专业解读

本文共一万余字，将拆分为（一）（二）（三）系列篇，三期内容分别包括：

（一）
1. Wi-Fi跟踪技术所获取的信息的法律属性
2. Wi-Fi跟踪技术在行政法下的监管问题
（二）Wi-Fi跟踪技术的民事法律保护问题
（三）针对Wi-Fi跟踪技术保护完善建议

如今，Wi-Fi的应用在社会生活中无处不在，成为相当一部分群体生活中必不可少的一部分。但是，大范围使用Wi-Fi也将为个人信息的泄露带来风险。2025年1月1日，我国《网络数据安全管理条例》正式施行，进一步规范了在网络安全法、数据安全法和个人信息保护法的下位配套规范。2024年，西班牙数据保护局（Agencia Española de Protección de Datos, AEPD）对数据控制者发布了《Wi-Fi跟踪技术数据控制者指南》（简称《指南》）。

系列文章将从Wi-Fi跟踪技术出发，结合Wi-Fi跟踪技术的法律属性，对Wi-Fi跟踪技术（简称“该技术”）处理的行政、刑事、民事法律规范中对于个人信息使用影响产生的问题进行分析及讨论。针对当前该技术行政法规范的不统一性、民事同意原则制定的欠缺、可能带来的刑事处罚等问题，提出行政、民事、刑事法律保护完善的建议，并且根据境外相关法律法规及指南结合我国的实际情况，建议在应用Wi-Fi追踪技术的情况下如何通过严格落实个人信息数据保护影响评估、个人信息匿名化和去标识化处理以及技术手段更好地推动加强对个人信息的保护。

关键词：Wi-Fi跟踪技术、个人信息保护、个人信息数据保护影响评估、个人信息匿名化和去标识化处理、技术手段

研究丨我国个人信息传输在Wi-Fi跟踪技术下的保护（一）

三、Wi-Fi跟踪技术的民事法律保护问题

（一）同意权的形同虚设

根据《个人信息保护法》第十四条规定，处理个人信息需要基于个人同意，该同意应当由个人在充分知情的前提下自愿、明确作出。同时，根据《民法典》第一千零三十五条规定，个人信息的处理应当遵循合法、正当、必要原则。但是在实践中，该技术的使用存在许多争议及问题，尤其是关于数据主体同意的有效性方面。例如，在公共场所使用商家提供的Wi-Fi服务，将会很难确保每个数据主体都在充分知情的情况下同意关于个人信息处理的条款。许多数据主体往往都会在没有仔细阅读和理解条款内容的前提下，为了能够使用Wi-Fi服务，直接点击“同意”按键，这有可能导致所获取的“同意”的有效性出现问题，因为该“同意”行为并不是在真正知情和自愿的情况下作出的。

除了“同意”的有效性外，当前，许多商家虽然为用户使用该技术设置了“同意”按键，但与其搭配的隐私条款政策与其实际经营业务不相符合的情况也是比比皆是，这导致了该技术的提供者仅仅在形式上符合了规定，但是实际上并没有真正保护数据主体的个人信息。例如，一些该技术提供者在隐私条款中承诺不会收集用户敏感信息，但在实际操作中却存在过度收集或未经授权分享滥用个人信息的行为。这种不一致不仅仅违背了设置“同意”隐私条款的初衷，也对数据主体的个人信息安全造成了严重的威胁。

（二）民事救济损害的认定

对于个人信息因受到该技术处理而受到损害的救济方式为民事私益诉讼。2021年1月1日起施行的《民事案件案由规定》中将个人信息保护纠纷作为新的案由新增。但无论是在境内还是境外，相对于传统明显的个人侵权案件，对于“个人信息的非物质损害”的认定有所难度。非物质损害指在短期内无法体现出实质伤害的或者无法带来实质伤害的情况，数据主体在这种情况下将会面临举证困难。

在欧盟境内，奥地利邮政和自然人UI之间便因UI提出的非物质性损害展开了诉讼，奥地利邮政通过统计推断诉讼中的申请人UI可能倾向于某个奥地利政党，除了使UI产生不良情绪外，没有导致其他实质性伤害。根据GDPR第七十五条规定，个人数据处理可能导致自然人权利和自由的风险，风险的程度和可能性各不相同，可能会导致身体、物质或非物质损害，尤其是：处理可能导致歧视、身份盗窃或欺诈、财务损失、声誉损害、个人数据受到专业保密保护的保密性丧失、伪匿名化的未经授权逆转，或任何其他重大经济或社会劣势的情况；数据主体可能被剥夺其权利和自由或无法行使对个人数据的控制权的情况；处理的个人数据可能显示种族或民族出身、政治观点……

