《中華人民共和國個人信息保護法》已由中華人民共和國第十三屆全國人民代表大會常務(wù)委員會第三十次會議于2021年8月20日通過,自2021年11月1日起施行。下面我們來看看專家對個人信息保護法的解讀。
作者:丁曉東 中國人民大學(xué)未來法治研究院副院長
互聯(lián)網(wǎng)與大數(shù)據(jù)時代,個人信息保護構(gòu)成了數(shù)字社會治理與數(shù)字經(jīng)濟發(fā)展的基本法,牽動著萬千公眾的切身利益,也關(guān)涉企業(yè)對于個人信息的合理利用與規(guī)范發(fā)展。個人信息保護法自啟動立法以來,也因此受到了社會的廣泛關(guān)注。如今,個人信息保護法正式頒布,為個人信息處理活動提供了明確的法律依據(jù),為個人維護其個人信息權(quán)益提供了充分保障,為企業(yè)合規(guī)處理提供了操作指引。
整體來看,個人信息保護法構(gòu)建了完整的個人信息保護框架。其規(guī)定涵蓋了個人信息的范圍以及個人信息從收集、存儲到使用、加工、傳輸、提供、公開、刪除等所有處理過程;明確賦予了個人對其信息控制的相關(guān)權(quán)利,并確認與個人權(quán)利相對應(yīng)的個人信息處理者的義務(wù)及法律責(zé)任;對個人信息出境問題、個人信息保護的部門職責(zé)、相關(guān)法律責(zé)任進行了規(guī)定?! ?/p>
首先,個人信息保護法確認了廣義的個人信息范圍,包括以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息,這意味著絕大多數(shù)與自然人相關(guān)的信息都可以納入保護范圍,體現(xiàn)了個人信息保護法廣泛的保護范圍。同時區(qū)分了敏感個人信息,包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。將不滿十四周歲的未成年人的個人信息納入敏感個人信息范疇,加強了對未成年人個人信息保護的力度。此外,明確將匿名化處理后的信息排除在外,這表明在大力保護個人信息權(quán)益的同時,也希望個人信息處理者能夠采用匿名化等技術(shù),以保障正常的信息處理活動?! ?/p>
第二,個人信息保護法提出了處理個人信息需要遵循的原則和要求。處理個人信息不僅要滿足合法、正當、必要,還要有明確、合理的目的,同時必須采取對個人權(quán)益影響最小的方式,限于實現(xiàn)處理目的的最小范圍,遵循公開、透明的原則,保證個人信息的準確、完整性,并采取必要措施保障個人信息的安全。作為個人信息處理活動最基本的要求,這些原則貫穿于個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等各個處理環(huán)節(jié),在疑難情況或沒有具體規(guī)定時也都應(yīng)當符合原則的要求,任何組織、個人都不得非法買賣、提供或者公開他人個人信息;不得從事危害國家安全、公共利益的個人信息處理活動。
第三,個人信息保護法制定了個人信息處理的規(guī)則。原則為個人信息的處理活動提供了方向,規(guī)則則讓個人信息的具體處理活動有更具體的依據(jù)?! ?/p>
首先是處理個人信息的合法性基礎(chǔ)。個人信息保護法對“知情—同意規(guī)則”提出了明確要求。必須要保證個人的知情權(quán),明確在處理個人信息前,個人信息處理者應(yīng)當以顯著方式、清晰易懂的語言真實、準確、完整地將個人信息處理的目的、處理方式等相關(guān)事項告知個人,個人在充分知情的前提下自愿、明確作出同意。個人還有權(quán)隨時撤回其同意,并且不影響撤回前基于個人同意已進行的個人信息處理活動的效力,個人信息處理者不得以個人不同意或者撤回同意為由拒絕提供產(chǎn)品或者服務(wù),處理個人信息屬于提供產(chǎn)品或者服務(wù)所必需的除外。而基于“知情—同意規(guī)則”處理敏感個人信息的,除了需要個人的單獨同意,在告知環(huán)節(jié)還應(yīng)當向個人告知處理敏感個人信息的必要性以及對個人權(quán)益的影響?! ?/p>
處理個人信息的合法基礎(chǔ)除了個人的同意外,還有可能是其他原因,個人信息保護法第十三條規(guī)定:符合下列情形之一的,個人信息處理者方可處理個人信息:(一)取得個人的同意;(二)為訂立、履行個人作為一方當事人的合同所必需,或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需;(三)為履行法定職責(zé)或者法定義務(wù)所必需;(四)為應(yīng)對突發(fā)公共衛(wèi)生事件,或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需;(五)為公共利益實施新聞報道、輿論監(jiān)督等行為,在合理的范圍內(nèi)處理個人信息;(六)依照本法規(guī)定在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息;(七)法律、行政法規(guī)規(guī)定的其他情形。除同意以外的其他合法性基礎(chǔ)還需要考慮特定情形,符合處理個人信息的基本原則,并采取對個人權(quán)益影響最小的方式,嚴格限制對個人信息的濫用。其中,以“按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需”為企業(yè)需要處理員工的個人信息的情形提供了法律依據(jù)。因為勞動關(guān)系中從屬性的存在,員工的“同意”往往難以被認定為是自由作出,使得企業(yè)處理員工個人信息困難重重,以“按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需”作為合法基礎(chǔ)為企業(yè)處理信息預(yù)留空間的同時又有著較強的限定,可以避免企業(yè)對正當利益合法基礎(chǔ)的濫用,也體現(xiàn)了個人信息保護法嚴格的規(guī)制目標。
其次,個人信息保護法規(guī)定利用個人信息進行自動化決策,不僅要保證決策的透明度和結(jié)果的公平、公正,還要求不得對個人在交易價格等交易條件上實行不合理的差別待遇,明確否定了“大數(shù)據(jù)殺熟”等現(xiàn)象。通過自動化決策方式作出對個人權(quán)益有重大影響的決定,個人有權(quán)要求個人信息處理者予以說明,并有權(quán)拒絕個人信息處理者僅通過自動化決策的方式作出決定。如果利用自動化決策方式進行信息推送、商業(yè)營銷,還應(yīng)當同時提供不針對其個人特征的選項,或者向個人提供拒絕的方式,比如提供關(guān)閉個性化推薦的選項。
