江蘇省蘇州市公安、教育等部門運用人臉識別等技術手段,提升學校安全水平。
華學銀攝(人民視覺)
河北秦皇島市第一醫院醫生依託“互聯網 大數據”技術,讓患者將醫療數據遠程傳輸到管理平台,進行異地問診。
曹建雄攝(人民視覺)
參觀者在京津冀大數據創新應用中心體驗VR技術。
新華社記者 王 曉攝
山東省青州市何官鎮小王村晟豐農業生態園內,工作人員在調試人工智能農業機器人。
王繼林攝(人民視覺)
以大數據、雲計算為代表的信息技術的快速發展,不僅為經濟社會發展提供巨大動力、為人民生活帶來更多便利,也給個人信息保護、個人隱私安全帶來更多挑戰。
十三屆全國人大三次會議審議通過的民法典在現行有關法律規定的基礎上,進一步強化對隱私權和個人信息的保護,併為下一步制定個人信息保護法留下空間。
如何更好實現技術應用與隱私保護的統籌兼顧?疫情防控中的個人信息安全問題應如何破解?生物識別技術運用中暗藏的隱私泄露風險應如何規避?這都需要從法律和實踐中尋找答案。
——編者
民法典提供更廣泛的個人信息保護
前不久,哈爾濱市民王先生髮現,在使用某應用程序時,該應用程序會自動獲取其好友信息並推送好友發佈的視頻。據此,王先生以侵犯隱私權為由提起訴訟。法院裁定,要求該應用程序立即停止使用王先生的好友信息,停止將王先生信息推薦給其他用户。
“這起案件的判決將個人信息納入到了隱私權保護的範圍內,但並沒有對個人信息和隱私權作出更清晰的區分。”在北京互聯網法院審管辦主任孫銘溪看來,這一判例是司法實踐的常態,“民法總則雖然明確自然人享有隱私權,但並未對個人信息和隱私權的概念作出界定。”不過,前不久十三屆全國人大三次會議通過的民法典中的人格權編,則給出了隱私的明確定義:既包括“私人生活安寧”,也包含“不願意讓他人知曉的私密空間、私密活動、私密信息”,任何組織或者個人不得以刺探、侵擾、泄露、公開等方式侵害他人的隱私權,不得實施可能破壞他人隱私和隱私權的行為。
“民法典對隱私權的強化保護,體現出在數字時代,更加重視數字人格的立法取向。”孫銘溪説,隱私權更多側重於精神利益,個人信息則兼具人格和財產利益;隱私偏重於消極防禦權,個人信息則強調個人信息的自決和控制;個人信息更多關注的是客觀風險,隱私權所包含的“私密信息”則更關注主觀意願。
“民法典事實上提供了比隱私權更廣泛的個人信息保護。”清華大學法學院院長申衞星表示,民法典在總則部分規定,自然人的個人信息受法律保護,任何組織或者個人應當依法取得並確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息,“這意味着,即使是不屬於隱私權中‘私密信息’的個人信息,也依然能得到相應的法律保護”。
“民法典強化對個人信息的保護,還體現在維護個人對其信息的控制權上。這種控制權包括控制個人信息流出、更正或撤回,維護個人信息的安全環境。”申衞星説,知情同意正是控制個人信息流出的關鍵措施。根據民法典規定,處理自然人個人信息的,一般都必須徵得該自然人或者其監護人同意,即便是獲得了個人同意,在處理個人信息過程中還需要明示處理信息的目的、方式和範圍,不得違反法律、行政法規的規定和雙方的約定,並按照合理的方式處理信息。
查詢、複製並行使刪除權是確保個人信息主體控制權的具體措施。根據民法典規定,自然人可以依法向信息處理者查閲或者複製其個人信息;發現信息有錯誤的,有權提出異議並請求及時採取更正等必要措施。此外,自然人發現信息處理者違反法律、行政法規的規定或者雙方的約定處理其個人信息的,有權請求信息處理者及時刪除。“通過這些具體措施的賦權,公民可以掌控其個人信息的使用狀態,並且對相關狀態進行調整,甚至提出刪除的要求,個人信息的處理者都需要對這些權利主張予以滿足。”申衞星説。
在疫情防控中要做好個人信息保護工作
6月17日,河北燕郊一街道辦工作人員賈某某,因在微信羣傳播疫情防控傳真文件照片,內容涉及居民張某等人的隱私信息,被公安機關依法行政拘留10日。
這一事件並非孤例。4月19日,青島公安發佈通報稱,因造成膠州中心醫院出入人員名單在社會上被轉發傳播,3人被依法行政拘留。名單涉及6000餘人的姓名、身份證號碼等個人信息,侵犯了公民個人隱私權。公安部統計數據顯示,截至4月15日,全國公安機關共處罰網上傳播涉疫情公民個人信息違法人員1522名。
在疫情防控常態化的大背景下,利用大數據開展聯防聯控已成工作常態。如何平衡公共利益與公民個人信息保護,兼顧社會治理安全與效率,確保公民個人信息安全,成為令人關注的社會話題。
“電信運營商和各大互聯網平台掌握了公民大量的地理位置、行蹤軌跡等個人信息,這是利用大數據助力疫情防控最顯著的優勢。”由全國信息安全標準化技術委員會牽頭成立的APP專項治理工作組副組長洪延青表示,相較於傳統的走訪、摸排、登記,信息技術和大數據分析更加及時、準確、有效,成為疫情防控和監測的重要手段。此外,大數據不斷學習、更迭、完善的特點,也有利於更好分析掌握疾病傳播規律,消除防疫“盲區”和不確定性。
