澎湃Logo
下载客户端

登录

  • +1

《个人信息保护法(草案)》 让侵犯个人信息权有“法”管了

2020-12-04 14:50
来源:澎湃新闻·澎湃号·政务
字号

文 | 本刊记者 沈洋

转自: 中国审判

特别提示:凡本号注明“来源”或“转自”的作品均转载自媒体,版权归原作者及原出处所有。所分享内容为作者个人观点,仅供读者学习参考,不代表本号观点

用户的网络记录被平台擅自收集并用于商业推销、公民在相关机构登记的个人信息被泄露外传……以大数据、云计算为代表的信息技术的快速发展,在为经济社会发展提供巨大动力、为人民生活带来更多便利的同时,也给个人信息保护带来了更多挑战。

不久前,一则“清华大学教授拒绝小区人脸识别门禁”的新闻引发热议,也让人们将目光再次聚焦到个人信息保护这一话题上。为此,制定一部个人信息保护方面专门法律的呼声不绝于耳。

日前,《中华人民共和国个人信息保护法(草案)》(以下简称《个人信息保护法(草案)》)已提请十三届全国人大常委会第二十二次会议审议,有望让个人隐私尽快摆脱被滥用的状态,为社会公众提供更系统的法律保护。

“《个人信息保护法(草案)》的亮相,使我国对个人信息的保护进入到了一个崭新的阶段。”中国社会科学院法学研究所副研究员窦海阳对本刊记者表示,《个人信息保护法(草案)》明确了以“告知-同意”为核心的个人信息处理的一系列规则,明确了国家机关对于个人信息的保护义务,与《中华人民共和国民法典》(以下简称《民法典》)中关于个人信息保护的目标与宗旨相一致,是对《民法典》保护个人信息相关规定的进一步明确与细化。

“千呼万唤始出来”

数据显示,截至今年6月,我国网民规模达9.4亿,相当于全球网民的五分之一,较今年3月增长3625万;网站数量为468万个,国内市场上监测到的APP数量为359万款。

从数字经济发展的整体趋势来看,个人信息的利用无疑已是大势所趋。因此,明确信息主体与信息处理者之间的权利义务,立法规范个人信息的利用和保护,已经成为一个迫在眉睫的问题。

早在2003年,国务院信息化工作办公室即着手部署个人信息保护法立法研究工作,但从整体上看,现有的立法体系多集中于从禁止侵害的角度来对个人信息进行保护,尚未从源头上对信息主体拥有的具体权利和信息处理者应当承担的义务进行明确规定,对个人信息缺乏系统的法律保护。

2018年9月,全国人大常委会正式将个人信息保护法纳入“十三届全国人大常委会立法规划”,位列“条件比较成熟、任期内拟提请审议”的69部法律草案之中。

值得一提的是,今年5月,十三届全国人民代表大会第三次会议审议通过了《民法典》。此次《民法典》的最大亮点之一就是人格权编单独成编,对个人信息受法律保护的权利内容及其行使等内容作了原则规定。

“应当说,《民法典》为个人信息保护法的制定提供了基本依据。”谈及《民法典》与个人信息保护法之间的关系,清华大学法学院教授程啸指出,个人信息保护法在很大程度上就是个人信息和隐私权保护领域中与《民法典》相关联、相配套的法律。

“个人信息保护法本身并非单纯的民事特别法,而是一部运用民事、行政、刑事等综合性手段对于个人信息加以保护,对于自然人个人信息权益、信息自由、公共利益等多重利益关系加以协调的法律。”程啸说。

2020年10月21日,中国人大网如期公布了《个人信息保护法(草案)》全文,并公开征求意见。

“为及时回应广大人民群众的呼声和期待,落实党中央部署要求,制定一部个人信息保护方面的专门法律,将广大人民群众的个人信息权益实现好、维护好、发展好,具有重要意义。”全国人大常委会法工委副主任刘俊臣表示,制定个人信息保护法是进一步加强个人信息保护法制保障的客观要求,是维护网络空间良好生态的现实需要,也是促进数字经济健康发展的重要举措。

