個人信息保護法:為數字社會治理與數字經濟發展構建基本法
互聯網與大數據時代,個人信息保護構成了數字社會治理與數字經濟發展的基本法,牽動著萬千公眾的切身利益,也關涉企業對于個人信息的合理利用與規范發展。個人信息保護法自啟動立法以來,也因此受到了社會的廣泛關注。如今,個人信息保護法正式頒布,為個人信息處理活動提供了明確的法律依據,為個人維護其個人信息權益提供了充分保障,為企業合規處理提供了操作指引。
整體來看,個人信息保護法構建了完整的個人信息保護框架。其規定涵蓋了個人信息的范圍以及個人信息從收集、存儲到使用、加工、傳輸、提供、公開、刪除等所有處理過程;明確賦予了個人對其信息控制的相關權利,并確認與個人權利相對應的個人信息處理者的義務及法律責任;對個人信息出境問題、個人信息保護的部門職責、相關法律責任進行了規定。
首先,個人信息保護法確認了廣義的個人信息范圍。
包括以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,這意味著絕大多數與自然人相關的信息都可以納入保護范圍,體現了個人信息保護法廣泛的保護范圍。同時區分了敏感個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。將不滿十四周歲的未成年人的個人信息納入敏感個人信息范疇,加強了對未成年人個人信息保護的力度。此外,明確將匿名化處理后的信息排除在外,這表明在大力保護個人信息權益的同時,也希望個人信息處理者能夠采用匿名化等技術,以保障正常的信息處理活動。
第二,個人信息保護法提出了處理個人信息需要遵循的原則和要求。
處理個人信息不僅要滿足合法、正當、必要,還要有明確、合理的目的,同時必須采取對個人權益影響最小的方式,限于實現處理目的的最小范圍,遵循公開、透明的原則,保證個人信息的準確、完整性,并采取必要措施保障個人信息的安全。作為個人信息處理活動最基本的要求,這些原則貫穿于個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等各個處理環節,在疑難情況或沒有具體規定時也都應當符合原則的要求,任何組織、個人都不得非法買賣、提供或者公開他人個人信息;不得從事危害國家安全、公共利益的個人信息處理活動。
第三,個人信息保護法制定了個人信息處理的規則。
原則為個人信息的處理活動提供了方向,規則則讓個人信息的具體處理活動有更具體的依據。
首先是處理個人信息的合法性基礎。個人信息保護法對“知情—同意規則”提出了明確要求。必須要保證個人的知情權,明確在處理個人信息前,個人信息處理者應當以顯著方式、清晰易懂的語言真實、準確、完整地將個人信息處理的目的、處理方式等相關事項告知個人,個人在充分知情的前提下自愿、明確作出同意。個人還有權隨時撤回其同意,并且不影響撤回前基于個人同意已進行的個人信息處理活動的效力,個人信息處理者不得以個人不同意或者撤回同意為由拒絕提供產品或者服務,處理個人信息屬于提供產品或者服務所必需的除外。而基于“知情—同意規則”處理敏感個人信息的,除了需要個人的單獨同意,在告知環節還應當向個人告知處理敏感個人信息的必要性以及對個人權益的影響。
處理個人信息的合法基礎除了個人的同意外,還有可能是其他原因,個人信息保護法第十三條規定:符合下列情形之一的,個人信息處理者方可處理個人信息:
(一)取得個人的同意;
(二)為訂立、履行個人作為一方當事人的合同所必需,或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需;
(三)為履行法定職責或者法定義務所必需;
(四)為應對突發公共衛生事件,或者緊急情況下為保護自然人的生命健康和財產安全所必需;
(五)為公共利益實施新聞報道、輿論監督等行為,在合理的范圍內處理個人信息;
(六)依照本法規定在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息;
