编者按 2021年11月1日起施行的《中华人民共和国个人信息保护法》将生物识别、特定身份、医疗健康等信息,以及不满十四周岁未成年人的个人信息列为敏感个人信息,规定只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下方可处理,并向个人告知处理的必要性以及对个人权益的影响。本版特登文章,介绍域外相关制度,敬请关注。
个人信息决定权保护
对个人信息概念的酝酿提出并形成法制化,有一个历史过程。而个人信息决定权的提出,更反映了历史的进步。
基本概念。1968年,联合国国际人权会议开始关注个人资料保护,提出了个人信息的概念。最早相关立法出现在德国,1970年德国黑森州率先颁布保护个人信息的《数据保护法》出台,随后有大量的欧洲国家跟进立法。各国对个人信息范围的界定有宽有窄,美国1974年《隐私权法》指出,个人资料是行政机关保存的关于个人任何项目、群组信息,包括但不限于教育、财务、医疗、犯罪或职业履历,以及个人姓名、识别号码、特征以及其他表征特征的指纹、声纹或照片。
信息决定权。个人信息决定权最早由德国宪法法院提出,德国1983年通过的《人口普查法》,新一次的人口普查登记事项扩展到了公民的民族、职业、住址以及就业状况。该规定关于收集全民个人信息的意图在民众中引起强烈反响,在公民权利意识高涨的社会背景下,反对之声最后直达德国宪法法院。
宪法法院在判决中提出的“信息自决权”概念,由《德国基本法》第二条推导出来,指的是每个公民原则上都享有自主决定是否提供其个人信息以及如何利用其个人信息的权利。德国宪法法院在1982年3月的人口普查案判决中认为,个人可以自行决定何时及于何种范围内公开其个人的生活事实,这个观点被概括为“个人信息自决权”规定,意为个人有权利自主决定对个人信息的使用和处分。
个人应用软件APP保护
移动互联网应用程序APP,是指通过预装、下载等方式获取并运行在移动智能终端上,向用户提供服务的软件。为保护APP个人信息安全,各国构建了相应的制度体系。
安全标准规范。2013年,欧盟委员会数据保护工作组发布了《关于智能终端APP的相关意见》。2020年4月,欧盟委员会发布《支持抗击新冠疫情的APP的数据保护指南》,推动在对抗新型冠状病毒中加强个人信息保护工作。英国制定的《适龄设计规则》用来规范负责设计、开发或提供在线服务的人员,以保护儿童的隐私。当APP需要收集用户隐私时,根据这些标准设计的路径和卡点就会提示用户并识别即将收集的个人信息以及它的合法性。
程序规范。从2013年开始,美国开始逐步重视移动应用程序的个人信息安全,加利福尼亚州发布了《手机APP隐私保护规范》。2016年,发布《应用程序隐私保护和安全法案》,这是美国第一部专门规范APP收集使用用户隐私信息的法案。2020年5月,美国众议院提出《应用隐私、保护和安全2020法案》,对APP个人信息保护的程序等各个方面进行了规范。
营运规范。2005年4月1日正式实施、2020年6月5日修正的日本《个人信息保护法》,在承认个人信息有效利用的前提下,从信息义务主体如APP运营商的角度对其相关行为予以原则上规定。日本的《电信业个人信息保护条例》对个人位置信息的收集、使用、提供给第三方的情形作出了详细规定。《智能手机用户信息处理措施(草案)》从智能手机用户个人隐私的角度,规定了智能手机用户信息保护措施。
个人健康信息保护
个人健康信息是个人信息的重要内容。各国均强调了健康信息保护。
纳入隐私范畴保护。法国和德国主要是从个人数据隐私立法的角度对健康信息进行保护。法国医疗隐私法和医疗保险法对病人电子病历的保密提出了明确要求,并明确了医疗机构中共享信息系统的专管机构。澳大利亚个人电子健康记录法对医疗信息的保护、患者隐私权利以及监管惩罚等方面作了详细的规定。
注意照顾公共利益。美国法院一般都承认个人健康信息的私密性,但在披露个人健康信息的把握上,美国法院强调个人健康信息利用对于推动公共医疗卫生事业的极端重要性,强调了合理利用的必要性。1977年,联邦最高法院作出了第一个涉及披露的个人健康信息的判例,在该案中,医院规定,所有形式的数据保存5年并在之后销毁,这些文件的访问限制在有限的健康部门和调查人员之间。一部分病人提起诉讼,认为健康部门和调查人员都无权访问。地区法院判决支持患者的意见。但是,联邦最高法院否定了患者的意见,判决认为,将私人医疗信息泄露给医生、医院工作人员、保险公司和公共卫生部门是现代医疗实践的重要构成,甚至在该披露可能会对患者特征存在不利的反映的情形下也如此,向对健康卫生负有义务的政府代表披露这些信息,并不会导致隐私侵犯。
