卢颖、戴欣媛:个人信息及其处理规则的理解与适用 | 微课程
编者按
为传承审判经验、提升司法能力、促进适法统一,自2020年起,上海一中院持续组织院庭长、领军人才培养对象、优秀法官等,以司法实践中常见法律问题、民法典适用、类案裁判方法等为主题,制作系列微课程。官方微信公众号《微课程》专栏持续推送上述课程,以供参考。
微课程 | 本期话题
个人信息的定义及范围
告知同意规则
目的限制原则
同意的一般要件
敏感个人信息处理规则
无效的格式条款
法定许可收集个人信息
人脸识别第一案
对谈人
介绍
对谈人 PROFILE
卢颖
商事庭审判长
三级高级法官
领军人才培养对象
华东政法大学经济法学博士
上海市大数据中心博士后在站
上海法学会经济法学研究会理事
上海外国语大学硕士生导师
上海对外经贸大学硕士生导师
入选上海市青年法学法律人才库
发表译著《金融危机后的公司治理》
在《证券法苑》等核心期刊发表论文10余篇
论文在全国法院系统多次获奖
参与、执笔国家社会科学基金青年项目课题、中国法学会课题等多项课题
曾获得上海法院办案标兵等荣誉
对谈人 PROFILE
戴欣媛
商事庭法官助理
北京大学法学硕士
参与执笔7项全国、市级调研课题
4篇案例分析获全国奖项
9篇论文获全国、市级奖项或发表于《国际经济法学刊》 《中国应用法学》等刊物
曾获上海法院系统嘉奖
微课程
视 频
微课程
音 频
微课程
课 件
(左右滑动查看更多课件)
微课程
内 容
戴
大家好,欢迎来到一中院视频微课程,我是商事庭法官助理戴欣媛。今天我们有请到商事庭审判长卢颖博士,一起向大家解读2021年发布的《个人信息保护法》。
卢
主持人好,大家好!
戴
在这个大数据时代,我们可能都遇到过这样的场景:
有一天,张三走进一家餐厅,要点餐,结果被告知,必须扫桌上的二维码,张三层层点击,输入来输入去,终于吃上了饭。张三很纳闷,吃个饭这么麻烦么?李四所在的小区,要在小区里的每个门口装人脸识别设备,以后刷脸就可以进出楼宇了。李四很高兴,说以后拎着垃圾袋进出,刷一刷脸就可以了。可偏偏有人不乐意,说这样会带来安全隐患。问题来了,小区装还是不装?
今天我们就请到卢老师为大家解答相关问题。卢老师您可是个人信息保护法领域的专家啊,个人信息保护是您的博士后项目课题吧?
卢
对,我比较早就开始关注个人信息保护。近年来,随着信息技术日益运用于人们的生产生活,数据爆炸式增长,海量聚集,对经济发展、政府治理、民众生活持续产生着重大而深刻的影响,也产生了众多亟需破解的难题。所以,个人信息保护真的是非常重要且刻不容缓。
戴
跟您相比,我对个人信息保护的了解就很粗浅了。就比如说个人信息这个概念,《个人信息保护法》对于个人信息是有清晰定义的,明确个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。但这个规定要怎么具体理解呢?
卢
这里反映了个人信息应具备的两个特性,就是“可识别性”与“关联性”。可识别性就是从信息本身出发,通过这个信息或者与其他信息相结合可以识别到特定的自然人。关联性就是从信息主体出发,某一信息是否与特定自然人有关。
具体举例的话,自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮件、健康信息、行踪信息等都是个人信息。其中的生物识别信息指的是个人的人脸识别信息、指纹信息等等。
戴
所以说个人信息处理者处理这些个人信息就会受到《个人信息保护法》的制约?
卢
也不全是,个人信息保护规则有特定的适用范围,因个人或家庭事务处理个人信息,就不适用《个人信息保护法》。比如,张三当媒婆帮人牵线搭桥,将女方的联系方式和个人信息告知男方,即使女方没有事先同意,也不构成对女方个人信息的侵害。当然,张三的这一行为仍可能涉及侵犯女方的隐私权或名誉权等权益,但这与个人信息保护是不同层面的问题。
戴
卢老师举的这个例子很生动。那么在《个人信息保护法》的这个适用范围内,个人信息处理者会受到什么样的约束呢?
