首先,《个人信息保护法》对敏感个人信息进行了定义和列举。
《个人信息保护法》规定将敏感个人信息定义为一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,同时列举了敏感个人信息的种类,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。《个人信息保护法》将不满十四周岁未成年人的个人信息列为敏感个人信息,强化了对未成年人个人信息权益的保护。
敏感个人信息和非敏感个人信息是我国《个人信息保护法》从规范个人信息处理行为的角度对个人信息进行的一种重要分类,有针对性地提高处理者在处理敏感个人信息时的法定义务,更加充分地保护个人信息权益。
我国《个人信息保护法》在列举敏感个人信息种类中的“等”字,应采“等外”之意,表示列举未尽。纵使不在法律明文列举之列,因其在特定场景所具有的高度敏感性,也应纳入敏感个人信息的保护范畴。技术的发展及场景的变化,也为新型的敏感个人信息特殊保护留下空间。
其次,《个人信息保护法》对敏感个人信息规定了专门的处理规则。
我国《个人信息保护法》在区分敏感个人信息与非敏感个人信息的基础上,在第二章专节规定了“敏感个人信息的处理规则”,对处理敏感个人信息的前提进行了限制,要求只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。以此为基础,《个人信息保护法》规定了一些仅适用于敏感个人信息的特殊处理规则,知情同意原则是个人信息保护领域公认的首要原则,既适用于敏感个人信息,也适用于非敏感个人信息,意在实现与加强个人自决。针对敏感个人信息的处理,《个人信息保护法》提出了更高的要求,要求处理敏感个人信息应当取得个人的单独同意。这意味着在处理敏感个人信息时,概括同意或推定同意的授权模式为法律所禁止。法律、行政法规规定处理敏感个人信息应当取得书面同意的,还应取得书面同意。
《个人信息保护法》对敏感个人信息处理者的告知义务提出了更高的要求。《个人信息保护法》第17条第1款规定:“个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(1)个人信息处理者的名称或者姓名和联系方式;(2)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(3)个人行使本法规定权利的方式和程序;(4)法律、行政法规规定应当告知的其他事项。”第30条规定:“个人信息处理者处理敏感个人信息的,除本法第17条第1款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。”
《个人信息保护法》不仅将不满十四周岁未成年人的个人信息列为敏感个人信息,还要求个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。《个人信息保护法》将不满十四周岁未成年人的个人信息作为敏感个人信息,回应了现实中儿童信息泄露等问题,对未成年人个人信息处理进行了更严格的规范,有利于切实维护未成年人的合法利益并促进未成年人健康成长。
《个人信息保护法》还规定,法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的,从其规定。
再次,个人信息处理者处理敏感个人信息应当事前进行个人信息保护影响评估。
对处理敏感个人信息等几种特定情形,《个人信息保护法》规定应在事前进行个人信息保护影响评估,并对处理情况进行记录。个人信息保护影响评估本质上是风险评估。由于处理敏感个人信息可能对自然人的权利和自由带来高度风险,对此类处理进行事前风险评估可以防患于未然。《个人信息保护法》要求个人信息保护影响评估应当包括下列内容:(1)个人信息的处理目的、处理方式等是否合法、正当、必要;(2)对个人权益的影响及安全风险;(3)所采取的保护措施是否合法、有效并与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。
综上,我国《个人信息保护法》区分敏感与非敏感的个人信息,并在此基础上确定了敏感个人信息的特殊处理规则,与世界主流个人数据保护立法一致,体现了对与人格尊严或人身、财产安全密切相关的个人信息的倾斜保护,能更有效地防范个人信息风险,更全面保护个人信息主体的利益。同时,区别对待不同种类的个人信息,能提高对处理行为的可预测性,明确了企业合规重点,在一定程度上降低企业的合规成本,有利于数字经济发展。
《个人信息保护法》:构筑新时代个人信息权益保护的安全防护网
作者:赵精武 北京航空航天大学法学院副教授,工业和信息化法治研究院研究员
《中华人民共和国个人信息保护法》即将于2021年11月1日起正式施行,这标志着我国个人信息保护立法体系进入新的阶段。个人信息保护的相关制度在《网络安全法》就已经有了专章规定,其后的《民法典》人格权编和《数据安全法》也先后规定了涉及个人信息的具体保护制度。相较于前述立法活动,《个人信息保护法》的出台为个人信息权益保护、信息处理者的义务以及主管机关的职权范围提供了全面的、体系化的法律依据。个人面对非法收集和处理个人信息的侵权行为能够获得更具体、更多样的救济方式,权利保障范围涵盖个人信息收集、存储、使用、加工、传输、提供、公开、删除等多个环节以及敏感个人信息处理、个人信息跨境提供等特定场景。个人信息权益得到切实有效的制度保障,也为信息产业明确了经营行为的合法性边界,与《国家安全法》《网络安全法》《民法典》和《数据安全法》等法律法规共同构建起个人信息保护的法治堤坝。
一、个人信息处理活动的基本原则框架:合法、正当、必要与诚信
