2021-08-30 15:38:43 來源:人民網
原標題:“十大亮點”彰顯個人信息全面保護
□我國個人信息保護法始終堅持以“告知同意”為核心構建個人信息的處理規則,利用多個條文對告知同意規則作出了詳細規定。
□為了確保個人信息處理活動的合法性與個人信息的安全,個人信息保護法對個人信息處理者的義務作出了嚴格且詳細的規定。其中特別值得注意的是,個人信息保護法第58條規定了提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者負有的特殊義務。
2021年8月20日,第十三屆全國人大常委會第三十次會議表決通過的《中華人民共和國個人信息保護法》,是我國第一部個人信息保護方面的專門法律。該法以保護個人信息權益、規范個人信息處理活動、促進個人信息合理利用為立法目的,對個人信息處理規則、個人在個人信息處理活動中的權利、個人信息處理者的義務、履行個人信息保護職責的部門以及法律責任作出了極為系統完備與科學嚴謹的規定。其中,最引人注意的是以下十大亮點:
亮點一:全方位規范個人信息處理活動。個人信息保護法對個人信息處理活動進行了全方位規范。首先,對個人信息的界定采取了關聯說,將其界定為:以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息。其次,在民法典列舉的個人信息的收集、存儲、使用、加工、傳輸、提供、公開等處理活動類型的基礎上,新增了“刪除”。再次,無論是國家機關、法律法規授權的具有管理公共事務職能的組織抑或作為營利法人的公司企業,或者非法人組織以及自然人,其實施的個人信息處理活動都適用個人信息保護法,除非法律另有規定。
亮點二:空間適用上以屬地管轄為原則,輔之以必要的保護性管轄。為適應互聯網的開放性、全球性及數據信息的流動性,充分保護我國境內自然人的個人信息權益,我國個人信息保護法在空間適用范圍即域外適用的問題上堅持了屬地管轄為原則,輔之以必要的保護性管轄。首先,依據該法第3條第1款,只要在我國境內處理自然人個人信息的活動,無論處理者是組織還是個人,無論是我國的還是外國的組織、個人,都必須適用個人信息保護法。其次,第3條第2款明確規定了三類在我國境外處理我國境內自然人個人信息的活動,即以向境內自然人提供產品或者服務為目的,分析、評估境內自然人的行為以及法律、行政法規規定的其他情形,無論處理者本身是否是我國的組織或個人,都要適用個人信息保護法。
亮點三:個人信息處理活動的多元合法根據。個人信息的處理活動在客觀上就是對個人信息權益的侵入或影響,如果沒有合法根據,該處理活動就是侵害個人信息權益的行為,屬于不法行為。個人信息處理的合法根據有兩大類:一是告知并取得個人的同意,這種情形下的個人信息處理活動就是“基于個人同意處理個人信息的”活動,處理行為的合法性來自于信息主體即個人的有效同意;二是法定理由,即法律、行政法規規定的情形或理由,此時無需個人的同意即可處理個人信息。就法定理由的范圍如何,各國差異很大,我國個人信息保護法的起草中也存在很大的爭議。
最終,立法機關在充分考慮了我國的國情,兼顧現實與未來發展基礎上,與民法典等法律保持一致,吸收借鑒了比較法上的優秀成果,在個人信息保護法第13條第1款第2項至第7項中,明確規定了六類無需取得個人同意即可處理個人信息的情形,分別是:(1)為訂立、履行個人作為一方當事人的合同所必需,或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需;(2)為履行法定職責或者法定義務所必需;(3)為應對突發公共衛生事件,或者緊急情況下為保護自然人的生命健康和財產安全所必需;(4)為公共利益實施新聞報道、輿論監督等行為,在合理的范圍內處理個人信息;(5)依照本法規定在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息;(6)法律、行政法規規定的其他情形。
亮點四:完備的告知同意規則。我國個人信息保護法始終堅持以“告知同意”為核心構建個人信息的處理規則,利用多個條文對告知同意規則作出了詳細規定,具體包括:要求個人信息處理者在處理個人信息前,應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知該法所列舉的各個事項;嚴格限制不需要告知的情形;明確了個人的同意應當是由個人在充分知情的前提下自愿、明確作出。同時,如果法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的,從其規定。在基于個人同意處理個人信息的情形中,如果個人信息的處理目的、處理方式和處理的個人信息種類、保存期限發生變更的,應當重新取得個人同意。基于個人同意處理個人信息的,個人有權撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式,處理者不得以個人不同意為由拒絕提供產品或者服務。
亮點五:對自動化決策的全面規范。自動化決策,是指通過計算機程序自動分析、評估個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等,并進行決策的活動。自動化決策是建立在大數據、機器學習、人工智能和算法等基礎之上的,其通過大數據技術對海量的用戶進行持續追蹤和信息采集,然后遵循特定的規則處理所收集的個人信息,對用戶進行數字畫像和相應的決策。
