周 艳
(安徽大学法学院,安徽 合肥 230031)
保护个人信息安全与促进数据流动利用之利益平衡是大数据时代世界各国个人信息保护立法的核心议题。但是,目前我国现有的相关立法仍有待完善,而域外关于敏感个人信息保护立法有值得借鉴之处。因此,如何借鉴域外关于敏感个人信息的保护,持续完善符合我国国情的保护立法是本文研究的重点问题。
1.1 敏感个人信息的重要性
张新宝(2021)提出保护敏感个人信息具有保护信息主体合法权益、调和信息保护和信息利用的关系以及警示这三方面的作用[1]。在大数据时代,敏感个人信息一旦被获取,信息处理者可以通过网络技术对个人构建“画像”,实现其目的,甚至是侵害信息主体的权益。例如,售楼部在未得到信息主体知情同意的情形下,暗中安装人脸识别系统,对顾客进行身份定位,甚至还区别对待消费者,根据消费者的消费记录推送相应的产品及服务。
1.2 我国现有保护规范的不足
《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)、《信息安全技术 公共及商用服务信息系统个人信息保护指南》(以下简称《个人信息保护指南》)、《信息安全技术个人信息安全规范》(以下简称《个人信息安全规范》)是我国关于敏感个人信息保护的法律规范。其中,《个人信息保护指南》和《个人信息安全规范》都是规范性文件。而《个人信息保护法》对敏感个人信息的定义不够具体,且没有明确界分敏感个人信息与隐私权之前的关系。同时,关于敏感个人信息的处理规则形式化。由此可见,我国关于敏感个人信息保护的法律规范还有待完善。
1.3 域外经验借鉴的可行性
放眼域外,欧洲理事会各成员国早在1981年就签署了《个人数据自动化处理中的个人保护公约》(以下简称《108公约》),涵盖了尊重个人隐私和促进数据自由流动的内容。欧盟《通用数据保护条例》(GDPR)于2018年正式实施,是欧盟最具代表性的数据安全立法,条例强化数据主体权力并完善了相关机制。需要注意的是,在借鉴其他国家和地区关于敏感个人信息保护立法时,既要考虑共性问题,也要考虑到国情的差异。
2.1 敏感个人信息的界定
我国采用的是“定义+列举”的模式。从时间上可以看出《个人信息安全指南》《个人信息安全规范》和《个人信息保护法》关于敏感个人信息的定义,偏向于人身安全、财产权益受到侵害角度,列举的类型也不同。
“定义+列举”的模式有利有弊,其利在于对敏感个人信息的定义使敏感个人信息的内容具有弹性;
其弊在于存在外延不确定的问题。我国学者在此定义的内容下提出了许多关于敏感个人信息界定的标准。第一,从人格尊严角度出发。《个人信息保护法》明确规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息[2]。《民法典》人格权编突破以往立法对个人信息保护的规定,首次对处理他人的私密信息作出禁止性规定,即“任何组织或者个人不得处理他人的私密信息”。由此可知,敏感个人信息与个人人格息息相关。人体基因的泄露会造成个人在就业、保险等社会生活中遭受各种不公平的歧视[3]。这种判断标准存在问题,敏感个人信息含有人格尊严内容,外延性更广,但是人格尊严不等于敏感个人信息,因此不能仅从人格尊严角度判断。第二,从人身、财产安全角度出发。个人信息具有双重属性——人身价值和财产利益。敏感个人信息的泄露和非法使用,除了会危害人格尊严,也会影响个人的人身安全和财产安全。关于人身安全,信息收集者可以通过信息的收集处理,跟踪他人,对他人的人身造成威胁。例如徐某某一案中,徐某某利用某App后台推送的含有儿童个人信息的短视频,通过其私信功能联系多名儿童,并对其中3名儿童实施猥亵犯罪①。关于财产安全,安徽警方破获的全省首例利用人脸识别犯罪案②,就是通过人脸识别技术办手机卡从而影响权利人的消费信誉。还有一些不法分子伪造人脸非法窃取他人财物。第三,从未成年人角度出发,《个人信息保护法》将不满十四周岁的未成年人的信息纳入敏感个人信息范畴,加强了对未成年人个人信息保护的力度。在比较法上,其他国家和地区并没有像我国一样将不满十四周岁的未成年人信息纳入敏感个人信息范畴。这是我国对不满十四周岁的未成年人的特有保护,是我国敏感个人信息保护法律体系的特色。
2.2 敏感个人信息的处理规则
关于敏感个人信息的处理,《个人信息保护法》采用的是原则上同意,例外情况下禁止的模式。同时看似严格规定了敏感个人信息的处理规则,但是其中适用的空间很大,对司法者来说,裁量权过大;
