个人信息保护法捍卫你我信息安全
个人信息保护法草案终于“揭开面纱”。草案中确立了以“告知—同意”为核心的个人信息处理规则,即处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;不得以个人不同意为由拒绝提供产品或者服务。此外,草案对违法处理个人信息行为设置了严格的法律责任,其中一大亮点是提高了违法成本,可处5000万元以下或者上一年度营业额百分之五以下罚款。
不久前,一则“清华大学教授拒绝小区人脸识别门禁”的新闻引发热议,也将人们的目光聚焦到个人信息保护这一话题上。随着信息化与经济社会的深度融合,人们越来越享受信息化带来的种种便利,但也要面对个人信息泄露等问题带来的或大或小的烦恼。为此,制定一部个人信息保护方面专门法律的呼声也不绝于耳。
在10月13日开幕的十三届全国人大常委会第二十二次会议上,个人信息保护法草案终于“揭开面纱”。相关专家表示,草案的制定将为个人信息保护形成更加完备的制度,提供更加有力的法律保障。
千呼万唤始出来
最新数据显示,截至2020年6月,我国网民规模达9.4亿,相当于全球网民的五分之一,较2020年3月增长3625万。网站数量为468万个,国内市场上监测到的APP数量为359万款。个人信息的收集、使用更为广泛。
近年来,虽然我国个人信息保护力度不断加大,但在现实生活中,一些企业、机构甚至个人,从商业利益等目的出发,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全,相关问题十分突出。相关业内专家认为,我国个人信息保护法律制度已逐步建立,但仍难以适应信息化快速发展的现实情况。因此,应当在现行法律基础上制定出台专门法律,增强法律规范的系统性、针对性和可操作性。
中国社会科学院法学研究所研究员周汉华分析,一方面,现实生活中个人信息得不到保护的问题越来越突出;另一方面,随着信息化时代的到来,数字经济快速发展,信息即资源,如何处理好保护个人信息与数字经济发展的关系,需要在立法过程中不断平衡。周汉华认为,个人信息保护法的制定经历了相对较长的周期,可谓“千呼万唤始出来”。较长的时间周期,也为更好认识信息化快速发展过程中出现的个人信息保护问题提供了便利,现在法律草案的亮相可谓“水到渠成”。
保障个人知情权决定权
何谓个人信息?此次的法律草案明确,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。
周汉华称,这一概念相对宽泛,因为随着大数据时代的到来,个人信息很容易被识别,相对宽泛的定义有利于把各种情况包含其中,更好保护个人信息。
草案中确立了以“告知—同意”为核心的个人信息处理规则,即:处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。
北京华讯律师事务所主任张韬表示,“告知—同意”规则中的告知即要充分保障相关个人主体的知情权,同意是要保障其对信息的自主决定权,保障这两种权利才能从根本上保障个人信息安全。
此外,此次草案还设专节对处理敏感个人信息作出严格限制,只有在具有特定目的和充分必要性的情形下,方可处理敏感个人信息,并且应当取得个人单独同意或者书面同意。
张韬表示,敏感个人信息包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息,从其定义就可看出,一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害。“敏感个人信息和每个人都有重大利害关系,设专节既能显示立法机关对这一问题的重视,又能更具针对性地对相关方面问题作具体约束和专门管理,为个人信息保护筑起坚固堡垒。”张韬说。
解决大数据杀熟等问题
在网上搜索一个商品,接着就不断收到同类商品的广告推送……生活中,我们多少都遇到过类似问题。
对此,草案规定,通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项。
周汉华说:“定制化服务是大数据时代的一个特点,随之出现的一个挑战是大数据被滥用以及可能造成的‘大数据杀熟’等问题。对‘自动化决策’作出规定,就是为了解决相关问题。”
此外,草案还明确,个人认为自动化决策对其权益造成重大影响的,有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
张韬认为,这些规定意味着解决“信息茧房”问题受到了重视,“数据信息的利用过程中可能产生的负面问题,正通过立法方式进行规制,平台不能向用户仅推送个性化信息及广告,否则用户有权拒绝”。
草案规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供。
周汉华认为,这一规定可以看作整部草案的一大亮点。“现在‘无处不在’的人脸识别、视频监控等系统存在信息泄露风险,相关信息一旦被泄露和滥用,有可能威胁个人的人身、财产安全以及公共安全。从草案中可以看出,这一问题已经得到了立法机关的重视。”周汉华说。
张韬表示,公共场所中的监控或其他个人信息识别设备的安装及使用,既关系公共安全,也关系广大不特定人群的信息安全,因此有必要对其进行规制。
提高违法行为打击力度
草案对违法处理个人信息行为设置了严格的法律责任。周汉华表示:“对每个人很小的一点侵害,在全社会范围合起来都会造成很大的问题,因此要提高对违法行为的打击力度。如何提高违法成本,同时把法律规定的内容落实下来是草案起草的一大难点。”
可以看到,此次草案对法律责任作出的具体规定包括:违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的,由履行个人信息保护职责的部门责令改正,没收违法所得,给予警告;拒不改正的,并处100万元以下罚款;对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。
上述违法行为情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处5000万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可证或者吊销营业执照。
周汉华认为,“并处5000万元以下或者上一年度营业额百分之五以下罚款”这一规定是一大亮点,按营业额百分比进行罚款可以提高法律对相关企业违法行为的威慑力。(记者 张 雪)