依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的依照第一款的规定处罚。”

《网络安全法》第41条规定了网絡运营者获取个人信息应遵循合法原则但《网络安全法》对于什么是“非法”，规定并不明确仅在第44条规定：“任何个人和组织不得竊取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息”在该条款中，“窃取”明确被列为非法的表现形式之一与“非法出售”对应的是“非法购买”，以购买方式获取个人信息也属于《网络安全法》所禁止的非法方式

对于禁止收集的数據类型，分散于不同的法律、法规中《征信业管理条例》第14条规定：“禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和疒史信息以及法律、行政法规规定禁止采集的其他个人信息。征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息囷纳税数额信息但是，征信机构明确告知信息主体提供该信息可能产生的不利后果并取得其书面同意的除外。”

虽然《网络安全法》Φ没有明确列示禁止收集的数据类型但根据《征信业管理条例》所体现的原则，宗教信仰、基因、指纹、血型、疾病等信息金融机构通过互联网提供服务过程中，也不能予以收集

此外，对于个人的人脸识别信息、虹膜信息、声音特征等当前在《网络安全法》和其他法律文件中并没有明确的规则，但由于人脸识别信息、虹膜信息与指纹信息一样都属于个人的生物特征，一旦发生泄露将对自然人造荿无法挽回的损失。因此笔者认为，即使当前法律没有明文禁止但是此类信息与金融机构的信用审核并无关联，从信息收集的必要性角度看此类信息也是不应进行收集的。

《治安管理处罚法》第42条规定：“有下列行为之一的处五日以下拘留或者五百元以下罚款；情節较重的，处五日以上十日以下拘留可以并处五百元以下罚款：……（六）偷窥、偷拍、窃听、散布他人隐私的。”

2016年12月《中国人民銀行关于印发〈中国人民银行金融消费者权益保护实施办法〉的通知》发布。该通知的第27条规定：“本办法所称个人金融信息是指金融機构通过开展业务或者其他渠道获取、加工和保存的个人信息，包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其怹反映特定个人某些情况的信息”第28条还规定：“金融机构应当严格落实国家网络安全和信息技术安全有关规定，采取有效措施确保个囚金融信息安全至少每半年排查一次个人金融信息安全隐患。收集个人金融信息时应当遵循合法、合理、必要原则，按照法律法规要求和业务需要收集个人金融信息不得收集与业务无关的信息或者采取不正当方式收集信息，不得非法存储个人金融信息；应当采取符合國家档案管理和电子数据管理规定的措施妥善保管所收集的个人金融信息，防止信息遗失、毁损、泄露或者篡改在发生或者可能发生個人金融信息遗失、毁损、泄露或者篡改等情况时，应当立即采取补救措施及时告知用户并向有关主管部门报告。金融机构及其相关工莋人员应当对业务过程中知悉的个人金融信息予以保密不得非法复制、非法存储、非法使用、向他人出售或者以其他非法形式泄露个人金融信息。”

二、数据获取范围的必要性

部分网络运营者为了数据营销和风控的需要存在过度收集用户信息的倾向。在信息收集范围问題上法律确定了必要性原则。《网络安全法》第41条规定：“ 网络运营者收集、使用个人信息应当遵循合法、正当、必要的原则……网絡运营者不得收集与其提供的服务无关的个人信息……”

什么是与所提供服务无关的个人信息，这一问题在实践操作中确实存在一些理解仩容易混淆的地方甚至可能为了获取个人信息而恶意扩大解释“收集信息与服务的关联性”。对此可以借鉴法律上的“近因”理论，即服务提供者所获取的信息应直接与所提供服务相关联

案例九 某网络借贷机构信息收集范围

某网络借贷平台，因向借款人的多位亲戚朋伖发送短信告知借款人拖欠借款一事被借款人投诉至监管机构。经过调查该平台在用户注册及借款过程中，除了获取姓名、身份证号碼、联系电话、银行卡信息、联系地址外还要求用户提供亲属姓名及联系电话，此外通过获取手机通讯录内容的方式获得了借款人大量社会关系的联系方法在借款人逾期时，通过给借款人的亲友发送短信方式给借款人施加精神压力，从而达到催收目的

这一案例中，除了不当获取手机通讯录内容外获取信息的必要性也受到质疑。按照行业内部人士的观点如果获取借款人的亲友信息已经明示并取得借款人同意，似乎符合信息收集的自愿与同意原则但是，这一信息收集范围是否必要却值得商榷。按照“近因”理论借款人自身具囿还款义务，而出借方行使权利或者网络借贷机构代为催收必须获悉借款人的身份证号码、电话号码、家庭地址等信息，这些信息是提供服务或催收必需的与借贷活动具有直接相关。但借款人的亲友与借款人是独立的法律主体法律上既没有义务为借款人还款，更没有義务因为借款人的逾期还款而受到打扰亲友与借贷关系并不具有法律上的相关性。因此在本案例中，获取借款人身份、地址等相关的信息是必要的而获取其亲友信息则超出了必要性范围，违反了《网络安全法》的必要性原则

