敏感信息洩露危害大(dà) 如何從(cóng)紙(zhǐ)面到(dào)現(xiàn)實告别個人信息裸奔

11月1日起，備受關注的個人信息保護法正式施行。 網絡信息時(shí)代，個人信息保護領域亂象叢生，一些(xiē)企業、機構甚至個人随意收集、違法獲取、過度使用(yòng)、非法買賣個人信息，侵擾人民群衆生活安甯、危害人民群衆生命健康和(hé)财産安全。個人信息保護成爲廣大(dà)人民群衆最關心、最直接、最現(xiàn)實的利益問題。 出台專門(mén)的個人信息保護法也(yě)成爲近年來(lái)社會(huì)各界最爲強烈的立法呼聲。如何保護好(hǎo)個人信息、如何構築強有力的法律威懾、如何有效遏制違法違規侵害個人信息權益的行爲，是立法亟待解決的問題。經過三次審議(yì)，8月20日，十三屆全國人大(dà)常委會(huì)第三十次會(huì)議(yì)表決通過個人信息保護法。 作(zuò)爲個人信息保護領域的基礎性專門(mén)法律，個人信息保護法與民法典、數據安全法、電子商務法等法律共同編織成一張個人信息保護網。值得一提的是，在全社會(huì)個人信息安全意識逐步提高(gāo)的大(dà)背景下(xià)，廣大(dà)人民群衆對(duì)個人信息保護雖然一直保持較高(gāo)的關注熱情，但(dàn)也(yě)普遍缺乏相關的科學知(zhī)識和(hé)法律知(zhī)識。個人信息保護法真正從(cóng)紙(zhǐ)面的法律條文(wén)變爲手中維權的利器，并非一蹴而就。 區(qū)分敏感與非敏感信息 對(duì)于普通民衆來(lái)說，哪些(xiē)個人信息受個人信息保護法的保護，尤其是哪些(xiē)個人信息會(huì)受到(dào)法律的特殊保護，無疑是最應該弄明(míng)白(bái)的問題。 個人信息保護法的一大(dà)亮(liàng)點，是首次在法律上(shàng)将個人信息區(qū)分爲敏感與非敏感，采取概括加列舉的定義方式，将“敏感個人信息”界定爲“一旦洩露或者非法使用(yòng)，容易導緻自(zì)然人的人格尊嚴受到(dào)侵害或者人身、财産安全受到(dào)危害的個人信息”，同時(shí)對(duì)敏感個人信息的處理(lǐ)予以專門(mén)的、更加嚴格的規範。 按照個人信息保護法的規定，生物識别、宗教信仰、特定身份、醫(yī)療健康、金(jīn)融賬戶、行蹤軌迹以及不滿十四周歲未成年人的個人信息等，被歸類爲“敏感”的個人信息。相比其他(tā)的個人信息，敏感個人信息将得到(dào)更爲嚴格的保護。 談及爲何要對(duì)敏感個人信息提供特殊的法律保護，清華大(dà)學法學院副院長程嘯指出，一方面，敏感個人信息與自(zì)然人的人格尊嚴、人格自(zì)由等基本權利和(hé)重大(dà)人身财産權益具有極爲密切的聯系。無論合法還是非法處理(lǐ)此類信息，都會(huì)産生重大(dà)風(fēng)險甚至直接損害。例如，掌握自(zì)然人的基因、指紋、聲紋、掌紋、臉部特征等生物識别信息，就可以永久識别特定自(zì)然人。如果處理(lǐ)者挖空(kōng)心思想着如何利用(yòng)這(zhè)些(xiē)信息來(lái)謀取利益，那對(duì)個人可能(néng)會(huì)造成何種危險将難以預測和(hé)控制。另一方面，網絡信息時(shí)代，完全禁止利用(yòng)個人信息顯然是不可能(néng)的，如何劃定保護與合理(lǐ)使用(yòng)的邊界就成爲問題核心。敏感與非敏感的區(qū)分有助于更科學地劃定這(zhè)一邊界。此外(wài)，區(qū)分并明(míng)确列舉敏感個人信息，對(duì)于自(zì)然人、個人信息處理(lǐ)者以及相關職能(néng)部門(mén)來(lái)說都非常必要。 “這(zhè)種區(qū)分，可以使自(zì)然人更充分意識到(dào)敏感個人信息的重要性，采取更有效的自(zì)我保護行動，更謹慎的行爲，一旦發現(xiàn)違法行爲及時(shí)舉報(bào)等，也(yě)能(néng)夠降低(dī)個人信息處理(lǐ)者履行義務的合規成本，提高(gāo)對(duì)處理(lǐ)行爲合法性的可預期性。職能(néng)部門(mén)也(yě)可以集中資源進行精準有效的執法活動，提高(gāo)執法效率。”程嘯說。 敏感信息洩露危害極大(dà) 敏感個人信息最核心的特點就是敏感性。 “這(zhè)種敏感，就是指造成侵害或危害後果上(shàng)的容易性。”程嘯說，侵害或危害敏感個人信息的後果有兩類，一是人格尊嚴受到(dào)侵害。比如，洩露個人的種族、民族、政治觀點、性取向、疾病等個人信息，或者非法使用(yòng)這(zhè)些(xiē)個人信息，會(huì)使個人遭受歧視(shì)或受到(dào)不公正的對(duì)待，這(zhè)就是對(duì)人格尊嚴的侵害。二是自(zì)然人的人身、财産安全受到(dào)危害。