敏感信息泄露危害大 如何從紙面到現(xiàn)實(shí)告別個(gè)人信息裸奔
|
|
個(gè)人信息保護(hù)法對(duì)敏感個(gè)人信息給予特殊保護(hù)
如何從紙面到現(xiàn)實(shí)
告別個(gè)人信息裸奔
11月1日起,備受關(guān)注的個(gè)人信息保護(hù)法正式施行。
網(wǎng)絡(luò)信息時(shí)代,個(gè)人信息保護(hù)領(lǐng)域亂象叢生,一些企業(yè)、機(jī)構(gòu)甚至個(gè)人隨意收集、違法獲取、過(guò)度使用、非法買賣個(gè)人信息,侵?jǐn)_人民群眾生活安寧、危害人民群眾生命健康和財(cái)產(chǎn)安全。個(gè)人信息保護(hù)成為廣大人民群眾最關(guān)心、最直接、最現(xiàn)實(shí)的利益問(wèn)題。
出臺(tái)專門的個(gè)人信息保護(hù)法也成為近年來(lái)社會(huì)各界最為強(qiáng)烈的立法呼聲。如何保護(hù)好個(gè)人信息、如何構(gòu)筑強(qiáng)有力的法律威懾、如何有效遏制違法違規(guī)侵害個(gè)人信息權(quán)益的行為,是立法亟待解決的問(wèn)題。經(jīng)過(guò)三次審議,8月20日,十三屆全國(guó)人大常委會(huì)第三十次會(huì)議表決通過(guò)個(gè)人信息保護(hù)法。
作為個(gè)人信息保護(hù)領(lǐng)域的基礎(chǔ)性專門法律,個(gè)人信息保護(hù)法與民法典、數(shù)據(jù)安全法、電子商務(wù)法等法律共同編織成一張個(gè)人信息保護(hù)網(wǎng)。值得一提的是,在全社會(huì)個(gè)人信息安全意識(shí)逐步提高的大背景下,廣大人民群眾對(duì)個(gè)人信息保護(hù)雖然一直保持較高的關(guān)注熱情,但也普遍缺乏相關(guān)的科學(xué)知識(shí)和法律知識(shí)。個(gè)人信息保護(hù)法真正從紙面的法律條文變?yōu)槭种芯S權(quán)的利器,并非一蹴而就。
區(qū)分敏感與非敏感信息
對(duì)于普通民眾來(lái)說(shuō),哪些個(gè)人信息受個(gè)人信息保護(hù)法的保護(hù),尤其是哪些個(gè)人信息會(huì)受到法律的特殊保護(hù),無(wú)疑是最應(yīng)該弄明白的問(wèn)題。
個(gè)人信息保護(hù)法的一大亮點(diǎn),是首次在法律上將個(gè)人信息區(qū)分為敏感與非敏感,采取概括加列舉的定義方式,將“敏感個(gè)人信息”界定為“一旦泄露或者非法使用,容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息”,同時(shí)對(duì)敏感個(gè)人信息的處理予以專門的、更加嚴(yán)格的規(guī)范。
按照個(gè)人信息保護(hù)法的規(guī)定,生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡以及不滿十四周歲未成年人的個(gè)人信息等,被歸類為“敏感”的個(gè)人信息。相比其他的個(gè)人信息,敏感個(gè)人信息將得到更為嚴(yán)格的保護(hù)。
談及為何要對(duì)敏感個(gè)人信息提供特殊的法律保護(hù),清華大學(xué)法學(xué)院副院長(zhǎng)程嘯指出,一方面,敏感個(gè)人信息與自然人的人格尊嚴(yán)、人格自由等基本權(quán)利和重大人身財(cái)產(chǎn)權(quán)益具有極為密切的聯(lián)系。無(wú)論合法還是非法處理此類信息,都會(huì)產(chǎn)生重大風(fēng)險(xiǎn)甚至直接損害。例如,掌握自然人的基因、指紋、聲紋、掌紋、臉部特征等生物識(shí)別信息,就可以永久識(shí)別特定自然人。如果處理者挖空心思想著如何利用這些信息來(lái)謀取利益,那對(duì)個(gè)人可能會(huì)造成何種危險(xiǎn)將難以預(yù)測(cè)和控制。另一方面,網(wǎng)絡(luò)信息時(shí)代,完全禁止利用個(gè)人信息顯然是不可能的,如何劃定保護(hù)與合理使用的邊界就成為問(wèn)題核心。敏感與非敏感的區(qū)分有助于更科學(xué)地劃定這一邊界。此外,區(qū)分并明確列舉敏感個(gè)人信息,對(duì)于自然人、個(gè)人信息處理者以及相關(guān)職能部門來(lái)說(shuō)都非常必要。