個人信息保護法還規(guī)定了個人信息跨境提供的合法性基礎(chǔ),包括通過國家網(wǎng)信部門組織的安全評估、按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構(gòu)進行個人信息保護認證、按照國家網(wǎng)信部門制定的標準合同與境外接收方訂立合同并約定雙方的權(quán)利和義務(wù)等,并且規(guī)定了中華人民共和國締結(jié)或者參加的國際條約、協(xié)定也可以作為合法基礎(chǔ)。但同時還需要注意個人信息跨境提供,個人信息處理者應(yīng)當保障境外接收方處理個人信息的活動達到本法規(guī)定的個人信息保護標準?! ?/p>
第四,個人信息保護法明確了個人信息處理活動過程中的權(quán)利和義務(wù)。賦予了個人在個人信息處理活動中的權(quán)利,包括查閱復(fù)制權(quán)、可攜帶權(quán)、更正補充權(quán)、刪除權(quán)、解釋說明權(quán)等權(quán)利。其中,可攜帶權(quán)是指當個人請求將個人信息轉(zhuǎn)移至其指定的個人信息處理者,符合國家網(wǎng)信部門規(guī)定條件的,個人信息處理者應(yīng)當提供轉(zhuǎn)移的途徑。刪除權(quán)的行使則需要在保存期限屆滿、出現(xiàn)違法違約等情況且個人信息處理者沒有主動刪除的情況下,個人才有權(quán)請求刪除。
與個人權(quán)利相對應(yīng)的是個人信息處理者的義務(wù),個人信息保護法中對個人信息處理者的職責(zé)和義務(wù)提出了嚴格的要求,應(yīng)當根據(jù)具體的處理情形采取必要的措施,并在涉及敏感個人信息、自動化決策等情形時還需在事前進行個人信息保護影響評估,如果處理個人信息數(shù)量達到國家網(wǎng)信部門規(guī)定數(shù)量的,還應(yīng)當指定個人信息保護負責(zé)人。發(fā)生或可能發(fā)生個人信息泄露、篡改、丟失時,個人信息處理者應(yīng)當立即采取補救措施,并將相關(guān)情況通知履行個人信息保護職責(zé)的部門和個人。同時,提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者還應(yīng)履行更高水平的保護義務(wù)?! ?/p>
第五,個人信息保護法規(guī)定了履行個人信息保護職責(zé)部門的職責(zé)。國家網(wǎng)信部門負責(zé)統(tǒng)籌協(xié)調(diào)個人信息保護工作和相關(guān)監(jiān)督管理工作。履行個人信息保護職責(zé)的部門需要接受、處理與個人信息保護有關(guān)的投訴、舉報,并調(diào)查、處理違法個人信息處理活動。對于個人信息處理活動有任何疑問的任何組織、個人都有權(quán)向履行個人信息保護職責(zé)的部門進行投訴、舉報。收到投訴、舉報的部門應(yīng)當依法及時處理,并將處理結(jié)果告知投訴、舉報人?! ?/p>
第六,個人信息保護法規(guī)定了相關(guān)法律責(zé)任。個人信息保護法第五十四條規(guī)定,個人信息處理者應(yīng)當定期對其個人信息處理活動遵守法律、行政法規(guī)的情況進行合規(guī)審計。這表明在未來對企業(yè)的合規(guī)審計將會成為常態(tài),不僅是事后對違法的個人信息處理活動進行調(diào)查處理,更重要的是事前的預(yù)防機制,從源頭阻止個人信息被侵害的情形發(fā)生。而一旦發(fā)生侵害個人信息的行為,將對個人信息處理者實行過錯推定原則,不能證明自己沒有過錯的就應(yīng)當承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任,這在很大程度上減輕了個人維權(quán)的難度,也給個人信息處理者的合規(guī)審計帶來了壓力和動力。如果侵害眾多個人的權(quán)益的,人民檢察院、法律規(guī)定的消費者組織和由國家網(wǎng)信部門確定的組織還可以依法向人民法院提起公益訴訟?! ?/p>
綜合而言,我國的個人信息保護法對相關(guān)制度進行了全方位的規(guī)定,體現(xiàn)了我國政府維護公民基本權(quán)益的決心,為個人信息的規(guī)范化收集與利用提供了保障。隨著幾個月后個人信息保護法的生效實施,這一數(shù)字時代的基本法也必將為我國數(shù)字社會治理與數(shù)字經(jīng)濟發(fā)展注入更為強大的動力。
作者:方禹 中國信息通信研究院互聯(lián)網(wǎng)法律研究中心主任
2021年8月20日,個人信息保護法審議出臺,將于2021年11月1日起施行。國家層面對個人信息保護問題作出重大基礎(chǔ)性法律制度安排。2016年11月審議通過的網(wǎng)絡(luò)安全法在“網(wǎng)絡(luò)信息安全”一章中對個人信息保護問題進行了規(guī)定,明確了個人信息保護的主要原則和基本規(guī)則。網(wǎng)絡(luò)安全法對于推動個人信息保護法治進程發(fā)揮了重要作用。同時,隨著信息通信技術(shù)快速發(fā)展迭代,個人信息保護問題的復(fù)雜性、緊迫性、專業(yè)性進一步凸顯,有必要制定統(tǒng)一的、專門的個人信息保護立法。
個人信息保護已經(jīng)成為廣大人民群眾最關(guān)心最直接最現(xiàn)實的利益問題之一。截至2020年12月,我國網(wǎng)民規(guī)模達9.89億,較2020年3月增長8540萬,互聯(lián)網(wǎng)普及率達70.4%。隨著“互聯(lián)網(wǎng)+”深度融合和數(shù)字經(jīng)濟快速發(fā)展,線下活動逐漸向線上轉(zhuǎn)移融合,消費互聯(lián)網(wǎng)廣泛改變?nèi)藗兊纳罘绞?,互?lián)網(wǎng)深刻改變?nèi)藗兊墓ぷ鞣绞?,網(wǎng)絡(luò)已經(jīng)與人們的生產(chǎn)生活密不可分。現(xiàn)實生活中,一些企業(yè)、機構(gòu)甚至個人,從商業(yè)利益等出發(fā),隨意收集、違法獲取、過度使用、非法買賣個人信息,利用個人信息侵擾人民群眾生活安寧、危害人民群眾財產(chǎn)安全和生命健康等問題仍十分突出。日常生活中,隨意收集個人信息的場景十分常見,免費領(lǐng)取的氣球小玩具要求掃碼關(guān)注獲取個人信息,商場停車要求微信公眾號注冊繳納停車費,餐廳點餐需要掃碼下單獲取不必要個人信息等等。人們對此司空見慣卻又頗具無奈。個人信息頻繁被收集使用,個人生活安寧被不斷侵擾,用戶合法權(quán)益得不到切實保障,甚至滋生長鏈條的黑色產(chǎn)業(yè)。個人信息保護法的出臺有效回應(yīng)了這些不規(guī)范、不合法的問題??傮w來看,個人信息保護法對個人信息保護問題作出了全面性、基礎(chǔ)性的規(guī)定,能夠有效實現(xiàn)個人信息保護法治環(huán)境。具體來看,主要包括六個方面內(nèi)容。
