海华视点｜从行程码下线谈个人数据保护

再见了，行程码！

12月13日0时起，由中国信息通信研究院开发、运营近三年的“通信行程卡”（行程码）正式下线。

历史的车轮滚滚向前。三年了，我们终于迎来了与行程码的告别。很多人也在自己的 交媒体中发图感慨：“三年的陪伴留个纪念”，“打卡Mark一下，记录一段人生的经历”，“正式与行程卡做个告别吧，希望不要再相遇”……

同日，上海发布也发布了“持续优化调整相关疫情防控措施，除特定场所外，不再要求查验随申码，扫场所码”的通知。

这样看来，健康码和场所码或许也离下线不远了。

行程码利用手机数据来获取用户位置，显示用户过去14天（后改为7天）到过的国家、地区以及城市信息。通过一个人的行程码，就可以掌握其大致的“行踪”。而与行程码相比，健康码以及各类小程序包含的个人数据信息就更多了，比如使用者的姓名、性别、身份证 、联系方式、支付宝/微信账 、出行轨迹、到访场合、核酸证明、疫苗接种记录等信息，有些省市的健康码小程序还会采集使用者的个人照片。通过一个小小的二维码，就可以将一个模糊的个体具象化。此外，有些机构不仅要求提供行程码、健康码，还要求来访者扫码填写其自行开发设计的“防疫信息卡”，这类信息卡收集的用户信息则更为详细。

防疫抗疫三年来，各部门、各商业机构通过健康码、行程码等大数据工具，在全国范围内收集了无数民众的个人数据，这些数据涉及14亿人的数据隐私和安全。当下，行程码已经完成了其历史使命，其收集和处理个人信息的目的已经不再必要，包括行程码在内的大数据工具收集的海量个人数据如何处理，成为了我们迫切需要关注的问题，它与我们每个人的数据安全息息相关。

行程码宣布下线后，三大运营商在第一时间表明了其保护用户个人信息的积极态度：将会同步删除相关数据，依法保障个人信息安全。然而对于删除的具体规则，如删除的是哪些“相关数据”，未被删除的保留数据是否会进一步做脱敏处理，用户如何确认自身的数据已被删除等信息并未做进一步的解释或说明。

根据欧盟GDPR的规定，数据主体拥有包括知情权、访问权、修正权、删除权（被遗忘权）和限制处理权（反对权）、可携带权和拒绝权在内的七项数据权利，这七项权利旨在将个人数据的控制权返还给用户。当以下情形之一发生时，即使数据不具有违法或者违约的特性，数据主体也可以基于被遗忘权，向数据控制者主张删除其数据信息：（1）数据的存在不再被需要；（2）数据主体不再同意；（3）数据储存期限届满。此外，数据主体还可以要求数据控制者负责将其已经扩散出去的个人数据，采取必要的措施予以消除。

在我国，根据《 络安全法》第四十三条规定，个人发现 络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求 络运营者删除其个人信息；发现 络运营者收集、存储的其个人信息有错误的，有权要求 络运营者予以更正。 络运营者应当采取措施予以删除或者更正。

从该条规定中我们可以看出，我国现行法律只赋予了数据主体传统意义上的删除权，而对于 络经营者依约合法收集、合法使用的个人数据，数据主体并不直接享有要求其删除和被遗忘的权利。

国务院联防联控机制综合组在2021年1月印发的《新冠肺炎疫情防控健康码管理与服务暂行办法》第二十四条中，明确规定要加强个人隐私保护，为疫情防控、疾病防治收集的个人信息，不得用于其他用途；第二十九条也明确指出，任何组织和个人发现违规违法收集、利用、公开个人信息的行为，可以及时向 信、公安部门举 。

实际上，在使用包括行程卡在内的一些搜集个人信息的小程序时，我们会发现，必须要先“同意并授权” 络运营商进行查询收集，才能进入到正式使用界面。也就是说，数据收集者必须确保此次数据的收集和使用是获得了用户许可的，是基于双方的约定进行的数据查询和收集。在这种情况下，一方面，即使数据主体理解了标准隐私条款后并想要做些修改，这些小程序也没有给用户提供修改的途径或其他的选项，此时，处于相对劣势地位的数据主体只能“被迫”同意这些条款；另一方面，由于数据收集和使用是基于双方约定，在 络运营者未违反法律法规的情形下，数据主体也不享有要求 络运营者将其个人数据予以删除的权利。

由于行程码、健康码等大数据工具收集了大量的个人隐私信息，我们建议应该尽快出台相关的数据删除和遗忘机制。数据控制者不仅要在数据的收集、处理及使用中满足匿名化等隐私要求，也要尽量减少敏感数据存储位置的数量并及时删除无关的数据，如场所码信息，个人行动轨迹等信息，防止个人信息敏感数据的泄露和非法利用。如果这些数据被非法利用，广大用户极有可能会受到诈骗等不法行为的困扰，后果不堪设想。

