《個(gè)人信息保護(hù)法》逐條解讀:敏感個(gè)人信息的處理規(guī)則
第二章 個(gè)人信息處理規(guī)則
第二節(jié) 敏感個(gè)人信息的處理規(guī)則
第二十八條 敏感個(gè)人信息是一旦泄露或者非法使用,容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息,包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個(gè)人信息。
只有在具有特定的目的和充分的必要性,并采取嚴(yán)格保護(hù)措施的情形下,個(gè)人信息處理者方可處理敏感個(gè)人信息。
這一條是關(guān)于敏感個(gè)人信息的規(guī)定。
根據(jù)本條規(guī)定,敏感個(gè)人信息是哪些一旦泄露或者非法使用,容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息,并且列舉了幾種敏感個(gè)人信息。
這里面需要引起特別注意的是生物識(shí)別信息。隨著科技的發(fā)展,出現(xiàn)了指紋識(shí)別、面部識(shí)別等識(shí)別技術(shù)的應(yīng)用。目前這些技術(shù)被大量用作手機(jī)開機(jī)、支付密碼、進(jìn)入特定場(chǎng)所等等場(chǎng)景。為了應(yīng)用生物識(shí)別技術(shù),就需要收集和儲(chǔ)存這些生物識(shí)別信息。當(dāng)社會(huì)上越來越多的企業(yè)收集個(gè)人生物識(shí)別信息的時(shí)候,生物識(shí)別信息泄露或遭到非法使用的可能性就增加了,一旦該類生物識(shí)別信息泄露或者非法使用,將會(huì)對(duì)個(gè)人的財(cái)產(chǎn)安全造成威脅。因此,相比傳統(tǒng)的醫(yī)療健康、金融賬戶等敏感信息,生物識(shí)別信息的使用應(yīng)該遵循何種規(guī)則,越來越被重視。
案例:小李系某小區(qū)業(yè)主,2021年,物業(yè)公司告示業(yè)主,小區(qū)門禁系統(tǒng)已改為人臉識(shí)別,限期要求業(yè)主至物業(yè)辦理人臉和身份信息錄入,否則將無法出入小區(qū)。小李認(rèn)為存在隱私風(fēng)險(xiǎn),不同意人臉識(shí)別驗(yàn)證方式,每次只能跟隨其他業(yè)主通行,日常生活極度受到影響。小李與物業(yè)公司協(xié)商未果,訴至法院,要求物業(yè)公司為其通行提供其他非生物信息驗(yàn)證方式。
法院審理過程中對(duì)物業(yè)公司進(jìn)行了釋法析理,指出物業(yè)公司在使用人臉識(shí)別門禁系統(tǒng)錄入人臉信息時(shí),應(yīng)當(dāng)征得業(yè)主同意,對(duì)于不同意的業(yè)主,物業(yè)公司應(yīng)當(dāng)提供替代性驗(yàn)證方式。物業(yè)公司認(rèn)識(shí)到了自身存在的問題,立即在人臉識(shí)別系統(tǒng)上增設(shè)了刷卡功能。雙方握手言和,小李也當(dāng)場(chǎng)撤訴。(江蘇省高級(jí)人民法院發(fā)布十件弘揚(yáng)中華優(yōu)秀傳統(tǒng)文化典型案例)(來源:蘇州市吳中區(qū)人民法院)
第二十九條 處理敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意;法律、行政法規(guī)規(guī)定處理敏感個(gè)人信息應(yīng)當(dāng)取得書面同意的,從其規(guī)定。
這是第四個(gè)法律規(guī)定需要個(gè)人單獨(dú)同意的條款。第一個(gè)是信息處理者向其他信息處理者提供其處理的個(gè)人信息;第二個(gè)是信息處理者公開其處理的個(gè)人信息;第三個(gè)是在公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備,處理個(gè)人信息用于非維護(hù)公共安全的目的;第四個(gè)為處理敏感個(gè)人信息。
就像敏感個(gè)人信息是個(gè)人信息中一個(gè)特殊的種類一樣,需要個(gè)人單獨(dú)同意也是一種特別規(guī)則。這種規(guī)則增加了信息處理者的工作,提高了處理信息的難度,也更有利于保護(hù)個(gè)人的信息安全。
第三十條 個(gè)人信息處理者處理敏感個(gè)人信息的,除本法第十七條第一款規(guī)定的事項(xiàng)外,還應(yīng)當(dāng)向個(gè)人告知處理敏感個(gè)人信息的必要性以及對(duì)個(gè)人權(quán)益的影響;依照本法規(guī)定可以不向個(gè)人告知的除外。
