严嘉欢
《个人信息保护法》于2021年通过,自此我国个人信息保护迈上了法制规范的新台阶。《个人信息保护法》区分敏感数据和非敏感数据,并通过明确最小必要原则、“告知—知情—同意”等原则的形式,为大数据时代下公民的个人信息和个人隐私安全提供了良好的保障。《个人信息保护法》作为高位阶的法律,还需要各地立法部门、执法部门、司法部门立足地方个人信息保护发展现状,出台更为细致的地方性法规、地方政府规章、规范性文件等形式进行细化和落实,将个人信息保护作为立法、执法、司法的重点问题,始终坚持以人民为中心的发展思想,听取人民群众在个人信息领域中的需求,多措并举解决个人信息保护中存在的问题和困难。关键是要针对事前、事中和事后三个阶段,分别采取切实可行的对策举措。
事前规范个人信息的提取技术
事前,相关监督机构需要规范个人信息的提取技术。大数据时代下,个人信息提取技术需要遵循我国《个人信息保护法》中的最小必要原则,即平台或者商家在提取个人信息的过程中需要根据明确的商业目的,采用对于个人权益影响最小的方式提取技术提取个人信息。由于不同平台与商家提取个人信息的方式以及目的具有较大的差异性,因此对于执法机构而言并不具有普适性的信息收集范围规则,相关执法机关在个人信息执法与监督的过程中具有较大的自由裁量权。事前对于个人信息提取技术进行规制方面,要在人脸识别技术以及App这两个方面加大个人信息提取过程中的监督力度。如人脸识别技术方面,随着人脸识别不断地运用在公园景区检票、交通工具检票、小区以及家庭门锁安保等诸多领域中,人脸识别技术的潜在个人信息保护风险也需要得到足够的重视,尤其是私营商业主体在提取人脸信息的过程中需要保护当事人的隐私与安全,并确保人脸信息存储介质的安全性。又如App小程序方面,也是频繁出现侵犯公民个人信息违法行为的重灾区,相关执法机构更需要加强App信息提取技术的规范性,持续强化对App信息提取技术的监管。如湖州市制定的公共数据安全管理暂行办法明确了个人信息范畴,并对信息数据收集、存储、使用、销毁、开放、保护作了明确规定。目前在App治理方面已经取得了显著的成效,识别出了诸多超过商业目的以及信息保护法律法规提取用户个人信息的行为,这些App在违规提取公民个人信息的过程中往往呈现出两种类型:第一种类型是App强制要求用户同意超过适当范围的信息提取要求,如果用户不同意该要求就无法打开该软件;第二种类型是App在后台隐秘性地提取公民某些个人信息,这显然违反了知情同意的法律规定,这是隐性隐匿类App提取个人信息违法情况。以上两种,都应当成为行政执法机构的重点检查与打击对象。由此可见,App监督与管理必须要形成常态化,切实规范App遵循最小必要原则在合法商业目的范围内有限度地提取公民个人信息。
事中监督个人信息的使用方式
事中,相关监督机构需要持续加强个人信息使用方式的监督。大数据时代下,个人信息蕴含巨大的经济利益,不少商家存在滥用公民个人信息甚至将收集到的个人信息出售给从事房地产、保险、贷款等推销行业,这给消费者与平台用户带来了骚扰电话的烦恼。如果事中行政机关对于平台或者商家随意使用个人信息的行为没有予以制裁,将会给消费者和平台用户带来巨大的金钱与非金钱负担与损失。执法机构可以在加强个人信息使用方式监督方面,将骚扰电话和快递面单两方面作为重点监督对象。第一,骚扰电话方面。目前骚扰电话和电信诈骗屡屡出现,给民众的生活造成了巨大的影响。然而对于民众个人自身而言,并没有很好的阻碍骚扰电话和电信诈骗的方式。这本质上是因为,骚扰电话拨打机构在非法获取到公民的个人电话号码等信息后,就会采用虚拟号码或者自动变换号码等方式来掩盖真正的号码,从而实现电话推销骚扰、电话诈骗等行为。而公民个人却没有较好的阻断措施,同时又无法获知真实的电话号码,公民个人更加无法通过拉黑等方式杜绝某一特定的违法机构的骚扰电话,即使通过联网共享诈骗信息实现事前阻断也可能会存在漏网之鱼。这一问题的源头是个人信息保护问题,正是由于个人信息的违法使用与泄露,才会产生大量的骚扰电话。因此本质上《个人信息保护法》和《反电信诈骗法》两者是属于相互紧密联系的关系。2022年8月,全国人大制定了《反电信网络诈骗法》,规定地方各级人民政府组织领导本行政区域内反电信网络诈骗工作,确定反电信网络诈骗目标任务和工作机制,开展综合治理。因此,应当继续加强打击个人信息保护违法行为,同时将个人信息保护与电信诈骗治理相结合起来,从源头上减少不法分子实施电信诈骗的可乘之机。第二,快递面单方面。这也是事中监督个人信息使用方式的重要环节之一。由于网上购物的流行和物流快递系统的便捷,越来越多的人选择网上预订和物流接收的方式进行购物。然而,成堆的快递单上的个人信息就面临着泄露的风险。一张简单的快递单上存在较多的个人信息,例如寄件人以及收件人的姓名、电话、地址等多种个人信息。虽然快递公司尝试通过隐匿部分信息的方式保障个人信息不被不法分子获取,但除了文字之外,快递单上还存在着二维码,部分不法分子利用快递单上的二维码,获知公民的个人信息。因此针对快递单这一个人信息泄露问题,相关执法机构应当进一步敦促快递公司丰富快递单信息保护的措施,并加强快递站点对于废弃包裹的回收处理与信息隐匿。此外,还可以进一步通过宣传来提升公民风险意识,如可以采用热敏涂改液、裁剪等方式抹除快递包裹上的个人信息,避免自身的信息被挪作他用。
事后强化个人信息的公益诉讼
在平台用户与消费者发现自身的合法权益遭到侵害并选择维权的时候,往往会发现自身处于信息不对称的劣势状态,平台用户和消费者对于平台或者商家内部所采用的信息采集与分析算法的获知困难度较大,这也就直接导致了平台用户和消费者在维权的过程中经常存在取证困难等问题。在这样的情况下,由检察机关提起个人信息保护公益诉讼是较好的选择。检察机关在个人信息保护公益诉讼中具有较大优势,可以更好发挥法律职能作用。首先,在调查取证方面,检察机关既有法定调查取证的职权,又有丰富经验。其次,在力量支撑方面,检察机关为保护公民群体的信息安全,具有较强的原动力和工作团队来提起个人信息保护诉讼。最后,效果应用方面,检察机关所提起的公益诉讼属于群体性公益诉讼,胜诉结果是普惠公民大众的。如2021年湖州市审结的首例个人信息保护民事公益诉讼案件。两名男子利用经营手机店非法收集公民身份信息,实名注册办理数百张手机SIM卡从中获利,被依法追究刑事责任后,检察机关继续提起民事公益诉讼并得到法院支持,两被告赔偿侵害个人信息造成的损失,并在全国性媒体上作出赔礼道歉。本案的成功审理给侵害公民信息的不法分子以有力的震慑,为个人信息的保护提供了有力的司法保障。
(作者系华东政法大学国际金融法律学院学生)
