在当今数字化浪潮汹涌澎湃的时代,个人隐私保护已成为关乎每个人切身利益的重大议题。从日常的网络购物、社交互动,到金融交易、医疗健康等众多领域,我们的个人信息如同散落的珍珠,稍有不慎便可能被不法之徒窃取,引发一系列令人担忧的后果。随着信息技术的快速发展,政务信息化项目在提升政府治理效能、优化公共服务等方面发挥了重要作用。因建设方的强势地位,项目在数据收集、存储、处理和共享过程中,也面临着个人隐私保护的挑战。本文探讨当前的隐私保护法律框架。
一、法律上的保护范围
《民法典》第六章规定了隐私权和个人信息保护,第1032条明确“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”,第1034条规定“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等”。
由此可知,隐私是指不愿他人知晓的私密时空和活动,个人信息则是存在于某种数据库、能识别【特定】自然人。除民法典列举的姓名、证件号、手机号之外,更引人注目的就是人脸、指纹、虹膜、声纹等生物识别信息了,因为人脸、指纹等被广泛用作金融、政务等APP身份识别。
社保卡号、学生学籍号因为能单独识别特定自然人,因此其均为受保护的个人信息。
门诊号、就诊卡号、体检号、报告单号结合管理单位(发卡单位,医疗机构代码),能识别特定患者/体检人员/居民,因此也属于受保护的个人信息。
门诊流水号、住院流水号虽不常见于报告单据,但在跨机构数据流通中,结合管理单位,能唯一识别特定患者的特定就诊记录,也应属于受保护的个人信息。因此,IT人在交流系统功能、BUG截屏、对外共享数据时,特别需要对此注意。
同时,《个人信息保护法》第4条进一步明确了个人信息处理的范畴:个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
二、权利来源和兜底保护
2.1 宪法保护
个人隐私保护不仅是公民的基本权利,也是维护社会信任和稳定的重要保障。因此,宪法作为国家的根本大法,规定了公民的人格尊严、住宅不受侵犯以及通信自由和通信秘密受法律保护,为个人隐私保护提供了宪法基础。
个人信息是个人人格的体现,宪法保护公民人格。个人信息保护权作为宪法权利,其权利来源之一是国家尊重和保障人权。这一条款为个人信息保护提供了宪法层面的保障,确保公民的基本权利不受侵犯。
《宪法》
第三十三条 国家尊重和保障人权。
第三十八条 中华人民共和国公民的人格尊严不受侵犯。
通信自由和通信秘密是个人信息保护的重要组成部分,确保个人通讯的隐私。住宅是个人私生活的核心空间,住宅不受侵犯保障了个人在住宅内的隐私和安宁。
《宪法》
第三十九条 中华人民共和国公民的住宅不受侵犯。禁止非法搜查或者非法侵入公民的住宅。
第四十条 中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。
2.2 民法典保护
民法典明确规定了自然人享有隐私权,并详细列举了隐私权的具体内容,如私人生活安宁、私密空间、私密活动和私密信息等。同时,还规定了侵犯隐私权的具体行为,并强调任何组织或个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。
《民法典》
第一百一十一条 自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
第一千零三十二条 自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。
第一千零三十四条 自然人的个人信息受法律保护。
个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
2.3 刑法规制
《中华人民共和国刑法》:该法规定了非法搜查、侵入他人住宅,公然侮辱、诽谤他人,以及非法获取、出售或提供公民个人信息等行为的刑事责任,从而保护个人隐私不受侵犯。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
三、权利与限制
3.1 处理原则
民法典对隐私和个人信息保护进行了原则性规定。其中,“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定”。
《民法典》
第一千零三十五条 处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(二)公开处理信息的规则;
(三)明示处理信息的目的、方式和范围;
(四)不违反法律、行政法规的规定和双方的约定。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
由上可知,隐私与个人信息并非洪水猛兽,法律保护第三方机构有序提供服务,保护科技为人类提供便利生活,如刷脸支付、指纹登录交税和处理违章,但信息处理需要合法正当、必要,对无民事行为能力、受限制行为能力者提供相关服务时,要着重注意法律、行政法规授权和监护人授权。
注意:民法典1035条但书只有法律、行政法规,不含地方性法规、其他规范性文件。在援引《深圳数据处理条例》时,要注意区分《民法典》和《个人信息保护法》授权来源。
3.2 信息处理者免责
对于系统业主方、除法律、行政法规授权和自然人与监护人同意外,对于公共利益的处理本身不承担民事责任,越权例外。如:疾控中心在做传染病流调时,对数据库中电话号码的访问、对公共摄像头的调取、按人脸检索;在学校走廊、围墙边架设监控,防止安全事件发生。
《民法典》
