公民个人信息保护法律思考

时间:2022-11-12 04:29:22

公民个人信息保护法律思考

你是否有过随口和朋友谈论的内容转眼间就被各种APP推送相关信息的经历?是否接到过各类从未接触过的机构卖房和推销基金的电话?相信生活在大数据时代下的我们多少都遇到过这样的情况,而随着个体意识的不断觉醒和隐私保护意识的增强,人们对于大数据让互联网更加“懂我”的欣喜慢慢消退,随后更多的是因此生出的被窥探的不适感。

一、大数据时代个人信息保护的立法进程

近年来,越来越多个人信息泄露和隐私侵犯的案例给我们敲响了个人信息保护的警钟,中国消协开展的“App个人信息泄露情况”调查结果显示,遇到过个人信息泄露情况的人数占比高达85.2%,与之相伴相生的,社会对于个人信息保护的呼声也越来越高。作为“社会生活百科全书”,于今年5月28日通过的《中华人民共和国民法典》中在人格权编专章规定了个人信息保护,积极回应了大数据时代对公民个人信息保护的需求,也为个人信息权利保护提供了法律依据和坚实的基础。更令人振奋的是,自2018年起一直备受关注的个人信息保护法草案(下称草案)终于揭开神秘的面纱,于今年10月21日在中国人大网公布。中央立法层面接连传出的好消息向我们传递了一个明确的信号——个人信息保护立法的日趋规范化。

二、个人信息保护法草案的亮点解读

作为第一部系统化规定个人信息保护的法律,民法典对于个人信息保护领域具有划时代的意义,紧随其后公布的草案中在其基础上进一步完善,下将对比阐述。

首先,二法都明确了个人信息的范围,但是与民法典相比,草案还特别强调了信息的可识别性——这意味着匿名化处理的信息不在法律保护范围内,保护信息主体人格权益的立法目的不言而喻。

第二,草案对于民法典中个人信息处理的“知情-同意”原则一脉相承,但是并不以同意作为信息处理的唯一前提,对于信息处理中同意的切分也更加合理。草案借鉴了GDPR(《一般数据保护条例》),另行规定了“为订立或者履行个人作为一方当事人的合同所必需”等五种合法性基础,打破了传统上单纯的个人信息自决路径。另外,不同于《个人信息安全规范》区分“明示同意”、“授权同意”,草案只是概括要求“由个人在充分知情的前提下,自愿、明确作出意思表示”。只有在“向第三方提供、公开、跨境提供个人信息、处理敏感信息”这四种情形下,需要取得个人的“单独同意”。概括同意与单独同意相结合的体系给了信息处理者更大的自由,无疑更满足数据流动的需要。

第三,草案的一大进步之处在于对个人信息的区别保护。相较于民法典中对个人信息的普遍规定,草案区分了普通信息和敏感信息,并对后者进行了更严格的规定——例如,敏感信息需要单独同意。个人信息范围极广,假如处理上一刀切,无论松严都难符合法理和情理,这样的区分显然更为恰当。

此外,草案还对于人脸识别、数据推送营销等热点问题做出了回应。草案规定,“在公共场所安装图像采集、个人身份识别设备,应当以必需维护公共安全所前提”,这就意味着超出公共安全目的的身份识别面临着合法性质疑,许多引发担忧的问题如小区或动物园强制使用人脸识别在一定程度上得到了遏制,但是如何判断“公共安全”的前提,仍是实践中需要解决的难题。

最后,在责任和处罚上,草案都更加严格。对于违法处理个人信息行为,情节严重的,要求“没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照……”。处理的自由和责任的严格相结合,体现了立法“宽进严出”的理念,更利于加强个人信息的保护。

三、结语

在大数据时代下,数据流动和个人信息保护之间难免会产生冲突和碰撞,但是我们既不能为了经济发展牺牲个人信息安全,让民众生活充满隐私被窥探的不安,也不能矫枉过正,设置过高的藩篱,阻碍数据的流通和社会的发展。如何平衡这二者的关系,促进经济社会持续健康运转,是我国相关立法始终追寻的方向。从民法典到个人信息保护法草案,立法显见地日趋完善,虽然仍有缺漏,立法与司法实践间的距离也仍需日后填补,但是我们有理由相信其光明的未来。

作者:杜慧敏 单位:兰州大学