我國個人信息保護法第24條在綜合采取算法透明化與個人賦權兩種觀點的基礎上,對利用個人信息進行自動化決策進行了全面規范。首先,要求個人信息處理者利用個人信息進行自動化決策時,必須保證決策的透明度和結果的公平和公正,尤其是不得對個人在交易價格等交易條件上實行不合理的差別待遇。其次,要求個人信息處理者通過自動化決策方式進行信息推送、商業營銷時,應當同時提供不針對其個人特征的選項,或者向個人提供拒絕的方式。最后,賦予了個人要求處理者予以說明的權利和拒絕權,即通過自動化決策方式作出對個人權益有重大影響的決定,個人有權要求個人信息處理者予以說明,并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。
亮點六:對人臉識別的嚴格規制。現代網絡信息技術尤其是大數據和人工智能技術高速發展,通過在公共場所安裝圖像采集和個人身份識別設備,可以隨時對自然人的臉部特征、指紋信息等生物識別信息以及行蹤軌跡等其他個人信息進行處理。其中,最典型也最常見的就是人臉識別技術的運用。近年來,我國人臉識別被濫用的情形時有發生,由此導致社會公眾的高度關注。為回應社會關切,個人信息保護法第26條明確規定,在公共場所安裝圖像采集、個人身份識別設備,應當為維護公共安全所必需,遵守國家有關規定,并設置顯著的提示標識。所收集的個人圖像、身份識別信息只能用于維護公共安全的目的,不得用于其他目的;取得個人單獨同意的除外。這就是說,只有在滿足為了維護公共安全、符合國家有關規定、設置了顯著提示標識等三個條件的情形下,才可以在公共場所安裝圖像采集、個人身份識別設備,采集人臉信息、行蹤軌跡信息等個人信息。并且要嚴格限制取得的個人信息的用途,即只能用于維護公共安全。個人信息保護法第62條第2項還明確要求,國家網信部門統籌有關部門依據本法針對人臉識別、人工智能等新技術、新應用,制定專門的個人信息保護規則、標準。
亮點七:全面且可訴訟救濟的個人信息處理活動中的個人權利。為了更好地保護自然人的個人信息權益,個人信息保護法第四章對個人在個人信息處理活動中的權利作出了詳細規定,包括明確了個人對個人信息處理享有知情權與決定權;有權查閱復制個人信息;符合條件時的個人信息可攜帶權;有權要求更正或補充不完整、不正確的個人信息;有權要求個人信息處理者刪除個人信息;有權要求個人信息處理者對個人信息處理規則進行解釋說明等。此外,為了保護死者近親屬自身合法、正當的利益,同時也尊重死者的遺愿并保護死者本人及其交往者的隱私和通信秘密,個人信息保護法允許死者近親屬可以對死者的相關個人信息行使查閱、復制、更正、刪除等權利,但是,死者生前另有安排的除外。更重要的是,為了更好地保障上述個人權利的實現,個人信息保護法還專門賦予這些權利以訴訟救濟保障,即個人信息處理者拒絕個人行使權利的請求的,個人可以依法向人民法院提起訴訟。
亮點八:嚴格的個人信息處理者的義務。為了確保個人信息處理活動的合法性與個人信息的安全,個人信息保護法對個人信息處理者的義務作出了嚴格且詳細的規定,包括個人信息處理者采取措施確保個人信息處理活動合法并保護個人信息安全的義務;按照規定指定個人信息保護負責人的義務;定期進行合規審計的義務;對于各種高風險的個人信息處理活動進行個人信息保護影響評估并對處理情況進行記錄的義務;在發生或可能發生個人信息泄露等安全事件時立即采取補救措施并通知監管機構和個人的義務。其中特別值得注意的是,個人信息保護法第58條規定了提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者負有的特殊義務。這些大型的網絡企業不僅要確保自身個人信息處理活動符合法律規定、合乎科技倫理,承擔應有的社會責任并接受社會監督,還必須通過制定公平公正的平臺規則以及制止違法行為等措施,使平臺內產品或者服務提供者也必須合法地處理個人信息并保護個人信息的安全。
亮點九:對違法的個人信息處理活動的嚴厲處罰。為了更好地懲治和預防違法處理行為,個人信息保護法規定了嚴格的法律責任,例如,對于違法的個人信息處理行為中情節嚴重的,除沒收違法所得,還可以并處五千萬元以下或者上一年度營業額百分之五以下罰款,并責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照;同時,對于直接負責的主管人員和其他直接責任人員不僅要給予罰款,還可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。有個人信息保護法規定的違法行為的,還將按照法律、行政法規的規定記入信用檔案,予以公示。
亮點十:侵害個人信息權益的過錯推定責任。個人信息保護法第69條明確了侵害個人信息權益實行過錯推定責任,規定個人信息處理者如果不能證明自己沒有過錯的,就必須要為其處理個人信息侵害個人信息權益造成的損害承擔損害賠償等侵權責任。該規定對于減輕受害人的舉證負擔,保護其個人信息權益非常有利。不僅如此,考慮到侵害個人信息權益對受害人造成的損害主要是精神損害,但是精神損害往往難以證明,個人信息保護法第69條特別規定:因侵害個人信息權益,無論給受害人造成的是財產損失還是精神損害,都可以按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定;個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的,根據實際情況確定賠償數額。
(作者為清華大學法學院副院長、教授、博士生導師)
編輯:海洋