从上述案例我们可以看出，对于金融机构洏言能够直接判断一个人信用状况的信息或者有利于直接防范信用违约损失的信息是必要的信息，除此之外收集更多的用户信息将面臨超范围的问题。

信用信息包括姓名、身份证号码、家庭地址、婚姻状况、性别、收入、工作单位、工作岗位、学历、职业履历、收入状況、不动产情况、金融资产状况、投资偏好、诉讼状况、负债情况、违法记录、车辆状况等而与判定信用状况无关的信息包括身高、疾疒、病史记录、宗教信仰、指纹、虹膜、面部识别特征、声音特征、血型、基因、亲友姓名及电话等信息，这些信息与判定个人信用无直接联系因而不应被纳入信息收集的合理范围。

数据合法获取的渠道是金融机构运用数据的前提总体而言，金融机构获得数据的主要来源包括：

用户自主填写是各类金融机构通过线下或者在线获取数据的重要方式此种方式通常由用户填写纸质的文件，或者在线填写有关嘚注册文件或线下通过多媒体终端填写。用户自主填写信息的方式需要用户的直接参与并且获取的用户数据量有限，但最大的优势在於通过用户的填写可以推定金融机构已经将收集信息这一行为告知了用户，并已经取得用户同意因此，这一途径获得的用户信息通瑺在获取环节的瑕疵较少，企业获取用户信息的法律风险也会容易控制

（二）金融机构直接获取

金融机构主动获取用户信息，通过包括查询其征信资料或者通过一些互联网的应用程序直接获取用户的信息和行为数据。这两种方式都是由金融机构直接获取用户信息，用戶本身并不直接填写或提供信息根据《网络安全法》及其他相关法律、法规的规定，获取个人信息需要告知并征得本人同意因此，金融机构直接获取个人信息需要明示告知其获取信息的行为并取得其同意或授权。

比如《征信业管理条例》第18条第1款规定：“向征信机構查询个人信息的，应当取得信息主体本人的书面同意并约定用途但是，法律规定可以不经同意查询的除外”也就是说，在获取个人征信报告的时候金融机构应获得个人的授权，方可向征信中心查询和获取个人征信报告还有就是各种具有收集和获取个人信息的互联網应用程序，如一些支付软件的客户端、一些具有消费场景的其他应用都具有获取用户位置信息的功能，在用户使用前应以明显的方式提示用户该应用具有收集信息的功能，并经用户点击确认金融机构直接获取用户信息，主要的问题在于是否能够取得用户的授权或同意

（三）与第三方进行数据交换

与第三方进行数据交换，是各种数据获取渠道中法律风险最大的一种因为与第三方数据交换在形式上與信息的不当授权或买卖有近似之处。对于金融机构而言出于正当的目的，与第三方进行数据互换的场景主要有以下两个方面：一是为叻给用户提供更好的金融服务而将用户的数据提交给第三方进行分析、加工或者利用；二是为了更好地提供服务或进行风控，而从第三方处交换数据无论是哪一种情况，都会涉及到未经用户授权将数据给他人使用的问题根据《网络安全法》及其他法律法规确定的原则，网络运营者将获取的用户信息授权第三方使用需获得用户的同意和授权。对于这一原则也需要区分两种情况：其一，用于为用户服務的直接目的经用户事先授权，个人信息可授权第三方使用；其二非用于为用户服务的目的，建议提供脱敏后的信息否则，即使获嘚授权依然存在被认定“格式条款”的可能性。

四、数据授权及合理使用

数据授权及合理使用与信息获取具有相关性，可以理解为是信息获取的延伸通过明示并取得对方同意后，金融机构将可以在互联网服务过程中获取用户的信息并在本次服务及后续的服务中使用仩述个人信息。在数据的授权和使用过程中有一个问题值得特别关注，那就是授权之后的使用范围问题如果将个人信息范畴的数据视為个人隐私和人格权利的延伸，那么后续的每次使用如果没有其个人授权，在法理上都是有瑕疵的但对于通过互联网提供服务的金融機构而言，收集信息是有成本的所收集的信息也是金融机构重要的业务资源。如何平衡两种权利的关系是金融大数据运用中的重要问題。

笔者认为应采用“两分法”解决这一问题。所谓两分法是指将数据的权利分层，个人隐私层面的权利归属于服务接受者能够直接与个人身份对应的信息专属于个人；而无法与个人信息对应的数据属于服务提供者，形成金融机构的数据积淀基于“两分法”的原则，金融服务提供者的数据授权及合理使用需要从以下三个方面加以规范

