“严”字当头的《个人信息保护法》来了
△ 近年来,浙江省杭州市临安区民政局定期组织青年志愿者为老年人讲解线上支付、打车、视频聊天等常用互联网技能,让老年人享受互联网带来的便利。
当今社会,享受数字化技术便利的个体,同样也在为无所不在的数据处理感到深深不安。
“很多公司滥用优势地位,把需要用到的、用不到的信息全部收集起来,试图把包括声音、脸、虹膜等生物信息,以及个人定位、偏好习惯都统统拿走。”上海市新闵律师事务所高级合伙人庄帆在接受媒体采访时说。
发展脉络:进一步完善
在没有《个人信息保护法》之前,互联网公司对于用户数据的使用规范可以说是极为漠视。“重建数字时代每位个体的信心与信任,是数字社会实现文明、民主,以人为本的终极之问。”腾讯研究院首席数据法律政策专家王融告诉《中国报道》记者。
我国对于《个人信息保护法》的关注起始于2003年,当时的国务院信息化办公室正式部署了立法研究工作,2005年相关学者完成了《个人信息保护法(专家建议稿)》。同期,我国网络数据立法工作整体加快。
以2012年《全国人大关于加强网络信息保护的决定》为开端,《网络安全法》(2016)、《电子商务法》(2017)陆续出台。除了专门的网络法外,传统法律的制定、修订工作,也给予网络空间前所未有的关注:《消费者权益保护法(修订)》(2013)、《刑法修正案》(九)(2015)、《民法总则》(2017)、《民法典》人格权编(2020)都补充了个人信息保护相关条款。这些散落在各个法律中的条款一定程度上回应了公众的关切,但尚未全面建立起个人信息保护法律体系。
直至2018年9月,《个人信息保护法》正式纳入人大立法规划,在历经3年起草制定工作后,于2021年8月20日正式出台。自此,我国终于形成了以《网络安全法》《数据安全法》《个人信息保护法》三法为核心的网络法律体系,为数字时代的网络安全、数据安全、个人信息权益保护提供基础制度保障。
重点明确:进一步细化
《个人信息保护法》是我国首部针对个人隐私保护的法律,共8章74条。在有关法律的基础上,该法进一步细化、完善个人信息保护应遵循的原则和个人信息处理规则,明确个人信息处理活动中的权利义务边界,健全个人信息保护工作体制机制。
对个人信息和敏感个人信息进行了明确界定。什么是个人信息?《个人信息保护法》进行了明确,即“以电子或其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。而个人信息的处理,则包括了收集、存储、使用、加工、传输、提供、公开、删除等。同时,《个人信息保护法》还界定了敏感个人信息的范畴,其中包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等。
告知和同意。《个人信息保护法》强调,首先,处理个人信息,应在事先充分告知的前提下,取得个人同意,不得误导、欺诈、胁迫等;其次,不得以个人不同意为由拒绝提供产品或者服务;最后,信息处理者应当提供便捷的撤回同意的方式。
奇安信集团副总裁张庭认为,目前绝大多数网站和应用程序,在处理个人信息时,进行了告知和提醒,但由于协议很长,关键信息不醒目,很多用户可能未仔细阅读全文,就选择了同意。因此,《保护法》提出“信息处理者应当提供便捷的撤回同意”的要求,具有非常积极的意义。
对未成年人单独提出了保护措施。《个人信息保护法》明确指出,未成年人的个人信息也属于敏感个人信息。处理此类个人信息,应当取得未成年人的父母或其他监护人的同意,并制定专门的个人信息处理规则。
“将不满十四周岁未成年人的个人信息作为敏感个人信息加以保护,相关数据处理者可能需要更改内部数据分级分类的标准,对涉及不满十四周岁未成年人的个人信息进行特别保护。同时,对于面向普通公众提供产品和服务的运营者而言(如搜索服务),是否与专门针对儿童提供产品和服务的运营者在儿童个人信息保护领域的要求有所区分仍有待理论和实践的进一步探索。”中国信息通信研究院云计算与大数据研究所工程师仵姣姣分析道。
加大对侵犯个人信息行为的惩处力度。《个人信息保护法》指出,违反本法规定处理个人信息,或者处理个人信息未履行本法规的个人信息保护业务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务。对于拒不改正以及情节严重者,还会处以相关罚款。
张庭表示,《个人信息保护法》立足于维护广大人民群众的网络空间合法权益,对利用个人信息进行自动化决策作出有针对性规范,对个人信息处理者尤其是牟利者起到有效的约束和震慑作用。同样,安全厂商在这方面也需要有所作为。
针对自动化决策提出明确要求。“针对用户画像、'大数据杀熟’等问题,《个人信息保护法》立足于维护广大人民群众的网络空间合法权益,充分吸收了成熟国家标准与行业实践的内容,从算法伦理、数据获取、数据使用、风险评估和日志记录的方面对自动化决策进行了规制。”仵姣姣说。
全面规范个人信息跨境的规则。随着经济全球化、数字化的不断推进以及我国对外开放的不断扩大,个人信息的跨境流动日益频繁,但由于遥远的地理距离以及不同国家法律制度、保护水平之间的差异,个人信息跨境流动风险更加难以控制。
“《个人信息保护法》设置专章对个人信息跨境提供的规则进行了全面的规范,与《数据安全法》《网络安全法》形成了完善的法律体系衔接。”仵姣姣分析道,其中值得注意的是,在境外司法或执法机构要求提供境内个人信息时需要经过主管机关的批准。由于在实践中国际礼让原则逐渐式微,跨国企业可能会在国际诉讼中面临两难处境。因此,也有待后续立法进一步明确批准提供证据的具体主管机关、批准程序和时限等内容,更好地维护我国跨国企业在国际法律纠纷当中的利益。
强化个人信息处理者义务。个人信息处理者是个人信息保护的第一责任人。据此,个人信息保护法强调,个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。
中国方案:对全球数字治理的制度贡献
如何平衡好个人权益保护与促进数据利用的关系,始终是个人信息保护立法的核心命题。欧盟通用数据保护条例(GDPR)以“权利保护”而闻名于世,但也始终无法摆脱阻碍欧盟数字经济发展的质疑。
“尽管法律机制有着共通性,但在探索数字时代个人信息保护以及更为广泛的数据治理政策框架的道路上,并没有万能的标准答案。欧盟GDPR、美国加州《隐私法》(CCPA&CPRA),也是依据本地区的政治、文化、产业发展基础,量身定制的制度方案。”王融说。
在王融看来,中国自身的数字经济发展规模和基础,以及对未来发展的宏观愿景,都决定了在设计个人信息保护的中国方案时,有基于自身国情的特殊考量。这体现在整体上与国际规则接轨的同时,在具体机制上仍然有细微的差别。具体包括扩展了域外适用效力,但适度有限;建立了个人的权利体系,但对于仍有争议尚未看清的权利仍持谨慎态度等等,这些差异之处代表了发展中国家在数字经济议题时,对个人权利保护、数字创新发展和国家数据安全的综合平衡,也是中国在当前全球数字治理中的制度贡献。
撰文:《中国报道》记者 张利娟
图片来源:
责编:何晶