返回上一页 文章阅读 登录

张勇:敏感个人信息的公私法一体化保护

更新时间:2022-06-24 09:18:39
作者: 张勇  

   内容摘要:随着个人生物识别技术的应用,非法收集、泄露和滥用人脸信息的违法犯罪问题凸显。包括人脸信息在内的敏感个人信息的可识别性是其本质特征,对其敏感性及其程度,应从形式与实质、静态与动态相结合角度加以判断。作为权利客体和行为对象,敏感个人信息的法益内涵不限于公民个人的人格权益,而且包括社会利益、公共秩序和国家安全,受到公法和私法的多元化、多层次保护。在公私法融合的背景下,基于法秩序统一性和公私法一体化保护理念,对敏感个人信息应当实行强化保护和分类分级保护。在刑法层面,以个人信息保护法等前置法为参照,对侵犯敏感个人信息的行为对象范围及入罪标准予以具体认定。

  

   关键词:人脸识别 敏感个人信息 多元法益 公私法融合 一体化保护 个人信息保护法

  

  

   一、问题的提出:以“人脸信息”为例

  

   在互联网和大数据背景下,如何在合理利用个人信息的同时防范其面临的安全风险,在信息技术发展与个人权益保护之间寻求平衡,成为当今信息网络治理中的法律和政策难题。例如,人脸、指纹、虹膜、基因等个人生物信息通过智能技术被收集、存储,从而广泛应用到国境边防、社会治安、公共交通、医疗卫生、疫情防控等方面,并扩展到人工智能、区块链商业应用的新领域。人脸识别的主要特征在于非接触性、主体唯一性和不易复制性,同时也具有无须携带、易于采集、成本低廉等特点,通过设置普通摄像头等传感器,无须接触人体便可实现人脸信息的抓取与存储。人脸识别的广泛应用为人们的社会生活带来了很大便利,然而,人脸信息数据存储、传输流程存在严重的隐私侵权和安全受损风险,刷脸系统在公共场景中的应用往往突破“同意使用”原则,强制授权、过度授权、超范围收集和泄露个人信息等现象大量存在,引发社会公众的普遍担忧。司法实践中,与人脸信息相关的侵权违法犯罪案件多发,并且与网络电信诈骗、敲诈勒索、绑架等下游犯罪相结合,其侵害行为所造成的损害及风险呈现增大扩散态势。

  

   从立法上看,我国过去比较侧重于公民个人的人身权和财产权,通过认定非法收集和利用个人信息行为对公民个体权益所造成的实际侵害,追究其民事侵权或行政违法责任,或者认定其是否构成犯罪及其所承担刑事责任大小。在人脸信息保护方面,根据《个人信息安全规范》第3.2条的规定,生物识别信息应属于个人敏感信息。〔1 〕而人脸信息属于敏感个人信息的类型之一。该行业规范在2017年旧版的基础上,细化与完善了个人生物识别信息在收集、存储和共享三个方面的保护要求,对于人脸识别技术的合规使用具有重要的指引作用。《人脸信息规范》第3.1条规定,“人脸识别”即基于人脸特征对个体自然人进行识别的过程。通过人脸识别技术获得的、能够识别自然人身份或行为特征的个人信息,即为人脸信息。最高人民法院《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称人脸识别民案规定)第1条规定,人脸信息属于民法典第1034条规定的“生物识别信息”;第2条至第9条明确了滥用人脸识别技术处理人脸信息行为的侵权性质及法律责任。然而,由于个人信息法益的多元化和复杂性,不同法律规范文件的调整对象和适用范围存在交叉重合。将人脸信息视为个人生物识别信息,纳入敏感个人信息的保护范围,并予以强化保护。在大数据时代,在个人信息保护法律领域出现了公法与私法交叉融合的趋势。在此立法背景下,如何对包括人脸信息在内的敏感个人信息实行体系化法律保护?笔者对此加以探讨。

  

   二、敏感个人信息的内涵与多元法益属性

  

   在理论上和立法中,对于敏感个人信息的分类标准不一,在概念表述上也存在差异。正确认识和把握敏感个人信息的内涵和分类属性,是对其进行界定和法益保护的首要前提。

  

