专业解读

本文共一万余字，将拆分为（一）（二）（三）系列篇，三期内容分别包括：
（一）
1. Wi-Fi跟踪技术所获取的信息的法律属性
2. Wi-Fi跟踪技术在行政法下的监管问题
（二）Wi-Fi跟踪技术的民事法律保护问题
（三）针对Wi-Fi跟踪技术保护完善建议

如今，Wi-Fi的应用在社会生活中无处不在，成为相当一部分群体生活中必不可少的一部分。但是，大范围使用Wi-Fi也将为个人信息的泄露带来风险。2025年1月1日，我国《网络数据安全管理条例》正式施行，进一步规范了在网络安全法、数据安全法和个人信息保护法的下位配套规范。2024年，西班牙数据保护局（Agencia Española de Protección de Datos, AEPD）对数据控制者发布了《Wi-Fi跟踪技术数据控制者指南》（简称《指南》）。

系列文章将从Wi-Fi跟踪技术出发，结合Wi-Fi跟踪技术的法律属性，对Wi-Fi跟踪技术（简称“该技术”）处理的行政、刑事、民事法律规范中对于个人信息使用影响产生的问题进行分析及讨论。针对当前该技术行政法规范的不统一性、民事同意原则制定的欠缺、可能带来的刑事处罚等问题，提出行政、民事、刑事法律保护完善的建议，并且根据境外相关法律法规及指南结合我国的实际情况，建议在应用Wi-Fi追踪技术的情况下如何通过严格落实个人信息数据保护影响评估、个人信息匿名化和去标识化处理以及技术手段更好地推动加强对个人信息的保护。

关键词：Wi-Fi跟踪技术、个人信息化处理、个人信息数据保护影响评估、个人新信息匿名化和去标识化处理

我国个人信息传输在Wi-Fi跟踪技术下的保护（一）
我国个人信息传输在Wi-Fi跟踪技术下的保护（二）

四、Wi-Fi跟踪技术保护完善建议

（一）降低风险的部分措施

1. 在行政法律保护方面

根据《个人信息保护法》第六十条规定，我国的个人信息保护机构的设置是由网信部门负责统筹协调，政府部门在各自职责范围内负责。目前，各个省市没有专门分管针对个人信息保护的专门机构，各地包括各级网信部门、公安机关、工信部门、市场监管部门等都具有个人信息保护的相关职能，使得监管权限分散，监管标准不统一，在跨省合作时沟通困难，不利于个人信息的保护。

在欧盟的《通用数据保护条例》（GDPR）中规定，欧洲数据保护委员会（European Data Protection Board, EDPB）是欧盟的一个独立机构，负责确保27个欧盟成员国内GDPR的一致性应用，由27个成员国的数据保护机构组成，包括但不限于西班牙的AEPD、荷兰数据保护局（Autoriteit Persoonsgegevens, AP）、瑞典数据保护局（Integritetsskyddsmyndigheten, IMY）、爱尔兰数据保护委员会（Data Protection Commission, DPC）、丹麦数据保护局（Datatilsynet）等【1】。各地的数据保护机构基于GDPR的规定在本辖区内进行细化的个人信息保护规定及监督，并且针对不同的个人信息场景提出更贴近的保护指南。例如，2024年5月，西班牙AEPD针对数据控制者颁布了《Wi-Fi 跟踪技术数据控制者指南》，其中指明了数据控制着需要在处理数据时注意数据主体的基本权利以及面临的风险，详细分析了整个数据处理的过程。为在西班牙使用无线通信技术的数据处理者提供了处理指南。

因此，笔者建议可以在各地建立统一的、专门的个人信息保护机构，以此使得数据主体的权利可以更好地被保护。其次，要对执法标准进行统一，通过《网络安全法》《中华人民共和国计算机信息系统安全保护条例》《计算机信息网络国际联网安全保护管理办法》《互联网安全保护技术措施规定》等法律、法规的规定，结合该技术所造成的后果的实际情况，将不同情况下的处罚标准进行细分以及最后的统一。再次，根据时代的变迁，需要不断更新和明确重点词汇的概念，例如：网络运营者，在不断地发展的社会中，“网络运营者”的概念将会被不断扩展。

