做自己的安全衛士 為個人資訊加把“鎖”
11月1日,《中華人民共和國個人資訊保護法》(下稱《個人資訊保護法》)正式實施,這是一部和每一個人都有密切關係的法律。什麼是個人資訊?“個人資訊是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種資訊”,它不僅包括證件號碼、家庭住址這些常用的個人資訊,也包括了指紋、臉部等生物識別資訊,甚至還包括我們的健康和行蹤資訊。個人資訊越來越頻繁地在各種場景使用,大量發生的個人資訊洩露事件也讓人深受其害。那麼,《個人資訊保護法》會怎樣保護我們的個人資訊安全呢?
警惕違法獲取個人資訊
你是誰、你要到哪去、你要買什麼東西、你需要貸款嗎等等,這類資訊在傳統工業社會,大多只是親友等小範圍關注的事情。但是,在當今快速發展的資訊社會,它們具有了巨大的商業價值潛力,推動著我國數字經濟的快速發展,成為大數據的關鍵內容之一,被稱為石油一樣的生産要素。然而一些企業、機構甚至個人也在隨意收集、違法獲取、過度使用、非法買賣個人資訊。
濫用個人資訊,嚴重侵擾了人們的生活安寧。不僅如此,近年來讓很多人深受其害的電信詐騙,也基本都是通過違法利用個人資訊來實施的。
個人資訊安全關係到每個人、每個家庭和每個組織、機構,是近年來社會廣泛關注的問題之一。
新實施的《個人資訊保護法》究竟為個人資訊保護提供了哪些更加有力的法律保障呢?第一條:“為了保護個人資訊權益,規範個人資訊處理活動,促進個人資訊合理利用,根據憲法,制定本法。”
中國社會科學院法學研究所副所長 周漢華:《個人資訊保護法》的第一條承認,整個個人資訊保護法制度設計、基本原則、具體的制度等等都是建立在個人資訊權益基礎上的,進入數字時代就有了數字時代個人資訊的權益,這個權益是根據憲法來制定賦予的,過去的法律立法,沒有系統地從權利的視角來對個人資訊權益進行系統明確,這成了性質上重大的變化。
個人資訊權益包括哪些內容?
《個人資訊保護法》確立了憲法賦予我們的個人資訊權益,宣示、提升了個人資訊權益的法律地位。那麼個人資訊權益包括哪些內容呢?
中國社會科學院法學研究所副所長 周漢華:個人資訊權益最核心的要義,自己能夠控制自己的個人資訊,被誰採集被誰使用。首先採集方,或者説資訊處理者必須要告知,你採集我的資訊了,你採集我的資訊是為什麼,我有知情權,同時我還有決定權,是不是同意你去使用。所以知情權和決定權,可以説是個人資訊權益裏面最核心的兩項權益。
《個人資訊保護法》第四十四條規定:“個人對其個人資訊的處理享有知情權、決定權。”但是現實中,知情並不容易。由於專業、技術的原因,大多數人很難知道自己的哪些個人資訊被收集了,這些資訊又被用來做什麼。在這種情況下,《個人資訊保護法》如何保障公眾的知情權呢?
北京網際網路法院研究室副主任 李文超:它明確了告知同意的核心原則,只有告訴我、讓我知道並且經過我的授權,你才能處理我的這些個人資訊。
《個人資訊保護法》實施後,一些手機軟體彈出新版本的隱私政策,來重新徵得使用者同意,比如,讓使用者知曉自己授權過的應用和詳細許可權,並可一鍵解除授權,行使自己的決定權。圍繞著知情權、決定權,《個人資訊保護法》中特別強調了對敏感個人資訊的保護。
北京網際網路法院研究室副主任 李文超:《個人資訊保護法》裏有一個專章,專門規定了敏感個人資訊,這對個人權益保護非常有幫助,是很大的法律武器。
“敏感個人資訊”,這是我國法律中第一次明確定義並予以特別保護的。
什麼是敏感個人資訊?敏感個人資訊是“一旦洩露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財産安全受到危害的個人資訊,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等資訊,以及不滿十四週歲未成年人的個人資訊”。
處理敏感個人資訊,要求有“特定的目的”“充分的必要性”“嚴格的保護措施”“取得單獨同意”等,其中,還要求“應當向個人告知處理敏感個人資訊的必要性以及對個人權益的影響”,強化了個人的知情權,也利於個人更妥當地行使決定權。
