期待个人信息保护法律体系更加完善
2021年11月1日,我国首部全面保护个人信息的专门性立法——《中华人民共和国个人信息保护法》正式实施。
两年来,个人信息保护法在保护公民个人信息权益、规范个人信息处理活动、促进个人信息合理利用等方面发挥了重要作用,亮点频频闪现。但从实践看,个人信息保护法律体系建设需要进一步完善。
高质量贯彻执行效果显著
个人信息保护法实施以来,司法保护重拳出击,行政执法、监管力度不断加大,个人信息保护意识显著提升,相关企业滥用个人信息等问题得到很大改善。
11月1日,北京互联网法院通报了自2018年9月至今个人信息保护案件的审理情况,并发布了涉及个人信息保护的典型案例。其中就有全国首例适用民法典裁判的APP强制收集用户画像信息侵权案。
该案中,原告罗某认为被告运营的软件在用户首次登录时强制收集用户画像信息用于个性化推送,侵犯其个人信息权益。罗某诉称,被告运营的软件在未告知隐私政策的情况下,要求用户必须填写“姓名”“职业”“学习目的”“英语水平”等内容才能完成登录,同时被告还存在未经同意向其发送营销短信、向关联软件共享信息等行为。北京互联网法院经审理认为,涉案软件在首次登录界面收集用户画像信息,未设置“跳过”“拒绝”等路径,属于强制收集,构成侵权,依法判决被告涉案软件运营者承担相应侵权责任。宣判后,被告上诉。二审维持原判。目前,该判决已生效。
公共利益归根结底是人民的利益,公益诉讼作为一项着眼于维护公共利益的司法制度,从政治上看是一项党的民心工程,个人信息保护民事公益诉讼也走入司法保护的视野。从2020年9月开始,郑某利用某即时通信软件组建群组,在该群组及微信群、QQ群中向不特定社会公众发布广告,宣称可代查个人名下手机号、通过微信号反查手机号等信息,也可以通过身份证号码查找个人高清身份证照片。任某、戴某、陈某通过上述群组先后向郑某购买公民个人信息,制作虚假人脸动态识别视频,用于解封账号、验证APP的实名认证,从中非法获利。2022年,广州市越秀区人民检察院以郑某、任某、戴某、陈某4人行为侵害了社会公共利益,依法向广州互联网法院提起个人信息保护民事公益诉讼。法院指出,人脸信息属于敏感个人信息,一旦泄露或者非法使用,将会对个人的人身财产权益造成严重侵害。
2022年12月,最高人民法院发布第35批共4件指导性案例,均为公民个人信息保护刑事案例。该批案例分别涉及人脸识别信息、居民身份证信息、微信等社交媒体账号、手机验证码等刑法保护的公民个人信息范围、性质,对于明确类案裁判规则、依法保护公民个人信息具有重要的指导意义。
近年来,检察机关不断拓宽公益诉讼案件范围,2020年9月,最高检出台《关于积极稳妥拓展公益诉讼案件范围的指导意见》,明确将个人信息保护作为网络侵害领域的办案重点。
公安部每年组织开展“净网”专项行动,依法严厉打击侵犯公民个人信息权益违法犯罪活动。
工信部始终高度重视个人信息保护工作,加快推动个人信息保护法、数据安全法在工业和信息化领域落地实施,全面推进数据安全和个人信息保护工作取得积极成效。健全政策标准体系,制定了《电信和互联网用户个人信息保护规定》。组织推进专项治理,持续推进APP个人信息保护专项整治,组织对APP进行技术检测,通报违规APP,下架违规APP,有力整治违法违规行为。督促企业责任落实,深入推进工信领域数据安全保护能力提升,指导督促企业完成自评估,促进企业安全责任落实。组织电信企业、互联网企业、行业协会开展个人信息保护、以案释法、警示教育和行业自律工作,提高从业人员守法意识。
规范落实还需细化规则
“现在很多场所都在没有边界地收集信息,进门都要刷身份证,坐缆车也要刷身份证,有些还要填写亲属信息。因此,我们的身份证信息、人脸信息、位置信息甚至财务信息全被收集走了。”针对群众的呼声,专家分析,当前,随着人工智能、大数据等新技术的广泛应用,个人信息的收集、使用和保护等方面仍有挑战。例如,个人信息泄露后的精准电信网络诈骗依旧存在;针对个人信息超过合法性、正当性的采集依旧存在;平台过度收集个人信息的情况依然普遍。在目前法律框架的基础上,实现信息的合理利用成为亟待解决的问题。
实现信息的合理利用,在司法层面遇到诸多问题,因而推动个人信息保护法律适用的统一也势在必行。专家表示,我国的个人信息保护法律规范分散在多部法律法规中,对其理解的不一致会导致法律适用的冲突,进而影响到对个人信息的保护。一些法律专家提出,我国民法典、个人信息保护法均有条款明确对公开的个人信息的合理处理行为可以作为民事免责事由。但在刑事司法领域,司法机关对于已公开的个人信息是否应受刑法保护,以及行为人通过技术手段收集、处理已公开个人信息是否构成犯罪等问题的看法并不一致。比如在一些案件中,被告人从企业信息查询网站上下载企业信息,经删减、清洗处理后用于经营活动,法院认为该行为构成侵犯公民个人信息罪。但也有案件中,被告人实施了同样的行为,法院却认为企业根据法律规定或为经营所需而公开的信息不属于刑法意义上的公民个人信息,不构成犯罪。这种同案不同判的现象,势必会影响到对个人信息的利用和保护。因此,专家建议整合现有的个人信息保护法律规范,及时对其中的不协调之处进行解释或修订,以期在实践中实现个人信息法律保护的协调统一。
刑法、民法典、网络安全法、数据安全法与个人信息保护法共同构成了保护个人信息安全的“四梁八柱”。专家指出,个人信息保护法还是一个比较新的法律制度,在目前整体的立法层面存在一些法律制度相兼容的问题。个人信息保护法所确立的一系列公民的个人信息相关的权益涉及民法、商法、行政法、刑法、诉讼法等系列相关法律,而各法在认知个人信息保护方面有比较大的差异。有专家表示,个人信息保护法的落实难点,主要是对于涉案信息的认定存在难点。涉及个人信息范围、匿名化个人信息范围、已公开个人信息范围等各类信息划分标准仍需明确;个人信息保护法强化了“告知—同意”的合法性基础,结合具体处理事项的有效告知同意的认定标准需进一步细化;随着经营者的产品营销模式向精准定向营销转变,分析用户行为信息能够极大提高营销效率、节约成本,妥善处理个人信息保护与数字经济发展的关系非常重要。
目前,在个人信息保护的各个细分领域,我国出台了多部支持性法规及国家标准,总体看,基本形成了从顶层设计到政策落地的一整套个人信息保护框架。然而,个人信息保护是一项长期性工作,一个健全的个人信息保护管理体系不是一蹴而就的,需要与时俱进不断完善个人信息保护法律体系,如此才能进一步提高个人信息保护效能。
