2021年11月1日，中国第一部个人信息保护的专门法律《个人信息保护法》 (“《个保法》”)正式实施，全社会对数据安全和个人信息保护的关注达到了空前的高度。《个保法》对个人信息的规制延伸到各行各业，知识产权领域也不例外。

以知识产权维权取证为例，知识产权权利人（“权利人”）在维护自身合法权利的过程中，不可避免地会处理（收集、使用、存储、跨境传输等）涉嫌侵权人的个人信息。通常，权利人一般最先察觉的是侵权产品或所谓侵权行为，但如果想要进一步收集证据确认侵权并采取相应的法律行动，则往往需要预先对涉嫌侵权行为进行调查并确定侵权行为人的相关信息。在《个保法》正式实施的情况下，权利人最为关心的问题是，权利人对侵权嫌疑人的个人信息处理是否还能够继续进行？《个保法》的实施对其权利人维权取证究竟有哪些影响或者限制？如果有，权利人应该采取哪些措施以降低相关的《个保法》的合规风险以及侵权人可能基于“侵犯个人信息权”而对权利人收集使用其个人信息的行为发起的挑战。

• 权利人对侵权嫌疑人的个人信息处理是否还能够继续进行？

原则上，权利人对侵权嫌疑人的个人信息处理还是可以继续的。仅从《个保法》的立法意图来看，《个保法》的目的是保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用。《个保法》不是单纯过度强调对个人信息的保护，而忽视社会和公共利益的实现。相反，《个保法》实际上涉及了个人信息主体、个人信息处理者和公共利益三方面的利益关系。新法下，在个人信息收集阶段，并没有实质变化，原来合法的收集手段，现在仍应该是可以适用，只是对“合法性”的定义，更为明确。但在存储、使用、跨境传输、提供、公开等环节，与之前不同，《个保法》设定了较为具体的标准和限制。总体而言，个人信息的处理行为应该具有合法性基础，并符合合法、正当、必要和诚实信用的原则。

知识产权是一种无形财产，是人类智力劳动成果的体现。而互联网的发展、高新技术产业提升和新商业模式层出叠现，使目前的知识产权侵权行为，尤其是著作权领域，变得越来越隐蔽和复杂，这就使权利人的侵权调查取证变得越来越困难。在侵权调查取证过程中，往往涉及到自然人的介入，无论是侵权产品销售者、传播者，还是侵权产品的实际生产者、组织者，都不可避免的有自然人的参与，而对涉案的自然人的个人信息的收集处理也成为权利人调查取证和制止侵权行为的必需。在此过程中，《个保法》对一般领域适用的原则、规则，也同样适用于知识产权领域。但不同于《个保法》规制的大部分个人信息处理者，对于权利人调查侵权行为过程中处理个人信息，在绝大多数情况下，是无法取得个人信息主体的“同意”的，这就需要权利人从《个保法》第十三条“取得个人的同意”的例外情形着手，找到其收集涉嫌侵权人的个人信息的合法性基础，并且在合理和必要的范围处理。

另外，《个保法》在个人信息的存储、使用、跨境传输、提供、公开等环节，都设置定了较为具体的标准和限制。特殊情况下， 比如向第三方提供个人信息，公开个人信息，处理个人敏感信息，向境外传输等，还需要个人的“单独同意”。但对于权利人非经侵权人“同意”而收集的个人信息，如何进行存储、使用、跨境传输、提供和公开等，仍是一个非常值得讨论的话题。原则上，对于该等信息，可以在“合理的范围内处理”^[1]，个人明确拒绝的除外。处理已公开的个人信息，对个人权益有重大影响的，应当取得个人同意。但对于何谓“合理的范围”和“重大影响”，仍需要配套法律以及司法解释的进一步明确。在此之前，启信宝的一般人格权纠纷案件的判决[2]可以作为参考。启信宝转载中国裁判文书网和人民法院公告网的内容和再次公开行为是否违反正当性和必要性原则、是否对所涉自然人值得保护的重大利益造成影响，应更多考量个人信息主体对其个人信息传播控制的权利及其对个人利益影响程度的评判。该案中，法院认定启信宝收到伊某多次要求后仍未及时删除相关裁判文书和公告文书，其后续就业及生活等造成了重大影响，启信宝的行为有悖于伊某对已公开信息进行传播控制的意思表示，违反了合法性、正当性和必要性原则，应该认为对伊某构成重大利益影响，侵犯了其个人信息权益。

