摘 要:敏感个人信息与一般个人信息存在差异,对信息所有者的人身和财产安全至关重要,因此需要法律给予特殊保护。从我国现行立法情况来看,虽然《民法典》《个人信息保护法》等相关法律法规对一般个人信息和敏感个人信息采用了区别规制的立法思路,但实际法律规范较为简略,存在核心规则笼统、侵权救济机制不完善等问题。所以,可以通过优化知情同意规则、完善敏感个人信息侵权责任的归责原则等方式,优化敏感个人信息的法律保护路径,完善我国个人信息保护的法律体系。
关键词:敏感个人信息;信息处理者;知情同意规则
一、问题的提出:敏感个人信息的特殊性
我国在《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)颁布前,虽未出现“敏感个人信息”这一概念,但已有相关规定。例如,《中华人民共和国民法典》(以下简称《民法典》)对“私密信息”作出规定,还提出对生物识别信息、健康信息、行踪信息进行保护,这实际上增强了对敏感个人信息的保护。《个人信息保护法》的出台,标志着我国首次在法律上正式采用“敏感个人信息”的概念,并在《民法典》的基础上作出更全面的规定,是对《民法典》相关内容的具体化。
首先,《个人信息保护法》第二十八条规定,“敏感个人信息”是指“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”,该条款明确了敏感个人信息的概念和判断标准,为实践中认定敏感个人信息提供了基本依据。考虑到该条款表述较为抽象,立法者在后半段以列举的方式规定了包括生物识别、特定身份、金融账户等某些敏感个人信息的类型。这种“概括+列举”的方式,一方面具有弹性和开放性,能够很好地适应数据化时代快速更新迭代的信息类型;另一方面保证了界定敏感个人信息范围的可操作性。
其次,《个人信息保护法》明确了敏感个人信息的核心特征为“敏感性”,以此区分一般个人信息和敏感个人信息,这是结合我国国情和实际作出的具有中国特色的法律规定。综合其他国家的法律规范,大多采用穷尽列举的方式规定具体的敏感个人信息类型,并采取不同方式加以保护,未规定一般个人信息和敏感个人信息的界定标准。
最后,《个人信息保护法》中有关敏感个人信息的规定强化了对未成年人的信息保护。从国外立法来看,大多数国家规定处理未成年人个人信息时应当取得其监护人同意,但并未将未成年人个人信息纳入敏感个人信息范畴。与之不同,我国《个人信息保护法》第三十一条将不满14周岁的未成年人个人信息均纳入敏感个人信息范畴,该条款包含两重含义:第一,处理未成年人个人信息须取得监护人同意;第二,处理不满十四周岁未成年人个人信息应制定专门的个人信息处理规则。
总体而言,正是因为敏感性这一特殊特性,使得敏感个人信息受到特殊保护成为必然,这也是为其制定特殊处理标准的前提,从而实现敏感个人信息保护和合理利用之间的平衡。
二、敏感个人信息法律保护面临的问题
(一)缺乏处理敏感个人信息的明确前提
在《个人信息保护法》第二十八条的表述中,将处理敏感个人信息的前提规定为“具有特定的目的和充分的必要性,并采取严格保护措施”。然而,处理敏感个人信息的特定目的究竟是什么?在何种情况下能达到处理敏感个人信息的充分必要条件?这些核心概念在法条中并未给出具体阐释,这在一定程度上导致实际操作困难。如果不对这些概念加以界定,信息处理者就会依据自己的主观观念进行解读,可能导致其所阐述的法益未能达到或低于立法者在立法中期望实现的法律价值和意义,不利于对敏感个人信息的有效保护。
(二)“知情同意”规则过于笼统
