—-兼谈公民隐私数据的处理之正当程序
前几天,几个律师朋友坐在一起,闲聊中谈起了酒店不再刷脸的话题。住酒店不再刷脸,其实从4月中旬就开始了,但民间几乎没什么反响,完全一副局外人的心态,人们对这种微观的政策改变似乎已经无感了,其效果如同楼市各种利好政策出台,以为会立竿见影,结果却是波澜不惊。yibaochina.com
笔者以为,这种心态可能与国民的焦虑正在升级有关,眼下人们关注的是如何在经济萧条的时代活下去,基本生存成了首要关切,至于隐私权、个体尊严这类更高阶的需求暂时无暇顾及了。疫情三年,整个社会的生气似乎已经出清了,社会整体进入了不应期。yibaochina.com
住酒店不再刷脸当然是好事,但权力的姿态是一贯的傲慢,就一个通知了事,没有解释停止的理由,更没有对当初要求刷脸的政策检讨反省。当初开始的时候,对于这一减损公民隐私权,给公民增加负担的政策,没有听证程序,也没有给出合理的理由,当年它就那么恣意的开始了,如今它又那么随意的结束了,予取予夺全凭权力的意志,作为权利减损者和负担承受者的公民在这一过程中处于无权置喙的状态,开始时不容质疑,结束时无人在意。权力几乎没有付任何代价,以后也还会如法炮制或死灰复燃。yibaochina.com
(一)管制型思维下增加冗余政策的产物
住酒店刷脸这个政策,一开始就不具有正当性。该政策的出台,是主导这个国家的管制型思维的产物。在这种思维指导下,会把管制秩序置于一切价值之上,不夸张地说,这种思维是今日一切问题之源。为了维护管制秩序,公民权利的减损,社会资源的投入,都可以不计代价。就跟发射卫星一样,为成功将卫星送入轨道,要给火箭增加很多保障成功的冗余设计。这些冗余设计是为应对小概率事件的,只在发生意外时起作用。yibaochina.com
为保障高价值目标的实现,冗余设计在工程上是必要的,但这种思维模式用于社会目标的达成,则很成问题。yibaochina.com
任何禁止性或强行性规范,终极目的当然都是着眼于保障统治者的管制秩序,住酒店刷脸这一强行性规范当然也不例外,但这种微观的规范,一定有它想达成的更具体更直接的目标,然而对于它想达成的具体直接的目标,似乎又是语焉不详的。yibaochina.com
为了方便侦破案件和抓捕嫌犯?为了搜集大数据用于维稳?为打击藏在酒店的暗娼?为打击坏男人开房?yibaochina.com
以上这几个具体直接的目标是笔者猜测的,以权力行事有基本的逻辑为前提。对于上述目标,有的正当性大可商榷,比如搜集大数据用于维稳,但这里不作展开。姑且先假设这些目标都有一定合理性,但一项强行性规范的出台,因为涉及到公民隐私权,涉及到增加公民负担,涉及到社会资源的投入,应该审慎,而不应该只考虑管制秩序这单一价值。政府通过强行性规范欲达成的目标应当与投入的成本呈比例。yibaochina.com
为了侦破少数几个案件,抓捕少数几个嫌疑人,锚定少数几个权力眼里的“不安分”者,打击少数暗娼与婚内出轨,而让所有公民付出隐私权减损,增加麻烦的代价,让酒店都买一套刷脸设备,这不具有正当性。yibaochina.com
事实上,住酒店早就实行了实名制身份登记,已经可以达成上述具体直接的目标,再要求刷脸,无非是为极少数刻意规避的人所设置,其情形就类似于工程上的冗余设计。而且这种冗余性政策,也并不能堵上一切漏洞,仍然有规避的办法。yibaochina.com
从应然的角度,通过禁止性或强行性的规范对普通公民附加义务,减损公民的权利,只应该考虑常见和普通的情况,而不应当考虑极端或特殊的情形,否则整个社会的自由度必然大幅减少,社会的活力因之也必定会下降,最终也必然会伤害经济,而伤害了经济也就相当于减少了税收。yibaochina.com
(二)酒店不景气才是停止刷脸的原因
谈到住酒店停止刷脸的原因,我的好朋友路国正律师认为是为了吸引外国游客而与国际接轨。而我则不敢苟同,即便有这个考虑,也应该是次要原因。一则来华的洋人一般住高档的合资酒店,这些合资酒店我高度怀疑从来就没有执行过刷脸的政策,二则我深知此地在政策执行中向来因人下菜,对洋人可能从来也没做此要求。yibaochina.com
个人觉得这项政策的中止,主要还是生意萧条导致的,想通过停止刷脸提升一下酒店行业的生意,也顺带拉动一下各地嗷嗷待哺的旅游经济。但权力可能误解了酒店生意萧条的原因。民间是有一种说法,说刷脸打击了一些坏男人的开房行为,但实则不过是玩笑,因为刷脸并不影响开房,刷脸对开房的影响甚至不如对房间偷拍的顾虑。真正影响开房的是男人的钱包瘪了,但这仍然是次要的原因,真正的原因是经济萧条,因工作出差的机会大为减少。yibaochina.com
而要想止住经济下滑的态势,需要改变的是主导一切的管制型思维模式,进行以自由和权利为导向的市场化法治化改革,而不是取消鸡肋一样的单一微观政策。yibaochina.com
因此,不再刷脸虽然是好事,但对权力真正想达成的改善经济的目的,不会有实质性的帮助。yibaochina.com
(三)已经收集的数据如何处置?如何监督?
