网络让生活更便利,加强个人信息保护势在必行。2019年国家网络安全宣传周期间,“坚持”就是强调国家网络安全工作要坚持网络安全为人民、网络安全靠人民,保障个人信息安全,维护公民在网络空间的合法权益。2021年8月20日,全国人大常委会通过《中华人民共和国个人信息保护法》(下称“个人信息保护法”),于2021年11月1日起施行。为实施好个人信息保护法,应当处理好以下几对基本关系。

个人信息与公共数据

坚持以人民为中心,保护个人隐私就是以人民为中心,不断增强人民的获得感、幸福感、安全感。个人信息是人格权的重要标识和组成部分,对处理其个人信息的行为,公民有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理。

个人信息的保护是相对的。个人信息是公共数据的来源之一,公共数据的形成依赖个人信息的如实提供。数据的合法有效开发使用,是大数据时代发展的需要。增强政府对社会的有效服务,适度开发大数据显得尤为重要。在不危害国家、集体和个人信息安全的前提下,开发、开放公共数据是大势所趋。

保护个人信息与确保公共安全

为了公共安全,特别是应对公共卫生应急事件,适度收集个人信息是必要的,但是披露需适时适度。在大数据背景下,匿名化和去识别化,实际上不可能真正完整地隐去个人信息。只要其中某一信息与特定的个人有相关联系,那么经过分析比对判断,个人信息依然有暴露的风险。所以,在个人信息处理过程中要坚持比例原则。处理个人信息应当遵循必要原则,采取对个人权益影响最小的方式来收集、处理,应当限于实现处理目的的最小范围,不得过度收集。

对公共突发事件,特别是公共卫生事件,相关行政执法过程中采集公布有关信息与个人信息的有效保护之间,应当遵循行政法上的比例原则。通俗地讲,当行政机关执法时,应当将民众的损害程度降到最低,甚至是没有损害。实际上,时而会发生有关单位和部门对于个人信息的处理欠妥的情形,这就违背了必要性原则,超出了合理的使用范围,违背了行政法的比例原则。

“取得个人同意”和强制披露

处理个人信息通常需要取得个人同意,但仍有不需要征得个人同意的情形,也就是强制披露。比如:为应对突发公共卫生事件、为公共利益实施新闻报道舆论监督、为个人订立和履行合同、实施人力资源管理、为履行法定职责或者法定义务等,在合理范围内处理个人信息,是不需要征得个人同意的。

此外,应理顺公民是否同意处理个人信息与商家是否提供产品和服务的关系。若公民不同意处理个人信息或者事先同意但事后撤回同意的,商家不得拒绝提供产品或者服务,除非处理个人信息属于提供产品或者服务所必须。否则,商家构成捆绑式经营或者歧视性对待,而受到处罚。同意收集个人信息和强制披露个人信息,并不等于可以不受限制地任意处理个人信息。

即使在取得个人同意的前提下,收集和处理个人信息应当具有明确合理的目的,并应当与处理目的直接相关,且不能非法买卖、提供或公开个人信息。

一般个人信息和敏感个人信息

生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满14周岁未成年人的个人信息属于敏感个人信息。其他信息属一般个人信息。两者受保护程度不同。

成年人敏感信息,只有在具有特定目的和充分的必要性时,应当取得个人单独书面同意,并采取严格保护措施的情形下,才可以收集和处理。个人信息保护法规定,为了维护公共安全的需要,在公共场所安装图像、采集个人身份识别设备。必须设置明显的提示标识,确保所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的。城市部分小区门禁安装人脸识别设备,既没征得个人的书面同意,也不具有充分必要性,属于典型的过度收集个人敏感信息的行为,应当予以取缔。

不满14周岁未成年人的个人信息属于敏感个人信息。处理此类个人信息,必须事先取得未成年人父母或者其他监护人同意。

自力救济和公力救济

大数据时代,信息流的多环节性、隐蔽性、技术难度高、取证难等因素,增加了个人信息保护法落实的难度。生活中,个体若缺乏个人信息保护意识,会给违法犯罪分子以可乘之机。街道、社区、村委会、学校以及社会组织等单位在自身加强个人信息安全保护意识的同时应加强面向群众的相关宣传教育。

企业要建立合规性收集个人信息的意识。企业确需收集、使用个人信息,应当遵循合法、正当、必要原则,明示收集、使用信息的目的、方式和范围,并取得被采集者同意。被采集者若因信息泄露导致自身权益受侵害,应当抵制并诉诸法律,维护其合法权益。

个人信息保护私益诉讼和公益诉讼

为有效化解个人信息处理中出现的纠纷,现有法律规定,个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制,但这是卷入纠纷的一方单方面设置的机制,其公平性有待商榷。若个人向法院起诉,通常因标的额小,损失少,甚至难以量化损失,且诉讼成本较高而放弃,这都不利于保护个人信息权利。

按照个人信息保护法规定,个人信息处理者违法处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。实际上,众多个人的权益依然是特定的,因数量众多,若能有效发挥代表人诉讼制度的作用,就可以解决众多个人信息受到侵害的纠纷。比如委托有关组织机构进行起诉以维护权益。为有效监督有关部门加强对个人信息处理者的管理,检察机关可以依法提起个人信息保护领域的行政公益诉讼。(颜运秋)

推荐内容