前几天,几个律师朋友坐在一起,闲聊中谈起了酒店不再刷脸的话题。住酒店不再刷脸,其实从4月中旬就开始了,但民间几乎没什么反响,完全一副局外人的心态,人们对这种微观的政策改变似乎已经无感了,其效果如同楼市各种利好政策出台,以为会立竿见影,结果却是波澜不惊。
笔者以为,这种心态可能与国民的焦虑正在升级有关,眼下人们关注的是如何在经济萧条的时代活下去,基本生存成了首要关切,至于隐私权、个体尊严这类更高阶的需求暂时无暇顾及了。疫情三年,整个社会的生气似乎已经出清了,社会整体进入了不应期。
住酒店不再刷脸当然是好事,但权力的姿态是一贯的傲慢,就一个通知了事,没有解释停止的理由,更没有对当初要求刷脸的政策检讨反省。当初开始的时候,对于这一减损公民隐私权,给公民增加负担的政策,没有听证程序,也没有给出合理的理由,当年它就那么恣意的开始了,如今它又那么随意的结束了,予取予夺全凭权力的意志,作为权利减损者和负担承受者的公民在这一过程中处于无权置喙的状态,开始时不容质疑,结束时无人在意。权力几乎没有付任何代价,以后也还会如法炮制或死灰复燃。
(一)管制型思维下增加冗余政策的产物
住酒店刷脸这个政策,一开始就不具有正当性。该政策的出台,是主导这个国家的管制型思维的产物。在这种思维指导下,会把管制秩序置于一切价值之上,不夸张地说,这种思维是今日一切问题之源。为了维护管制秩序,公民权利的减损,社会资源的投入,都可以不计代价。就跟发射卫星一样,为成功将卫星送入轨道,要给火箭增加很多保障成功的冗余设计。这些冗余设计是为应对小概率事件的,只在发生意外时起作用。
为保障高价值目标的实现,冗余设计在工程上是必要的,但这种思维模式用于社会目标的达成,则很成问题。
任何禁止性或强行性规范,终极目的当然都是着眼于保障统治者的管制秩序,住酒店刷脸这一强行性规范当然也不例外,但这种微观的规范,一定有它想达成的更具体更直接的目标,然而对于它想达成的具体直接的目标,似乎又是语焉不详的。
为了方便侦破案件和抓捕嫌犯?为了搜集大数据用于维稳?为打击藏在酒店的暗娼?为打击坏男人开房?
以上这几个具体直接的目标是笔者猜测的,以权力行事有基本的逻辑为前提。对于上述目标,有的正当性大可商榷,比如搜集大数据用于维稳,但这里不作展开。姑且先假设这些目标都有一定合理性,但一项强行性规范的出台,因为涉及到公民隐私权,涉及到增加公民负担,涉及到社会资源的投入,应该审慎,而不应该只考虑管制秩序这单一价值。政府通过强行性规范欲达成的目标应当与投入的成本呈比例。
为了侦破少数几个案件,抓捕少数几个嫌疑人,锚定少数几个权力眼里的“不安分”者,打击少数暗娼与婚内出轨,而让所有公民付出隐私权减损,增加麻烦的代价,让酒店都买一套刷脸设备,这不具有正当性。
事实上,住酒店早就实行了实名制身份登记,已经可以达成上述具体直接的目标,再要求刷脸,无非是为极少数刻意规避的人所设置,其情形就类似于工程上的冗余设计。而且这种冗余性政策,也并不能堵上一切漏洞,仍然有规避的办法。
从应然的角度,通过禁止性或强行性的规范对普通公民附加义务,减损公民的权利,只应该考虑常见和普通的情况,而不应当考虑极端或特殊的情形,否则整个社会的自由度必然大幅减少,社会的活力因之也必定会下降,最终也必然会伤害经济,而伤害了经济也就相当于减少了税收。
(二)酒店不景气才是停止刷脸的原因
谈到住酒店停止刷脸的原因,我的好朋友路国正律师认为是为了吸引外国游客而与国际接轨。而我则不敢苟同,即便有这个考虑,也应该是次要原因。一则来华的洋人一般住高档的合资酒店,这些合资酒店我高度怀疑从来就没有执行过刷脸的政策,二则我深知此地在政策执行中向来因人下菜,对洋人可能从来也没做此要求。
个人觉得这项政策的中止,主要还是生意萧条导致的,想通过停止刷脸提升一下酒店行业的生意,也顺带拉动一下各地嗷嗷待哺的旅游经济。但权力可能误解了酒店生意萧条的原因。民间是有一种说法,说刷脸打击了一些坏男人的开房行为,但实则不过是玩笑,因为刷脸并不影响开房,刷脸对开房的影响甚至不如对房间偷拍的顾虑。真正影响开房的是男人的钱包瘪了,但这仍然是次要的原因,真正的原因是经济萧条,因工作出差的机会大为减少。
而要想止住经济下滑的态势,需要改变的是主导一切的管制型思维模式,进行以自由和权利为导向的市场化法治化改革,而不是取消鸡肋一样的单一微观政策。
因此,不再刷脸虽然是好事,但对权力真正想达成的改善经济的目的,不会有实质性的帮助。
(三)已经收集的数据如何处置?如何监督?
