王环环
随着互联网信息技术的不断深入发展,人工智能等新兴技术日渐融入人们生活的各个角落,个人信息被大面积采集与处理已成为普遍现象。与此同时,“大数据杀熟”、个人隐私信息泄露等问题也随之凸显出来,由此而引发的网络诈骗等事件更是层出不穷,个人信息安全遭遇了极大的威胁。信息化时代,如何保护个人的信息安全,成为时下亟需思考的命题。
2021年8月20日,十三届全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),并将于2021年儿月1日起实施。《个人信息保护法》的通过,于个人信息保护而言,意义重大。《个人信息保护法》共8章74条,以严密的制度、严格的标准、严厉的责任,构建了权责明确、保护有效、利用规范的个人信息处理和保护制度规则。
近年来,随着互联网经济的蓬勃发展,我国在个人信息保护方面投入的力度在不断加大。
我国对于个人信息安全法的关注始于2003年,当时的国务院信息化办公室正式部署了立法研究工作;2005年,《个人信息保护法(专家建议稿)》相继宣布完成。
同期,我国在网络数据立法方面的进程也在不断加快。2012年,《全国人大关于加强网络信息保护的决定》出台;2016年,《网络安全法》出台;2018年,《電子商务法》出台。此外,除这些专门的网络法外,传统法律的制定、修订工作也给予了网络空间极大的关注,如《消费者权益保护法(修订)》(2013年)、《刑法修正案》(九)(2015年)、《民法总则》(2017年)、《民法典》之人格权编(2020年)都补充了个人信息保护相关条款。这些相关法律条文的设立,在一定程度上回应了公众关切的问题,对于信息化时代下网络安全、个人信息保护提供了些许依据。
但就实际而言,由于长期以来,我国始终未建立起系统的个人信息保护法律体系,在个人信息保护相关工作的落实中,仍是较为艰难的。不乏一些企业、机构甚至个人,为了获取商业利益,钻法律漏洞,随意收集、过度使用、非法买卖个人信息,对人们的生活、健康乃至财产安全都造成了极大的损害。加快立法工作的推进迫在眉睫。
2018年9月,《个人信息保护法》正式纳入人大立法规划,并在历经三年起草制定后,于2021年8月20日正式出台。
《个人信息保护法》的出台,于我国数字时代法律体系的建立健全来说,意义重大。自此,我国终于完善了在个人信息保护方面的缺口,形成了以《网络安全法》《数据安全法》《个人信息保护法》三法为核心的网络法律体系,为数字时代的网络安全、数据安全、个人信息权益保护提供了基础制度保障。
与先前出台的《网络安全法》和《数据安全法》有所区别,《个人信息保护法》侧重保护个人信息,监管对象是个人信息的处理者和受托人。《个人信息保护法》共8章74条,主要就个人信息处理的规则、个人信息跨境提供的规则、个人的权利及信息处理者的义务、履行个人信息保护职责的部门、法律责任等进行了规定。
个人信息的收集:约束与规范
约束过度收集个人信息。对于以往信息过度收集的乱象,《个人信息保护法》明确规定,收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。此外,任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人信息。
规范公共场合图像采集。智能时代下,我国已进入“监视时代”,公共场所中随处可见的摄像头在积极推动国家法制监督发展的同时,也对民众隐私等基本权益的保护提出挑战。在最新出台的《个人信息保护法》中,对于公共场合图像的采集作出了明确规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。此外,《个人信息保护法》还规定:所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
个人信息的处理:稳妥处理与严格禁止
构建以“告知一同意”为核心的个人信息处理规则。个人信息保护的原则是收集、使用个人信息的基本遵循,是构建个人信息保护具体规则的制度基础。《个人信息保护法》紧紧围绕规范个人信息处理活动、保障个人信息权益,构建了以“告知一同意”为核心的个人信息处理规则。
全国人大常委会法工委经济法室副主任杨合庆表示,“‘告知—同意是法律确立的个人信息保护核心规则,是保障个人对其个人信息处理知情权和决定权的重要手段。”
《个人信息保护法》要求,处理个人信息应当在事先充分告知的前提下取得个人同意,个人信息处理的重要事项发生变更的应当重新向个人告知并取得同意。同时,针对现实生活中社会反映强烈的一揽子授权、强制同意等问题,《个人信息保护法》特别要求,个人信息处理者在处理敏感个人信息、向他人提供或公开个人信息、跨境转移个人信息等环节应取得个人的单独同意,明确个人信息处理者不得过度收集个人信息,不得以个人不同意为由拒绝提供产品或者服务,并赋予个人撤回同意的权利,在个人撤回同意后,个人信息处理者应当停止处理或及时删除其个人信息。