有一个问题一直存在,并不是停止刷脸才有的,也并不是只有刷脸才产生的,更不是只有酒店这种主体才需要注意的。而是政府部门与民商事主体对获取的公民隐私数据如何处理的问题。不只是刷脸,实名制登记的身份信息,家庭住址的信息,付款账户的信息,支付宝和微信ID的信息,都属于个人隐私。这个问题现在讨论,可能会让人觉得不接地气,正如笔者在前面分析的,当下人们关心的是工作问题生存问题,隐私和个体尊严,是更高阶的心理需求,眼下人们无暇顾及实属正常。但是笔者以为,是否关心是一码事,从应然的角度分析应当如何处置是另一码事,而且政府部门与民商事主体依法处置采集的公民隐私数据是单向义务,不以公民是否关心为前提。因此,公民是否关心自己的隐私数据,并不决定本文的意义。在笔者尝试对这个问题进行讨论时,恰好看到新华社两天前的一篇报道,题目是《仅125秒银行卡就被复制了——揭秘新型信用卡盗刷案》,这一报道凸显了隐私数据的重要性。yibaochina.com
因为我们每天都在网络上购物和支付,一直在向APP平台和对方商户提交自己的隐私数据,对于隐私数据的重要性,在习以为常中已经麻木了,同时我们也低估了隐私数据被违法使用的严重后果。新华社的这则最新报道不是唯一,据说前两年猖獗的缅甸电信诈骗案,很多受害者只向对方提供了银行账户,并没有提供密码,但钱却被转走了。考虑到缅甸诈骗犯使用的手机号码都是大陆号码,在手机号码实名制的政策下,没有大陆身份证,却能大量申请到号码,电信运营商有没有责任?另外,受害者的密码又是如何被犯罪分子破译的呢?这些犯罪分子也并非拥有高技术的网络极客,如果没有受害人隐私数据的泄露,怎么可能?这些隐私数据到底是谁泄露给他们的?yibaochina.com
对于在政府执法与民商事主体经营中获取的公民隐私数据,它们应当如何处理呢?2021年8月生效的《个人信息安全法》是有规定的,但语焉不详,监督机制也不够明确。对于“个人信息”与“处理”这两个法律概念,本法第四条是这样规定的:第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。yibaochina.com
本法第九条规定个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。yibaochina.com
本法第十条规定任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。yibaochina.com
该法第十七条是这样规定的:第十七条 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;yibaochina.com
即个人信息处理者应当明确告知个人信息的保存期限。现实中,淘宝或者京东平台以及提供产品和服务的民商事主体并没有明确告知消费者,它们保存所获取的消费者个人信息的期限,在保存期限到期后如何销毁数据信息,谁来监督它们已经履行了销毁义务,谁来监督它们没有出卖收集到的信息给第三方,都很值得关注。yibaochina.com
根据本法第第二十六条:在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。yibaochina.com
众所周知,在公共场所安装的图像采集、个人身份识别设备,是由权力机关掌控的。中国人均摄像头世界第一,政府收集了公民海量的信息。权力来自于国民的让渡和授权,它不应该是神圣不可质疑的,何况权力的执行者也都是有各种欲望的人,从应然的角度来说,现代政府的建构原则就是以对权力的不信任为逻辑前提,因此没有理由不对政府机关收集的公民的信息予以重点关注。如何监督权力没有把搜集到的数据用于其它目的或许是更有价值的课题。yibaochina.com
本法第二十八条对敏感个人信息的处理提出了更高的要求。本条法律首先明确了敏感个人信息的范围,其包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。yibaochina.com
对于敏感个人信息的处理,第二十九条规定:处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。yibaochina.com
