【摘要】在互联网时代,敏感信息对个人权益影响巨大,亟需利用法律武器予以保护。因此,在未来发展过程中,我国应进一步完善个人敏感信息范畴,创设个人敏感信息保护例外规则,实现个人敏感信息关联性、动态性管理,健全个人敏感信息责任机制与救济途径,实现对个人敏感信息的法律保护。
【关键词】个人敏感信息 例外规则 信息安全
【中图分类号】D923 【文献标识码】A
随着互联网日益发展,以数据应用为基础的商业模式越加成熟,个人敏感信息极容易发生泄露,对个人合法权益构成威胁。近年来,我国一直关注个人敏感信息的法律保护,并出台《信息安全技术个人信息安全规范》(以下简称《规范》),用于保护个人敏感信息。
个人敏感信息泄露具有不可逆性,必须进行全方位保护
《规范》中对个人敏感信息定义为一旦泄露、非法提供或滥用可能危害人身安全、财产安全,极容易导致个人名誉、身心健康受到损害或歧视性的个人信息。《规范》对个人敏感信息进行全方位规范,认定财产信息、健康生理信息、生物识别信息、身份信息、网络身份信息、网页浏览、行踪轨迹等都属于个人敏感信息范畴,该《规范》出台不仅有助于平衡市场和隐私权益保护,更为企业、监管机构、第三方机构在信息处理上提供法律界限。
《规范》主要用于整治信息管理问题,意识到现代企业在信息的收集与处理上,容易对个人权益造成损害,必须要设置一道“闸门”,对个人信息进行全方位保护,尤其是对个人敏感信息,更要坚决捍卫。在现代化社会,一些企业利用现代化技术,采取强制或隐蔽性手段收集用户信息,肆意传播大量的个人敏感信息,导致个人隐私权益受到侵犯,甚至影响个人正常生活。同时,企业在收集、储存信息过程中,因系统漏洞导致个人信息泄露,或被不法分子篡改信息,导致用户财产受损。此外,个人敏感信息泄露存在长期性与不可逆转性,一旦个人敏感信息泄露,将不可逆转地广泛传播,并且传播速度和范畴会持续性增长,无法制止或消除。
我国正处于互联网发展初级阶段,在信息安全管理上存在一些不足,无论是主动式的信息盗取,还是被动式的信息泄露,都会对人身、财产安全造成影响。可以说,我国必须制定相应的法律法规,健全信息保护方法和途径,利用法律武器对非法获取信息的企业和个人进行严惩,确保法律法规在保护个人敏感信息方面真正起到作用。
西方国家个人敏感信息保护经验
一是差异化禁止处理规则。欧盟于1995年和2016年分别通过《关于涉及个人数据处理的个人保护及其此类数据自由流通的第95/46/EC/号指令》和《一般数据保护条例》。其中都明确规定差异化禁止处理规则,第一种禁止以“种族、政治、宗教等相关的个人数据”处置;第二种禁止以鉴别自然人为目的对“基因数据、生物数据的个人数据”处置;第三种禁止以“个人医疗数据、性生活、性取向等相关的个人数据”处置。由此看出,欧盟对涉及个人敏感信息,禁止对敏感信息采取任何处置方式。
二是创设例外规则。基于社会公共利益和个人利益考量,差异化禁止处理规则也具有例外属性。第一种是知情同意例外。如果个人同意服务商处理敏感信息,应允许服务商处理相关数据;第二种是公共利益优先例外。如果个人敏感信息与公共利益产生冲突,应遵循公共利益优先原则,依法妥善处理个人敏感信息。
三是赋予选择权。美国在《美国—欧盟的隐私安全港原则》中明确规定,信息处理者处理有关敏感信息时要提供明示的选择权,比如,为了诉讼、医疗、个人其他重要权益等。相比之下,美国对个人敏感信息的保护更加灵活,允许当事人之间对敏感信息的范畴进行约定,但不得超越目的导向。
四是允许随时撤回与赋予被遗忘权。当服务商合法收集个人敏感数据时,个人可以对敏感数据要求撤回和被遗忘。此时,法律更加倾向于对个人权益的保护,允许个人随时对敏感信息进行撤回,可以要求服务商对敏感信息进行遗忘,以此更好地保护个人敏感信息。