在本案中，欧洲法院也明确提出，仅仅违反GDPR并不能直接导致损害赔偿的请求，本着“谁主张谁举证”的观点，UI有责任证明自己受到了损害，损害和行为之间必须存在明确的因果关系。同时，欧盟法院强调了个人信息非物质损害的认定不应过于苛刻，而应根据具体的事实情况进行综合评估。这意味着在确定个人信息非物质损害的程度时，不能简单地依赖于一种统一的严重性标准，而应当考虑到案件的具体背景、受害者的实际情况以及可能产生的后果。这种灵活的评估方式可以更好地满足不同情况下个人信息保护的需求，并确保个人信息权利得到有效保护。

在我国，对于个人信息被侵权案件中的非物质的损害的肯定还在逐渐被接受当中。广州市越秀区人民检察院诉郑某等4人侵犯公民个人信息的民事公益诉讼案【1】是对非物质损害的进一步认定，确定了当非物质性损害达到显著性和客观性标准时，侵权行为与个人信息泄露的外部风险和侵权行为存在因果关系的前提下，需要以侵权人的收益作为标准来确定非物质损害的赔偿数额。

《个人信息保护法》第六十九条明确规定了数据主体有权就个人信息处理行为向法院提起诉讼，寻求相应的法律救济。非物质损害是指因个人信息泄露、滥用或不当处理而遭受的精神损害、声誉损害等非经济性损害，目前数据个人主体对于自身受到非物质损害的认知度普遍不高，同时，在“谁主张，谁举证”的原则下，数据主体将会面临难以举证的情况。因此，对于非物质损害的赔偿标准，在现行法律没有明确规定的前提下，主要依赖于法官的“心证”。越秀区人民检察院的案例，为今后类似案件的处理提供了参考。

（三）监护人的同意

根据共青团中央维护青少年权益部、中国互联网络信息中心（CNNIC）发布的报告显示，2022年我国未成年网民规模为1.93亿人次，未成年人互联网普及率高达97.2%。【2】可见当前我国未成年人对于互联网的依赖以及互联网对于未成年人的日常生活的重要地位。随着互联网的广泛普及以及该技术的应用，未成年人的个人信息保护问题也变得尤其重要。

根据我国《儿童个人信息网络保护规定》，针对未满十四周岁的未成年人，在收集、使用、转移、披露其个人信息的，应当以显著、清晰的方式告知儿童监护人，并且征得儿童监护人的同意。针对未成年人的“同意”，我国《个人信息保护法》也明确规定了处理未成年人的个人信息应当取得监护人的同意，并且采取专门的保护措施。特别是针对于十四岁以下未成年人的个人信息。未成年人的个人信息保护已经被提升到了法律的高度，体现出我国对于未成年人的重视。但是在现实中，确认监护人的有效“同意”存在诸多挑战。

首先，确认监护人同意的有效性将会非常困难。在未成年人使用Wi-Fi时不会主动告知其监护人，导致获得监护人同意的过程变得复杂。同时，有些Wi-Fi在设置连接时会通过默认勾选的方式获取“同意”，这样的方式将难以确保监护人真正地知情并同意。

其次，未成年人使用该技术的行为难以被实时监控和管理。即使在监护人知情或者同意的情况下，也很难保证该“同意”的持续的有效性。在电子设备没有遗忘该技术所提供的网络服务并且该技术提供者修改了隐私条款的情况下，监护人可能并不能了解新的针对未成年人的个人信息的处理方式。

（四）Wi-Fi跟踪技术的刑事法律保护问题

在判定使用该技术侵犯数据主体个人信息权益需要负民事责任还是刑事责任方面，由于我国对于个人信息保护长期秉承“先刑后民”的司法模式，在面对数据主体的个人信息保护方面，民法规范和刑事法律规范在对“个人信息”的认定标准不同，根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（法释〔2017〕10号）的相关规定，对于个人信息的认定采取“识别说”，对于能够单独或者与其他信息结合识别特定自然人作为确定该信息是否属于个人信息的标准，《个人信息保护法》在“识别说”的基础上增加了“关联说”，即与已识别或者可识别的自然人有关的各种信息。因此，在认定究竟是需要负民事责任还是刑事责任的问题上，当前需要由相关机关进行判断。【3】

在量刑方面，根据我国《刑法》第二百五十三条相关规定，未经权利人同意，非法获取、出售或者提供他人个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。也就是说，网络运营者如果在没有取得数据主体的同意的情况下收集、使用个人信息，同样可能构成犯罪。但是在这里，如何理解“情节严重”以及“情节特别严重”成为了值得探讨的问题。根据法释〔2017〕10号第五条规定了认定为“情节严重”以及“情节特别严重”的情形。

