当前位置:首页 - 理论研究 - 律师随笔 - 浅议公民个人信息保护法律制度

浅议公民个人信息保护法律制度

时间:2023-05-24 点击:2229 次 来源:坦言律师事务所

      大家如有进行过“抖音”实名认证服务,一定注意到了,自你充分知情同意的前提下,实行抖音实名认证服务,一定熟悉了认证服务协议内容。协议强调了抖音实名认证准确性和安全性,对于抖音平台采集你的身份信息、视频图像信息、面部特征信息并作出必要处理的第三方人脸识别服务商是阿里云计算有限公司及服务供应商蚂蚁区块链科技(上海)有限公司。抖音平台仅仅是指北京市微播视界科技有限公司及关联公司,拥有或实际运营的域名为“douyin.com”、“huoshanzhibo.com”的网站以及抖音、抖音极速版、抖音火山版客户端、多闪客户端等(以下合称平台)。按照法律法规定规定,公司遵循《人脸信息处理规则》保护个人信息和隐私安全。你的实名认证不采取任何违法违规不正当或欺骗手段使用实名认证服务。你进行的实名认证涉及到关于人脸信息收集、使用、存储、传输、共享(如适用)与保护,即你的个人信息保护责任主体可能涉及到北京市微播视界科技有限公司及关联公司、阿里云计算有限公司、服务供应商蚂蚁区块链科技上海有限公司、以及平台发布信息的利益相关方等责任主体。 


      我国公民个人信息保护法律制度逐步完善,回顾2021年4月9日二审宣判浙江某大学特聘副教授郭某诉杭州野生动物世界的“国内人脸识别第一案”,本案之中,受诉人民法院审慎使用了人脸识别的立场:此案审判法官说理阐述:生物识别信息作为敏感的个人信息,深度体现自然人的生理和行为特征,具备较强的人格属性。人脸识别信息相比其他生物识别信息而言,呈现出敏感度高、采集方式多样、隐蔽和灵活的特性,不当使用将给公民的人身财产带来不可预测的风险,应当做出更加严格的规制。经营者只有在消费者充分同意、知情的前提下方能收集和使用,且应遵循“合法、正当、必要”原则。我国《民法典》人格权编对人格权予以具体详细的规定,凸显了对人格权的尊重和保护。《数据安全法》已于2021年9月1日起施行,总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任及附则均在其中进行了明确规定。《数据安全法》的数据,指的是任何以电子或者其他方式对信息的记录。数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。

      依照《数据安全法》,国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。我国《个人信息保护法》同样明确规定,自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。法律保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用。个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。人脸信息的处理包括人脸信息的收集、存储、使用、加工、传输、提供、公开等。

       侵犯公民个人信息犯罪依法应予以惩治,在我国刑法早已经有对应的罪名“国内人脸识别第一案”郭教授案件二审结束后,最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定(以下简称人脸识别技术处理个人信息规定)发布并自2021年8月1日起开始施行。该信息规定明确规定了公民个人信息的范围:不仅包括身份识别信息,还包括活动信息,即“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等”。“公民个人信息的范围”其实早在2013年最高人民法院、最高人民检察院、公安部关于依法惩处侵害公民个人信息犯罪活动的通知第二条就已经明确规定:公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。

       2013通知同时还规定:对于在履行职责或者提供服务过程中,将获得的公民个人信息出售或者非法提供给他人,被他人用以实施犯罪,造成受害人人身伤害或者死亡,或者造成重大经济损失、恶劣社会影响的,或者出售、非法提供公民个人信息数量较大,或者违法所得数额较大的,均应当依法以非法出售、非法提供公民个人信息罪追究刑事责任。对于窃取或者以购买等方法非法获取公民个人信息数量较大,或者违法所得数额较大,或者造成其他严重后果的,应当依法以非法获取公民个人信息罪追究刑事责任。对使用非法获取的个人信息,实施其他犯罪行为,构成数罪的,应当依法予以并罚。单位实施侵害公民个人信息罪的,应当追究直接负责的主管人员和其他直接责任人员的刑事责任。最高人民法院发布的人脸识别技术处理个人信息规定,明确了将非法提供经合法收集的公民个人信息的行为列为刑法犯罪行为,在提供公民个人信息之前,应取得被收集者的同意,或对信息进行匿名化处理,本条依据《网络安全法》第42条。明确对网络服务提供者履行个人信息安全保全义务的要求,即“网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚”。罚金标准予以明确:一般在违法所得的一倍以上五倍以下”。

       其实刑法《刑法》第二百五十三条之一明确规定侵犯公民个人信息罪:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。《刑法》第二百五十三条之一 “情节严重”的具体情形进行了列举,即侵犯公民个人信息犯罪的入罪标准,主要以信息数量和违法所得数额为依据。区分不同类型的公民个人信息,分别以50条、500条和5000条为标准认定“情节严重”。具体规定如:非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上的,住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息500条以上的,或者其他公民个人信息5000条以上的,应认定为“情节严重”。违法所得5000元以上的,亦应认定为“情节严重”。 ‍第5条还列举了“情节特别严重”的情形也进行规定:前述信息数量和违法所得数额10倍以上的应认定为“情节特别严重”。而“情节特别严重”的情形应适用《刑法修正案(九)》增加的量刑档次“处三年以上七年以下有期徒刑,并处罚金”。

       人脸识别技术处理个人信息规定发布之后,针对过去的实施行为,采用从旧兼从轻原则,即信息处理者使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息的行为发生在本规定施行前的,不适用本规定。紧接着 2021年11月1日《个人信息保护法》开始施行。其中第二十七条个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。综上可见,我国公民个人信息保护法律制度经由《民法典》的人格权入编,《刑法》将侵犯公民个人信息罪、拒不履行信息网络安全管理义务罪等犯罪行为入罪,《网络安全法》《数据安全法》《个人信息保护法》等法律将虚拟世界里“公民个人信息保护”逐步完善,最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定等专项法律规范等密集发布,相信公民个人信息保护法律制度立法的逐步完善,并通过这些法律的严格实施, 必将促进我国社会生活中亟需规范的侵犯人格权行为得以遏制。这些都是在落实我国《宪法》关于公民的人格尊严不受侵犯的要求,回应了社会关切的人民群众对于人格权保护的迫切需要。