個人信息保護有法可依
近日,國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、公安部、交通運輸部聯合發布《汽車數據安全管理若干規定(試行)》。《規定》明確,汽車數據處理者應當履行個人信息保護責任,充分保護個人信息安全和合法權益。
圖片來源:視覺中國
8月27日發布的《中國互聯網絡發展狀況統計報告》顯示,我國網民規模達10.11億,互聯網普及率達71.6%。在信息化時代,個人信息保護已成為上網群眾最關心最直接最現實的利益問題。
近日,十三屆全國人大常委會第三十次會議表決通過了《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)。該法堅持和貫徹以人民為中心的法治理念,牢牢把握保護人民群眾個人信息權益的立法定位,聚焦個人信息保護領域的突出問題和人民群眾的重大關切,構建了權責明確、保護有效、利用規范的個人信息處理和保護制度規則。
個人信息保護立法持續鋪開
對于個人信息保護問題的制度性回應,起源于20世紀六七十年代計算機在世界各國的普及應用。當政府機構、大型跨國公司通過計算機大規模處理個人信息時,傳統法律中防御性的、事后救濟性的“隱私權”已難以完全解決個人信息非法收集和利用問題。私法領域的“隱私權”逐步發展為公法領域的個人信息保護制度,即在未發生明確的隱私侵害后果之前,通過行為規范方式,明確個人信息處理方式,包括知情同意、最小化、目的特定、保障安全與可問責等。半個世紀以來,個人信息保護立法持續在全球鋪開。
如同信息化在全球依次展開,個人信息保護立法在不同國家呈現出不同的階段性特點。步入21世紀后,我國移動互聯網快速發展,個人信息收集處理成為一個社會問題,于是立法開始加速規范。
2000年,全國人大常委會通過的《全國人民代表大會常務委員會關于維護互聯網安全的決定》首次涉及個人信息保護,主要包括侵犯公民通信自由和通信秘密。2003年,國務院信息化辦公室對個人信息立法研究課題進行部署,于2005年形成專家意見稿。
隨后,我國網絡數據立法整體加快。以2012年《全國人民代表大會常務委員會關于加強網絡信息保護的決定》為開端,《網絡安全法》(2016)、《電子商務法》(2017)陸續出臺。除專門網絡法,傳統法律的制定、修訂工作也給予網絡空間前所未有的關注:《消費者權益保護法(修訂)》(2013)、《刑法修正案(九)》(2015)、《民法總則》(2017)、《民法典》(人格權編)(2020)都補充了個人信息保護相關條款。這些散落在各個法律中的條款一定程度上回應了公眾關切,但尚未全面建立起個人信息保護法律體系。
2018年9月,《個人信息保護法》正式納入人大立法規劃,歷經3年起草制定工作后,于2021年8月20日正式出臺,標志著與我國網絡大國、數字大國相匹配的制度建設逐步走向成熟。自此,我國形成了以《網絡安全法》《數據安全法》《個人信息保護法》三法為核心的網絡法律體系,為數字時代的網絡安全、數據安全、個人信息權益保護提供了基礎制度保障。
個人信息保護法十大亮點
《個人信息保護法》在有關法律基礎上,進一步細化、完善個人信息保護應遵循的原則和個人信息處理規則,明確個人信息處理活動中的權利義務邊界,健全個人信息保護工作體制機制,主要亮點如下。
確立個人信息保護原則。這是收集、使用個人信息的基本遵循,是構建個人信息保護具體規則的制度基礎。《個人信息保護法》強調處理個人信息應遵循合法、正當、必要和誠信原則,具有明確、合理的目的并與處理目的直接相關,采取對個人權益影響最小的方式,限于實現處理目的的最小范圍,公開處理規則,保證信息質量,采取安全保護措施等。
規范處理活動保障權益。《個人信息保護法》緊緊圍繞規范個人信息處理活動、保障個人信息權益,構建以“告知-同意”為核心的個人信息處理規則。例如,處理個人信息應當在事先充分告知的前提下取得個人同意,個人信息處理的重要事項發生變更的應當重新向個人告知并取得同意。
禁止“大數據殺熟”,規范自動化決策。當前,越來越多的企業用大數據分析和評估消費者的個人特征用于商業營銷,最典型的就是社會反映突出的“大數據殺熟”。對此,《個人信息保護法》規定:個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。