对信息处理者来说,有充分利用的空间;
对信息主体来说,信息保护规则流于形式。
首先,根据《个人信息保护法》第二十八条,“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息”。如何理解“特定的目的”和“充分的必要性”?王利明(2022)认为,不能泛泛而谈,必须用法律法规加以明确的规定。他认为“特定的目的”必须是具体、明确、特定的。要具体问题具体分析,结合具体的场景判断。同时,也要与“充分的必要性”相结合。但是,我国目前关于此条规定并没有明确的司法解释,从而使得本条规定被任意应用,最终导致司法者掌握了决定权,法官的裁量权被过度扩大。同时,在实践中信息处理者根据自己的利益按照自己的意愿来利用“特定的目的和充分的必要性”这条规则,例如售楼部安装人脸识别系统以及小区未经同意安装人脸识别系统等,使信息主体的权益受损。
其次,根据《个人信息保护法》第二十九条,“处理敏感个人信息应当取得个人的单独同意;
法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定”。对于该条的理解也有很大的空间,实践中主要的困境在于同意的内容和形式上,是默示同意还是明示同意?同意的内容是什么?范围有没有限制?“个人单独同意”的规定有很大的处理空间,强制同意也是同意,附条件同意也是同意。在实践中,许多信息主体为了获得相应的服务而不得不同意,使敏感个人信息的“个人单独同意”规则流于形式;
也有为了尽快获得相应的服务而同意,忽略了其中的风险。
最后,根据《个人信息保护法》第十七条,“个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(一)个人信息处理者的名称或者姓名和联系方式;
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(三)个人行使本法规定权利的方式和程序;
(四)法律、行政法规规定应当告知的其他事项。前款规定事项发生变更的,应当将变更部分告知个人。个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存”。然而在现实生活中,诸多App的隐私协议也是告知,冗长的文字让使用者根本无法阅读下去,但是如果不同意该协议,就不能使用该App,这种并不平等的协议也是“告知”。信息处理者往往利用法律的漏洞收集个人信息,从而侵害信息主体的权益。
3.1 敏感个人信息的界定及比较
3.1.1 域外对敏感个人信息的界定
《108公约》作为世界上第一部关于数据保护的国际公约,规定了原则上不得自动处理敏感个人信息。欧盟《通用数据保护条例》(GDPR)采取了“定义+列举”的方式对敏感个人信息进行界定,列举的敏感个人信息内容与《108公约》有重合之处。美国和欧盟一致通过的《安全港隐私保护原则》注重对个人经济关系的保护,把“贸易组织的成员资格”列为敏感个人信息。
域外对敏感个人信息的定义各具特色,与本国(本地区)的实际情况相联系。我国不应该直接照搬,应该根据我国国情来完善敏感个人信息的定义。
3.1.2 域外关于敏感个人信息的界定模式
第一种,列举式模式。我国在界定敏感个人信息的过程中采取了列举式的模式。列举的方式可以直截了当地指出哪些属于敏感个人信息,不需要司法机关和信息处理者再加以判断。
第二种,综合考量模式。综合考量模式是指综合数据处理的情景、目的等因素来判断数据是否敏感[4]。许多学者认为随着科学技术的发展,敏感个人信息的范围不断扩大,采用“定义+列举”的方式不能较好地保护新出现的敏感个人信息,因此主张采用综合考量模式。美国学者尼森鲍姆(Helen Nissenbaum)提出“场景完整性理论”,联系隐私保护和特殊情境规范,充分尊重个人信息最初获取的情景,后续传播和利用不得超出最初的情境。Simitis教授认为,敏感不应被认为是一个先验概念,任何个人数据在某种情况下都可能是敏感的,应该依据数据的背景和环境来判断该信息是否为敏感个人信息,从而决定如何处理它。综合考量模式很容易在各国(或地区)的立法中看出来,随着时代的变迁,敏感个人信息的内容也有所变化,之前司法认为不是敏感个人信息的内容得到了法律的承认。由此可见,不应该用一成不变的眼光来界定敏感个人信息。
3.2 敏感个人信息的处理规则及比较