完善我国个人敏感信息的法律保护策略
在遵照我国立法精神和原则的前提下,我们可以借鉴西方国家个人敏感信息保护规定,以此来完善我国个人敏感信息的法律保护。
完善个人敏感信息范畴。《规范》已经对个人敏感信息进行准确界定,并罗列敏感信息的范畴,如个人信息、身份证件、通讯地址、财产账户信息、行踪轨迹、交易信息等。但是,这些范畴界定仍存在“死角”,部分属于敏感信息的内容未列其中,如医疗服务信息、犯罪记录、性生活数据等。因此,完善个人敏感信息种类,就需基于现实情况,不断拓宽保护范畴,或设置兜底条款,让个人和服务商都能明确法律对个人敏感信息保护边界。
创设个人敏感信息保护例外规则。个人敏感信息保护并非一成不变,需要设立例外规则,以此来适应现实需要。我国法律在保护个人敏感信息时,应将个人同意和公共利益设为例外规则,实现个人敏感信息保护的灵活性。第一,个人同意。个人对敏感信息有着绝对的处置权,只要个人同意敏感信息处理,法律不应干涉个人意见,但值得注意的是,个人同意必须在完全知情、完全接受后果的前提下同意,服务商不得胁迫、引诱个人同意敏感信息处置。第二,社会公共利益。当个人敏感信息与公共利益发生冲突时,法律应优先考虑社会公共利益,在合理的范畴内允许服务商处理个人敏感信息。比如,国家出于公共利益考虑,应允许社会劳动保障部门处理个人敏感信息。此时,如果个人认为服务商处置超出必要范围,可以提起诉讼,禁止服务商越权处置个人敏感信息。
实现个人敏感信息关联性、动态性管理。一直以来,我国对个人敏感信息都采取“识别性”管理措施,以静态的标准对个人敏感信息进行判定,导致个人敏感信息保护遭遇困境。随着互联网发展,应以动态的“关联性”对个人敏感信息进行管理,将个人敏感信息植入具体的场景,通过结合具体场景,关联到特定的人或设备,综合考虑多元因素,判断服务商行为是否侵犯个人权益。保护个人敏感信息是世界立法趋势,但不能因为信息保护而阻碍网络发展,尤其是要区分一般信息和个人敏感信息,要在特定的环境下作出最准确判断。此外,随着大数据技术发展,服务商必然会收集个人信息,以便更好地开展服务,如果过度强调信息保护则会导致信息利用闭塞,引发“隐性交易”。正确的做法应实现动态性管理,强化个人对信息处置的主动权,将个人敏感信息处置权交于公民之手,由公民自主判断是否允许服务商处置信息。同时,服务商也要尽到风险提示义务,告知个人信息处理可能导致的后果,健全服务信息处置的风险管理举措,确保依法、合理处置个人敏感信息。
健全个人敏感信息责任机制与救济途径。以法律手段保护个人敏感信息安全,必须要建立责任机制,理清个人敏感信息泄露的责任人。服务商在处置个人敏感信息时具有较高风险,法律需明确服务商责任,服务商具有妥善收集、储存、使用个人敏感信息的权利,但必须承担信息泄露的责任,基于泄露对个人损害程度给予赔偿。值得注意的是,鉴于个人难以举证服务商责任,司法实践中应采取举证责任倒置,由服务商证明自己妥善地保护了个人敏感信息,未发生信息泄露现象,如服务商无法证明自身不存在过错,就应该承担相应的赔偿责任。在救济途径方面,传统的司法救济途径是必然选择,但对个人而言,司法救济需要较高的成本,应成立信息监管机构,一旦个人认为服务商泄露自身信息,应向监管部门投诉,由监管部门代替个人维护权益。
(作者为中共衡水市委党校基本理论教研室讲师)
【参考文献】
①陈骞、张志成:《个人敏感数据的法律保护:欧盟立法及借鉴》,《湘潭大学学报(哲学社会科学版)》,2018年第3期。
责编/肖晗题 美编/杨玲玲
声明:本文为人民论坛杂志社原创内容,任何单位或个人转载请回复本微信号获得授权,转载时务必标明来源及作者,否则追究法律责任。