• 《个保法》的实施对其权利人维权取证究竟有哪些影响或者限制

如上所述，《个保法》正式实施之后，对相应的个人信息处理行为都有更为明确的规范和约束。作为个人信息的处理者，权利人要在法律规定的范围内，遵循合法、正当、必要和诚实信用的原则处理个人信息。具体影响和限制反映在以下几个方面：

1. 处理个人信息要有合法性基础

涉及权利人调查取证，《个保法》除“同意”外的最直接的合法性基础为第十三条第一款第（六）和第（七）项，即“（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；（七）法律、行政法规规定的其他情形。” 这两项规定，实际上已经很大程度上解决了权利人收集涉嫌侵权人的个人信息的合法性问题。因为，大部分的个人信息都是从已经合法公开的信息中收集来的，例如，中国知识产权局商标局、专利局以及国家版权局数据库公开的信息、法律裁判文书网、国家企业信用网、各个政府网站、天眼查、涉嫌侵权人的自己的网站、网店等。

另外，《民法典》第一千零三六条第一款（三）项也规定“处理个人信息，有下列情形之一的，行为人不承担民事责任: (三)为维护公共利益或者该自然人合法权益，合理实施的其他行为。”

但在实践操作中，对某些个人信息处理行为的合法性，存在一些争议或者不确定性。例如，在计算机软件侵权案件中，因侵权行为极为隐蔽，侵权证据一般存储在侵权方的电脑上，取证难度极大。软件权利人试图通过使用Telnet发送指令或软件内置程序，自动向权利人发送软件激活/使用的信息等技术方式试图收集侵权人的信息。在《个保法》实施之前，已有北京[3]、江苏^[4]、广东^[5]等地的法院，认可了通过Telnet类远程取证方式的证明效力，主要原因是上述法院在具体案件中认可了该种取证获得的反馈信息与侵权行为之间存在高度盖然性的联系。但从《个保法》的角度出发，该种取证手段是否合法，仍需要进一步的审查。主要涉及的问题包括：通过Telnet指令或类似技术反馈的信息具体包含了哪些个人信息，是否超出了调查和制止侵权的合理范围？其合法性基础是什么？

值得注意的是，《个保法》第六十九条第1款采用了过错推定原则。在侵犯个人信息民事案件中，如果个人信息处理方不能证明自己没有过错，应当承担损害赔偿等侵权责任。因此，权利人一旦因取证行为涉诉，最重要的是能够提交证据证明获取个人信息的合法性。如果权利人无法提供相关证据，则需要承担举证不能的不利后果。

  仍以上述使用Telnet发送指令或软件内置程序收集侵权人信息为例，如果涉诉，权利人需要证明其合法性，权利人的软件使用协议（Terms & Conditions）是否说明其软件安装了Telnet指令或类似内置程序并明确告知了使用人；通过该程序，具体会收集哪些个人信息。如果没有该等协议说明，也未取得使用人的“同意”，权利人能否以《民法典》第一千零三十六条的“为维护公共利益”或者《信息安全技术 个人信息安全规范》（GB/T 35273—2020）第5.6条规定的“维护其他民事主体的合法权益”为抗辩理由，证明其合法性。虽然《个保法》很大程度上借鉴了欧洲的《一般数据保护条例》（GDPR），但并未明确将GDPR中的“处理对于控制者或第三方所追求的正当利益是必要的”^[6]列为合法性/免责情形。上述《民法典》的“为维护公共利益”规定过于宽泛。而对于《个人信息安全规范》，只是一个国家推荐标准，非强制性规范，并且是早于《个保法》发布的，对于具体应用，仍存在疑问。但按照《个保法》的立法意图和原则以及以往类似的司法案例来看，如果通过Telnet指令或软件内置程序等技术仅是用于维护权利人的合法权益并无不正当性，没有法律法规明确禁止，并且仅在合理范围内搜集侵权人的必要个人信息（如电子邮箱、IP地址等），并未损害社会公共利益和他人合法权益，应该认为其行为合法，但仍期待司法案例的进一步检验。

2. 获取的个人信息不得超过必要范围

根据《个保法》第六条2款规定，收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。权利人在取证过程中，可能会因为获取信息的范围造成争议。

因目前还未出现知识产权领域侵权个人信息权案件出，以下文其他个人信息损害民事纠纷案件为例。在该案中，虽然法院并未支持原告的请求，但该案表明因取证超过必要的范围而涉诉的可能性较大，应予以避免。

原告李某某发现，被告周某作为诉讼律师，在前诉抚养费纠纷案件中持律师调查令，调查的范围为原告李某某的“工资账户收入明细”，但被告持令调取的证据不仅包括收入明细，还包括消费支出及其他往来。据此，原告认为被告损害了其个人隐私权益，遂诉至法院[7]。

