個(gè)人信息保護(hù)法對敏感個(gè)人信息給予特殊保護(hù)

　　如何從紙面到現(xiàn)實(shí)

　　告別個(gè)人信息裸奔

　　□ 本報(bào)記者 　朱寧寧

　　11月1日起，備受關(guān)注的個(gè)人信息保護(hù)法正式施行。

　　網(wǎng)絡(luò)信息時(shí)代，個(gè)人信息保護(hù)領(lǐng)域亂象叢生，一些企業(yè)、機(jī)構(gòu)甚至個(gè)人隨意收集、違法獲取、過度使用、非法買賣個(gè)人信息，侵?jǐn)_人民群眾生活安寧、危害人民群眾生命健康和財(cái)產(chǎn)安全。個(gè)人信息保護(hù)成為廣大人民群眾最關(guān)心、最直接、最現(xiàn)實(shí)的利益問題。

　　出臺專門的個(gè)人信息保護(hù)法也成為近年來社會各界最為強(qiáng)烈的立法呼聲。如何保護(hù)好個(gè)人信息、如何構(gòu)筑強(qiáng)有力的法律威懾、如何有效遏制違法違規(guī)侵害個(gè)人信息權(quán)益的行為，是立法亟待解決的問題。經(jīng)過三次審議，8月20日，十三屆全國人大常委會第三十次會議表決通過個(gè)人信息保護(hù)法。

　　作為個(gè)人信息保護(hù)領(lǐng)域的基礎(chǔ)性專門法律，個(gè)人信息保護(hù)法與民法典、數(shù)據(jù)安全法、電子商務(wù)法等法律共同編織成一張個(gè)人信息保護(hù)網(wǎng)。值得一提的是，在全社會個(gè)人信息安全意識逐步提高的大背景下，廣大人民群眾對個(gè)人信息保護(hù)雖然一直保持較高的關(guān)注熱情，但也普遍缺乏相關(guān)的科學(xué)知識和法律知識。個(gè)人信息保護(hù)法真正從紙面的法律條文變?yōu)槭种芯S權(quán)的利器，并非一蹴而就。

　　區(qū)分敏感與非敏感信息

　　對于普通民眾來說，哪些個(gè)人信息受個(gè)人信息保護(hù)法的保護(hù)，尤其是哪些個(gè)人信息會受到法律的特殊保護(hù)，無疑是最應(yīng)該弄明白的問題。

　　個(gè)人信息保護(hù)法的一大亮點(diǎn)，是首次在法律上將個(gè)人信息區(qū)分為敏感與非敏感，采取概括加列舉的定義方式，將“敏感個(gè)人信息”界定為“一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息”，同時(shí)對敏感個(gè)人信息的處理予以專門的、更加嚴(yán)格的規(guī)范。

　　按照個(gè)人信息保護(hù)法的規(guī)定，生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡以及不滿十四周歲未成年人的個(gè)人信息等，被歸類為“敏感”的個(gè)人信息。相比其他的個(gè)人信息，敏感個(gè)人信息將得到更為嚴(yán)格的保護(hù)。

　　談及為何要對敏感個(gè)人信息提供特殊的法律保護(hù)，清華大學(xué)法學(xué)院副院長程嘯指出，一方面，敏感個(gè)人信息與自然人的人格尊嚴(yán)、人格自由等基本權(quán)利和重大人身財(cái)產(chǎn)權(quán)益具有極為密切的聯(lián)系。無論合法還是非法處理此類信息，都會產(chǎn)生重大風(fēng)險(xiǎn)甚至直接損害。例如，掌握自然人的基因、指紋、聲紋、掌紋、臉部特征等生物識別信息，就可以永久識別特定自然人。如果處理者挖空心思想著如何利用這些信息來謀取利益，那對個(gè)人可能會造成何種危險(xiǎn)將難以預(yù)測和控制。另一方面，網(wǎng)絡(luò)信息時(shí)代，完全禁止利用個(gè)人信息顯然是不可能的，如何劃定保護(hù)與合理使用的邊界就成為問題核心。敏感與非敏感的區(qū)分有助于更科學(xué)地劃定這一邊界。此外，區(qū)分并明確列舉敏感個(gè)人信息，對于自然人、個(gè)人信息處理者以及相關(guān)職能部門來說都非常必要。

