《中华人民共和国个人信息保护法》(下文简称“个保法”)于2021年11月1日起正式实施。中国人民大学未来法治研究院副院长丁晓东对新京报贝壳财经记者表示,个保法为个人信息处理活动提供了明确的法律依据,为个人维护其个人信息权益提供了充分保障,为企业合规处理提供了操作指引。
需要注意的是,在个保法出台之前,我国并没有一部专门规范使用个人信息的法律,关于个人隐私保护的相关条款分散在不同的法律法规之中。而随着互联网经济和数字化发展,越来越多的应用场景涉及个人信息处理,因此个保法出台可谓是“众望所归”。
历经十八载终出台,构建完整个人信息保护框架
贝壳财经记者了解到,2003年,专家起草了个保法建议稿。2018年,个保法正式进入立法流程,历经三次审议最终成型。2021年8月20日,十三届全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》,自2021年11月1日起正式实施。此时距离个保法建议稿的起草已经过去18年。
《个人信息保护法》全文以总计8章74条的篇幅,在总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任以及附则等多个层面设计和建构个人信息保护的立法框架。
中国互联网协会研究中心副主任、北京师范大学网络法治国际中心执行主任吴沈括参与了个保法的制定。据他介绍,个人信息保护源于宪法对于公民人格尊严的保护,个保法涉及的是个人权益保护,并不直接解决个人信息相关的财产权。“立法者给了各方利益平衡的空间”。
丁晓东认为,从整体来看,个保法构建了完整的个人信息保护框架。其规定涵盖了个人信息的范围以及个人信息从收集、存储到使用、加工、传输、提供、公开、删除等所有处理过程;明确赋予了个人对其信息控制的相关权利,并确认与个人权利相对应的个人信息处理者的义务及法律责任;对个人信息出境问题、个人信息保护的部门职责、相关法律责任进行了规定。
吴沈括称,个保法以“告知-同意”机制为核心逻辑建构覆盖个人信息处理全生命周期的规则框架,强化保障自然人的自主权利,同时注重与其他重要利益包括国家安全以及公共利益等的平衡协调,例如针对各类不同的具体场景设定告知或者同意的例外规则。
从具体问题来看,个保法明确不得过度收集个人信息、大数据杀熟,对人脸信息等敏感个人信息的处理作出规制,完善个人信息保护投诉、举报工作机制等。
中国政法大学传播法研究中心副主任朱巍告诉贝壳财经记者,个保法一经问世,就肩负起统领其他法律法规对个人信息保护的作用。该法所确立的对权利人“最小伤害”“公开透明”“准确完整”“合理使用”“合理目的”等原则,是对先前相关法律关于个人信息使用“合法性、正当性、必要性”原则的扩展和补强。未来后续新的立法中,凡是涉及个人信息保护问题的,都应遵守个人信息保护法所确定的基本原则,任何规定都不得与之相冲突。
“个人信息保护法是个体权利在个人信息保护领域的新旗帜,极大扩展和补充了民法典、消费者权益保护法等民事法律关于个人信息权利的范围。新法将个人权利单独成章,赋予了公民个体对自己个人信息的‘自我决定权’和充分的‘知情权’。”朱巍表示。
向“大数据杀熟”“信息曝光”说不,个性化推送可关闭
朱巍认为,“我的权利我做主”在个人信息保护法中得到了具体体现。老百姓依法享有对自己信息的查询权、复制权、删除权、更正权、保持完整性和准确性权、投诉权、要求说明权和诉讼权。这些新型权利基本构成了适应大数据时代个人信息保护的权利保护体系。
例如,在个保法出台前,用户在接受互联网产品和服务时,仅享有注册权,很少有人尝试过“注销权”。很多App或网络服务,当用户不再使用的时候,随手从手机中删除,却忘记了之前在平台的注册信息、身份信息和行为数据,这些信息不会因为个人删除行为而自行消失。个保法出台后,用户一旦停止使用某款网络服务,在删除应用的同时,平台也应依法对用户现存信息进行删除,确保用户个人信息不会成为那些“睡眠应用”的非法财产。
而对于用户在App平台中遇到同一款产品,不同人显示的价格不一样,甚至在不同型号的手机上显示价格也不同的“大数据杀熟”行为,个保法也有了明确的要求——个人信息保护法第二十四条规定,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。丁晓东认为,这明确否定了“大数据杀熟”等现象。
