个人信息保护中的知情同意权

2024-03-14 来源:四川诚谨和律师事务所 作者:刘荣晶 浏览:155

  01、概述

  个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,例如自然人的姓名、出生日期、身份证件号码、生物识别信息、家庭住址、电话号码、电子邮箱、健康信息、行程信息等,不包括匿名化(“匿名化”是指个人信息经过处理无法识别特定自然人且不能复原的过程)处理后的信息。个人信息的特征在于可识别性,其客体涵盖一切直接或间接指向特定自然人的信息。

  《中华人民共和国个人信息保护法》(下称“《个人信息保护法》”)将个人信息区分为敏感个人信息和非敏感个人信息。敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。除此之外的个人信息属于非敏感个人信息。

  个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。《民法典》和《个人信息保护法》都对个人信息的处理作了规定,要求处理个人信息应当遵循合法、正当、必要、诚信、公开透明等原则,不得过度处理、非法处理,并明确了处理个人信息的四项条件:1.征得该自然人或者其监护人同意,但法律、行政法规另有规定的除外;2.公开处理信息的规则;3.明示处理信息的目的、方式和范围;4.不违反法律、行政法规的规定和双方的约定。《个人信息保护法》对此更是有详细的规定。

  02、案例

  2021年11月25日,汪某通过12306购票系统购买了一张高铁票,同日,汪某于高铁进站口持票通过自助闸机刷脸验证后进站乘车。汪某认为铁路部门在通过自助闸机采集其人脸信息时未明确告知并征求同意,且未经授权存储其人脸敏感信息,侵害了其合法权益,遂以中国铁路成都局集团有限公司(下称“成都铁路局”)为被告向人民法院提起诉讼,要求其停止违法采集个人人脸信息,并限期删除汪某的生物识别信息。

  成都铁路局出具了中国铁道科学研究院对核验闸机人连比对流程的说明,文件载明“核验过程中,通过比对二代身份证识读设备读取的证件照片和刷证时采集的乘客现场照片,确认是否为本人过闸,整个比对流程均离线完成,不保存任何照片。”

  03、最高院观点

  本案的主要争议有以下两点:

  (一)自助闸机在处理乘客个人信息的过程中是否存在传输、存储等需经乘客明确授权的处理行为?

  就自助闸机在处理个人信息的过程中是否存在传输、存储功能的争议,成都铁路运输中级法院经走访相关技术专家并向自助闸机程序设计方—中国铁道科学研究院电子所取证后,综合多项证据最终查实,自助闸机在乘客通过进站的过程中仅采集乘客的人脸信息,并不存在传输、存储及其他个人信息处理行为,不构成对个人信息安全的重大威胁。

  (二)自助闸机采集和识别乘客人脸敏感信息的行为是否违法?

  成都铁路运输中级法院认为,依据反恐怖主义法、《铁路安全管理条例》、《铁路旅客车票实名制管理办法》等有关规定,铁路运输企业有基于维护公共安全对乘客进行“票、人、证”一致核对查验的法定义务,成都铁路局使用自助实名制核验闸机,便于提高查验的精准性和便民性,并通过网站、App、车站语音提示等渠道对刷脸查验进站方式进行了介绍,已为群众所周知。铁路部门基于履行维护公共安全的法定义务,处理乘客人脸信息符合《个人信息保护法》规定的无需取得乘客个人同意的情形(《个人信息保护法》第十三条:“符合下列情形之一的,个人信息处理者方可处理个人信息:……(三)为履行法定职责或者法定义务所必需;……依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。”)。但同时法院认为,取得同意义务的免除并不免除告知义务,成都铁路局未对采集乘客人脸信息的目的、方式、信息处理等事项履行告知义务,存在告知缺陷。

  经过综合考量,成都铁路运输中级法院认为:成都铁路局为乘客提供了人工通道选择权、经过多方广告告示、未过度使用人脸信息以及告知义务缺陷对汪某某的影响和损害小等因素,告知义务的缺陷亦不足以单独构成侵权,因此法院对汪某的诉讼请求不予支持。

  04、评析

  本案为“新时代推动法治进程2023年度十大案件”候选案例之一,这也是全国首例公共交通领域使用人脸识别技术引发的个人信息侵权案件,这不仅证明了公民对于个人信息保护意识的提升,也针对维护社会公共利益和保护公民个人信息的界限给社会相关部门敲响了警钟。

  个人信息权益是一项人格权益,兼具人格利益和财产利益,国家保护个人信息的目的,不仅在于防止非法处理个人信息的行为对自然人的人格尊严、人格自由的侵害,还在于预防对个人信息的非法商业利用行为所导致的自然人的财产损失。个人信息主体对个人信息享有合法权益,任何主体对他人个人信息的非法处理都构成对个人信息的侵害,应当承担相应的法律责任。

  《个人信息保护法》对于敏感个人信息给予了严格的保护,个人信息处理者只能在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,才能处理敏感个人信息。从上述案例我们可以得知,虽然在法定情形下,处理个人信息无需征得个人信息主体的同意,但获得授权同意和履行告知义务是处理个人信息的两项规则,二者并不等同也不矛盾。

  一般而言,个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名和联系方式;个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;个人行使权利的方式和程序等事项。除此之外,还应当向个人信息主体告知处理敏感个人信息的必要性以及对个人权益的影响,这是针对个人信息处理者履行告知义务的规定,也是个人信息主体知情权的体现。对敏感个人信息的处理必须取得本人的明示同意,首先必须获得个人信息主体明确的授权,个别特殊情况下还应当获得书面同意,这是针对个人信息处理者获取授权同意的规定,也是个人信息主体同意权的体现。

  在上述案件宣判后,成都铁路运输中级法院向中国国家铁路集团有限公司发送司法建议,建议在互联网以及车站进站口以多种方式对个人信息处理进行明确告知。中国国家铁路集团有限公司于2023年8月就司法建议的整改情况正式复函,立即推动全国铁路运输企业及时采取更新网站、优化设备等措施,履行人脸信息采集告知义务。随后中国国家铁路集团有限公司进一步完善了相关告知义务,通过12306官方网站更新了隐私政策,设置了提示标志,通过提供人工通道等方式满足人民群众的知情权和选择权。

028-6199 7390

四川省成都市金牛区蜀西路46号盛大国际7栋1单元401

2019 四川诚谨和律师事务所 蜀ICP备12009100号

技术支持:律品科技