韩煜,公安部第一研究所,副研究员,网络安全专业。专注于数据安全保护、个人信息安全保护法律、法规、标准研究。参与个人信息安全规范、移动互联网应用程序(App)个人信息安全测评规范、数据出境安全评估指南、信息技术产品安全可控评价指标等20余项国家标准的编写。
公共安全视角下的个人信息保护
—《个人信息保护法》解读
1 引言
近年来,随着云计算技术支撑下平台经济的蓬勃发展,大数据在各行各业有着广泛应用,数字化、移动化服务给人们带来了极大的便利。与此同时,随意收集、违法获取、过度使用、非法买卖个人信息的现象也十分突出,个人信息保护成为大家愈加重视的问题。2021年8月20日,《中华人民共和国个人信息保护法》(以下简称个人信息保护法)经十三届全国人大常委会第三十次会议表决获得通过,并于2021年11月1日起施行。在《个人信息保护法》中,对广大人民群众极为关注的过度收集个人信息、大数据杀熟,利用个人信息进行自动化决策、公共场所通过摄像机采集图像等热点难点问题都给予了回应。
本文将站在公共安全的视角下,探讨《个人信息保护法》对行业的影响。本文在第二章中对《个人信息保护法》的主要内容进行总体的解读分析;在第三章中结合公共安全的具体场景,重点分析《个人信息保护法》在法律层面提出的新要求;在第四章中梳理个人信息主体的权利和平台需承担的责任义务,在第五章中对全文进行总结。
2 个人信息保护法主要内容
《个人信息保护法》共八章74条,明确了立法目的、适用范围,定义了个人信息、敏感个人信息、个人信息处理者、自动化决策、去标识化、匿名化等概念,从个人信息处理的一般规定、敏感个人信息处理的基本原则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门以及法律责任等方面对个人信息保护进行了全面规定,建立起个人信息保护的基本制度。
在第一章总则中,明确了立法目的、适用范围、个人信息的定义、处理个人信息的原则等方面内容。值得提出的是,在立法目的方面,个人信息保护的立法目的有两个:一个是“保护个人信息权益”,另一个是“促进个人信息合理利用”,该法的立法目的不仅仅是“保护”个人信息,而是“保护”和“利用”同步推进,确保在保护好个人信息的同时合理利用个人信息。另外,在适用范围方面,《个人信息保护法》第三条规定,在境内处理自然人个人信息的活动应适用本法,在境外处理境内自然人个人信息的活动也有三种情形适用于本法。该立法思路与欧盟GDPR(《通用数据保护条例》)类似,以属地原则与属人原则结合,将法律的适用范围扩展至域外。本章还提出了处理个人信息要满足合法、正当、必要、诚信的原则;要有明确、合理的目的,同时必须采取对个人权益影响最小的方式,限于实现处理目的的最小范围,遵循公开、透明的原则,公开个人信息处理规则,明示处理的目的、方式和范围等。
在第二章中,规定了个人信息处理的一般规定和敏感个人信息的处理规则。在本章第十三条中提出了处理个人信息的“告知-同意”的基本原则,除了取得个人同意外,还提出了其他六种不必征得个人同意即可处理个人信息的情形。同时,本章还规定了个人撤回同意的权利,个人信息处理者告知的要求,个人信息保存时限要求,委托处理、公开披露、自动化决策等要求,对于敏感个人信息的处理需要取得个人的单独同意。
在第三章中,规定了个人信息跨境提供的规则。在第四十条中确定了个人信息出境评估义务主体和要求,即“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;”另外,在第三十八条中建立了个人信息跨境传输的安全评估、个人信息保护认证、订立标准合同等出境机制,为确需进行跨境传输个人信息的处理者提供了合法途径。
在第四章中,从法律层面赋予了个人信息主体关于个人信息保护的相关权利,包括:个人对个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理,有权查阅、复制其个人信息,有权请求将个人信息转移至其指定的个人信息处理者,有权要求个人信息主体更正、补充、删除其个人信息。
在第五章中,规定了个人信息处理者的义务,主要包括:个人信息处理者应尽到安全保障义务,防止未经授权的访问及个人信息泄露、篡改、丢失;定期对其处理个人信息遵守法律和行政法规的情况进行合规审计;对处理敏感个人信息、利用个人信息进行自动化决策、对外提供或公开个人信息等高风险处理活动进行事前影响评估,履行个人信息泄露通知和补救义务等。
