PDF下载
大数据时代下个人生物信息的法律保护

李彬 刘敏阳

中国矿业大学(北京),北京,100083

摘要: 随着信息时代的到来和发展,“大数据”逐渐成为这个时代的主流词语。但是许多经营者在收集用户个人生物信息时并未征求用户本人同意,甚至未尽到应尽的告知义务。在使用时也并不注重用户信息的保护,甚至出现恶意泄露用户生物信息的事故,引起了人们对大数据时代下个人生物信息保护的高度重视。为了遏制网络空间个人信息泄露、保护用户个人信息权,应当对个人生物信息进行详细的规定并完善相关立法、构建统一协调的执法保护机制、明确运营商收集和保护个人生物信息的主体责任、完善救济途径,让行业自律机制充分发挥作用。
关键词: 大数据;个人生物信息;个人生物信息法律保护
DOI:10.12721/ccn.2023.157048
基金资助:
文章地址:

一、个人生物信息法律保护的一般探讨

(一)个人生物信息的涵义和特征

个人生物信息的包含着科学和法律两个层面的涵义。

第一,从科学层面来讲。个人生物信息利用的基础是生物特征识别技术,这一技术主要通过智能机器获取相关数据。这些数据是科学层面上的个人生物信息,主要包括:身份、姿势、性别、年龄、血型、种族等。

第二,从法律层面上来讲。2021年1月生效的《民法典》,首次在人格权编设专章对这一问题进行了系统性的规定:从个人信息的概念、个人信息的处理原则和条件、处理个人信息时的免责事由、个人信息主体的权利以及其他主体的保密义务几个不同的方面进行了规定。《民法典》第一千零三十四条第二款规定:个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。随着计算机科学与基因组技术的融合,个人生物识别信息从传统的“基因信息”和“遗传资源信息”脱离出来,已具有人体生物特征的计算机数据库、数据处理、基因序列信息、生物系统的计算机分析与软件设计等内涵。个人信息保护原则是个人生物识别信息利用的最起码规则,而对个人生物识别信息的权利属性和法益内容进行界定,是对其实施法律保护的逻辑前提。1

(二)个人生物信息的特征

基于以上两点,可以得出需要保护的个人生物信息具有以下特征2

一是,主观上不希望他人知晓。个人生物信息一般与个人隐私关系密切,信息所有者不希望此类信息大范围传播,因而其具有非常明显的私密性、属人性特征。

二是,具有法律保护价值的。从法律性质上来讲,个人隐私权是基本人权,生物信息作为隐私权的重要内容,法律应当予以保护。网络上的个人生物信息作为当代个人信息的主要表现形式,具有重要的法律保护价值,是现下个人信息保护的重要内容。

三是,一旦泄露即可能导致公民权利受到严重侵害的。网络空间中的信息具有易传播且影响大的特点。依托网络信息技术,运营商收集的或使用者上传的生物信息一旦泄露,其传播速度及受众范围明显高于其他存储形式的个人信息,对公民合法权益及个人隐私造成无法估量的侵害。

二、个人生物信息的法律保护现状及存在问题

(一)法律保护现状

一直以来我国非常重视对个人信息的法律保护,如我国的根本大法《宪法》中第四十条,专门就公民的通信自由和通信秘密权进行了规定。此外《刑法》《民法典:人格权编》《民法典:侵权责任编》等相关领域的基本法,分别从刑法和民法的角度对个人信息保护进行了规定。在2020年实施的《民法典》第一千零三十四条规定:“自然人的个人信息受法律保护”;第一千零三十八条规定:“信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。”;第一千零三十九条规定:“国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。”

2021年8月20日第十三届全国人民代表大会常务委员会第三十次会议通过了《中华人民共和国个人信息保护法》,在本法中规定,个人信息是“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。本法自2021年11月1日实施起,税务部门采集、使用个人信息前,应当履行告知义务,与纳税人签订个人信息保护告知同意书、人脸识别服务协议。

行政法规方面,国务院于2013年出台了《征信业管理条例》,针对采集个人信息的种类、范围及程序进行了明确限定,防止因信息采集为个人带来不利后果。除法律、行政法规之外,工信部、中国人民银行、公安部等政府部门还颁布了《电信和互联网用户个人信息保护规定》《个人信用信息基础数据库管理暂行办法》《信息安全技术公共及商用服务信息系统个人信息保护指南》《计算机信息网络国际联网安全保护管理办法》等部门规章及规范性文件,专门就网络个人信息保护进行了详细规定。

另有全国人大常委会在2012年就发布了《全国人大加强网络信息保护的决定》,对网络个人信息的范围收集、保密及信息泄露的法律责任进行了详细规定。在此基础上,我国于2017年六月出台《网络安全法》是首部有关网络空间安全与网络个人信息保护的全国性法律