《108公约》规定原则上不得自动处理敏感个人信息。2021年,美国弗吉尼亚州通过的《消费者数据保护法》(CDPA)对不同公民数据的分类及行政商用进行了详细的处理要求[5],国家和企业处理敏感个人信息时,分别有不同的规则。这种细致的规定可以有效保护敏感个人信息以及保护信息主体的人身财产安全和人格权益。
欧盟GDPR在敏感个人信息的内容上规定了可以处理敏感个人信息的除外事项以及根据数据主体的不同规定不同的处理敏感个人信息方式。GDPR严格限定了敏感个人信息的处理的条件,符合第9条第2款的要求,才能对敏感个人信息进行处理。根据数据主体是否成年、授权方式、权限内容以及取消授权情况的内容不同。和美国一样,GDPR也从主体的不同区分处理内容。但是,GDPR在敏感个人信息规定上更严格。从某种角度上看,这不利于数据的流动,在一定程度上可能会限制社会发展。
英国《个人资料保护法》附表3严格规定了敏感个人信息的处理规则——只有满足十大条件才能处理敏感个人信息[6]。英国的严格规定避免了敏感个人信息被违法收集使用以及滥用,保护了信息主体的敏感个人信息,维护了信息主体的人身权益和财产权益,也维护了社会的数据安全,以免造成混乱。
美国的CDPA、欧盟的GDPR以及英国的《个人资料保护法》在敏感个人信息的保护上都有严格且细致的规定。随着经济社会的持续发展,我国民众对敏感个人信息的重视程度日益提升,但是仅仅依据《个人信息保护法》中的几条看似严格却宽泛的规定,难以完全有效保护信息主体的权益。
4.1 进一步明确敏感个人信息的定义
我国首先应该进一步明确敏感个人信息的定义。在《个人信息保护法》发布后,应该按照《个人信息保护法》的定义理解,明确适用。其次可以在采用“定义+列举”的模式下,使用“场景完整性理论”。在科技发展迅速的时代,万事万物瞬息万变。抓住敏感个人信息的核心:敏感性、人格权益和人身财产安全,结合具体的场景判断是否为敏感个人信息。在结合具体场景时,需要考虑损害的后果、损害的程度以及损害的现实性。某些个人信息在某些情况下可能并不属于敏感个人信息,不具有“敏感”的性质,对人身财产安全并无多大影响;
但是在其他技术的结合下,可能就具备了敏感的性质,在特定情况下就属于敏感个人信息了。因此,判断信息是否为敏感个人信息,不能单一地从定义以及法律列举的种类判断是否为敏感个人信息,要结合具体情形。最后,区分隐私权的内容和敏感个人信息的内容。隐私权和敏感个人信息在权益内容、保护客体和损害后果以及权利属性上存在差别[7]。
第一,从权益内容上看,敏感个人信息权益包括精神利益和财产利益,范围大于隐私权的内容。敏感个人信息的内容会涉及信息主体的财产权益,比如通过人脸识别可以解锁支付宝,盗取个人财产。第二,从保护客体和损害后果来看,隐私权的客体是权利,是民法典规定的人格权利,而敏感个人信息的客体则是权益,与法律规定的权利性保护有差别。侵犯隐私权的损害后果体现为他人的人格权利受到损害,是侵权人扰乱权利主体的私生活。侵犯敏感个人信息的损害后果包括人格权益以及人身财产安全,范围更广。第三,从权利特点和保护方式上看,敏感个人信息权益是一种积极、自决的权益,隐私权则是消极、防御性的权利。敏感个人信息看似和隐私权存在交叉的地方,但是联系具体场景能清晰认识到两者之间的本质差异,就可以分辨隐私权和敏感个人信息的内容。
4.2 完善敏感个人信息的处理规则
第一,在原则之下,应该详细列清具体规则。对于“特定的目的”“充分的必要性”“告知同意”这些词,法律适用存在很大的空间,应该加以具体的规定。
首先,“特定的目的”。目的必须是特定、具体的。例如在使用人脸识别系统时,应该具有特定具体的目的,银行使用人脸识别系统是为了交易安全,小区使用人脸识别系统是为了维护小区居民的安全,那售楼处使用人脸识别系统的目的是什么?为了区分顾客,对其身份定位?这一目的虽特定具体,但违背了公共利益。可以从两个层面来理解“特定的目的”,第一个层面,“特定的目的”必须满足信息主体的合理期待,比如基于交易安全、人身安全等理由,而不是利用敏感个人信息区别对待信息主体。第二个层面,“特定的目的”是维护公共利益,一般体现为公共权力机关为了公共利益遵守严格的程序和敏感个人信息处理规则处理敏感个人信息。
其次,“充分的必要性”。充分的必要性要结合特定的目的,体现为实现特定目的而需要的信息以及为了达到该目的仅需通过一种手段方式。例如,维护小区安全不仅仅只有人脸识别这一个途径,还可以通过其他方式(设门禁卡)。又如,员工入职时,用人单位需要收集员工个人信息,但是有些信息则无必要收集,比如宗教信仰、财务状况等。信息处理者非必要不处理个人信息,在有其他的选择之下,考虑到个人信息的性质,权衡选择。“充分的必要性”要考虑到信息主体的选择权,提供其他选择,在别无选择以及最优选择的情况下,可以收集使用敏感个人信息。