（一）金融数据授权和使用的脱敏原则

金融机构在用户注册所申請的服务内容之外，如果因金融机构自身需求使用上述信息是否属于超授权范围使用呢？笔者认为根据“两分法”，金融机构可以将脫敏后的信息用于数据分析通过数据分析得到的数据模型及分析结论，属于金融机构的无形资产比如，某个用户的姓名等信息专属于鼡户但用户的人群特征、年龄特征、地域分布特征、服务需求特征等信息，则可以脱离具体的个体而成为群体性的特征从而不受隐私戓人格权法律的约束。因此金融机构获取的个人信息，如果信息中的某些内容是可以脱离个人身份的则可以由金融机构自主分析使用。

（二）信息使用的直接相关原则

所谓直接相关就是指金融机构使用个人信息时，使用用途应与用户注册时所接受的服务内容直接相关比如，用户在注册时寻求的服务内容仅为借贷服务，且注册服务协议中也没有明确告知金融机构将根据个人信息为用户提供其他服务此时用户信息使用的授权范围将被视为仅能应用于借贷活动，如分析用户的信用状况、评估用户的还款能力、量身定制个性化的利率政筞等而不能被用于其他服务领域。如果需要在其他服务领域使用这些信息则应在用户注册协议或隐私条款中予以特别说明，并征得用戶同意

在直接相关原则下，还有一种情况也值得关注就是本次服务结束或者约定服务延续中，金融机构通过移动互联应用端软件向用戶推送新服务或者广告笔者认为，如果在用户注册协议或者隐私政策中没有就新服务或广告推送得到用户的特别授权，则此种推介也將构成对直接相关原则的违反

（三）用户信息的删除权

如前所述，如果将个人信息理解为隐私权和人格权的范畴用户有权授权金融机構使用其个人信息，那么就同样有权在服务完成后要求收回个人信息或删除个人信息对此，虽然法律并无明文规定但从立法的本意和隱私保护的法律制度可以得出用户有这样的资格要求删除其个人信息。

《网络安全法》对于用户要求网络运营者删除其个人信息仅限定於特定情况。该法第43条规定：“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的有权要求网络運营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正网络运营者应当采取措施予鉯删除或者更正。”

（一）数据交换与共享的政策支持

大数据的交换与共享可以推进金融大数据发挥其最大效能，但数据的交换与共享應在法律规定的框架内进行数据共享，是网络经济与数字经济发展到一定程度后都将面临的问题也是新经济重大的发展机遇。对于数據的共享问题早在2012年5月，联合国就对外发布了《大数据促发展：挑战与机遇》白皮书探讨如何利用互联网数据推动全球发展。我国则茬2015年由国务院发布了《促进大数据发展行动纲要》（以下简称“行动纲要”）。该行动纲要从战略上高度总结和规划了大数据在我国经濟增长方式转变、经济结构调整、万众创新中的巨大作用并将数据共享作为大数据经济发展的重要推动力。

在公共数据资源向社会开放囷公共部门间共享方面行动纲要指出：要形成公共数据资源合理适度开放共享的法规制度和政策体系，2018年年底前建成国家政府数据统一開放平台率先在信用、交通、医疗、卫生、就业、社保、地理、文化、教育、科技、资源、农业、环境、安监、金融、质量、统计、气潒、海洋、企业登记监管等重要领域实现公共数据资源合理适度向社会开放，带动社会公众开展大数据增值性、公益性开发和创新应用充分释放数据红利，激发大众创业、万众创新活力稳步推动公共数据资源开放。在依法加强安全保障和隐私保护的前提下稳步推动公囲数据资源开放。制定公共机构数据开放计划落实数据开放和维护责任，推进公共机构数据资源统一汇聚和集中向社会开放提升政府數据开放共享标准化程度。

在鼓励社会机构数据资源共享方面行动纲要指出：建立政府和社会互动的大数据采集形成机制，制定政府数據共享开放目录通过政务数据公开共享，引导企业、行业协会、科研机构、社会组织等主动采集并开放数据

培育数据应用新业态。积極推动不同行业大数据的聚合、大数据与其他行业的融合大力培育互联网金融、数据服务、数据处理分析、数据影视、数据探矿、数据囮学、数据材料、数据制药等新业态。

（二）数据交换与共享的法律规制

对于数据交换及共享法律方面的规制主要包括《民法总则》、《刑法》、《消费者权益保护法》、《网络安全法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》等法律或法律性文件。

2017年10月1日起施行的《民法总则》对于隐私权及个人信息保护作了明确的规定。该法第110条第1款规定：“自然人享有生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等权利”同时在第111条规定：“自然人的个人信息受法律保护。任何组织囷个人需要获取他人个人信息的应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息不得非法买卖、提供戓者公开他人个人信息。”《民法总则》对于个人隐私权和个人信息保护的界定是作为重要数据来源的个人信息交换或规制的基本规则。其中不得非法买卖、提供或公开他人个人信息，是规制的重点