2. 针对于民事法律保护问题

第一，对于“同意”有效性的认定，需要有关部门对于数据主体的对于个人信息保护意识加强的教育，使得数据主体在面对可能触发被收集个人信息的情况时提高警惕。同时，相关部门对于该技术的使用者设置的隐私条款定期进行抽查，以保证该技术提供者设置的隐私条款能够真正意义上保护数据主体的相关权益。可以通过简化条款以及显著提示的方式来提高“同意”的有效性。

例如，在实践中，往往隐私条款的内容都非常的繁琐，可以适当简化隐私条款的语言和内容，避免使用晦涩使普通人难以理解的法律术语，使数据主体更容易理解条款的具体含义。同时，在获取敏感信息时，特别设置显著的提示，确保数据主体在同意前明确知道将要处理的个人信息的种类及用途。另外，相关部门督促该技术的使用者加强向数据主体的提示义务。

第二，针对于损害的认定，虽然在实践中已经有认定了个人信息因受到“非物质损害”获得赔偿的相关案例，但是并没有相关专门针对“非物质损害”赔偿办法的法律法规，建议有关部门可以针对其制定有明确规定。第三，针对未成年人“同意”的有效性的认定问题，首先，应当要加大其监护人的责任，增强监护人对于未成年人个人信息的保护意识，其次，该技术的使用者可以通过设置双重认证机制，在收集未成年人信息时，不仅需要征求未成年的同意，还需要经过监护人的双重认证。可以通过发送验证码到监护人的手机或者邮箱来实现该目的，确保监护人知晓并同意个人信息的提供，确保“同意”的有效性。

另外，在针对该技术本身上，根据《未成年人网络保护条例》第十五条规定，学校、社区、图书馆、文化馆、青少年宫等场所为未成年人提供互联网上网服务设施的，应当通过安排专业人员、招募志愿者等方式，以及安装未成年人网络保护软件或者采取其他安全保护技术措施，为未成年人提供上网指导和安全、健康的上网环境。第二十条规定，对于未成年人用户量巨大或者对未成年人群体具有显著影响的网络平台服务提供者，应当建立健全未成年人保护合规制度体系，成立主要由外部成员组成的独立机构，对未成年人网络保护情况进行监督。因此，该技术的提供者可以根据实际情况对于未成年人个人信息的收集。

3. 在刑事法律保护方面

第一，对量刑标准进行优化，将量刑标准与侵犯个人信息所造成的结果的程度相匹配，而不是简单的用数字来进行计算。第二， 针对未成年人的个人信息泄露的事实，制定更加严格的处罚标准，以此来加强对该技术使用者的警示。第三，加强相关部门之间的合作，共同打击涉及个人信息泄露后可能涉及到的信息犯罪，努力一次性解决上游及下游犯罪。第四，如果数据主体在面对私益救济及公权力救济领域都存在困难，可以通过由检察院以公益诉讼的方式来保护公民的个人信息权益【2】。检察机关可以通过明确诉讼条件、诉讼请求以及举证责任，通过引入专家辅助制度来完善个人信息保护公益诉讼制度，为数据主体增添一个保护个人信息权益的渠道。

（二）对于该技术提供者的建议

1. 进行个人信息影响评估（DPIA）

我国《个人信息保护法》第五十五条以及第五十六条明确规定了个人信息处理者需要进行DPIA的情况以及包括的内容，GDPR第35条和36条规定了网络运营者进行DPIA的义务，其中强调，GDPR并不要求对每项个人信息处理都进行DPIA，但是对可能涉及高风险处理的操作要求强制进行。而对于该技术是否需要进行DPIA，应当考虑操作的目的、性质、范围以及背景。在欧盟国家，如果涉及对公众可访问区域使用该技术，DPIA是被强制要求的。我国目前对于应当进行DPIA的情况进行了明确规定。需要事前开展DPIA的情形包括处理敏感个人信息、利用个人信息进行自动化决策、委托处理、向其他处理者提供、公开个人信息、向境外提供个人信息等，以上情形均可能对个人权益产生重大影响，因此，以影响和风险为视角进行评估，也是一种寻求“发展”与“安全”相平衡的方法【3】，不仅能使得网络运营者对于使用该技术时加强自我防范，同时加强了对数据主体的保护。