最后,“告知同意”。有学者提出,人脸识别技术对法律的冲击之一就是使告知同意规则失灵[8]。有学者提出,要严格限缩告知同意规则[9]。也有学者提出,知情同意要以告知义务的充分履行作为前提,从严限制概括同意的适用,也可以利用技术的发展引用动态知情模式[10]。信息处理者处理敏感个人信息如何告知?第一,形式上,敏感个人信息必须要以书面的形式告知,不能同于一般个人信息可以口头告知。第二,内容上,明确详细告知用户所有事项,同时对于不易理解的,要充分解释其内容,且应该简要明了地告知用户。第三,时间上,要给予用户充分的思考时间。信息处理者如何落实同意原则?在告知义务充分履行的前提下,用户同意也应该是书面同意。同意的内容限于个人信息处理者收集、存储人脸部信息,不包括使用、加工、传输、公开等。如果要进行以上操作,应该征得个人信息主体特别同意。参考2016年新浪微博诉脉脉非法抓取用户信息不正当竞争案,个人信息处理者处理敏感个人信息,要遵守“三重授权原则”,具体内容:(1)数据企业处理人脸信息,要得到用户的授权。(2)数据企业超出范围使用,或者转让给其他企业使用,要再次得到用户的有效授权[11]。(3)也可以从第三方机构介入出发,利用第三方主体对“告知同意”规则进行有效监督,在多维度上落实“告知同意”规则[12]。
第二,对未成年人信息作详细保护。欧盟GDPR针对数据主体是否成年,数据主体的授权方式、授权内容以及取消授权的规则不同。我国只有《个人信息保护法》第三十一条规定了“个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意”。在取得同意的规则上,未成年没有权利处理其信息,需要征求其监护人的同意。制定专门的个人信息处理规则是用来约束信息处理者,要求信息处理者区分对待未成年人信息和一般个人信息。该条对于未成年人信息的保护的内容实在过少,也不具体,以至于实践中关于未成年人的个人信息被侵犯的案件并不少见。我国可以参考欧盟GDPR的规定,详细列举收集处理未成年人信息的规则。具体来讲:(1)规定收集未成年人信息应该落实告知同意的规则,告知同意规则要落于实处,不能泛泛而谈。拿某游戏举例,未成年人可以利用规则让游戏平台收集其监护人或者其他成年人的信息,来延长自己的游戏时间。(2)非必要以及没有特定必要目的不可以收集未成年人信息,原则上禁止,特殊必要情况下才可以允许收集未成年人信息。(3)监护人享有撤销的权利,该权利的行使不能严苛。
敏感个人信息关系到信息主体的人身权益和财产权益,对个人乃至社会十分重要。敏感个人信息的保护主要在于其界定以及处理上。本文从国内外关于敏感个人信息的定义和处理规则的法律规范出发,结合我国的实际情况,提出完善我国敏感个人信息保护立法的路径。
注释:
①浙江省杭州市余杭区人民检察院对北京某公司侵犯儿童个人信息权益提起民事公益诉讼北京市人民检察院督促保护儿童个人信息权益行政公益诉讼案,检例141号。
②范天娇.安徽警方破获全省首例利用人脸识别犯罪案[EB/OL].中国青年网,(2021-10-27)[2022-09-26].https://baijiahao.baidu.com/s?id=1714719064000484261&wf r=spider&for=pc.
猜你喜欢信息处理保护法人脸识别我国将加快制定耕地保护法今日农业(2022年13期)2022-11-10东营市智能信息处理实验室中国石油大学胜利学院学报(2022年1期)2022-04-21人脸识别 等作文中学版(2022年1期)2022-04-14基于Revit和Dynamo的施工BIM信息处理建材发展导向(2021年13期)2021-07-28未成年人保护法 大幅修订亮点多海峡姐妹(2020年11期)2021-01-18揭开人脸识别的神秘面纱学生天地(2020年31期)2020-06-01人脸识别技术的基本原理与应用电子制作(2019年14期)2019-08-20地震烈度信息处理平台研究铁道通信信号(2018年11期)2019-01-19聚众淫乱罪的保护法益及处罚限定证券法律评论(2018年0期)2018-08-31CTCS-3级列控系统RBC与ATP结合部异常信息处理铁道通信信号(2018年1期)2018-06-06