一是明確了個人信息保護的調(diào)整范圍。個人信息保護法第四條第一款規(guī)定,個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息,不包括匿名化處理后的信息。網(wǎng)絡(luò)安全法、民法典等對“個人信息”均有界定,基本以“識別說”為基礎(chǔ),采取的都是概括+列舉的表述方式。個人信息保護法作為專門的個人信息保護法律,在定義方式上有明顯的不同,兼具了“識別說”和“關(guān)聯(lián)說”,很大程度上反映了個人信息保護的專業(yè)性、動態(tài)性,結(jié)合個人信息處理主體多樣、處理活動復(fù)雜、個人信息類型易變的現(xiàn)實發(fā)展情況,通過內(nèi)涵和外延較為寬泛的定義方式,最大程度地保證了個人信息保護法能夠廣泛適用和穩(wěn)定適用。與此同時,第四條第二款規(guī)定,個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。數(shù)據(jù)作為新型生產(chǎn)要素,價值化釋放是數(shù)據(jù)活動的主要目的之一。個人信息在當前發(fā)展階段是價值極為豐富的數(shù)據(jù)類型,其價值化釋放需求十分強烈,而可能伴隨的個人信息權(quán)益侵害也貫穿于數(shù)據(jù)處理活動的全生命周期。個人信息保護法通過立法技巧,將有關(guān)個人信息活動統(tǒng)一為“處理”活動,以保證全法條文的有效覆蓋。相比于歐盟的《通用數(shù)據(jù)保護條例》(GDPR)所規(guī)定的數(shù)據(jù)控制者(Data Controller)和數(shù)據(jù)處理者(Data Processor),個人信息保護法僅用“個人信息處理者”一個概念表述,從比較法角度存在差異理解問題,但個人信息保護法通過委托處理(第二十一條)和轉(zhuǎn)移處理(第二十三條)兩種方式的規(guī)定,實際上充分考慮了以“數(shù)據(jù)控制者”和“數(shù)據(jù)處理者”為理解背景的場景適用。從周延性的角度來說,并無實質(zhì)不同。對于類型多樣的個人信息處理者而言,這是理解個人信息保護法適用的關(guān)鍵問題之一?! ?/p>
二是明確了個人信息處理的基本規(guī)則。首先,個人信息保護法首次在國內(nèi)法中規(guī)定了個人信息處理的合法性基礎(chǔ)(第十三條),包括用戶同意、訂立合同所必需、人力資源管理所必需、履行法定職責(zé)/義務(wù)、緊急保護、新聞報道或者輿論監(jiān)督、合理處理公開信息等多項合法性基礎(chǔ)。對于個人信息處理者而言,在以往僅有用戶同意這種唯一的合法性基礎(chǔ)之上,豐富了可以合法處理個人信息的途徑,既考慮了個人信息處理活動的合理實踐,也借鑒了成熟的國外立法經(jīng)驗。同時,個人信息保護法也妥當?shù)靥幚砹送l文的銜接,根據(jù)第十三條第二款規(guī)定,依照本法其他有關(guān)規(guī)定,處理個人信息應(yīng)當取得個人同意,但有前款第二項至第七項規(guī)定情形的,不需取得個人同意。這充分體現(xiàn)了個人信息處理活動的復(fù)雜性、多場景性,明確了除“用戶同意”以外合法處理個人信息的情形遵守其他條款的規(guī)則,保證了立法的科學(xué)性和嚴密性。其次,個人信息保護法對通過自動化決策方式處理個人信息作出了規(guī)定,回應(yīng)了廣為關(guān)注的信息繭房和大數(shù)據(jù)殺熟問題。個人信息保護法要求“利用個人信息進行自動化決策,應(yīng)當保證決策的透明度和結(jié)果公平、公正”(第二十四條第一款)。針對信息繭房問題,個人信息保護法賦予了用戶拒絕的權(quán)利,規(guī)定“通過自動化決策方式向個人進行信息推送、商業(yè)營銷,應(yīng)當同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式”(第二十四條第二款);針對大數(shù)據(jù)殺熟問題,規(guī)定“不得對個人在交易價格等交易條件上實行不合理的差別待遇”(第二十四條第一款)。實際上,在反壟斷法框架下,大數(shù)據(jù)殺熟是一種濫用市場支配地位的行為,反壟斷法已有類似的規(guī)定。個人信息保護法對此作出規(guī)定,既能在反壟斷規(guī)制以外提供新的保護路徑,也能從個人信息收集、使用的底層邏輯上應(yīng)對大數(shù)據(jù)殺熟問題。無論是信息繭房問題還是大數(shù)據(jù)殺熟,個人信息處理活動發(fā)揮著最基礎(chǔ)的支撐作用,離開個人信息數(shù)據(jù)處理,信息繭房和大數(shù)據(jù)殺熟都很難實現(xiàn)。通過對個人信息處理活動的有效規(guī)制,能夠?qū)鉀Q類似問題起到釜底抽薪的根本性作用。再次,明確了對公共場所視頻監(jiān)控活動的規(guī)則。個人信息保護法第二十六條要求“在公共場所安裝圖像采集、個人身份識別設(shè)備,應(yīng)當為維護公共安全所必需,遵守國家有關(guān)規(guī)定,并設(shè)置顯著的提示標識。所收集的個人圖像、身份識別信息只能用于維護公共安全的目的,不得用于其他目的;取得個人單獨同意的除外?!背鲇诒Wo公共安全的必要,公共場所設(shè)置攝像等設(shè)備越來越普及,也發(fā)揮了實際的效果。然而,有些攝像等設(shè)備的設(shè)置超出了維護公共安全的目的,甚至是為了私益。個人信息保護法通過該條作出了原則性規(guī)定,為后續(xù)規(guī)范相關(guān)活動提供了法律依據(jù)。最后,首次明確了處理已公開個人信息的規(guī)則。根據(jù)個人信息保護法第十三條的規(guī)定,“依照本法規(guī)定在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息”屬于合法性基礎(chǔ)之一。第二十七條對已公開的個人信息處理進行規(guī)定,明確可以在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息,但是個人明確拒絕的除外。同時,處理已公開的個人信息對個人權(quán)益有重大影響的,還應(yīng)當依照本法規(guī)定取得個人同意?! ?/p>