但是当前，针对DPIA的规定内容比较宽泛，需要进行进一步细化，例如，对于处理敏感的个人信息，无论数量的多少和范围的宽窄，规定都应当事先进行个人信息保护影响评估，但是面对数量特别少的敏感的个人信息依然进行评估的，将会导致企业成本上升，负担过重。因此，需要对评估程序以及内容进行完善,要科学设定DPIA评估程序。借鉴GDPR中的内容，对于评估的必要性、评估所涉及的处理行为、评估是否需要咨询、处理的必要性和合理性、识别评估风险、减轻风险的措施、签署并保存评估结果、将评估结果融入处理计划和持续复查方面进行分析。

我国《信息安全技术个人信息安全影响评估指南》中也规定了个人信息安全影响评估实施的流程：第一，进行评估必要性分析；第二，做评估准备工作；第三，进行数据映射分析；第四，风险源识别；第五，个人权益影响分析；第六，安全风险综合分析；第七，制作评估报告；第八，风险处置和持续改进；第九，制定报告发布策略。

针对于就该技术进行DPIA：

• 第一，该技术的提供者首先应当对于评估的必要性进行分析，明确该技术应用的场景以及目的，例如，该技术收集的个人信息是为了用于顾客流量分析还是用于公共安全监控等，以及是否存在其他为达到目的更为适合且风险较小的替代方案；

• 第二，需要进行评估准备工作，包括收集相关法律法规和行业标准，确保评估过程中采用的标准和方法符合国家和行业的要求。在有必要的情况下。可以组建专门的评估团队；

• 第三，识别并记录Wi-Fi追踪过程中所收集的所有个人信息，包括MAC地址、位置数据、时间戳等。通过数据映射分析，了解数据的收集、存储、传输和处理流程，确保数据的处理过程透明化；

• 第四，进行风险源识别。分析Wi-Fi追踪技术可能带来的隐私风险。例如，数据泄露、未授权访问、数据滥用等；

• 第五，进行个人权益影响分析。评估Wi-Fi追踪技术对个人隐私权、信息自主权等权益的影响。特别是应当关注技术应用过程中可能对弱势群体带来的影响，如儿童、老年人等；

• 第六，进行安全风险综合分析。综合评估Wi-Fi追踪技术在技术、管理和组织层面的安全风险。例如，是否存在技术漏洞、管理措施是否到位、员工是否接受了充分的培训等；

• 第七，制作评估报告。根据以上分析结果，制作详细的个人信息影响评估报告。报告应包括评估过程、发现的风险、采取的风险缓解措施等；

• 第八，进行风险处置和持续改进。针对评估中发现的风险，制定并实施相应的风险处置措施。同时，建立持续改进机制，定期审查和更新评估结果，确保评估工作能够适应技术和环境的变化；

• 第九，制定报告发布策略。明确评估报告的发布策略，包括报告的公开范围、发布时机等。对于公众和相关利益方，应当通过适当的渠道进行信息披露，以增加透明度和信任度。通过上述步骤，能够确保该技术在应用过程中，个人信息的处理过程符合法律法规的要求，并且最大程度地保护数据主体的合法权益。同时，科学地帮助企业在保障数据安全的前提下，合理控制成本和负担，实现技术应用和个人信息保护的平衡。

2. 个人信息匿名化和去标识化处理

我国《个人信息保护法》规定，个人信息不包括匿名化处理后的信息。是否成功将信息匿名化，取决于信息经过处理后是否可以识别特定自然人且不能复原，而去标识化是指个人信息经过处理，在不借助额外信息的情况下使得其无法识别特定自然人的过程。AEPD在其官网上为数据控制者提供各类工具，指导数据处理者对于个人信息进行匿名化处理。他们指出，数据匿名化的处理可以降低数据主体所承担的风险，越早进行匿名化处理，被成功匿名化的可能性就越高，建议在获取个人信息后进一步处理前就进行匿名化处理。

在匿名化处理后，数据控制者必须通过由第三方对于收集的数据进行分析和实际测试确定数据集不可能再被重新识别。如果数据可以在某些条件下被重新识别，该类数据便被认为没有被成功匿名化处理。因此，建议在我国实行匿名化处理后，为了保证信息的成功匿名化，由专业第三方介入来进行判定。

