個人信息保護亟待監(jiān)管和規(guī)范
來源:人民法院報
責(zé)任編輯:李彩霞
發(fā)布時間:2022-06-02
個人信息保護亟待監(jiān)管和規(guī)范
□ 陳 華
個人信息保護法已由十三屆全國人大常委會第三十次會議通過��,自2021年11月1日起施行�����。個人信息保護法在特定行業(yè)的適用問題�、關(guān)于敏感個人信息問題���、法律的執(zhí)行機構(gòu)�、行業(yè)自律機制、信息主體權(quán)利�、跨境信息交流問題、刑事責(zé)任問題�,對個人及行業(yè)有著很大的作用。智能監(jiān)控問題愈演愈烈�,使勞動者個人信息權(quán)益面臨更大威脅。數(shù)智時代算法權(quán)力的失衡使勞動從屬性以新的技術(shù)面貌呈現(xiàn)并加劇����,需加以矯正。
一��、生物識別信息的監(jiān)管和規(guī)范
刷臉識別等智能技術(shù)的應(yīng)用之所以會引發(fā)社會公眾的擔(dān)憂��,主要是因為掌握個人信息主體多元�,而像生物識別信息、行蹤信息和健康信息這類特殊信息在個人���、組織和機構(gòu)收集����、使用�、存儲、和加工等過程中缺少有效的監(jiān)管和規(guī)范。信息主體收集�、使用和傳輸特殊個人信息缺乏合法性基礎(chǔ),無法進行特殊個人信息與其他個人信息的區(qū)分性應(yīng)用���,保證個人信息應(yīng)用的合法性。在智能監(jiān)控中���,用人單位和勞動者皆有正當(dāng)而相互沖突的利益存在����,如何實現(xiàn)二者的平衡是難點�����。利益平衡目標(biāo)的實現(xiàn)應(yīng)以貫徹目的原則為中心���,為智能監(jiān)控的范圍與限度劃定邊界�����?����;谥悄鼙O(jiān)控處理勞動者個人信息應(yīng)當(dāng)具備明確���、合理且與勞動直接相關(guān)的目的�,且以給勞動者造成最小損害為限度��。即使是在工作時間和工作場所����,也應(yīng)認(rèn)可個人信息權(quán)益在合乎比例的空間內(nèi)存在。應(yīng)當(dāng)避免持續(xù)性�����、全方位和一般預(yù)防性的過度監(jiān)控�,而主要針對工作中的關(guān)鍵時段、場所和有跡象表明的違法行為實施有限的監(jiān)控��。鑒于其高度冒犯性����,只有在具備重大事由時才能例外地采用智能監(jiān)控,而不能將其作為監(jiān)督勞動者工作表現(xiàn)的常規(guī)手段�����。我國現(xiàn)存對個人信息保護的立法較為分散,公法和私法均有涉及�,但未形成一個完整的個人信息法律保護體系。從立法分布范圍上看�,法律法規(guī)有民法、商業(yè)銀行法����、《保安服務(wù)管理條例》以及《快遞暫行條例》等;部門規(guī)章����、部門規(guī)范性文件層面有《信息登記規(guī)定》《個人信息安全保護指南》和《網(wǎng)約車運行管理辦法》等����。另外,司法解釋還對個人信息的民事和刑事侵害問題作出了規(guī)定����,可見個人信息立法分布之廣泛。
從個人信息分級分類保護趨勢層面上看����,我國2020年出臺的民法典人格權(quán)編確定了“個人信息”作為人格利益受到法律保護。該法還對個人信息進行區(qū)分���,將個人信息分為私密信息與一般個人信息且分別適用不同的保護規(guī)定�。除此之外,《用戶個人信息保護規(guī)定》《個人金融信息保護工作通知》等規(guī)范性文件也對生物識別信息�����、金融信息和行蹤信息等特殊類型信息的保護作出了相關(guān)規(guī)定�。
我國對個人信息的保護不僅涉及到公法和私法層面,部門規(guī)章��、司法解釋及規(guī)范性文件亦存在相關(guān)規(guī)定�,在整體上呈現(xiàn)出分散立法的模式。這些法律法規(guī)及規(guī)范性文件已存在對敏感個人信息與一般個人信息的區(qū)分��,個人信息的分級分類保護的立法趨勢已經(jīng)顯現(xiàn)�。然而原有的法律規(guī)范卻因缺乏對個人信息區(qū)分保護的共識而導(dǎo)致規(guī)定的混亂。確立個人信息分級分類保護規(guī)則���,規(guī)避法律規(guī)范之間的沖突����,繼續(xù)制定低位階的規(guī)范性文件已無必要���,統(tǒng)一而完整的個人信息法律保護體系的建立才是解決上述問題的核心所在��。
二���、基于分類分級的個人信息保護
隨著數(shù)字治理��、數(shù)字經(jīng)濟�、數(shù)據(jù)社會等數(shù)字化產(chǎn)業(yè)的不斷發(fā)展��,個人信息的收集和利用變得越來越普遍����。同時,個人敏感信息泄露����、濫用等事件頻發(fā)��,對數(shù)字化發(fā)展產(chǎn)生極大的負(fù)面影響��。在數(shù)字化時代下����,個人信息保護正遭受前所未有的新挑戰(zhàn),具體體現(xiàn)在以下幾個方面:第一��,個人信息在大數(shù)據(jù)時代應(yīng)用越來越廣泛,包括疫情防控����、個人廣告推廣、便民服務(wù)�����、信用評級等�,使得個人隱私信息暴露風(fēng)險大大增加。