【法眼观】
拿什么保护你,我的信息安全
——关于个人信息保护法草案的讨论
光明日报记者 刘华东
千呼万唤始出来。10月13日,个人信息保护法草案提交全国人大常委会审议。
4年前,刚考上大学的徐玉玉在接到教育部门发放助学金的通知后,被一通陌生电话骗走9000多元学费,因伤痛至极溘然离世。如今,社会上依旧充斥着各种滥用个人信息的隐患。电商、社交软件“越界”收集;因个人信息被滥用,个性化推送经常“无事献殷勤”;掌握公民信息的电信诈骗案件不断从“撒网式”诈骗变成“精准化”打击……尽管个人信息保护的措施不断出台,但“信息裸奔”的状况并未根本改变。
个人信息保护法草案进入审议阶段,意味着这部万众期待的法律离我们越来越近。个人信息保护法能不能有效缓解社会的“个人信息安全焦虑”呢?
国际安全极客大赛在上海举行。新华社发
保护个人信息为何要专门立法
网络安全法、电子商务法、消费者权益保护法、民法典……近年来,我国立法修法不断确立个人信息保护的规则、完善惩治侵害个人信息的法律制度。据北京外国语大学法学院教授、电子商务与网络犯罪研究中心主任王文华介绍,目前含有个人信息保护相关描述的法律超过100部,相关司法解释也超过100部,行政法规、部门规章、地方法规规章更多。
既然有了这么多规定,为什么依旧感觉个人信息保护“千疮百孔”?
王文华表示,我国一直以来十分关注和重视公民个人信息及隐私保护的法制建设,然而随着技术发展,侵犯个人信息安全的不法行为依然“道高一尺、魔高一丈”。另外我国对个人信息的保护看似热闹,其实是处于“九龙治水”的状态,司法、执法成本较高,难以取得理想效果。
全国人大常委会法工委副主任刘俊臣在作草案说明时表示,我国个人信息保护法律制度逐步建立,但仍难以适应信息化快速发展的现实情况和人民日益增长的美好生活需要。因此,应当在现行法律基础上制定出台专门法律,增强法律规范的系统性、针对性和可操作性,在个人信息保护方面形成更加完备的制度,提供更加有力的法律保障。
对外经贸大学数字经济与法律创新研究中心执行主任许可表示:“之前的法律法规毕竟不是一部专门立法,规定得比较原则、抽象,而这一次规定比较细致,可操作性更强。”
王文华也表示,个人信息保护法出台后,将会是我国第一部对个人信息进行专门、集中规定和全面保护的法律,它将使得我国的个人信息保护有专门依据,有助于在立法上形成全面、科学、合理的个人信息保护法律规范体系,司法、执法上也较过去更有“抓手”。
App过分索权、推送无休止、银行流水被出卖,回应来了
新冠肺炎疫情防控期间,不少小区、学校引入人脸识别门禁系统,极大节省了社区和物业的人员成本,保证了出入人员的通行效率。而根据媒体报道,从今年3月起就有不法商家在网络上兜售人们上班打卡或进出门禁时拍的面部照片。有专家呼吁,生物特性数据具有唯一性和不可再生性,脸部特征是无法更改的,无法通过传统更改密码的简单方式来实现,这种认证数据信息泄露滥用造成的影响更严重。
银行流水被出卖,App过分索取个人信息,公共摄像头采集信息被传播,公众人物航班信息买卖,个性化推送无休止发送类似广告……针对种种乱象,个人信息保护法草案开宗明义——自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。
“这部法律草案体现了一个符合当代发展潮流的核心理念:在网络时代,个人对自己的信息具有控制的权利。”中国社科院法学所副所长、研究员周汉华表示,“目前在我国法律法规体系中,尚没有任何一部法律或者行政法规明确‘个人对自己信息有控制的权利’这样一种理念。草案第一次明确把个人信息权利写下来,并体现在以‘知情-同意’为核心的一整套制度上,这是它相比于过去立法的一个进步”。
处理个人信息应当限于实现处理目的的最小范围;个人信息的保存期限应当为实现处理目的所必要的最短时间;处理个人信息的同意,应当由个人在充分知情的前提下,自愿、明确作出意思表示;个人信息处理者不得以个人不同意或者撤回其对个人信息处理的同意为由,拒绝提供产品或者服务;通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项……翻阅法律草案,能看出不少反映现实困境的针对性条款。周汉华表示,草案对个人信息的收集、存储、使用、加工、传输、提供、公开等全流程保护提供了完整、系统、协调的法律制度,覆盖个人信息保护的整个生命周期,对很多重大现实问题都作了回应。这有利于更好保护个人权利,也使个人能够更加放心享受信息技术带来的各种便利。
保护个人信息,政府部门也“摊上事”了?