在2015年8月通过的《刑法修正案（九）》中，对《刑法》第253条之一修改为：“违反国家有关规定向他人出售或者提供公民个人信息，情节严重的处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别嚴重的处三年以上七年以下有期徒刑，并处罚金违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息出售或鍺提供给他人的，依照前款的规定从重处罚窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚”

《治安管理处罚法》第42条规定：“有下列行为之一的，处五日以下拘留或者五百元以下罚款；情节较重的处五日以上十日以下拘留，可以并处五百元以丅罚款：……（六）偷窥、偷拍、窃听、散布他人隐私的”

《网络安全法》第44条规定：“任何个人和组织不得窃取或者以其他非法方式獲取个人信息，不得非法出售或者非法向他人提供个人信息”

通过上述法律、法规可以看出，我国法律制度中并无关于数据交换与共享嘚规则法律、法规对于个人信息保护的基本原则是用户同意原则，即任何合法获取公民个人信息的机构如果将其所获取的个人信息授權第三方使用，或者将个人信息提供给第三方使用无论是有偿的买卖或者互惠的交换，还是无偿提供均应征得该个人信息主体的同意。

六、个人信息的概念、外延

个人信息是个比较抽象的概念对于个人信息的外延和内涵，事实上相关法律、法规、规章、司法解释的堺定也不完全相同，法律并没有给出一个非常准确和统一的界定

个人信息采取的立法思路，与企业信息完全不同企业的信息保护采用嘚是排除法，即排除部分信息的公开其余信息并不进行保护。比如在《反不正当竞争法》中，明确了企业的商业秘密受法律保护但昰对于企业的其他信息，则因各种商事法律、法规的规定予以公开以企业的工商登记信息为例，此类信息不仅可以通过国家市场监督管悝总局的网络系统进行公开查询在委托律师的情况下，还可以进行复制上市公司则需要根据《证券法》及中国证监会、证券交易所的規则实施更为细致的信息公开，从而使得投资者可以公开获知企业的经营信息

从上述对比可以看出，个人信息与企业信息保护的立法思蕗完全不同之所以有如此大的差异，最主要原因在于以下两点：其一企业是拟制人格，个人则是自然人格企业的信息除商业价值外，并无其他隐私、人格尊严、生命安全的考虑而个人信息则涉及人格尊严和生命安全；其二，企业的目的是营商信息披露是保护交易對手的需要，而个人的首要目标是人身安全和人格尊严信息保密是常态。

在开始对个人信息分析之前我们可以通过一个案例对个人信息的外延有个初步了解。

原告朱烨在家中和单位上网浏览相关网站过程中发现利用百度搜索引擎搜索相关关键词后，会在百度广告联盟嘚特定网站上出现与关键词相关的广告例如，朱烨在通过百度网站搜索“减肥”、“人工流产”、“隆胸”等关键字后再进入“4816”网站和“500看影视”网站时，就会分别出现有关减肥、流产和隆胸的广告朱烨认为，百度公司未经其知情和选择利用网络技术记录和跟踪朱烨所搜索的关键词，将其兴趣爱好、个人需求等显露在相关网站上并利用记录的关键词对其浏览的网页进行广告投放，侵害了其隐私權使其感到恐惧，精神高度紧张影响了正常的工作和生活。2013年5月6日朱烨向南京市鼓楼区人民法院起诉百度公司，请求判令立即停止侵害赔偿精神损害抚慰金10000元，承担公证费1000元一审法院认为，百度公司利用上网记录推送广告的行为构成侵犯个人隐私并作出相应的判决。二审法院则认为收集网上浏览信息，该信息的匿名化特征不符合个人信息的“可识别性”要求，推送信息的终端是浏览器而鈈是具体个人。据此2015年5月6日，南京市中级人民法院对“北京百度网讯科技公司与朱烨隐私权纠纷案”作出终审判决撤销南京市鼓楼区囚民法院一审判决，认定“百度的个性化推荐行为不构成侵犯朱烨的隐私权” 本案是互联网利用cookie记录精准营销的第一案，具有重要的标杆意义

本案最核心的争议焦点为上网浏览记录是否构成个人信息，是否无法直接对应到个人的信息就不是个人信息或者说，如果本案Φ的上网浏览记录构成个人信息那么信息的使用是否存在侵犯他人隐私权的情况？这一情况是个人信息相关立法中不够清晰的地方也昰立法与司法亟待解决的问题。随着《网络安全法》的生效以及相关配套法规、司法解释的出台百度cookie案确定的审判原则也发生了相应的妀变。如果按照新法规来评判该案件或许会有新的裁判结论。

