返回上一页 文章阅读 登录

张勇:敏感个人信息的公私法一体化保护

更新时间:2022-06-24 09:18:39
作者: 张勇  
如护照上的面部图像,必须撤销和更新受侵害者的参考,并将合法的数据主体与新的生物特征参考联系起来。

  

   个人信息保护法第二章第二节在个人信息处理一般规定的基础上,专门规定了敏感个人信息的处理规则,突出表现了对其强化保护的立法导向。具体来说:其一,以禁止处理敏感个人信息为原则。与一般个人信息处理采取概括同意不同,对于个人敏感信息的处理应当取得个人的单独同意。如果法律、行政法规规定处理敏感个人信息应当取得书面同意的,要从其规定。其二,严格限定信息主体告知同意原则。个人信息保护法第29、30条规定,处理敏感个人信息的,应当取得个人的单独同意。除该法第17条第1款规定的向个人告知一般事项之外,还应当向个人告知处理敏感个人信息的必要性以及对个人的影响。人脸识别民案规定第4条规定,如果强迫或者变相强迫自然人同意处理其人脸信息,该等情形下的同意并非信息主体的真实意思表示故不被认可,不能作为企业处理人脸信息的合法性基础,该等抗辩将不予支持。《个人安全规范》第3.6、3.7条规定,对于涉及个人敏感信息的,必须“明确标识”或“突出显示”。收集个人敏感信息前,应征得个人信息主体的“明示同意”。〔43 〕其三,确立特定目的、必要性的处理规则。根据个人信息保护法第28条的规定,只有在特定的目的的指引下,具有充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。其四,敏感个人信息权利救济和责任承担。根据个人信息保护法第四章的有关规定,在敏感个人信息处理的整个过程中,信息主体享有知情权、决定权;查阅、复制权;请求更正、补充权,请求删除权;要求解释说明权等。个人信息保护法第50条规定了处理者负有防止未经授权的访问以及个人信息泄漏或者被窃取、篡改、删除等义务。第51条强制性要求信息处理者建立健全相应的管理制度和操作规程,对个人信息进行分级分类管理并采取加密等安全技术措施,制定个人信息安全事件的应急预案,公布个人信息保护负责人的联系方式等。人脸识别民案规定第3条规定,法院认定信息处理者承担侵害自然人人格权益的民事责任,应当适用民法典第998条的规定,并结合案件具体情况综合考量受害人是否为未成年人、告知同意情況以及信息处理的必要程度等因素。其四,敏感个人信息强化保护的例外情形。根据个人信息保护法第27条的规定,如果权利人同意,即便对其有重大影响处理者亦可处理,以使其与民法典第1035条规定个人信息处理的合法、正当、必要原则保持一致。人脸识别民案规定第5条规定,为应对突发公共卫生事件或紧急情况下、为维护公共安全和以公共利益为目的、在自然人或者其监护人同意的范围内合理处理人脸信息、或者具有符合法律、行政法规规定的其他情形,信息处理者主张其不承担民事责任的,法院依法予以支持。

  

   (三)敏感个人信息的分类分级保护

  

   我国立法机关先后颁布实施了网络安全法、数据安全法和个人信息保护法,分别承担着保护网络安全、数据安全、信息安全的基本法职能,彼此之间也存在交叉重合关系。在不同层级的立法中,不同类型个人信息的法益属性和保护重心是不一样的,个人信息分类分级具有重要的法益识别和风险防范功能。我国立法一直都比较重视对信息数据和网络安全的分类分级保护,个人信息保护法第51条原则性规定了个人信息处理者对个人信息实行分类管理的义务。第58条将提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者界定为重要平台企业,并赋予其比一般平台更多的“守门人”义务。值得关注的是,有关部门也制定出台了一系列有关信息数据分类分级管理的行业规范文件。〔44 〕《信息安全事件分类分级指南(征求意见稿)》附录A规定,某个信息安全事件的严重级别不仅取决于业务,还取决于该事件的性质,诸如故意性、目标性、时机、量级。〔45 〕就个人信息分类与分级的关系来看,两者属于不同维度,但密不可分。从逻辑顺序上,应当是先“分类”后“分级”,两者结合起来完成对数据法益的识别和判断。受侵害的客体与对客体的侵害程度包含着许多变量因素,同一类的受侵害客体,所遭受侵害程度不同,保护等级也会有不同情况。不同类的受侵害客体,虽然法益性质轻重有别,但由于所遭受侵害程度也有轻重差别,也可能处于同一保护级别。同样地,同一种类的信息数据由于定级要素的变化,可能处于不同保护等级。反之,不同种类的信息数据,由于客体所遭受侵害程度相同,也可能得到相同级别的保护。参照上述规定,对信息数据安全的法律保护应当在对不同领域的信息数据进行分类的基础上,综合考虑影响分级的各种定级要素,确定不同的保护层级,并有针对性地选择不同法律、采取不同方式加以保护。

