个人信息保护亟待监管和规范
□ 陈 华
个人信息保护法已由十三届全国人大常委会第三十次会议通过,自2021年11月1日起施行。个人信息保护法在特定行业的适用问题、关于敏感个人信息问题、法律的执行机构、行业自律机制、信息主体权利、跨境信息交流问题、刑事责任问题,对个人及行业有着很大的作用。智能监控问题愈演愈烈,使劳动者个人信息权益面临更大威胁。数智时代算法权力的失衡使劳动从属性以新的技术面貌呈现并加剧,需加以矫正。
一、生物识别信息的监管和规范
刷脸识别等智能技术的应用之所以会引发社会公众的担忧,主要是因为掌握个人信息主体多元,而像生物识别信息、行踪信息和健康信息这类特殊信息在个人、组织和机构收集、使用、存储、和加工等过程中缺少有效的监管和规范。信息主体收集、使用和传输特殊个人信息缺乏合法性基础,无法进行特殊个人信息与其他个人信息的区分性应用,保证个人信息应用的合法性。在智能监控中,用人单位和劳动者皆有正当而相互冲突的利益存在,如何实现二者的平衡是难点。利益平衡目标的实现应以贯彻目的原则为中心,为智能监控的范围与限度划定边界。基于智能监控处理劳动者个人信息应当具备明确、合理且与劳动直接相关的目的,且以给劳动者造成最小损害为限度。即使是在工作时间和工作场所,也应认可个人信息权益在合乎比例的空间内存在。应当避免持续性、全方位和一般预防性的过度监控,而主要针对工作中的关键时段、场所和有迹象表明的违法行为实施有限的监控。鉴于其高度冒犯性,只有在具备重大事由时才能例外地采用智能监控,而不能将其作为监督劳动者工作表现的常规手段。我国现存对个人信息保护的立法较为分散,公法和私法均有涉及,但未形成一个完整的个人信息法律保护体系。从立法分布范围上看,法律法规有民法、商业银行法、《保安服务管理条例》以及《快递暂行条例》等;部门规章、部门规范性文件层面有《信息登记规定》《个人信息安全保护指南》和《网约车运行管理办法》等。另外,司法解释还对个人信息的民事和刑事侵害问题作出了规定,可见个人信息立法分布之广泛。
从个人信息分级分类保护趋势层面上看,我国2020年出台的民法典人格权编确定了“个人信息”作为人格利益受到法律保护。该法还对个人信息进行区分,将个人信息分为私密信息与一般个人信息且分别适用不同的保护规定。除此之外,《用户个人信息保护规定》《个人金融信息保护工作通知》等规范性文件也对生物识别信息、金融信息和行踪信息等特殊类型信息的保护作出了相关规定。
我国对个人信息的保护不仅涉及到公法和私法层面,部门规章、司法解释及规范性文件亦存在相关规定,在整体上呈现出分散立法的模式。这些法律法规及规范性文件已存在对敏感个人信息与一般个人信息的区分,个人信息的分级分类保护的立法趋势已经显现。然而原有的法律规范却因缺乏对个人信息区分保护的共识而导致规定的混乱。确立个人信息分级分类保护规则,规避法律规范之间的冲突,继续制定低位阶的规范性文件已无必要,统一而完整的个人信息法律保护体系的建立才是解决上述问题的核心所在。
二、基于分类分级的个人信息保护
随着数字治理、数字经济、数据社会等数字化产业的不断发展,个人信息的收集和利用变得越来越普遍。同时,个人敏感信息泄露、滥用等事件频发,对数字化发展产生极大的负面影响。在数字化时代下,个人信息保护正遭受前所未有的新挑战,具体体现在以下几个方面:第一,个人信息在大数据时代应用越来越广泛,包括疫情防控、个人广告推广、便民服务、信用评级等,使得个人隐私信息暴露风险大大增加。第二,个人信息从采集、汇聚、治理、分析、共享、应用直至销毁等过程,涉及的每一个业务流程,都需要对相应人员开放必要数据权限,以满足基本的数据处理需求, 任何一个接触数据的人员都有可能成为数据泄露源。