人臉識別在新冠肺炎疫情防控中提供了高效的手段,同時(shí)也引發(fā)了人們對收集和處理人臉信息等生物識別信息邊界的關(guān)注。我國《個(gè)人信息保護(hù)法》要求���,在公共場所安裝圖像采集、個(gè)人身份識別設(shè)備,應(yīng)當(dāng)為維護(hù)公共安全所必需���,遵守國家有關(guān)規(guī)定,并設(shè)置顯著的提示標(biāo)識。所收集的個(gè)人圖像����、身份識別信息只能用于維護(hù)公共安全的目的�,不得用于其他目的;取得個(gè)人單獨(dú)同意的除外。由于敏感個(gè)人信息與自然人的人格尊嚴(yán)等基本權(quán)利����、重大人身利益和財(cái)產(chǎn)利益具有極為密切的聯(lián)系,對此類個(gè)人信息的處理會對自然人的基本權(quán)利和人身財(cái)產(chǎn)安全產(chǎn)生重大風(fēng)險(xiǎn)����,我國《個(gè)人信息保護(hù)法》借鑒了歐盟�����、美國等法域的立法經(jīng)驗(yàn)并結(jié)合我國實(shí)際,對敏感個(gè)人信息的處理進(jìn)行了專門規(guī)定。敏感個(gè)人信息的保護(hù)是我國《個(gè)人信息保護(hù)法》的重要內(nèi)容之一����。
首先����,《個(gè)人信息保護(hù)法》對敏感個(gè)人信息進(jìn)行了定義和列舉���。
《個(gè)人信息保護(hù)法》規(guī)定將敏感個(gè)人信息定義為一旦泄露或者非法使用���,容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身���、財(cái)產(chǎn)安全受到危害的個(gè)人信息���,同時(shí)列舉了敏感個(gè)人信息的種類����,包括生物識別、宗教信仰�����、特定身份���、醫(yī)療健康��、金融賬戶、行蹤軌跡等信息�����,以及不滿十四周歲未成年人的個(gè)人信息�。《個(gè)人信息保護(hù)法》將不滿十四周歲未成年人的個(gè)人信息列為敏感個(gè)人信息�,強(qiáng)化了對未成年人個(gè)人信息權(quán)益的保護(hù)��。
敏感個(gè)人信息和非敏感個(gè)人信息是我國《個(gè)人信息保護(hù)法》從規(guī)范個(gè)人信息處理行為的角度對個(gè)人信息進(jìn)行的一種重要分類,有針對性地提高處理者在處理敏感個(gè)人信息時(shí)的法定義務(wù)��,更加充分地保護(hù)個(gè)人信息權(quán)益�。
我國《個(gè)人信息保護(hù)法》在列舉敏感個(gè)人信息種類中的“等”字,應(yīng)采“等外”之意���,表示列舉未盡?����?v使不在法律明文列舉之列���,因其在特定場景所具有的高度敏感性�,也應(yīng)納入敏感個(gè)人信息的保護(hù)范疇。技術(shù)的發(fā)展及場景的變化���,也為新型的敏感個(gè)人信息特殊保護(hù)留下空間。
其次�,《個(gè)人信息保護(hù)法》對敏感個(gè)人信息規(guī)定了專門的處理規(guī)則�。
我國《個(gè)人信息保護(hù)法》在區(qū)分敏感個(gè)人信息與非敏感個(gè)人信息的基礎(chǔ)上����,在第二章專節(jié)規(guī)定了“敏感個(gè)人信息的處理規(guī)則”�����,對處理敏感個(gè)人信息的前提進(jìn)行了限制�����,要求只有在具有特定的目的和充分的必要性���,并采取嚴(yán)格保護(hù)措施的情形下�,個(gè)人信息處理者方可處理敏感個(gè)人信息����。以此為基礎(chǔ),《個(gè)人信息保護(hù)法》規(guī)定了一些僅適用于敏感個(gè)人信息的特殊處理規(guī)則��,知情同意原則是個(gè)人信息保護(hù)領(lǐng)域公認(rèn)的首要原則���,既適用于敏感個(gè)人信息�����,也適用于非敏感個(gè)人信息�,意在實(shí)現(xiàn)與加強(qiáng)個(gè)人自決�����。針對敏感個(gè)人信息的處理��,《個(gè)人信息保護(hù)法》提出了更高的要求,要求處理敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意。這意味著在處理敏感個(gè)人信息時(shí),概括同意或推定同意的授權(quán)模式為法律所禁止���。法律��、行政法規(guī)規(guī)定處理敏感個(gè)人信息應(yīng)當(dāng)取得書面同意的�,還應(yīng)取得書面同意����。