  

   如前所述,与个人信息法益多元化形态相应,公私法保护也出现交叉融合趋势,个人信息保护法作为单行法、综合法,更是兼具公私法规范特点。因此,个人信息保护有必要在界定个人、社会、国家法益层级的基础上,实行分类分级保护,以实现个人信息法益的一体化保护和法秩序的统一。有学者主张,依据个人信息数据的具体类型和不同场景中所涉及的权益性质,有针对性地采取不同的保护模式。〔46 〕上述观点值得肯定。在对公私法领域的个人信息进行分类的基础上,应综合考虑影响分级的各种定级要素,确定不同的保护层级,并有针对性地选择不同法律、采取不同方式加以保护。具体来说,对于敏感个人信息的公私法益可从以下几个方面予以分级保护:一是强等级保护。对于具有隐私信息性质的人脸信息,应强调其私密性,强化其防御性保护,首先要遵循当事人主观意愿,非特定情形不得处理。与其他层级的个人信息在收集、存储、使用、加工、传输、提供、公开等方面形成相区别的授权同意、技术安全、信息处理之规范等。二是次强等级保护。对于不具有隐私信息属性的人脸信息,可给予敏感个人信息的法律保护。收集该类信息数据必须获得权利主体明示同意,个人信息的处理目的、处理方式等要符合合法、正当、必要原则。信息权利主体享有查询、更正、删除、撤回同意等权利。三是弱等级保护。除了以上两种情况之外,对人脸信息可给予一般个人信息的保护强度,其保护强度弱于敏感信息。“弱”主要体现在数据控制者收集该类数据只需获得数据主体默示同意即可。默示方式指行为人虽没有以语言或文字等明示方式做出意思表示,但以特定作为或不作为的沉默方式作出了意思表示。比如,阅读“使用即同意”的条款、浏览默认勾选的对话框等。但个人信息处理者仍遵循合法收集、目的限制、最小够用等原则,数据主体享有查询、更正、删除、撤回同意等权利。人脸识别的运用涉及多方法益,从比例原则来考察,即当人脸识别技术的运用有法益侵害性时,也须在获取效益和侵害法益之间进行衡量。若适用人脸识别技术获取的效益显著大于所侵法益,则运用人脸识别的行为可以阻却违法性。

  

   四、侵犯敏感个人信息犯罪的一体化认定

  

   根据我国刑法的规定,对于非法获取敏感个人信息的行为可能触犯侵犯公民个人信息罪、侵犯商业秘密罪、非法获取国家秘密、情报罪以及非法获取军事秘密罪等多个罪名。若某种数据不在上述罪名保护的对象范围之内,则可考虑是否认定为数据犯罪。对于不同种类的个人信息来说,应当适用何种定罪标准。对于侵犯敏感个人信息行为的定罪量刑,相关法律法规、司法解释以及行业规范对本罪认定有何作用,对于上述问题,有必要加以深入探讨。

  

   (一)敏感个人信息刑法保护的前置法功能

  