   (一)敏感个人信息的内涵界定

  

   关于敏感个人信息的界定,个人信息保护法第28条第1款使用了“敏感个人信息”的定义,而未采纳民法典的“私密信息”概念。相比之下,“私密信息”的范畴较为宽泛,可涵盖所有未公开的个人信息,而“敏感信息”的对象范围更为明确具体,在比较法上属于通行概念。民法典和个人信息保护法对个人信息的定义虽然在表述上有所差异,但均认为,“可识别性”是个人信息的本质特征。〔2 〕我国学界也普遍将可识别性界定为个人信息的本质特征。绝对不可识别的个人信息是不存在的,个人信息的可识别性只存在强弱程度之分。〔3 〕与直接个人信息相比,间接个人信息并非不具备可识别性,而是不具有直接识别的可能性。某种单个信息可能不能识别特定自然人身份及其活动情况,将不同信息组合起来就具有可识别性。而离开了信息组合的关联性,就不能成为“间接个人信息”。传统的个人信息处理方法较为简单,直接识别成为主要方式。但在大数据背景下,间接个人信息越来越能发挥重要的识别作用。〔4 〕对于间接个人信息来说,与特定自然人身份及活动情况的关联性必须达到一定的紧密程度,从这一点来说,间接个人信息也可能具有较强的可识别性,只不过需要借助于其他信息加以综合分析判断。因此,不能因为间接个人信息的“间接性”而忽视对其进行规制和保护,只不过不再像以往一样依赖隐私权保护模式,而是要通过个人信息权的保护加以实现。

  

   对敏感个人信息的保护和利用是个人信息保护法规定的重要内容。我国个人信息保护法与《个人信息安全规范》对“敏感个人信息”均作了相似的界定和列举。“敏感”在英文中的含义之一是“高度反应或易受影响”。〔5 〕国内有学者认为,在法律语境下,“敏感”就是法律规制的“高反应度”。敏感个人信息就是使人敏感的个人信息 〔6 〕,个人信息的“敏感度”所描述的是“个人信息对信息主体造成伤害或影响的程度”。〔7 〕个人信息保护法特别强调低龄未成年人的个人信息也属于敏感个人信息,该法第31条规定,处理此类个人信息,应当取得未成年人的父母或其他监护人的同意,并制定专门的处理规则。从域外立法来看,许多国家均规定了“敏感个人信息”的定义,并采取列举方式限定个人信息的范围。例如,2012年欧盟一般数据保护条例(GDPR)第4条以“识别或可识别”对个人信息予以界定,其内涵和范围与我国个人信息保护法中“个人信息”的定义基本相同。美国2015年消费者隐私权利法案(草案)(CPBR)规定了“敏感个人可识别信息”,并将保障其安全作为该立法的主要任务。〔8 〕比较来看,无论是美国的隐私保护立法草案,还是欧盟的一般数据保护条例,差别不大,均包含“生物识别数据”。2021年美国统一法律委员会通过了统一个人数据保护法(UPDPA),该示范法案在对“敏感数据”作出界定的基础上规定了“假名数据”的概念,即“没有直接标识符的个人数据”。〔9 〕与可识别的个人数据相比,假名数据受到的限制更少。统一个人数据保护法中规定的消费者权利(访问和更正)不适用于假名数据,但可适用于“敏感”假名数据,只要它可检索并以进行个性化沟通为目的,这一点显然比欧盟的一般数据保护条例要宽泛得多。

  

   (二)敏感个人信息的分类特征

  