中国社会科学院法学研究所研究员周汉华认为,个人信息保护法的制定经历了相对较长的周期,可谓“千呼万唤始出来”。较长的时间周期,也为更好地认识信息化快速发展过程中出现的个人信息保护问题提供了条件,现在草案的亮相可谓“水到渠成”。

“世易时移,变法宜矣。”作为数字社会的基础性法律制度,个人信息保护的立法理应与时俱进,以回应不断涌现的新需求和新问题。

因“刷脸”引发纷争

如今,“刷脸”应用得越来越广泛,已经渗透到人们生活的诸多方面,特别是公共服务领域。比如,门禁系统、酒店入住、消费支付等。因不愿意使用人脸识别,浙江理工大学特聘副教授郭兵作为消费者将杭州野生动物世界告上了法庭。

2019年4月27日,郭兵在杭州野生动物世界办理了一张1360元的双人年卡。园方明确承诺,在该卡有效期一年内,用户可通过验证年卡及指纹入园。

2019年10月17日,郭兵收到了来自杭州野生动物世界的一条短信:“园区年卡系统已升级为人脸识别入园,原指纹识别已取消,未注册人脸识别的用户于10月17日之后将无法正常入园,需要尽快携带年卡到园区年卡中心办理升级业务。”

但是,郭兵认为人脸信息属于敏感个人信息,不同意接受人脸识别。“难道因为我拒绝人脸信息采集,作为年卡用户的我就不能享受入园的权利吗?”2019年10月28日,在与园方协商未果后,郭兵向浙江省杭州市富阳区人民法院提起了诉讼。

这起官司因涉及采集公民生物特征信息、个人隐私安全等问题,引起了社会公众的广泛关注。2020年6月15日,富阳法院开庭审理此案。庭审中,双方的辩论焦点集中于搜集的人脸等生物特征信息,是否符合法律法规要求;有无做到充分告知,以及征得用户同意等。截至记者发稿时,该案尚未宣判。

>>2020年6月15日,郭兵与杭州野生动物世界服务合同纠纷一案在富阳法院开庭审理 王泽烽 摄

企业网络安全专家联盟秘书长张威从事信息安全领域工作多年,在他看来,许多信息收集主体都忽视了“知情同意”的原则。

“一些单位出于公共安全的需要,或者经过了有关部门的授权,可以采集人脸信息。”张威说,“而此案中,如果园区不经授权采集人脸信息,只是出于减少人工审核工作量、提高入园效率的考虑,这个理由是站不住脚的。”

“我并不是一个技术上的‘保守者’,但在面对类似人脸识别等技术创新时,也会绷紧个人信息保护这根‘弦’。希望这起案件的审理能够成为一堂普法课,让更多人关注和思考如何更好地实现技术应用与个人信息保护的统筹兼顾。”郭兵说。

《个人信息保护法(草案)》规定,在公共场所安装图像采集、个人身份识别设备,应当以“为维护公共安全所必需”为前提。这就意味着超出公共安全目的的身份识别面临着合法性质疑,小区或动物园强制使用人脸识别等在一定程度上或得到有效遏制。但是,如何判断“公共安全”这一前提,仍是实践中需要解决的难题。

中央财经大学法律硕士教育中心主任李轩建议,应该在立法中明确提出人体生物信息这一概念,以凸显其重要性和对其保护的特别意义。“事实上,个人信息尤其是人体生物信息一旦非法泄露,所造成的后果在很大程度上往往是集合性的和灾难性的,很难通过事后惩治或事后赔偿机制得以有效恢复。这就要求立法本身必须在建立有效预防机制方面想得更多,做得更细,尽量在信息采集和信息存储流通环节的安全保障方面防止侵权情形的发生。”李轩对记者说。

“告知——同意”保障知情权

在网上搜索一个商品,接着就会收到无数同类商品的广告推送;购买了网站VIP会员,平台却突然变更规则,购买“VVIP会员”才能享受全部会员权益……对此类侵犯用户权益的现象,网友“吐槽”声不绝。

