第3章 《导读》:个人信息保护法导读
在信息化时代,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。党中央对此高度重视,习近平总书记多次强调,要坚持网络安全为人民、网络安全靠人民,保障个人信息安全,维护公民在网络空间的合法权益。个人信息保护受到社会各方面广泛关注,全国人大代表、全国政协委员提出了许多议案、建议和提案,呼吁出台专门的个人信息保护法,维护广大人民群众个人信息权益。
随着信息化与经济社会持续深度融合,网络已成为生产生活的新空间、经济发展的新引擎、交流合作的新纽带。据统计,截至2020年底,我国互联网用户已达9.89亿,互联网网站和应用程序数量分别超过440万个和340万个[1],个人信息的收集、使用更为广泛。与此同时,个人信息利用与保护之间的矛盾也越发突出,现实生活中一些企业、机构甚至个人,从商业利益等出发,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题十分突出。
在数字经济发展和法治建设进程中,我国的个人信息保护法律制度逐步建立并不断发展完善。全国人大及其常委会高度重视个人信息保护相关立法工作。2012年通过关于加强网络信息保护的决定,确立了个人信息保护的基本原则;2016年通过网络安全法,建立了个人信息保护的主要制度规则;2020年编纂出台民法典,将个人信息保护作为了一项重要的民事权利。此外,在修改消费者权益保护法、广告法、刑法,制定电子商务法等立法工作中,对个人信息保护的有关问题作出了规定。同时,有关方面出台了一系列配套法规、规章、标准和司法解释。近年来,信息领域新技术、新业态、新模式不断涌现,个人信息应用领域更加宽广,处理主体和处理场景更加复杂多样,个人信息保护的任务更加艰巨,亟须进一步增强法律规范的系统性、权威性和针对性,在个人信息保护方面形成更加完备的制度、提供更加有力的法律保障。
全国人大常委会贯彻落实党中央部署要求,及时回应广大人民群众的呼声和期待,积极推进个人信息保护立法工作。全国人大常委会法制工作委员会会同有关方面在深入调查研究、广泛征求意见的基础上,研究起草了个人信息保护法草案,于2020年10月由全国人大常委会委员长会议提请十三届全国人大常委会第二十二次会议进行了初次审议;2021年4月,十三届全国人大常委会第二十八次会议对草案进行了再次审议;2021年8月20日,十三届全国人大常委会第三十次会议表决通过了个人信息保护法,于2021年11月1日起施行。个人信息保护法坚持和贯彻以人民为中心的法治理念,牢牢把握保护人民群众个人信息权益的立法定位,聚焦个人信息保护领域的突出问题和人民群众的重大关切,在有关法律的基础上,进一步细化、完善个人信息保护应遵循的原则和个人信息处理规则,明确个人信息处理活动中的权利义务边界,健全个人信息保护工作体制机制,切实将广大人民群众网络空间合法权益维护好、保障好、发展好,使广大人民群众在数字经济发展中享受更多的获得感、幸福感、安全感。
个人信息保护法共8章74条,主要包括以下11个方面的内容。
一、确立个人信息保护原则
个人信息保护的原则是收集、使用个人信息的基本遵循,是构建个人信息保护具体规则的制度基础。个人信息保护法借鉴国际经验并立足我国实际,确立了个人信息处理应遵循的原则,强调处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的并与处理目的直接相关,采取对个人权益影响最小的方式,限于实现处理目的的最小范围,公开处理规则,保证信息质量,采取安全保护措施等,这些原则应当贯穿于个人信息处理的全过程、各环节。
二、构建以“告知—同意”为核心的个人信息处理规则
个人信息保护法紧紧围绕规范个人信息处理活动、保障个人信息权益来构建个人信息保护法律制度。“告知—同意”是法律确立的个人信息保护核心规则,是保障个人对其个人信息处理知情权和决定权的重要手段。个人信息保护法要求处理个人信息,应当在事先充分告知的前提下取得个人同意,个人信息处理的重要事项发生变更的应当重新向个人告知并取得同意。同时,针对现实生活中社会反映强烈的一揽子授权、强制同意等问题,个人信息保护法特别要求个人信息处理者在处理敏感个人信息、向他人提供或公开个人信息、跨境转移个人信息等环节应取得个人的单独同意,明确个人信息处理者不得过度收集个人信息,不得以个人不同意为由拒绝提供产品或者服务,并赋予个人撤回同意的权利,在个人撤回同意后,个人信息处理者应当停止处理或及时删除其个人信息。此外,考虑到经济社会生活的复杂性,个人信息处理的场景日益多样,个人信息保护法还对取得个人同意以外可以合法处理个人信息的特定情形作出了规定。