相较现行法律法规将个人信息保护规制的重点落在了个人和企业身上,个人信息保护法设专节规定在保障国家机关依法履行职责的同时,国家机关处理个人信息,应当依照法律、行政法规规定的权限和程序进行。
“草案还有一个主要突破,在于确认了国家机关对个人信息保护的义务和责任。”许可认为,相较于对企业进行规制,对政府机关义务的明确更加重要。“在当今智慧城市建设中,政府部门是收集个人信息最多的一个主体,掌握的都是诸如财产信息、身份信息、行踪信息等关乎公民切身利益的、最有价值的信息。而政府机关却很难有足够的人力、财力和技术去保护这些信息数据。如今存在很多买卖个人信息的黑产,这些信息不是从天而降的,很多都是从政府部门和大企业泄露出来的。正如徐玉玉案中,当地教育部门信息泄露难辞其咎。”许可说。
“以往我们是出事以后再来追究责任。如今在草案中,可以看到国家机关的双重责任、双重义务。国家机关作为个人信息处理者,在处理个人信息时也要遵守草案规定的制度;国家机关同时也是个人信息保护的执法机关,履行个人信息保护执法监督的责任。国家机关既要自己守法,同时也要履行执法的责任,有效保护公民个人信息,促进法律得到有效实施。”周汉华表示。
这些案例推动个人信息保护进程
2016年,山东女孩徐玉玉被南京邮电大学录取。8月19日,她接到陌生电话声称有一笔助学金要发放给她。在这之前,徐玉玉曾接到过教育部门发放助学金的通知。按对方要求,徐玉玉将准备交学费的9900元打入了骗子提供的账号。发现被骗后,徐玉玉当晚就和家人报了案。在回家的路上,她突然晕厥,溘然离世。
经审查,犯罪嫌疑人购买了5万余条山东省2016年高考考生信息,冒充教育局工作人员以发放助学金名义对高考录取生实施电话诈骗。2017年7月,7名被告人获刑。
2019年7月,哈尔滨网友王先生在使用某App的过程中发现,当他使用微信账号登录时,该App会获取其全部微信好友信息,并向他推送微信好友发布的视频。同样的情况也发生在他使用QQ账号登录时。他认为,他仅授权了登录,该App无权收集和使用他的性别、地区和好友关系,因而他起诉该App公司侵犯隐私权。
法院裁定,该公司立即停止在该App中使用王先生微信或QQ好友信息的行为,以及将他的相关信息推荐给其他用户的行为。
2019年4月,郭兵在杭州野生动物世界办理了一张年卡,通过验证年卡和指纹,可在一年内不限次数入园游玩。2019年10月,被告杭州野生动物世界通过短信告知郭兵:园区年卡系统已升级为人脸识别入园,原指纹识别已取消,即日起,未注册人脸识别的用户将无法正常入园。
对此,郭兵认为面部特征等个人生物识别信息属于个人敏感信息,一旦泄露、非法提供或者滥用,将极易危害消费者人身和财产安全。在协商不成的情况下,郭兵以服务合同违约为由,将杭州野生动物世界告上法庭。
2020年5月,某脱口秀演员发布微博爆料,中信银行上海虹口支行未获本人授权,将其个人账户流水提供给上海笑果文化传媒有限公司,属于侵犯公民个人信息的违法行为,并通过律师发函要求中信银行、笑果文化赔偿损失并公开道歉。5月7日凌晨,中信银行在微博发长文向该演员致歉,并称已处分相关员工,将支行行长撤职。5月9日,银保监会消费者权益保护局发布通报称,对中信银行侵害消费者合法权益事件启动立案调查程序,严格依法依规进行查处。
《光明日报》( 2020年10月17日 07版)