個人資訊保護法能否終結“資訊裸奔”

近日,一篇講述手機失竊後事主驚心動魄的經歷的文章在網路熱傳。在文章中,事主歷數個人資訊遭竊取、資金被盜取的過程,整個事件事實清晰、作案手法簡單,但也正是這種簡單讓所有手機使用者後怕。不過,好訊息是個人資訊保護法草案已提請十三屆全國人大常委會第二十二次會議初次審議,有望讓個人隱私儘快地擺脫被濫用的狀態,為公眾提供更系統的法律保護。

個人資訊保護法草案有三大亮點值得關注。一是注重敏感個人資訊處理規則與金融交易中的個人資訊保護。當前,我們置身移動支付時代,銀行等金融科技一味“求新”“求快”,將便捷性、高效性放在首位,甚至為了吸引消費者而不惜把銀行卡與手機卡“一鍵繫結”,有存在為了方便快捷犧牲安全之嫌。對於金融交易中的個人資訊保安問題,草案給予特別關注,建立敏感個人資訊處理規則就是直指線上金融交易規範。草案對敏感個人資訊作出界定,並設專節明確敏感個人資訊處理規則,即基於個人同意處理敏感個人資訊的,個人資訊處理者應當取得個人單獨同意。據此,如果草案獲得透過,目前在金融支付領域非常盛行的手機繫結和解綁銀行卡行為,就必須進行復合驗證,取得當事人的單獨同意。在繫結行為中,支付公司、銀行卡需要符合法律規範,避免只憑簡訊驗證的方式,確保不能讓“智慧支付”變成“只會支付”。

二是注重提升技術手段,明確主體責任,依法依規資訊管理。前述文章提到,拾到手機者可透過社保通道獲取機主身份等基礎資訊,這可能是整個案件中最值得思考的一環。畢竟,社保資料與個人利益息息相關,包含最基礎、最關鍵的個人資訊。對於此類個人基礎資訊,草案設專節規定國家機關處理個人資訊的規則,在保障國家機關依法履行職責的同時,要求國家機關處理個人資訊應當依照法律、行政法規規定的許可權和程式進行。人社局的資訊保密工作是第一位的,因而所有資訊獲取需要且必須要進行復合認證,而非僅僅以“手機+驗證碼”的形式作為驗證手段。據此,如果草案獲得透過,政府機關層面對於資訊保護必須重新設計驗證程式,增加技術手段,加入人臉等生物特徵值驗證,儘快推出含有生物特徵的新一代驗證方式。針對目前監管體制不暢、“九龍治水”的現狀,草案特別規定國家網信部門負責個人資訊保護工作的統籌協調,其和國務院有關部門在各自職責範圍內負責個人資訊保護和監督管理工作,這就為建立一個統一、高效,職權配置清晰且明確的監管體制提供了法律支撐。屆時,必須打破條塊分割、分而治之的局面,建立更加高效的“一站式”監管體制,明確各個責任部門的法定職責,建立有效的投訴處理機制,真正保障個人資訊保護法律制度的有效執行。

三是注重遵循“告知—同意”規則,讓App“霸王協議”成絕響。個人資訊洩漏風險主要源自兩點,一是個人資訊的違規收集、不當處理,二是服務商沒有依法落實有關安全防護措施。為防止個體成“透明人”,草案確立以“告知—同意”為核心的個人資訊處理一系列規則,即處理個人資訊應當在事先充分告知的前提下取得個人同意,並且個人有權撤回同意;重要事項發生變更的應當重新取得個人同意;不得以個人不同意為由拒絕提供產品或者服務。據此,若草案獲得透過,很多App過度收集個人敏感、隱私資訊,甚至強制、捆綁式資訊收集方法都可能成為違法行為,“用隱私交換便捷和效率”必將成為過去式。

當然,個人資訊保護也不能因噎廢食,須依據民法總則區分個人資訊與資料這兩個不同的法律概念,尊重技術發展趨勢,完善服務條款合法性,理清使用者與服務商的法律關係,從法治層面加強對資料安全的維護,透過理性制度設計,將隱私、尊嚴、人身與財產安全放在一個整體框架中尋找最妥當的均衡點。

(作者:虞潯,系華東政法大學刑事司法學院副院長)

版權宣告:本文源自 網路, 於,由 楠木軒 整理釋出,共 1492 字。

轉載請註明: 個人資訊保護法能否終結“資訊裸奔” - 楠木軒