当前位置:南京在线>新闻>国内>正文

个人信息保护要织密法网

        2021-05-17 来源: 责任编辑:

分享到:

  近日,我国“人脸识别第一案”随着二审的宣判落下帷幕,但个人信息保护还有很长的路要走。如何在科学技术进步和个人信息安全间找到合理的平衡点,需要法律提供相应的解决方法。我国民法典虽然将个人信息作为人格权益进行保护,并将“人脸识别”等生物识别信息作为个人信息的典型,但由于其调整对象和调整方式等原因,关于个人信息保护的规定还需要其他法律进行细化和专门保护。能起到这一作用的专门法律,主要是个人信息保护法。今年4月26日,我国个人信息保护法(草案)提请十三届全国人大常委会二审。结合草案的规定和我国相关领域的实践情况,我国的个人信息保护,还需要进一步织密法网、厘清边界。

  构建多层次个人信息规制体系。大数据时代,“人脸识别”技术等个人信息采集用途广泛。个人信息保护法律制度应当是全方位的、动态的保护制度,既要亡羊补牢、事后追惩,更要未雨绸缪、防患于未然,发挥多方合力。针对使用相关技术的主体,草案做了原则性的区分,但还需在实践中进一步深化细化。对于个人信息的保护应遵循实事求是、因事制宜的原则,根据不同行业、不同领域、不同情形的技术应用,围绕法律的原则性规定,制定符合实际情况的规章制度,从而建构以个人信息保护法为基本法、以行业规章为配套法规、以司法解释为适用指引、以其他法律为辅助调整的多层次个人信息规制体系,发挥不同制定主体、不同效力位阶、不同规制方式的优势,对个人信息进行全方位的法律规制。

  加强对于个人信息范畴的解释。明确个人信息范畴是个人信息保护法的立法重点和难点,决定着一项个人信息能否落入该法规制的范畴。此次草案规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。这一概括性规定还需要在有关配套法规中对其进行更为详细的列举,草案中的“可识别”和“已识别”也有待解释说明,可将之解释为“以普通人的判断力或理解力能够识别生存的具体个人与信息之间的同一性”,以一般人的观念而非更高的技术标准作为“可识别”或“已识别”的标准,降低个人信息保护的“门槛”。

  完善处理个人信息的条件规定。个人信息处理的前提条件是个人信息保护立法所必备的内容,其核心是“知情—同意”规则。也就是说,一般情况下,在遵循合法、正当、必要原则的前提下,如果本人知情且同意,则可收集、处理该自然人的个人信息。但出于利益衡量和现实考量,通常会对该规则作出例外的限制,即无需通过本人知情同意就可以对个人信息进行处理。此次草案采取了“列举+兜底条款”的方式,列举了六种合法处理个人信息的前提条件。在此基础上,还可考虑通过司法解释、发布典型案例,进一步明确处理个人信息的条件,防止出现信息收集、使用规则不透明及过度收集、使用等问题。

  细化个人信息“通知—删除”规则。“通知—删除”规则是个人信息保护立法中常用的立法技术和规则类型,指在满足一定条件后,主体有权通知个人信息处理者删除其个人信息。草案列举了五种情形,构建了“通知—删除”规则。但删除义务的履行标准还应当细化,例如,可以在“通知—删除”规则中增加“毫不迟延地停止使用”的履行标准,即在查明请求成立时,应在必要的限度内纠正违规行为且毫不迟延地停止使用其持有的个人信息。细化“通知—删除”规则的标准和例外规定有利于平等保护双方权益,丰富矛盾纠纷解决方式,节约个人信息保护成本。

  强化对敏感个人信息的特别保护。对敏感个人信息的特别保护是此次草案的一大特色。“人脸识别”技术所涉的自然人面部的生物特征信息就属于敏感个人信息。敏感个人信息泄露具有更严重的危害性,因此较一般个人信息而言应得到更为全面的严格保护。接下来,在有关配套法规中,应对敏感个人信息处理者的义务进行更加详细的规定,将“特别保护”体现在更严格的获取前提、更严格的向第三方提供的条件、更严格的违法责任、更严格的合法证明标准等内容上。

  完备违法处理个人信息的法律责任。无救济则无权利。检验信息保护规则有效性的关键在于,违法行为是否能够得到及时查处,权利受损者能否得到及时、充分的法律救济。这里涉及多个主体、多种责任,对于侵害个人信息的违法犯罪行为,采取的是刑事责任、行政责任与民事责任并重,私人诉讼与公益诉讼兼采的综合法律责任体系。一方面,法律责任的规定必须具有足够的震慑力,即法律通过大幅提高罚款金额,增加企业的违法违规成本,促使企业建立良好的内部数据合规体系。另一方面,不能给司法留有过大的自由裁量空间,否则可能导致“同案不同判”。因此,在完善有关法律责任的规定的同时,要及时出台相应的法律解释,为实践提供具体指引,确保司法执法公平公正。

  注重刑法、民法典、诉讼法同个人信息保护法的互动。出于立法传统的考量,草案主要规定违反个人信息保护的行政处罚,有关犯罪规定在刑法中,有关民事法律责任主要规定在民法典中,有关个人信息诉讼程序则规定在诉讼法中。采取这种立法例必须要注重刑法、民法典及有关诉讼法同个人信息保护法之间的互动,及时进行有关规范的立、改、释、废工作,发挥不同法律规范的特点,良性互动协力促进个人信息保护。个人信息保护法是特别法,根据特别法优于一般法的法理,当有关个人信息保护的事项在个人信息保护法和其他法律之间发生冲突时,应优先适用个人信息保护法,从而使各部法律既各司其职,又有效衔接。