個(gè)人信息保護法對敏感個(gè)人信息給予特殊保護
如何從紙面到現實(shí)
告別個(gè)人信息裸奔
網(wǎng)絡(luò )信息時(shí)代���,個(gè)人信息保護領(lǐng)域亂象叢生���,一些企業(yè)��、機構甚至個(gè)人隨意收集����、違法獲取�����、過(guò)度使用����、非法買(mǎi)賣(mài)個(gè)人信息�,侵擾人民群眾生活安寧����、危害人民群眾生命健康和財產(chǎn)安全����。個(gè)人信息保護成為廣大人民群眾最關(guān)心�、最直接���、最現實(shí)的利益問(wèn)題���。
11月1日起��,備受關(guān)注的個(gè)人信息保護法正式施行��。
出臺專(zhuān)門(mén)的個(gè)人信息保護法也成為近年來(lái)社會(huì )各界最為強烈的立法呼聲����。如何保護好個(gè)人信息���、如何構筑強有力的法律威懾�、如何有效遏制違法違規侵害個(gè)人信息權益的行為���,是立法亟待解決的問(wèn)題��。經(jīng)過(guò)三次審議�����,8月20日���,十三屆全國人大常委會(huì )第三十次會(huì )議表決通過(guò)個(gè)人信息保護法���。
作為個(gè)人信息保護領(lǐng)域的基礎性專(zhuān)門(mén)法律���,個(gè)人信息保護法與民法典�、數據安全法���、電子商務(wù)法等法律共同編織成一張個(gè)人信息保護網(wǎng)�。值得一提的是��,在全社會(huì )個(gè)人信息安全意識逐步提高的大背景下�����,廣大人民群眾對個(gè)人信息保護雖然一直保持較高的關(guān)注熱情��,但也普遍缺乏相關(guān)的科學(xué)知識和法律知識�。個(gè)人信息保護法真正從紙面的法律條文變?yōu)槭种芯S權的利器���,并非一蹴而就�。
區分敏感與非敏感信息
對于普通民眾來(lái)說(shuō)�,哪些個(gè)人信息受個(gè)人信息保護法的保護����,尤其是哪些個(gè)人信息會(huì )受到法律的特殊保護��,無(wú)疑是最應該弄明白的問(wèn)題����。
個(gè)人信息保護法的一大亮點(diǎn)�,是首次在法律上將個(gè)人信息區分為敏感與非敏感��,采取概括加列舉的定義方式�����,將“敏感個(gè)人信息”界定為“一旦泄露或者非法使用���,容易導致自然人的人格尊嚴受到侵害或者人身�����、財產(chǎn)安全受到危害的個(gè)人信息”����,同時(shí)對敏感個(gè)人信息的處理予以專(zhuān)門(mén)的���、更加嚴格的規范����。
按照個(gè)人信息保護法的規定����,生物識別�、宗教信仰�、特定身份�、醫療健康�、金融賬戶(hù)���、行蹤軌跡以及不滿(mǎn)十四周歲未成年人的個(gè)人信息等��,被歸類(lèi)為“敏感”的個(gè)人信息�����。相比其他的個(gè)人信息�,敏感個(gè)人信息將得到更為嚴格的保護����。
談及為何要對敏感個(gè)人信息提供特殊的法律保護���,清華大學(xué)法學(xué)院副院長(cháng)程嘯指出����,一方面�����,敏感個(gè)人信息與自然人的人格尊嚴���、人格自由等基本權利和重大人身財產(chǎn)權益具有極為密切的聯(lián)系���。無(wú)論合法還是非法處理此類(lèi)信息��,都會(huì )產(chǎn)生重大風(fēng)險甚至直接損害���。例如����,掌握自然人的基因����、指紋�����、聲紋���、掌紋����、臉部特征等生物識別信息��,就可以永久識別特定自然人�����。如果處理者挖空心思想著(zhù)如何利用這些信息來(lái)謀取利益��,那對個(gè)人可能會(huì )造成何種危險將難以預測和控制��。另一方面�,網(wǎng)絡(luò )信息時(shí)代�,完全禁止利用個(gè)人信息顯然是不可能的���,如何劃定保護與合理使用的邊界就成為問(wèn)題核心��。敏感與非敏感的區分有助于更科學(xué)地劃定這一邊界��。此外����,區分并明確列舉敏感個(gè)人信息�,對于自然人�、個(gè)人信息處理者以及相關(guān)職能部門(mén)來(lái)說(shuō)都非常必要�。
“這種區分�����,可以使自然人更充分意識到敏感個(gè)人信息的重要性��,采取更有效的自我保護行動(dòng)���,更謹慎的行為���,一旦發(fā)現違法行為及時(shí)舉報等����,也能夠降低個(gè)人信息處理者履行義務(wù)的合規成本����,提高對處理行為合法性的可預期性����。職能部門(mén)也可以集中資源進(jìn)行精準有效的執法活動(dòng)�����,提高執法效率�����。”程嘯說(shuō)�����。
敏感信息泄露危害極大
敏感個(gè)人信息最核心的特點(diǎn)就是敏感性�����。
“這種敏感��,就是指造成侵害或危害后果上的容易性��。”程嘯說(shuō)��,侵害或危害敏感個(gè)人信息的后果有兩類(lèi)�,一是人格尊嚴受到侵害����。比如����,泄露個(gè)人的種族���、民族���、政治觀(guān)點(diǎn)��、性取向����、疾病等個(gè)人信息�,或者非法使用這些個(gè)人信息����,會(huì )使個(gè)人遭受歧視或受到不公正的對待��,這就是對人格尊嚴的侵害�����。二是自然人的人身����、財產(chǎn)安全受到危害�。比如�,泄露了個(gè)人的行蹤軌跡���,被不法分子知悉而導致受害人被殺害�;泄露銀行賬戶(hù)信息導致銀行的資金被竊取等���。