同时,个人信息保护法分别对共同处理、委托处理等实践中较为常见的处理情形作出有针对性规定。在共同处理方面,明确两个以上的个人信息处理者共同决定处理目的和处理方式的属于共同处理,个人可向任一共同处理者要求行使本法规定的权利,因共同处理侵害个人权益造成损害的,共同处理者应当依法承担连带责任。在委托处理方面,要求个人信息处理者应当与受托人明确约定委托处理个人信息的相关事项,并对受托人的处理活动进行监督,同时要求受托人不得超出约定事项处理个人信息,不得在委托处理活动结束后保留个人信息,未经个人信息处理者同意不得转委托他人处理个人信息。
三、规范自动化决策
当前,越来越多的企业利用大数据分析、评估消费者的个人特征用于商业营销,这有利于提高经济活动的效率,提升消费者的消费体验。同时,也有一些企业通过掌握消费者的经济状况、消费习惯、对价格的敏感程度等信息,对消费者在交易价格等方面实行歧视性的差别待遇,误导、欺诈消费者,其中最典型的就是社会反映突出的“大数据杀熟”,此类行为违反了诚实信用原则,侵犯了消费者权益保护法规定的消费者享有公平交易条件的权利,应当在法律上予以禁止。对此,个人信息保护法明确规定:个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。一方面,经营者应当按照法律规定,遵循公开、公平、公正的原则设定算法模型、制定自动化决策规则,不得对消费者实行歧视性、不公平的差别待遇;另一方面,个人信息处理者应当保障消费者的知情权和选择权,向个人进行信息推送、商业营销时,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
四、严格保护敏感个人信息
个人信息保护法将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息列为敏感个人信息。主要是考虑此类信息一旦泄露或者被非法使用,极易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害,对处理敏感个人信息的活动应当作出更加严格的限制。对此,个人信息保护法要求只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可处理敏感个人信息,同时应当事前进行影响评估,并向个人告知处理的必要性以及对个人权益的影响。
考虑到少年儿童在生理上和心理上尚不成熟,认知能力和控制自己行为的能力都较弱,容易受到信息推送和商业营销的诱导,在面对违法处理行为侵害其合法权益时缺乏必要的分辨能力和充分的自我保护能力,为保护未成年人的个人信息权益和身心健康,个人信息保护法特别将不满十四周岁未成年人的个人信息确定为敏感个人信息予以严格保护。同时,与未成年人保护法有关规定相衔接,个人信息保护法要求处理不满十四周岁未成年人个人信息应当取得未成年人的父母或者其他监护人的同意,并应当对此制定专门的个人信息处理规则。
五、规范国家机关处理个人信息的活动
为履行维护国家安全、惩治犯罪、管理经济社会事务等职责,国家机关需要处理大量个人信息。与其他个人信息处理者一样,保护个人信息权益、保障个人信息安全是国家机关应尽的义务和责任,但近年来发生的一些个人信息泄露事件,也反映出个别国家机关存在个人信息保护意识不强、处理流程不规范、安全保护措施不到位等问题。对此,个人信息保护法对国家机关处理个人信息的活动作出专门规定,特别强调国家机关处理个人信息的活动适用本法,即国家机关处理个人信息也应遵循本法规定的个人信息保护的基本原则、处理规则,除本法和有关法律另有规定可以不需要告知、不需要取得同意之外,也应当向个人告知、取得个人同意,并且处理个人信息应当依照法律、行政法规规定的权限和程序进行,不得超出履行法定职责所必需的范围和限度。
六、赋予个人充分的权利
个人信息保护法将个人在个人信息处理活动中的各项权利,包括知悉个人信息处理规则和处理事项、同意和撤回同意,以及个人信息的查询、复制、更正、删除等总结提升为知情权、决定权,明确个人有权限制对其个人信息的处理。同时,为了适应互联网应用和服务多样化的实际,满足日益增长的跨平台转移个人信息的需求,个人信息保护法对个人信息可携带权作出了原则规定,要求在符合国家网信部门规定条件的情形下,个人信息处理者应当为个人提供转移其个人信息的途径。
此外,个人信息保护法还对死者个人信息的保护作出了专门规定,明确在尊重死者生前安排的前提下,其近亲属为自身合法、正当利益,可以对死者个人信息行使查阅、复制、更正、删除等权利。
七、强化个人信息处理者的义务
