為個(gè)人敏感信息打造法律“保護(hù)盾”

【摘要】在互聯(lián)網(wǎng)時(shí)代，敏感信息對(duì)個(gè)人權(quán)益影響巨大，亟需利用法律武器予以保護(hù)。因此，在未來發(fā)展過程中，我國應(yīng)進(jìn)一步完善個(gè)人敏感信息范疇，創(chuàng)設(shè)個(gè)人敏感信息保護(hù)例外規(guī)則，實(shí)現(xiàn)個(gè)人敏感信息關(guān)聯(lián)性、動(dòng)態(tài)性管理，健全個(gè)人敏感信息責(zé)任機(jī)制與救濟(jì)途徑，實(shí)現(xiàn)對(duì)個(gè)人敏感信息的法律保護(hù)。

【關(guān)鍵詞】個(gè)人敏感信息  例外規(guī)則  信息安全   

【中圖分類號(hào)】D923    【文獻(xiàn)標(biāo)識(shí)碼】A

隨著互聯(lián)網(wǎng)日益發(fā)展，以數(shù)據(jù)應(yīng)用為基礎(chǔ)的商業(yè)模式越加成熟，個(gè)人敏感信息極容易發(fā)生泄露，對(duì)個(gè)人合法權(quán)益構(gòu)成威脅。近年來，我國一直關(guān)注個(gè)人敏感信息的法律保護(hù)，并出臺(tái)《信息安全技術(shù)個(gè)人信息安全規(guī)范》（以下簡(jiǎn)稱《規(guī)范》），用于保護(hù)個(gè)人敏感信息。

個(gè)人敏感信息泄露具有不可逆性，必須進(jìn)行全方位保護(hù)

《規(guī)范》中對(duì)個(gè)人敏感信息定義為一旦泄露、非法提供或?yàn)E用可能危害人身安全、財(cái)產(chǎn)安全，極容易導(dǎo)致個(gè)人名譽(yù)、身心健康受到損害或歧視性的個(gè)人信息?！兑?guī)范》對(duì)個(gè)人敏感信息進(jìn)行全方位規(guī)范，認(rèn)定財(cái)產(chǎn)信息、健康生理信息、生物識(shí)別信息、身份信息、網(wǎng)絡(luò)身份信息、網(wǎng)頁瀏覽、行蹤軌跡等都屬于個(gè)人敏感信息范疇，該《規(guī)范》出臺(tái)不僅有助于平衡市場(chǎng)和隱私權(quán)益保護(hù)，更為企業(yè)、監(jiān)管機(jī)構(gòu)、第三方機(jī)構(gòu)在信息處理上提供法律界限。

《規(guī)范》主要用于整治信息管理問題，意識(shí)到現(xiàn)代企業(yè)在信息的收集與處理上，容易對(duì)個(gè)人權(quán)益造成損害，必須要設(shè)置一道“閘門”，對(duì)個(gè)人信息進(jìn)行全方位保護(hù)，尤其是對(duì)個(gè)人敏感信息，更要堅(jiān)決捍衛(wèi)。在現(xiàn)代化社會(huì)，一些企業(yè)利用現(xiàn)代化技術(shù)，采取強(qiáng)制或隱蔽性手段收集用戶信息，肆意傳播大量的個(gè)人敏感信息，導(dǎo)致個(gè)人隱私權(quán)益受到侵犯，甚至影響個(gè)人正常生活。同時(shí)，企業(yè)在收集、儲(chǔ)存信息過程中，因系統(tǒng)漏洞導(dǎo)致個(gè)人信息泄露，或被不法分子篡改信息，導(dǎo)致用戶財(cái)產(chǎn)受損。此外，個(gè)人敏感信息泄露存在長(zhǎng)期性與不可逆轉(zhuǎn)性，一旦個(gè)人敏感信息泄露，將不可逆轉(zhuǎn)地廣泛傳播，并且傳播速度和范疇會(huì)持續(xù)性增長(zhǎng)，無法制止或消除。

我國正處于互聯(lián)網(wǎng)發(fā)展初級(jí)階段，在信息安全管理上存在一些不足，無論是主動(dòng)式的信息盜取，還是被動(dòng)式的信息泄露，都會(huì)對(duì)人身、財(cái)產(chǎn)安全造成影響?？梢哉f，我國必須制定相應(yīng)的法律法規(guī)，健全信息保護(hù)方法和途徑，利用法律武器對(duì)非法獲取信息的企業(yè)和個(gè)人進(jìn)行嚴(yán)懲，確保法律法規(guī)在保護(hù)個(gè)人敏感信息方面真正起到作用。

西方國家個(gè)人敏感信息保護(hù)經(jīng)驗(yàn)