卢
《个人信息保护法》规定了个人信息处理的基本规则,其中最主要的就是告知同意规则。告知是指,除紧急情况和法定不需要告知的情形外,个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称和联系方式、个人信息的处理目的和方式等。同意则是指,个人信息处理者处理个人信息,应当取得个人的同意,除非存在法定许可处理的情形。
戴
明白了,通过告知同意这样的规则就能够约束个人信息处理者,防止他们随意处理自然人的个人信息。但我有个困惑的问题想请教下卢老师,现在智能手机的应用非常广泛,我去餐厅吃饭,就要求我扫码点单,很多还不是简单的扫码就可以点单的,还要注册会员,或者是微信授权登录,这个时候他们就搜集了我的联系方式等个人信息,但其实并没有事先让我同意啊。
卢
这个问题经常会遇到,也是一个很有争议的问题。我们去餐厅点餐消费,此时我们与餐厅的经营者之间就会形成一个合同关系,扫码点餐的过程就是我们表达订立合同的意思表示的过程。
戴
啊,我知道了,《个人信息保护法》规定,为订立、履行个人作为一方当事人的合同所必需处理个人信息是属于法定许可处理个人信息的范畴。所以扫码点餐中餐厅收集我的个人信息是基于法定许可范围。
卢
别着急,这要先分析,在扫码点餐的过程中收集个人的联系方式甚至是身份证件信息,是否是订立合同所必需的?
戴
点餐本身肯定是订立合同必经的过程,但扫码点餐是智能手机普及之后才产生的,现在依然有很多餐厅还是看菜单点餐,这样看的话,扫码点餐并不是订立合同必需的。
卢
是的。餐厅要求客人扫码点餐的实质是餐厅对于客人做出订餐意思表示的形式进行了限制,但餐厅与客人之间是平等的民事主体,餐厅并没有权利作出这样的限制。
戴
哈哈,是的。但是,既然说我想吃就得扫码,那是不是也意味着我只能按要求输入我的电话号码乃至身份证件,有些甚至要求我注册他们家会员,或者关注他们公众号。
卢
你已经注意到了扫码点餐和输入个人信息之间的区别。在餐厅要求扫码才能点餐时,扫码固然是点餐的必需,但这不同时意味着在扫码后要求客人输入信息也属于点餐的必需。
我们分具体情况来看,首先,扫码后要求注册会员的问题,如果餐厅要求点餐就要注册会员,他们只向会员提供餐饮服务,这种就是现在也挺多见的所谓会员店,那么你要吃,还是要注册会员。其次,我们来看看扫码后仅要求客户注册账户这种情况。扫码点餐本身是一个手机程序,程序可以知道哪些菜是哪些客人点的,如果客人没有注册账户,那么程序就无法将手机上点的菜与特定的桌号联系起来,基于这一点,注册账号是扫码点餐的一个必需步骤。
戴
现在很多扫码点餐是可以用微信账号或者支付宝账号的,比较少要求重新注册,但无论是哪一种,基本都以手机号来注册账户。这么说,餐厅是必须收集客人的手机号信息的?
卢
我认为不是。因为从技术上看,不输入手机号也不是绝对不能注册账户。我们在对于法定许可范围进行判断时,必须要遵循目的限制这一基本原则,不得过度收集个人信息。既然注册账号不必然需要手机号,那么收集手机号信息也就不符合目的限制原则了。
戴
这么说,扫码点餐时获取个人信息还是应当经过个人同意?
卢
是的。
戴
那要怎么判断个人已经同意处理信息了呢?《个人信息保护法》规定,基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。这在扫码点餐中要如何实现呢?
卢
该条规定的是同意的一般要件。这里就是三个关键词,充分知情、自愿以及明确。其中,知情是建立在告知的基础上,具体的告知内容,主要包括个人信息处理的主体是谁,处理目的是什么,处理方式和范围如何等等。
戴
原来如此。但是,我扫码点餐的时候好像从来没有看到过这种告知。
卢
扫码点餐需要通过app,那么app是有统一的例如隐私政策等文件来明确它的个人信息处理规则,这是一种统一的告知,虽然没有在每次扫码点餐的时候单独告知,但也属于已经履行了告知义务。
戴
这种情况下,虽然我没有去查看app的隐私政策文件,也是视为我知情了对吧?
