□ 文|刘芷君
习近平总书记在中共中央政治局第三十四次集体学习时指出,“要完善数字经济治理体系,健全法律法规和政策制度,完善体制机制,提高我国数字经济治理体系和治理能力现代化水平。”大数据、人工智能、物联网等数字经济新技术、新业态的发展和应用在给人们的生活带来便利的同时,也使人们面临严峻的个人信息泄露、滥用等安全风险,个人信息保护已成为广大人民群众最关心、最直接、最现实的利益问题之一。个人信息保护立法是筑牢个人信息保护堤坝,推进数字经济法治建设的重要一步。
2021年8月20日,《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)经十三届全国人大常委会第三十次会议表决通过,于2021年11月1日起正式施行,从此我国个人信息保护领域有了第一部综合性的专门立法,开启了个人信息保护新纪元。
《个人信息保护法》与《中华人民共和国网络安全法》《中华人民共和国数据安全法》共同构筑了我国网络与数据安全领域的法律根基,是我国数字经济法律体系的重要组成部分,具有里程碑意义。
《个人信息保护法》第一条明确该法立法目的是“保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用”,并且明确该法“根据宪法”制定,意义重大。我国宪法明确规定,“国家尊重和保障人权”“公民的人格尊严不受侵犯”“公民的通信自由和通信秘密受法律的保护”。《个人信息保护法》将宪法作为个人信息保护立法依据和根本遵循,将个人信息受法律保护的权利上升到宪法规定的公民基本权利层面,意味着个人信息保护的法律地位被提升到前所未有的高度。
信息化、数字化、智能化时代,人们在享受数字经济红利的同时也面临着一系列安全挑战,个人信息被过度索取、个人信息泄露、大数据杀熟等现象时有发生,对人民群众的个人信息权益造成严重威胁。《个人信息保护法》关注与广大人民群众日常生活密切相关的个人信息处理场景,明确个人信息处理规则,设置个人信息处理中的权利和义务,规定有力的法律责任,回应了广大人民群众的基本关切,使人民群众享受数字经济红利的同时感受到安全感。
通过立法推动个人信息和隐私保护已经成为数字时代的全球趋势,我国出台个人信息领域的专门立法,顺应了全球立法趋势,《个人信息保护法》所规定的个人信息处理基本原则及相关规则,以及个人在个人信息处理活动中的若干权利等一定程度上借鉴了国外先进的立法经验,同时根据我国国情和发展阶段进行了变通和优化,体现出“中国特色”。此外,《个人信息保护法》第十二条明确“国家积极推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等互认”,也体现出我国个人信息保护的开放态度,以及为个人信息保护全球规则制定贡献“中国方案”的决心。
《个人信息保护法》明确个人信息处理的原则和规则,综合采取安全评估、认证、标准合同等机制和路径确保个人信息出境安全,赋予个人在个人信息处理活动中的系列权利,明确个人信息处理者的个人信息保护义务,对个人信息处理活动进行全面规范。
《个人信息保护法》在总则明确了个人信息处理的各环节,包括“个人信息的收集、存储、使用、加工、传输、提供、公开、删除”等,将各类数据处理行为纳入法律规制范围,还提出了个人信息处理应当遵循的原则,总结起来包括合法、正当、必要和诚信原则、明确性和相关性原则、公开透明原则、准确性和完整性原则等。
《个人信息保护法》在个人信息处理的规则方面进行了一般规定和特别规定相结合的规范。在一般规定中,《个人信息保护法》构建了以“告知-同意”为基础的个人信息处理规则,还明确了个人同意之外的个人信息处理的合法性基础,在保护个人信息的同时平衡公共利益,最大程度提升个人信息处理效率。此外,还对取得个人同意的方式和效果进行了规定,赋予个人撤回同意的权利,对紧急情况下处理个人信息、共同处理个人信息、委托处理个人信息、转移个人信息、利用个人信息进行自动化决策、公共场所采集个人图像或身份识别信息等个人信息处理情形进行了专门规定,对现实生活中社会反映强烈的一揽子授权、强制同意、大数据杀熟、数据滥用等问题进行了回应。
除了一般规定,《个人信息保护法》对敏感个人信息处理和国家机关处理个人信息的规则进行了特别规定。敏感个人信息处理方面,明确了敏感个人信息的概念和范畴,对敏感个人信息处理进行更严格规范。在国家机关处理个人信息方面,主要强调了国家机关应当合法合规地处理个人信息,国家机关处理的个人信息在境内存储,确需向境外提供应进行安全评估。
