本版文章标题:
《个人信息保护法时代的隐私保卫战》系列报道之一
立法亮剑,终结信息“裸奔时代”
编者按
数据被称为“信息时代的石油”,作为数据内容之一的个人信息,毫无疑问,因具有巨大的商业价值潜力而被广泛关注。
不可否认,数据的信息交流已经完全渗透并覆盖到当今社会人类日常生活中所涉及的各个领域。我国作为人口大国,数据产业带来的经济体量不容小觑,而大多数人可能不注意的是,平时我们在使用手机软件时留下的搜索记录、聊天信息、访问足迹等,都有可能成为用来牟利的信息资源。当下我国正处于全面数字化转型的高质量发展新阶段,在新技术新应用层出不穷的生态语境下,个人信息的处理已经成为社会进步和产业升级新的驱动力,而广大民众对于加大个人信息保护力度也有着空前的关切和期待。
2021年11月1日,《个人信息保护法》正式施行,标志着我国个人信息保护立法体系更上一个台阶。针对不得过度收集个人信息、“大数据杀熟”、对人脸信息等敏感个人信息的处理等问题作出规制,可以说,这部法律急民之所急,解民之所忧,充分回应了社会关切。
《个人信息保护法》实施四个多月来,侵害个人信息权益的违法行为频频发生在我们每一个人身边。进入2022年以来,工业和信息化部已经完成两批次134款App和SDK的200多个合规问题的通报。不可否认,保护个人信息,拥抱个人信息合法权益受保护、个人信息处理活动受规范、个人信息合理利用受促进的数字治理新时代,任重而道远。
由此可见,如何使用好这部法律,发挥其应有作用,还需我们共同努力。
在信息化时代,个人信息保护已经成为广大人民群众最关心、最直接、最现实的利益问题之一。不过,随着个人信息价值的凸显,个人信息安全风险与日俱增。
一方面,数字诊疗、人脸识别、人工智能等领域的技术发展给人们生活带来便捷的同时,也使得个人信息安全遭受侵害的风险进一步加大;另一方面,消费者个人信息被过度收集的现象又屡见不鲜:“下载网上购物App,需要获取通讯录权限。”“去饭店吃饭,需要扫码才能点餐。”“走进售楼处,在毫不知情时,人脸信息就可能被记录。”“随意丢弃的小小快递盒,上面的信息让不法分子轻松获得你的隐私信息。”⋯⋯
个人信息被泄露、非法窃取、滥用、贩卖等安全事件的频发,既给个人隐私带来了严重的安全隐患,也给社会秩序和人民群众的切身利益造成多重危害。因此,急需从法律层面加大保护力度。尤其在新冠肺炎疫情发生后,大数据、人工智能等技术广泛应用于防疫措施之中,不少人担忧自己的个人信息能否得到有效保护,制定《个人信息保护法》十分必要且呼声迫切。
2021年8月20日,《中华人民共和国个人信息保护法》正式通过,并于2021年11月1日起施行。再加上《中华人民共和国网络安全法》和《中华人民共和国数据安全法》,我国现已构筑营造良好数字社会生态的三大法治基石。
这部法律何以被誉为“具有划时代意义的最重要、最必要的法律”?它有哪些必须要称赞的亮点?让我们一起划重点。
“合法、正当、必要、诚信”
作为《个人信息保护法》最大的亮点之一,个人信息保护原则的确立,对规范个人信息处理活动、保障个人信息权益起到总领式的定调。
近年来,我国个人信息保护力度不断加大,但在现实生活中,依然存在一些企业、机构和个人过度收集、非法买卖个人信息,并利用非法获取的个人信息侵害人民群众合法权益的现象。
不仅仅在现实生活中,网络个人信息侵害现象也早已泛滥成灾。虽然,这些年我国在信息服务方面步速很快,尤其在某些方面已经处于国际领先地位,但同时不得不承认,网络个人信息保护却呈现滞后之貌,并且问题相当突出。不难发现,现在网上对个人信息的非法收集或误导收集,甚至胁迫收集已经泛滥成灾,诸如非法买卖个人信息,甚至涉及诈骗的案件也层出不穷。
究竟如何规范个人信息处理活动?法条当然不能一一预设情景式加以规范,原则的确立至关重要。《个人信息保护法》借鉴国际经验,并立足我国实际,强调处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的并与处理目的直接相关,采取对个人权益影响最小的方式,限于实现处理目的的最小范围,公开处理规则,保证信息质量,采取安全保护措施等。