由于Wi-Fi跟踪技术在不同的情况下可以收集多种类型的个人信息，包括但不限于行踪轨迹信息、通信内容、征信信息、财产信息、住宿信息、通信记录、健康生理信息、交易信息等，也就是说，按照目前的规定，在案件中，情节的严重性取决于如何衡量不同个人信息种类的数量。同时，当前在刑民处罚方面，存在犯罪事实差异悬殊，量刑差异较小的问题，例如在，秦帅等侵犯公民个人信息案和李光辉侵犯公民个人信息案中【4】，秦帅被认定的侵犯数据主体的个人信息1100多万条，李光辉为1.4万多条，二人在侵犯个人信息数量有显著的差别，但最终秦帅被判处有期徒刑2年，李光辉被判处有期徒刑2年10个月，刑期差距却不大。

笔者认为，对于民刑责任承担方面，相关机关应当在判断标准上进行明确的区分，发布相关解释或指引，区分民事责任与刑事责任。关于量刑的标准还是需要进一步的优化。

首先，从数据主体受到的损害程度来说，通过Wi-Fi跟踪技术所收集的信息是多样化的，如果收集的个人信息虽然数量繁多但是种类各样，并没有达到“情节严重”以及“情节特别严重”的相关规定，在合计也无法达到相关标准的情况下，依然给受害人带来损害的，便会面临难以定罪的后果。有时，个人信息被泄露所带来的损害也并不基于个人信息丢失的数量，往往一条信息的丢失便可给原数据持有人带来巨大的损害。

其次，个人信息的收集并未明确规定对于个人信息的非物质损害的解决方式。在很多实际情况下，个人信息泄露所带来的损害并非仅限于实质性的损害，而是非物质性的损害。虽然对于非物质性损害已经有了支持的判决先例，但是大概率上依然取决于相关机构的自行判断，需要建立解释或指引进行明确。从民刑的量刑标准上来看，当前民事刑事的量刑标准不同意，造成合法与非法、罪与非罪界限愈加模糊，因此需要结合前置法的相关规定，合理调适定罪机制。

（五）Wi-Fi跟踪技术带来的衍生犯罪

通过Wi-Fi跟踪技术可以获取到数据主体的个人信息，因此衍生一系列的犯罪行为，该技术行为属于上游关联犯罪行为。犯罪分子可以利用所获取的信息对数据主体本人或第三者实施电信诈骗。根据《最高人民法院 最高人民检察院 公安部关于办理电信网络诈骗等刑事案件适用法律若干问题的意见（二）》（法发〔2021〕22号）规定，电信网络诈骗犯罪中包含了上下游的关联犯罪。为电信网络诈骗犯罪提供技术支持帮助，形成多层级犯罪链条的，应当被认定为多个犯罪嫌疑人、被告人实施的犯罪存在关联，人民法院、人民检察院、公安机关可以在其职责范围内并案处理。因此，可以理解为，如果是通过该技术获取的个人信息而完成的电信网络诈骗活动，作为该技术的提供者也将会被认作为关联犯罪行为。同时，作为提供该技术本身的行为，还将有可能被认定为《刑法》所规定的窃取或者以其他方法非法获取公民个人信息的行为，被认定为侵犯公民个人信息罪。

在实际操作过程中，提供该技术支持的行为是否构成关联犯罪也需要结合其主观故意、客观行为以及因果关系的情况进行认定。

参考资料

【1】段莉琼, 谭静宜. 广东省广州市越秀区人民检察院诉郑某、任某等个人信息保护公益诉讼案[R]. 广州市:广州互联网法院, 2023.
【2】新华社. 2022年我国未成年人互联网普及率达97.2%[EB/OL]. [2024.7.10].
【3】杨闻,石魏. 民刑衔接下侵犯公民个人信息定罪机制的 检视和调适 ——以内嵌个人法益因素为视角[J]. 山东法官培训学院学报, 2023(271).
【4】最高人民法院. 法（2022）265号[EB/OL]. [2024.7.1].

作者简介

张婷
北京办公室 高级合伙人

业务领域：境内外争议解决、海外上市、国际并购与国际工程、境内外并购与资本市场等
邮箱：zhangting@dtlawyers.com.cn

郭毅佳
北京办公室 律师

业务领域：境外上市、跨境投融资并购、数据出境业务、公司治理
邮箱：guoyijia@dtlawyers.com.cn