在第六章中,规定了履行个人信息保护职责的部门,由国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作,国务院有关部门和县级以上地方人民政府有关部门具有个人信息保护和监督管理职责,明确了监管机构的履职范围、推进工作的方向,以及履职可采取的具体措施。
在第七章中,明确了个人信息保护各相关方的法律责任。其中最值得关注的第六十六条提出了对违法情节严重的处罚规定,即“责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;”该条罚则一改之前违法成本过低的现状,对大型平台企业起到震慑作用。
3 个人信息保护法在公共安全领域的监管解读
3.1个人信息保护基本原则
《个人信息保护法》提出处理个人信息要满足合法、正当、必要、诚信的原则,要有明确合理的目的,要遵循公开、透明的原则,公开个人信息处理规则等。在公共安全领域的场景内,如何遵循以上个人信息保护的原则,例如在银行、大型商场、连锁店铺视频监控系统采集到的包含个人的视频信息,那么这类个人信息处理者在处理过程中,是否遵循了相关的法律法规,收集的信息是否仅用于维护公共安全?如超出公共安全的范畴处理个人信息,是否公开了个人信息的处理规则?是否存在以维护公共安全为目的采集人像信息,而用于其他商业目的?改变使用目的是否遵循了收集敏感个人信息需要征得个人信息主体的单独同意的要求?这些问题在个人信息保护法中均提出了要求,需要在行业内进行深入探讨,得到具体落地的最佳实践,以规范公共安全领域对个人信息的收集、使用和处理。
《个人信息保护法》提出了处理个人信息的“告知-同意”原则,在处理个人信息前,个人信息处理者应当以显著方式、清晰易懂的语言和真实、准确、完整地将个人信息处理的目的、处理方式等相关事项告知个人,个人在充分知情的前提下自愿、明确作出同意。同时,个人信息保护法第十三条中提出了六种可免于个人同意的例外情形。在公共安全领域,比如其中的:“(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(七)法律、行政法规规定的其他情形。”
3.2个人信息与敏感个人信息的概念
落实《个人信息保护法》,首先应明确法律所规定的界限,哪些信息属于个人信息,要遵循相应的法律规定。哪些信息属于敏感个人信息,应该适用于增强的保护措施和保护义务。在第四条中给出了个人信息的定义:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”在第二十八条中定义了敏感个人信息:“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”能够识别自然人的信息,或者与该自然人相关的各种信息均属于个人信息。而对于生物特征、行踪轨迹等类,一旦泄露容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息为敏感信息。
在公共安全领域,涉及到的个人信息非常多。其中,一些个人信息是为了维护公共安全的需要,在相关法律法规中明确要求提供的个人信息;还有一些是为了实现某些商业目的所需要收集的信息。在落实公共安全领域内个人信息保护的过程中,要重点关注后者的合法性,比如,智能停车缴费移动应用(App)收集的个人信息、车辆出入停车场收集的信息、手机远程视频监控收集的信息、智能家居类产品收集的信息等,这些信息中可能包含的敏感个人信息主要包括:通过摄像头采集的人脸、通过麦克风采集的声纹等生物特征信息,人员车辆行程轨迹信息等。由于公共安全领域的应用场景广泛,收集处理的个人信息种类也各不相同,需要结合具体的应用场景,对收集的个人信息进行分类梳理,再按照《个人信息保护法》进行对照,落实相关法律要求。
3.3公共安全典型场景的个人信息保护
3.3.1人脸等生物特征信息使用的合法必要性
众所周知,在公共安全领域,视频图像信息被大量的采集使用。那么对于这些收集了人脸等生物特征信息的场景是否遵循了《个人信息保护法》中提到的“合法、正当、必要”原则呢?比如,在小区出入口门禁系统,采用人脸识别作为开门的方式,如未提供其他方式,强制要求用户提供人脸作为开门进出的条件,则有违收集信息的必要性原则。还有早在2019年的杭州野生动物世界年卡采用人脸识别案例,用户购买了杭州野生动物世界年卡,之后园方单方面要求,将原本确认的指纹识别入园方式更改为人脸识别。人脸识别是入园的必要条件吗?如果强制用户同意使用人脸才能办理入园年卡,这种强制同意还能受到法律保护吗?在该案例中,最终判决的结果是野生动物园败诉。《个人信息保护法》从总体原则上对这类案例都给出了答案。