　　“這種區(qū)分，可以使自然人更充分意識到敏感個(gè)人信息的重要性，采取更有效的自我保護(hù)行動，更謹(jǐn)慎的行為，一旦發(fā)現(xiàn)違法行為及時(shí)舉報(bào)等，也能夠降低個(gè)人信息處理者履行義務(wù)的合規(guī)成本，提高對處理行為合法性的可預(yù)期性。職能部門也可以集中資源進(jìn)行精準(zhǔn)有效的執(zhí)法活動，提高執(zhí)法效率�！背虈[說。

　　敏感信息泄露危害極大

　　敏感個(gè)人信息最核心的特點(diǎn)就是敏感性。

　　“這種敏感，就是指造成侵害或危害后果上的容易性�！背虈[說，侵害或危害敏感個(gè)人信息的后果有兩類，一是人格尊嚴(yán)受到侵害。比如，泄露個(gè)人的種族、民族、政治觀點(diǎn)、性取向、疾病等個(gè)人信息，或者非法使用這些個(gè)人信息，會使個(gè)人遭受歧視或受到不公正的對待，這就是對人格尊嚴(yán)的侵害。二是自然人的人身、財(cái)產(chǎn)安全受到危害。比如，泄露了個(gè)人的行蹤軌跡，被不法分子知悉而導(dǎo)致受害人被殺害；泄露銀行賬戶信息導(dǎo)致銀行的資金被竊取等。

　　尤為值得關(guān)注的是，人臉識別作為敏感個(gè)人信息的一種，一旦泄露容易對個(gè)人的人身和財(cái)產(chǎn)安全造成極大危害，還可能威脅公共安全，因此對其收集和使用一直廣受關(guān)注。

　　個(gè)人信息保護(hù)法第二十六條規(guī)定，在公共場所安裝圖像采集、個(gè)人身份識別設(shè)備，應(yīng)當(dāng)為維護(hù)公共安全所必需，遵守國家有關(guān)規(guī)定，并設(shè)置顯著的提示標(biāo)識。所收集的個(gè)人圖像、身份識別信息只能用于維護(hù)公共安全的目的，不得用于其他目的；取得個(gè)人單獨(dú)同意的除外。

　　據(jù)悉，目前，就公共場所安裝圖像采集、個(gè)人身份識別設(shè)備，除了反恐怖主義法之外，尚缺乏相應(yīng)的法律法規(guī)，僅有少數(shù)地方政府制定了政府規(guī)章，例如，2007年4月1日起施行的《北京市公共安全圖像信息系統(tǒng)管理辦法》、2011年8月1日起施行的《陜西省公共安全圖像信息系統(tǒng)管理辦法》等。但這些地方政府規(guī)章頒布的年代較早，已不適應(yīng)現(xiàn)實(shí)要求。

　　鑒于此，程嘯建議，個(gè)人信息保護(hù)法落地之后，應(yīng)當(dāng)盡快從頂層設(shè)計(jì)層面完善公共安全視頻圖像系統(tǒng)的相關(guān)法律法規(guī)，更好協(xié)調(diào)公共安全的維護(hù)與個(gè)人信息的保護(hù)。

　　主動拿起法律武器維權(quán)

　　那么，作為個(gè)人信息的權(quán)利人，該怎樣做才能有效地保護(hù)好自己的個(gè)人信息尤其是敏感信息呢？中消協(xié)近日專門給出5個(gè)“提醒”：