第二��,個人信息從采集��、匯聚��、治理�����、分析���、共享����、應(yīng)用直至銷毀等過程,涉及的每一個業(yè)務(wù)流程���,都需要對相應(yīng)人員開放必要數(shù)據(jù)權(quán)限���,以滿足基本的數(shù)據(jù)處理需求, 任何一個接觸數(shù)據(jù)的人員都有可能成為數(shù)據(jù)泄露源��。第三���,個人信息數(shù)據(jù)價值高��,但過度保護將不利于數(shù)據(jù)價值的體現(xiàn)�。因此����,在數(shù)據(jù)作為新的生產(chǎn)要素的數(shù)字化時代中�,仍采用傳統(tǒng)方式對所有數(shù)據(jù)采取一致的安全防護措施已無法滿足新的安全需求,基于分類分級的安全防護成為解決數(shù)據(jù)安全精細(xì)化管理的有效途徑����。個人信息作為數(shù)據(jù)的重要組成部分,尤其在面向個人的大數(shù)據(jù)應(yīng)用場景下��,如何有效利用個人信息作為新的生產(chǎn)要素發(fā)揮價值,同時又避免個人隱私數(shù)據(jù)的泄露成為當(dāng)下亟待解決的問題�����。有學(xué)者提出個人信息“兩頭強化”的觀點����。“即一方面強化敏感個人信息的保護而非利用,另一方面強化一般個人信息的利用而非保護”�,以此來調(diào)和個人信息保護與企業(yè)利用之間的利益沖突。一般個人信息與隱私的關(guān)聯(lián)性較低���,在具體實踐中應(yīng)側(cè)重其利用而非保護���。北京信息安全中心則根據(jù)個人信息的屬性將個人信息分為“5個等級”,并對不同級別的個人信息適用對應(yīng)的安全保護要求�����。個人信息保護關(guān)系到各信息主體利益��,不同的利益主體有著各自的訴求���,而個人信息分級則是平衡各方的利益訴求�,處理好不同類別個人信息的保護和利用關(guān)系。
三���、個人信息分級分類保護的建議
對個人信息應(yīng)當(dāng)進行分類分級保護�����,個人信息保護法應(yīng)充分考慮根據(jù)應(yīng)用場景對個人信息進行分類分級保護的條款�。個人信息分為一般個人信息和特殊類型信息�,后者也被稱為敏感個人信息。因此����,在突發(fā)公共衛(wèi)生事件應(yīng)急處置中,姓名�、出生日期、身份證件號碼���、生物識別信息���、住址����、電話��、電子郵箱���、定位數(shù)據(jù)、在線活動等行蹤信息�����,也應(yīng)“升格”為特殊類型信息����,從個人信息權(quán)高度加以法律保護?�;驍?shù)據(jù)�����、生物數(shù)據(jù)和健康數(shù)據(jù)等本身作為特殊類型信息��,更應(yīng)特別保護����。建議采取以下方式予以保護:
1.采用“三方平衡”理論中和矛盾,實現(xiàn)共贏
在人臉識別、云計算�����、人工智能和大數(shù)據(jù)等信息技術(shù)的應(yīng)用背景下���,我們每個人的一舉一動�����、喜怒哀樂均被采集��、存儲��、利用�,虛擬世界與現(xiàn)實世界實現(xiàn)了高度融合�����。信息社會的到來使得數(shù)字化的個人信息在醫(yī)療���、衛(wèi)生����、通信、金融等領(lǐng)域得到廣泛的應(yīng)用�����,數(shù)字技術(shù)會分析大量數(shù)據(jù)���,并將結(jié)果通過機器等反饋給人類,把以前無法實現(xiàn)的新價值帶給人類社會��。個人信息和重要數(shù)據(jù)的流通給人類社會帶來效益的同時����,也需應(yīng)對數(shù)據(jù)流通過程中對個人權(quán)益的侵害,實現(xiàn)個人權(quán)益保護和數(shù)據(jù)流通的平衡�。這兩者的平衡從表面上看僅僅是消費者和企業(yè)雙方的利益沖突,但是為調(diào)和雙方矛盾�����,國家作為公權(quán)力執(zhí)掌者起到了不可替代的作用��。而為實現(xiàn)個人����、企業(yè)和國家三方利益平衡��,張新寶教授提出了“三方平衡”理論�,即個人���、企業(yè)和國家三方以犧牲非核心利益的前提下保證各主體核心利益的實現(xiàn)��,從而實現(xiàn)利益上的共贏�。
2.以個人信息保護法為中心建立個人信息分級分類法律保護體系
由于我民法典采取“抽象定義+不詳盡列舉”的方式定義個人信息����,個人信息包含出生日期、生物識別信息�、健康信息和行蹤信息等多種類信息。多類型的個人信息決定了要實現(xiàn)信息的保護不僅關(guān)涉到刑法�����、行政法����、國際法等多個法律部門,還觸及商業(yè)�、科技和政治等不同領(lǐng)域。因此��,個人信息的保護不僅要調(diào)節(jié)各信息主體利益更需要平衡多部門法律之間的關(guān)系。在個人信息保護上��,個人信息保護法和民法典并不沖突�����,個人信息保護法是人格權(quán)的新發(fā)展���,在法律適用上不能忽略人格權(quán)保護規(guī)范的作用。因此����,個人信息的保護僅僅依靠民法典等私法的保護遠(yuǎn)遠(yuǎn)不夠,還需要不同的法律��、法規(guī)�、規(guī)章、規(guī)范性文件以及國家標(biāo)準(zhǔn)相互補充�����、協(xié)調(diào)��。而個人信息保護法的制定則起到了紐帶作用��,通過將碎片化、分散化的立法進行整合��,修改和補充原有的法律規(guī)范����,消除他們之間的矛盾和混亂,從而形成一個清晰的分級分類法律保護體系�。
(作者單位:中央廣播電視總臺)