3. 使用合法获取的个人信息不得超过必要限度

权利人提交的证据材料中，如果包含与案件待证事实或证明目的无关的个人信息，即便是通过合法途径获取，也可能违反《个保法》第六条1款的相关规定而被认定为违法。比如，权利人可能为证明相关权利曾经收到保护，而在案件中提交在先的判决/裁定/协议等材料，其中可能包含其他侵权方的个人信息，尤其是身份证号、家庭住址等敏感信息，这就属于不必要地使用个人信息。

4. 保存个人信息期限超过合理限度

《个保法》规定，除法律、行政法规另有规定外，对个人信息的保存期限应当为实现处理目的所必要的最短时间。例如《电子商务法》规定，商品和服务信息、交易信息保存时间自交易完成之日起不少于三年。而《网络游戏管理暂行办法》对于发行网络虚拟货币的，保存用户间的交易记录和财务记录等信息不得少于180日。如果权利人以调查侵权行为提出民事侵权诉讼为目的，收集的必要个人信息应保存至少三年（符合民事案件诉讼时效的规定）。如果权利人合法获取并处理的个人信息在达到使用目的后（如案件结案并彻底执行完毕），仍由权利人长期持有的，侵权方得知后可能会依据《个保法》第47条要求权利人删除个人信息。对于可以完全排除嫌疑的个人主体信息，应立即删除。

5. 共同处理、委托处理及向他人提供个人信息

《个保法》明确规定，在涉及共同处理、委托处理时，各方应就处理目的、处理方式和个人信息的种类等，进行相应的权利义务的约定。委托处理不得超出原有的范围，未经允许也不得转委托。个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。

6. 个人信息的跨境传输应具备的条件

《个保法》的第三十八条对个人信息跨境提供作出了相关规定，个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应具备下列条件之一：

（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；

（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；

（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；

（四）法律、行政法规或者国家网信部门规定的其他条件。

原则上，在权利人业务必要的情况下，应满足上述任意一条，才可进行个人信息的跨境传输活动，并且在这之前，应事前进行个人信息保护影响评估。

• 权利人应该采取哪些措施以降低相关的个人信息保护合规以及侵权风险

1. 权利人应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失：
2. 制定内部管理制度和操作规程；
3. 对个人信息实行分类管理；
4. 采取相应的加密、去标识化等安全技术措施；
5. 合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；
6. 制定并组织实施个人信息安全事件应急预案等；
7. 法律、行政法规规定的其他措施。

具体合规要求，建议参考《信息安全技术 个人信息安全规范》（GB/T 35273—2020）以及《个人信息处理法律合规性评估指引》（T/CLAST 001.1-2021）的相关规定。

2. 对已收集的个人信息进行审计、评估并制定合法化收集个人信息的相应内部指南

• 权利人应对个人信息的来源进行审计，确定其是否是合法来源。 对于确定是非法来源的个人信息的证据，应予以删除或做匿名化处理。
• 制定合法化收集处理个人信息的相应内部指南，使用合法手段收集证据，包括但不限于以下方式：

1. 充分利用个人自行公开或者其他已经合法公开的个人信息

事实上，网络上存在大量已合法公开的个人信息，都具有可识别性，权利人可以在合理范围内使用，这也是《个保法》第十三条第一款6项所称“依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”。

但需要注意的是，在特定范围内公开的个人信息，例如通过非公开的社交软件（如微信朋友圈）公开的信息是否构成《个保法》十三条第一款（6）项的合法情形，目前存在一定争议，需要个案具体分析。

1. 以建立交易的方式取得个人信息

 根据《最高人民法院关于知识产权民事诉讼证据的若干规定》第七条第1款规定，以普通购买者名义向被诉侵权者购买侵权物品索取的实物、票据等可以作为起诉侵权的证据。因此，权利人以普通购买者身份与侵权方建立交易的方式，所取得的证据以及其中保护的必要个人信息，应当属于合法的取证行为。

 在极少数的情况下，权利人为固定侵权证据，在交易的同时，不得不采取虚构身份、偷拍偷录等方式进行，这种超过一般交易范围的手段是否仍可以免责目前没有直接的法律规定。参考最高人民法院做出的(2006)民三提字第1号案件，目前司法实践中似乎仍认可该种使取证方式。该案件中，权利人作为原告化名与被告公司联系购买设备，并要求安装盗版软件。在再审判决中，最高院认可了权利人相关证据的合法性，称“其目的并无不正当性，其行为并未损害社会公共利益和他人合法权益”，并进一步指出“由于社会关系的广泛性和利益关系的复杂性，除另有明文规定外，法律对于违法行为不采取穷尽式的列举规定，而存在较多的空间根据利益衡量、价值取向来解决，故对于法律没有明文禁止的行为，主要根据该行为实质上的正当性进行判断”。

