近日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布《汽车数据安全管理若干规定(试行)》。《规定》明确,汽车数据处理者应当履行个人信息保护责任,充分保护个人信息安全和合法权益。(图片来源:视觉中国)
8月27日发布的《中国互联网络发展状况统计报告》显示,我国网民规模达10.11亿,互联网普及率达71.6%。在信息化时代,个人信息保护已成为上网群众最关心最直接最现实的利益问题。
近日,十三届全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)。该法坚持和贯彻以人民为中心的法治理念,牢牢把握保护人民群众个人信息权益的立法定位,聚焦个人信息保护领域的突出问题和人民群众的重大关切,构建了权责明确、保护有效、利用规范的个人信息处理和保护制度规则。
个人信息保护立法持续铺开
对于个人信息保护问题的制度性回应,起源于20世纪六七十年代计算机在世界各国的普及应用。当政府机构、大型跨国公司通过计算机大规模处理个人信息时,传统法律中防御性的、事后救济性的“隐私权”已难以完全解决个人信息非法收集和利用问题。私法领域的“隐私权”逐步发展为公法领域的个人信息保护制度,即在未发生明确的隐私侵害后果之前,通过行为规范方式,明确个人信息处理方式,包括知情同意、最小化、目的特定、保障安全与可问责等。半个世纪以来,个人信息保护立法持续在全球铺开。
如同信息化在全球依次展开,个人信息保护立法在不同国家呈现出不同的阶段性特点。步入21世纪后,我国移动互联网快速发展,个人信息收集处理成为一个社会问题,于是立法开始加速规范。
2000年,全国人大常委会通过的《全国人民代表大会常务委员会关于维护互联网安全的决定》首次涉及个人信息保护,主要包括侵犯公民通信自由和通信秘密。2003年,国务院信息化办公室对个人信息立法研究课题进行部署,于2005年形成专家意见稿。
随后,我国网络数据立法整体加快。以2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》为开端,《网络安全法》(2016)、《电子商务法》(2017)陆续出台。除专门网络法,传统法律的制定、修订工作也给予网络空间前所未有的关注:《消费者权益保护法(修订)》(2013)、《刑法修正案(九)》(2015)、《民法总则》(2017)、《民法典》(人格权编)(2020)都补充了个人信息保护相关条款。这些散落在各个法律中的条款一定程度上回应了公众关切,但尚未全面建立起个人信息保护法律体系。
2018年9月,《个人信息保护法》正式纳入人大立法规划,历经3年起草制定工作后,于2021年8月20日正式出台,标志着与我国网络大国、数字大国相匹配的制度建设逐步走向成熟。自此,我国形成了以《网络安全法》《数据安全法》《个人信息保护法》三法为核心的网络法律体系,为数字时代的网络安全、数据安全、个人信息权益保护提供了基础制度保障。
个人信息保护法十大亮点
《个人信息保护法》在有关法律基础上,进一步细化、完善个人信息保护应遵循的原则和个人信息处理规则,明确个人信息处理活动中的权利义务边界,健全个人信息保护工作体制机制,主要亮点如下。
确立个人信息保护原则。这是收集、使用个人信息的基本遵循,是构建个人信息保护具体规则的制度基础。《个人信息保护法》强调处理个人信息应遵循合法、正当、必要和诚信原则,具有明确、合理的目的并与处理目的直接相关,采取对个人权益影响最小的方式,限于实现处理目的的最小范围,公开处理规则,保证信息质量,采取安全保护措施等。
规范处理活动保障权益。《个人信息保护法》紧紧围绕规范个人信息处理活动、保障个人信息权益,构建以“告知-同意”为核心的个人信息处理规则。例如,处理个人信息应当在事先充分告知的前提下取得个人同意,个人信息处理的重要事项发生变更的应当重新向个人告知并取得同意。
禁止“大数据杀熟”,规范自动化决策。当前,越来越多的企业用大数据分析和评估消费者的个人特征用于商业营销,最典型的就是社会反映突出的“大数据杀熟”。对此,《个人信息保护法》规定:个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
