个人信息保护,到底保护什么?
        个人信息保护是一项复杂的任务。所谓复杂,就是在已有经验之外仍然有其他可能性存在,而无法对所有的可能性做出经验性的判断。网络社会的运行和成熟,模糊了独处与公共、明处与暗处的界限。
        个人信息的收集和使用越来越普遍,也越来越成为数字经济社会运行不可或缺的部分。这使得自然人的私人空间被非自愿性地公开化成为可能。同时,个人信息的正外部性和负外部性并存,溢出结果难以精确比较衡量,不容易做出正确的规制取舍。
        正因如此,各国的个人信息保护制度在提升本国个人信息保护水平的同时,也出现了各种各样的问题和争议。
        我们身处面临复杂情况的个人信息保护时代。今年,央视“3·15”晚会曝光的商家安装摄像头识别人脸、智联招聘泄露个人简历信息等案例,都不断地在刺激我们本就脆弱的神经。
        我们深知技术发展会改变和提升生活质量,而无法预知何种技术会对个人生活安宁造成怎样的侵扰。传统生活领域普遍存在的现象,因为技术的放大效应而形成的扭曲,正在不断重塑我们对于社会生活边界的新认知和新理解。
        比如,在电话刚刚普及的时代,家庭电话被印在电话黄页本上是十分常见的现象,但如今我们把手机号码交给陌生人,却夹杂着几分谨慎和不安。
        通信技术的产生和发展源自我们对联系和被联系的本能人类情感,随着通信技术的深入成熟和突破,人与人之间联系的能力不断被强化,联系与被联系的深层次需要仍然存在,但是从电话黄页本到虚拟手机号码的演变,背后反映了什么样的法益诉求?
        再比如,央视“3·15”晚会曝光的商家人脸识别摄像头,实际上在线下已经存在,很多商家在前互联网时代也会做一些客户分析,区别新客户和老客户,但是并未对我们的生活造成明显的、普遍的侵扰。
        线上线下相一致原则在5G甚至是6G时代,是否值得我们进行重新思考?
       与国外个人信息保护立法热潮一致,我国个人信息保护立法正在回应这样的深层次问题,法治建设不断完善。
       2020年10月,《个人信息保护法》实现了突破性制度补给。从电信到互联网再到网络空间,从一般规则到特殊领域再到具体行业,我国个人信息保护法律体系按照从外围到内核铺设的节奏,通过《全国人民代表大会常务委员会关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》《中华人民共和国网络安全法》《中华人民共和国消费者权益保护法》以及金融、医疗、交通等领域的行业性规定,逐步确立了个人信息保护的原则、一般规则等要素。
      《个人信息保护法》系统性地融合了过去的制度经验,也借鉴了国外的先进做法,完成了我国个人信息保护的基础制度建设。
行政干预是对社会规模层面的负外部性溢出的有效回应。个人信息保护问题依靠自力性、偶发性的私力救济成本较高,也难以形成对违法行为的合理规制。
      《个人信息保护法》在行政干预的实践基础上进行了法律提炼,回应了“保护什么”“谁来保护”“如何保护”等基本问题。
      首先,以《民法典》为基础,明确个人信息保护的具体权益。《民法典》是调整民事法律关系最基本的法律,其中“人格权编”确定了自然人知情同意、查阅复制、删除等权能,《个人信息保护法》从行政干预的角度进一步阐明了这些用户权益,并增加了一些权益,包括知情权、决定权、查询权、更正权、删除权、解释权等。
      《民法典》与《个人信息保护法》同步确定了对个人信息的民事保护和行政保护,结合刑法修正案(九)的规定,我国实现了对个人信息的民事、行政和刑事三重保护。
       其次,充分反映实际运转的管理机制并进行制度性固化。个人信息涉及跨行业跨领域的保护。
       以欧盟为代表的国家和地区通过组建、加设专门监管机构的方式进行保护,发挥了一些作用。
       美国并没有个人信息保护的专门机构,采取了统筹协调加分行业监管的模式,由联邦贸易委员会(FTC)作为综合性、跨越行业的个人隐私保护执法机构,同时涉及个人信息保护职能的监管机构,也承担了个人信息保护的重要职能,特别是医疗、金融、通信、保险等领域。
       其中最具有代表性的是联邦通信委员会(FCC),作为通信监管机构,依据《通信法》的授权,针对电信业(电信运营商)涉及个人信息保护的相关活动实施监管。
       韩国与美国的体制比较类似,根据其《个人信息保护法》专门设立了直属于总统的个人信息保护委员会(PIPC),作为中央层面的统领性、协调性机构,指导各部委的个人信息保护工作。
       各相关部门在职责范围内开展执法工作,如行政自治部(MOI)根据《个人信息保护法》负责监督、调查、违法处罚等具体事项的执行;放送通信委员会(KCC)根据《信息通信网络的利用促进和信息保护等相关法》负责开展信息通信领域个人信息保护相关工作。
       我国个人信息保护实践涉及多个部门,市场监督、工信、公安都开展了个人信息保护相关监管实践,网信部门的统筹协调作用十分明显,这种分工协作的配合状态很大程度上促进了我国个人信息保护水平的提升,也反映了我国对个人信息进行多重保护的制度安排。