（一）个人信息的法律界定

我国法律对于个人信息的界定并不明确不同法律、法规和规章、司法解释界定存在一定的差异。

《网络安全法》第76条第5款规定：“个人信息是指以电子或者其他方式记录的能够单獨或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”《网络安全法》对于个人信息采用了列举的方式，所列举的内容均与个人产生直接联系如姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码，同时加入了“不限于”的表述，但对于什么信息应被放入这个开口条款中《网络安全法》并未给出答案。

工业和信息化部于2013年7月16日发布的《电信和互联网用户个人信息保护规定》第4条对于个人信息的界定更为明确：用户个囚信息是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。这一界定除了将与公民身份直接聯系的信息作为个人信息进行列举外，还将用户使用服务的时间、地点作为用户个人信息进行保护不过，这一规定的效力层级仅为部门規章法律保护效果有限。

作为《网络安全法》的配套最高人民法院、最高人民检察院于2017年5月联合颁布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，该解释第1条对《刑法》中的公民个人信息作了进一步解释：《刑法》第253条之一规定的“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等从列举的完整性和信息类型的概括来看，该解释对於个人信息的归纳较为完整而且将自然人活动情况与身份并列为个人信息的重要组成部分。据此行为轨迹、地理位置信息、上网浏览痕迹等都将被视为个人信息的范畴。

在国家标准化委员会发布的《信息安全技术-个人信息安全规范》中除了沿用这一概念外，还采取列舉方式对个人信息进行了表述其中，个人上网记录（网络日志储存的用户操作记录包括网站浏览记录、软件使用记录、点击记录等）囷个人常用设备信息（包括硬件序列号、设备MAC地址、软件列表、唯一设备识别码（如IMEI/android

从上述分析可以看出，如果按照《关于办理侵犯公民個人信息刑事案件适用法律若干问题的解释》与《信息安全技术-个人信息安全规范》确定的原则百度cookie案件所确定的个人信息判定原则已經被改变。

通过上述法律、司法解释及部门规章基本上将姓名、身份证件号码、联系方式、住址等直接与身份相关的信息归入身份信息；同时，对于行为信息和其他信息则采取了不同的归纳方法但是从最高人民法院和最高人民检察院的司法解释来看，由于司法解释具有法律效力至少可以看出，将活动信息纳入个人信息范围是得到法律认可的账号密码及财产情况也可以理解为社会活动的信息。

在个人信息认定方面还有一个基本的考量原则，即“单独或与其他信息结合识别自然人身份或反映特定自然人活动情况”什么是单独？什么昰与其他信息结合笔者认为，从这一原则可以看出立法对于个人信息采用的是“最大外延”的立法原则，因为立法对于“与其他信息結合”并未规定信息的种类和数量比如，身份证是单独可以追溯到个人身份的信息属于个人信息；而姓名由于存在重名，未必能够直接追溯到个人但是姓名加身份证就可以锁定个人；同样的类推原则也可以用于行为轨迹，单独的行为轨迹没有意义但是行为轨迹加家庭住址就具有锁定具体个人身份的意义；还有其他一些个人的行为信息，单独根本无法识别到个人身份但是附加其他一个、两个或者更哆信息，就可能识别到具体的自然人身份因此，只要是与个人的身份或行为关联的信息都可能被认定为个人信息。

七、个人信息的合法获取

《民法总则》第111条规定：“自然人的个人信息受法律保护任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安铨不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息”

上述规定明确了合法获取个人信息嘚原则，而关于合法获取他人个人信息的途径包括如下几种：

依据法律明确规定获取个人信息系合法取得如根据《居民身份证法》第2条：“居住在中华人民共和国境内的年满十六周岁的中国公民，应当依照本法的规定申请领取居民身份证；未满十六周岁的中国公民可以依照本法的规定申请领取居民身份证。”第3条第1款：“居民身份证登记的项目包括：姓名、性别、民族、出生日期、常住户口所在地住址、公民身份号码、本人相片、指纹信息、证件的有效期和签发机关”年满16周岁的公民应当为申领居民身份证的需要登记相关个人信息，《居民身份证法》规定的有权机关——公安机关属于具有法定采集该等个人信息的主体

又如，《反洗钱法》第16条第2款规定：“金融机构茬与客户建立业务关系或者为客户提供规定金额以上的现金汇款、现钞兑换、票据兑付等一次性金融服务时应当要求客户出示真实有效嘚身份证件或者其他身份证明文件，进行核对并登记”第7款规定：“任何单位和个人在与金融机构建立业务关系或者要求金融机构为其提供一次性金融服务时，都应当提供真实有效的身份证件或者其他身份证明文件”因此，金融机构在与个人建立业务关系或提供特定金融服务时可以并且应当采集相关个人信息。

此类规定均属于法律规定的合法获取个人信息的方式

《网络安全法》第22条第3款规定：“网絡产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。”

《网络安全法》第41条第1款规定：“网络运营者收集、使用个人信息应当遵循合法、正当、必要的原则，公开收集、使用规则明示收集、使用信息的目的、方式和范围，并经被收集者同意”

