敏感信息全泄露 如何告别个人信息裸奔?
个人信息保护法对敏感个人信息给予特殊保护
如何从纸面到现实
告别个人信息裸奔
□ 本报记者 朱宁宁
北京民心网:11月1日起,备受关注的个人信息保护法正式施行。
网络信息时代,个人信息保护领域乱象丛生,一些企业、机构甚至个人随意收集、违法获取、过度使用、非法买卖个人信息,侵扰人民群众生活安宁、危害人民群众生命健康和财产安全。个人信息保护成为广大人民群众最关心、最直接、最现实的利益问题。
出台专门的个人信息保护法也成为近年来社会各界最为强烈的立法呼声。如何保护好个人信息、如何构筑强有力的法律威慑、如何有效遏制违法违规侵害个人信息权益的行为,是立法亟待解决的问题。经过三次审议,8月20日,十三届全国人大常委会第三十次会议表决通过个人信息保护法。
作为个人信息保护领域的基础性专门法律,个人信息保护法与民法典、数据安全法、电子商务法等法律共同编织成一张个人信息保护网。值得一提的是,在全社会个人信息安全意识逐步提高的大背景下,广大人民群众对个人信息保护虽然一直保持较高的关注热情,但也普遍缺乏相关的科学知识和法律知识。个人信息保护法真正从纸面的法律条文变为手中维权的利器,并非一蹴而就。
区分敏感与非敏感信息
对于普通民众来说,哪些个人信息受个人信息保护法的保护,尤其是哪些个人信息会受到法律的特殊保护,无疑是最应该弄明白的问题。
个人信息保护法的一大亮点,是首次在法律上将个人信息区分为敏感与非敏感,采取概括加列举的定义方式,将“敏感个人信息”界定为“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”,同时对敏感个人信息的处理予以专门的、更加严格的规范。
按照个人信息保护法的规定,生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹以及不满十四周岁未成年人的个人信息等,被归类为“敏感”的个人信息。相比其他的个人信息,敏感个人信息将得到更为严格的保护。
谈及为何要对敏感个人信息提供特殊的法律保护,清华大学法学院副院长程啸指出,一方面,敏感个人信息与自然人的人格尊严、人格自由等基本权利和重大人身财产权益具有极为密切的联系。无论合法还是非法处理此类信息,都会产生重大风险甚至直接损害。例如,掌握自然人的基因、指纹、声纹、掌纹、脸部特征等生物识别信息,就可以永久识别特定自然人。如果处理者挖空心思想着如何利用这些信息来谋取利益,那对个人可能会造成何种危险将难以预测和控制。另一方面,网络信息时代,完全禁止利用个人信息显然是不可能的,如何划定保护与合理使用的边界就成为问题核心。敏感与非敏感的区分有助于更科学地划定这一边界。此外,区分并明确列举敏感个人信息,对于自然人、个人信息处理者以及相关职能部门来说都非常必要。
“这种区分,可以使自然人更充分意识到敏感个人信息的重要性,采取更有效的自我保护行动,更谨慎的行为,一旦发现违法行为及时举报等,也能够降低个人信息处理者履行义务的合规成本,提高对处理行为合法性的可预期性。职能部门也可以集中资源进行精准有效的执法活动,提高执法效率。”程啸说。
敏感信息泄露危害极大
敏感个人信息最核心的特点就是敏感性。
“这种敏感,就是指造成侵害或危害后果上的容易性。”程啸说,侵害或危害敏感个人信息的后果有两类,一是人格尊严受到侵害。比如,泄露个人的种族、民族、政治观点、性取向、疾病等个人信息,或者非法使用这些个人信息,会使个人遭受歧视或受到不公正的对待,这就是对人格尊严的侵害。二是自然人的人身、财产安全受到危害。比如,泄露了个人的行踪轨迹,被不法分子知悉而导致受害人被杀害;泄露银行账户信息导致银行的资金被窃取等。
尤为值得关注的是,人脸识别作为敏感个人信息的一种,一旦泄露容易对个人的人身和财产安全造成极大危害,还可能威胁公共安全,因此对其收集和使用一直广受关注。
个人信息保护法第二十六条规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
据悉,目前,就公共场所安装图像采集、个人身份识别设备,除了反恐怖主义法之外,尚缺乏相应的法律法规,仅有少数地方政府制定了政府规章,例如,2007年4月1日起施行的《北京市公共安全图像信息系统管理办法》、2011年8月1日起施行的《陕西省公共安全图像信息系统管理办法》等。但这些地方政府规章颁布的年代较早,已不适应现实要求。
鉴于此,程啸建议,个人信息保护法落地之后,应当尽快从顶层设计层面完善公共安全视频图像系统的相关法律法规,更好协调公共安全的维护与个人信息的保护。
主动拿起法律武器维权
那么,作为个人信息的权利人,该怎样做才能有效地保护好自己的个人信息尤其是敏感信息呢?中消协近日专门给出5个“提醒”:
要积极学习个人信息保护法等法律规定。包括了解个人信息和敏感个人信息的处理规则、自身所享有的权利、个人信息处理者应当承担的义务以及个人信息权益受到侵害时的救济方式等。
要养成“非必要不提供”的良好习惯。除了要仔细阅读隐私协议等条款外,还要考量处理个人信息理由的充分性和提供个人信息的必要性,只在确属必要的情况下才提供个人信息或者进行授权。
要对自己授权或者提供的个人信息进行持续跟踪。不同意继续处理自己的个人信息时,要积极行使“撤回同意”权利,要求对方停止处理或及时删除其个人信息。
要注意销毁带有个人信息的单据和资料,防止因随意丢弃、使用不当等造成个人信息泄露。如妥善处理未脱敏的快递单据等带有个人信息的单据和资料,使用完后应及时销毁,或是涂抹掉关键信息后再丢弃;一些带有个人敏感信息的电子数据,如证件照片等,建议用完即删或者采用加密方式进行存储。
要主动拿起法律武器维护合法权益。当自身个人信息权益受到侵害或者发现存在违法处理个人信息行为时,要主动进行投诉、举报,提供案件线索和相关凭证,维护合法权益。
存量个人信息何去何从
伴随个人信息保护法的落地,还有一个问题值得关注,那就是存量个人信息该何去何从。
所谓存量个人信息,是指个人信息处理者在个人信息保护法实施前已经收集、存储的各类个人信息。其中,一些个人信息处理者可能会以不符合法律规定的方式收集、存储了大量的包含敏感个人信息在内的个人信息。
由于个人信息处理行为具有持续性,个人信息保护法施行后,实践中这些个人信息还可能被继续利用。“对于这种处理行为应当及时地进行法律规制。”中国人民大学法学院教授张新宝指出,由于目前还缺乏清晰的法律政策指引,完善对存量个人信息的合法合规治理是个人信息保护法落地后亟待解决的问题。
在张新宝看来,对于存量个人信息的处理,如果存在违法违规情形,其行为的性质应当如何认定需要作出司法政策上的决断。他主张,应当以个人信息保护法正式实施之日作为时间节点,区分实施前与实施后两种情形分别作出判断。
张新宝建议出台相关规章或者司法解释对这一问题作出明确规定。“如果个人信息处理者的处理活动未能达到个人信息保护法规定的规范化标准,相关职能部门应当责令其改正或者获得补充的同意,或者责令其不得进行除存储和采取必要的安全保护措施之外的处理。”来源法制日报(编辑杨志强)