对于因业务等需要确需向境外提供个人信息的情形,《个人信息保护法》提出了安全评估、个人信息保护认证、标准合同等多元化管理路径,还可按照我国缔结或参加的国际条约和协定的规定执行。关键信息基础设施运营者和处理个人信息达到网信部门规定数量的个人信息处理者确需向境外提供个人信息的需要通过安全评估路径出境。2021年10月29日,国家互联网信息办公室发布《数据出境安全评估办法(征求意见稿)》,列出了应当进行安全评估的个人信息出境情形,并明确了评估流程、申报材料、重点评估内容等,为个人信息出境安全评估提供了具体规则指引,是建立个人信息出境规则体系的重要一步。可以预见,除了安全评估,个人信息保护认证、标准合同等方面的具体规则将继续研究出台,我国个人信息出境安全保护体系将持续完善。
此外,《个人信息保护法》还明确了限制或禁止向境外提供个人信息的情形:一是非经我国主管机关批准,不得向外国有关司法、执法机构提供存储于境内的个人信息;二是限制或禁止向被列入限制或禁止个人信息提供清单的境外组织和个人提供个人信息;三是针对其他国家或地区在个人信息保护方面对我国采取歧视性的禁止、限制等措施的,我国可以采取对等措施。
《个人信息保护法》充分赋予了个人在个人信息处理活动中享有的权利,为个人维护其合法个人信息权益、权益受侵害后寻求司法救助奠定坚实的法律基础。具体而言,个人对其个人信息的处理享有的权利包括知情权、决定权、查阅和复制权、个人信息携带权、请求个人信息处理者更正、补充个人信息的权利、特定情形下个人信息删除请求权、要求个人信息处理者解释说明处理规则的权利等,个人信息处理者应当为个人行使权利提供便捷的申请受理和处理机制。此外,还特别明确了死者的部分权利可以由近亲属行使。
《个人信息保护法》明确了个人信息处理者的义务,包括采取相关的管理和技术措施、指定个人信息保护负责人(处理规定数量个人信息的个人信息处理者履行)、在我国境内设立专门机构或指定代表负责处理个人信息保护相关事务(符合法定情形的境外个人信息处理者履行)、定期进行合规审计、法定情形下事先进行个人信息保护影响评估、在发生或可能发生个人信息泄露、篡改、丢失的情形下采取补救措施并通知相关部门和个人等。对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者还应履行成立独立监督机构、制定平台规则、定期发布个人信息保护社会责任报告等义务。
《个人信息保护法》为我国个人信息保护奠定了坚实法律基础。在《个人信息保护法》搭建的法治框架下,我国个人信息保护体系将不断健全完善,个人信息保护工作将迈入崭新阶段。
在上位法搭建的法律框架内,个人信息保护具体规则和标准将陆续出台,现有标准规范将持续修改完善,个人信息出境安全管理等制度规则将进一步细化,针对小型个人信息处理者、敏感个人信息处理及人脸识别、人工智能等新技术、新应用的专门个人信息保护规则标准将制定出台,为个人信息保护工作提供具体指引。
《个人信息保护法》给个人信息处理者设置了更严格的个人信息保护义务,提出了更高的个人信息保护要求,企业作为重要的个人信息处理者,将加大合规投入力度,全方位部署个人信息保护的管理、技术手段,依法进行个人信息保护相关评估和认证,强化从业者个人信息保护教育培训,建立健全个人信息保护合规制度体系。
《个人信息保护法》明确推进网络身份认证公共服务建设和个人信息保护社会化服务体系建设。相关专业技术机构、企业、高校等机构将研究开发和推广应用安全、方便的电子身份认证技术,积极开展个人信息保护评估、认证服务,不断提升个人信息保护服务能力,形成多方参与的个人信息保护社会服务体系。
《个人信息保护法》明确要求国家网信部门统筹协调有关部门完善个人信息保护投诉、举报工作机制,公布接受投诉、举报的联系方式。此外,《个人信息保护法》正式将个人信息保护纳入检察公益诉讼领域。可见,公民个人信息权益受到侵害后的投诉举报和司法救助的渠道将更加畅通,个人信息权益将得到切实保障。
《个人信息保护法》奠定了我国个人信息保护法治根基,搭建了我国个人信息保护制度框架,开启了我国个人信息保护工作的新阶段。在新阶段,应持续完善个人信息保护法律体系,构建统筹协调的个人信息保护工作机制,建立健全个人信息保护制度,加强个人信息保护宣传教育,推动形成政府、企业、公众多方参与、共同维护的良好个人信息保护环境,持续护航数字经济健康发展。