严格保护敏感个人信息。《个人信息保护法》规定,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可处理敏感个人信息,同时应当事前进行影响评估,并向个人告知处理的必要性以及对个人权益的影响。此外,《个人信息保护法》将不满十四周岁未成年人的个人信息确定为敏感个人信息予以严格保护。
规范国家机关处理活动。《个人信息保护法》对国家机关处理个人信息的活动作出规定,特别强调国家机关处理个人信息的活动适用本法,并且处理个人信息应当依照法律、行政法规规定的权限和程序进行,不得超出履行法定职责所必需的范围和限度。
赋予个人充分权利。《个人信息保护法》将个人在个人信息处理活动中的各项权利,总结提升为知情权、决定权,明确个人有权限制个人信息处理;同时,要求在符合国家网信部门规定条件的情形下,个人信息处理者应当为个人提供转移其个人信息的途径。此外,《个人信息保护法》还对死者个人信息的保护作了专门规定。
强化个人信息处理者义务。《个人信息保护法》明确了个人信息处理者的合规管理和保障个人信息安全等义务,要求个人信息处理者按照规定制定内部管理制度和操作规程,采取相应的安全技术措施,指定负责人对其个人信息处理活动进行监督,定期对其个人信息处理活动进行合规审计,对处理敏感个人信息、利用个人信息进行自动化决策、对外提供或公开个人信息等高风险处理活动进行事前影响评估,履行个人信息泄露通知和补救义务等。
赋予大型网络平台特别义务。《个人信息保护法》对大型互联网平台设定了特别的个人信息保护义务:按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;遵循公开、公平、公正原则,制定平台规则;对严重违法处理个人信息的平台内产品或者服务提供者,停止提供服务;定期发布个人信息保护社会责任报告,接受社会监督。
规范个人信息跨境流动。当今个人信息的跨境流动日益频繁,但由于遥远的地理距离以及不同国家法律制度、保护水平之间的差异,个人信息跨境流动风险越来越难以控制。《个人信息保护法》构建了一套清晰、系统的个人信息跨境流动规则,以满足保障个人信息权益和安全的客观要求,适应国际经贸往来的现实需要。
健全个人信息保护工作机制。该法明确国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作,同时对个人信息保护和监管职责作出规定,包括开展个人信息保护宣传教育、指导监督个人信息保护工作、接受处理相关投诉举报、组织对应用程序等进行测评、调查处理违法个人信息处理活动等。
把个人信息保护意识融入决策
制度的生命力在于执行。只有将《个人信息保护法》切实落到实处,广大人民群众网络空间合法权益才能维护好、保障好、发展好,广大人民群众在数字经济发展中才能享受更多的获得感、幸福感、安全感。为此,党员干部必须深入学习、深刻领会《个人信息保护法》的精神实质和实践要求,不断提升法律意识,在日常工作和生活中知法守法。
首要在学。在智慧城市、数字治理建设背景下,政府成为最主要的数据处理机构,政府机关和党员干部应该认真遵循《个人信息保护法》,在履行法定职责的范围内,依法依规处理个人信息,在全社会起到示范作用。作为党和政府与群众之间的“连心桥”,党员干部要把坚持学习放在重要位置,掌握《个人信息保护法》确立的基本原则、数据处理合法性基础、个人信息的分类(包括敏感信息、匿名化信息、去标识化信息等类别)、数据处理者的义务等基本内容,不断提高大数据时代公民个人信息法律保护意识,要主动跟上数字法治国家建设的相关内容与要求,深刻理解公民个人信息法律保护的重大现实意义,确保学有所得,行有所依。
关键在用。在应用《个人信息保护法》方面,党员干部要知行合一,善于用法,带头做学法、懂法、用法模范先锋。要把公民个人信息保护意识融入经济社会发展的宏观决策之中,从法律角度去分析、思考问题。要统筹个人信息的保护与利用,通过权责明确、保护有效、利用规范的法律制度,在保障个人信息权益基础上,促进信息数据依法合理有效利用,推动数字经济持续健康发展。要自觉依法行使处理公民个人信息的权力,以严密的制度、严格的标准、严厉的问责,规范个人信息处理活动,落实企业、机构等个人信息处理者的法律义务和责任,维护网络空间良好生态。要敢于同破坏个人信息保护的不法行为作斗争,发现违规违纪现象或一些苗头性问题,及时批评教育,督促纠正,防微杜渐,真正让《个人信息保护法》在“用法”中实现坚持和完善的辩证统一。
(中国政法大学商学院 戴建华)