嚴格保護敏感個人信息。《個人信息保護法》規定,只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,方可處理敏感個人信息,同時應當事前進行影響評估,并向個人告知處理的必要性以及對個人權益的影響。此外,《個人信息保護法》將不滿十四周歲未成年人的個人信息確定為敏感個人信息予以嚴格保護。
規范國家機關處理活動。《個人信息保護法》對國家機關處理個人信息的活動作出規定,特別強調國家機關處理個人信息的活動適用本法,并且處理個人信息應當依照法律、行政法規規定的權限和程序進行,不得超出履行法定職責所必需的范圍和限度。
賦予個人充分權利。《個人信息保護法》將個人在個人信息處理活動中的各項權利,總結提升為知情權、決定權,明確個人有權限制個人信息處理;同時,要求在符合國家網信部門規定條件的情形下,個人信息處理者應當為個人提供轉移其個人信息的途徑。此外,《個人信息保護法》還對死者個人信息的保護作了專門規定。
強化個人信息處理者義務。《個人信息保護法》明確了個人信息處理者的合規管理和保障個人信息安全等義務,要求個人信息處理者按照規定制定內部管理制度和操作規程,采取相應的安全技術措施,指定負責人對其個人信息處理活動進行監督,定期對其個人信息處理活動進行合規審計,對處理敏感個人信息、利用個人信息進行自動化決策、對外提供或公開個人信息等高風險處理活動進行事前影響評估,履行個人信息泄露通知和補救義務等。
賦予大型網絡平臺特別義務。《個人信息保護法》對大型互聯網平臺設定了特別的個人信息保護義務:按照國家規定建立健全個人信息保護合規制度體系,成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督;遵循公開、公平、公正原則,制定平臺規則;對嚴重違法處理個人信息的平臺內產品或者服務提供者,停止提供服務;定期發布個人信息保護社會責任報告,接受社會監督。
規范個人信息跨境流動。當今個人信息的跨境流動日益頻繁,但由于遙遠的地理距離以及不同國家法律制度、保護水平之間的差異,個人信息跨境流動風險越來越難以控制。《個人信息保護法》構建了一套清晰、系統的個人信息跨境流動規則,以滿足保障個人信息權益和安全的客觀要求,適應國際經貿往來的現實需要。
健全個人信息保護工作機制。該法明確國家網信部門和國務院有關部門在各自職責范圍內負責個人信息保護和監督管理工作,同時對個人信息保護和監管職責作出規定,包括開展個人信息保護宣傳教育、指導監督個人信息保護工作、接受處理相關投訴舉報、組織對應用程序等進行測評、調查處理違法個人信息處理活動等。
把個人信息保護意識融入決策
制度的生命力在于執行。只有將《個人信息保護法》切實落到實處,廣大人民群眾網絡空間合法權益才能維護好、保障好、發展好,廣大人民群眾在數字經濟發展中才能享受更多的獲得感、幸福感、安全感。為此,黨員干部必須深入學習、深刻領會《個人信息保護法》的精神實質和實踐要求,不斷提升法律意識,在日常工作和生活中知法守法。
首要在學。在智慧城市、數字治理建設背景下,政府成為最主要的數據處理機構,政府機關和黨員干部應該認真遵循《個人信息保護法》,在履行法定職責的范圍內,依法依規處理個人信息,在全社會起到示范作用。作為黨和政府與群眾之間的“連心橋”,黨員干部要把堅持學習放在重要位置,掌握《個人信息保護法》確立的基本原則、數據處理合法性基礎、個人信息的分類(包括敏感信息、匿名化信息、去標識化信息等類別)、數據處理者的義務等基本內容,不斷提高大數據時代公民個人信息法律保護意識,要主動跟上數字法治國家建設的相關內容與要求,深刻理解公民個人信息法律保護的重大現實意義,確保學有所得,行有所依。
關鍵在用。在應用《個人信息保護法》方面,黨員干部要知行合一,善于用法,帶頭做學法、懂法、用法模范先鋒。要把公民個人信息保護意識融入經濟社會發展的宏觀決策之中,從法律角度去分析、思考問題。要統籌個人信息的保護與利用,通過權責明確、保護有效、利用規范的法律制度,在保障個人信息權益基礎上,促進信息數據依法合理有效利用,推動數字經濟持續健康發展。要自覺依法行使處理公民個人信息的權力,以嚴密的制度、嚴格的標準、嚴厲的問責,規范個人信息處理活動,落實企業、機構等個人信息處理者的法律義務和責任,維護網絡空間良好生態。要敢于同破壞個人信息保護的不法行為作斗爭,發現違規違紀現象或一些苗頭性問題,及時批評教育,督促糾正,防微杜漸,真正讓《個人信息保護法》在“用法”中實現堅持和完善的辯證統一。(中國政法大學商學院?戴建華)