《個(gè)人信息保護(hù)法》對敏感個(gè)人信息處理者的告知義務(wù)提出了更高的要求。《個(gè)人信息保護(hù)法》第17條第1款規(guī)定:“個(gè)人信息處理者在處理個(gè)人信息前,應(yīng)當(dāng)以顯著方式�����、清晰易懂的語言真實(shí)�、準(zhǔn)確、完整地向個(gè)人告知下列事項(xiàng):(1)個(gè)人信息處理者的名稱或者姓名和聯(lián)系方式;(2)個(gè)人信息的處理目的、處理方式���,處理的個(gè)人信息種類、保存期限;(3)個(gè)人行使本法規(guī)定權(quán)利的方式和程序���;(4)法律、行政法規(guī)規(guī)定應(yīng)當(dāng)告知的其他事項(xiàng)?��!钡?0條規(guī)定:“個(gè)人信息處理者處理敏感個(gè)人信息的,除本法第17條第1款規(guī)定的事項(xiàng)外�,還應(yīng)當(dāng)向個(gè)人告知處理敏感個(gè)人信息的必要性以及對個(gè)人權(quán)益的影響�����;依照本法規(guī)定可以不向個(gè)人告知的除外?��!?/p>
《個(gè)人信息保護(hù)法》不僅將不滿十四周歲未成年人的個(gè)人信息列為敏感個(gè)人信息,還要求個(gè)人信息處理者處理不滿十四周歲未成年人個(gè)人信息的���,應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意。個(gè)人信息處理者處理不滿十四周歲未成年人個(gè)人信息的,應(yīng)當(dāng)制定專門的個(gè)人信息處理規(guī)則?!秱€(gè)人信息保護(hù)法》將不滿十四周歲未成年人的個(gè)人信息作為敏感個(gè)人信息�����,回應(yīng)了現(xiàn)實(shí)中兒童信息泄露等問題���,對未成年人個(gè)人信息處理進(jìn)行了更嚴(yán)格的規(guī)范����,有利于切實(shí)維護(hù)未成年人的合法利益并促進(jìn)未成年人健康成長。
《個(gè)人信息保護(hù)法》還規(guī)定���,法律、行政法規(guī)對處理敏感個(gè)人信息規(guī)定應(yīng)當(dāng)取得相關(guān)行政許可或者作出其他限制的��,從其規(guī)定。
再次�,個(gè)人信息處理者處理敏感個(gè)人信息應(yīng)當(dāng)事前進(jìn)行個(gè)人信息保護(hù)影響評估�。
對處理敏感個(gè)人信息等幾種特定情形����,《個(gè)人信息保護(hù)法》規(guī)定應(yīng)在事前進(jìn)行個(gè)人信息保護(hù)影響評估,并對處理情況進(jìn)行記錄���。個(gè)人信息保護(hù)影響評估本質(zhì)上是風(fēng)險(xiǎn)評估。由于處理敏感個(gè)人信息可能對自然人的權(quán)利和自由帶來高度風(fēng)險(xiǎn)�����,對此類處理進(jìn)行事前風(fēng)險(xiǎn)評估可以防患于未然�。《個(gè)人信息保護(hù)法》要求個(gè)人信息保護(hù)影響評估應(yīng)當(dāng)包括下列內(nèi)容:(1)個(gè)人信息的處理目的����、處理方式等是否合法��、正當(dāng)、必要;(2)對個(gè)人權(quán)益的影響及安全風(fēng)險(xiǎn);(3)所采取的保護(hù)措施是否合法����、有效并與風(fēng)險(xiǎn)程度相適應(yīng)��。個(gè)人信息保護(hù)影響評估報(bào)告和處理情況記錄應(yīng)當(dāng)至少保存三年��。
綜上��,我國《個(gè)人信息保護(hù)法》區(qū)分敏感與非敏感的個(gè)人信息,并在此基礎(chǔ)上確定了敏感個(gè)人信息的特殊處理規(guī)則��,與世界主流個(gè)人數(shù)據(jù)保護(hù)立法一致�,體現(xiàn)了對與人格尊嚴(yán)或人身、財(cái)產(chǎn)安全密切相關(guān)的個(gè)人信息的傾斜保護(hù)��,能更有效地防范個(gè)人信息風(fēng)險(xiǎn)�����,更全面保護(hù)個(gè)人信息主體的利益�����。同時(shí),區(qū)別對待不同種類的個(gè)人信息���,能提高對處理行為的可預(yù)測性,明確了企業(yè)合規(guī)重點(diǎn)���,在一定程度上降低企業(yè)的合規(guī)成本,有利于數(shù)字經(jīng)濟(jì)發(fā)展����。