本法第九条规定个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。
本法第十条规定任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。
该法第十七条是这样规定的:
第十七条 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
即个人信息处理者应当明确告知个人信息的保存期限。现实中,淘宝或者京东平台以及提供产品和服务的民商事主体并没有明确告知消费者,它们保存所获取的消费者个人信息的期限,在保存期限到期后如何销毁数据信息,谁来监督它们已经履行了销毁义务,谁来监督它们没有出卖收集到的信息给第三方,都很值得关注。
根据本法第第二十六条:在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
众所周知,在公共场所安装的图像采集、个人身份识别设备,是由权力机关掌控的。中国人均摄像头世界第一,政府收集了公民海量的信息。权力来自于国民的让渡和授权,它不应该是神圣不可质疑的,何况权力的执行者也都是有各种欲望的人,从应然的角度来说,现代政府的建构原则就是以对权力的不信任为逻辑前提,因此没有理由不对政府机关收集的公民的信息予以重点关注。如何监督权力没有把搜集到的数据用于其它目的或许是更有价值的课题。
本法第二十八条对敏感个人信息的处理提出了更高的要求。本条法律首先明确了敏感个人信息的范围,其包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
对于敏感个人信息的处理,第二十九条规定:处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
本法第三十一条规定:个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。
结合第二十九条、第三十条之规定,可以推导出如下结论:对于未满14周岁的未成年人,如果学校组织抽血或体检应当获得监护人的同意,否则违法,因为抽血或体检获得的信息中必然包含生物识别信息和医疗健康信息,这些都属于敏感的个人信息。
从该法第三十一条可知,处理年满14周岁未成年人的个人信息,可以无需监护人的同意。笔者以为这条规定的合理性很值得商榷,因为它没有区分个人信息的内容。
结合《民法典》第二十二条,笔者认为,对上述法条的正确适用应当做如下理解:年满14周岁的未成年人的一般个人信息,可以由未成年人自己决定是否同意对方处理。但对于涉及“生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息”,作为限制民事行为能力人,他们不能自己做主,仍然需要监护人同意。因为上述信息作为“敏感的个人信息”,其负载的利益更为重要,未成年人自己还无法理性的权衡同意的后果。
因此,学校或其它社会组织对未满18周岁的未成年人抽血或体检,应当获得监护人同意,否则即为违法。
根据本法第四十七条:有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:(一)处理目的已实现、无法实现或者为实现处理目的不再必要;(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;(三)个人撤回同意;(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;(五)法律、行政法规规定的其他情形。法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。
由此可见,个人信息处理者有义务主动删除搜集的信息,如果没有主动删除,个人有权要求删除。如果删除在技术上难以实现,应当采取必要的安全保障措施。
而且根据本法第四十八条,个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。也就是说个人有权要求信息处理者对如何处理个人信息进行解释说明。激活这一条款可以作为公民间接监督的手段。
综上,《个人信息安全法》是赋予了信息处理者不少义务的,也赋予了个人监督的一定手段,但赋予信息处理者的义务,如何规范地落到实处,相关职能部门如何监督它们履行,如何增加和畅通公民的监督,还有很多工作要做。
(四)结语