另外，《信息安全技术个人信息安全影响评估指南》提出，对于评估个人信息匿名化和去标识化有利于保护数据主体的个人信息权益，但是如果数据接收方借助额外的信息和技术手段进行重标识，将会使得个人信息再次得以被识别。重标识攻击通常会采用筛选、关联、推断的方法来进行：筛选将会将属于一个个人信息主体的记录筛选出来以确定其身份；关联将会从不同数据集中将关于相同个人信息的主体的信息关联；推断的方式将会通过其他属性的值以一定概率推断出一个属性的值。

来判断个人信息的匿名化以及去标识化是否达到想要的效果时，可以从匿名化和去标识化的过程以及采用的技术、判断匿名化后的个人信息是否为统计型结果、去标识化的个人信息能否达到使用目的、匿名化和去标识化后的个人信息使用场景、委托第三方进行时候对其采用的方案及数据安全保障能力的评估、能够在公开渠道或数据交易组织获得类似个人信息以及未经去标识化或者匿名化处理保留的个人信息类型的内容的特殊性判断。

因此，该技术的提供者在提供该技术时，应当注意对所收集的个人信息的匿名化以及去标识化的处理。首先，应确保在数据采集阶段就对个人信息进行必要的处理，使其在后续的数据使用过程中难以被识别。其次，应采用当前最先进的匿名化和去标识化技术，并不断更新和优化处理方法，以应对技术进步带来的新挑战。第三，该技术的提供者应依照《个人信息保护法》及《信息安全技术个人信息安全影响评估指南》的相关规定，制定和实施完善的数据保护流程及行为，确保每一步操作都符合法律和行业标准。

此外，该技术的提供者可以主动与第三方专业机构合作，对匿名化和去标识化处理的效果进行独立评估和验证。通过这种方式，可以更客观地判断数据是否真正无法被重新识别，并提升数据主体对其个人信息安全的信任度。同时，在技术实施过程中，该技术的提供者应加强内部管理和员工培训，提升全员的数据安全意识，确保每个环节都有人负责和监督，防止因操作不当导致信息泄露。

最后，该技术的提供者还应建立透明的沟通机制，让数据主体了解其个人信息的处理流程、匿名化和去标识化的技术手段及其效果评估结果。通过这种方式，不仅能增强数据主体的信任，还能提升企业的社会责任感和品牌形象。在大数据时代，只有在保障个人信息安全的前提下，数据的价值才能真正得以发挥，为社会和经济的发展贡献更多的力量。

3. 技术手段

（1）进行MAC地址的“屏蔽”

根据我国《信息安全技术个人信息安全规范》（GB/T 35273-2020）中对于个人信息的相关举例，设备MAC地址属于个人信息中的个人常用设备信息中的一个类型。“屏蔽”是处理个人信息时广泛采取的一种技术措施。当设备连接到Wi-Fi时，设备中的所有信息都是通过识别设备本身的MAC地址来启动。MAC地址通常有24位用于识别制造商，另外24位由制造商自由分配。AEPD在其指南中建议，为了避免个人信息被识别，可以只使用MAC地址的一个片段。因此我们可以借鉴该建议，在使用该技术的同时，数据主体可以对MAC地址的片段进行调整隐藏，以此来使得该技术的使用者无法识别个人信息。

（2）解除数据关联性

为了进一步保护个人信息，可以将每个不同Wi-Fi设备中的标识符由盐和哈希值替代，并在每12或24小时进行变化。在每次生成新的盐时，过去的历史记录将被自动丢弃和删除。这种方法不仅增加了数据的安全性，还有效地减少了数据被重新识别的风险。

（3）分组记录数据

在很多情况下，数据控制者希望获得的结果有时仅需要收集部分数据即可获得。例如，要获得博物馆内人们的主要活动轨迹的热图，并不需要唯一的识别信息，只需要进行简单的统计记录即可。这样分组记录数据的办法可以在不侵犯个人隐私的前提下，达到数据收集和分析的目的，

（4）数据最小化处理

AEPD在指南中建议数据控制者在处理数据时遵守GDPR中数据最小化原则，具体而言，可以限制Wi-Fi的跟踪区域，避免该技术进入私人区域；隐藏与SSID相类似的信息；防止从物联网传感器、人体/健康植入物等设备获取数据。通过这些措施，可以有效减少不必要的数据收集，降低隐私泄露的风险。