卢
对的。
戴
那么在知情之后,就是同意,但在扫码点餐的时候并没有同意处理这个按钮啊?
卢
自愿、明确的同意不一定就是点击同意按钮。个人输入手机号或者允许绑定手机号的积极行为就可以反映出个人是同意app收集和存储其手机号信息的。当然,输入的行为反应不出个人允许个人信息处理者进行加工、传输、公开等更为复杂的处理,如果个人信息处理者进行了这类处理,就属于未经同意的处理。
戴
我明白了,所以我使用扫码点餐程序,输入了手机号等信息,就是我同意app收集这些信息。但说句心里话,我虽然输入了,我也不是特别自愿,只是为了吃饭这时候好像有点没办法。
卢
这点上可以向消费者权益保护法寻求帮助。消协发布的2021年十大消费维权舆情热点,就提到部分app或微信小程序过度甚至违规收集个人信息。虽然经营者和消费者是平等民事主体,但在消费过程中,消费者实际处于一个弱势地位。所以,就需要消费者权益保护法对消费者进行倾斜保护,从而达到经营者与消费者实质上的平等。手机程序过度收集个人信息有侵犯消费者隐私权的嫌疑,强制客户扫码点餐或者注册会员、输入个人信息点餐等也涉嫌侵害消费者的公平交易权。
戴
我想起来,前几天徐汇区市场监管局发布了《餐饮行业扫码点餐规范指引》,里面就规定扫码点餐不得强制要求消费者对手机号、微信号等个人信息进行注册或授权。
卢
市场监管部门是保护消费者权益的职能部门,相信类似的规定会越来越多。
戴
感谢卢老师对于扫码点餐这个问题的解答。除了扫码点餐这个问题之外,还有一个事情很多人都很关心。现在去一些公共场所例如火车站、图书馆等,甚至进小区都会进行人脸识别,一些手机程序也会收集我的人脸信息。那么,这些人脸信息的处理也应遵循告知同意规则么?
卢
人脸识别现在运用得确实是非常多,首先,人脸识别信息属于生物识别信息,属于敏感个人信息。其次,针对敏感个人信息,是有特别的信息处理规则的,只有在具有特定的目的和充分的必要性,并采取严格保密措施的情形下,个人信息处理者方可处理敏感个人信息。而且,处理敏感个人信息应当取得个人的单独同意。
戴
说到这里,我想起来,我在使用某个换脸app的时候是有让我点击同意隐私政策,但我注意到它的隐私政策里面有一条是授权app使用我的人脸信息,这个其实我还是挺怕他们乱用的,这方面有什么保护方法么?
卢
app的隐私政策属于格式条款,根据最高法院关于使用人脸识别技术处理个人信息的相关司法解释,信息处理者采用格式条款要求自然人授权其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利的,该格式条款无效。所以你可以看看具体的授权内容是不是有效。
戴
听了您的解答我放心多了。那么,与扫码点餐类似的,像火车站、图书馆甚至小区这些地方收集我的人脸识别信息好像并没有获得我的事前同意,这是属于法定许可范围么?还是我走过去,让他扫脸了就属于我同意他获取我的人脸信息。
卢
你已经把前面对扫码点餐问题的分析逻辑拿过来了,理解得很好。首先,在公共场所安装图像采集、个人身份识别设备,应当是为维护公共安全所必需,随意安装人脸识别设施是不符合目的限制原则的。在2019年杭州市发生的“人脸识别第一案”中,法院就认为杭州野生动物世界有限公司采集持有动物园年卡的原告的人脸识别信息,超出了必要原则的要求,不具有正当性。其次,如果遵守国家有关规定,设置了显著的提示标识,那么是属于法定许可收集的范围。但收集到的上述信息只用于维护公共安全目的,不允许用于其他目的的,除非取得个人的单独同意。
戴
感谢卢老师。卢老师今天从个人信息保护的适用范围开始,详细讲解了个人信息处理规则,对于扫码点餐、人脸识别等社会热点问题也做了详尽地回应,再次感谢卢老师。
卢
谢谢。
戴
以上就是今天上海一中院视频微课程的全部内容,期待与各位观众下次再见。
卢
再见。
视频:龚史伟
照片:龚史伟
值班编辑:李丹阳
初审编辑:汪菲
近期热文