(七)法律、行政法規規定的其他情形。除同意以外的其他合法性基礎還需要考慮特定情形,符合處理個人信息的基本原則,并采取對個人權益影響最小的方式,嚴格限制對個人信息的濫用。其中,以“按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需”為企業需要處理員工的個人信息的情形提供了法律依據。因為勞動關系中從屬性的存在,員工的“同意”往往難以被認定為是自由作出,使得企業處理員工個人信息困難重重,以“按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需”作為合法基礎為企業處理信息預留空間的同時又有著較強的限定,可以避免企業對正當利益合法基礎的濫用,也體現了個人信息保護法嚴格的規制目標。
其次,個人信息保護法規定利用個人信息進行自動化決策,不僅要保證決策的透明度和結果的公平、公正,還要求不得對個人在交易價格等交易條件上實行不合理的差別待遇,明確否定了“大數據殺熟”等現象。通過自動化決策方式作出對個人權益有重大影響的決定,個人有權要求個人信息處理者予以說明,并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。如果利用自動化決策方式進行信息推送、商業營銷,還應當同時提供不針對其個人特征的選項,或者向個人提供拒絕的方式,比如提供關閉個性化推薦的選項。
個人信息保護法還規定了個人信息跨境提供的合法性基礎,包括通過國家網信部門組織的安全評估、按照國家網信部門的規定經專業機構進行個人信息保護認證、按照國家網信部門制定的標準合同與境外接收方訂立合同并約定雙方的權利和義務等,并且規定了中華人民共和國締結或者參加的國際條約、協定也可以作為合法基礎。但同時還需要注意個人信息跨境提供,個人信息處理者應當保障境外接收方處理個人信息的活動達到本法規定的個人信息保護標準。
第四,個人信息保護法明確了個人信息處理活動過程中的權利和義務。
賦予了個人在個人信息處理活動中的權利,包括查閱復制權、可攜帶權、更正補充權、刪除權、解釋說明權等權利。其中,可攜帶權是指當個人請求將個人信息轉移至其指定的個人信息處理者,符合國家網信部門規定條件的,個人信息處理者應當提供轉移的途徑。刪除權的行使則需要在保存期限屆滿、出現違法違約等情況且個人信息處理者沒有主動刪除的情況下,個人才有權請求刪除。
與個人權利相對應的是個人信息處理者的義務,個人信息保護法中對個人信息處理者的職責和義務提出了嚴格的要求,應當根據具體的處理情形采取必要的措施,并在涉及敏感個人信息、自動化決策等情形時還需在事前進行個人信息保護影響評估,如果處理個人信息數量達到國家網信部門規定數量的,還應當指定個人信息保護負責人。發生或可能發生個人信息泄露、篡改、丟失時,個人信息處理者應當立即采取補救措施,并將相關情況通知履行個人信息保護職責的部門和個人。同時,提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者還應履行更高水平的保護義務。
第五,個人信息保護法規定了履行個人信息保護職責部門的職責。
國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作。履行個人信息保護職責的部門需要接受、處理與個人信息保護有關的投訴、舉報,并調查、處理違法個人信息處理活動。對于個人信息處理活動有任何疑問的任何組織、個人都有權向履行個人信息保護職責的部門進行投訴、舉報。收到投訴、舉報的部門應當依法及時處理,并將處理結果告知投訴、舉報人。
第六,個人信息保護法規定了相關法律責任。
個人信息保護法第五十四條規定,個人信息處理者應當定期對其個人信息處理活動遵守法律、行政法規的情況進行合規審計。這表明在未來對企業的合規審計將會成為常態,不僅是事后對違法的個人信息處理活動進行調查處理,更重要的是事前的預防機制,從源頭阻止個人信息被侵害的情形發生。而一旦發生侵害個人信息的行為,將對個人信息處理者實行過錯推定原則,不能證明自己沒有過錯的就應當承擔損害賠償等侵權責任,這在很大程度上減輕了個人維權的難度,也給個人信息處理者的合規審計帶來了壓力和動力。如果侵害眾多個人的權益的,人民檢察院、法律規定的消費者組織和由國家網信部門確定的組織還可以依法向人民法院提起公益訴訟。
綜合而言,我國的個人信息保護法對相關制度進行了全方位的規定,體現了我國政府維護公民基本權益的決心,為個人信息的規范化收集與利用提供了保障。隨著幾個月后個人信息保護法的生效實施,這一數字時代的基本法也必將為我國數字社會治理與數字經濟發展注入更為強大的動力。
作者:丁曉東 中國人民大學未來法治研究院副院長