一是差異化禁止處理規(guī)則。歐盟于1995年和2016年分別通過《關(guān)于涉及個(gè)人數(shù)據(jù)處理的個(gè)人保護(hù)及其此類數(shù)據(jù)自由流通的第95/46/EC/號(hào)指令》和《一般數(shù)據(jù)保護(hù)條例》。其中都明確規(guī)定差異化禁止處理規(guī)則，第一種禁止以“種族、政治、宗教等相關(guān)的個(gè)人數(shù)據(jù)”處置；第二種禁止以鑒別自然人為目的對(duì)“基因數(shù)據(jù)、生物數(shù)據(jù)的個(gè)人數(shù)據(jù)”處置；第三種禁止以“個(gè)人醫(yī)療數(shù)據(jù)、性生活、性取向等相關(guān)的個(gè)人數(shù)據(jù)”處置。由此看出，歐盟對(duì)涉及個(gè)人敏感信息，禁止對(duì)敏感信息采取任何處置方式。

二是創(chuàng)設(shè)例外規(guī)則?；谏鐣?huì)公共利益和個(gè)人利益考量，差異化禁止處理規(guī)則也具有例外屬性。第一種是知情同意例外。如果個(gè)人同意服務(wù)商處理敏感信息，應(yīng)允許服務(wù)商處理相關(guān)數(shù)據(jù)；第二種是公共利益優(yōu)先例外。如果個(gè)人敏感信息與公共利益產(chǎn)生沖突，應(yīng)遵循公共利益優(yōu)先原則，依法妥善處理個(gè)人敏感信息。

三是賦予選擇權(quán)。美國在《美國—歐盟的隱私安全港原則》中明確規(guī)定，信息處理者處理有關(guān)敏感信息時(shí)要提供明示的選擇權(quán)，比如，為了訴訟、醫(yī)療、個(gè)人其他重要權(quán)益等。相比之下，美國對(duì)個(gè)人敏感信息的保護(hù)更加靈活，允許當(dāng)事人之間對(duì)敏感信息的范疇進(jìn)行約定，但不得超越目的導(dǎo)向。

四是允許隨時(shí)撤回與賦予被遺忘權(quán)。當(dāng)服務(wù)商合法收集個(gè)人敏感數(shù)據(jù)時(shí)，個(gè)人可以對(duì)敏感數(shù)據(jù)要求撤回和被遺忘。此時(shí)，法律更加傾向于對(duì)個(gè)人權(quán)益的保護(hù)，允許個(gè)人隨時(shí)對(duì)敏感信息進(jìn)行撤回，可以要求服務(wù)商對(duì)敏感信息進(jìn)行遺忘，以此更好地保護(hù)個(gè)人敏感信息。

完善我國個(gè)人敏感信息的法律保護(hù)策略

在遵照我國立法精神和原則的前提下，我們可以借鑒西方國家個(gè)人敏感信息保護(hù)規(guī)定，以此來完善我國個(gè)人敏感信息的法律保護(hù)。

完善個(gè)人敏感信息范疇?！兑?guī)范》已經(jīng)對(duì)個(gè)人敏感信息進(jìn)行準(zhǔn)確界定，并羅列敏感信息的范疇，如個(gè)人信息、身份證件、通訊地址、財(cái)產(chǎn)賬戶信息、行蹤軌跡、交易信息等。但是，這些范疇界定仍存在“死角”，部分屬于敏感信息的內(nèi)容未列其中，如醫(yī)療服務(wù)信息、犯罪記錄、性生活數(shù)據(jù)等。因此，完善個(gè)人敏感信息種類，就需基于現(xiàn)實(shí)情況，不斷拓寬保護(hù)范疇，或設(shè)置兜底條款，讓個(gè)人和服務(wù)商都能明確法律對(duì)個(gè)人敏感信息保護(hù)邊界。

創(chuàng)設(shè)個(gè)人敏感信息保護(hù)例外規(guī)則。個(gè)人敏感信息保護(hù)并非一成不變，需要設(shè)立例外規(guī)則，以此來適應(yīng)現(xiàn)實(shí)需要。我國法律在保護(hù)個(gè)人敏感信息時(shí)，應(yīng)將個(gè)人同意和公共利益設(shè)為例外規(guī)則，實(shí)現(xiàn)個(gè)人敏感信息保護(hù)的靈活性。第一，個(gè)人同意。個(gè)人對(duì)敏感信息有著絕對(duì)的處置權(quán)，只要個(gè)人同意敏感信息處理，法律不應(yīng)干涉?zhèn)€人意見，但值得注意的是，個(gè)人同意必須在完全知情、完全接受后果的前提下同意，服務(wù)商不得脅迫、引誘個(gè)人同意敏感信息處置。第二，社會(huì)公共利益。當(dāng)個(gè)人敏感信息與公共利益發(fā)生沖突時(shí)，法律應(yīng)優(yōu)先考慮社會(huì)公共利益，在合理的范疇內(nèi)允許服務(wù)商處理個(gè)人敏感信息。比如，國家出于公共利益考慮，應(yīng)允許社會(huì)勞動(dòng)保障部門處理個(gè)人敏感信息。此時(shí)，如果個(gè)人認(rèn)為服務(wù)商處置超出必要范圍，可以提起訴訟，禁止服務(wù)商越權(quán)處置個(gè)人敏感信息。