第三,个人信息数据价值高,但过度保护将不利于数据价值的体现。因此,在数据作为新的生产要素的数字化时代中,仍采用传统方式对所有数据采取一致的安全防护措施已无法满足新的安全需求,基于分类分级的安全防护成为解决数据安全精细化管理的有效途径。个人信息作为数据的重要组成部分,尤其在面向个人的大数据应用场景下,如何有效利用个人信息作为新的生产要素发挥价值,同时又避免个人隐私数据的泄露成为当下亟待解决的问题。有学者提出个人信息“两头强化”的观点。“即一方面强化敏感个人信息的保护而非利用,另一方面强化一般个人信息的利用而非保护”,以此来调和个人信息保护与企业利用之间的利益冲突。一般个人信息与隐私的关联性较低,在具体实践中应侧重其利用而非保护。北京信息安全中心则根据个人信息的属性将个人信息分为“5个等级”,并对不同级别的个人信息适用对应的安全保护要求。个人信息保护关系到各信息主体利益,不同的利益主体有着各自的诉求,而个人信息分级则是平衡各方的利益诉求,处理好不同类别个人信息的保护和利用关系。
三、个人信息分级分类保护的建议
对个人信息应当进行分类分级保护,个人信息保护法应充分考虑根据应用场景对个人信息进行分类分级保护的条款。个人信息分为一般个人信息和特殊类型信息,后者也被称为敏感个人信息。因此,在突发公共卫生事件应急处置中,姓名、出生日期、身份证件号码、生物识别信息、住址、电话、电子邮箱、定位数据、在线活动等行踪信息,也应“升格”为特殊类型信息,从个人信息权高度加以法律保护。基因数据、生物数据和健康数据等本身作为特殊类型信息,更应特别保护。建议采取以下方式予以保护:
1.采用“三方平衡”理论中和矛盾,实现共赢
在人脸识别、云计算、人工智能和大数据等信息技术的应用背景下,我们每个人的一举一动、喜怒哀乐均被采集、存储、利用,虚拟世界与现实世界实现了高度融合。信息社会的到来使得数字化的个人信息在医疗、卫生、通信、金融等领域得到广泛的应用,数字技术会分析大量数据,并将结果通过机器等反馈给人类,把以前无法实现的新价值带给人类社会。个人信息和重要数据的流通给人类社会带来效益的同时,也需应对数据流通过程中对个人权益的侵害,实现个人权益保护和数据流通的平衡。这两者的平衡从表面上看仅仅是消费者和企业双方的利益冲突,但是为调和双方矛盾,国家作为公权力执掌者起到了不可替代的作用。而为实现个人、企业和国家三方利益平衡,张新宝教授提出了“三方平衡”理论,即个人、企业和国家三方以牺牲非核心利益的前提下保证各主体核心利益的实现,从而实现利益上的共赢。
2.以个人信息保护法为中心建立个人信息分级分类法律保护体系
由于我民法典采取“抽象定义+不详尽列举”的方式定义个人信息,个人信息包含出生日期、生物识别信息、健康信息和行踪信息等多种类信息。多类型的个人信息决定了要实现信息的保护不仅关涉到刑法、行政法、国际法等多个法律部门,还触及商业、科技和政治等不同领域。因此,个人信息的保护不仅要调节各信息主体利益更需要平衡多部门法律之间的关系。在个人信息保护上,个人信息保护法和民法典并不冲突,个人信息保护法是人格权的新发展,在法律适用上不能忽略人格权保护规范的作用。因此,个人信息的保护仅仅依靠民法典等私法的保护远远不够,还需要不同的法律、法规、规章、规范性文件以及国家标准相互补充、协调。而个人信息保护法的制定则起到了纽带作用,通过将碎片化、分散化的立法进行整合,修改和补充原有的法律规范,消除他们之间的矛盾和混乱,从而形成一个清晰的分级分类法律保护体系。
(作者单位:中央广播电视总台)