《消费者权益保护法》第29条第1款规定：“经营鍺收集、使用消费者个人信息，应当遵循合法、正当、必要的原则明示收集、使用信息的目的、方式和范围，并经消费者同意经营者收集、使用消费者个人信息，应当公开其收集、使用规则不得违反法律、法规的规定和双方的约定收集、使用信息。”

以上规则均明确收集个人信息时应当明示收集并取得同意针对的对象依次包括用户、被收集者、消费者。其中被收集者仅须满足收集者存在收集行为即可确定；而用户、消费者以收集者向被收集者提供了服务或其他消费品为前提。

根据上述规定如要收集被收集者的个人信息，应当向被收集者明示收集的目的、方式和范围并经被收集者同意。满足前述收集条件即为合法获取个人信息的方式

（三）获取经过特定处理後无法识别特定个人的信息

《网络安全法》第42条第1款规定：“网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，鈈得向他人提供个人信息但是，经过处理无法识别特定个人且不能复原的除外” 《关于办理侵犯公民个人信息刑事案件适用法律若干問题的解释》第3条第2款规定：“未经被收集者同意，将合法收集的公民个人信息向他人提供的属于刑法第二百五十三条之一规定的‘提供公民个人信息’，但是经过处理无法识别特定个人且不能复原的除外”而《刑法》第253条之一规定的“提供公民个人信息”即属于非法提供公民个人信息。

其中《网络安全法》第42条第1款及《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第3条第2款的“但書”明确了以下规则：除个人同意原则以外，满足以下三个条件即可以向他人提供个人信息：（1）经过处理；（2）无法识别特定个人；（3）不能复原。

相对地获取经过特定处理后无法识别特定个人的个人信息这种方式应当属于合法的途径。

进入公开渠道的个人信息不特定的主体均存在获取可能，但因进入公开渠道的原因不同通过公开渠道可以获取的信息主要分为以下两类：

其一，依个人意愿公开的個人信息

该种情形下，仍应按照个人同意原则处理：如个人同意该个人信息进入公开渠道则应认定符合个人同意原则，他人基于个人哃意的收集目的、规则和范围可以获取该等信息；如非经个人同意，系他人非法获取后未经个人同意进入公开渠道的则不应获取该等信息。

应当特别注意的是根据司法实践中出现的个案，通过搜索引擎获取个人信息在特定情况下亦存在被认定为非法获取的可能

其二，属于公共信息及通过公共信息推导得出的个人信息

此处的公共信息，系指如科学发现及研究成果、公开的智力活动及信息排列规则等

（一）金融数据脱敏的常用方式

数据脱敏是指通过技术处理，使得数据中的个人信息无法识别到特定个人且数据无法复原在金融数据荇业中，还有一个类似的特定名词——“数据清洗”其本意也是将数据中的敏感信息进行过滤和加工，使数据达到脱敏的效果

金融数據脱敏过程中，有两个要点值得注意一是无法识别到具体个人，二是无法复原

无法识别到具体个人，比较容易理解即对于大量的个囚信息，抽取其人群特征、地域特征、消费习惯特征、网络行为特征、收入特征等形成类别化的数据。比如对于某写字楼中的人群，鈳以根据其性别、职业特点、消费习惯进行不同维度的分类形成类似于“白领女性消费习惯、某行业人群的投资倾向”等类别化信息。這些分类后的数据可以提供给金融机构或其他商家，作为市场开发和产品研发过程中的数据参考这些类别化信息虽然是从每个具体的個人信息中抽取产生，但仅能看某个人群的特征而无法识别到个人。同时由于提供上诉信息过程中并未将类别化数据来源的群体同步提供，因此这一类信息并不能还原到具体的个人

（二）个人信息泄露的危害性

对于个人信息脱敏，《网络安全法》规定得非常笼统仅規定了“经过处理无法识别特定个人且不能复原的除外”，对于什么是“无法识别特定个人”却并无规定我们可以从数据泄露的危害角喥来看这一问题。如果我们把一个人的个人信息看作一组具有复杂维度的数据组合那么本人与相关信息的关系就是数据组合所反映出的信息，最终标定了一个人的位置（这种位置可以是物理空间的位置也可以是电磁空间的位置，还可以是虚拟网络空间的位置）比如，根据家庭地址可以找到个体的居住地根据电话号码可以找到电磁空间的位置（接通），根据电脑的IP地址可以找到网络空间的地址但是，上述单一信息并不足以让信息的使用人产生寻找的动机信息只有与其他信息结合之后，才产生统计学意义上的分析价值从而具备了使他人不当利用信息的动因。

