信息技术的迅猛发展极大地推进了全球信息化和网络化进程,我们进入了传统物理空间与网络空间相交织的“双层空间”,数据与信息记录了我们的所有活动。面对日新月异的技术发展,作为规范评价的法律必须因时制宜,对如何在信息化时代保护好个人信息作出回应。为此,我们必须要厘清当下个人信息需要保护的是什么,重点是什么,又该如何进行保护。
个人信息的界定:从基于识别到基于权益
我国最早给出个人信息完整定义的规范性文件,是2013年的《关于依法惩处侵害公民个人信息犯罪活动的通知》(以下简称《通知》),规定公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。此后,2015年《网络安全法》第七十六条作出了如下定义:公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。与《通知》相比,一方面,《网络安全法》所规定之个人信息不但包括单独识别自然人个人身份的,还包括与其他信息相结合可识别特定自然人的信息;另一方面,《网络安全法》不再将有关隐私的内容置于个人信息的范畴之内。这一变化显示出我国对于个人信息与隐私之间关系的认识发生了改变,大部分观点都认为个人信息与隐私权之间是交叉的关系:两者的交汇处为个人隐私信息,而不属于隐私的一般个人信息只能以个人信息的形式保护,私人空间以及活动等则只能通过隐私权来保护。
相较于《网络安全法》,2017年《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》在个人信息的定义和列举上进行了双重扩张,除了将行踪轨迹这种“反映特定自然人活动情况的各种信息”认定为个人信息外,还将财产状况、账号密码等信息也认定为个人信息。这是法律基于网络实名制、银行账户实名制、移动设备实时定位机制而作出的改变,是合理也是必然的立法演进趋势。不难发现,从身份信息到行踪轨迹再到账号密码,个人信息的外延不断扩张,其重点从基于识别转向利益保护,关于个人信息法律规范的保护对象,从单纯的身份信息变成了与个人权益密切相关的各种信息。其背后的逻辑便是个人生活信息化程度的不断提高,互联网公司比我们更了解我们自己已成为事实,法律对此的回应便是将其保护的对象从保护作为客体的信息转变为保护作为信息主体的人。
随着以5G、云计算和物联网为代表的信息技术的快速发展,万物互联与个人生活的信息化成为可能,在可预见的未来,个人信息的外延还将继续扩展,以紧随时代潮流,规制技术的野蛮生长。
个人信息保护焦点:生物特征识别信息
随着生物特征识别技术的不断进步,人脸识别、骨声纹识别、掌静脉识别都开始大规模商用。这些技术在带来方便的同时也使人们越来越缺少安全感。仅2019年便出现了“ZAO”软件换脸、杭州市动物园进园刷脸、多地地铁安检刷脸等争议事件。技术的无孔不入与个人想要维护最后隐私之间的矛盾在这些事件中集中爆发,如果法律不对此进行规范性评价,则只可能导致两个结果——人们普遍抵触生物特征识别信息的商用或公众的生物特征识别信息被滥用。
全世界最早对生物特征识别信息进行保护的法律是美国伊利诺斯州2008年通过的《伊利诺斯生物特征隐私法》,此后美国的得克萨斯州、华盛顿州也通过了自己的生物特征识别数据保护法。与美国依旧将其作为一种隐私权进行保护不同,欧盟在《通用数据保护条例》中将生物特征识别信息作为一种特殊种类的个人数据即个人敏感数据进行保护。对于生物特征识别信息的商用,不管是美国还是欧盟都没有采取绝对禁止的态度,其中美国主要侧重雇主对其雇员生物识别信息的保存和使用,欧盟则更多出于个人信息保护的考虑,但在对待以人脸识别为代表的生物特征识别信息公共及商业使用的态度上,欧美均持谨慎甚至反对的态度。目前,国内大量App以及自动贩卖机都需要刷脸支付,这在欧美现行法律制度下几乎不可能存在。
除了各国的社会、文化背景以及对个人信息的态度存在差异之外,过于谨慎的态度也不利于技术的进一步发展。严格来说,美国和欧盟在生物特征识别信息保护上的态度也不同,与欧盟强调保障人权,赋予信息主体强大的自主决定权不同,美国在立法与司法中均把经济与科技的发展作为重要考量,在一定范围内有条件地放开商用。实践证明,过于强调信息保护而忽视信息利用的《通用数据保护条例》,在很大程度上阻碍了欧洲信息技术的进步。正确的态度应该是在加强立法与监管体系建设的同时,通过完善个人权利保护与救济机制以及企业预防机制,在公民个人信息保护与技术创新之间作出动态平衡。对我国来说,一个较为合理的保护模式,是在即将出台的《个人信息保护法》中以“个人敏感信息”的方式对其进行保护,明确生物识别特征信息的外延,对企业的商用作出更多的限制,同时可根据泄露风险大小、隐私性高低等标准对生物特征识别信息进行分级,建立信息分级与分类保护体系,对不同层级的信息设定不同的保护标准,以实现技术、市场和规范的协调。