其中,备受瞩目的是纳入“诚信”原则,其对于社会反映突出的“大数据杀熟”问题,起到很好的整治效果。作为一种商业营销手段,近些年越来越多的企业习惯利用大数据分析、评估消费者的个人特征,形成“用户画像”。在日常消费中,我们经常遇到这样的情况:同一款产品,不同用户接收到的价格不一样,甚至在不同型号的手机上显示价格也有所不同。有一些企业通过掌握消费者的经济状况、消费习惯、对价格的敏感程度等信息,对消费者在交易价格等方面实行歧视性的差别待遇,误导、欺诈消费者。
这种“大数据杀熟”行为严重违反诚实信用原则,侵犯了消费者权益保护法规定的消费者享有公平交易条件的权利,应当在法律上予以禁止。对此,《个人信息保护法》明确规定:个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
当然,原则的确立所产生的辐射范围不仅限于此,2021年8月20日,全国人大常委会法工委经济法室副主任杨合庆就《个人信息保护法》答记者问时表示,个人信息保护的这些原则应当贯穿于个人信息处理的全过程、各环节。
“写满对人的关怀”
除了确定原则,为了保障个人对其个人信息处理知情权和决定权,此次立法构建了以“告知-同意”为核心的个人信息处理规则。这一规则可视为对现实生活中社会反映强烈的一揽子授权、强制同意等问题的精准亮剑。
其实,早在《个人信息保护法》审议阶段,全国人大常委会委员们就对该项内容展开过重点的发言讨论。如草案分组审议期间,孙建国委员提出,对个人信息的收集,必须制定更加严格和明确的限制,必须明确规定一切与信息服务无关的个人信息严禁收集。过往中极其普遍的是,很多运营商、服务平台在使用协议中规定,若想使用它的服务,必须提前同意它的使用协议,协议要求对使用者手机里所有信息进行访问,完全超出服务所需,为个人信息处理违法提供了前提。这种现象,在孙建国委员看来,是应被严令禁止的。
从尊重个人意愿出发,谭耀宗委员也表明,公开或向他人提供个人信息的,都必须且只能通过“取得个人单独同意”的方式,法律、行政法规对此不加干预。这既表达出法律对个人隐私的充分尊重,亦体现出我国民主、文明和对人权保障的决心。
《个人信息保护法》要求,处理个人信息应当在事先充分告知的前提下取得个人同意,个人信息处理的重要事项发生变更的应当重新向个人告知并取得同意。同时,《个人信息保护法》特别要求,个人信息处理者在处理敏感个人信息、向他人提供或公开个人信息、跨境转移个人信息等环节应取得个人的单独同意。明确个人信息处理者不得过度收集个人信息,不得以个人不同意为由拒绝提供产品或者服务,并赋予个人撤回同意的权利。在个人撤回同意后,个人信息处理者应当停止处理或及时删除其个人信息。这一系列规定,可以说将保障知情同意权做到了极致。
作为此次立法的亮点之一,《个人信息保护法》赋予个人充分的权利,囊括了个人在个人信息处理活动中的各项权利,包括知悉个人信息处理规则和处理事项、同意和撤回同意,以及个人信息的查询、复制、更正、删除等,总结提升为知情权、决定权,明确个人有权限制个人信息的处理。
同时,为了适应互联网应用和服务多样化的实际,满足日益增长的跨平台转移个人信息的需求,《个人信息保护法》对个人信息可携带权作了原则规定,要求在符合国家网信部门规定条件的情形下,个人信息处理者应当为个人提供转移其个人信息的途径。
不仅如此,《个人信息保护法》还对死者个人信息的保护作了专门规定,明确在尊重死者生前安排的前提下,其近亲属为自身合法、正当利益,可以对死者个人信息行使查阅、复制、更正、删除等权利。
除此以外,这亦是一部被誉为体现对人的关怀的法律。值得关注的是,《个人信息保护法》将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹、不满十四周岁未成年人的个人信息等信息,列为敏感个人信息。《个人信息保护法》要求,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可处理敏感个人信息。同时,应当事前进行影响评估,并向个人告知处理的必要性以及对个人权益的影响。
杨合庆表示,这主要是考虑到此类信息一旦泄露或者被非法使用,极易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。因此,对处理敏感个人信息的活动应当作出更加严格的限制。
