返回首页
观点·实践CURRENT AFFAIRS
观点·实践 / 正文
共同构筑个人信息保护的安全屏障

  2021年8月20日,十三届全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),该法自今年11月1日起生效实施。作为中国首部针对个人信息保护的专门性立法,《个人信息保护法》将与《网络安全法》《数据安全法》一起构建我国网络空间治理和数据保护的法律体系。不同于《网络安全法》侧重于网络空间综合治理、《数据安全法》作为数据领域的基础性法律主要围绕数据处理活动展开,《个人信息保护法》从自然人个人信息的角度出发,给个人信息上了一把“法律安全锁”。

  法律条款积极回应社会关切

  《个人信息保护法》充分确立了以人民为中心的个人信息保护理念与法治规则,使人民群众在数字社会中的权利得到了充分尊重、实现与保护。“这是继《网络安全法》《民法典》《数据安全法》颁布后,就个人信息的收集、存储、使用、加工、传输、提供、公开、删除等确立的全面保护规则。”中南大学法学院院长许中缘表示,这样一部保护个人信息的基础性法律,完善了我国在网络安全和数据保护领域的顶层设计。“个人信息是信息时代的‘石油’,谁掌握了信息,谁就掌握了智慧时代的‘按钮’。个人信息不仅是财产问题,还涉及国家社会、经济安全、数字经济社会发展等重要问题,再加上当前个人信息的收集广度与深度前所未有地加强,亟须制定专门的信息保护法。与此同时,在国际上,欧盟、美国都出台了相关的法律,《个人信息保护法》的制定也是适应个人信息跨境流动、个人信息国际合作保护的需要。”

  个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。个人信息的处理,包括收集、存储、使用、加工、传输、提供、公开、删除等。《个人信息保护法》的出台为个人信息权益保护、信息处理者的义务以及主管机关的职权范围提供了全面的、体系化的法律依据。“《个人信息保护法》出台的时代背景有着丰富的国际国内蕴涵。”北京师范大学网络法治国际中心执行主任、中国互联网协会研究中心副主任吴沈括指出,一方面,随着数字经济的蓬勃发展,世界各国日益重视个人信息的多重价值属性,纷纷出台个人信息保护的专门立法。个人信息法律保护已成为衡量一国法治文明和法治水平的重要指针。另一方面,当前我国正处于全面数字化转型的高质量发展新阶段,个人信息的处理已成为社会进步和产业升级新的驱动力。因此,制定个人信息保护法也是保障公民个人信息权益、促进个人信息合理利用的必然举措。

  在数字经济时代,个人与网络信息服务提供者之间存在明显的信息鸿沟,《个人信息保护法》的出台顺应人民群众最迫切的权益诉求。对此,全程参与了《个人信息保护法》的立法工作的中国人民大学法学院教授张新宝表示,新法落地后,信息处理者的责任和义务、合规成本必然会提高,但这也是走向合理规范的一个过程。过去互联网经济的野蛮生长,已经给公众带来许多问题,国家必须要将其控制在一个正确、健康的范围内去发展,让它不仅高速发展,还能健康发展,这也是立法的初衷。

  “告知——同意”是核心规则

  为保障个人信息处理知情权和决定权,《个人信息保护法》将“告知——同意”作为个人信息保护核心规则。此前个人信息被采集之后,往往不知道信息的流向,“单向告知”成为常态。这一现象得到《个人信息保护法》充分重视,“一揽子授权”“强制同意”等过度收集用户个人信息的行为将被限制。全国人大常委会法工委经济法室副主任杨合庆指出,随着信息化与经济社会持续深度融合,现实生活中一些企业、机构甚至个人从商业利益出发,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题十分突出。

  《个人信息保护法》规定,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围。同时规定,处理个人信息应当在事先充分告知的前提下取得个人同意,个人信息处理的重要事项发生变更的,应当重新向个人告知并取得同意。中央党校(国家行政学院)政法部教授刘锐表示,将“告知——同意”确定为个人信息处理的基本规则,是个人对个人信息处理享有知情权、决定权的必然要求。“也就是说,要保证个人对信息处理‘充分知情’,就应该以显著的方式、清晰易懂的语言让个人知道谁在处理他的信息、信息被怎样处理、可能对他造成何种影响,以及怎么要求更正、查询、删除个人信息等。”

  在《个人信息保护法》中,众多条款都将“同意”作为基本前提。如第十三条列举的可以处理个人信息的情形中,“取得个人的同意”放在第一位;第十四条规定,“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出”;第二十九条规定,“处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定”等。“这种同意必须是建立在告知基础上的有效同意,包括‘单独同意’‘书面同意’,‘同意’后还可‘撤回’。这充分体现了法律对个人信息处理知情权和决定权的保护。”北京大学法学院教授薛军说。

  强化规则保护敏感信息

  敏感个人信息的保护是《个人信息保护法》的重要内容之一。“敏感个人信息一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害,人身、财产安全受到危害。因此,对于敏感个人信息的保护,是个人信息保护法的重中之重。”张新宝说。