个人网络空间信息保护
个人网上地址及个人电子邮箱,是公民享有私人生活安宁与私人信息不被他人非法侵犯和利用的一种人格权,为了阻止垃圾邮件对个人网络信息空间的侵害,各国制定了保护措施。
界定范围。美国于2000年7月18日颁布了《反垃圾邮件法》,其中规定,凡是向毫不相关的,包括没有商业交往的人发送任何类型的、大量的、相同的电子邮件,均为垃圾邮件,网络服务商也可以向联邦法庭提起诉讼,要求每封邮件赔偿500到50000美元。
非经同意为违法。英国1998年《数据保护法》规定,在未经许可的情况下滥发电子邮件,一律视为非法行为,涉案公司将会被法院处以罚款。新加坡《垃圾邮件控制法案》规定,未经许可,不准将电子邮件、文字或多媒体信息发送给消费者,违者赔偿费为每条垃圾邮件25新元,赔偿总额最高不超过100万新元。
严禁随机滥发。日本于2002年4月通过的《反垃圾邮件法》规定,不得使用随机产生的邮箱地址滥发广告邮件,违法公司可判处巨额罚款,违法个人可判处两年有期徒刑。该法同时亦要求电讯业者采取积极的方法减少滥发垃圾邮件的现象。
坚持公开透明原则。韩国国会在2002年11月8日审议了反垃圾邮件的议案,正式通过了《促进信息通信网利用以及信息保护等修正法案》,其中规定,垃圾邮件发送者应该公开在何处收集了电子邮件地址,在国内发送的所有垃圾邮件有义务在标题上注明“@”标记。
个人身份信息保护
个人身份一般纳入刑事保护范畴,对个人身份信息的侵害,必将受到法律严惩。
明确入罪界线。1998年10月30日,美国颁布《防止身份盗窃及假冒法》,该法对美国法典中关于个人信息犯罪内容进行了修正,将身份盗窃犯罪纳入到刑法中。法案从个人信息的非法获取开始刑法介入,将侵犯身份信息犯罪归纳为八种方式:一是在法律许可的范围之外非法制造虚假的个人身份证明文件;二是明知是虚假或者被窃取的个人身份证明文件,仍然予以提供便利;三是为了非法使用或者转让而故意持有5份及其以上假冒身份证;四是故意假冒身份证;五是故意制造、持有、转移个人身份信息制作工具;六是为了对国家实施诈骗而故意持有假冒身份证文件;七是故意出售、购买虚假个人身份信息制作工具;八是为了实施违法犯罪,或者为了帮助、教唆、参与他人的违法犯罪,故意非法持有、使用、转移个人身份信息。
明确量刑标准。美国“911事件”中,因为武装人员盗用他人的身份信息,致使事件发生后的追捕工作异常艰难,从而催生了2004年7月美国国会通过的《身份盗窃刑罚加重法》,该法对各种非法利用公民个人信息的行为进行明确的界定,并针对不同的犯罪目的规定了不同的刑罚量刑标准。
此外,美国《机动车驾驶员隐私保护法》也规定,凡是超出法定范围对机动车驾驶员个人信息进行收集和处理的行为,将会受到刑事处罚。
个人生物特征信息保护
由于以人脸、指纹为代表的个人生物特征信息没有雷同,发达的现代科学技术将其运用于管理和市场营销,带来了多种不安全因素。许多国家正在进行法律规制。
限制使用。2018年5月,欧盟出台《通用数据保护条例》,其保护的用户数据种类涵盖了指纹、虹膜等生物特征数据。德国和法国仅针对志愿者开展了实时人脸识别技术测试。英国高等法院在一位公民诉南威尔士警察局长等人的案件中,判决英国警察使用自动人脸识别技术不违反《英国人权法案》和相关的数据保护法案,而这一判决的前提是收集的人脸识别信息仅在有限时间、为特定有限目的使用,并在合理使用后立即删除所有获得的信息。
严禁营销。2019年1月,美国旧金山市制定的《停止秘密监控条款》,原则上禁止政府收集、存储、使用公民生物识别数据。得克萨斯州发布的《生物标识符的获取及使用》也规定,禁止信息获取主体通过出售、出租等方式披露生物标识符,除非是法律规定的例外情况;生物识别信息的存储时间应当合理,原则上不应晚于收集目的完成后或法律规定时间到期后一年内。
授权使用。澳大利亚的《隐私保护法》规定,原则上不能收集个人敏感信息,除非获得法律或法院授权,或执法机关为执行任务合理收集,或者非营利组织收集与其工作相关的人员信息。如果披露的是生物识别信息,则只能在特定收集目的范围内披露,不得以直接营销为目的使用或披露。
(作者单位:重庆市第三中级人民法院)
京公网安备 11010502046778号