以大數(shù)據(jù)、云計(jì)算為代表的信息技術(shù)的快速發(fā)展,不僅為經(jīng)濟(jì)社會(huì)發(fā)展提供巨大動(dòng)力、為人民生活帶來(lái)更多便利,也給個(gè)人信息保護(hù)、個(gè)人隱私安全帶來(lái)更多挑戰(zhàn)。
十三屆全國(guó)人大三次會(huì)議審議通過(guò)的民法典在現(xiàn)行有關(guān)法律規(guī)定的基礎(chǔ)上,進(jìn)一步強(qiáng)化對(duì)隱私權(quán)和個(gè)人信息的保護(hù),并為下一步制定個(gè)人信息保護(hù)法留下空間。
如何更好實(shí)現(xiàn)技術(shù)應(yīng)用與隱私保護(hù)的統(tǒng)籌兼顧?疫情防控中的個(gè)人信息安全問(wèn)題應(yīng)如何破解?生物識(shí)別技術(shù)運(yùn)用中暗藏的隱私泄露風(fēng)險(xiǎn)應(yīng)如何規(guī)避?這都需要從法律和實(shí)踐中尋找答案。
——編 者
民法典提供更廣泛的個(gè)人信息保護(hù)
前不久,哈爾濱市民王先生發(fā)現(xiàn),在使用某應(yīng)用程序時(shí),該應(yīng)用程序會(huì)自動(dòng)獲取其好友信息并推送好友發(fā)布的視頻。據(jù)此,王先生以侵犯隱私權(quán)為由提起訴訟。法院裁定,要求該應(yīng)用程序立即停止使用王先生的好友信息,停止將王先生信息推薦給其他用戶。
“這起案件的判決將個(gè)人信息納入到了隱私權(quán)保護(hù)的范圍內(nèi),但并沒有對(duì)個(gè)人信息和隱私權(quán)作出更清晰的區(qū)分。”在北京互聯(lián)網(wǎng)法院審管辦主任孫銘溪看來(lái),這一判例是司法實(shí)踐的常態(tài),“民法總則雖然明確自然人享有隱私權(quán),但并未對(duì)個(gè)人信息和隱私權(quán)的概念作出界定。”不過(guò),前不久十三屆全國(guó)人大三次會(huì)議通過(guò)的民法典中的人格權(quán)編,則給出了隱私的明確定義:既包括“私人生活安寧”,也包含“不愿意讓他人知曉的私密空間、私密活動(dòng)、私密信息”,任何組織或者個(gè)人不得以刺探、侵?jǐn)_、泄露、公開等方式侵害他人的隱私權(quán),不得實(shí)施可能破壞他人隱私和隱私權(quán)的行為。
“民法典對(duì)隱私權(quán)的強(qiáng)化保護(hù),體現(xiàn)出在數(shù)字時(shí)代,更加重視數(shù)字人格的立法取向。”孫銘溪說(shuō),隱私權(quán)更多側(cè)重于精神利益,個(gè)人信息則兼具人格和財(cái)產(chǎn)利益;隱私偏重于消極防御權(quán),個(gè)人信息則強(qiáng)調(diào)個(gè)人信息的自決和控制;個(gè)人信息更多關(guān)注的是客觀風(fēng)險(xiǎn),隱私權(quán)所包含的“私密信息”則更關(guān)注主觀意愿。
“民法典事實(shí)上提供了比隱私權(quán)更廣泛的個(gè)人信息保護(hù)。”清華大學(xué)法學(xué)院院長(zhǎng)申衛(wèi)星表示,民法典在總則部分規(guī)定,自然人的個(gè)人信息受法律保護(hù),任何組織或者個(gè)人應(yīng)當(dāng)依法取得并確保信息安全,不得非法收集、使用、加工、傳輸他人個(gè)人信息,不得非法買賣、提供或者公開他人個(gè)人信息,“這意味著,即使是不屬于隱私權(quán)中‘私密信息’的個(gè)人信息,也依然能得到相應(yīng)的法律保護(hù)”。