（5）设置数据保留期

有效限制个人信息的保留期非常重要，非匿名与匿名的个人信息可以分别进行规定，确保在不再需要这些数据时及时删除，从而降低数据泄露的风险。

（6）保证个人信息处理的透明度

数据控制者和数据处理者必须遵守GDPR中第5(1)(a)条中的合法、公正和透明性原则。在某些情况下个人信息的处理可能不会被数据主体所察觉，因此需要通过清晰易懂的方式来向数据主体进行报告包括但不限于以下信息：数据控制者的身份和联系方式、数据保护官的联系方式、处理的目的和法律依据、数据控制者或第三方的合法利益、个人信息接收者的类别、计划的信息跨境流动、数据保留期限、知情权、访问权、更正权、删除权、可携带权等。

（三）Wi-Fi跟踪技术与人工智能（AI）

该指南中还提及了在运用该技术处理个人信息时可能会结合AI的情况。针对上述情况，对于个人信息的处理除了要遵守GDPR外，还需要受到《人工智能法案》（AIA）的监管。AIA是对GDPR的补充。如果在对个人信息的处理经过DPIA后认作为高风险，数据主体有权要求获得有关AI在决策过程中的作用以及对所做决定的主要内容的明确解释。同时，在涉及运用AI收集数据的情况时，除了遵守GDPR规定外，还需要遵守AIA法案，从而有效保障数据主体的权利和自由，增强企业的国际市场竞争力和可信度。

当前，AI在我国被广泛地应用于各领域之中，包括了当前最火热的“数据资产入表”话题，AI可以更快且更好的对数据进行研发。但是在利用AI的同时，也需要注意使用的合规性，同时需要注意在面对高风险的AI系统时对其的评估与认证【4】。

在该技术的提供者向数据主体提供该技术涉及到AI系统时：

第一，应当注意进行技术的合规性审查及评估，确保系统符合相关法律法规，特别是对于高风险的AI系统，建议进行详细的DPIA，采取适当的措施进行风险的降低。

第二，确定数据主体拥有了解AI在决策过程中行为的权利。在无法了解的情况下，根据《网络数据安全管理条例》第二十四条相关规定，网络数据处理者在使用自动化采集技术时，如果无法避免收集到非必要的个人信息，或者未依法取得个人同意的个人信息，必须删除这些信息或进行匿名化处理。而且，如果删除或匿名化处理在技术上难以实现，且法律、行政法规规定的保存期限未到期，网络数据处理者应当停止除存储和采取必要的安全保护措施之外的其他处理活动。当该技术结合AI进行了非必要的个人信息的收集或在未取得明确同意的情况下，必须根据上述规定对个人信息进行相应处理。

第三，在AI系统的设计以及应用的过程中，需要考虑公平性和非歧视性，避免在数据处理和决策过程中引入偏见和歧视。

第四，该技术的提供者应当确保如果使用该技术出现问题，可以迅速识别并采取纠正措施，应当及时检查、监控和评估系统始终符合合规性和道德标准。通过以上措施，该技术的提供者可以在保护数据主体个人信息的前提下，利用AI技术实现数据价值的最大化，从而增强自身的竞争力。

参考资料：

【1】European Commission. European Data Protection Board[EB/OL]. [2024.7.12].
【2】郭一帆. 个人信息保护公益诉讼制度的完善路径[J]. 法制博览, 2023(18).
【3】姚相振. 实施个人信息保护影响评估， 推动个人信息保护“关口前移”[J]. 《中国信息安全》, 2023(3).
【4】谭镕, 宋薇萍. 同济大学副教授陈吉栋：人工智能数据生产者应建立全流程合规管理体系[N]. 上海证券报, 2024.7.11(007).

作者简介

张婷
北京办公室 高级合伙人

业务领域：境内外争议解决、海外上市、国际并购与国际工程、境内外并购与资本市场等
邮箱：zhangting@dtlawyers.com.cn

郭毅佳
北京办公室 律师

业务领域：境外上市、跨境投融资并购、数据出境业务、公司治理
邮箱：guoyijia@dtlawyers.com.cn