欢迎访问北京强企知识产权研究院!
专利法第五条对个人信息处理的审查适用
来源:永新知识产权 日期:2023/01/17 浏览量:122

本文主要探讨专利法第5条对技术方案涉及个人信息处理的审查思路。

         在数字时代,数据是市场经济的基础性资源,通过数据赋能拉动经济增长已成为全球共识。与数据收集、存储、挖掘、利用相关的产业包括互联网、云计算、人工智能等,它们的共同特点是技术密集且迭代迅速。这些新技术在提高生产、生活的效率和便利的同时,也为公众带来个人信息泄露、算法操纵、大数据杀熟等困扰,引发了一系列社会问题。针对这些问题,近年来我国陆续颁布法律予以规制,包括网络安全法、数据安全法、个人信息保护法、民法典等,这些法律与知识产权单行法一起,共同构成审查与上述新技术相关专利申请的法律依据。在海量的数据中,个人信息关系到每个人的切身利益,同时又极具经济价值,因而获得了法律的特殊保护。本文首先简要梳理现有法律中与个人信息及个人信息处理规则相关的主要条款,再通过国家知识产权局近日作出的一份复审决定,探讨专利法第5条对技术方案涉及个人信息处理的审查思路。

一、我国法律体系中与个人信息及个人信息处理规则相关的主要条款

1.网络安全法

       网络安全法于2017年6月1日生效,是我国首部规制网络空间秩序的专门法律,主要包括网络安全等级保护、关键信息基础设施、个人信息保护、重要数据四部分内容。针对个人信息的收集和利用,网络安全法第41条第1款规定,网络运营者收集个人信息应当遵循合法、正当、必要原则、公开原则、以及“告知-同意”原则,即在收集个人信息前,个人信息处理者应向个人信息主体明示收集、使用个人信息的目的、方式和范围,并经个人信息主体同意。第41条第2款规定,网络运营者不能收集与其所提供的服务无关的个人信息,同时不得违反法律或行政法规的规定收集、使用个人信息。

2.民法典

       我国民法典于2021年1月1日生效,在总则编和人格权编都有针对个人信息保护的规定。民法典第111条规定,任何主体均应依法获取他人个人信息,不得非法收集、使用、加工、传输、买卖、提供或者公开他人的个人信息。第1034条规定,个人信息是以电子或者其他方式记录的能够单独或与其他信息结合识别特定自然人的各种信息,并对个人信息的范围进行了列举式的规定,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。第1035条规定,信息处理者处理个人信息应当遵循合法、正当、必要的原则,不得过度处理,并征得个人信息主体或其监护人的同意。

3.个人信息保护法

       个人信息保护法于2021年11月1日生效,是我国针对个人信息保护的综合性立法,在民法典确立的基础规则和框架下,构建了一套覆盖个人信息收集、利用、存储、传输的全流程制度体系。在个人信息处理规则上,基于个人信息处理活动越来越复杂的场景,个人信息保护法在网络安全法和民法典“告知-同意”原则的基础上,增加了一些无需取得个人信息主体同意的情形,包括订立、履行合同所必需,实施人力资源管理所必需,为履行法定职责或者法定义务所必需,为应对突发公共卫生事件或紧急情况下保护生命健康和财产安全所必需,为公共利益实施新闻报道等行为,在合理的范围内处理个人信息,以及在合理的范围内处理已经合法公开的个人信息等。此外,在我国的数据安全法、电子商务法、消费者权益保护法、未成年人保护法等法律中,也包含与个人信息处理规则相关的条款。上述法律均为全国人民代表大会或者全国人民代表大会常务委员会依照立法程序制定和颁布的法律,根据专利审查指南的相关规定,是国务院专利行政部门进行专利审查的法律依据。