“民法典強(qiáng)化對(duì)個(gè)人信息的保護(hù),還體現(xiàn)在維護(hù)個(gè)人對(duì)其信息的控制權(quán)上。這種控制權(quán)包括控制個(gè)人信息流出、更正或撤回,維護(hù)個(gè)人信息的安全環(huán)境。”申衛(wèi)星說(shuō),知情同意正是控制個(gè)人信息流出的關(guān)鍵措施。根據(jù)民法典規(guī)定,處理自然人個(gè)人信息的,一般都必須征得該自然人或者其監(jiān)護(hù)人同意,即便是獲得了個(gè)人同意,在處理個(gè)人信息過(guò)程中還需要明示處理信息的目的、方式和范圍,不得違反法律、行政法規(guī)的規(guī)定和雙方的約定,并按照合理的方式處理信息。
查詢、復(fù)制并行使刪除權(quán)是確保個(gè)人信息主體控制權(quán)的具體措施。根據(jù)民法典規(guī)定,自然人可以依法向信息處理者查閱或者復(fù)制其個(gè)人信息;發(fā)現(xiàn)信息有錯(cuò)誤的,有權(quán)提出異議并請(qǐng)求及時(shí)采取更正等必要措施。此外,自然人發(fā)現(xiàn)信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定處理其個(gè)人信息的,有權(quán)請(qǐng)求信息處理者及時(shí)刪除。“通過(guò)這些具體措施的賦權(quán),公民可以掌控其個(gè)人信息的使用狀態(tài),并且對(duì)相關(guān)狀態(tài)進(jìn)行調(diào)整,甚至提出刪除的要求,個(gè)人信息的處理者都需要對(duì)這些權(quán)利主張予以滿足。”申衛(wèi)星說(shuō)。
在疫情防控中要做好個(gè)人信息保護(hù)工作
6月17日,河北燕郊一街道辦工作人員賈某某,因在微信群傳播疫情防控傳真文件照片,內(nèi)容涉及居民張某等人的隱私信息,被公安機(jī)關(guān)依法行政拘留10日。
這一事件并非孤例。4月19日,青島公安發(fā)布通報(bào)稱,因造成膠州中心醫(yī)院出入人員名單在社會(huì)上被轉(zhuǎn)發(fā)傳播,3人被依法行政拘留。名單涉及6000余人的姓名、身份證號(hào)碼等個(gè)人信息,侵犯了公民個(gè)人隱私權(quán)。公安部統(tǒng)計(jì)數(shù)據(jù)顯示,截至4月15日,全國(guó)公安機(jī)關(guān)共處罰網(wǎng)上傳播涉疫情公民個(gè)人信息違法人員1522名。
在疫情防控常態(tài)化的大背景下,利用大數(shù)據(jù)開展聯(lián)防聯(lián)控已成工作常態(tài)。如何平衡公共利益與公民個(gè)人信息保護(hù),兼顧社會(huì)治理安全與效率,確保公民個(gè)人信息安全,成為令人關(guān)注的社會(huì)話題。
“電信運(yùn)營(yíng)商和各大互聯(lián)網(wǎng)平臺(tái)掌握了公民大量的地理位置、行蹤軌跡等個(gè)人信息,這是利用大數(shù)據(jù)助力疫情防控最顯著的優(yōu)勢(shì)。”由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)牽頭成立的APP專項(xiàng)治理工作組副組長(zhǎng)洪延青表示,相較于傳統(tǒng)的走訪、摸排、登記,信息技術(shù)和大數(shù)據(jù)分析更加及時(shí)、準(zhǔn)確、有效,成為疫情防控和監(jiān)測(cè)的重要手段。此外,大數(shù)據(jù)不斷學(xué)習(xí)、更迭、完善的特點(diǎn),也有利于更好分析掌握疾病傳播規(guī)律,消除防疫“盲區(qū)”和不確定性。