  《个人信息保护法》借鉴了欧盟、美国等法域的立法经验并结合我国实际,加强了对包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹在内的敏感信息保护,并为不满14周岁未成年人信息制定专门的个人信息处理规则,相关条款对过去个人信息保护实践中存在问题的领域进行了重点回应。广东省法学会网络与电子商务法学研究会会长,暨南大学法学院教授刘颖认为, 《个人信息保护法》区分敏感与非敏感的个人信息,并在此基础上确定了敏感个人信息的特殊处理规则,与世界主流个人数据保护立法一致,体现了对与人格尊严或人身、财产安全密切相关的个人信息的倾斜保护,能更有效地防范个人信息风险,更全面保护个人信息主体的利益。同时,区别对待不同种类的个人信息,能提高对处理行为的可预测性,明确了企业合规重点,在一定程度上降低企业的合规成本,有利于数字经济发展。

  值得一提的是,《个人信息保护法》还专门规定,个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。中国信息安全研究院副院长左晓栋说,该规定旨在限制某些平台利用未成年人非法牟利,要求相关平台切实履行相应社会责任。“现在有的平台已经禁止未成年用户充值或‘打赏’,这就是专门针对未成年人制定个人信息处理规则的一种体现。”

  谈及强化对未成年人个人信息的保护,张新宝认为具有特殊的意义。“未成年人心智尚未成熟,其个人信息一旦被泄露或者非法使用,容易对其人格的健康、自由发展产生不利影响。而在个人信息处理活动中,未成年人没有足够的认识能力和控制能力,也缺乏足够的自我保护能力,其权益无疑更容易受到侵害,因此更应提供特殊保护。”张新宝说。

  《个人信息保护法》将上述这些信息都作为敏感个人信息,并要求只有在具有特定的目的和充分的必要性并采取严格保护措施的情形下,方可处理这些信息,同时应事前进行影响评估,并向个人告知处理的必要性以及对个人权益的影响。对于如何做好个人金融信息保护,中国人民银行科技司副司长李兴峰在出席2021中国国际金融科技论坛时表示,这要求金融业要提高个人金融信息保护意识,增强金融领域数据应用的安全性与合规性。在管理上,要建立覆盖全生命周期的数据治理和安全管理体系,探索多元化的数据共享与权属判定机制,在充分授权的前提下依法合规使用个人金融信息,提升数据要素资源配置效率;在技术上,既要利用加密存储、去标识化、身份认证等“老办法”严防数据泄露、篡改和不当使用,更要应用多方安全计算、联邦学习、联盟链等“新方法”实现数据可用不可见、数据不动价值动,构筑支撑跨机构、跨市场、跨领域数据安全共享的科技方舟。

  依法惩戒彰显法律权威

  个人信息处理活动涉及面广、情况复杂、主体多样、隐蔽性强,一旦发生侵害个人信息权益的行为,往往会对社会造成较严重后果。过去,维权面临的第一大难题是没有专门的法律。上海市海华永泰律师事务所付国峰律师认为,《个人信息保护法》确立了“告知——同意”核心规则,规定了侵犯公民信息的法律责任,对个人敏感信息和未成年人信息的保护更加严格,这将成为个人信息保护乃至捍卫公民权利的新篇章。“以往的大数据‘杀熟’案件中,往往存在定性难、解决难、维权难的问题。而《个人信息保护法》的出台将会改变这种局面。这部法律是对公民权利保护的升级,使个人信息保护工作真正有法可依。”付国峰说。

  为了充分保护个人信息权益,同时也是为了规范个人信息处理活动,促进信息产业发展,《个人信息保护法》顺势而为,明确了个人信息处理活动应当以合法、正当、必要和诚信作为基本原则。北京航空航天大学法学院副教授赵精武表示,任何类型和任何阶段的个人信息处理行为均应当满足这些原则性要求,即便现行立法没有明确规定特定个人信息处理行为是否满足法定义务,如若相关行为违背合法、正当、必要和诚信四项基本原则之一,也应当承担相应的民事法律责任,情节严重的,应当承担刑事责任。

  “《数据安全法》《个人信息保护法》为数据工作划定红线、明确原则、提供遵循,对过度收集滥用个人信息、违规处理用户数据等顽疾下了一剂猛药。”李兴峰表示。《个人信息保护法》对违法处理个人信息的行为设置了不同梯次的行政处罚。对未造成严重后果的轻微或一般违法行为,可由执法部门责令改正、给予警告、没收违法所得,对拒不改正的最高可处100万元罚款;对情节严重的违法行为,最高可处5000万元或上一年度营业额5%的罚款,并可以对相关责任人员作出相关从业禁止的处罚。杨合庆认为,《个人信息保护法》以严密的制度、严格的标准、严厉的问责,构建了权责明确、保护有效、利用规范的个人信息处理和保护制度规则。

  不过,《个人信息保护法》代表了价值取向、法律制度基本框架,具体到如何实施,需要大量的配套细则。“《个人信息保护法》的出台是一件大好事,但未来个人信息保护的配套制度建设和法律完善任务依然不轻。”刘锐表示,“法律的生命在于实施。这部法律规定了不少执法细则,有些处罚措施非常严厉但自由裁量空间比较大,这就要求执法既要严格,也要规范公正文明。”

责任编辑:原健凇