个人信息处理者是个人信息保护的第一责任人。个人信息保护法强调,个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。在此基础上,个人信息保护法设专章明确了个人信息处理者的合规管理和保障个人信息安全等义务,要求个人信息处理者按照规定制定内部管理制度和操作规程,采取相应的安全技术措施,指定负责人对其个人信息处理活动进行监督,定期对其个人信息活动进行合规审计,对处理敏感个人信息、利用个人信息进行自动化决策、对外提供或公开个人信息等高风险处理活动进行事前影响评估,履行个人信息泄露通知和补救义务等。
八、赋予大型网络平台个人信息保护特别义务
互联网平台服务是数字经济区别于传统经济的显著特征。互联网平台为商品和服务的交易提供技术支持、交易场所、信息发布和交易撮合等服务。在个人信息处理方面,互联网平台为平台内经营者处理个人信息提供基础技术服务、设定基本处理规则,是个人信息保护的关键环节。提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者对平台内的交易和个人信息处理活动具有强大的控制力和支配力,因此在个人信息保护方面应当承担更多的法律义务。据此,个人信息保护法对这些大型互联网平台设定了特别的个人信息保护义务,包括:按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;遵循公开、公平、公正的原则,制定平台规则;对严重违法处理个人信息的平台内产品或者服务提供者,停止提供服务;定期发布个人信息保护社会责任报告,接受社会监督。个人信息保护法的上述规定是为了提高大型互联网平台经营业务的透明度,完善平台治理,强化外部监督,形成全社会共同参与的个人信息保护机制。
九、规范个人信息跨境流动
随着经济全球化、数字化的不断推进以及我国对外开放的不断扩大,个人信息的跨境流动日益频繁,但由于遥远的地理距离以及不同国家法律制度、保护水平之间的差异,个人信息跨境流动面临更大风险。个人信息保护法构建了一套清晰、系统的个人信息跨境流动规则,以满足保障个人信息权益和安全的客观要求,适应国际经贸往来的现实需要。一是明确以向境内自然人提供产品或者服务为目的,或者分析、评估境内自然人的行为等,在我国境外处理境内自然人个人信息的活动适用本法,并要求符合上述情形的境外个人信息处理者在我国境内设立专门机构或者指定代表,负责个人信息保护相关事务;二是明确向境外提供个人信息的途径,包括通过国家网信部门组织的安全评估、经专业机构认证、订立标准合同、按照我国缔结或参加的国际条约和协定等;三是要求个人信息处理者采取必要措施,保障境外接收方的处理活动达到本法规定的保护标准;四是对跨境提供个人信息的“告知—同意”作出更严格的要求,切实保障个人的知情权、决定权等权利;五是为维护国家主权、安全和发展利益,对跨境提供个人信息的安全评估、向境外司法或执法机构提供个人信息、限制跨境提供个人信息的措施、对外国歧视性措施的反制等作了规定。
十、健全个人信息保护工作机制
个人信息保护涉及的领域广,相关制度措施的落实有赖于完善的监管执法机制。根据个人信息保护工作实际,个人信息保护法明确国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作,同时对个人信息保护和监管职责作出规定,包括开展个人信息宣传教育、指导监督个人信息保护工作、接受处理相关投诉举报、组织对应用程序等进行测评、调查处理违法个人信息处理活动等。为了加强个人信息保护监管执法的协同配合,个人信息保护法还进一步明确了国家网信部门在个人信息保护监管方面的统筹协调职责。
十一、加大违法处理个人信息行为的惩戒力度
个人信息保护法根据个人信息处理的不同情况,对违法处理个人信息的行为设置了不同梯次的行政处罚。对未造成严重后果的轻微或一般违法行为,可由执法部门责令改正、给予警告、没收违法所得,对拒不改正的最高可处一百万元罚款;对情节严重的违法行为,最高可处五千万元或上一年度营业额百分之五的罚款,并可以对相关责任人员作出有关从业禁止的处罚。同时,个人信息保护法还专门规定,对违法处理个人信息的应用程序,可以责令暂停或终止提供服务。
在民事责任方面,个人信息保护法明确,处理个人信息侵害个人信息权益造成损害的,个人信息处理者如不能证明自己没有过错的,应当承担损害赔偿等侵权责任。同时,个人信息保护法还对侵害众多个人权益的民事公益诉讼作了规定。
网络空间是亿万民众共同的家园,以数据为新生产要素的数字经济是高质量发展的新动力。个人信息保护法以严密的制度、严格的标准、严厉的责任,构建了权责明确、保护有效、利用规范的个人信息处理和保护制度规则。社会各方面应当加强个人信息保护宣传教育,提升个人信息保护法治意识,推动个人信息保护法落地实施,助力网络强国、数字中国、智慧社会建设。
注释
[1]《构建权责明确的个人信息处理和保护制度规则》,载光明网,