个人信息保护领域乱象难绝 众多社会关切亟待立法回应

　　个人信息仍需特殊立法手段提供特别保护

　　□ 法治日报全媒体记者 朱宁宁

　　又一则让人不寒而栗的涉及个人信息保护的消息冲上热搜。近日，有媒体曝光了“民宿遭偷拍八小时，偷拍者称还可以‘私人定制’”一事。据报道，隐私偷拍的黑色产业链所侵犯的隐私领域远不止酒店、美容院、试衣间等场所。一些隐私视频在网上被明码标价疯狂叫卖，数量之多令人震惊。

　　有关个人信息保护的话题各方一直高度关注。类似的个人信息泄露事件频繁发生，涉及海量用户信息的App更是一度成为重灾区。今年的央视“3·15”晚会上，多家企业因通过公民个人信息牟利而被曝光。3月22日，中央网信办等四部门明确App必要个人信息范围，运营者收集信息不得“出圈”。

　　值得一提的是，去年10月，个人信息保护法草案提请十三届全国人大常委会第二十二次会议审议。之后，草案在中国人大网上公开征求社会意见。据悉，草案二审稿有望近期提请审议。

　　面对层出不穷的个人信息保护领域的挑战，立法该如何作出及时有效的回应？一些业内学者围绕草案关键条款提出相关的完善意见。

　　应严格规制人脸识别应用

　　人脸识别是近些年最火的技术概念之一。随着生物科技的飞速发展，人脸等个人生物信息在商业应用、社会治理及国家安全领域的强大效用和广泛前景日益显现，但其安全性也一直遭到质疑。有媒体发布的《人脸识别应用公众调研报告（2020）》显示，两万多名受访者中，有六成认为人脸识别技术有滥用趋势，三成受访者表示已因人脸信息泄露、滥用而遭受隐私或财产损失。

　　草案对人脸识别作出明确，第二十七条规定，在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。

　　但在中国人民大学法学院教授石佳友看来，草案中“维护公共安全所必需”的规定过于原则和宽泛。“隐私权风险是人脸识别技术发展中最为核心的问题。人脸识别技术的实践须基于拉网式的人脸信息收集，因此在收集过程中可能严重威胁个人隐私。并且，人脸识别技术与公共监控摄像头的融合，导致公民个人‘随时随地活在镜头之下’，个人行动路径和习惯偏好都可能在拉网式的人脸图像捕捉中被分析、提取和窥探。此外，人脸识别技术可能造成人身、财产以及心理上的安全隐忧。”石佳友说。

　　石佳友同时指出，“一刀切”式的完全禁止可能会对经济社会发展形成制约，也不具有现实性。他主张，应基于合法、正当、必要原则的技术准入审查制度，由监管部门出台人脸识别应用的技术准入标准及审查程序，重点审查人脸信息的存储安全等。此外，还应落实人脸识别技术应用中的知情同意原则，并引入动态知情同意模式，有效保障信息主体享有同意撤回权，允许信息主体根据所了解到的事实决定选择进入和退出，打破既往“同意即终身”的弊端。

　　建议增加“守门人”特别义务

　　来自工信部的数字显示，截至2020年底，我国国内市场上监测到的App数量达345万款。各类App在带来便利的同时，一直以来都存在过度收集个人信息、强制索权等问题。如何对这些海量App进行有效监管，是当下个人信息保护面临的棘手问题。

　　草案第五章规定了各类信息处理者义务，其中第五十一条规定，处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。

　　“出于监管的实践要求，对数以百万计的App一对一监管难免力不从心，应对实际上控制技术资源、技术环境和运营环境的信息处理者，比如应用程序的分发平台、操作系统、大型平台App等，设置‘守门人’个人信息处理的特别义务。”中国人民大学法学院教授张新宝指出，与其对海量App进行监管，为提高效率，更好的做法是将部分监管职责前移到关键环节，也就是“守门人”。

　　张新宝具体指出，所谓“守门人”包括三类：一是面向用户搜索，并向用户推荐App、提供App下载应用程序的分发平台。二是为App提供运行所需技术资源的操作系统。特别是移动终端的操作系统，提供了为数众多的系统权限供App调度。三是大型平台App。这些平台利用从操作系统获得的技术资源和自身的流量资源，搭载大量第三方小程序，平台App向小程序提供部分个人信息的同时，小程序就能够调用平台App已经获得的系统权限进行个人信息的收集。

　　值得一提的是，目前，有不少平台企业出于竞争的考量，推动个人信息保护时“小心翼翼”。张新宝认为，全行业的义务设置不影响“守门人”之间的共性竞争，通过对所有“守门人”设定统一的个人信息保护义务，有利于树立行业取向，拉平合规的底线。

　　应更多关注国家机关义务

　　公权力如何管理好手中的个人信息、如何对其加以限制约束，是个人信息保护立法绕不开的问题。国家机关已成为目前最主要的个人信息处理者，是最大的数据处理平台。该如何对国家机关等公权力处理个人信息行为进行规范约束，是个人信息保护立法的焦点问题之一。

　　草案把国家机关纳入个人信息保护法的调整范围，被视为亮点之一。

　　但在清华大学法学院副院长程啸看来，国家机关处理个人信息责任规制方面仍存在短板。“国家机关掌握着大量信息，许多优质的个人信息资源也是由政府掌握。草案目前的约束措施还不够有力。”

　　程啸认为，个人信息保护法应更加关注国家机关在履行行政职能过程中的个人信息保护义务和相应法律责任问题。

　　“国家机关作为个人信息处理者，与私人机构作为个人信息处理者，无论是机构性质还是行为性质，都存在不同，具有法定职权性、公共性、广泛性、持续性、垄断性、强制性等特点。”北京大学法学院教授王锡锌认为，十分有必要制定一个特别的规则来调整国家机关处理个人信息的行为。

　　王锡锌建议，应在信息处理端建立起偏向个人信息保护的规则设计，将民法商法中的“信托”引入国家机关处理个人信息的环节，建构起一种国家机关与个人之间的信义义务，加重国家机关在存储、处理、保存个人信息时的法定责任。