   我国民法典、个人信息保护法、反不正当竞争法、保守国家秘密法、国家情报法、中国人民解放军保密条例等法律法规分别对个人信息、商业秘密、内幕信息、国家秘密、国家情报、军事秘密等予以保护。另外,信息安全、数据安全领域存在诸多行业规范,对相关单位或个人个人信息处理活动具有较强的指导作用,但它们并不具有法律效力。相对来说,对信息处理者的安全保护义务要求更高,而刑法所规制的入罪门槛必须是法益保护的最低安全基线,与行业规范设置的安全标准存在差异,不能等同。对于侵犯敏感个人信息法益的犯罪,选择适用何种罪名,则离不开数据安全法、网络安全法等前置法律规范的参照系作用。如果以个人信息保护法为参照,从个人信息权益保护角度,非法获取计算机信息系统数据罪属于“特别法”规定的罪名。但如果以网络安全法为参照,从计算机信息系统安全法益保护的角度,前两种数据犯罪为“一般法”所规定的罪名,侵犯公民个人信息罪则为“特别法”所规定的罪名。如果以个人信息保护法为参照,以个人信息权益保护为重心,则于上述情况刚好相反。将某种信息数据处理行为所涉及的法益性质界定为个人法益、公共法益还是国家法益,将直接决定或影响着刑法中相关罪名的认定。

  

   敏感个人信息保护法益的多元化决定了法益识别判断的复杂性。对个人信息数据的非法获取、破坏和滥用行为不但会对个体权益造成严重侵害,还会对公共利益、社会秩序和国家安全造成实际侵害或危险。从安全法益角度,个人信息安全往往也意味着公共安全、国家安全,信息安全与数据安全、网络安全之间存在交叉重叠之处。从立法上看,数据安全法、个人信息保护法与网络安全法所调整的对象具有重合性。个人信息保护法第10条个人信息处理活動的禁止性规定,就纳入了公共安全和国家安全的考量因素。在对敏感个人处理活动所涉及的法益识别中,应当将不同的立法参照系加以对比和衡量,根据法益保护内容的重要性程度,选择其中一种法律法规作为主要参照系,其他相关法律法规及行业规范则作为补充,以使数据法益识别和判断结论得到更好的印证。例如,侵犯公民个人信息罪的成立“以违反国家有关规定”为前提,认定该罪名应当以相关行政法律规范及行业标准为参照,对敏感个人信息处理行为所侵犯的法益性质予以识别,妥当适用具体罪名。

  

   从法秩序统一性角度来看,敏感个人信息法益保护需要依靠各种法律手段共同发挥作用,刑法更秉持谦抑性精神,尽量少介入私法领域,介入的前提是行为人违反了敏感个人信息保护的前置性法律法规,并且刑法规范本身有明确规定。个人信息权益在民法典中的规定,为刑法填补了前置法根据。〔47 〕在对侵犯敏感个人信息法益的行为进行刑事违法性评价,必须先进行民事违法性判断,即“双层违法性判断”。〔48 〕除了刑事违法性的形式判断之外,更重要的是社会危害性的实质判断,从主观和客观综合予以考察,具有严重的社会危害性和刑事可罚性,才能认定为犯罪。司法机关应将某种侵犯敏感个人信息法益的违法犯罪行为放置在整个法律保护体系之中加以考量,进行违法性的层次性判断,形成刑民关系、刑行关系的衔接协调;同时,也应当注意不同前置法规范之间的衔接协调问题。

  

除了刑事违法性的形式判断之外,更重要的是,社会危害性的实质判断从主观和客观两方面综合予以考察,具有严重的社会危害性和刑事可罚性,才能认定为犯罪。有学者指出,刑法对前置法的关注,更多是从“出罪”的角度讲的,在“入罪”时,不能唯前置法马首是瞻,在犯罪认定时绝对地从属于前置法,或者在质上从属于前置法。〔49 〕刑法对于敏感个人信息的把握在很大程度上要小于民法典等前置法所划定的范围,前置法上的违法行为中也只有一部分最终被作为本罪处理。例如,民法典与个人信息保护法所确立的告知同意原则是个人信息主体的核心权益,对于在个人信息处理中违反有关告知同意规则的行为,可以认定为属于侵犯公民个人信息罪构成要件中的“违反国家有关规定”的行为。但对于违反必要性、公开性的相关规则获取、提供个人一般信息的,则未必单纯从形式判断角度将其纳入“违反国家有关规定”的认定范围。(点击此处阅读下一页)


爱思想关键词小程序
本文责编:陈冬冬
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/134879.html
文章来源:东方法学 2022年1期
收藏