二、涉及个人信息处理的审查案例
       在国家知识产权局近日作出的一份复审决定中,复审和无效审理部以涉案申请违反专利法第5条为由,维持了驳回决定。本案中的专利申请是一种用于公共场所的安检设备及其数据采集方法,要求保护的设备包括该类设备中常见的传送通道、X光成像单元和X光控制单元。该设备在进行安检和数据采集时的具体步骤包括:被安检的物品被X光照射后生成X光图像数据;物品主人携带的手机进入身份信息采集区域,在这个区域中有一个可被视为无线基站的身份信息获取装置,手机接收到该装置发出的无线信号后进行基站切换,在不验证基站身份的情况下与基站连接并进行注册或登录;基站接收到手机发出的应答信号,取得包括手机唯一识别码在内的用户身份信息;将获取的X光图像数据与用户身份信息进行关联,并将关联后的数据上传或存储在数据库中。本申请记载的技术方案可以被归纳为:被安检的物品被X光照射的同时,物品主人的身份信息也被获取,将身份信息与物品的X光图像数据相关联,然后存储在数据库中。根据本申请说明书的记载,该方案解决了现有技术中数据无法回溯,以及在人、物分离的情况下,即使是已知的不法分子,只要其携带的物品合法,便能进入公共场所的问题,有助于对公共安全事态进行有效的预判。
       针对该技术方案,国家知识产权局在复审决定中认为:首先,本申请中的身份信息获取装置在获取物品主人的身份信息之前,没有向物品主人告知需要收集身份信息并取得物品主人的同意,而用户的身份信息属于用户的个人信息,在未向用户明示并取得同意的情况下收集个人信息违反了《网络安全法》第22条第3款、第41条第1款,以及《民法总则》第111条的规定;其次,本申请采用基站切换的方式,强迫物品主人的手机在不验证基站身份的情况下登录基站并上传信息,剥夺了用户在特定范围内的自由通信权利,可能造成用户无法及时与外界沟通联络的间接损失;最后,身份信息获取装置获取身份信息时抢占了移动信道,使运营商无法正常向用户提供服务,会导致通信业务量下降以及运营商商业信誉受损;上述手段的应用会对公众和社会的私人信息和通讯安全等造成危害,影响国家和社会的整体安全和正常秩序,属于妨害公共利益的情形,因此本申请属于专利法第5条第1款规定的违反法律和妨碍公共利益的情况,不能被授予专利权。[1]