《個(gè)人信息保護(hù)法》:構(gòu)筑新時(shí)代個(gè)人信息權(quán)益保護(hù)的安全防護(hù)網(wǎng)
作者:趙精武北京航空航天大學(xué)法學(xué)院副教授�,工業(yè)和信息化法治研究院研究員
《中華人民共和國個(gè)人信息保護(hù)法》即將于2021年11月1日起正式施行�����,這標(biāo)志著我國個(gè)人信息保護(hù)立法體系進(jìn)入新的階段�。個(gè)人信息保護(hù)的相關(guān)制度在《網(wǎng)絡(luò)安全法》就已經(jīng)有了專章規(guī)定�����,其后的《民法典》人格權(quán)編和《數(shù)據(jù)安全法》也先后規(guī)定了涉及個(gè)人信息的具體保護(hù)制度。相較于前述立法活動,《個(gè)人信息保護(hù)法》的出臺為個(gè)人信息權(quán)益保護(hù)����、信息處理者的義務(wù)以及主管機(jī)關(guān)的職權(quán)范圍提供了全面的��、體系化的法律依據(jù)。個(gè)人面對非法收集和處理個(gè)人信息的侵權(quán)行為能夠獲得更具體、更多樣的救濟(jì)方式����,權(quán)利保障范圍涵蓋個(gè)人信息收集�����、存儲、使用�����、加工、傳輸�����、提供����、公開、刪除等多個(gè)環(huán)節(jié)以及敏感個(gè)人信息處理�����、個(gè)人信息跨境提供等特定場景�����。個(gè)人信息權(quán)益得到切實(shí)有效的制度保障,也為信息產(chǎn)業(yè)明確了經(jīng)營行為的合法性邊界,與《國家安全法》《網(wǎng)絡(luò)安全法》《民法典》和《數(shù)據(jù)安全法》等法律法規(guī)共同構(gòu)建起個(gè)人信息保護(hù)的法治堤壩�����。
一�����、個(gè)人信息處理活動的基本原則框架:合法����、正當(dāng)���、必要與誠信
《個(gè)人信息保護(hù)法》的出臺可謂是順應(yīng)人民群眾最迫切的利益訴求��。在數(shù)字經(jīng)濟(jì)時(shí)代���,個(gè)人與網(wǎng)絡(luò)信息服務(wù)提供者之間存在明顯的信息鴻溝���,為了能夠獲得相應(yīng)的信息服務(wù)使用權(quán)限����,個(gè)人不得不“主動”提供自己的個(gè)人信息�����,但是卻無法真正知曉自己的個(gè)人信息究竟將如何被處理以及誰將擁有自己的個(gè)人信息����。更有甚者�����,個(gè)人信息買賣已然成為完整的黑灰產(chǎn)業(yè)鏈條,個(gè)人的財(cái)產(chǎn)安全和人身安全受到嚴(yán)重威脅�。為了充分保護(hù)個(gè)人信息權(quán)益���,同時(shí)也是為了規(guī)范個(gè)人信息處理活動��,促進(jìn)信息產(chǎn)業(yè)發(fā)展,《個(gè)人信息保護(hù)法》順勢而為����,明確了個(gè)人信息處理活動應(yīng)當(dāng)以合法�����、正當(dāng)、必要和誠信作為基本原則����,即任何類型和任何階段的個(gè)人信息處理行為均應(yīng)當(dāng)滿足這些原則性要求��,即便現(xiàn)行立法沒有明確規(guī)定特定個(gè)人信息處理行為是否滿足法定義務(wù)�����,如若相關(guān)行為違背合法、正當(dāng)���、必要和誠信四項(xiàng)基本原則之一,也應(yīng)當(dāng)承擔(dān)相應(yīng)的民事法律責(zé)任���,情節(jié)嚴(yán)重的�,應(yīng)當(dāng)承擔(dān)刑事責(zé)任。換言之�,這四項(xiàng)基本原則構(gòu)成了《個(gè)人信息保護(hù)法》的內(nèi)容主線:第一�,合法性原則要求個(gè)人信息處理行為應(yīng)當(dāng)滿足法律法規(guī)規(guī)定�,這里的“法”并不單一局限于《個(gè)人信息保護(hù)法》,還包括《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《民法典》《刑法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律法規(guī)��。