尤為值得關(guān)注的是�,人臉識別作為敏感個(gè)人信息的一種��,一旦泄露容易對個(gè)人的人身和財產(chǎn)安全造成極大危害�����,還可能威脅公共安全�����,因此對其收集和使用一直廣受關(guān)注���。
個(gè)人信息保護法第二十六條規定����,在公共場(chǎng)所安裝圖像采集���、個(gè)人身份識別設備��,應當為維護公共安全所必需���,遵守國家有關(guān)規定�,并設置顯著(zhù)的提示標識�����。所收集的個(gè)人圖像����、身份識別信息只能用于維護公共安全的目的�,不得用于其他目的����;取得個(gè)人單獨同意的除外�。
據悉��,目前�,就公共場(chǎng)所安裝圖像采集�、個(gè)人身份識別設備�����,除了反恐怖主義法之外�,尚缺乏相應的法律法規���,僅有少數地方政府制定了政府規章����,例如�,2007年4月1日起施行的《北京市公共安全圖像信息系統管理辦法》�、2011年8月1日起施行的《陜西省公共安全圖像信息系統管理辦法》等�����。但這些地方政府規章頒布的年代較早���,已不適應現實(shí)要求��。
鑒于此�,程嘯建議�,個(gè)人信息保護法落地之后���,應當盡快從頂層設計層面完善公共安全視頻圖像系統的相關(guān)法律法規�����,更好協(xié)調公共安全的維護與個(gè)人信息的保護��。
主動(dòng)拿起法律武器維權
那么�����,作為個(gè)人信息的權利人�����,該怎樣做才能有效地保護好自己的個(gè)人信息尤其是敏感信息呢�����?中消協(xié)近日專(zhuān)門(mén)給出5個(gè)“提醒”:
要積極學(xué)習個(gè)人信息保護法等法律規定�。包括了解個(gè)人信息和敏感個(gè)人信息的處理規則��、自身所享有的權利���、個(gè)人信息處理者應當承擔的義務(wù)以及個(gè)人信息權益受到侵害時(shí)的救濟方式等����。
要養成“非必要不提供”的良好習慣���。除了要仔細閱讀隱私協(xié)議等條款外����,還要考量處理個(gè)人信息理由的充分性和提供個(gè)人信息的必要性���,只在確屬必要的情況下才提供個(gè)人信息或者進(jìn)行授權���。
要對自己授權或者提供的個(gè)人信息進(jìn)行持續跟蹤��。不同意繼續處理自己的個(gè)人信息時(shí)��,要積極行使“撤回同意”權利�����,要求對方停止處理或及時(shí)刪除其個(gè)人信息�。
要注意銷(xiāo)毀帶有個(gè)人信息的單據和資料����,防止因隨意丟棄����、使用不當等造成個(gè)人信息泄露���。如妥善處理未脫敏的快遞單據等帶有個(gè)人信息的單據和資料�,使用完后應及時(shí)銷(xiāo)毀�����,或是涂抹掉關(guān)鍵信息后再丟棄��;一些帶有個(gè)人敏感信息的電子數據����,如證件照片等���,建議用完即刪或者采用加密方式進(jìn)行存儲��。
要主動(dòng)拿起法律武器維護合法權益��。當自身個(gè)人信息權益受到侵害或者發(fā)現存在違法處理個(gè)人信息行為時(shí)��,要主動(dòng)進(jìn)行投訴���、舉報����,提供案件線(xiàn)索和相關(guān)憑證���,維護合法權益��。
存量個(gè)人信息何去何從
伴隨個(gè)人信息保護法的落地�,還有一個(gè)問(wèn)題值得關(guān)注���,那就是存量個(gè)人信息該何去何從���。
所謂存量個(gè)人信息�,是指個(gè)人信息處理者在個(gè)人信息保護法實(shí)施前已經(jīng)收集���、存儲的各類(lèi)個(gè)人信息���。其中����,一些個(gè)人信息處理者可能會(huì )以不符合法律規定的方式收集��、存儲了大量的包含敏感個(gè)人信息在內的個(gè)人信息��。
由于個(gè)人信息處理行為具有持續性��,個(gè)人信息保護法施行后����,實(shí)踐中這些個(gè)人信息還可能被繼續利用�����。“對于這種處理行為應當及時(shí)地進(jìn)行法律規制����。”中國人民大學(xué)法學(xué)院教授張新寶指出�,由于目前還缺乏清晰的法律政策指引���,完善對存量個(gè)人信息的合法合規治理是個(gè)人信息保護法落地后亟待解決的問(wèn)題����。
在張新寶看來(lái)�,對于存量個(gè)人信息的處理���,如果存在違法違規情形���,其行為的性質(zhì)應當如何認定需要作出司法政策上的決斷�����。他主張����,應當以個(gè)人信息保護法正式實(shí)施之日作為時(shí)間節點(diǎn)���,區分實(shí)施前與實(shí)施后兩種情形分別作出判斷��。
張新寶建議出臺相關(guān)規章或者司法解釋對這一問(wèn)題作出明確規定�����。“如果個(gè)人信息處理者的處理活動(dòng)未能達到個(gè)人信息保護法規定的規范化標準�,相關(guān)職能部門(mén)應當責令其改正或者獲得補充的同意�����,或者責令其不得進(jìn)行除存儲和采取必要的安全保護措施之外的處理���。”
編輯:薛姣