將大數(shù)據(jù)應(yīng)用于疫情防控,要防止個(gè)人信息泄露的現(xiàn)象發(fā)生。在中國(guó)社會(huì)科學(xué)院大學(xué)互聯(lián)網(wǎng)法治研究中心執(zhí)行主任劉曉春看來(lái),造成個(gè)人信息泄露的原因主要有以下幾個(gè)方面:未經(jīng)被收集者同意,隨意收集、存貯、使用個(gè)人信息;收集的個(gè)人信息明顯超過(guò)正當(dāng)和必要范圍;收集和控制的個(gè)人信息,未經(jīng)被收集者同意,用于其他用途;未經(jīng)被收集者同意,公開其個(gè)人信息,尤其是敏感信息;個(gè)人信息的收集和控制者,沒有盡到個(gè)人信息安全保護(hù)主體責(zé)任。
事實(shí)上,早在今年2月,中央網(wǎng)信辦就發(fā)布《關(guān)于做好個(gè)人信息保護(hù)利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》,對(duì)疫情防控期間的個(gè)人信息安全保障作出規(guī)定?!锻ㄖ访鞔_規(guī)定,為疫情防控、疾病防治收集的個(gè)人信息,不得用于其他用途,任何單位和個(gè)人未經(jīng)被收集者同意,不得公開其姓名、年齡、身份證號(hào)碼、電話號(hào)碼、家庭住址等個(gè)人信息。
“疫情防控與個(gè)人信息保護(hù),需要統(tǒng)籌兼顧、做好平衡。”在洪延青看來(lái),涉及個(gè)人信息的采集、匯總、共享、披露等各個(gè)環(huán)節(jié)都應(yīng)當(dāng)注意做好個(gè)人信息保護(hù)工作,以防出現(xiàn)數(shù)據(jù)泄露、丟失、濫用等情形。比如,以紙質(zhì)填表方式開展的走訪調(diào)查需要妥善保管,并在適當(dāng)時(shí)候統(tǒng)一回收;以電子方式記錄或匯總相關(guān)信息,則需要責(zé)任落實(shí)到人,并將數(shù)據(jù)保存在特定終端并加密存儲(chǔ)。
“在匯總存儲(chǔ)環(huán)節(jié),盡可能相對(duì)集中管理和處理個(gè)人信息,采用嚴(yán)密的訪問(wèn)控制、審計(jì)、加密等安全措施;在向疫情防控工作相關(guān)方共享、傳輸相關(guān)數(shù)據(jù)時(shí),應(yīng)確認(rèn)對(duì)方是有權(quán)獲取數(shù)據(jù)的機(jī)構(gòu)或個(gè)人,并采取加密傳輸?shù)拇胧?rdquo;劉曉春說(shuō),在個(gè)人信息使用過(guò)程中,需要做到專采專用,嚴(yán)格限制于疫情防控目的,不得用于其他用途,并且在疫情防控結(jié)束后按照規(guī)定予以妥善處置。
生物識(shí)別信息保護(hù)要更加細(xì)化
“我的‘臉’我能做主嗎?”為討個(gè)說(shuō)法,杭州市民郭兵打了場(chǎng)官司。
2019年4月,郭兵在某野生動(dòng)物園辦理了一張年卡,通過(guò)驗(yàn)證年卡和指紋,可在一年內(nèi)不限次數(shù)入園游玩。當(dāng)年10月,該野生動(dòng)物園通過(guò)短信告知郭兵:園區(qū)年卡系統(tǒng)已升級(jí)為人臉識(shí)別入園,原指紋識(shí)別已取消,即日起,未注冊(cè)人臉識(shí)別的用戶將無(wú)法正常入園。郭兵認(rèn)為,面部特征等個(gè)人生物識(shí)別信息屬于個(gè)人敏感信息,一旦泄露、非法提供或者濫用,將極易危害包括原告在內(nèi)的消費(fèi)者的人身和財(cái)產(chǎn)安全。
在協(xié)商不成的情況下,郭兵以服務(wù)合同違約為由,將該野生動(dòng)物園告上法庭。6月15日,該案在杭州開庭審理。庭審中,雙方辯論焦點(diǎn)集中于搜集的人臉等生物特征信息,是否符合法律法規(guī)要求;有無(wú)做到充分告知,及征得用戶同意等。