第二�,正當(dāng)性原則要求個(gè)人信息處理行為應(yīng)當(dāng)符合立法宗旨和法律價(jià)值,不得以謀求自身利益而侵害其他個(gè)人的個(gè)人信息權(quán)益����。在實(shí)踐中��,部分APP運(yùn)營者在用戶注冊階段以不顯著、不直接的方式向用戶展示個(gè)人信息處理的目的�����、范圍和方式等重要信息��,這種行為顯然違背了正當(dāng)性原則�。第三�����,必要性原則要求個(gè)人信息的收集范圍和處理方式應(yīng)當(dāng)僅以實(shí)現(xiàn)相應(yīng)的信息服務(wù)功能和業(yè)務(wù)目的為必要�����。該原則強(qiáng)有力地回應(yīng)了當(dāng)下社會對APP運(yùn)營者肆意收集處理個(gè)人信息行為的擔(dān)憂和質(zhì)疑,避免個(gè)人為獲取相應(yīng)信息服務(wù)而被動提供個(gè)人信息的問題惡化�����。例如��,地圖導(dǎo)航類APP運(yùn)營者的個(gè)人信息收集范圍僅應(yīng)當(dāng)以地理位置信息為限��,職業(yè)�、工資、旅游偏好等其他與地圖導(dǎo)航功能無關(guān)的個(gè)人信息顯然不在“與處理目的直接相關(guān)”的范圍之內(nèi)。第四�,誠信原則強(qiáng)調(diào)個(gè)人信息處理者不得利用自身的優(yōu)勢地位侵害個(gè)人信息權(quán)益���。一方面���,個(gè)人信息處理者應(yīng)當(dāng)誠實(shí)信用地按照約定的處理目的和范圍處理個(gè)人信息���;另一方面���,個(gè)人信息處理者不應(yīng)當(dāng)故意隱瞞���、有意淡化事關(guān)個(gè)人信息權(quán)益的提示說明事項(xiàng)�����。
二、個(gè)人信息權(quán)益保護(hù)方式:權(quán)利與義務(wù)的一體化
在歐盟《通用數(shù)據(jù)保護(hù)條例》出臺之后,全球各國個(gè)人信息立法曾一度或多或少受到歐盟個(gè)人數(shù)據(jù)權(quán)利體系的理論影響����,刪除權(quán)�����、更正權(quán)、查詢權(quán)等具體權(quán)利似乎成為個(gè)人信息保護(hù)領(lǐng)域的“制度范本”�。我國《個(gè)人信息保護(hù)法》則立足于中國本土實(shí)踐�����,向全世界提供了全新的個(gè)人信息保護(hù)思路:重視個(gè)人信息權(quán)益的實(shí)質(zhì)性保護(hù)�,以權(quán)利與義務(wù)的一體化要求為導(dǎo)向���。從《個(gè)人信息保護(hù)法》的第四章和第五章內(nèi)容來看��,個(gè)人在個(gè)人信息處理活動中享有查閱、復(fù)制���、更正、補(bǔ)充、請求刪除個(gè)人信息等具體權(quán)利����。并且��,個(gè)人信息處理者也應(yīng)當(dāng)積極履行法定義務(wù),確保個(gè)人權(quán)利能夠有效實(shí)現(xiàn),倘若個(gè)人信息處理者設(shè)置各種不合理非必要的維權(quán)程序����、客服流程等“維權(quán)門檻”��,既違背了個(gè)人信息處理行為的基本原則,也構(gòu)成了法定義務(wù)履行不充分。
個(gè)人在個(gè)人信息處理活動中行使權(quán)利有兩個(gè)前提條件:第一,個(gè)人對個(gè)人信息處理應(yīng)當(dāng)享有充分知情權(quán)和決定權(quán)����。所謂的知情權(quán)是指個(gè)人有權(quán)知曉其個(gè)人信息的收集處理目的����、范圍和方式�����,并且這種知情應(yīng)當(dāng)是以清晰易懂的顯著方式予以實(shí)現(xiàn)��。換言之,如果個(gè)人信息處理者為避免承擔(dān)法律責(zé)任將所有個(gè)人信息處理事項(xiàng)事無巨細(xì)地向用戶直接展示��,又或是以小號字體����、密集文字排版等方式告知用戶個(gè)人信息處理活動����,則顯然構(gòu)成對個(gè)人信息知情權(quán)的實(shí)質(zhì)侵害。