在《个人信息保护法(草案)》中,确立了以“告知——同意”为核心的个人信息处理规则,即:处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更时,应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。

中国社科院学部委员孙宪忠表示,信息的核心环节就是告知,草案确立以“告知-同意”为核心的个人信息处理规则十分必要,这也是个人信息保护立法中的核心点。

“《个人信息保护法(草案)》要求,事先告知应当以显著方式、清晰易懂的语言来进行。这就要求个人信息处理者对自然人所做的告知必须诚实清楚,不能有意隐瞒欺骗。此外,《个人信息保护法(草案)》强调,重要事项发生变更的,应当重新取得个人同意,这意味着取得自然人的同意一般不能以‘霸王条款’的方式一次性取得概括性授权同意。”北京理工大学法学院《民法典》研究中心主任孟强说。

孟强认为,“告知——同意”规则还可以规定得更为详细,如区分自然人是否具有完全民事行为能力而采取不同的要求;对自然人权利的规定也可以进一步细化,如在撤回权之外,规定查询、更正、删除等权利。

在李轩看来,居民小区安装人脸识别系统应征求每一户业主的意见。同时,不得要求绑定房产证信息,并应提供指纹或密码等其他进出方式。他表示,这一建议考虑的不仅仅是个人隐私保护的问题,还更多地考虑了在特定地域范围内人脸信息与业主财产状况绑定可能导致的安全隐患问题。

北京华讯律师事务所主任张韬对记者表示,“告知——同意”规则中的“告知”即指要充分保障相关个人主体的知情权;“同意”则是要保障其对信息的自主决定权。只有保障这两种权利,才能从根本上保障个人信息安全。

处理敏感信息限制更严格

近年来,公众人物航班行踪等信息的买卖形成了黑色产业链,严重侵犯了个人隐私;公民在有关机构登记的个人信息频遭泄露,甚至被用于电信诈骗等违法犯罪活动。为此,《个人信息保护法(草案)》设专节对处理个人敏感信息作出严格限制。

根据《个人信息保护法(草案)》,个人敏感信息包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等。个人信息处理者只有在具有特定的目的和充分、必要性的情形下,方可处理敏感个人信息,并且应当取得个人的单独同意或者书面同意。

“个人敏感信息和每个人都有重大利害关系,设立专节既能显示立法机关对这一问题的重视,又能更具针对性地对相关方面问题作出具体约束和专门管理,为个人信息保护筑起坚固堡垒。”张韬说。

西南政法大学民商法学院教授张建文告诉记者,个人敏感信息的“敏感”主要表现在两个方面:一是此类信息的收集容易引起个体心理、生理上超乎寻常程度的感受与反应;二是此类信息的处理易引起外界迅速而强烈的是非评价。正因如此,个人敏感信息具有很大程度的脆弱性。这种脆弱性来源于其被收集和处理后,容易造成信息主体的隐私、自由及人格尊严受到威胁与伤害,并有可能造成社会个体,甚至群体的不安。

“对个人敏感信息的披露与使用作出更为严格的限制,不仅体现了普遍的人格权与自我决定权在信息时代的体现和表达,而且反映了公民维护自身内在同一性、精神自主和独特人格的合理诉求。”张建文说。

张建文表示,《个人信息保护法(草案)》设立专节对处理个人敏感信息作出严格限制的举措,既能落实个人信息保护法的立法精神,有效保护个人的人格尊严和自由,又能在区别规制的基础上促进一般个人信息的利用并推动技术创新,从而在两者之间找到利益平衡的最佳落点。

    本文为澎湃号作者或机构在澎湃新闻上传并发布,仅代表该作者或机构观点,不代表澎湃新闻的观点或立场,澎湃新闻仅提供信息发布平台。申请澎湃号请用电脑访问http://renzheng.thepaper.cn。

    +1
    收藏
    我要举报

            扫码下载澎湃新闻客户端

            沪ICP备14003370号

            沪公网安备31010602000299号

            互联网新闻信息服务许可证:31120170006

            增值电信业务经营许可证:沪B2-2017116

            © 2014-2024 上海东方报业有限公司

            反馈