那是不是收集来的信息不删除，数据控制者就可以对这些个人数据为所欲为了？

答案当然是否定的。

《个人信息司法解释》第一条：刑法第二百五十三条之一规定的“公民个人信息”，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件 码、通信通讯联系方式、住址、账 密码、财产状况、行踪轨迹等。

《刑法》第二百五十三条之一规定，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。

单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

如（2022）豫1523刑初195 中，被告人蔡某经营“新县箭厂河中国移动专卖店”，与中国移动通信集团河南有限公司信阳分公司签订了业务代理合同。2021年5月至2021年7月，被告人蔡某为谋取非法利益，利用其提供承办移动开卡开户及修理手机等工作中的便利，在客户不知情的情况下，以每条注册软件验证码1.5元到20元不等的价格，将非法获取的前来修理手机及办理业务的中老年人的手机 码及验证码等个人信息发送给其上线，其上线经过检测后利用该信息注册抖音、国 、微信、淘宝等软件，蔡某共向其上线发送他人300余个手机 码、500余条验证码信息，非法获利3000余元。构成侵犯公民个人信息罪，判处有期徒刑二年，缓刑三年，并处罚金人民币五千元。

《数据安全法》第三十二条规定，任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。法律、行政法规对收集、使用数据的目的、范围有规定的，应当在法律、行政法规规定的目的和范围内收集、使用数据。

如（2019）粤0104刑初1091 中，2013年5月成立北京瑞智华胜科技股份有限公司，主要经营精准广告营销业务，瑞智公司通过关联公司与运营商合作的机会，获取运营商服务器登录许可，并通过部署SD程序，从运营商服务器抓取采集 络用户登录淘宝、微博等平台的账户密码数据，将该数据保存在运营商redis数据库中，接着，利用研发的爬虫软件、加粉软件，远程访问redis数据库中的数据，非法登录 络用户的淘宝、微博等账 ，进行微博淘宝账 强制加粉，爬取淘宝订单等行为，从中牟利。瑞智公司发现浙江淘宝 络有限公司在调查订单被爬的情况，遂将运营商服务器的数据删除。经鉴定，SD程序运行后可以实现对指定的 卡 络传输流量数据包进行获取并解析的功能；淘宝爬虫程序运行后可以绕过系统保护措施，提取出淘宝订单信息；淘宝加粉程序运行后可以实现绕过系统保护措施获取用户信息，并对指定淘宝账 添加好友。经法院审理，瑞智公司及7名直接负责的主管人员、直接责任人员，侵入淘宝 的信息系统，获取该系统中用户及订单数据，犯非法获取计算机信息系统数据罪。

此外，根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第三条规定，向特定人提供公民个人信息，以及通过信息 络或者其他途径发布公民个人信息的，应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。

未经被收集者同意，将合法收集的公民个人信息向他人提供的，属于刑法第二百五十三条之一规定的“提供公民个人信息”，但是经过处理无法识别特定个人且不能复原的除外。

因此，如果数据控制者将合法收集的公民个人信息直接提供给他人，也会构成刑事犯罪，受到相应的刑事处罚。如（2022）皖1322刑初521 中，张某作为一个通讯营业员，违反国家有关规定，将其提供服务的过程中获得的公民个人信息出售给他人，情节严重，构成侵犯公民个人信息罪，判处有期徒刑六个月，缓刑一年，并处罚金人民币三千五百元。

随着科技的发展，我们的信息越来越多以“数据”的形式而存在，那么，个人数据安全也就成为个人信息安全的重要一部分。在此，我们也强烈建议大家手动检查一下自己支付宝和微信等软件的授权情况，看看是否有以前授权过不再使用或者根本不知道的服务，取消不必要的授权，进一步保护自己的个人信息安全。

律师介绍

盖晓萍  

海华永泰高级合伙人

盖晓萍律师是上海市律协法律合规专业委员会副主任，上海仲裁委仲裁员，中小企业合规标准起草人，获评“长宁区优秀律师”、“长宁区十佳律师”荣誉。长期致力于以公司为服务主体的法律实践，熟悉并擅长公司治理、企业风控与合规、劳资关系、股权激励、股权投融资、合同管理、改制重组、破产清算等非诉讼事务，善于多视角分析和解决问题。现在担任华东政法大学、上海政法学院兼职教授，出版《公司诉讼律师实务》《公司法务实务操作指引》《公司章程设计指引》等多部实务著作。

王梦如雪

律师助理

毕业于伦敦大学学院，主要从事公司法、建设工程和数据合规法律实务研究。