第一千零三十六条 处理个人信息,有下列情形之一的,行为人不承担民事责任:
(一)在该自然人或者其监护人同意的范围内合理实施的行为;
(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;
(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。
第一千零三十八条 信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。
信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。
第一千零三十九条 国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。
对于信息系统业主方而言,重要的是要防止信息泄露、篡改、丢失,即数据持有者的保管、保密责任,既要防止数据被第三方主动、访问失控,又要防止乙方型单位留存、泄露。
以人脸抓取为例,系统各方可能涉及到如下责任:
(1)政务系统建设/用户方作为数据持有者的责任:保管、保密,防止泄露。
(2)乙方型单位责任:在为甲方提供数据加工时,数据留存、泄露,主动越权访问、超越约定使用。
(3)网络服务提供者以公有云模式部署(常见于甲方资金不够,乙方以出租或运营模式服务,数据持有者是厂商而非传统甲方):厂商的保管、保密责任;对无行为能力、限制行为能力者人脸抓取未得到监护人同意;厂商过度索取个人信息;厂商将个人信息用于其他目的。
《民法典》同时为数据要素形成、数据市场、大数据服务提供了口子,第1038条规定,“未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外”。即不可逆向追踪、第三方不能识别为【特定】自然人的数据,无需自然人同意可向他人提供。在《个人信息保护法》第4条中继续予以巩固:“个人信息……不包括匿名化处理后的信息”。
3.3 其他法律、法规规定
3.3.1 《个人信息保护法》进一步明确了数据处理者的安全义务,同时进一步明确了个人信息处理的最小范围原则。
《个人信息保护法》
第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息:
(一)取得个人的同意;
(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(三)为履行法定职责或者法定义务所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
(七)法律、行政法规规定的其他情形。
个人信息处理应征得自然人、监护人同意。服务提供者应特别注意格式条款提醒、说明义务,不能过度索权,不能以同意书的签署提供作为全部服务提供的必要条件(即最小、必要、授权)。
《个人信息保护法》
第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
第二十八条 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
第二十九条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
第三十条 个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。
第三十一条 个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。
个人信息处理者在目的已实现、停止提供产品时,应主动删除个人信息。以疫情时代核酸检测为例,系统建设方(如粤省事)、第三方检测机构等,应对所持有的核酸检测中个人信息予以删除。
《个人信息保护法》
第四十七条 有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:
(一)处理目的已实现、无法实现或者为实现处理目的不再必要;
(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满。
3.3.2 《中华人民共和国未成年人保护法》以及《中华人民共和国网络安全法》等法律法规也在不同方面对个人隐私进行了保护。
《网络安全法》
第二十二条 网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
3.3.3 《数据安全法》明确了电子政务系统的乙方单位不得擅自留存。
第四十条 国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。
第四十三条 法律、法规授权的具有管理公共事务职能的组织为履行法定职责开展数据处理活动,适用本章规定。
3.3.4 深圳作为经济特区,更加明确提出最小范围、影响最小、目的关联原则。同时,其进一步明确了匿名数据的分别存储(可追踪与不可追踪数据的分离)、匿名数据处理流程记录(可追溯)。
《深圳经济特区数据条例》
第十条 处理个人数据应当符合下列要求:
(二)限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,不得进行与处理目的无关的个人数据处理;
(四)保证个人数据的准确性和必要的完整性,避免因个人数据不准确、不完整给当事人造成损害;
(五)确保个人数据安全,防止个人数据泄露、毁损、丢失、篡改和非法使用。
第十一条 本条例第十条第二项所称限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,包括但是不限于下列情形:
(一)处理个人数据的种类、范围应当与处理目的有直接关联,不处理该个人数据则处理目的无法实现;
(二)处理个人数据的数量应当为实现处理目的所必需的最少数量;
(三)处理个人数据的频率应当为实现处理目的所必需的最低频率;
第二十七条 数据处理者向他人提供其处理的个人数据有下列情形之一的,可以不进行去标识化处理:
(一)应公共管理和服务机构依法履行公共管理职责或者提供公共服务的需要且书面要求提供的;
(二)基于自然人的同意向他人提供相关个人数据的;
(三)为了订立或者履行自然人作为一方当事人的合同所必需的;
(四)法律、行政法规规定的其他情形。
第三十条 数据处理者不得基于用户画像向未满十四周岁的未成年人推荐个性化产品或者服务。但是,为了维护其合法权益并征得其监护人明示同意的除外。
第七十五条 数据处理者应当对其数据处理全流程进行记录,保障数据来源合法以及处理全流程清晰、可追溯。
第七十六条 数据处理者应当依照法律、法规规定以及国家标准的要求,对所收集的个人数据进行去标识化或者匿名化处理,并与可用于恢复识别特定自然人的数据分开存储。
数据处理者应当针对敏感个人数据、国家规定的重要数据制定并实施去标识化或者匿名化处理等安全措施。
在深圳数据条例中,进一步要求数据处理者提供自然人行使权利的处理机制的义务。可惜,许多APP在这块还有很多提升空间。
《深圳经济特区数据条例》
第三十一条 数据处理者应当建立自然人行使相关权利和投诉举报的处理机制,并以易获取的方式提供有效途径。
' fill='%23FFFFFF'%3E%3Crect x='249' y='126' width='1' height='1'%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E)
四、类案
4.1 指导性案例192号 李开祥侵犯公民个人信息刑事附带民事公益诉讼案
参考意义:非法获取、买卖个人信息。
裁判要点:使用人脸识别技术处理的人脸信息以及基于人脸识别技术生成的人脸信息均具有高度的可识别性,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况,属于刑法规定的公民个人信息。行为人未经公民本人同意,未具备获得法律、相关部门授权等个人信息保护法规定的处理个人信息的合法事由,利用软件程序等方式窃取或者以其他方法非法获取上述信息,情节严重的,应依照《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条第一款第四项等规定定罪处罚。
http://gongbao.court.gov.cn/Details/f99fbda36fc973edf2ba8f67e69dc6.html
基本案情:2020年6月至9月间,被告人李开祥制作一款具有非法窃取安装者相册照片功能的手机“黑客软件”,打包成安卓手机端的“APK安装包”,发布于暗网“茶马古道”论坛售卖,并伪装成“颜值检测”软件发布于“芥子论坛”(后更名为“快猫社区”)提供访客免费下载。用户下载安装“颜值检测”软件使用时,“颜值检测”软件会自动在后台获取手机相册里的照片,并自动上传到被告人搭建的腾讯云服务器后台,从而窃取安装者相册照片共计1751张,其中部分照片含有人脸信息、自然人姓名、身份号码、联系方式、家庭住址等公民个人信息100余条。
http://gongbao.court.gov.cn/Details/f99fbda36fc973edf2ba8f67e69dc6.html
2020年9月,被告人李开祥在暗网“茶马古道”论坛看到“黑客资料”帖子,后用其此前在暗网售卖“APK安装包”部分所得购买、下载标题为“社工库资料”数据转存于“MEGA”网盘,经其本人查看,确认含有个人真实信息。2021年2月,被告人李开祥明知“社工库资料”中含有户籍信息、QQ账号注册信息、京东账号注册信息、车主信息、借贷信息等,仍将网盘链接分享至其担任管理员的“翠湖庄园业主交流”QQ群,提供给群成员免费下载。经鉴定,“社工库资料”经去除无效数据并进行合并去重后,包含各类公民个人信息共计8100万余条。
http://gongbao.court.gov.cn/Details/f99fbda36fc973edf2ba8f67e69dc6.html
4.2 (2022)鲁0283民初1447号 某人、青岛某教育服务有限公司等个人信息保护纠纷民事一审
参考意义:购买个人信息、电话营销
案情及裁判:被告青岛某教育服务有限公司在推介学历营销过程中,被告非法获取原告的移动电话,未经原告同意拨打原告的电话推介公司业务,侵扰了原告的通讯、生活安宁。
4.3 湖南省长沙市某电商平台数据泄露案
参考意义:平台服务公司(包括PASS、SAAS,以及采用公有云部署的业主)经互联网提供企业服务,承担数据持有者的保管、保密义务,承担相应责任。
案由:湖南省长沙市公安局发现辖区某电商平台存在数据泄露隐患,经查,该企业未制定数据安全管理制度、未充分落实网络安全等级保护制度。
处罚:长沙市公安局依据《数据安全法》对该企业进行了警告并处罚款5万元,对直接责任人处罚款1万元,责令限期改正。
4.4 (2022)京02民终8887号 北京同x堂xx股份有限公司同北京商x公司纠纷
参考意义:乙方在进行个人信息处理时,要求甲方数据来源合法、合规。
案由:原告《客户轨迹跟踪系统采购合同》以人脸采集侵犯自然人权益为由,主张情势变更、要求解除合同。被告主张人脸识别技术并非均违反法律规定,且双方在签订合同时已经明确约定甲方保证所获取数据的合法性。