三是對個人在個人信息處理活動中的權(quán)利進行了充分規(guī)定。個人對其個人信息所享有的權(quán)利是個人參與個人信息保護的重要手段之一,體現(xiàn)了個人信息多元治理思路。參考以GDPR為代表的國外個人信息保護立法,賦予個人的權(quán)利種類基本一致。個人信息保護法進行了科學(xué)、充分的立法借鑒。通過原則性條款明確了個人對其個人信息的處理享有知情權(quán)、決定權(quán),有權(quán)限制或者拒絕他人對其個人信息進行處理(第四十四條)。具體規(guī)定了查閱、復(fù)制權(quán),可攜帶權(quán)(第四十五條),更正權(quán)(第四十六條),刪除權(quán)(第四十七條),請求解釋權(quán)(第四十八條)。對于自然人死亡的,也明確了其近親屬行使相關(guān)權(quán)利的規(guī)定(第四十九條)。比較而言,個人信息保護法對個人在個人信息處理活動中享有的權(quán)利作了比較充分的規(guī)定,除了對國際國內(nèi)普遍存在爭議的“被遺忘權(quán)”未作明確規(guī)定以外,基本和國外立法相一致。值得注意的是,個人信息保護法中所稱“權(quán)利”,有別于民法體系中的民事權(quán)利,并未對個人信息進行權(quán)利化規(guī)定,而是強調(diào)了“在個人信息處理活動中的”權(quán)利。
四是規(guī)定了個人信息處理者的義務(wù)。個人信息處理者的義務(wù)可以理解為個人信息處理的操作規(guī)范和手冊。對于個人信息處理者而言,是需要非常熟悉并逐一對照遵守的部分。個人信息保護是一種合規(guī)性狀態(tài),而非一種目標性結(jié)果,需要個人信息處理者持續(xù)投入成本、資源以維持合法、合理的個人信息保護水平。個人信息保護法第五十一條對個人信息處理者的義務(wù)進行了概括性規(guī)定,包括:(一)制定內(nèi)部管理制度和操作規(guī)程;(二)對個人信息實行分類管理;(三)采取相應(yīng)的加密、去標識化等安全技術(shù)措施;(四)合理確定個人信息處理的操作權(quán)限,并定期對從業(yè)人員進行安全教育和培訓(xùn);(五)制定并組織實施個人信息安全事件應(yīng)急預(yù)案;(六)法律、行政法規(guī)規(guī)定的其他措施??傮w而言,個人信息處理者按照這幾項持續(xù)推進內(nèi)部個人信息保護工作就能符合合規(guī)要求,具體可以根據(jù)企業(yè)規(guī)模大小、服務(wù)性質(zhì)、技術(shù)水平等選擇更為符合自身情況的相應(yīng)措施。除了第五十一條規(guī)定,個人信息保護法還規(guī)定了合規(guī)審計(第五十四條)、泄露通知(第五十七條)等要求。在一般性要求的基礎(chǔ)上,個人信息保護法還作了一些特殊規(guī)定,一是對于處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者,要求指定個人信息保護負責(zé)人(第五十二條);二是對于境外個人信息處理者,要求在中國境內(nèi)設(shè)立專門機構(gòu)或者指定代表(第五十三條);三是特定情形下應(yīng)當進行個人信息保護影響評估,主要是一些高風(fēng)險情形,包括處理敏感個人信息、自動化決策、委托處理、向他人/境外提供、公開個人信息等(第五十五條);四是規(guī)定了“守門人”義務(wù),對于提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者(可以理解為“守門人”或是大型互聯(lián)網(wǎng)平臺)還應(yīng)當履行更高水平的義務(wù),要求成立外部獨立監(jiān)督機構(gòu)、制定平臺規(guī)則、阻斷違法活動、定期發(fā)布履責(zé)報告等(第五十八條)。
五是確定了履行個人信息保護職責(zé)的部門及其職責(zé)。個人信息保護法對個人信息保護體制進行了明確安排(第六十條)。從橫向來看,由國家網(wǎng)信部門負責(zé)統(tǒng)籌協(xié)調(diào)個人信息保護工作和相關(guān)監(jiān)督管理工作,國務(wù)院有關(guān)部門依照本法和有關(guān)法律、行政法規(guī)的規(guī)定,在各自職責(zé)范圍內(nèi)負責(zé)個人信息保護和監(jiān)督管理工作。從縱向來看,縣級以上地方人民政府有關(guān)部門按照國家有關(guān)規(guī)定確定個人信息保護和監(jiān)督管理職責(zé)。根據(jù)第六十條規(guī)定,個人信息保護將按照統(tǒng)籌協(xié)調(diào)加協(xié)抓共管的思路,構(gòu)建跨部門、跨行業(yè)、跨領(lǐng)域監(jiān)管體制機制,能夠很好地適應(yīng)個人信息保護工作的特點。管理層級上,可以結(jié)合情況構(gòu)建國家、?。▍^(qū)、市)、地級市、縣四級管理體系。同時,個人信息保護法對履行個人信息保護職責(zé)的部門的職責(zé),國家網(wǎng)信部門的統(tǒng)籌協(xié)調(diào)職能進行了列舉式規(guī)定(第六十一條、第六十二條)?! ?/p>
六是規(guī)定了較為嚴厲的法律責(zé)任。個人信息處理活動涉及面廣、情況復(fù)雜、主體多樣、隱蔽性強,一旦發(fā)生侵害個人信息權(quán)益的行為,往往會對社會層面造成較為嚴重的后果,甚至有些損害結(jié)果難以顯性化察覺,監(jiān)管成本比較高,行政資源消耗比較大。根據(jù)國外經(jīng)驗以及個人信息保護本身的特點,苛以較為嚴厲的法律責(zé)任符合法理邏輯。行政責(zé)任方面,個人信息保護法設(shè)置了全面的行政處罰手段,包括警告、沒收違法所得、罰款(包括對單位和責(zé)任人員)、責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、吊銷許可或者營業(yè)執(zhí)照。其中,對于違法處理個人信息的應(yīng)用程序,可以責(zé)令暫?;蛘呓K止提供服務(wù)。罰款的最高數(shù)額可達五千萬元人民幣或者上一年度營業(yè)額的百分之五。此外還規(guī)定了信用懲戒以及對擔(dān)任企業(yè)董事、監(jiān)事、高級管理人員和個人信息保護負責(zé)人的從業(yè)禁止等。民事責(zé)任方面,規(guī)定了過錯推定原則,處理個人信息侵害個人信息權(quán)益造成損害,個人信息處理者不能證明自己沒有過錯的,應(yīng)當承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任(第六十九條)?! ?/p>
