近日,一篇讲述手机失窃后事主惊心动魄的经历的文章在网络热传。在文章中,事主历数个人信息遭窃取、资金被盗取的过程,整个事件事实清晰、作案手法简单,但也正是这种简单让所有手机使用者后怕。不过,好消息是个人信息保护法草案已提请十三届全国人大常委会第二十二次会议初次审议,有望让个人隐私尽快地摆脱被滥用的状态,为公众提供更系统的法律保护。
个人信息保护法草案有三大亮点值得关注。一是注重敏感个人信息处理规则与金融交易中的个人信息保护。当前,我们置身移动支付时代,银行等金融科技一味“求新”“求快”,将便捷性、高效性放在首位,甚至为了吸引消费者而不惜把银行卡与手机卡“一键绑定”,有存在为了方便快捷牺牲安全之嫌。对于金融交易中的个人信息安全问题,草案给予特别关注,建立敏感个人信息处理规则就是直指线上金融交易规范。草案对敏感个人信息作出界定,并设专节明确敏感个人信息处理规则,即基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人单独同意。据此,如果草案获得通过,目前在金融支付领域非常盛行的手机绑定和解绑银行卡行为,就必须进行复合验证,取得当事人的单独同意。在绑定行为中,支付公司、银行卡需要符合法律规范,避免只凭短信验证的方式,确保不能让“智慧支付”变成“只会支付”。
二是注重提升技术手段,明确主体责任,依法依规信息管理。前述文章提到,拾到手机者可通过社保通道获取机主身份等基础信息,这可能是整个案件中最值得思考的一环。毕竟,社保资料与个人利益息息相关,包含最基础、最关键的个人信息。对于此类个人基础信息,草案设专节规定国家机关处理个人信息的规则,在保障国家机关依法履行职责的同时,要求国家机关处理个人信息应当依照法律、行政法规规定的权限和程序进行。人社局的信息保密工作是第一位的,因而所有信息获取需要且必须要进行复合认证,而非仅仅以“手机+验证码”的形式作为验证手段。据此,如果草案获得通过,政府机关层面对于信息保护必须重新设计验证程序,增加技术手段,加入人脸等生物特征值验证,尽快推出含有生物特征的新一代验证方式。针对目前监管体制不畅、“九龙治水”的现状,草案特别规定国家网信部门负责个人信息保护工作的统筹协调,其和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作,这就为建立一个统一、高效,职权配置清晰且明确的监管体制提供了法律支撑。届时,必须打破条块分割、分而治之的局面,建立更加高效的“一站式”监管体制,明确各个责任部门的法定职责,建立有效的投诉处理机制,真正保障个人信息保护法律制度的有效运行。
三是注重遵循“告知—同意”规则,让App“霸王协议”成绝响。个人信息泄漏风险主要源自两点,一是个人信息的违规收集、不当处理,二是服务商没有依法落实有关安全防护措施。为防止个体成“透明人”,草案确立以“告知—同意”为核心的个人信息处理一系列规则,即处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。据此,若草案获得通过,很多App过度收集个人敏感、隐私信息,甚至强制、捆绑式信息收集方法都可能成为违法行为,“用隐私交换便捷和效率”必将成为过去式。
当然,个人信息保护也不能因噎废食,须依据民法总则区分个人信息与数据这两个不同的法律概念,尊重技术发展趋势,完善服务条款合法性,理清用户与服务商的法律关系,从法治层面加强对数据安全的维护,通过理性制度设计,将隐私、尊严、人身与财产安全放在一个整体框架中寻找最妥当的均衡点。(作者:虞浔,系华东政法大学刑事司法学院副院长)