以大数据、云计算为代表的信息技术的快速发展,不仅为经济社会发展提供巨大动力、为人民生活带来更多便利,也给个人信息保护、个人隐私安全带来更多挑战。
十三届全国人大三次会议审议通过的民法典在现行有关法律规定的基础上,进一步强化对隐私权和个人信息的保护,并为下一步制定个人信息保护法留下空间。
如何更好实现技术应用与隐私保护的统筹兼顾?疫情防控中的个人信息安全问题应如何破解?生物识别技术运用中暗藏的隐私泄露风险应如何规避?这都需要从法律和实践中寻找答案。
——编 者
民法典提供更广泛的个人信息保护
前不久,哈尔滨市民王先生发现,在使用某应用程序时,该应用程序会自动获取其好友信息并推送好友发布的视频。据此,王先生以侵犯隐私权为由提起诉讼。法院裁定,要求该应用程序立即停止使用王先生的好友信息,停止将王先生信息推荐给其他用户。
“这起案件的判决将个人信息纳入到了隐私权保护的范围内,但并没有对个人信息和隐私权作出更清晰的区分。”在北京互联网法院审管办主任孙铭溪看来,这一判例是司法实践的常态,“民法总则虽然明确自然人享有隐私权,但并未对个人信息和隐私权的概念作出界定。”不过,前不久十三届全国人大三次会议通过的民法典中的人格权编,则给出了隐私的明确定义:既包括“私人生活安宁”,也包含“不愿意让他人知晓的私密空间、私密活动、私密信息”,任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权,不得实施可能破坏他人隐私和隐私权的行为。
“民法典对隐私权的强化保护,体现出在数字时代,更加重视数字人格的立法取向。”孙铭溪说,隐私权更多侧重于精神利益,个人信息则兼具人格和财产利益;隐私偏重于消极防御权,个人信息则强调个人信息的自决和控制;个人信息更多关注的是客观风险,隐私权所包含的“私密信息”则更关注主观意愿。
“民法典事实上提供了比隐私权更广泛的个人信息保护。”清华大学法学院院长申卫星表示,民法典在总则部分规定,自然人的个人信息受法律保护,任何组织或者个人应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息,“这意味着,即使是不属于隐私权中‘私密信息’的个人信息,也依然能得到相应的法律保护”。
“民法典强化对个人信息的保护,还体现在维护个人对其信息的控制权上。这种控制权包括控制个人信息流出、更正或撤回,维护个人信息的安全环境。”申卫星说,知情同意正是控制个人信息流出的关键措施。根据民法典规定,处理自然人个人信息的,一般都必须征得该自然人或者其监护人同意,即便是获得了个人同意,在处理个人信息过程中还需要明示处理信息的目的、方式和范围,不得违反法律、行政法规的规定和双方的约定,并按照合理的方式处理信息。
查询、复制并行使删除权是确保个人信息主体控制权的具体措施。根据民法典规定,自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。此外,自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。“通过这些具体措施的赋权,公民可以掌控其个人信息的使用状态,并且对相关状态进行调整,甚至提出删除的要求,个人信息的处理者都需要对这些权利主张予以满足。”申卫星说。
在疫情防控中要做好个人信息保护工作
6月17日,河北燕郊一街道办工作人员贾某某,因在微信群传播疫情防控传真文件照片,内容涉及居民张某等人的隐私信息,被公安机关依法行政拘留10日。
这一事件并非孤例。4月19日,青岛公安发布通报称,因造成胶州中心医院出入人员名单在社会上被转发传播,3人被依法行政拘留。名单涉及6000余人的姓名、身份证号码等个人信息,侵犯了公民个人隐私权。公安部统计数据显示,截至4月15日,全国公安机关共处罚网上传播涉疫情公民个人信息违法人员1522名。
在疫情防控常态化的大背景下,利用大数据开展联防联控已成工作常态。如何平衡公共利益与公民个人信息保护,兼顾社会治理安全与效率,确保公民个人信息安全,成为令人关注的社会话题。
“电信运营商和各大互联网平台掌握了公民大量的地理位置、行踪轨迹等个人信息,这是利用大数据助力疫情防控最显著的优势。”由全国信息安全标准化技术委员会牵头成立的APP专项治理工作组副组长洪延青表示,相较于传统的走访、摸排、登记,信息技术和大数据分析更加及时、准确、有效,成为疫情防控和监测的重要手段。此外,大数据不断学习、更迭、完善的特点,也有利于更好分析掌握疾病传播规律,消除防疫“盲区”和不确定性。
将大数据应用于疫情防控,要防止个人信息泄露的现象发生。在中国社会科学院大学互联网法治研究中心执行主任刘晓春看来,造成个人信息泄露的原因主要有以下几个方面:未经被收集者同意,随意收集、存贮、使用个人信息;收集的个人信息明显超过正当和必要范围;收集和控制的个人信息,未经被收集者同意,用于其他用途;未经被收集者同意,公开其个人信息,尤其是敏感信息;个人信息的收集和控制者,没有尽到个人信息安全保护主体责任。