本法第三十一条规定:个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。yibaochina.com
结合第二十九条、第三十条之规定,可以推导出如下结论:对于未满14周岁的未成年人,如果学校组织抽血或体检应当获得监护人的同意,否则违法,因为抽血或体检获得的信息中必然包含生物识别信息和医疗健康信息,这些都属于敏感的个人信息。yibaochina.com
从该法第三十一条可知,处理年满14周岁未成年人的个人信息,可以无需监护人的同意。笔者以为这条规定的合理性很值得商榷,因为它没有区分个人信息的内容。yibaochina.com
结合《民法典》第二十二条,笔者认为,对上述法条的正确适用应当做如下理解:年满14周岁的未成年人的一般个人信息,可以由未成年人自己决定是否同意对方处理。但对于涉及“生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息”,作为限制民事行为能力人,他们不能自己做主,仍然需要监护人同意。因为上述信息作为“敏感的个人信息”,其负载的利益更为重要,未成年人自己还无法理性的权衡同意的后果。yibaochina.com
因此,学校或其它社会组织对未满18周岁的未成年人抽血或体检,应当获得监护人同意,否则即为违法。yibaochina.com
根据本法第四十七条:有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:(一)处理目的已实现、无法实现或者为实现处理目的不再必要;(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;(三)个人撤回同意;(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;(五)法律、行政法规规定的其他情形。法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。yibaochina.com
由此可见,个人信息处理者有义务主动删除搜集的信息,如果没有主动删除,个人有权要求删除。如果删除在技术上难以实现,应当采取必要的安全保障措施。yibaochina.com
而且根据本法第四十八条,个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。也就是说个人有权要求信息处理者对如何处理个人信息进行解释说明。激活这一条款可以作为公民间接监督的手段。yibaochina.com
综上,《个人信息安全法》是赋予了信息处理者不少义务的,也赋予了个人监督的一定手段,但赋予信息处理者的义务,如何规范地落到实处,相关职能部门如何监督它们履行,如何增加和畅通公民的监督,还有很多工作要做。yibaochina.com
(四)结语
预计这篇文章的阅读量会比较惨淡,如同时下的economy。因为对个人信息安全的关注,的确它显得不是那么急迫。在芸芸众生对未来的焦虑中,它暂时是排不上号的,而且距离酒店停止刷脸也都快俩月了,当时人们对该微观的政策改变就很漠然,如今可想而知。yibaochina.com
但我理解民间的这种漠然,在公民消极的漠然中,我甚至可以从中看到积极的一面,这种漠然可以理解为“你们爱咋咋,随你们折腾去”的旁观者心态,隐隐透露出一种怨恨情绪和弃绝意识,如果把这理解为践行某种消极的不合作也不能说很牵强。yibaochina.com
尽管如此,但笔者仍然认为我们可能低估了个人信息安全对我们的影响。有的人被电信诈骗了,辛辛苦苦挣来的钱进了犯罪分子的口袋,而我们这些警惕性高的,虽然没有成为诈骗者的猎物,但每天却都收到很多的骚扰信息,这些都与我们个人信息的被泄露有关。个人信息的采集出卖泄露正让我们成为一个个透明的人,仿佛赤裸裸站在被窥视的目光之下,被犯罪分子、被民商事主体、被权力部门打量评点。这些大数据从哪里来的?应该如何处置?应该如何监督?难道不值得重视?yibaochina.com
我期待这篇文章能对保护个体信息安全有所裨益。yibaochina.com
2024年6月11日 刘书庆yibaochina.com
作者:刘书庆是齐鲁大学讲师,国内著名人权律师,现在已经因为维权被取消讲课及办案资格。yibaochina.com
图片来自:澎湃新闻yibaochina.com