个人信息保护模式:从分散到统一
对于个人信息究竟是不是一种权利以及权利性质究竟是人格权、财产权还是兼而有之,虽然一直存在争议,但在立法层面,我国比较明确地将个人信息权认定为一种兼具人格权与财产权的独立性权利,对个人信息进行专门性保护的《个人信息保护法》预计将在2020年正式公布。这种对个人信息保护单独立法的模式并非我国独有,《通用数据保护条例》便是这种保护模式最为典型的代表。但我国与欧盟的立法模式区别在于,欧盟并未区分数据与个人信息,而我国计划采取的是并行的立法模式,既有《个人信息保护法》保护个人信息,又有《数据安全法》保障数据安全。
基于判例法的传统,至今为止美国并未出台一部统一的个人信息保护法典,而是采取了分散立法与判例法相结合的模式,一方面,针对不同领域出台了多部关于个人信息保护的法律法规,如电信服务领域的《电话消费者保护法》、医疗保健领域的《健康信息携带和责任法》;另一方面,通过在具体个案对公民个人隐私的阐释来保护个人信息。此外,在美国的个人信息保护体系中,行业联盟以及其制定的行业网络隐私保护政策也扮演了重要的角色。
但不管是哪种模式,关于个人信息立法的趋势是从分散到集中。在我国,最早对个人信息保护作出回应的部门法是刑法,2009年的《刑法修正案(七)》第七条增设了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”两个罪名(现已合并为“侵犯公民个人信息罪”)。此后,《刑法修正案(九)》《网络安全法》《民法总则》《民法典》均对个人信息的保护作出了规定。这些散见于各类法律文件中的规定已经能够应对大多数涉及个人信息侵权或犯罪的案件。但是随着大数据的不断发展,个人信息的地位不断提高,成为信息时代最为宝贵的资源。在这样的大背景下,出台一部对个人信息保护作出系统性规定的法律十分有必要。
个人信息保护的主体:中国路径的探究
信息技术的进步对社会的冲击是全方位的,其中一个突出特点便是网络服务提供者的性质已从互联网兴起时的被动性、从属性、工具性和中立性向主动性、自主性和空间性转变,网络服务提供者在网络空间中日益凸显出其“共治”地位。作为数据聚合体存在的大型网络平台,在信息的获取、分析、管理、控制上都有着无可比拟的优势,传统的“政府—个人”双层治理模式不可避免地向“政府—平台—个人”三层治理模式转变。事实上,不仅个人信息保护,近几年涉及网络治理的立法中均蕴含着这一思路的转变,如2019年出台的《网络信息内容生态治理规定》第二条便明确指出,网络信息内容生态治理的主体包括政府、企业、社会、网民。在《个人信息保护法(专家建议稿)》中,第四章、第五章便分别规定了信息业者和政务部门的个人信息处理规则。自《网络安全法》实行后,个人信息保护领域“九龙治水”的情况有所改善,由国家和地方网信部门统领处理网络安全与个人信息保护事宜,但需要继续探索的是,如何做好网信、公安等互联网监管部门与网络服务提供者之间的衔接。
如前所述,行政单行主导制已很难适应信息时代的需要,一是不具备足够的人力物力对整个网络空间进行监管,二是有可能导致网络服务提供者的不配合,使得对网络空间的治理事倍功半。《通用数据保护条例》所采用的数据保护官制度为我们提供了一种可行的思路。数据保护官指的是企业内承担数据保护合规相关职责的职能角色,其职能可以分为两部分,对内不受影响地独立履行职责,监管企业在合规和数据保护方面所做的工作;对外既与数据主体沟通以实现其数据权利,又作为沟通渠道同监管部门保持联系,负责数据外泄、非法收集等违规事项的紧急汇报。我国现阶段虽然没有数据保护官,但是在网络治理领域已经存在设置一个隶属于公司但又相对独立机构的做法,《网络安全法》第三十四条就规定,关键信息基础设施的运营者应设置专门安全管理机构和安全管理负责人。当然,该制度的落地必须要结合我国信息技术发展与互联网经济的现状,像德国所要求的,如果企业拥有超过10名员工需要经常性处理用户数据,便需要设立数据保护官这样的规定将会压缩中小企业发展空间。
我国拥有世界上最庞大的互联网用户、最完备的基础信息设施,以及一大批世界领先的互联网企业。这是信息时代我国的优势,也是我们进行网络治理时的难点,国外关于个人信息保护的成熟经验需要参考借鉴,但更多是借鉴其保护原则、治理思路,具体的制度构建则必须与我国整体的法律体系相协调、与经济社会发展水平相适应。
作者:郭旨龙 朱军彪
来源:《保密工作》杂志
责任编辑:王汝杰 柴静
陕公网安备 61012502000149号