“這種區(qū)分,可以使自然人更充分意識(shí)到敏感個(gè)人信息的重要性,采取更有效的自我保護(hù)行動(dòng),更謹(jǐn)慎的行為,一旦發(fā)現(xiàn)違法行為及時(shí)舉報(bào)等,也能夠降低個(gè)人信息處理者履行義務(wù)的合規(guī)成本,提高對(duì)處理行為合法性的可預(yù)期性。職能部門也可以集中資源進(jìn)行精準(zhǔn)有效的執(zhí)法活動(dòng),提高執(zhí)法效率。”程嘯說(shuō)。
敏感信息泄露危害極大
敏感個(gè)人信息最核心的特點(diǎn)就是敏感性。
“這種敏感,就是指造成侵害或危害后果上的容易性。”程嘯說(shuō),侵害或危害敏感個(gè)人信息的后果有兩類,一是人格尊嚴(yán)受到侵害。比如,泄露個(gè)人的種族、民族、政治觀點(diǎn)、性取向、疾病等個(gè)人信息,或者非法使用這些個(gè)人信息,會(huì)使個(gè)人遭受歧視或受到不公正的對(duì)待,這就是對(duì)人格尊嚴(yán)的侵害。二是自然人的人身、財(cái)產(chǎn)安全受到危害。比如,泄露了個(gè)人的行蹤軌跡,被不法分子知悉而導(dǎo)致受害人被殺害;泄露銀行賬戶信息導(dǎo)致銀行的資金被竊取等。
尤為值得關(guān)注的是,人臉識(shí)別作為敏感個(gè)人信息的一種,一旦泄露容易對(duì)個(gè)人的人身和財(cái)產(chǎn)安全造成極大危害,還可能威脅公共安全,因此對(duì)其收集和使用一直廣受關(guān)注。
個(gè)人信息保護(hù)法第二十六條規(guī)定,在公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備,應(yīng)當(dāng)為維護(hù)公共安全所必需,遵守國(guó)家有關(guān)規(guī)定,并設(shè)置顯著的提示標(biāo)識(shí)。所收集的個(gè)人圖像、身份識(shí)別信息只能用于維護(hù)公共安全的目的,不得用于其他目的;取得個(gè)人單獨(dú)同意的除外。
據(jù)悉,目前,就公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備,除了反恐怖主義法之外,尚缺乏相應(yīng)的法律法規(guī),僅有少數(shù)地方政府制定了政府規(guī)章,例如,2007年4月1日起施行的《北京市公共安全圖像信息系統(tǒng)管理辦法》、2011年8月1日起施行的《陜西省公共安全圖像信息系統(tǒng)管理辦法》等。但這些地方政府規(guī)章頒布的年代較早,已不適應(yīng)現(xiàn)實(shí)要求。
鑒于此,程嘯建議,個(gè)人信息保護(hù)法落地之后,應(yīng)當(dāng)盡快從頂層設(shè)計(jì)層面完善公共安全視頻圖像系統(tǒng)的相關(guān)法律法規(guī),更好協(xié)調(diào)公共安全的維護(hù)與個(gè)人信息的保護(hù)。
主動(dòng)拿起法律武器維權(quán)
那么,作為個(gè)人信息的權(quán)利人,該怎樣做才能有效地保護(hù)好自己的個(gè)人信息尤其是敏感信息呢?中消協(xié)近日專門給出5個(gè)“提醒”:
要積極學(xué)習(xí)個(gè)人信息保護(hù)法等法律規(guī)定。包括了解個(gè)人信息和敏感個(gè)人信息的處理規(guī)則、自身所享有的權(quán)利、個(gè)人信息處理者應(yīng)當(dāng)承擔(dān)的義務(wù)以及個(gè)人信息權(quán)益受到侵害時(shí)的救濟(jì)方式等。
要養(yǎng)成“非必要不提供”的良好習(xí)慣。除了要仔細(xì)閱讀隱私協(xié)議等條款外,還要考量處理個(gè)人信息理由的充分性和提供個(gè)人信息的必要性,只在確屬必要的情況下才提供個(gè)人信息或者進(jìn)行授權(quán)。
要對(duì)自己授權(quán)或者提供的個(gè)人信息進(jìn)行持續(xù)跟蹤。不同意繼續(xù)處理自己的個(gè)人信息時(shí),要積極行使“撤回同意”權(quán)利,要求對(duì)方停止處理或及時(shí)刪除其個(gè)人信息。
要注意銷毀帶有個(gè)人信息的單據(jù)和資料,防止因隨意丟棄、使用不當(dāng)?shù)仍斐蓚€(gè)人信息泄露。如妥善處理未脫敏的快遞單據(jù)等帶有個(gè)人信息的單據(jù)和資料,使用完后應(yīng)及時(shí)銷毀,或是涂抹掉關(guān)鍵信息后再丟棄;一些帶有個(gè)人敏感信息的電子數(shù)據(jù),如證件照片等,建議用完即刪或者采用加密方式進(jìn)行存儲(chǔ)。
要主動(dòng)拿起法律武器維護(hù)合法權(quán)益。當(dāng)自身個(gè)人信息權(quán)益受到侵害或者發(fā)現(xiàn)存在違法處理個(gè)人信息行為時(shí),要主動(dòng)進(jìn)行投訴、舉報(bào),提供案件線索和相關(guān)憑證,維護(hù)合法權(quán)益。
存量個(gè)人信息何去何從
伴隨個(gè)人信息保護(hù)法的落地,還有一個(gè)問(wèn)題值得關(guān)注,那就是存量個(gè)人信息該何去何從。
所謂存量個(gè)人信息,是指?jìng)€(gè)人信息處理者在個(gè)人信息保護(hù)法實(shí)施前已經(jīng)收集、存儲(chǔ)的各類個(gè)人信息。其中,一些個(gè)人信息處理者可能會(huì)以不符合法律規(guī)定的方式收集、存儲(chǔ)了大量的包含敏感個(gè)人信息在內(nèi)的個(gè)人信息。
由于個(gè)人信息處理行為具有持續(xù)性,個(gè)人信息保護(hù)法施行后,實(shí)踐中這些個(gè)人信息還可能被繼續(xù)利用。“對(duì)于這種處理行為應(yīng)當(dāng)及時(shí)地進(jìn)行法律規(guī)制。”中國(guó)人民大學(xué)法學(xué)院教授張新寶指出,由于目前還缺乏清晰的法律政策指引,完善對(duì)存量個(gè)人信息的合法合規(guī)治理是個(gè)人信息保護(hù)法落地后亟待解決的問(wèn)題。
在張新寶看來(lái),對(duì)于存量個(gè)人信息的處理,如果存在違法違規(guī)情形,其行為的性質(zhì)應(yīng)當(dāng)如何認(rèn)定需要作出司法政策上的決斷。他主張,應(yīng)當(dāng)以個(gè)人信息保護(hù)法正式實(shí)施之日作為時(shí)間節(jié)點(diǎn),區(qū)分實(shí)施前與實(shí)施后兩種情形分別作出判斷。
張新寶建議出臺(tái)相關(guān)規(guī)章或者司法解釋對(duì)這一問(wèn)題作出明確規(guī)定。“如果個(gè)人信息處理者的處理活動(dòng)未能達(dá)到個(gè)人信息保護(hù)法規(guī)定的規(guī)范化標(biāo)準(zhǔn),相關(guān)職能部門應(yīng)當(dāng)責(zé)令其改正或者獲得補(bǔ)充的同意,或者責(zé)令其不得進(jìn)行除存儲(chǔ)和采取必要的安全保護(hù)措施之外的處理。”