3.3.2使用个人信息目的需与收集时的目的保持一致
在公共安全领域采集的大量个人信息均出于维护公共安全的目的,采集个人信息为后期执法办案,追踪违法人员提供线索和证据,也会对违法犯罪行为起到威慑作用。但目前存在着大量出于公共安全目的收集个人信息而用于非公共安全目的情况。为此,在《个人信息保护法》第二十六条中专门提出“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。”基于公共安全目的采集的个人信息应确保仅用于保证公共安全的用途,如果处理个人信息的目的发生变化,则免于个人同意的例外条款失效,需要重新征得用户同意,涉及到人脸等敏感个人信息的需要征得用户单独同意。比如,某房企在销售房产过程中,在售楼处加装摄像机进行人脸识别,对潜在用户进行用户画像,数据分析,从而对不同用户采取不同的销售策略。在此种情况下,使用视频监控系统的目的已超出保护公共安全的目的,如果未向购房客户明确告知收集其人脸信息并将人脸信息用于房产销售等商业行为,更未获得购房客户的同意,这种行为已违反了《个人信息保护法》的要求。
3.3.3公开披露个人信息需征得个人同意
在公共安全领域经常发生公开披露信息的形式,就是把自己能控制的摄像机拍摄的视频发布出来,而发布出来的视频可能会含有某些当事人的敏感个人信息,这些数据信息一旦泄漏或被不当使用就会给当事人的身心生活带来极大的影响。比如:有的学校为了批评教育学生,把一些学生的不文明行为制作成视频在校内播放;有的视频系统管理员出于恶趣味,在网上公开发布了一些不雅行为的视频。在《个人信息保护法》第二十五条中明确规定:“个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。”这就对公共安全领域的管理提出了明确要求,任何需要公开披露数据,如涉及到个人信息或敏感个人信息的,应严格审批管理,在披露前需征得个人同意或进行匿名化处理(匿名化后的信息不属于个人信息)。
4个人信息主体权利和平台的责任义务
4.1个人信息主体权利
在欧盟GDPR出台之后,世界各国的个人信息立法都受其理论影响。那么我国的《个人信息保护法》赋予了个人哪些权利呢?
首先,个人对个人信息处理应当享有充分知情权和决定权。基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。基于个人同意处理个人信息的,个人有权撤回其同意。这意味着如果不是基于用户同意,比如:“为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需。”在这种情况下,就不需要个人同意即可收集个人信息,个人也就不享有撤回同意,以及后面提到的查阅、复制,更正等权利。
其次,《个人信息保护法》规定了个人在个人信息处理活动中享有:对个人信息处理的查阅复制权、可携带权、更正补充权、删除权、解释说明权等。如在公共安全领域收集的个人信息,超出了法律法规所规定的为了公共安全的目的,变成了为实现商业价值对个人信息进行处理,那么个人就对如何处理个人信息享有了知情同意权,也享有了对个人信息的查阅、复制、更正、删除等权利。
4.2个人信息处理者的责任义务
个人信息处理者是个人信息保护的第一责任人,个人信息处理者应当对其个人信息处理活动负责,比如:应定期进行合规审计;定期或在重要的个人信息处理活动前进行个人信息保护影响评估;在发生或可能发生个人信息泄露等安全事件时采取补救措施并通知监管机构和个人等。在公共安全领域,大规模平台型的商业服务也正在蓬勃发展,其用户量越来越大,比如提供智慧家居的联网服务平台、提供互联网远程视频监控的平台等,以上个人信息处理者要高度关注应尽的责任义务,保证个人信息的安全处理,降低企业运行风险,做到合法合规运营。
5 结语
虽然公共安全领域的诸多新技术应用带来了个人信息保护的问题,但我们必须明确这不是技术的问题,而是技术使用者的问题。我们不能将问题归结于技术本身,抑制其发展,而是要寻求一种技术使用与个人主体权利保护的平衡。正如《个人信息保护法》的立法目的所强调:“规范个人信息处理活动,促进个人信息合理利用”。既要实现在公共安全领域先进技术的使用对公共安全的维护与社会治理水平的提升作用,又要妥善预防其不当使用所带来的个人信息安全保护问题,建立起公共安全领域个人信息处理的良好生态。
声明:本文来自公安部检测中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。