郭兵認(rèn)為,人臉屬于敏感個(gè)人信息,搜集需要符合相應(yīng)條件,即合法性、正當(dāng)性、必要性,而且即使符合這些原則,也應(yīng)當(dāng)告知用戶使用目的并征得用戶同意。“收到短信時(shí),我還以為是要求采集人臉信息。但沒想到這只是告知我已經(jīng)升級(jí)為刷臉入園,要求激活而已。也就是說(shuō),被告之前已經(jīng)收集了我的人臉信息,但此前從沒有告訴用戶需要采集面部信息。”郭兵說(shuō)。此次庭審,法院未當(dāng)庭宣判。
這起官司因涉及過(guò)度采集公民生物特征信息、個(gè)人隱私安全等,引起了社會(huì)公眾的廣泛關(guān)注。近年來(lái),隨著人工智能、信息技術(shù)快速發(fā)展,面部特征、指紋、虹膜、聲音、步態(tài)等“個(gè)人生物識(shí)別信息”得以廣泛運(yùn)用,一方面給經(jīng)濟(jì)社會(huì)發(fā)展提供巨大助力、為公民日常生活帶來(lái)更多便利,但另一方面,也存在著泄露個(gè)人信息、侵害個(gè)人隱私安全的隱患。
“在我國(guó),包括生物識(shí)別信息在內(nèi)的個(gè)人信息的法律保護(hù),經(jīng)歷了一個(gè)從無(wú)到有、從刑法保護(hù)為主到公法私法并重的發(fā)展歷程。”清華大學(xué)法學(xué)院副院長(zhǎng)程嘯表示,2009年,刑法修正案(七)首次將竊取或以其他方式非法獲取公民個(gè)人信息情節(jié)嚴(yán)重的行為規(guī)定為犯罪。2017年施行的網(wǎng)絡(luò)安全法,不僅明確界定了個(gè)人信息的含義,把個(gè)人生物識(shí)別信息納入個(gè)人信息范疇,同時(shí)還對(duì)個(gè)人信息的收集、存儲(chǔ)、保管和使用進(jìn)行了更詳細(xì)、全面的規(guī)范。
“在新出臺(tái)的民法典人格權(quán)編中,對(duì)個(gè)人生物識(shí)別信息也提供了多重保護(hù)。”程嘯說(shuō),在一定載體上所反映的特定自然人可以被識(shí)別的外部形象屬于肖像,應(yīng)當(dāng)受到肖像權(quán)的保護(hù),任何組織或者個(gè)人不得以利用信息技術(shù)手段偽造等方式侵害他人的肖像權(quán),“采取偷拍偷錄等方式采集自然人人臉等生物識(shí)別信息的行為,將構(gòu)成對(duì)隱私權(quán)的侵害。對(duì)既不屬于肖像,也不屬于隱私的生物識(shí)別信息,還可以適用民法典人格權(quán)編個(gè)人信息保護(hù)的規(guī)定”。
“手機(jī)號(hào)碼、郵箱、銀行賬號(hào)等個(gè)人信息,比較容易進(jìn)行更改,但個(gè)人生物識(shí)別信息要更改則非常困難。這意味著個(gè)人生物識(shí)別信息一旦被非法收集、泄露,不僅會(huì)對(duì)自然人的人身財(cái)產(chǎn)安全產(chǎn)生威脅或現(xiàn)實(shí)損害,而且無(wú)法以修改、重置等方式預(yù)防后續(xù)損害。”程嘯認(rèn)為,人臉信息等個(gè)人生物識(shí)別的特殊性還在于容易在未經(jīng)自然人主動(dòng)配合的情形下進(jìn)行收集,“在這種情況下,網(wǎng)絡(luò)安全法等法律規(guī)定的告知同意原則實(shí)際上難以落實(shí),這就要求法律對(duì)哪些組織或者個(gè)人在哪些場(chǎng)合可以收集人臉等生物識(shí)別信息,作出更明確的規(guī)定”。
在庭審中,郭兵說(shuō):“我并不是一個(gè)技術(shù)上的‘保守者’,但是面對(duì)類似人臉識(shí)別等技術(shù)創(chuàng)新時(shí),也要同時(shí)繃緊個(gè)人信息保護(hù)這根‘弦’。希望這起案件的審理能夠成為一堂普法課,讓更多人關(guān)注和思考如何更好實(shí)現(xiàn)技術(shù)應(yīng)用與個(gè)人信息保護(hù)的統(tǒng)籌兼顧。”