縱觀個人信息保護法全文,其保護不可謂之不充分,其考慮不可謂之不全面,準確把握了網(wǎng)絡(luò)發(fā)展的規(guī)律和特點,回應(yīng)了個人權(quán)益保護的迫切需求。個人信息保護立法過程中一直承載著各方高度關(guān)注和殷切希望。從一審稿到二審稿到最終出臺,不斷得到完善,廣泛得到各方認可和好評,反映了我國對個人信息保護法治工作認真、負責(zé)的態(tài)度。個人信息保護法的出臺,并不意味著個人信息保護工作的剛剛開始,實際上我國個人信息保護工作已經(jīng)深入開展了相當長的時間。而個人信息保護法的出臺標志著我國進入了更高水平的個人信息保護的法治時代,這也正是給所有身處網(wǎng)絡(luò)時代生活的人們最關(guān)心最直接最現(xiàn)實的利益問題的最好法律答案。
作者:程嘯 清華大學(xué)法學(xué)院副院長、教授、博士生導(dǎo)師
2021年8月20日,第十三屆全國人大常委會第三十次會議審議通過了《中華人民共和國個人信息保護法》,它是我國第一部個人信息保護方面的專門法律。個人信息保護法的頒行極大地加強我國個人信息保護的法治保障,在個人信息保護方面形成了更加完備的制度、提供了更有力的法律保障;個人信息保護法以嚴密的制度、嚴格的標準、嚴厲的責(zé)任規(guī)范個人信息處理活動,規(guī)定了完備的個人在個人信息處理活動中的權(quán)利,全方位落實各類組織、個人等個人信息處理者的義務(wù)與責(zé)任,有力地維護了網(wǎng)絡(luò)空間良好生態(tài),滿足人民日益增長的美好生活需要;個人信息保護法科學(xué)地協(xié)調(diào)個人信息權(quán)益保護與個人信息合理利用的關(guān)系,建立了權(quán)責(zé)明確、保護有效、利用規(guī)范的個人信息處理規(guī)則,從而在保障個人信息權(quán)益的基礎(chǔ)上,促進了包括個人信息在內(nèi)的數(shù)據(jù)信息的自由安全的流動與合理有效的利用,推動了數(shù)字經(jīng)濟的健康發(fā)展。
個人信息保護法,顧名思義,就是保護個人信息的法律,也就是保護個人信息權(quán)益的專門法律。個人信息權(quán)益是自然人針對個人信息享有的受到法律保護的權(quán)益。保護個人信息權(quán)益是我國個人信息保護法的重要立法目的,該法第一條就明確規(guī)定,為了保護個人信息權(quán)益,規(guī)范個人信息處理活動,促進個人信息合理利用,根據(jù)憲法,制定本法。第2條再次明確“自然人的個人信息受法律保護,任何組織、個人不得侵害自然人的個人信息權(quán)益?!睘榱藢崿F(xiàn)對個人信息權(quán)益的全面的、充分的保護,個人信息保護法作出了如下系統(tǒng)全面、科學(xué)細致的規(guī)定?! ?/p>
1.確立了個人信息處理活動應(yīng)當遵循的基本原則,包括合法、正當、必要、誠信、目的限制、最小必要、質(zhì)量、責(zé)任等原則。這些原則的根本目的就是要規(guī)范個人信息處理者的處理活動,保護個人信息權(quán)益。例如,依據(jù)第6條所確立的目的限制原則,處理個人信息應(yīng)當具有明確、合理的目的,并應(yīng)當與處理目的直接相關(guān),采取對個人權(quán)益影響最小的方式。收集個人信息,應(yīng)當限于實現(xiàn)處理目的的最小范圍,不得過度收集個人信息。無論什么樣的個人信息處理者為了何種處理目的,以何種方式實施個人信息處理活動,都應(yīng)當遵循這些基本原則。不僅如此,調(diào)整規(guī)范個人信息處理活動的法規(guī)規(guī)章,也不能違反這些基本原則?! ?/p>
2.詳細規(guī)定告知同意規(guī)則,明確了個人信息處理者處理個人信息前,必須以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知法律規(guī)定的事項,除非法律、行政法規(guī)規(guī)定應(yīng)當保密或者不需要告知,或者告知將妨礙國家機關(guān)履行法定職責(zé)。如果個人信息處理者是基于個人同意而處理個人信息的,那么個人的同意必須是個人在充分知情的前提下自愿、明確地作出,個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由,拒絕提供產(chǎn)品或者服務(wù)?! ?/p>
3.對于社會普遍關(guān)注的“大數(shù)據(jù)殺熟”“人臉識別”等問題,明確要求個人信息處理者保證自動化決策的透明度和結(jié)果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。如果通過自動化決策方式作出對個人權(quán)益有重大影響的決定,個人有權(quán)要求個人信息處理者予以說明,并有權(quán)拒絕個人信息處理者僅通過自動化決策的方式作出決定。在公共場所安裝圖像采集、個人身份識別設(shè)備,應(yīng)當為維護公共安全所必需,遵守國家有關(guān)規(guī)定,并設(shè)置顯著的提示標識。所收集的個人圖像、身份識別信息只能用于維護公共安全的目的,不得用于其他目的,除非取得個人單獨同意?! ?/p>
4.界定了敏感個人信息并給予非常嚴格的保護。敏感個人信息,即一旦泄露或者非法使用,容易導(dǎo)致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。依據(jù)個人信息保護法的規(guī)定,只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,個人信息處理者方可處理敏感個人信息。同時,處理敏感個人信息應(yīng)當取得個人的單獨同意,處理不滿十四周歲未成年人個人信息的,應(yīng)當取得未成年人的父母或者其他監(jiān)護人的同意?! ?/p>
5.專章規(guī)定了個人在個人信息處理活動中的權(quán)利。個人在個人信息處理活動中的權(quán)利屬于手段性權(quán)利或救濟性權(quán)利,規(guī)定這些權(quán)利的目的就是為了保護自然人的個人信息權(quán)益。個人信息保護法在網(wǎng)絡(luò)安全法、民法典的規(guī)定的基礎(chǔ)上,立足于我國個人信息保護實踐的要求,吸收借鑒比較法上的優(yōu)秀成果,對個人在個人信息處理活動中的權(quán)利作出了系統(tǒng)全面的規(guī)定,規(guī)定了個人在個人信息處理活動中享有:對個人信息處理的知情權(quán)與決定權(quán)、查閱復(fù)制權(quán)、可攜帶權(quán)、更正補充權(quán)、刪除權(quán)、解釋說明權(quán)等。此外,為了維護死者的近親屬的合法、正當利益,個人信息保護法還規(guī)定,自然人死亡的,其近親屬為了自身的合法、正當利益,可以對死者的相關(guān)個人信息行使本章規(guī)定的查閱、復(fù)制、更正、刪除等權(quán)利;死者生前另有安排的除外?! ?/p>