《個人資訊保護法》對“敏感個人資訊”予以特別保護,除了個人敏感資訊關係個人資訊核心權益,也是因為在現實生活中,侵犯敏感個人資訊權益的案例不斷增多,引起了社會公眾和各方面的關注。
今年3 15晚會曝光了一個案例:多家實體店在顧客根本不知情的情況下,收集了大量人臉識別數據,還有商家根據其獲得的數據,對顧客使用不同的行銷策略和商品報價。民法典和消費者權益保護法都規定,處理個人資訊應徵得同意。顯然,店家收集人臉識別資訊,違反了這些法律。在《個人資訊保護法》中對這種違法行為如何認定,有了更加具體的規定。
首先,根據《個人資訊保護法》,人臉識別資訊屬於敏感個人資訊,這類做法違反了敏感個人資訊處理規則。單獨同意,相對於概括性同意、所有授權而言,它要求個人資訊處理者處理敏感個人資訊時,事前做出特別的提示並獲得個人的專門同意。這表明個人資訊保護法對於敏感個人資訊給予了更高程度的保護。
北京網際網路法院研究室副主任 李文超:一些敏感的個人資訊要經過單獨提示,這是現在《個人資訊保護法》一個非常嚴格的規定。如果違反了這些,從民事責任的角度來講就是侵權。
商家收集顧客的敏感個人資訊沒有徵得顧客單獨同意,這屬於違法行為。不僅如此,商家收集的個人敏感資訊是人臉識別資訊,對於收集人臉識別資訊,《個人資訊保護法》還有特別的規定。
《個人資訊保護法》規定:“在公共場所安裝圖像採集、個人身份識別設備,應當為維護公共安全所必需”,“所收集資訊只能用於維護公共安全的目的”。也就是説,人臉識別資訊作為敏感個人資訊這類特殊內容,商家為了行銷,通過攝像頭收集人臉識別資訊也是違法的。
違法行為將承擔哪些後果?
那麼,這類違法行為將承擔什麼法律後果呢?收集人臉識別資訊被曝光後,這些店家撤下攝像頭,停止侵權行為並道歉。經過調查,其中一家公司雖然沒有非法所得,但因存在未經消費者同意,收集、使用消費者個人資訊等違法行為,且收集資訊數量巨大,今年7月,當地工商管理部門依據消費者權益保護法相關規定,認定經營者未經消費者同意收集消費者個人資訊,構成違法行為,罰款50萬元。而在《個人資訊保護法》實施之後,這類違法收集個人敏感資訊的行為,又將面臨什麼樣的處罰呢?
全國人大常委會法制工作委員會經濟法室副主任 楊合慶:如果追究責任,需要根據違法收集的個人資訊數量,還有使用的用途等等,這些條件綜合考慮,對它處以罰款。
中國社會科學院法學研究所副所長 周漢華:在網路時代,對於違法行為過去一直存在違法成本低,收益高,難以有效地遏制違法行為蔓延的現象。通過高額罰款,包括設立行業的進入制度一系列措施,《個人資訊保護法》使得個人資訊保護,成了一個更加鋒利的法律武器。
現實中,更多的是侵犯個人資訊權益情節並不嚴重,但卻給人們帶來嚴重困擾的現象。但是,大多數人很難靠個人力量獲取相關證據。《個人資訊保護法》回應了公眾對這一問題的關切。
全國人大常委會法制工作委員會經濟法室副主任 楊合慶:只要是違法處理個人資訊、侵害個人資訊權益造成損害的,原則上個人資訊處理者都要承擔損害賠償等民事責任。只有當個人資訊處理者能夠證明自己沒有過錯的,那才可以免除責任,才可以不承擔責任。
只要個人資訊處理者無法證明自己無錯,就需要承擔責任,這在很大程度上減少了維權障礙。除此以外,此前個人資訊權益的維權成本相對較高,也是個體維權的另一個主要障礙,個人針對侵害個人資訊權益而打官司的,少之又少。對此,《個人資訊保護法》也有了專門的規定。
全國人大常委會法制工作委員會經濟法室副主任 楊合慶:個人資訊保護法專門對侵害眾多個人資訊權益的公益訴訟作出了規定,賦予人民檢察院、法律規定的消費者組織,以及國家網信部門確定的組織,來代表消費者向人民法院提起民事訴訟。公益訴訟發揮社會的監督,來促使我們個人資訊處理者加強個人資訊保護。
保護好我們的個人資訊,既是在保護我們的身份,也是在保護我們的生活。《個人資訊保護法》剛剛實施不久,有一系列配套規則、標準需要制定,有許多細則需要經過司法實踐後確立,網站、平臺等個人資訊處理者也特別需要根據法律要求來調整完善對用戶個人資訊的保護機制。同時,我們自己也要有保護個人資訊的意識,得知道哪些資訊屬於我們的個人資訊,我們對自己的個人資訊有怎樣的權益,並且積極地主張這些權益,這樣《個人資訊保護法》的實施才能達到效果。