   在国外立法中,欧盟采取了隐私与个人信息区分的模式,“个人数据受保护权”成为独立于隐私权的重要权利。与欧盟不同,美国立法则是将“可识别的个人信息”与“隐私”有机联系起来,对隐私权和个人信息实行一元化保护。〔10 〕根据我国民法典人格权编第六章的规定,个人信息与个人隐私之间存在交叉之处,“隐私中的个人私密信息属于个人信息的范畴”。〔11 〕隐私权保护强调个人私生活的安宁不被干扰。而个人信息保护关注的不仅仅限于个人隐私,而是信息处理中对个人信息人格、财产和安全造成的威胁。或者说,无论个人信息主体是否愿意为他人知晓,都不影响某一信息客观上是否属于敏感个人信息。如果个人私密信息具有一定程度的可识别性,也可被视为个人信息,并可纳入敏感个人信息的范围。例如,行踪轨迹、健康信息、手机定位等信息,可以认为其属于隐私,当其与個人的姓名、手机号码有关联时,其又属于敏感个人信息。个人隐私信息属于人格利益但不包含财产属性,不具有任何财产属性的交易价值,不可利用且受法律绝对保护。刑法上的“公民个人信息”既包括可以识别身份的个人信息,也包括极少数能够识别个人的隐私信息,只不过这种能够识别个人的隐私信息在《刑案解释》中被表述为 “反映特定自然人活动情况的各种信息”而已。例如,李某、王某某倒卖他人QQ账号案 〔12 〕,其通过在网上倒卖他人QQ账号从中获利。QQ账号注册不需要实名,不具有直接识别性。但倒卖他人QQ账号意味着将账号中留存的各种隐私信息处于随时被公众知悉的状态,法院认定被告人构成侵犯公民个人信息罪,显然也是考虑到了对隐私信息的权益保护。〔13 〕

  

   关于如何判断某种个人信息的敏感性及程度,美国学者Paul Ohm将敏感信息分为本质、推断、工具敏感信息,并提出了“多重因素检测”的方法,认为敏感个人信息包含四个判断因素,即伤害的可能性、引发伤害的几率、信任关系的存在、是否属多数人关心的风险。〔14 〕这种观点立足于风险预防观念,采取损害严重性、发生可能性和公众认可度等衡量标准,值得借鉴。具体认定中,应关注个人信息主体的人格尊严以及人身、财产安全是否容易遭受实际损害或引起下游损害,以及个人权益遭受侵害的风险程度,注意把握以下两个方面:第一,形式与实质相统一。从形式角度,以某种信息与特定自然人的关联度、多数人对该信息的敏感度作为客观标准。由于“敏感性”的主观性较强,敏感度完全可能因不同的主体而完全不同,但并非完全无法认识和把握,可以社会一般人的认识标准加以判定,减少和消除其不确定性因素。同时,从实质角度,并非所有具有敏感性的个人信息均为敏感个人信息,而是有其特殊的“权益侵害风险”法律基准。〔15 〕敏感个人信息是一旦被泄露或非法使用后将使信息主体的人格权或财产权益遭受实际损害的重要个人信息,权益侵害风险程度相对较高,应当受到强化保护,对于一般个人信息则可以采取相对宽松的保护措施。第二,静态与动态相结合。个人信息的处理活动包括个人信息收集、存储、使用、加工、传输、提供、公开、删除等各个环节。因此,静态、固化地认识和判断个人信息是否具有可识别性显然是不够的。需要从个人信息处理的动态过程中对其类型特征进行识别,对其存在的风险进行评估判断。〔16 〕对此,美国学者尼森鲍姆提出了“场景完整性”理论,即将某种个人信息与所处的具体场景关联在一起,将其转变为个人信息披露和流通是否符合特定场景的问题进行讨论。〔17 〕欧盟一般数据保护条例的绪言也指出,对个人敏感信息予以特别保护的原因在于,处理此类信息的场景对基本权利和自由将带来重大损害风险。在不同的具体场景中,敏感与非敏感的标准因人、因事而异。因此,有必要借鉴国外“场景”理论与相关立法,兼采静态和动态认定方法,兼顾敏感个人信息利用的情景、目的等变量因素,动态分析信息主体面临权益损害的风险程度,从而对个人信息的敏感度作出准确判定。实际上,个人信息的敏感性本身就是一个模糊性概念,即使从静态上判断仍然面临变量因素多而难以把握的难题。而在动态过程中着重认定难度还可能会增大,需要发挥司法的裁量权进行实质解释和利益衡量,以实现个案公正,而不能一味依赖国家司法机关通过制定规范性司法解释条文将变量固化为定量。〔18 〕


(点击此处阅读下一页)


爱思想关键词小程序
本文责编:陈冬冬
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/134879.html
文章来源:东方法学 2022年1期
收藏