6.對個人信息處理者的義務(wù)作出了集中、詳細的規(guī)定,構(gòu)建了完整的義務(wù)體系。這些義務(wù)包括:個人信息處理者采取措施確保個人信息處理活動合法并保護個人信息安全的義務(wù);按照規(guī)定指定個人信息保護負責(zé)人的義務(wù);定期進行合規(guī)審計的義務(wù);對于高風(fēng)險個人信息處理活動進行個人信息保護影響評估并對處理情況進行記錄的義務(wù);在發(fā)生或可能發(fā)生個人信息泄露等安全事件時立即采取補救措施并通知監(jiān)管機構(gòu)和個人的義務(wù);提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者負有的“守門人義務(wù)”?! ?/p>
7.對于違法處理個人信息或者沒有履行法律規(guī)定的個人信息保護義務(wù)的行為規(guī)定了嚴格的行政處罰,如對于違法行為情節(jié)嚴重的,沒收違法所得,并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款,并可以責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、通報有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營業(yè)執(zhí)照等。對直接負責(zé)的主管人員和其他直接責(zé)任人員處十萬元以上一百萬元以下罰款,并可以決定禁止其在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事、高級管理人員和個人信息保護負責(zé)人。再如,對于違反個人信息保護法的違法行為的,明確了依照有關(guān)法律、行政法規(guī)的規(guī)定記入信用檔案,并予以公示。
8.規(guī)定了科學(xué)合理的民事責(zé)任制度以及民事公益訴訟。依據(jù)個人信息保護法的規(guī)定,處理個人信息侵害個人信息權(quán)益造成損害,個人信息處理者不能證明自己沒有過錯的,應(yīng)當承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。侵害個人信息權(quán)益造成損害的損害賠償責(zé)任按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定;個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的,根據(jù)實際情況確定賠償數(shù)額。在個人信息處理者違反個人信息保護法規(guī)定處理個人信息,侵害眾多個人的權(quán)益時,人民檢察院、法律規(guī)定的消費者組織和由國家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟。
作者:吳沈括 北京師范大學(xué)網(wǎng)絡(luò)法治國際中心執(zhí)行主任、博導(dǎo),中國互聯(lián)網(wǎng)協(xié)會研究中心副主任
2021年8月20日,廣受中外關(guān)注的《中華人民共和國個人信息保護法》由十三屆全國人大常委會第三十次會議正式通過,這翻開了我國個人信息立法保護的歷史新篇章,也是全球個人信息法治發(fā)展的重大里程碑。
就個人信息保護法出臺的時代背景而言,有著豐富的國際國內(nèi)蘊涵:一方面,隨著數(shù)字經(jīng)濟的蓬勃發(fā)展,世界各國日益重視個人信息的多重價值屬性,紛紛出臺個人信息保護的專門立法。從歐盟《一般數(shù)據(jù)保護條例》、美國《加州消費者隱私保護法案》到日本、韓國、巴西、印度乃至阿聯(lián)酋等國新近出臺的諸多法律文件,無不透射出個人信息保護的重要戰(zhàn)略意義,可以說個人信息法律保護已經(jīng)成為衡量一國法治文明和法治水平的重要指針。
另一方面,當下我國正處于全面數(shù)字化轉(zhuǎn)型的高質(zhì)量發(fā)展新階段,在新技術(shù)新應(yīng)用層出不窮的生態(tài)語境下,個人信息的處理已經(jīng)成為社會進步和產(chǎn)業(yè)升級新的驅(qū)動力,而廣大民眾對于加大個人信息保護力度也有著空前的關(guān)切和期待,可以說個人信息保護法的制定頒布是保障公民個人信息權(quán)益、促進個人信息合理利用的必然舉措?! ?/p>
個人信息保護法全文以總計8章74條的篇幅,在總則、個人信息處理規(guī)則、個人信息跨境提供的規(guī)則、個人在個人信息處理活動中的權(quán)利、個人信息處理者的義務(wù)、履行個人信息保護職責(zé)的部門、法律責(zé)任以及附則等多個層面設(shè)計和建構(gòu)個人信息保護的立法框架,在條文內(nèi)容上反映了立法者吸收接軌國際立法、探索開創(chuàng)中國路徑的制度努力,特別是在規(guī)范設(shè)計上呈現(xiàn)了眾多亮點:
第一,個人信息保護法以“告知—同意”機制為核心邏輯建構(gòu)覆蓋個人信息處理全生命周期的規(guī)則框架,強化保障自然人的自主權(quán)利,同時注重與其他重要利益包括國家安全以及公共利益等的平衡協(xié)調(diào),例如針對各類不同的具體場景設(shè)定告知或者同意的例外規(guī)則?! ?/p>
尤其是個人信息保護法從個人信息處理的一般規(guī)則到敏感個人信息處理的特殊規(guī)則,乃至個人信息跨境提供的單獨規(guī)則設(shè)定,無不反映了立法者對于個人權(quán)益的著重保護,以及對于各利益相關(guān)方多樣訴求的兼容權(quán)衡,并通過系統(tǒng)的個人權(quán)利內(nèi)容以及個人信息處理者義務(wù)相關(guān)規(guī)定予以全面的細化落實,切實貫徹保護個人信息權(quán)益與促進個人信息合理利用的雙重立法目的。