　　要積極學(xué)習(xí)個(gè)人信息保護(hù)法等法律規(guī)定。包括了解個(gè)人信息和敏感個(gè)人信息的處理規(guī)則、自身所享有的權(quán)利、個(gè)人信息處理者應(yīng)當(dāng)承擔(dān)的義務(wù)以及個(gè)人信息權(quán)益受到侵害時(shí)的救濟(jì)方式等。

　　要養(yǎng)成“非必要不提供”的良好習(xí)慣。除了要仔細(xì)閱讀隱私協(xié)議等條款外，還要考量處理個(gè)人信息理由的充分性和提供個(gè)人信息的必要性，只在確屬必要的情況下才提供個(gè)人信息或者進(jìn)行授權(quán)。

　　要對自己授權(quán)或者提供的個(gè)人信息進(jìn)行持續(xù)跟蹤。不同意繼續(xù)處理自己的個(gè)人信息時(shí)，要積極行使“撤回同意”權(quán)利，要求對方停止處理或及時(shí)刪除其個(gè)人信息。

　　要注意銷毀帶有個(gè)人信息的單據(jù)和資料，防止因隨意丟棄、使用不當(dāng)?shù)仍斐蓚�(gè)人信息泄露。如妥善處理未脫敏的快遞單據(jù)等帶有個(gè)人信息的單據(jù)和資料，使用完后應(yīng)及時(shí)銷毀，或是涂抹掉關(guān)鍵信息后再丟棄；一些帶有個(gè)人敏感信息的電子數(shù)據(jù)，如證件照片等，建議用完即刪或者采用加密方式進(jìn)行存儲。

　　要主動拿起法律武器維護(hù)合法權(quán)益。當(dāng)自身個(gè)人信息權(quán)益受到侵害或者發(fā)現(xiàn)存在違法處理個(gè)人信息行為時(shí)，要主動進(jìn)行投訴、舉報(bào)，提供案件線索和相關(guān)憑證，維護(hù)合法權(quán)益。

　　存量個(gè)人信息何去何從

　　伴隨個(gè)人信息保護(hù)法的落地，還有一個(gè)問題值得關(guān)注，那就是存量個(gè)人信息該何去何從。

　　所謂存量個(gè)人信息，是指個(gè)人信息處理者在個(gè)人信息保護(hù)法實(shí)施前已經(jīng)收集、存儲的各類個(gè)人信息。其中，一些個(gè)人信息處理者可能會以不符合法律規(guī)定的方式收集、存儲了大量的包含敏感個(gè)人信息在內(nèi)的個(gè)人信息。

　　由于個(gè)人信息處理行為具有持續(xù)性，個(gè)人信息保護(hù)法施行后，實(shí)踐中這些個(gè)人信息還可能被繼續(xù)利用�！皩τ谶@種處理行為應(yīng)當(dāng)及時(shí)地進(jìn)行法律規(guī)制。”中國人民大學(xué)法學(xué)院教授張新寶指出，由于目前還缺乏清晰的法律政策指引，完善對存量個(gè)人信息的合法合規(guī)治理是個(gè)人信息保護(hù)法落地后亟待解決的問題。

　　在張新寶看來，對于存量個(gè)人信息的處理，如果存在違法違規(guī)情形，其行為的性質(zhì)應(yīng)當(dāng)如何認(rèn)定需要作出司法政策上的決斷。他主張，應(yīng)當(dāng)以個(gè)人信息保護(hù)法正式實(shí)施之日作為時(shí)間節(jié)點(diǎn)，區(qū)分實(shí)施前與實(shí)施后兩種情形分別作出判斷。

　　張新寶建議出臺相關(guān)規(guī)章或者司法解釋對這一問題作出明確規(guī)定。“如果個(gè)人信息處理者的處理活動未能達(dá)到個(gè)人信息保護(hù)法規(guī)定的規(guī)范化標(biāo)準(zhǔn)，相關(guān)職能部門應(yīng)當(dāng)責(zé)令其改正或者獲得補(bǔ)充的同意，或者責(zé)令其不得進(jìn)行除存儲和采取必要的安全保護(hù)措施之外的處理�！