第二�,個(gè)人在實(shí)現(xiàn)知情權(quán)之后應(yīng)當(dāng)能夠獨(dú)立自主地決定是否提供個(gè)人信息以及決定個(gè)人信息的實(shí)際處理范圍和方式���。在實(shí)踐中���,部分用戶即便知曉個(gè)人信息處理的相關(guān)事項(xiàng)���,但囿于使用特定信息服務(wù)的需要以及行業(yè)內(nèi)格式合同的泛濫����,用戶無力決定個(gè)人信息的具體處理方式����。為了解決此類問題,《個(gè)人信息保護(hù)法》明確個(gè)人有權(quán)限制或限制對其個(gè)人信息處理��。此外��,決定權(quán)也有其例外情形��。
三、充足的安全感:國家機(jī)關(guān)全方位保護(hù)個(gè)人信息
《個(gè)人信息保護(hù)法》提供的個(gè)人信息保護(hù)路徑并不局限權(quán)利與義務(wù)的一致性要求��,還包括專門的國家機(jī)關(guān)履行個(gè)人信息保護(hù)職責(zé)�����,提供全方位的個(gè)人信息保護(hù)和救濟(jì)方式�?���!秱€(gè)人信息保護(hù)法》所提供的充足安全感既來自于國家機(jī)關(guān)處理個(gè)人信息的特別規(guī)定,也來源于國家機(jī)關(guān)履行職責(zé)的專門規(guī)定�����。一方面��,《個(gè)人信息保護(hù)法》規(guī)定國家機(jī)關(guān)處理個(gè)人信息同樣應(yīng)當(dāng)遵守法律�����、行政法規(guī)規(guī)定的權(quán)限和程序。個(gè)人信息權(quán)益受到前所未有的重視���,即便個(gè)人信息處理者是國家機(jī)關(guān),其收集處理范圍和限度同樣不得超出履行法定職責(zé)之需要��。并且�����,國家機(jī)關(guān)處理個(gè)人信息之前���,應(yīng)當(dāng)依照規(guī)定���,履行告知義務(wù)��。另一方面,《個(gè)人信息保護(hù)法》明確規(guī)定了國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)個(gè)人信息保護(hù)工作和相關(guān)監(jiān)督管理工作。國務(wù)院有關(guān)部門依照本法和有關(guān)法律、行政法規(guī)的規(guī)定���,在各自職責(zé)范圍內(nèi)負(fù)責(zé)個(gè)人信息保護(hù)和監(jiān)督管理工作。具體而言�,除了日常熟知的個(gè)人信息保護(hù)宣傳教育�,接受�、處理與個(gè)人信息保護(hù)相關(guān)的投訴、舉報(bào)��,調(diào)查�����、處理違法處理個(gè)人信息等活動之外,還包括個(gè)人信息保護(hù)評估、個(gè)人信息跨境傳輸安全評估���、第三方安全認(rèn)證體系、個(gè)人信息保護(hù)技術(shù)標(biāo)準(zhǔn)制定等具體領(lǐng)域的工作內(nèi)容。此外,為了切實(shí)解決近期出現(xiàn)的“監(jiān)控偷拍人臉識別”“大數(shù)據(jù)殺熟”等社會熱點(diǎn)問題���,《個(gè)人信息保護(hù)法》還專門規(guī)定國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門依據(jù)本法推進(jìn)人臉識別、人工智能等新技術(shù)、新應(yīng)用領(lǐng)域個(gè)人信息保護(hù)規(guī)則�����、標(biāo)準(zhǔn)制定工作�����。
個(gè)人信息保護(hù)絕不能停留于紙面的權(quán)利宣誓與義務(wù)要求���,更要重視之后法律實(shí)施過程中可能面臨的新問題和新挑戰(zhàn)�,平衡個(gè)人信息權(quán)益與信息產(chǎn)業(yè)良性發(fā)展的雙重訴求�,個(gè)人信息保護(hù)還需要有效統(tǒng)籌協(xié)調(diào)立法、執(zhí)法和司法三個(gè)環(huán)節(jié)�����,要讓老百姓看得到�、摸得著、感受得到真正的個(gè)人信息權(quán)益保護(hù),推進(jìn)個(gè)人信息保護(hù)工作的縱深化發(fā)展����。
陜公網(wǎng)安備 61019602000052號