三、基于本案的进一步思考

1.关于专利法第5条中“法律”的范围
       根据专利审查指南的相关规定,专利法第5条中的法律是由全国人大或全国人大常委会制定、颁布的法律,不包括行政法规和规章。该规定从层级和效力上明确了专利法第5条中法律的范围,而对于法律生效时间的要求,专利法和审查指南没有明确的规定。涉案申请的申请日是2018年1月31日,该日期在民法典和个人信息保护法生效之前。或许是出于对法律生效时间的考虑,复审决定中援引的法律依据是在申请日之前已经生效的网络安全法,以及在申请日前处于生效状态,但作出复审决定时已经被并入民法典的民法总则。也就是说,复审决定是以申请日为时间节点,确定专利法第5条中法律的范围。
       笔者认为,专利法的立法目的是通过鼓励创新推动技术进步,进而促进社会发展、增进社会福祉。一件违反法律、社会公德、公共利益的专利申请,即使在技术上有所突破,也难以实现促进社会进步的目的,因此专利法第5条是实现立法目的的“守门人”。相对于第5条中的社会公德和公共利益,法律在适用时具有更高的确定性,因此在审查中应当发挥首要作用。与社会公德和公共利益不具有明确的边界,以适应社会的动态发展相同,法律在时间上的范围也应当是动态的,即专利法第5条中的法律应当不仅包括申请日前生效的法律,对于在申请日前没有生效,而在审查时已经生效的法律,也应当构成专利法第5条的审查依据。
2.基于个人信息保护法对本申请中个人信息处理方式的分析
       本申请说明书中记载的发明目的是提供一种能够系统地存储、处理安检生成的图像数据,并有效识别已知不法分子的安检设备和数据采集方法,所采取的技术手段是,在物品被安检的同时,收集物品主人的身份信息,并与物品的X光图像数据关联。本申请与现有技术的区别在于,在扫描行李和随身携带的物品的基础上,进一步收集物品主人的身份信息。由于安检设备均放置在公共场所入口处,人员进入该场所必须接受安检,因此在进行合法性分析时,应当对合法人员和不法人员进行区分。
       根据个人信息保护法的规定,收集个人信息应当具有合法基础。在本申请的技术方案中,被安检人的身份信息是在没有进行“告知-同意”的情况下被自动收集的。因此,认定该收集个人信息的技术手段是否合法,应当分析是否存在个人信息保护法所规定的其他合法基础。对于根据刑事诉讼法的要求需要采取强制措施的犯罪嫌疑人,或者根据其他法律需要追踪行踪轨迹的人员,收集其个人信息可以适用个人信息保护法第13条第(三)项,即履行法定职责所必须,因此针对这些人员的个人信息收集行为不违反法律规定。而对于其他公众,由于不具备“告知-同意”之外的其他合法基础,在其不知情的情况下收集并存储其个人信息则构成违法。本申请的说明书没有记载在安检前对被安检人进行区分的步骤,因此,本申请的技术方案收集其他公众个人信息的方式违反了个人信息保护法,同时超出了通过安检筛查危险物品的必要限度,不能被授予专利权。
3.本案对撰写包含个人信息处理的技术方案的借鉴
       目前,我国以个人信息保护法为核心的个人信息保护法律体系已经建成,形成了包含个人信息的收集、存储、利用、传输在内的完整的保护闭环。在数字化时代,衣食住行、医疗、教育、金融等等各个行业都离不开对个人信息的处理,申请人在撰写包含个人信息处理的技术方案时,应当依照法律规定审核技术方案的具体内容,将满足合法性、不妨碍社会公德和公共利益作为首要条件,在此基础上再进一步满足专利法的授权要求,否则专利申请存在因专利法第5条被驳回的风险。

四、结语

       为巩固我国在数字经济领域已经取得的成果,并进一步拓展新的竞争优势,我国十四五规划和2035年远景目标纲要提出建设与数据有关的基础制度和标准规范体系。[2]国务院2021年10月印发的《“十四五”国家知识产权保护和运用规划》进一步提出,要健全大数据、人工智能、基因技术等新领域新业态知识产权保护制度,研究构建数据知识产权保护规则。[3]由此可见,我国在十四五期间将在制度层面探索构建适合数字经济发展的知识产权保护体系。纵观历史,行业规则能否成熟落地很大程度上取决于配套的责任规则是否健全。随着我国近年来在数字领域的立法趋于完善,责任规则也随之逐步明晰,对于符合法律规定、不妨碍社会公德和公共利益,在数字技术领域作出创新或改进的发明创造将会获得较为完备的法律保护,而对于突破合法性要求的技术手段,即使在技术层面有所创新,也会被排除在保护范围之外,实现良币驱逐劣币,从制度层面为数字经济稳健发展保驾护航。

注释及参考文献

1、国家知识产权局复审请求审查决定第329166号,决定日:2022年9月21日。

2、《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》第十八章第一节、第二十章第一节,2021年3月11日第十三届全国人民代表大会第四次会议批准。

3、《“十四五”国家知识产权保护和运用规划》(国发〔2021〕20号)第三部分,发布日期2021年10月9日。

作者:于伟艳律师   从2002年起从事知识产权法律服务工作,拥有多年的实践经验,曾为索尼、IBM、宝洁、三菱电机、摩托罗拉等世界知名企业提供服务。于伟艳律师2014年加入永新,主要专注于知识产权、合同、互联网领域的法律服务,包括专利侵权诉讼、专利行政保护、专利无效、专利检索、专利侵权调查、著作权侵权诉讼、合规分析等。 

010-57297529