《个人信息保护法》的出台可谓是顺应人民群众最迫切的利益诉求。在数字经济时代,个人与网络信息服务提供者之间存在明显的信息鸿沟,为了能够获得相应的信息服务使用权限,个人不得不“主动”提供自己的个人信息,但是却无法真正知晓自己的个人信息究竟将如何被处理以及谁将拥有自己的个人信息。更有甚者,个人信息买卖已然成为完整的黑灰产业链条,个人的财产安全和人身安全受到严重威胁。为了充分保护个人信息权益,同时也是为了规范个人信息处理活动,促进信息产业发展,《个人信息保护法》顺势而为,明确了个人信息处理活动应当以合法、正当、必要和诚信作为基本原则,即任何类型和任何阶段的个人信息处理行为均应当满足这些原则性要求,即便现行立法没有明确规定特定个人信息处理行为是否满足法定义务,如若相关行为违背合法、正当、必要和诚信四项基本原则之一,也应当承担相应的民事法律责任,情节严重的,应当承担刑事责任。换言之,这四项基本原则构成了《个人信息保护法》的内容主线:第一,合法性原则要求个人信息处理行为应当满足法律法规规定,这里的“法”并不单一局限于《个人信息保护法》,还包括《网络安全法》《数据安全法》《民法典》《刑法》《关键信息基础设施安全保护条例》等法律法规。第二,正当性原则要求个人信息处理行为应当符合立法宗旨和法律价值,不得以谋求自身利益而侵害其他个人的个人信息权益。在实践中,部分APP运营者在用户注册阶段以不显著、不直接的方式向用户展示个人信息处理的目的、范围和方式等重要信息,这种行为显然违背了正当性原则。第三,必要性原则要求个人信息的收集范围和处理方式应当仅以实现相应的信息服务功能和业务目的为必要。该原则强有力地回应了当下社会对APP运营者肆意收集处理个人信息行为的担忧和质疑,避免个人为获取相应信息服务而被动提供个人信息的问题恶化。例如,地图导航类APP运营者的个人信息收集范围仅应当以地理位置信息为限,职业、工资、旅游偏好等其他与地图导航功能无关的个人信息显然不在“与处理目的直接相关”的范围之内。第四,诚信原则强调个人信息处理者不得利用自身的优势地位侵害个人信息权益。一方面,个人信息处理者应当诚实信用地按照约定的处理目的和范围处理个人信息;另一方面,个人信息处理者不应当故意隐瞒、有意淡化事关个人信息权益的提示说明事项。
二、个人信息权益保护方式:权利与义务的一体化
在欧盟《通用数据保护条例》出台之后,全球各国个人信息立法曾一度或多或少受到欧盟个人数据权利体系的理论影响,删除权、更正权、查询权等具体权利似乎成为个人信息保护领域的“制度范本”。我国《个人信息保护法》则立足于中国本土实践,向全世界提供了全新的个人信息保护思路:重视个人信息权益的实质性保护,以权利与义务的一体化要求为导向。从《个人信息保护法》的第四章和第五章内容来看,个人在个人信息处理活动中享有查阅、复制、更正、补充、请求删除个人信息等具体权利。并且,个人信息处理者也应当积极履行法定义务,确保个人权利能够有效实现,倘若个人信息处理者设置各种不合理非必要的维权程序、客服流程等“维权门槛”,既违背了个人信息处理行为的基本原则,也构成了法定义务履行不充分。
个人在个人信息处理活动中行使权利有两个前提条件:第一,个人对个人信息处理应当享有充分知情权和决定权。所谓的知情权是指个人有权知晓其个人信息的收集处理目的、范围和方式,并且这种知情应当是以清晰易懂的显著方式予以实现。换言之,如果个人信息处理者为避免承担法律责任将所有个人信息处理事项事无巨细地向用户直接展示,又或是以小号字体、密集文字排版等方式告知用户个人信息处理活动,则显然构成对个人信息知情权的实质侵害。第二,个人在实现知情权之后应当能够独立自主地决定是否提供个人信息以及决定个人信息的实际处理范围和方式。在实践中,部分用户即便知晓个人信息处理的相关事项,但囿于使用特定信息服务的需要以及行业内格式合同的泛滥,用户无力决定个人信息的具体处理方式。为了解决此类问题,《个人信息保护法》明确个人有权限制或限制对其个人信息处理。此外,决定权也有其例外情形。
三、充足的安全感:国家机关全方位保护个人信息
《个人信息保护法》提供的个人信息保护路径并不局限权利与义务的一致性要求,还包括专门的国家机关履行个人信息保护职责,提供全方位的个人信息保护和救济方式。《个人信息保护法》所提供的充足安全感既来自于国家机关处理个人信息的特别规定,也来源于国家机关履行职责的专门规定。一方面,《个人信息保护法》规定国家机关处理个人信息同样应当遵守法律、行政法规规定的权限和程序。个人信息权益受到前所未有的重视,即便个人信息处理者是国家机关,其收集处理范围和限度同样不得超出履行法定职责之需要。并且,国家机关处理个人信息之前,应当依照规定,履行告知义务。另一方面,《个人信息保护法》明确规定了国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。具体而言,除了日常熟知的个人信息保护宣传教育,接受、处理与个人信息保护相关的投诉、举报,调查、处理违法处理个人信息等活动之外,还包括个人信息保护评估、个人信息跨境传输安全评估、第三方安全认证体系、个人信息保护技术标准制定等具体领域的工作内容。此外,为了切实解决近期出现的“监控偷拍人脸识别”“大数据杀熟”等社会热点问题,《个人信息保护法》还专门规定国家网信部门统筹协调有关部门依据本法推进人脸识别、人工智能等新技术、新应用领域个人信息保护规则、标准制定工作。
个人信息保护绝不能停留于纸面的权利宣誓与义务要求,更要重视之后法律实施过程中可能面临的新问题和新挑战,平衡个人信息权益与信息产业良性发展的双重诉求,个人信息保护还需要有效统筹协调立法、执法和司法三个环节,要让老百姓看得到、摸得着、感受得到真正的个人信息权益保护,推进个人信息保护工作的纵深化发展。