本法第十七條是關(guān)于個(gè)人信息處理者的告知義務(wù)。根據(jù)第十七條的規(guī)定,個(gè)人信息處理者在處理個(gè)人信息之前,應(yīng)該根據(jù)法律規(guī)定將相關(guān)事項(xiàng)告知個(gè)人。
對(duì)于處理敏感個(gè)人信息,個(gè)人信息處理者僅僅根據(jù)第十七條的規(guī)定進(jìn)行告知是不夠的,還需要根據(jù)本條的規(guī)定進(jìn)行告知。否則就屬于沒有盡到告知義務(wù)。
第三十一條 個(gè)人信息處理者處理不滿十四周歲未成年人個(gè)人信息的,應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意。
個(gè)人信息處理者處理不滿十四周歲未成年人個(gè)人信息的,應(yīng)當(dāng)制定專門的個(gè)人信息處理規(guī)則。
關(guān)于兒童的個(gè)人信息保護(hù)問題,曾經(jīng)有學(xué)者建議作出特別規(guī)定。他們認(rèn)為:嚴(yán)格的來說,不是所有的兒童個(gè)人信息都屬于敏感信息,又有其特殊之處,應(yīng)該作出特別規(guī)定。不過最后通過的法律,把兒童個(gè)人信息的保護(hù)納入到了敏感個(gè)人信息的范圍,同時(shí)規(guī)定了個(gè)人信息處理者應(yīng)該就兒童個(gè)人信息的保護(hù)制定專門的個(gè)人信息處理規(guī)則。法律這樣規(guī)定,其實(shí)增進(jìn)了個(gè)人信息處理者的義務(wù),要求個(gè)人信息處理者根據(jù)本法的精神和規(guī)定,就如何保護(hù)兒童的個(gè)人信息制定規(guī)則。
另外,因?yàn)閮和菬o民事行為能力人或者限制行為能力人,心智不成熟,無法獨(dú)立作出同意與否的意思表示。為了維護(hù)兒童的合法權(quán)益,本文規(guī)定處理兒童的個(gè)人信息,應(yīng)該取得兒童監(jiān)護(hù)人的同意。
案例:
在李某某訴某網(wǎng)絡(luò)公司、某教育中心名譽(yù)權(quán)、隱私權(quán)糾紛案中,法院查明:李某某為未成年人。2014年,某網(wǎng)絡(luò)公司旗下的某網(wǎng)站刊出一組《探訪北京戒網(wǎng)癮學(xué)?!废嚓P(guān)內(nèi)容的照片和文章,相關(guān)網(wǎng)頁第一張照片為李某某正面全身照,圖片沒有打馬賽克或者做其他模糊處理。該圖片配有說明:“北京某教育中心是一所戒網(wǎng)癮學(xué)校,學(xué)校通過軍事化管理幫助青少年戒除網(wǎng)癮。目前,類似這樣的戒網(wǎng)癮學(xué)校在中國(guó)已經(jīng)多達(dá)250所。為了幫助孩子戒除網(wǎng)癮,很多父母將孩子送到戒網(wǎng)癮學(xué)校,讓他們接受心理測(cè)驗(yàn)和軍事化訓(xùn)練?!绷?,李某某全身照還出現(xiàn)在第二十一張照片中,該照片配有說明:“5月22日,北京某教育中心,一名剛到中心的女孩子正與其他學(xué)生交談,在父母的要求下,這名女孩到這里戒癮?!?/span>
法院認(rèn)為:自然人享有生命權(quán)、身體權(quán)、健康權(quán)、姓名權(quán)、肖像權(quán)、名譽(yù)權(quán)、隱私權(quán)等。任何組織或者個(gè)人不得披露未成年人的個(gè)人隱私。網(wǎng)絡(luò)服務(wù)提供者在刊載網(wǎng)絡(luò)信息時(shí),應(yīng)特別注意對(duì)未成年人個(gè)人隱私和個(gè)人信息的保護(hù)。網(wǎng)易公司作為網(wǎng)絡(luò)服務(wù)提供者,其轉(zhuǎn)載涉案的照片、文章并配有“這名女孩到這里戒癮”等文字的行為,侵犯了未成年人隱私權(quán)。因網(wǎng)易公司在國(guó)內(nèi)的影響力,該組照片和文章被大量點(diǎn)擊和轉(zhuǎn)載,造成了李某某名譽(yù)權(quán)受到侵害,應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任。
第三十二條 法律、行政法規(guī)對(duì)處理敏感個(gè)人信息規(guī)定應(yīng)當(dāng)取得相關(guān)行政許可或者作出其他限制的,從其規(guī)定。
科技在發(fā)展,新的使用敏感個(gè)人信息的技術(shù)不斷出現(xiàn)。本法出臺(tái)之后,有可能會(huì)出現(xiàn)本法沒有規(guī)定的新情況。為了應(yīng)對(duì)可能出現(xiàn)的新情況,或者本法沒有規(guī)定的問題,本條為之后增加對(duì)敏感個(gè)人信息保護(hù)的規(guī)定保留了空間。