實(shí)現(xiàn)個(gè)人敏感信息關(guān)聯(lián)性、動(dòng)態(tài)性管理。一直以來，我國對(duì)個(gè)人敏感信息都采取“識(shí)別性”管理措施，以靜態(tài)的標(biāo)準(zhǔn)對(duì)個(gè)人敏感信息進(jìn)行判定，導(dǎo)致個(gè)人敏感信息保護(hù)遭遇困境。隨著互聯(lián)網(wǎng)發(fā)展，應(yīng)以動(dòng)態(tài)的“關(guān)聯(lián)性”對(duì)個(gè)人敏感信息進(jìn)行管理，將個(gè)人敏感信息植入具體的場(chǎng)景，通過結(jié)合具體場(chǎng)景，關(guān)聯(lián)到特定的人或設(shè)備，綜合考慮多元因素，判斷服務(wù)商行為是否侵犯?jìng)€(gè)人權(quán)益。保護(hù)個(gè)人敏感信息是世界立法趨勢(shì)，但不能因?yàn)樾畔⒈Ｗo(hù)而阻礙網(wǎng)絡(luò)發(fā)展，尤其是要區(qū)分一般信息和個(gè)人敏感信息，要在特定的環(huán)境下作出最準(zhǔn)確判斷。此外，隨著大數(shù)據(jù)技術(shù)發(fā)展，服務(wù)商必然會(huì)收集個(gè)人信息，以便更好地開展服務(wù)，如果過度強(qiáng)調(diào)信息保護(hù)則會(huì)導(dǎo)致信息利用閉塞，引發(fā)“隱性交易”。正確的做法應(yīng)實(shí)現(xiàn)動(dòng)態(tài)性管理，強(qiáng)化個(gè)人對(duì)信息處置的主動(dòng)權(quán)，將個(gè)人敏感信息處置權(quán)交于公民之手，由公民自主判斷是否允許服務(wù)商處置信息。同時(shí)，服務(wù)商也要盡到風(fēng)險(xiǎn)提示義務(wù)，告知個(gè)人信息處理可能導(dǎo)致的后果，健全服務(wù)信息處置的風(fēng)險(xiǎn)管理舉措，確保依法、合理處置個(gè)人敏感信息。

健全個(gè)人敏感信息責(zé)任機(jī)制與救濟(jì)途徑。以法律手段保護(hù)個(gè)人敏感信息安全，必須要建立責(zé)任機(jī)制，理清個(gè)人敏感信息泄露的責(zé)任人。服務(wù)商在處置個(gè)人敏感信息時(shí)具有較高風(fēng)險(xiǎn)，法律需明確服務(wù)商責(zé)任，服務(wù)商具有妥善收集、儲(chǔ)存、使用個(gè)人敏感信息的權(quán)利，但必須承擔(dān)信息泄露的責(zé)任，基于泄露對(duì)個(gè)人損害程度給予賠償。值得注意的是，鑒于個(gè)人難以舉證服務(wù)商責(zé)任，司法實(shí)踐中應(yīng)采取舉證責(zé)任倒置，由服務(wù)商證明自己妥善地保護(hù)了個(gè)人敏感信息，未發(fā)生信息泄露現(xiàn)象，如服務(wù)商無法證明自身不存在過錯(cuò)，就應(yīng)該承擔(dān)相應(yīng)的賠償責(zé)任。在救濟(jì)途徑方面，傳統(tǒng)的司法救濟(jì)途徑是必然選擇，但對(duì)個(gè)人而言，司法救濟(jì)需要較高的成本，應(yīng)成立信息監(jiān)管機(jī)構(gòu)，一旦個(gè)人認(rèn)為服務(wù)商泄露自身信息，應(yīng)向監(jiān)管部門投訴，由監(jiān)管部門代替?zhèn)€人維護(hù)權(quán)益。

（作者為中共衡水市委黨校基本理論教研室講師）

【參考文獻(xiàn)】

①陳騫、張志成：《個(gè)人敏感數(shù)據(jù)的法律保護(hù)：歐盟立法及借鑒》，《湘潭大學(xué)學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版）》，2018年第3期。

責(zé)編/肖晗題    美編/楊玲玲

聲明：本文為人民論壇雜志社原創(chuàng)內(nèi)容，任何單位或個(gè)人轉(zhuǎn)載請(qǐng)回復(fù)本微信號(hào)獲得授權(quán)，轉(zhuǎn)載時(shí)務(wù)必標(biāo)明來源及作者，否則追究法律責(zé)任。