如何依法织密个人信息保护网

本篇文章3990字，读完约10分钟

以大数据和云计算为代表的信息技术的飞速发展不仅为经济和社会发展提供了巨大的推动力，也给人们的生活带来了更多的便利，同时也给个人信息保护和个人隐私带来了更多的挑战。

十三届全国人大三次会议审议通过的《民法典》在现有相关法律法规的基础上，进一步加强了对隐私和个人信息的保护，为下一步制定《个人信息保护法》留有余地。

如何更好地实现技术应用和隐私保护的综合考虑？如何解决疫情防控中的个人信息安全问题？如何避免生物识别技术应用中隐藏的隐私泄露风险？所有这些都需要通过法律和实践来解决。

编辑

《民法》为个人信息提供了更广泛的保护

不久前，哈尔滨市民王发现，当他使用一个应用程序时，这个应用程序会自动获取朋友的信息，并推送朋友上传的视频。据此，王先生以侵犯隐私权为由提起诉讼。法院裁定，该应用应立即停止使用王先生的朋友信息，并停止向其他用户推荐王先生的信息。

“本案的判决将个人信息纳入了隐私权保护的范围，但没有对个人信息和隐私权做出更明确的区分。”北京互联网法院审计局局长孙明喜表示，这一先例是司法实践的正常状态。“虽然《民法通则》明确规定自然人享有隐私权，但并未界定个人信息和隐私权的概念。”然而，不久前由第十三届全国人民代表大会第三次会议通过的《民法典》中的人格权编对隐私权作了明确的定义:它既包括“私生活安宁”又包括“隐私空室、私人活动和不愿为他人所知的私人信息”。任何组织或者个人不得通过间谍、侵入、泄露或者泄露进行侵犯。

《民法典》加强对隐私权的保护，反映了数字时代更加重视数字人格的立法取向。”孙明喜表示，隐私权更注重精神利益，而个人信息兼具人格和财产利益；隐私强调被动防御的权利，而个人信息强调个人信息的自主和控制。个人信息更注重客观风险，而隐私权中的“私人信息”更注重主观意愿。

"事实上，《民法典》对个人信息的保护比隐私权更广泛。"清华大学法学院院长沈表示，《民法通则》规定，自然人的个人信息受法律保护，任何组织和个人都应当依法获取和保障信息安全，不得非法收集、使用、处理和传播他人的个人信息，不得非法买卖、提供或者泄露他人的个人信息。“这意味着，即使是隐私权中不属于‘私人信息’的个人信息，也仍然可以受到相应法律的保护。”

"《民法典》加强了对个人信息的保护，这也反映在个人对其信息的控制上。这种控制包括控制个人信息的流出、更正或提取，以及维护个人信息的安全环境。”申表示，知情同意是控制个人信息外流的关键措施。根据《民法》，在处理自然人的个人信息时，通常需要征得自然人或其监护人的同意。即使获得了个人同意，在处理个人信息的过程中，也应明确说明处理信息的目的、方法和范围。不得违反法律、行政法规的规定和双方的约定，信息应当以合理的方式进行处理。

查询、复制和行使删除权是确保控制个人信息主体的具体措施。根据《民法》的规定，自然人可以依法向信息处理者查询或复制其个人信息；如发现信息有误，有权提出异议并要求及时纠正和采取其他必要措施。此外，如果自然人发现信息处理人违反法律、行政法规的规定或双方处理其个人信息的约定，有权要求信息处理人及时删除。“通过授权这些具体措施，公民可以控制其个人信息的使用状态，调整相关状态，甚至要求删除。个人信息处理人员需要满足这些要求。”沈对说道。

做好疫情防控中的个人信息保护

6月17日，河北省燕郊街道办事处工作人员贾谋谋因在微信群中传播涉及张等居民私人信息的防疫传真文件照片，被公安机关依法拘留10天。

这一事件不是孤立的。4月19日，青岛市公安局发布通知称，由于进出胶州市中心医院的人员名单已在社会上转发和传播，三人被依法行政拘留。这份名单涉及6000多人的姓名、身份证号码和其他个人信息，侵犯了公民的个人隐私权。根据公安部的统计，截至4月15日，全国公安机关共处罚了1522名在互联网上传播与疫情有关的公民个人信息的违法人员。

在疫情防控常态化的背景下，利用大数据进行联合防控已成为常态化工作。如何平衡公共利益与公民个人信息的保护，兼顾社会治理的安全性和效率，保障公民个人信息的安全成为社会关注的话题。

“电信运营商和主要互联网平台掌握了大量个人信息，如公民的地理位置和行踪，这是使用大数据帮助预防和控制疫情的最大优势。国家信息安全标准化技术委员会领导的app专项治理工作小组副组长洪延庆表示，与传统的走访、安排和登记相比，信息技术和大数据分析更加及时、准确和有效，成为疫情防控和监测的重要手段。此外，大数据的不断学习、变化和完善的特点也有利于更好地分析和掌握疾病传播规律，消除防疫的“盲区”和不确定性。

要将大数据应用于疫情防控，就必须防止个人信息的泄露。中国社会科学院大学互联网法治研究中心执行主任刘晓春表示，个人信息泄露的主要原因有:未经被收集人同意，随意收集、存储和使用个人信息；收集的个人信息明显超出合法必要范围的；未经被收集者同意，收集和控制的个人信息被用于其他目的；未经被收集者同意，披露个人信息，特别是敏感信息；那些收集和控制个人信息的人未能履行个人信息安全保护的主要责任。