审议期间,委员们对敏感个人信息的内容,也纷纷提出各自的看法和建议。讨论中,大家普遍感受到现实中过度收集、处理甚至滥用个人敏感信息的情况层出不穷,比如使用手机App开展银行业务、小区门禁系统要求采集使用者人脸、指纹、掌纹、虹膜等个人生物识别信息等,这些都是过度收集或者处理敏感个人信息的行为。针对此,王东明副委员长建议对敏感个人信息的处理,除了草案规定的“充分必要”“单独同意”“告知”几项原则外,还应当提出更有针对性的处理规则。建议对金融机构、医疗机构、科技公司等特定企业或者组织采集、存储、处理敏感个人信息作出明确规定,对存储敏感个人信息必须采取加密处理和技术安全保障作出规定,对敏感个人信息及时删除作出规定等等。
“管住责任人”
不论是网络数据的传输、运算、分类、下载、运用等环节,还是手机的生产、设定、功能和应用,都是人在操作。硬件由人生产,软件也都是人在设计。当然,这一逻辑也很清晰易懂。有能力生产出一种新的产品,研发出一项新的技术,也就一定有人负责,问题在于管还是不管。如同吉炳轩副委员长所说,造锁者必定能开锁,设计机关的人就一定能打开机关。谁能把铃铛系在老虎脖子上,谁就能再去解下来。解铃还须系铃人,要解决好个人信息保护问题,最核心的是管住责任人。
现实中,个人信息处理者具有天然的逐利需求,但同时又占据数字权力和信息不对称的绝对优势地位,很容易在面对巨大利益诱惑时做出错误选择。《个人信息保护法》正是基于复杂数字化背景下个人信息保护目标不能仅仅靠个人信息处理者的“自觉”,除了对相关自主管理规则作了完善,还建立起更加科学合理的治理保护体系。
考虑到个人信息处理者是个人信息保护的第一责任人,强化个人信息处理者义务是规范活动、保障个人权益的应有之义,《个人信息保护法》强调,个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。不仅设专章明确了个人信息处理者的合规管理和保障个人信息安全等义务,还要求个人信息处理者按照规定制定内部管理制度和操作规程,采取相应的安全技术措施,指定负责人对其个人信息处理活动进行监督,定期对其个人信息活动进行合规审计,对处理敏感个人信息、利用个人信息进行自动化决策、对外提供或公开个人信息等高风险处理活动进行事前影响评估,履行个人信息泄露通知和补救义务等。
在众多个人信息处理者之中,互联网平台作为提供经营者处理个人信息基础技术服务、设定基本处理规则的平台,是个人信息保护的关键环节。考虑到提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者对平台内的交易和个人信息处理活动具有强大的控制力和支配力,因此在个人信息保护方面大型网络平台应当承担更多的法律义务。
于是我们看到,在《个人信息保护法》(草案)(二次审议稿)中增加了互联网平台作为个人信息处理者的严格管理和防范义务,在《个人信息保护法》(草案)(三次审议稿)进一步增加了应正确制定平台规则以更好明确平台产品和服务处理个人信息活动规范的管理义务。这种提高大型互联网平台经营业务的透明度,完善平台治理,强化外部监督,形成全社会共同参与的个人信息保护机制的做法,不仅是对现实中社会呼声的回应,也顺应了国际上平台治理规范的发展趋势。
同时,《个人信息保护法》对国家机关处理个人信息的活动作出专门规定,特别强调国家机关处理个人信息应当依照法律、行政法规规定的权限和程序进行,不得超出履行法定职责所必需的范围和限度。以此应对近年来有些国家机关存在个人信息保护意识不强、处理流程不规范、安全保护措施不到位等问题,导致个人信息泄露事件发生。
当然,这部立法的亮点、优点不限于此。个人信息保护涉及的领域广,相关制度措施的落实有赖于完善的监管执法机制,于是“健全个人信息保护工作机制”的相关内容亦有涉及。另外,《个人信息保护法》构建了一套清晰、系统的个人信息跨境流动规则,满足保障个人信息权益和安全的客观要求,适应国际经贸往来的现实需要。
制定《个人信息保护法》,是依法加强个人信息保护的客观要求,是维护网络空间良好生态的现实需要,也是促进数字经济健康发展的重要举措。
毋庸置疑,《个人信息保护法》不仅奠定了我国个人信息保护的新法基础,而且也成为数字化背景下的一部基础性立法。它勇敢地迎接个人信息保护的现实挑战,满足了“数字人格”安身立命的现实需求。
这大概就是称它具有跨时代意义的最好诠释吧!
● 责任编辑:刘瑜