事实上,早在今年2月,中央网信办就发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》,对疫情防控期间的个人信息安全保障作出规定。《通知》明确规定,为疫情防控、疾病防治收集的个人信息,不得用于其他用途,任何单位和个人未经被收集者同意,不得公开其姓名、年龄、身份证号码、电话号码、家庭住址等个人信息。
“疫情防控与个人信息保护,需要统筹兼顾、做好平衡。”在洪延青看来,涉及个人信息的采集、汇总、共享、披露等各个环节都应当注意做好个人信息保护工作,以防出现数据泄露、丢失、滥用等情形。比如,以纸质填表方式开展的走访调查需要妥善保管,并在适当时候统一回收;以电子方式记录或汇总相关信息,则需要责任落实到人,并将数据保存在特定终端并加密存储。
“在汇总存储环节,尽可能相对集中管理和处理个人信息,采用严密的访问控制、审计、加密等安全措施;在向疫情防控工作相关方共享、传输相关数据时,应确认对方是有权获取数据的机构或个人,并采取加密传输的措施。”刘晓春说,在个人信息使用过程中,需要做到专采专用,严格限制于疫情防控目的,不得用于其他用途,并且在疫情防控结束后按照规定予以妥善处置。
生物识别信息保护要更加细化
“我的‘脸’我能做主吗?”为讨个说法,杭州市民郭兵打了场官司。
2019年4月,郭兵在某野生动物园办理了一张年卡,通过验证年卡和指纹,可在一年内不限次数入园游玩。当年10月,该野生动物园通过短信告知郭兵:园区年卡系统已升级为人脸识别入园,原指纹识别已取消,即日起,未注册人脸识别的用户将无法正常入园。郭兵认为,面部特征等个人生物识别信息属于个人敏感信息,一旦泄露、非法提供或者滥用,将极易危害包括原告在内的消费者的人身和财产安全。
在协商不成的情况下,郭兵以服务合同违约为由,将该野生动物园告上法庭。6月15日,该案在杭州开庭审理。庭审中,双方辩论焦点集中于搜集的人脸等生物特征信息,是否符合法律法规要求;有无做到充分告知,及征得用户同意等。
郭兵认为,人脸属于敏感个人信息,搜集需要符合相应条件,即合法性、正当性、必要性,而且即使符合这些原则,也应当告知用户使用目的并征得用户同意。“收到短信时,我还以为是要求采集人脸信息。但没想到这只是告知我已经升级为刷脸入园,要求激活而已。也就是说,被告之前已经收集了我的人脸信息,但此前从没有告诉用户需要采集面部信息。”郭兵说。此次庭审,法院未当庭宣判。
这起官司因涉及过度采集公民生物特征信息、个人隐私安全等,引起了社会公众的广泛关注。近年来,随着人工智能、信息技术快速发展,面部特征、指纹、虹膜、声音、步态等“个人生物识别信息”得以广泛运用,一方面给经济社会发展提供巨大助力、为公民日常生活带来更多便利,但另一方面,也存在着泄露个人信息、侵害个人隐私安全的隐患。
“在我国,包括生物识别信息在内的个人信息的法律保护,经历了一个从无到有、从刑法保护为主到公法私法并重的发展历程。”清华大学法学院副院长程啸表示,2009年,刑法修正案(七)首次将窃取或以其他方式非法获取公民个人信息情节严重的行为规定为犯罪。2017年施行的网络安全法,不仅明确界定了个人信息的含义,把个人生物识别信息纳入个人信息范畴,同时还对个人信息的收集、存储、保管和使用进行了更详细、全面的规范。
“在新出台的民法典人格权编中,对个人生物识别信息也提供了多重保护。”程啸说,在一定载体上所反映的特定自然人可以被识别的外部形象属于肖像,应当受到肖像权的保护,任何组织或者个人不得以利用信息技术手段伪造等方式侵害他人的肖像权,“采取偷拍偷录等方式采集自然人人脸等生物识别信息的行为,将构成对隐私权的侵害。对既不属于肖像,也不属于隐私的生物识别信息,还可以适用民法典人格权编个人信息保护的规定”。
“手机号码、邮箱、银行账号等个人信息,比较容易进行更改,但个人生物识别信息要更改则非常困难。这意味着个人生物识别信息一旦被非法收集、泄露,不仅会对自然人的人身财产安全产生威胁或现实损害,而且无法以修改、重置等方式预防后续损害。”程啸认为,人脸信息等个人生物识别的特殊性还在于容易在未经自然人主动配合的情形下进行收集,“在这种情况下,网络安全法等法律规定的告知同意原则实际上难以落实,这就要求法律对哪些组织或者个人在哪些场合可以收集人脸等生物识别信息,作出更明确的规定”。
在庭审中,郭兵说:“我并不是一个技术上的‘保守者’,但是面对类似人脸识别等技术创新时,也要同时绷紧个人信息保护这根‘弦’。希望这起案件的审理能够成为一堂普法课,让更多人关注和思考如何更好实现技术应用与个人信息保护的统筹兼顾。”