事实上，早在今年2月，中央网络信息办公室就发布了《关于保护个人信息、支持大数据联合防控的通知》，规定了疫情防控期间的个人信息安全。通知明确规定，为疫情防控和疾病预防收集的个人信息不得挪作他用，未经被收集人同意，任何单位和个人不得泄露姓名、年龄、身份证号码、电话号码、家庭住址等个人信息。

"疫情防控和个人信息保护需要平衡."洪延庆认为，在个人信息的收集、汇总、共享和披露的各个环节都要重视个人信息的保护，防止数据的泄露、丢失和滥用。例如，通过填写表格的纸张进行的访问调查需要适当保存，并在适当的时间统一回收；如果你用电子方式记录或汇总相关信息，你需要把责任放在人们身上，并将数据保存在一个特定的终端中并加密。

“在汇总存储环节，尽可能集中管理和处理个人信息，并采取严格的访问控制、审计、加密等安全措施；在疫情防控工作中与相关方共享和传递相关数据时，应确认对方是有权获取数据并采取加密传输措施的机构或个人。”刘晓春表示，在使用个人信息的过程中，应做到专用，严格限于防疫和控制目的，不得挪作他用，并在防疫和控制后按规定妥善处理。

生物信息保护应该更加详细

“我能成为我的‘脸’的主人吗？”杭州市民郭冰打了一场官司来争一场官司。

2019年4月，郭冰在一家野生动物园处理了一张年卡。在验证了年卡和指纹后，他可以在一年内无限次进入公园。同年10月，野生动物园通过短信通知郭冰，该公园的年卡系统已经升级为人脸识别，而原来的指纹识别系统已经被取消。从现在开始，没有人脸识别的用户将不能正常进入公园。郭冰认为，面部特征等个人生物特征信息是敏感的个人信息，一旦泄露、非法提供或滥用，将很容易危及包括原告在内的消费者的人身和财产安全。

在没有协商的情况下，郭冰以违反服务合同为由起诉了野生动物园。6月15日，此案在杭州开庭审理。在审判期间，双方的辩论集中在收集的生物特征信息，如人脸，是否符合法律和法规的要求；是否充分告知并获得用户同意等。

郭冰认为，人脸是敏感的个人信息，采集需要满足相应的条件，即合法性、正当性和必要性。即使符合这些原则，用户也应该被告知使用目的并获得用户的同意。“当我收到这条短信时，我以为是一个收集面部信息的请求。但我没想到它会告诉我，我已经升级到刷我的脸，并要求激活。换句话说，被告以前收集过我的面部信息，但从未告诉用户他需要收集面部信息。”郭冰说。在这次审判中，法院没有在法庭上宣布判决。

这起诉讼引起了公众的广泛关注，因为它涉及过度收集公民的生物特征信息和个人隐私。近年来，随着人工智能和信息技术的飞速发展，人脸特征、指纹、虹膜、声音和步态等“个人生物特征信息”得到了广泛应用。一方面，它为经济和社会发展提供了巨大的帮助，给公民的日常生活带来了更多的便利，但另一方面，也存在着泄露个人信息和侵犯个人隐私的隐患。

“在中国，对包括生物特征信息在内的个人信息的法律保护经历了一个从无到有、从刑法保护到公法和私法的发展过程。”清华大学法学院副院长程晓表示，2009年，《刑法修正案(七)》首次将窃取或非法获取公民个人信息等情节严重的行为定为犯罪。2017年实施的《网络安全法》不仅明确了个人信息的含义，还将个人生物特征信息纳入个人信息范畴，同时对个人信息的收集、存储、保管和使用进行了更加详细和全面的规范。

"在新引入的民法典人格权中，它还为个人生物特征信息提供了多重保护."程霄说，特定自然人的可识别外部形象反映在一定的载体上，属于肖像权，应当受到肖像权的保护。任何组织或者个人不得利用信息技术手段伪造侵犯他人肖像权。“通过偷拍照片和秘密录音收集自然人面部等生物特征信息的行为将构成对隐私权的侵犯。对于既不是肖像也不是隐私的生物特征信息，也可以适用《民法典》关于人格权的个人信息保护的规定”。

“手机号码、电子邮件地址和银行账号等个人信息很容易更改，但更改个人生物特征信息却非常困难。这意味着，一旦个人生物特征信息被非法收集和泄露，它不仅会对自然人的人身和财产安全构成威胁或实际损害，而且还会通过修改或重置防止随后的损害。”程晓认为，人脸等个人生物特征信息的特殊性在于，没有自然人的积极合作，很容易收集。“在这种情况下，《网络安全法》等法律规定的知情同意原则实际上很难实施，这就要求法律对哪些组织或个人可以在哪些场合收集面部等生物特征信息做出更明确的规定。”

庭审期间，郭冰表示:“我不是技术上的‘保守派’，但面对人脸识别等技术创新，我们也应该收紧对个人信息的‘保护线’。”我希望本案的审理能够成为一门法律课程，让更多的人能够关注和思考如何更好地实现技术应用和个人信息保护的整体考量。”

人民日报(2020年7月2日，第19版)

来源：零点娱乐时刊