此外,个保法规定,通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
安恒信息高级副总裁、首席科学家刘博告诉贝壳财经记者,上述条款限制了平台对个人画像及针对性营销的能力。
中国电子技术标准化研究院网络安全研究中心测评实验室副何延哲则表示,(自动化决策条款)肯定会对广告业产生影响,以前用户往往只能被动接受个性化广告的推送,用户拥有主动权后,可以自行选择是否开启类似功能。“以前许多广告商在无限度追求商业利益的过程中,经常忽略用户个人的感受。如今出台了相关法规,他们便要承担之前野蛮发展的后果——曾经让多少用户反感,以后可能就要承担多少用户关闭个性化推荐后的损失。”
同时,针对广泛存在的已公开个人信息的利用问题,《个人信息保护法》也专门规定个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息,而个人对此有权明确拒绝,并且如果个人信息处理者处理已公开的个人信息对个人权益有重大影响的,仍然应当依法取得个人同意。
“个保法从个人信息处理的一般规则到敏感个人信息处理的特殊规则,乃至个人信息跨境提供的单独规则设定,无不反映了立法者对于个人权益的着重保护,以及对于各利益相关方多样诉求的兼容权衡,并通过系统的个人权利内容以及个人信息处理者义务相关规定予以全面的细化落实,切实贯彻保护个人信息权益与促进个人信息合理利用的双重立法目的。”吴沈括表示。
吸收接轨国际立法,探索开创中国路径
多位专家认为,个保法吸纳了不少国际立法的成功经验,但同时也结合中国国情做出了创新。
吴沈括认为,个保法注重发挥国家、社会、企业和个人等不同主体的协同作用,打造个人信息保护领域的多方共享共治模式。个保法特别强调国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关行业组织和社会公众共同参与个人信息保护的良好环境,为促进个人信息合理利用奠定坚实的、可持续的生态基础。“更进一步而言,个保法还对当下我国民众的诸多现实关切做出了及时、有效的回应,提出了具有鲜明时代印记与中国特色的规则安排。”
例如,针对目前多发的个人信息泄露事件,个保法明确规定个人信息处理者的义务规则,要求其立即采取补救措施,并且面向履行个人信息保护职责的部门和个人通知个人信息泄露的原因、丢失的个人信息种类和可能造成的危害、已采取的补救措施以及个人可以采取的减轻危害的措施等重要事项。
需要注意的是,对于不同类型的个人信息,个保法规定,个人信息处理者要针对不同类型的信息进行分类处理。
吴沈括认为,信息分类是立法的总体要求,包括数据安全法中提到数据分类分级管理。落实到个人信息保护领域,分为敏感信息和非敏感信息、未成年人信息和成年人信息等。企业也可基于自身业务实践做进一步分类,“立法者也是希望企业能针对不同类型的数据有不同强度、不同形式的保护,体现个保法全面保护的要求”。
但对比个保法二审稿,对个人信息进行分级的表述在正式稿中被删除。
吴沈括表示,在不同场合中个人信息的敏感性质不相同,同一个信息在不同应用场景中的价值属性也不相同,拿掉“分级”是为了给予企业更具弹性的操作空间,但不意味着个人信息分级不重要。
“可以期待,在个保法科学、系统、全面的顶层设计之下,后续随着监管执法举措的不懈推进、司法裁判规则的不断丰富、多方参与共治的持续培育以及国际交流合作的深入开展,置身代码世界的广大人民群众将长久拥抱个人信息合法权益受保护、个人信息处理活动受规范、个人信息合理利用受促进的数字治理新生态。”吴沈括表示。
“综合而言,我国的个人信息保护法对相关制度进行了全方位的规定,体现了我国政府维护公民基本权益的决心,为个人信息的规范化收集与利用提供了保障。随着几个月后个人信息保护法的生效实施,这一数字时代的基本法也必将为我国数字社会治理与数字经济发展注入更为强大的动力。”丁晓东表示。
新京报贝壳财经记者 罗亦丹 编辑 徐超 校对 陈荻雁