將大數據應用於疫情防控,要防止個人信息泄露的現象發生。在中國社會科學院大學互聯網法治研究中心執行主任劉曉春看來,造成個人信息泄露的原因主要有以下幾個方面:未經被收集者同意,隨意收集、存貯、使用個人信息;收集的個人信息明顯超過正當和必要範圍;收集和控制的個人信息,未經被收集者同意,用於其他用途;未經被收集者同意,公開其個人信息,尤其是敏感信息;個人信息的收集和控制者,沒有盡到個人信息安全保護主體責任。
事實上,早在今年2月,中央網信辦就發佈《關於做好個人信息保護利用大數據支撐聯防聯控工作的通知》,對疫情防控期間的個人信息安全保障作出規定。《通知》明確規定,為疫情防控、疾病防治收集的個人信息,不得用於其他用途,任何單位和個人未經被收集者同意,不得公開其姓名、年齡、身份證號碼、電話號碼、家庭住址等個人信息。
“疫情防控與個人信息保護,需要統籌兼顧、做好平衡。”在洪延青看來,涉及個人信息的採集、彙總、共享、披露等各個環節都應當注意做好個人信息保護工作,以防出現數據泄露、丟失、濫用等情形。比如,以紙質填表方式開展的走訪調查需要妥善保管,並在適當時候統一回收;以電子方式記錄或彙總相關信息,則需要責任落實到人,並將數據保存在特定終端並加密存儲。
“在彙總存儲環節,儘可能相對集中管理和處理個人信息,採用嚴密的訪問控制、審計、加密等安全措施;在向疫情防控工作相關方共享、傳輸相關數據時,應確認對方是有權獲取數據的機構或個人,並採取加密傳輸的措施。”劉曉春説,在個人信息使用過程中,需要做到專採專用,嚴格限制於疫情防控目的,不得用於其他用途,並且在疫情防控結束後按照規定予以妥善處置。
生物識別信息保護要更加細化
“我的‘臉’我能做主嗎?”為討個説法,杭州市民郭兵打了場官司。
2019年4月,郭兵在某野生動物園辦理了一張年卡,通過驗證年卡和指紋,可在一年內不限次數入園遊玩。當年10月,該野生動物園通過短信告知郭兵:園區年卡系統已升級為人臉識別入園,原指紋識別已取消,即日起,未註冊人臉識別的用户將無法正常入園。郭兵認為,面部特徵等個人生物識別信息屬於個人敏感信息,一旦泄露、非法提供或者濫用,將極易危害包括原告在內的消費者的人身和財產安全。
在協商不成的情況下,郭兵以服務合同違約為由,將該野生動物園告上法庭。6月15日,該案在杭州開庭審理。庭審中,雙方辯論焦點集中於蒐集的人臉等生物特徵信息,是否符合法律法規要求;有無做到充分告知,及徵得用户同意等。
郭兵認為,人臉屬於敏感個人信息,蒐集需要符合相應條件,即合法性、正當性、必要性,而且即使符合這些原則,也應當告知用户使用目的並徵得用户同意。“收到短信時,我還以為是要求採集人臉信息。但沒想到這只是告知我已經升級為刷臉入園,要求激活而已。也就是説,被告之前已經收集了我的人臉信息,但此前從沒有告訴用户需要採集面部信息。”郭兵説。此次庭審,法院未當庭宣判。
這起官司因涉及過度採集公民生物特徵信息、個人隱私安全等,引起了社會公眾的廣泛關注。近年來,隨着人工智能、信息技術快速發展,面部特徵、指紋、虹膜、聲音、步態等“個人生物識別信息”得以廣泛運用,一方面給經濟社會發展提供巨大助力、為公民日常生活帶來更多便利,但另一方面,也存在着泄露個人信息、侵害個人隱私安全的隱患。
“在我國,包括生物識別信息在內的個人信息的法律保護,經歷了一個從無到有、從刑法保護為主到公法私法並重的發展歷程。”清華大學法學院副院長程嘯表示,2009年,刑法修正案(七)首次將竊取或以其他方式非法獲取公民個人信息情節嚴重的行為規定為犯罪。2017年施行的網絡安全法,不僅明確界定了個人信息的含義,把個人生物識別信息納入個人信息範疇,同時還對個人信息的收集、存儲、保管和使用進行了更詳細、全面的規範。
“在新出台的民法典人格權編中,對個人生物識別信息也提供了多重保護。”程嘯説,在一定載體上所反映的特定自然人可以被識別的外部形象屬於肖像,應當受到肖像權的保護,任何組織或者個人不得以利用信息技術手段偽造等方式侵害他人的肖像權,“採取偷拍偷錄等方式採集自然人人臉等生物識別信息的行為,將構成對隱私權的侵害。對既不屬於肖像,也不屬於隱私的生物識別信息,還可以適用民法典人格權編個人信息保護的規定”。
“手機號碼、郵箱、銀行賬號等個人信息,比較容易進行更改,但個人生物識別信息要更改則非常困難。這意味着個人生物識別信息一旦被非法收集、泄露,不僅會對自然人的人身財產安全產生威脅或現實損害,而且無法以修改、重置等方式預防後續損害。”程嘯認為,人臉信息等個人生物識別的特殊性還在於容易在未經自然人主動配合的情形下進行收集,“在這種情況下,網絡安全法等法律規定的告知同意原則實際上難以落實,這就要求法律對哪些組織或者個人在哪些場合可以收集人臉等生物識別信息,作出更明確的規定”。
在庭審中,郭兵説:“我並不是一個技術上的‘保守者’,但是面對類似人臉識別等技術創新時,也要同時繃緊個人信息保護這根‘弦’。希望這起案件的審理能夠成為一堂普法課,讓更多人關注和思考如何更好實現技術應用與個人信息保護的統籌兼顧。”
版式設計:張丹峯
《 人民日報 》( 2020年07月02日 19 版)