《网络安全法》第四十一条:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”第四十四条在以往基础上增加了保护内容,比如个人信息主体的删除权,和更正权等,并再一次明确了对公民网络个人信息的保护。

2021年7月最高人民法院审判委员会第1841次全体会议审议通过了《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称《规定》)《规定》第2条至第9条主要从人格权和侵权责任角度明确了滥用人脸识别技术处理人脸信息行为的性质和责任。

总体而言,我国虽然十几年前自网络开始迅速发展的时代就开启了对网络空间中个人信息的保护,但是相较于近几年大数据的发展速度依然显得比较落后。尤其是对于个人生物信息这一个人信息的细分领域并没有专门的条款,法律法规和行政规章相对笼统、碎片化特征明显,尚未建立起成体系的个人生物信息保护制度,导致涉及个人生物信息的案件往往存在无法可依,执法行为不规范,追责和索赔难度大等困难。现有法律法规无法解决当前网络空间个人生物信息的核心问题。

(二)存在问题

根据上文所述的我国网络空间个人信息法律保护现状,有以下几大问题亟待解决:

一是,法律制度不完善。迄今为止,我国未出台专门的个人生物信息保护法,也没有自上而下建立完备有效的个人信息保护法律体系。现行法律法规的规定也相对较为零散,缺乏联系。面对人脸识别、声纹识别和指纹解锁等多种多样的个人生物信息应用领域,国家并没有对这一技术发展所带来的个人生物信息保护问题进行立法规制,更是暴露出来立法层面的不足。具体而言,我国现行法律未对网络空间个人生物信息的保护范围、保护主体及保护程序等内容进行系统的规定,以至于面对个人生物信息在被冒用、侵犯等情况下相关执法部门无法据以规制违法行为。此外,现行法律对个人信息的保护还只停留在名誉权和隐私权的层面,并且对于侵犯个人生物信息的行为并没有规定具体有效的惩处措施。

二是,我国未建立多部门协调、联合统一的执法联动机制,执法手段相对落后。个人生物信息保护这一领域会涉及众多执法部门,包括:公安部、工信部等部门。这些部门在认真履行各自职责时,却因没有统一的联动机制而忽略了相互之间的配合协作,造成取证困难、执法手段单一。这在针对网络空间个人生物信息这一新兴个人信息表现形式时,其自身的特性使得任何执法部门单靠其自身的单打独斗已经不能获得有效保护。

三是,救济途径缺失,追责和获取赔偿困难。纵观我国现有信息保护的相关法律,多偏重于宣示性义务,如“信息处理者不得泄露或篡改其收集的、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。”,缺乏对侵权责任法律后果的具体规定。此外,行政处罚数额不大且救济手段不明确。在涉及有侵权导致的受害程度鉴定时,存在极大问题,集中表现在赔偿数额没有明确依据,并且在很多情况下,当事人虽然能够申请赔偿,但是由于损害赔偿的性质难以界定导致其实际无法有效获得赔偿。

由于网络环境的特殊性和技术的高速发展,大数据算法的用户往往不清楚自己的信息是否被收集,传播,也难以确定泄露信息的主要责任人,导致个人信息的法律保护在实践中难以实现。

三、完善网络空间个人生物信息保护的制度设计

针对上文提及的法律制度不健全、执法机制和执法手段落后及网络空间个人信息权被侵犯后救济途径缺失、不易获取赔偿等问题,为了更有效的保护网络空间个人信息,妥善解决这一过程中存在的上述问题,本文提出如下几个完善建议。

(一)完善相关立法

针对上文提及的法律制度不健全、相关立法缺失等问题可从如下两个重要方面着手改进:

一是,采用分别制定“网络安全法”和“个人信息保护法”的立法模式3,首先出台《网络空间个人信息保护法》或在《网络安全法》中以专章形式规定网络空间个人生物信息保护问题。在《宪法》《民法总则》《刑法》等法律的基础上,整合有关行政法规、部门规章及其他规范性文件的相关内容,制定《网络空间个人信息保护法》,分别就网络空间个人信息保护的主体范围、对象事项程序手段及救济纠纷解决途径等内容专门进行规定。或者在制定前法的基础条件不具备的情况下,可以先行修改《网络安全法》增加一章专门涉及网络空间个人生物信息保护的内容。

二是,加大对侵权行为的惩处力度,针对我国现行法律对网络空间个人信息权侵害行为缺乏有效的惩处方式这一问题,只有以制定法律的形式,提高目前施行的惩处力度,才能真正震慑违法犯罪的侵权人肆无忌惮的实施侵权行为,违法采集、使用、传播和泄露个人信息等行为。

(二)构建适合国情的执法保护机制

为了保障执法效率及效果,应当构建于我国国情相识的执法保护机制,具体可从以下两点着手进行:

一是,构建各监管部门之间协调联动执法配合机制。为了保障政府监管和谐高效,首先,监管部门需要简化行政流程,加快立案审查进度。对于部门间重复和碎片化的执法流程,必须进行有效整合。其次,加强监管部门间沟通交流,提高相互之间的执法默契。网络的实时性使监管部门常常难以有足够时间请示上级,在这种情况下,各监管部门之间沟通协作、相互配合对有效监督网络不法问题极为重要。例如,建立部门间交流学习机制、定期召开部门间执法问题研究座谈会等。最后,加强信息共享程度,保障各监管部门能及时了解违法情况。执法时各执法部门之间不应“单打独斗”,应当及时有效传递信息,积极主动与其他监管部门分享办案情况,专门针对特殊案件成立任务型小组。4

二是,改进执法手段,提高执法效率。监管部门应加快立案审查速度,完善网络执法规范,从执法主体、执法内容、执法程序,角度制定网络执法专门规定,避免在执法时出现无法可依的尴尬现状。此外,完善执法告知机制。在网络执法过程中,应当及时告知利益相关人完整的执法信息,如违法事实等。同时,也应告知其享有的申辩权、陈述权、听证权、回避权等权利。应提升网络监管人员队伍的业务水平,网络监管部门应严格监管人员准入门槛,建立公平公正的人员遴选机制,发挥监管人员的业务特长。同时,可依托相关科研院所的专业优势,通过定期培训的方式,提高监管人员的业务能力。5

(三)明确侵权责任归属及救济途径

从广义上来看,网络侵权可分为如下两类情况:一是,网络用户或网络服务提供者通过互联网上传或传播含有侵权内容的相关信息而侵犯他人隐私权的行为。二是,指的是网络用户或网络服务提供者利用互联网通过不法手段获取使用者的虚拟财产、个人信息等对使用者价值极高的信息。6按照《侵权责任法》规定,我国对侵权责任的归责方式,主要有过错推定原则和无过错推定原则,其中以过错推定原则为主。鉴于我国网络数据信息产业发展处于起步阶段,如果采用无过推定原则可能会对其未来发展造成严重阻碍。为避免这种情况,动辄涉及侵权责任所带来沉重的成本负担,应采取《侵权责任法》中的归责做法,以过错推定原则为主,辅以无过错推定原则。7

针对归责之后的救济而言,可采取网络空间侵权行为的救济途径可分为两种:一是,向主管部门提出申诉。二是,向法院提起损害赔偿诉讼。这两种救济途径虽然不能防止二次侵害的发生,但是对侵害行为有一定的实际控制效果。在权利受到侵害时,网络主体有权让网络服务提供者停止侵权,还可以向相关监管部门提出申诉,请求其保护自己的合法权益,惩处侵权行为。此外,被侵权人还可向法院提起损害赔偿诉讼,针对侵权者的主观恶意程度和侵权损害程度,申请精神损害赔偿及物资损害赔偿。

(四)强调行业自律的规制功能

由于现代信息技术的迅猛发展,互联网已经成为市场经济中的一个重要行业类型。对网络空间个人信息的保护,除法律制度规范外,还应发挥互联网行业的私力救济功能。行业自律可以顾及到网络个人信息的特殊性,有效弥补政府监管的不足之处。通过这种社群自治方式,增强互联网行业对行业规则的认同感。鉴于此,当下中国应大力发展网络行业自治模式,例如我国已经出台《中国互联网行业自律公约》《抵制恶意软件自律公约》《互联网新闻信息服务自律公约》《文明上网自律公约》、 《互联网搜索引擎服务自律公约》等行业公约。8未来中国互联网协会应根据上述行业规则,实际承担起行业自律的部门职责。

1. 张勇:“个人生物信息安全的法律保护——以人脸识别为例”,《江西社会科学》 2021,41(05)

2. 任小兴:“论我国网络空间个人信息保护的不足与完善” ,《安康学院学报》 2011年02期

3.  张珏芙蓉:《从《网络安全法》看我国个人信息安全法律保护的途径》 ,载《传媒》 2017年11期

4. 毛彩菊:《政府治理模式与部门间协调机制研究》 ,载《行政与法》 2017年10期

5. 郑志军:《我国网络警察行政执法的规范化研究》 ,南京师范大大学 2017年硕士

6.林宇虹:《网络虚拟财产侵权责任规则问题研究》 ,湖南大学 2017年硕士

7. 陈航:《个人信息权网络侵权认定与救济研究》 ,贵州民族大学 2018年硕士

8. 许玉镇:《网络治理中的行业自律机制嵌入价值与推进路径》 ,载《吉林大学社会科学学报》 2018年03期

作者简介:

李彬(1979.12—),女,汉族,湖南桃源,研究生,讲师,研究方向:民法、经济法

刘敏阳,男,汉族(2002.09),北京人,本科,学生