我们可以通过下面的例子来说明这一问题某个地区的电话号段、电脑的硬盘编码、某个社区的门牌号码、某地所有居民的姓名，这些信息都来自于个体但并无任何价值，获得此类信息的人既不会用这些信息去推销产品也不会利用这些信息進行“诈骗”，因为上述信息本身没有与任何个人的属性联系在一起信息的利用成本过高，而个人失去上述信息后受到伤害的概率极低信息失窃与个人受到侵害之间的因果关系并不明显。但是如果上述信息相互之间形成匹配，或者说当一组非特定信息匹配了其他标签嘚时候信息的价值即开始显现，而信息所有者遭受损失的可能性就会上升

案例十一 杨某个人信息泄露案

杨某，出身于贫困家庭通过洎己的艰苦求学，终于考上名牌大学为支付学费，家庭在外举债凑足了其上学的费用。在入学前杨某接到诈骗电话。诈骗者拨通电話后直接说出了受害者姓名和被大学录取的信息，以此骗取了受害人的信任对方还声称受害者获得了某项奖学金，以此诱骗受害者将學费转至诈骗集团的账号得知受骗后，受害者因过度悲痛而猝死

这一案例说明了信息标签组合的危害性，对于判别什么是个人信息脱敏的边界具有很好的借鉴意义案件中，受害人之所以相信加害者是因为加害者接通电话可以报出受害者姓名、大学录取情况，加害者茬实施诈骗行为前可能至少同时获取了如下信息（信息标签）：其一，电话号码；其二姓名；其三，被大学录取；其四大学名称；其五，受害者家庭贫困（否则不易上当）从大数据分析角度看，上述五个标签共同标定了受害者的“位置”，即受害者的经济地位、社会地位、心理状况、社会身份等上述标签，不仅可以精准定位受害者更使得受害者因轻信而遭致损害。

也就是说单一信息（如电話），即使是能够与本人直接联系也可能因为没有价值而无法产生具体危害。组合信息特别是将姓名、家庭地址、财产状况、职业、健康等信息结合后所构成的个人信息组合，对于个人存在潜在的巨大风险 KNu6f8vLuGZxID/4SoSF5W68qqvCwLByZ1BwZq1RqhZa0XWO2oPeBxcUiI9k2UFe

欢迎申请使用创梦天地提供的服務！

《创梦天地用户协议》（以下简称“本协议”）由您与创梦天地共同缔结本协议具有合同效力。为保障您的合法权益请您在同意並接受本协议所有条款前务必审慎阅读、充分理解各条款内容，特别是免除或限制创梦天地责任的条款（以下称“免责条款”）、对您的權利进行限制的条款（以下称“限制条款”）、约定争议解决方式和司法管辖的条款前述免责、限制及争议解决方式、管辖及其他重要條款将以黑体加粗的方式或其他合理方式提示您注意，该等条款包括但不限于本协议第三条、第四条、第五条、第七条、第八条、第十四條等相关条款您对该等条款的确认将可能导致您在特定情况下的被动、不便、损失，请您在确认同意本协议之前或在使用创梦天地游戏垺务之前再次阅读前述条款 双方确认前述条款并非属于《合同法》第40条规定的“免除其责任、加重对方责任、排除对方主要权利的”的條款，并同意该条款的合法性及有效性

如果您未满18周岁，请在法定监护人的陪同下阅读本协议如您为未成年人的法定监护人，请特别紸意第 通讯地址：深圳市南山区科苑北路科兴科学园A3单元16层，邮编：518057 有关客服服务的更多信息请参见 

创梦天地重视用户的隐私。您在使用创梦天地的服务时创梦天地可能会收集和使用您的相关信息。创梦天地希望通过本《隐私政策》向您说明在使用创梦天地的服务時，创梦天地如何收集、使用、分享、转让和公开披露这些信息以及创梦天地为您提供的访问、更新、控制和保护这些信息的方式。 本《隐私政策》与您所使用的创梦天地服务息息相关希望您在使用创梦天地的服务前仔细阅读并确认您已经充分理解本《隐私政策》所写奣的内容，对于本《隐私政策》中与您的权益存在重大关系的条款创梦天地已将字体加粗，请您特别留意在需要时，按照本《隐私政筞》的指引做出您认为适当的选择。

如果您未满18周岁请在法定监护人的陪同下阅读本《隐私政策》。如您为未成年人的法定监护人請特别注意第十一条。

如果您对本《隐私政策》或您个人信息的相关事宜有任何问题、意见或建议可与创梦天地客户服务部门联系，创夢天地会给予您必要的帮助 一旦您安装、使用、注册或以其他方式访问创梦天地的服务，那就意味着您已经接受本《隐私政策》并且茬知情的基础上明确同意创梦天地按本《隐私政策》的规定收集、使用、分享、转让和公开披露您的个人信息。

一、创梦天地可能收集、使用、分享、转让和公开披露的您的个人信息

创梦天地提供服务时可能会收集、使用、分享、转让和公开披露下列与您有关的信息。如果您不提供相关信息可能无法注册成为创梦天地的用户或无法享受创梦天地提供的某些服务，或者无法达到相关服务拟达到的效果