比如，洩露了(le)個人的行蹤軌迹，被不法分子知(zhī)悉而導緻受害人被殺害；洩露銀行賬戶信息導緻銀行的資金(jīn)被竊取等。 尤爲值得關注的是，人臉識别作(zuò)爲敏感個人信息的一種，一旦洩露容易對(duì)個人的人身和(hé)财産安全造成極大(dà)危害，還可能(néng)威脅公共安全，因此對(duì)其收集和(hé)使用(yòng)一直廣受關注。 個人信息保護法第二十六條規定，在公共場所安裝圖像采集、個人身份識别設備，應當爲維護公共安全所必需，遵守國家有關規定，并設置顯著的提示标識。所收集的個人圖像、身份識别信息隻能(néng)用(yòng)于維護公共安全的目的，不得用(yòng)于其他(tā)目的；取得個人單獨同意的除外(wài)。 據悉，目前，就公共場所安裝圖像采集、個人身份識别設備，除了(le)反恐怖主義法之外(wài)，尚缺乏相應的法律法規，僅有少數地方政府制定了(le)政府規章，例如，2007年4月1日起施行的《北京市公共安全圖像信息系統管理(lǐ)辦法》、2011年8月1日起施行的《陝西省公共安全圖像信息系統管理(lǐ)辦法》等。但(dàn)這(zhè)些(xiē)地方政府規章頒布的年代較早，已不适應現(xiàn)實要求。 鑒于此，程嘯建議(yì)，個人信息保護法落地之後，應當盡快(kuài)從(cóng)頂層設計(jì)層面完善公共安全視(shì)頻圖像系統的相關法律法規，更好(hǎo)協調公共安全的維護與個人信息的保護。 主動拿起法律武器維權 那麽，作(zuò)爲個人信息的權利人，該怎樣做才能(néng)有效地保護好(hǎo)自(zì)己的個人信息尤其是敏感信息呢(ne)？中消協近日專門(mén)給出5個“提醒”： 要積極學習個人信息保護法等法律規定。包括了(le)解個人信息和(hé)敏感個人信息的處理(lǐ)規則、自(zì)身所享有的權利、個人信息處理(lǐ)者應當承擔的義務以及個人信息權益受到(dào)侵害時(shí)的救濟方式等。 要養成“非必要不提供”的良好(hǎo)習慣。除了(le)要仔細閱讀隐私協議(yì)等條款外(wài)，還要考量處理(lǐ)個人信息理(lǐ)由的充分性和(hé)提供個人信息的必要性，隻在确屬必要的情況下(xià)才提供個人信息或者進行授權。 要對(duì)自(zì)己授權或者提供的個人信息進行持續跟蹤。不同意繼續處理(lǐ)自(zì)己的個人信息時(shí)，要積極行使“撤回同意”權利，要求對(duì)方停止處理(lǐ)或及時(shí)删除其個人信息。 要注意銷毀帶有個人信息的單據和(hé)資料，防止因随意丢棄、使用(yòng)不當等造成個人信息洩露。如妥善處理(lǐ)未脫敏的快(kuài)遞單據等帶有個人信息的單據和(hé)資料，使用(yòng)完後應及時(shí)銷毀，或是塗抹掉關鍵信息後再丢棄；一些(xiē)帶有個人敏感信息的電子數據，如證件照片等，建議(yì)用(yòng)完即删或者采用(yòng)加密方式進行存儲。 要主動拿起法律武器維護合法權益。當自(zì)身個人信息權益受到(dào)侵害或者發現(xiàn)存在違法處理(lǐ)個人信息行爲時(shí)，要主動進行投訴、舉報(bào)，提供案件線索和(hé)相關憑證，維護合法權益。 存量個人信息何去何從(cóng) 伴随個人信息保護法的落地，還有一個問題值得關注，那就是存量個人信息該何去何從(cóng)。 所謂存量個人信息，是指個人信息處理(lǐ)者在個人信息保護法實施前已經收集、存儲的各類個人信息。其中，一些(xiē)個人信息處理(lǐ)者可能(néng)會(huì)以不符合法律規定的方式收集、存儲了(le)大(dà)量的包含敏感個人信息在内的個人信息。 由于個人信息處理(lǐ)行爲具有持續性，個人信息保護法施行後，實踐中這(zhè)些(xiē)個人信息還可能(néng)被繼續利用(yòng)。“對(duì)于這(zhè)種處理(lǐ)行爲應當及時(shí)地進行法律規制。”中國人民大(dà)學法學院教授張新寶指出，由于目前還缺乏清晰的法律政策指引，完善對(duì)存量個人信息的合法合規治理(lǐ)是個人信息保護法落地後亟待解決的問題。 在張新寶看(kàn)來(lái)，對(duì)于存量個人信息的處理(lǐ)，如果存在違法違規情形，其行爲的性質應當如何認定需要作(zuò)出司法政策上(shàng)的決斷。他(tā)主張，應當以個人信息保護法正式實施之日作(zuò)爲時(shí)間節點，區(qū)分實施前與實施後兩種情形分别作(zuò)出判斷。 張新寶建議(yì)出台相關規章或者司法解釋對(duì)這(zhè)一問題作(zuò)出明(míng)确規定。“如果個人信息處理(lǐ)者的處理(lǐ)活動未能(néng)達到(dào)個人信息保護法規定的規範化标準，相關職能(néng)部門(mén)應當責令其改正或者獲得補充的同意，或者責令其不得進行除存儲和(hé)采取必要的安全保護措施之外(wài)的處理(lǐ)。” 來(lái)源：法治日報(bào)