1. 委托律师调查取证

根据《律师法》第三十五条[8]的相关规定，受委托的律师根据案情需要，有权自行调查收集证据。但律师调查取证的权限范围受各地方的具体规定限制。虽然各地的规范并不统一，但律师调查取证的权利受《律师法》保护。

但对于刑事案件涉及的犯罪嫌疑人的个人信息需特别注意，除非案件已经审结或至少已经进入公开审理阶段，否则不建议权利人对犯罪嫌疑人的个人信息进行收集处理。主要原因是作为被害人的权利人和代理律师，法律赋予的对刑事案件的阅卷权利是不同的。我国的《刑事诉讼法》仅规定了犯罪嫌疑人、被告人的辩护人可以阅卷，而没有规定被害人可以阅卷。但是，考虑到被害人作为刑事诉讼活动中的当事人其参与诉讼活动，主张诉讼权利还是应当得到保障，尤其是被害人有基于提起附带民事诉讼需要了解责任主体基本情况的需要，《人民检察院刑事诉讼规则》第五十六条以及《关于适用<中华人民共和国刑事诉讼法>的解释》第五十七条规定，被害人的诉讼代理人在经人民检察院、人民法院许可的情况下，可以查阅、摘录、复制本案的案卷材料。因此，原则上，即便代理律师收集了相关刑事案卷材料（包括犯罪嫌疑人的个人信息），权利人也不应对具体信息进行接触处理。

1. 申请第三方平台披露

以电商平台为例，根据《电子商务法》的相关规定，其负有核验并存储平台消费者身份的义务。在符合特定情况下，权利人可以从平台获取侵权方的个人信息，最典型的是在淘宝网的店铺交易的方式获得侵权方淘宝店铺绑定的支付宝信息，其中即可显示经实名认证的姓名。

另外，根据《民法典》第一千一百九十六条的规定,如权利人在电商平台上发起投诉，网络用户在接到电商平台的转通知后，可以向平台提交包括用户真实身份信息在内的不存在侵权行为的声明。权利人亦可以依据这种由侵权方主动提供的信息向法院起诉。

1. 通过行政查处获取相关信息

对于具有隐蔽性的侵权行为，权利人难以进入该场所取证的，可以通过提供初步的侵权证据，发起行政投诉，由执法部门前往侵权方所在地进行查处。在投诉阶段，市场监督部门一般并不要求提供侵权方具体的“姓名”和“联系方式”，权利人能够准确提供经营场所地址即可，执法部门可依据其行政职权在查处过程中获取侵权方的相关信息。

在行政案件处理过程中，权利人可能从执法机关了解到侵权方的相关个人信息，但建议权利人应避免在行政程序处理过程中使用获取的个人信息。

1. 公证

由于公证机构受相关公证程序法律法规的约束，对取证过程中的合法性和客观性具有较高要求，通过向公证处申请公证的方式进行取证，证明效力较高、有利于权利人在取证的合法性上得到保障。

公证的方式，特别适合于容易被质疑真实性和合法性的取证过程，比如前述的需要通过“私下”录音录像固定的证据，以及容易变化和消失的证据。通过公证过程中，公证员介入的形式，可以证明是基于侵权方在取证过程中出于同意、自愿的行为与表达，整个取证过程合法，不涉及任何欺骗、胁迫和修改。

1. 向法院申请调查取证

根据《民事诉讼法》的相关规定，当事人因客观原因不能自行收集的证据，可申请人民法院调查收集；因情况紧急，在证据可能灭失或者以后难以取得的情况下也可以向法院申请证据保全；人民法院有权向有关单位和个人调查取证，有关单位和个人不得拒绝。因此法院依职权具有调查、取证的权限，有关单位和个人配合法院行使调查取证的权限。

