人脸识别在新冠肺炎疫情防控中提供了高效的手段,同时也引发了人们对收集和处理人脸信息等生物识别信息边界的关注。我国《个人信息保护法》要求,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。由于敏感个人信息与自然人的人格尊严等基本权利、重大人身利益和财产利益具有极为密切的联系,对此类个人信息的处理会对自然人的基本权利和人身财产安全产生重大风险,我国《个人信息保护法》借鉴了欧盟、美国等法域的立法经验并结合我国实际,对敏感个人信息的处理进行了专门规定。敏感个人信息的保护是我国《个人信息保护法》的重要内容之一。
首先,《个人信息保护法》对敏感个人信息进行了定义和列举。
《个人信息保护法》规定将敏感个人信息定义为一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,同时列举了敏感个人信息的种类,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。《个人信息保护法》将不满十四周岁未成年人的个人信息列为敏感个人信息,强化了对未成年人个人信息权益的保护。
敏感个人信息和非敏感个人信息是我国《个人信息保护法》从规范个人信息处理行为的角度对个人信息进行的一种重要分类,有针对性地提高处理者在处理敏感个人信息时的法定义务,更加充分地保护个人信息权益。
我国《个人信息保护法》在列举敏感个人信息种类中的“等”字,应采“等外”之意,表示列举未尽。纵使不在法律明文列举之列,因其在特定场景所具有的高度敏感性,也应纳入敏感个人信息的保护范畴。技术的发展及场景的变化,也为新型的敏感个人信息特殊保护留下空间。
其次,《个人信息保护法》对敏感个人信息规定了专门的处理规则。
我国《个人信息保护法》在区分敏感个人信息与非敏感个人信息的基础上,在第二章专节规定了“敏感个人信息的处理规则”,对处理敏感个人信息的前提进行了限制,要求只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。以此为基础,《个人信息保护法》规定了一些仅适用于敏感个人信息的特殊处理规则,知情同意原则是个人信息保护领域公认的首要原则,既适用于敏感个人信息,也适用于非敏感个人信息,意在实现与加强个人自决。针对敏感个人信息的处理,《个人信息保护法》提出了更高的要求,要求处理敏感个人信息应当取得个人的单独同意。这意味着在处理敏感个人信息时,概括同意或推定同意的授权模式为法律所禁止。法律、行政法规规定处理敏感个人信息应当取得书面同意的,还应取得书面同意。
《个人信息保护法》对敏感个人信息处理者的告知义务提出了更高的要求。《个人信息保护法》第17条第1款规定:“个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(1)个人信息处理者的名称或者姓名和联系方式;(2)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(3)个人行使本法规定权利的方式和程序;(4)法律、行政法规规定应当告知的其他事项。”第30条规定:“个人信息处理者处理敏感个人信息的,除本法第17条第1款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。”
《个人信息保护法》不仅将不满十四周岁未成年人的个人信息列为敏感个人信息,还要求个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。《个人信息保护法》将不满十四周岁未成年人的个人信息作为敏感个人信息,回应了现实中儿童信息泄露等问题,对未成年人个人信息处理进行了更严格的规范,有利于切实维护未成年人的合法利益并促进未成年人健康成长。
《个人信息保护法》还规定,法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的,从其规定。
再次,个人信息处理者处理敏感个人信息应当事前进行个人信息保护影响评估。
对处理敏感个人信息等几种特定情形,《个人信息保护法》规定应在事前进行个人信息保护影响评估,并对处理情况进行记录。个人信息保护影响评估本质上是风险评估。由于处理敏感个人信息可能对自然人的权利和自由带来高度风险,对此类处理进行事前风险评估可以防患于未然。《个人信息保护法》要求个人信息保护影响评估应当包括下列内容:(1)个人信息的处理目的、处理方式等是否合法、正当、必要;(2)对个人权益的影响及安全风险;(3)所采取的保护措施是否合法、有效并与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。
综上,我国《个人信息保护法》区分敏感与非敏感的个人信息,并在此基础上确定了敏感个人信息的特殊处理规则,与世界主流个人数据保护立法一致,体现了对与人格尊严或人身、财产安全密切相关的个人信息的倾斜保护,能更有效地防范个人信息风险,更全面保护个人信息主体的利益。同时,区别对待不同种类的个人信息,能提高对处理行为的可预测性,明确了企业合规重点,在一定程度上降低企业的合规成本,有利于数字经济发展。
一、个人信息处理活动的基本原则框架:合法、正当、必要与诚信
《个人信息保护法》的出台可谓是顺应人民群众最迫切的利益诉求。在数字经济时代,个人与网络信息服务提供者之间存在明显的信息鸿沟,为了能够获得相应的信息服务使用权限,个人不得不“主动”提供自己的个人信息,但是却无法真正知晓自己的个人信息究竟将如何被处理以及谁将拥有自己的个人信息。更有甚者,个人信息买卖已然成为完整的黑灰产业链条,个人的财产安全和人身安全受到严重威胁。为了充分保护个人信息权益,同时也是为了规范个人信息处理活动,促进信息产业发展,《个人信息保护法》顺势而为,明确了个人信息处理活动应当以合法、正当、必要和诚信作为基本原则,即任何类型和任何阶段的个人信息处理行为均应当满足这些原则性要求,即便现行立法没有明确规定特定个人信息处理行为是否满足法定义务,如若相关行为违背合法、正当、必要和诚信四项基本原则之一,也应当承担相应的民事法律责任,情节严重的,应当承担刑事责任。换言之,这四项基本原则构成了《个人信息保护法》的内容主线:第一,合法性原则要求个人信息处理行为应当满足法律法规规定,这里的“法”并不单一局限于《个人信息保护法》,还包括《网络安全法》《数据安全法》《民法典》《刑法》《关键信息基础设施安全保护条例》等法律法规。第二,正当性原则要求个人信息处理行为应当符合立法宗旨和法律价值,不得以谋求自身利益而侵害其他个人的个人信息权益。在实践中,部分APP运营者在用户注册阶段以不显著、不直接的方式向用户展示个人信息处理的目的、范围和方式等重要信息,这种行为显然违背了正当性原则。第三,必要性原则要求个人信息的收集范围和处理方式应当仅以实现相应的信息服务功能和业务目的为必要。该原则强有力地回应了当下社会对APP运营者肆意收集处理个人信息行为的担忧和质疑,避免个人为获取相应信息服务而被动提供个人信息的问题恶化。例如,地图导航类APP运营者的个人信息收集范围仅应当以地理位置信息为限,职业、工资、旅游偏好等其他与地图导航功能无关的个人信息显然不在“与处理目的直接相关”的范围之内。第四,诚信原则强调个人信息处理者不得利用自身的优势地位侵害个人信息权益。一方面,个人信息处理者应当诚实信用地按照约定的处理目的和范围处理个人信息;另一方面,个人信息处理者不应当故意隐瞒、有意淡化事关个人信息权益的提示说明事项。
二、个人信息权益保护方式:权利与义务的一体化
三、充足的安全感:国家机关全方位保护个人信息
个人信息保护绝不能停留于纸面的权利宣誓与义务要求,更要重视之后法律实施过程中可能面临的新问题和新挑战,平衡个人信息权益与信息产业良性发展的双重诉求,个人信息保护还需要有效统筹协调立法、执法和司法三个环节,要让老百姓看得到、摸得着、感受得到真正的个人信息权益保护,推进个人信息保护工作的纵深化发展。
