楠木軒

個人信息保護法能否終結“信息裸奔”

由 終廷花 發佈於 經典

近日,一篇講述手機失竊後事主驚心動魄的經歷的文章在網絡熱傳。在文章中,事主歷數個人信息遭竊取、資金被盜取的過程,整個事件事實清晰、作案手法簡單,但也正是這種簡單讓所有手機使用者後怕。不過,好消息是個人信息保護法草案已提請十三屆全國人大常委會第二十二次會議初次審議,有望讓個人隱私儘快地擺脱被濫用的狀態,為公眾提供更系統的法律保護。

個人信息保護法草案有三大亮點值得關注。一是注重敏感個人信息處理規則與金融交易中的個人信息保護。當前,我們置身移動支付時代,銀行等金融科技一味“求新”“求快”,將便捷性、高效性放在首位,甚至為了吸引消費者而不惜把銀行卡與手機卡“一鍵綁定”,有存在為了方便快捷犧牲安全之嫌。對於金融交易中的個人信息安全問題,草案給予特別關注,建立敏感個人信息處理規則就是直指線上金融交易規範。草案對敏感個人信息作出界定,並設專節明確敏感個人信息處理規則,即基於個人同意處理敏感個人信息的,個人信息處理者應當取得個人單獨同意。據此,如果草案獲得通過,目前在金融支付領域非常盛行的手機綁定和解綁銀行卡行為,就必須進行復合驗證,取得當事人的單獨同意。在綁定行為中,支付公司、銀行卡需要符合法律規範,避免只憑短信驗證的方式,確保不能讓“智慧支付”變成“只會支付”。

二是注重提升技術手段,明確主體責任,依法依規信息管理。前述文章提到,拾到手機者可通過社保通道獲取機主身份等基礎信息,這可能是整個案件中最值得思考的一環。畢竟,社保資料與個人利益息息相關,包含最基礎、最關鍵的個人信息。對於此類個人基礎信息,草案設專節規定國家機關處理個人信息的規則,在保障國家機關依法履行職責的同時,要求國家機關處理個人信息應當依照法律、行政法規規定的權限和程序進行。人社局的信息保密工作是第一位的,因而所有信息獲取需要且必須要進行復合認證,而非僅僅以“手機+驗證碼”的形式作為驗證手段。據此,如果草案獲得通過,政府機關層面對於信息保護必須重新設計驗證程序,增加技術手段,加入人臉等生物特徵值驗證,儘快推出含有生物特徵的新一代驗證方式。針對目前監管體制不暢、“九龍治水”的現狀,草案特別規定國家網信部門負責個人信息保護工作的統籌協調,其和國務院有關部門在各自職責範圍內負責個人信息保護和監督管理工作,這就為建立一個統一、高效,職權配置清晰且明確的監管體制提供了法律支撐。屆時,必須打破條塊分割、分而治之的局面,建立更加高效的“一站式”監管體制,明確各個責任部門的法定職責,建立有效的投訴處理機制,真正保障個人信息保護法律制度的有效運行。

三是注重遵循“告知—同意”規則,讓App“霸王協議”成絕響。個人信息泄漏風險主要源自兩點,一是個人信息的違規收集、不當處理,二是服務商沒有依法落實有關安全防護措施。為防止個體成“透明人”,草案確立以“告知—同意”為核心的個人信息處理一系列規則,即處理個人信息應當在事先充分告知的前提下取得個人同意,並且個人有權撤回同意;重要事項發生變更的應當重新取得個人同意;不得以個人不同意為由拒絕提供產品或者服務。據此,若草案獲得通過,很多App過度收集個人敏感、隱私信息,甚至強制、捆綁式信息收集方法都可能成為違法行為,“用隱私交換便捷和效率”必將成為過去式。

當然,個人信息保護也不能因噎廢食,須依據民法總則區分個人信息與數據這兩個不同的法律概念,尊重技術發展趨勢,完善服務條款合法性,理清用户與服務商的法律關係,從法治層面加強對數據安全的維護,通過理性制度設計,將隱私、尊嚴、人身與財產安全放在一個整體框架中尋找最妥當的均衡點。

(作者:虞潯,系華東政法大學刑事司法學院副院長)