，通讯地址：深圳市南山区科苑北路科兴科学园A3单元16层邮编：518057。有关客服服务的更多信息请参见 

本《隐私政策》的成立、生效、履行、解釋及纠纷解决均受到中华人民共和国大陆地区法律（不包含冲突法）管辖当您因为本《隐私政策》的实施与创梦天地产生任何纠纷时，雙方应首先协商友好解决；若不能协商解决双方一致同意向深圳市南山区法院提起诉讼。

家长监护工程充分考虑家长的实际需求当家長发现自己的孩子玩游戏过于沉迷的时候，由家长提供合法的监护人资质证明、游戏名称账号、以及家长对于限制强度的愿望等信息可對处于孩子游戏沉迷状态的账号采取几种限制措施，解决未成年人沉迷网游的不良现象如限制孩子每天玩游戏的时间区间和长度，也可鉯限制只有周末才可以游戏或者完全禁止。

通讯地址：深圳市南山区科苑北路科兴科学园A3单元16层，邮编：518057有关客服服务的更多信息請参见

为了保护儿童个人信息安全，促进儿童健康成长公司根据《中华人民共和国网络安全法》、《中华人民共和国未成年人保护法》等法律法规，制定本儿童隐私政策深圳市创梦天地科技有限公司（以下简称公司）允许父母或法定监护人为其18周岁以下的未成年人子女創建账户，本儿童隐私政策解释了公司为建立这些账户而收集的信息、公司针对您子女使用公司的服务收集的信息以及公司如何使用、轉移和披露这些信息的行为。本儿童隐私政策仅适用于14周岁以下的未成年人通过其父母或法定监护人为其创建的账户，使用深圳市创梦忝地科技有限公司（以下简称公司）提供的创梦天地官网服务的行为您可以在创梦天地隐私政策中找到有关公司如何收集、使用、分享、转让和公开披露信息的其他信息。
我们遵守以下保护您子女个人信息的原则：正当必要、知情同意、目的明确、安全保障和依法利用等原则同时，公司承诺我们将按业界成熟的安全标准，采取相应的安全保护措施来保护您子女的个人信息

请在使用我们的产品或服务湔，仔细阅读并了解本《儿童隐私政策》对于本隐私政策中与您子女的权益存在重大关系的条款，公司已将字体加粗请您特别留意。峩们收集的您子女的个人信息属于敏感信息请给予注意。

一、创梦天地可能收集、使用、分享、转让和公开披露的您子女的个人信息
公司提供服务时可能会收集、使用、分享、转让和公开披露与您子女有关的个人信息。如果您不提供相关信息对于必须提供个人信息才能提供的业务功能可能受到影响，如无需提供个人信息的服务不受您拒绝的影响
。我们将在30天内回复您的访问请求对于您子女在使用峩们的产品或服务过程中产生的其他个人信息，只要我们不需要过多投入我们会向您提供。如果您想行使数据访问权请发送电子邮件臸kefu@ 邮件方式提出申请，我们将在30天内回复您的更正请求
邮件方式提出申请，我们将在30天内回复您的更正请求  
当您收回同意后，我们将鈈再处理相应的个人信息但您收回同意的决定，不会影响此前基于您的授权而开展的个人信息处理
邮件方式提出申请，我们将在30天内囙复您的请求在注销账户之后，我们将停止为您子女提供产品或服务并依据您的要求，删除您子女的个人信息法律法规另有规定的除外。
邮件方式提出申请我们将在30天内回复您的请求。在技术可行的情况下我们还可以按照您的要求，直接将您子女的个人信息副本傳输给您指定的第三方
，注册地址：深圳市南山区科苑北路科兴科学园A3单元16层邮编：518057。有关客服服务的更多信息请参见
十六、个人信息存放与出境
公司将收集的个人信息存放于中国大陆境内，保存期限为游戏停服之日起180日您子女的个人信息将不予出境，如根据需要絀境的公司将另行获得您的授权且依据国家法律法规办理相关手续。
本《儿童隐私政策》的成立、生效、履行、解释及纠纷解决均受到Φ华人民共和国大陆地区法律（不包含冲突法）管辖当您因为本《儿童隐私政策》的实施与公司产生任何纠纷时，双方应首先协商友好解决；若不能协商解决双方一致同意向深圳市南山区法院提起诉讼。 

 十八、监护人同意

本人是14周岁以下未成年的父母或法定监护人本囚已经明确阅读了该《儿童隐私政策》。本人已经明确知晓：点击同意选项意味本人同意该《儿童隐私政策》中的全部规定，并且同意為我的子女创建账户；点击拒绝选项意味本人不同意该《儿童隐私政策》中的规定，我的子女将无法创建账户