稳妥处理敏感个人信息。对于何为敏感个人信息,《个人信息保护法》中给予了明确:一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息均属于敏感个人信息,包括:种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等。
对于敏感个人信息的处理,《个人信息保护法》要求,个人信息处理者具有特定的目的和充分的必要性,方可处理敏感个人信息。此外,明确提出,基于个人同意处理敏感个人信息的,个人信息处理者必须取得个人的单独同意。如果法律、行政法规规定处理敏感个人信息必须取得书面同意的,个人信息处理者应当取得信息被处理人的书面同意,同时,还必须向个人告知处理敏感个人信息的必要性以及对个人的影响。
禁止“大数据杀熟”。“大数据杀熟”、算法歧视在当前的数字时代下,已日渐成为见怪不怪的事。当前,一些企业通过掌握消费者的经济状况、消费习惯、对价格的敏感程度等信息,对消费者在交易价格等方面实行歧视性的差别待遇,误导、欺诈消费者,其中最典型的就是:在同一个APP上订酒店或是点外卖,不同用户显示不同价格。
《个人信息保护法》首次对这些情况做出了规范,明确规定,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
不得强制推送个性化广告。搜索过一个商品,接着就会收到很多类似广告的推送……近年来,一些平台利用大数据进行用户画像推送个性化广告,对人们的生活造成了极大的困扰。《个人信息保护法》中对此明确规定,个人信息处理者应当保障消费者的知情权和选择权,通过自动化决策方式进行商业营销、信息推送,必须同时提供不针对其个人特征的选项,或者向个人提供拒绝的方式。
严格个人信息跨境提供原则。随着国际间的交流合作日渐紧密,个人信息数据的跨境流动在全球蓬勃发展的数字经济中发挥着越来越重要的作用。互联网技术的发展缩短了人与人之间的时空距离,同时也带来了一定的安全风险。“数据出境不仅涉及个保法,最主要是涉及数据安全。专业机构提供的第三方认证主要看是否做到匿名化处理。匿名化后,这些信息就不再是个人信息,也不再受个保法约束,评估的核心就变成了数据安全问题。”北京大学法学院教授、法治发展研究院执行院长王锡锌说道。
为此,《个人信息保护法》为个人信息跨境流动设立专门章节,确立个人信息处理者向境外提供个人信息所具备的条件和要求,明确关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者应当将在我国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估,从而保障个人信息安全、自由流动,以适应国际经贸往来的现实需要。
个人信息的维护:个人权利与可诉性
规定个人权利。“《个人信息保护法》就是—部保护个人信息权益的法。”在清华大学法学院教授程啸看来,这正是这部法律的根本目的。以此为基础,《个人信息保护法》对个人在个人信息处理活动中的权利作出全面的规定。
《个人信息保护法》将个人在个人信息处理活动中的各项权利,包括知悉个人信息处理规则和处理事项、同意和撤回同意,以及个人信息的查询、复制、更正、删除等总结提升为知情权、决定权,明确个人有权限制个人信息的处理。
可依法提起诉讼。为了更好地保障上述个人权利的实现,《个人信息保护法》还专门赋予这些权利可诉性。“所谓可诉性,即在个人信息处理者拒绝个人行使权利的请求时,个人可以依法向人民法院提起诉讼,由法院判决强制个人信息处理者履行相应的义务,保障个人权利的实现。”程啸解释说。
此外,根据个人信息处理的不同情况,《个人信息保护法》对违法处理个人信息的行为设置了不同梯次的行政处罚。对未造成严重后果的轻微或一般违法行为,可由执法部门责令改正、给予警告、没收违法所得,对拒不改正的最高可处一百万元罚款;对情节严重的违法行为,最高可处五千万元或上一年度营业额百分之五的罚款,并可以对相关责任人员作出相关从业禁止的处罚。同时,《个人信息保护法》还专门规定,对违法处理个人信息的应用程序,可以责令暂停或终止提供服务。
在民事责任方面,《个人信息保护法》明确,侵害个人信息权益造成损害的,个人信息处理者如不能证明自己没有过错的,应当承担损害赔偿等侵权责任。同时,《个人信息保护法》还对侵害众多个人权益的民事公益诉讼作了规定。
随着《个人信息保护法》的出台,针对个人信息保护的网将越织越密。作为网络空间治理和数据保护的“三驾马车”之一,《个人信息保护法》的制定填补了数字社会的重要法律空缺,明确了个人信息保护的相关规则和备相关方的权利义务,全方位构筑了个人信息保护网。自此,对于个人信息的保护开启了新的篇章。
“可以说,个人信息保护法已搭建起保护个人信息的科学、系统、全面的顶层设计。下一步,随着监管执法举措的不懈推进、司法裁判规则的不断丰富、多方参与共治的持续培育以及国际交流合作的深入开展,置身代碼世界的广大人民群众将长久拥抱个人信息合法权益受保护、个人信息处理活动受规范、个人信息合理利用受促进的数字治理新生态。”北京师范大学网络法治国际中心执行主任、中国互联网协会研究中心副主任吴沈括说。