随着数字经济的飞速发展,个人信息成为重要的数字经济资源。数据显示,截至2020年3月,我国互联网用户数量已达9亿,互联网网站超过400万个,应用程序数量超300万,个人信息的收集、使用非常广泛。虽然我国在网络信息的规范方面不断加大监管力度,但一些企业和个人过度追求商业利益,随意收集、违法获取并使用、非法买卖个人信息。个人信息泄露和滥用,成为我国亟需解决的社会热点问题。
一直以来国家高度重视网络与数据安全以及个人信息保护领域的立法。11月1日,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)的正式实施,开启了个人信息保护的新阶段。
《个人信息保护法》明确四大要点
当前一些企业、机构甚至个人,只为追求商业利益,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题十分突出。
浙江大学教授、博导,中国通信学会网络空间安全战略与法律委员会副主任委员王春晖认为,《个人信息保护法》的出台与实施是我国保护个人信息立法的“里程碑”事件,这将进一步增强法律规范的系统性、针对性和可操作性,在个人信息保护方面形成更加完备的制度、提供更加有力的法律保障。通过专门的个人信息保护立法,将系统地建立权责明确、保护有效、利用规范的个人信息处理规则,在保障个人信息权益,特别是在保护个人隐私信息不受侵犯的基础上,促进个人信息的依法合理有效利用,推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境,以数据作为重要生产要素的数字经济才能持续健康发展。
《个人信息保护法》第一章第五条规定“处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。”国家计算机网络应急技术处理协调中心江苏分中心副研究员董宏伟认为保护个人信息包含以下四大要点。
首先,明确了个人信息保护的基本原则。如合法、正当、必要和诚信原则,公开、透明原则等。法律原则能在法律适用过程中起到补充、矫正、解释的重要作用。
其次,明确了个人信息处理中的“知情-同意”规则。“知情-同意”规则是个人信息保护的核心规则,是保证个人信息决定权和处理知情权的重要手段。当然,在个人信息处理领域,为兼顾数据利用的实际情况,《个人信息保护法》为“知情-同意”规则设置了若干例外。
再次,明确了个人信息分级保护制度。《个人信息保护法》将个人信息分为一般个人信息与敏感个人信息,对后者实行更为严格的保护。《个人信息保护法》将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息列为敏感个人信息,要求只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可处理敏感个人信息。
最后,强化了个人信息保护主体责任及违法的法律后果。《个人信息保护法》明确了个人信息处理者、大型网络平台等主体的义务,如事前影响评估、个人信息泄露通知和补救义务等。同时,相关义务的履行、相关制度措施的落实都有赖于完善的监管执法机制。《个人信息保护法》明确了执法主体,并规定了不同违法行为所对应的行政处罚等法律后果。
互联网平台严格落实《个人信息保护法》是关键
个人信息的违法收集、过度收集和使用是导致个人信息泄露和监管难度大的最重要因素。王春晖认为,为了规范个人信息的使用和收集,要严禁过度收集、使用和泄露个人信息,《个人信息保护法》构建了以“告知-知情-同意”为核心的个人信息处理规则体系。个人信息处理者“告知”的目的是为了确保被告知者的充分“知情”,只有被告知者在充分知情的前提下才能自愿、明确地做出决定。为此,《个人信息保护法》第十四条明确规定:“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。”
《个人信息保护法》总则部分第六条确立的两个“最小原则”,是个人信息处理应遵循的核心原则,尤其是处理目的的“最小范围”。这是禁止个人信息处理者“过度收集个人信息”的关键要点,因为个人信息处理者只有在严格遵守处理目的的“最小范围”的前提下,即“非必要不收集”的情况下,才能确保其采取对个人权益影响最小的方式收集个人信息。
要做到对个人信息的有效监管,互联网平台要严格落实《个人信息保护法》有关规定,发挥主体责任。董宏伟认为,平台企业类似于扮演一种“准监管者”的角色,在个人信息保护中的定位非常特殊。因此如何对“准监管者”进行监管,如何让政府权力与平台自律形成合力是《个人信息保护法》得以执行的关键。《个人信息保护法》第五十八条规定了平台企业个人信息保护的特殊义务,主要包括:按照国家规定建立健全个人信息保护合规制度体系;成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;制定平台用户处理个人信息的规则;定期发布个人信息保护社会责任报告,接受社会监督。
如此,《个人信息保护法》大致勾勒出监管部门、平台企业和用户守卫“个人信息”的基本脉络:对内,平台企业担任监管者角色,通过构建平台内部个人信息处理规则以监管平台用户的个人信息处理行为;对外,平台企业担任被监管者角色,接受监管部门监督、社会监督和外部独立机构监督。
道阻且长,行则将至
“《个人信息保护法》第十一条规定,国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境”。王春晖表示,随着《个人信息保护法》的实施,我国将不断建立个人信息保护的配套规定和保护标准,逐步完善个人信息保护的法律体系。
2021年11月5日,中央网信办发布《提升全民数字素养与技能行动纲要》,明确提出要加大个人信息和隐私保护相关法律法规的普及宣传力度,提高全民个人信息和隐私保护意识。制定完善个人信息和隐私保护标准,健全个人信息和隐私保护监管机制,优化社会群众监督举报机制,压实行业组织、企业机构等保护个人信息安全主体责任,加大对侵犯个人信息和隐私等违法犯罪行为的打击力度。
《个人信息保护法》全面、系统地涵盖了个人信息保护的收集、使用、权利、义务以及履行个人信息保护职责的部门等,回应了当下热议的“大数据杀熟”“滥用人脸识别”等热点问题,有效地规范了个人信息在处理过程中的行为。但专家认为,我国《个人信息保护法》还有很长的路需要走。董宏伟认为,《个人信息保护法》作为我国在个人信息保护领域的专门立法,立足国内信息领域具体实践、充分借鉴域外立法经验,回应了时下产业与法律实践的热点难点,一定程度上揭示了今后的立法与执法趋势。立足当下,《个人信息保护法》无疑是我国在个人信息保护立法上的里程碑,但其却远非终结者。“道阻且长,行则将至”,一方面,《个人信息保护法》还有待司法和执法的后续实践,才能真正落地生根,最终成为保护个人权益、激励稳健发展、连接国家命运的数字时代基本法;另一方面,情势变化终究无法预测,社会发展仍将持续不断,可以预见,随着时代的不断发展,个人信息保护立法必然将不断走向成熟,甚至还会出现一些重大变化。但无论发生什么变化,都无法抹杀《个人信息保护法》在立法领域对个人信息保护的重大价值和深刻内涵。