第二,個人信息保護法通過明確規(guī)定履行個人信息保護職責(zé)的部門的權(quán)限分工進一步提升個人信息權(quán)益的保護水平。從國家網(wǎng)信部門、國務(wù)院有關(guān)部門到縣級以上地方人民政府有關(guān)部門的職責(zé)內(nèi)容與執(zhí)法方式等細化規(guī)定都將有力推動個人信息處理活動監(jiān)管機制的革新完善?! ?/p>
在職責(zé)內(nèi)容上,個人信息保護法明確賦予履行個人信息保護職責(zé)的部門接受、處理與個人信息保護有關(guān)的投訴、舉報以及調(diào)查、處理違法個人信息處理活動等執(zhí)法權(quán)限,同時在執(zhí)法方式上,個人信息保護法明文規(guī)定履行個人信息保護職責(zé)的部門可以采取詢問、調(diào)查、查閱、復(fù)制、現(xiàn)場調(diào)查以及查封、扣押等措施,兩者共同保障個人信息處理活動的法治化、機制化監(jiān)管。
第三,個人信息保護法注重發(fā)揮國家、社會、企業(yè)和個人等不同主體的協(xié)同作用,打造個人信息保護領(lǐng)域的多方共享共治模式。個人信息保護法特別強調(diào)國家建立健全個人信息保護制度,預(yù)防和懲治侵害個人信息權(quán)益的行為,加強個人信息保護宣傳教育,推動形成政府、企業(yè)、相關(guān)行業(yè)組織和社會公眾共同參與個人信息保護的良好環(huán)境,為促進個人信息合理利用奠定堅實的、可持續(xù)的生態(tài)基礎(chǔ)。
更進一步而言,個人信息保護法還對當下我國民眾的諸多現(xiàn)實關(guān)切做出了及時、有效的回應(yīng),提出了具有鮮明時代印記與中國特色的規(guī)則安排:
其一,針對目前多發(fā)的個人信息泄露事件,個人信息保護法明確規(guī)定個人信息處理者的義務(wù)規(guī)則,要求其立即采取補救措施,并且面向履行個人信息保護職責(zé)的部門和個人通知個人信息泄露的原因、丟失的個人信息種類和可能造成的危害、已采取的補救措施以及個人可以采取的減輕危害的措施等重要事項?! ?/p>
其二,針對日益普遍的自動化決策應(yīng)用,個人信息保護法明確要求保證決策的透明度和結(jié)果公平、公正,并賦予個人相關(guān)的知情權(quán)和拒絕權(quán),特別是在通過自動化決策方式向個人進行信息推送、商業(yè)營銷的應(yīng)用場景中,有權(quán)同時獲得不針對其個人特征的選項或者拒絕的途徑?! ?/p>
其三,針對廣泛存在的已公開個人信息的利用問題,個人信息保護法專門規(guī)定個人信息處理者可以在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息,而個人對此有權(quán)明確拒絕,并且如果個人信息處理者處理已公開的個人信息對個人權(quán)益有重大影響的,仍然應(yīng)當依法取得個人同意?! ?/p>
“潮平兩岸闊,風(fēng)正一帆懸?!笨梢云诖?,在個人信息保護法科學(xué)、系統(tǒng)、全面的頂層設(shè)計之下,后續(xù)隨著監(jiān)管執(zhí)法舉措的不懈推進、司法裁判規(guī)則的不斷豐富、多方參與共治的持續(xù)培育以及國際交流合作的深入開展,置身代碼世界的廣大人民群眾將長久擁抱個人信息合法權(quán)益受保護、個人信息處理活動受規(guī)范、個人信息合理利用受促進的數(shù)字治理新生態(tài)。
作者:許可 對外經(jīng)濟貿(mào)易大學(xué)數(shù)字經(jīng)濟與法律創(chuàng)新研究中心執(zhí)行主任
醞釀多年的《中華人民共和國個人信息保護法》終于在2021年8月20日出臺,作為“百年未有之大變局”的制度回應(yīng),個人信息保護法外引域外立法智慧,內(nèi)接本土實務(wù)經(jīng)驗,熔“個人信息權(quán)益”的私權(quán)保護與“個人信息處理”的公法監(jiān)管于一爐,統(tǒng)合私主體和公權(quán)力機關(guān)的義務(wù)與責(zé)任,兼顧個人信息保護與利用,奠定了我國網(wǎng)絡(luò)社會和數(shù)字經(jīng)濟的法律之基。為了充分理解個人信息保護法的內(nèi)涵,我們不妨從世界維度與中國維度著眼,以展現(xiàn)其深遠意義。
順應(yīng)世界潮流
個人信息保護的立法可追溯至德國黑森州1970年《資料保護法》。此后,瑞士(1973)、法國(1978)、挪威(1978)、芬蘭(1978)、冰島(1978)、奧地利(1978)、冰島(1981)、愛爾蘭(1988)、葡萄牙(1991)、比利時(1992)等國的個人信息保護法亦景從云集。在大西洋彼岸,1973年美國發(fā)布“公平信息實踐準則”報告,確立了處理個人信息處理的五項原則:(1)禁止所有秘密的個人信息檔案保存系統(tǒng);(2)確保個人了解其被收集的檔案信息是什么,以及信息如何被使用;(3)確保個人能夠阻止未經(jīng)同意而將其信息用于個人授權(quán)使用之外的目的,或者將其信息提供給他人,用作個人授權(quán)之外的目的;(4)確保個人能夠改正或修改關(guān)于個人可識別信息的檔案;(5)確保任何組織在計劃使用信息檔案中的個人信息都必須是可靠的,并且必須采取預(yù)防措施防止濫用。在“公平信息實踐準則”所奠定的個人信息保護基本框架之上,美國《消費者網(wǎng)上隱私法》《兒童網(wǎng)上隱私保護法》《電子通訊隱私法案》《金融服務(wù)現(xiàn)代化法》(GLB)《健康保險流通與責(zé)任法》(HIPAA)《公平信用報告法》相繼出臺。
進入21世紀,在數(shù)字化浪潮的推動下,個人信息保護的立法陡然加速。2000到2010年,共有40個國家頒布了個人信息保護法,是前10年的兩倍,而2010年到2019年,又新增了62部個人信息保護法,比以往任何10年都要多。延續(xù)這一趨勢,截至2029年將會有超過200個國家或地區(qū)擁有個人信息保護法?! ?/p>
我國個人信息保護法正是此歷史進程中的重要一環(huán)。回顧過往,世界個人信息保護法迄今已經(jīng)歷了三代。第一代以經(jīng)合組織1980年《關(guān)于隱私保護與個人數(shù)據(jù)跨境流通指引》和1981年歐洲理事會《有關(guān)個人數(shù)據(jù)自動化處理之個人保護公約》為起點。第二代以歐盟1995年《個人數(shù)據(jù)保護指令》為代表,其在第一代原則的基礎(chǔ)上加入了包括“數(shù)據(jù)最少夠用”“刪除”“敏感信息”“獨立的個人信息保護機構(gòu)”等要素。第三代即為2018年生效的歐盟《通用數(shù)據(jù)保護條例》(GDPR)。與第二代相比,GDPR大大拓展了信息主體權(quán)利,并確立了一系列新的保護制度。我國個人信息保護法采取“拿來主義、兼容并包”的方法,會通各國立法,借鑒世界第三代個人信息保護法的先進制度,鑄就熨帖我國國情的規(guī)則設(shè)計。這主要體現(xiàn)在:
其一,在體例結(jié)構(gòu)上,將私營部門處理個人信息和國家機關(guān)處理個人信息一體規(guī)制,除明確例外規(guī)則外,確保遵循個人信息保護的同一標準?;诖耍瑐€人信息保護法兩線作戰(zhàn),即直面企業(yè)超采、濫用用戶個人信息的痼疾,又防范行政部門違法違規(guī)處理個人信息的問題,最大限度地保護個人信息權(quán)益。其二,在管轄范圍上,個人信息保護法統(tǒng)籌境內(nèi)和境外,賦予必要的域外適用效力,以充分保護我國境內(nèi)個人的權(quán)益。其三,在“個人信息”認定上,采取“關(guān)聯(lián)說”,將“與已識別或者可識別的自然人有關(guān)的各種信息”均囊括在內(nèi)。其四,在個人信息權(quán)益上,不僅賦予個人查詢權(quán)、更正權(quán)、刪除權(quán)、自動化決策的解釋權(quán)和拒絕權(quán)以及有條件的可攜帶權(quán)等“具體權(quán)利”,而且從中升華為“個人對其個人信息處理的知情權(quán)、決定權(quán),限制或者拒絕他人對其個人信息進行處理”的“抽象權(quán)利”,由此形成法定性和開放性兼?zhèn)涞膫€人信息權(quán)益體系。其五,在個人信息跨境上,采取安全評估、保護認證、標準合同等多元化的出境條件。其六,在大型平臺監(jiān)管上,對“重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者”苛以“看門人”義務(wù),完善個人信息治理。
貢獻中國智慧
我國個人信息保護法決不只是回應(yīng)世界潮流之舉,事實上,它也是我國法律體系自我完善、自我發(fā)展的必然結(jié)果。從2018年9月個人信息保護法被納入“十三屆全國人大常委會立法規(guī)劃”,位列“條件比較成熟、任期內(nèi)擬提請審議”的69部法律草案之中,到如今個人信息保護法正式頒行,看起來不過歷時三載,但追根溯源,距離2012年《全國人大常委會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》已有10年,距離2003年國務(wù)院信息化辦公室部署個人信息保護法立法研究工作已有18年。在近20年的進程中,我國個人信息保護規(guī)范日漸豐茂,網(wǎng)絡(luò)安全法、新修訂的消費者權(quán)益保護法、電子商務(wù)法、刑法修正案九、民法典等對個人信息保護作出了相應(yīng)規(guī)定,及時回應(yīng)了國家、社會、個人對個人信息保護的關(guān)切。然而,這種分散式的立法,也面臨著體系性和操作性欠缺、權(quán)利救濟和監(jiān)管措施不足的困境,正因如此,一部統(tǒng)一的個人信息保護法正當其時?! ?/p>
任何法律都是特定時空下社會生活和國家秩序的規(guī)則,個人信息保護法概莫能外。我國個人信息保護法以現(xiàn)實問題為導(dǎo)向,以法律體系為根基,統(tǒng)籌既有法律法規(guī),體察民眾訴求和時代需求,將之挖掘、提煉、表達為具體可感、周密詳實的法律規(guī)則,以維護網(wǎng)絡(luò)良好生態(tài),促進數(shù)字經(jīng)濟發(fā)展。我國個人信息保護法的中國智慧和中國方案包括但不限于:
其一,在法律淵源上,將個人信息保護上溯至憲法,經(jīng)由憲法第33條第三款“國家尊重和保障人權(quán)”、第38條“中華人民共和國公民的人格尊嚴不受侵犯”、第40條“中華人民共和國公民的通信自由和通信秘密受法律的保護”,宣誓、夯實、提升了個人信息權(quán)益的法律位階。其二,在立法目的上,將“保護個人信息權(quán)益”和“促進個人信息合理利用”作為并行的規(guī)范目標,秉持“執(zhí)其兩端,用其中于民”的理念,滿足人們對美好生活的向往。為此,個人信息保護法拓展了民法典“知情同意+免責(zé)事由”的規(guī)則設(shè)計,采取了包括個人同意、訂立和履行合同、履行法定職責(zé)和法定義務(wù)、人力資源管理、突發(fā)公共衛(wèi)生事件應(yīng)對、公開信息處理、新聞報道、輿論監(jiān)督等多元正當性基礎(chǔ)。其三,在規(guī)范主體上,將“個人信息處理者”作為主要義務(wù)人,將“接受委托處理個人信息的受托人”作為輔助人,承擔(dān)一定范圍內(nèi)的個人信息安全保障義務(wù)。其四,在保護程度上,對于未成年人的個人信息、特定身份、行蹤軌跡、生物識別等信息予以更高力度的保護。其五,在適用場景上,對于“差別化定價”“個性化推送”“公共場所圖像采集識別”等社會反映強烈的問題,予以專門規(guī)制;開展公開或向第三方提供個人信息、處理敏感個人信息、個人信息出境等高風(fēng)險處理活動的,應(yīng)當取得個人的“單獨同意”。其六,在監(jiān)管體制上,個人信息保護法采取了“規(guī)則制定權(quán)相對集中,執(zhí)法權(quán)相對分散”的架構(gòu),由國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門制定個人信息保護具體規(guī)則、標準,國務(wù)院有關(guān)部門在各自職責(zé)范圍內(nèi)負責(zé)個人信息保護和監(jiān)督管理工作?! ?/p>
“十年辛苦不尋常”,我國個人信息保護法是過往世界經(jīng)驗和中國智慧的結(jié)晶。但同時,“徒法不足以自行”,在立法大功告成之后,個人信息保護法還有待司法和執(zhí)法的后續(xù)接力,才能真正落地生根,最終成為護持個人權(quán)益、激勵穩(wěn)健發(fā)展、連接國家命運的數(shù)字時代基本法。從出臺到實施,個人信息保護法依然任重而道遠。
來源:“網(wǎng)信中國”微信公眾號 中國人大網(wǎng)
及時掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)
【網(wǎng)絡(luò)安全監(jiān)管部門】免費試用
本文來源:網(wǎng)信中國”微信公眾號 中國網(wǎng)絡(luò)空間安全協(xié)會
如涉及侵權(quán),請及時與我們聯(lián)系,我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話:400-869-9193 負責(zé)人:張明