• 个人信息的存储和跨境传输

除关键信息设施运营商、达到国家网络信息办公室规定数量的个人信息处理者[9]及国家机关外，原则上对于普通的个人信息者在中国境内收集的个人信息，并没有强制要求必须存储在境内。但《个保法》对于收集个人敏感信息及跨境传输等，原则上都有较高的要求，需要个人主体的单独同意。从知识产权领域出发，尽管大部分权利人大概率不属于关键信息基础设施运营商或达到规定数量的处理个人信息者，但从降低合规成本和风险，尽可能减少“单独同意”的角度，建议权利人将在侵权调查过程中收集到的个人信息，尤其是敏感信息（如身份证号等）存储在境内。如果需要传输到境外，权利人应该根据其业务性质、具体场景以及传输行为对个人主体的影响等角度，判断其合理性和最小必要性，是否跨境传输并且需要传输哪些个人信息。如果确实需要跨境传输的，比较易于实现的合规途径是权利人自行进行安全影响评估，并与国外接收方签订标准合同，约定相应的权利义务，并采用必要的加密等安全措施。但目前，网信部门还未发布具体的标准合同，建议权利人先根据《个保法》签订普通合同，并应充分约定数据安全保护责任义务。

四、结论

《个保法》实施时间尚短，各项法律法规和配套标准也尚未出台、各执法机构的理解、执法尺度具有一定的不确定性。因此，实践中，对于如何判断个人信息处理行为是否符合《个保法》的合法，正当、必要和诚实信用原则，比较困难，进而可能给权利人的维权取证带来一定的风险。建议权利人在全新的法律环境中，重新评估与完善其自身合规体系与管理制度，规范其在知识产权维权活动中个人信息处理行为，必要的情况下，寻求外部专业法律人士专业意见，以减少相应的合规及侵权风险。

本文作者：

苏艳红

路盛律师事务所 高级律师

苏艳红，中国职业律师，于2014年加入路盛商法部门。在此之前，她曾经在国际知名的美国及英国律师所就职，拥有多年的涉外工作经验。苏律师负责路盛北京商法团队超过六年。 

苏律师的主要业务是为客户提供知识产权相关的商业咨询及商业合规法律服务，包括技术进出口、特许经营、转让/许可、竞业禁止、数据合规、电子商务、广告营销等，并且从事国内外的知识产权获权、诉讼及非诉讼咨询，特别是版权、商标、植物新品种、域名以及反不正当竞争中的策略保护。同时，她曾经代表数十个跨国公司提供法律咨询服务，她在娱乐、媒体等法律领域富有实践经验，并为数个跨国企业提供常年法律顾问。

苏国宝

路盛律师事务所 高级律师

苏国宝律师是中国执业律师，具有十六年律师从业经验，其中最近十四年专注于知识产权领域。苏律师在处理知识产权诉讼和非诉讼法律事务方面具有丰富的经验，善于处理包括专利、商标、版权、商业秘密、反不正当竞争、商号、域名、反垄断等各种知识产权案件。

苏律师擅于为客户制定切实有效的诉讼策略，引导客户进行关键证据的收集和保全，充分利用证据保全、财产保全和禁令等手段，实现客户的诉讼目标。在非诉法律事务方面，苏律师在知识产权战略、知识产权尽职调查、知识产权许可、投资和转让、知识产权的申请及保护、知识产权的合规性，以及与政府部门关系等方面为客户提供咨询和建议。苏律师还在知识产权刑事保护和行政执保护方面经验丰富。苏律师所服务的客户均为世界知名企业，提供的服务受到客户的高度好评。

杭天宇

路盛律师事务所 律师

杭律师毕业于中国政法大学并在荷兰取得知识产权法硕士学位。目前，她的执业领域为知识产权争议解决。杭律师具备扎实的法律功底和丰富的实践经验，能为当事人提供个性化的争议解决策略和实用的法律建议。此前，她曾从事知识产权法律研究和咨询等相关工作。

[1] 《个人信息保护法》第二十七条。

[2] (2019)苏05民终4745号。

[3] (2021)《北京市高级人民法院知识产权民事诉讼证据规则指引》，第3.48条： 原告主张最终用户侵害其计算机软件著作权的，可以提供以下初步证据：…根据具体情况，也可以采取远程取证的方式。

[4] （2015）苏知民终字第00108号

[5] (2017)粤民再464号

[6] 欧洲GDPR 第6条1(f) “处理对于控制者或第三方所追求的正当利益是必要的，这不包括需要通过个人数据保护以实现数据主体的优先性利益或基本权利与自由，特别是儿童的优先性利益或基本权利与自由。”

[7] (2021)湘1003民初2943号

[8] 《律师法》第三十五条：受委托的律师根据案情的需要，可以申请人民检察院、人民法院收集、调取证据或者申请人民法院通知证人出庭作证。律师自行调查取证的，凭律师执业证书和律师事务所证明，可以向有关单位或者个人调查与承办法律事务有关的情况。

[9] （2021）《数据出境安全评估办法（征求意见稿）》第三稿第四条。