作为处理敏感个人信息的核心规则,“知情同意”规则是第二个信息处理前提。从整体来看,处理敏感个人信息与处理一般个人信息所要求的“个人同意”并无本质区别。从司法实践中可以发现,信息主体在大多数情况下,由于信息不对称以及强制性同意的格式规定,“同意”逐渐演变成一种表面形式,信息主体的真实想法被虚化,自然人很难真正做出理性的处理敏感个人信息的判断,这使得敏感个人信息受侵害的风险急剧增加。因此,作为个人信息处理正当性基础的“知情同意”规则必须加以阐释,在细化现有规则的基础上,根据具体的处理场景,构建更完善的“知情同意”规则。
(三)敏感个人信息的侵权责任认定中存在利益冲突问题
作为调整主体之间利益冲突的法律规范,在判定主体行为性质时,需要权衡好不同的利益关系。在处理敏感个人信息侵权责任认定中,存在两对利益冲突,分别是敏感个人信息中的个人利益和公共利益之间的冲突,以及敏感个人信息中个人信息和商业利益之间的冲突。
首先,敏感个人信息始终包含着信息主体个人利益的保护需求,同时也包含着公共利益的利用需求,两者是对立统一的。例如,古代对犯某些罪行的犯罪人实行黥字刑罚,在犯罪人脸上、头上或者脖子上做出特定标识,用于普通民众识别罪犯。这种牺牲人格尊严维护社会秩序的行为,实际上将人的身体物化。当今,公共利益和个人利益之间的矛盾依然存在,例如,应某某和某街道办事处隐私权纠纷案,当事人以街道办事处在公安天网摄像头下面安装小摄像头对准应某某家的北面大门并进行24小时不间断的摄影摄像和监控,侵犯了应某某的合法权益为由提起隐私权诉讼并最终胜诉,体现了公共利益与个人利益之间的现实冲突。
其次,敏感个人信息中个人利益和商业利益也存在矛盾,一般个人信息也具有重要的商业价值。在某些App注册登录时,会要求使用者同意收集个人信息才能继续使用;在抖音等视频软件、淘宝等购物软件中,购买过某商品后会在主页不断推送相同类型的商品,这都体现了对个人信息的收集使用。敏感个人信息更是如此,其商业价值不可估量。这种附着了财产属性的个人信息,凸显了敏感个人信息的商业价值,因此,强调隐私、尊严等价值的个人信息利益与追求公开透明的商业利益之间存在着难以调和的矛盾。
三、敏感个人信息法律保护的优化路径
(一)明确敏感个人信息的处理前提
首先,要明确信息处理者在处理敏感个人信息时,应以“特定目的”为处理取向。比如,设定一个具体情境,采集自然人传染病史这一敏感个人信息,信息处理者在信息采集之前需要说明采集目的是为缴纳保险、员工入职还是其他,并且在信息采集过程中只能指向提前预设的目标,不能挪作他用,否则会被认为与“特定目的”相悖。
其次,“充分必要性”应当包含两方面内容。一方面是指信息处理者只有处理敏感个人信息这一种方式来实现特定目的。例如,在“中国人脸识别第一案”——郭某与某野生动物世界有限公司服务合同纠纷案中,以人脸代替指纹入园,显然人脸对信息主体权益的损害更大。人脸承载着更加重要的个人信息,且标识性最强,随着人脸支付的兴起,人脸还具备了财产属性。而对动物园来说,无论是以指纹、会员卡的方式入园还是以人脸识别的方式入园,都没有太大差别,反而前两种方式对敏感个人信息的使用度更低。通过比较可知,以人脸识别入园没有足够必要,当然不属于处理敏感个人信息的“充分必要性”。另一方面,信息处理者在处理个人敏感信息时,应当将处理仅限于为达到目的所必需的个人信息。敏感个人信息收集处理应当以特定的目的为指引,规定相应的范围。
(二)以场景为基础构建“知情同意”规则
敏感个人信息的“敏感性”会根据具体场景发生变化,因此,以具体场景为基础,构建动态的“知情同意”规则,有利于更好地明确敏感个人信息处理的前提。