      《个人信息保护法》中突出了网信部门统筹协调的作用,同时规定了“国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作”。这充分体现了法律制定是对现实社会关系的归纳和提炼,尊重了实际情况,也在很大程度上保障了我国个人信息保护工作的持续性和稳定性。
       再次,完善了个人信息保护的调整范围。《全国人民代表大会常务委员会关于加强网络信息保护的决定》规定,“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”,确立了对“个人信息”采取“识别说”的定义模式。
《电信和互联网用户个人信息保护规定》《网络安全法》《民法典》延续了“识别说”的思路,都将“个人信息”定义为以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息。
2017年,最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中增加了“反映特定自然人活动情况”的描述,也基本是在“识别说”的定义框架之下。
   各类规定在列举个人信息的类型时有所增补,但对个人信息的定性以识别自然人身份为基础的共识已经形成。
《个人信息保护法》基本坚持了“识别说”的模式,突出强调了“已识别或者可识别”的要件,同时也弱化了对“身份”性的限定,放弃了对具体个人信息类型的列举,并明确匿名化信息不是个人信息,为实践留下了解释和调整的空间。
最后,大幅提升了违法门槛。《网络安全法》对违反个人信息保护的行为设置了目前最高的法律责任,最高可处以违法所得十倍或者一百万元罚款,同时可以对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
《个人信息保护法》大幅提高了罚款上限,规定“没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款”。较之欧盟 GDPR,罚款金额上限低于 GDPR 规定的最高两千万欧元,而营业额比例高于 GDPR 规定的最高百分之四(《个人信息保护法》并未明确全球还是全国营业额)。
对于情节严重的情况,《个人信息保护法》与《网络安全法》一致都规定了“责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照”的处罚。此外,《个人信息保护法》也确立了民事赔偿的标准,规定“按照个人所受损失或者个人信息处理者所获利益确定数额,由人民法院根据实际情况确定”。
  《个人信息保护法》中不乏回应时代特点和社会关注热点内容,提出了中国解决个人信息保护问题的创新方案。
       一是对敏感个人信息规定了“单独同意”的新要求。个人信息保护规则大多以“用户同意”为基础,一定程度上保证了用户的知情权。然而,普遍收集、使用用户个人信息已经成为释放数字化红利的趋势,数字化公民身份的转变也使这种趋势成为必然。
       用户同意的有效性和实用性引发了很多争议,而知情同意制度又是个人信息保护的基石所在。《个人信息保护法》在肯定知情同意的基础之上,对敏感个人信息规定“单独同意”的要求,可以理解为一般同意实质性要求的弱化,同时针对性地实现在必要时唤醒用户足够的注意力。
       二是对公共场所采集视频个人信息作出明确规定。5G、人脸识别等技术的发展,方便了公共场所的监控监测活动,为数据统计、行政执法等提供了有力的支撑。个人信息也从文本转为图像、视频,成为新的需要保护的客体对象。
      《民法典》对私密空间已经进行了严格的隐私权保护,而公共场所的视频采集还没有明确的规范。《个人信息保护法》对在公共场所安装设备收集个人信息规定了严格的目的限制,即只能用于维护公共安全。
      三是回应了疫情等特殊情况下个人信息的客观需要。新冠肺炎疫情防控过程中,人员接触、人员流动、人群聚集等是疫情防控的薄弱环节也是关键环节,只有及时、准确掌握涉及疫情防控人员信息,才能掌握疫情发展,采取有效行动。
      大数据应用为疫情防控发挥了重要的作用,但是明确的法律授权还不适应防疫工作的切实需要。《个人信息保护法》明确将应对突发公共卫生事件,或者紧急情况下保护自然人的生命健康,作为处理个人信息的合法情形之一。
     《个人信息保护法》的公布,标志着我国进入全面保护个人信息的新阶段,其中的制度亮点和设计安排无疑将为我国个人信息保护工作提供更有力的制度保障,同时也是世界个人信息保护的重要法治事件,贡献了中国智慧和中国方案。
       慎独可自省,而外扰不应然。未来中国迎来更为科学、完善的个人信息保护良好环境,尽可期许。我们可以期待也可以厘清,个人信息保护到底要保护什么。终有一日,君子虽可无惭无愧,外人勿窥衾影屋漏。
关于我们
河北索派科技有限公司集网络安全等级保护测评、安全风险评估、安全运维等安全服务为一体,致力于提供全方位的网络安全服务和解决方案。公司成立于2014年,专注于网络安全领域的研究与服务,设有专业的等级测评实验室、网络攻防实验室,并与知名高校合作进行网络安全相关技术的研发。
 
欢迎关注【索派科技】公众号,了解更多的网络安全知识
s