首先,“知情”要在具体处理场景中实现。在当下的“知情同意”规则中,信息处理者告知信息主体信息处理的义务通常是一次性的,信息主体难以知晓敏感信息处理的真实情况和现实风险,容易对敏感个人信息造成侵害。针对这一问题,有必要建立持续性的信息披露机制,在信息主体同意处理信息后,及时更新信息处理者的处理过程和变化情况,这样可以充分保障信息主体的知情权。同时,立法还应当明确信息处理者在信息披露机制中应当告知信息主体哪些信息,避免信息过载导致披露效果欠佳,尤其需要让信息主体明确其权利,如更正、删除、不予授权等,确保实现信息主体“知情”。
此外,“同意”也要在具体处理场景中实现。敏感个人信息作为特殊的一般个人信息,应当受到最严格的同意限制。通常情况下,一般个人信息只需要推敲、默认同意,而敏感个人信息应达到明确、具体同意。现行的同意模式发生在信息收集阶段,只要在信息收集之前取得信息主体的同意,就默认在后续处理阶段也获得了信息主体的同意,信息处理者可以处理信息主体的个人信息。这种模式下,信息主体的同意只流于表面,不能代表信息主体真正的意愿。敏感个人信息处理的场景多变,处理风险也会随着场景变化而变化,这就要求根据处理场景的变化建立“分阶段同意”,从而更好地保护信息主体的敏感个人信息。所谓阶段是指在信息收集、存储、使用、传输、公开等各个具体的处理环节,都应当取得信息主体的同意,在各个处理环节,设立具体的同意事项,比如处理信息的范围、采取了什么样的安全措施、可能产生的风险等。通过取得信息主体每个环节的单独同意,克服传统模式下的模糊性,让信息主体对处理的个人信息更加明确,其做出的同意意愿更具有针对性,有效实现信息主体对有关其敏感个人信息处理的有效控制。
(三)在侵权责任认定中结合特定目的进行利益衡量
在解决敏感个人信息侵权的利益冲突问题上,可以结合特定目的原则进行考量。就公共利益和个人利益来说,两者是一对矛盾关系。从宏观上说,公共利益当然优先于个人利益,但并非绝对的优先。例如上文中提到的纠纷案,街道办事处出于公共利益安装摄像头,但其摄制范围仅针对某一家庭而非附近某一个区域的居民,对被针对的家庭而言,这种长时间的监控行为并非是为了实现公共利益的特定目的,而是以公共利益为名侵害个人利益的情形。这种维护公共利益的行为没有采用合理的方式,不应鼓励。对于个人利益和商业利益,应当明确的是,经济发展的最终目的是实现人民幸福,那么个人利益就拥有比商业利益更高的价值位阶。以保护个人利益、实现人民幸福、推动社会发展为目标,也是实现商业利益的重要基础,能够促进经济的健康发展。反过来说,如果商业主体在满足特定目的和必要性条件的前提下,个人利益也应作出合理的退让。
四、结束语
随着信息化的高速发展,社会公众对敏感个人信息法律保护的需求越来越高。我国的《个人信息保护法》虽然设置了敏感个人信息的特殊保护规则,但这些规则属于抽象性规定,不仅难以应用于实践,而且难以对敏感个人信息实现全面深入的保护。本文对目前我国敏感个人信息保护的基本问题,在立法层面探寻可行性方案,通过明确敏感个人信息的处理前提、以场景为基础建构“知情同意”规则、结合“特定目的”衡量相关利益等方式完善敏感个人信息保护体系,实现对敏感个人信息的全面保护。
(文 / 成瑶)
(作者简介:成瑶,青海民族大学,研究生在读。研究方向:行政法)
参考文献
[1]王利明.敏感个人信息保护的基本问题——以《民法典》和《个人信息保护法》的解释为背景[J].当代法学,2022,36(01):3-14.
[2]任芙萱.敏感个人信息的法律保护研究[J].天水行政学院学报,2024,25(06):94-97.
- 本文固定链接: http://www.dlqsyzz.com/10147.html
- 转载请注明: 《大陆桥视野》 于 大陆桥视野 发表
