信息化时代,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》,引发了全社会广泛关注。
个人信息保护法的诞生,标志着我国网络数据法律体系中,继网络安全法、数据安全法后,具有重要意义的一块拼图终于落定,具有划时代的意义。
不得大数据杀熟、不得过度收集个人信息、严格保护个人敏感信息、赋予大型网络平台个人信息保护特别义务、规范个人信息跨境流动……这部法律积极回应了社会关切,为破解个人信息保护中的热点难点问题,提供了强有力的法律保障。
近日,深晚记者专访了全国人大常委会法工委经济法室副主任杨合庆,请他就这部法律的立法背景、总体考虑和特点亮点等进行解读。杨合庆表示,个人信息保护法聚焦个人信息保护领域的突出问题,在有关法律基础上,进一步细化、完善个人信息保护应遵循的原则和个人信息处理规则,明确个人信息处理活动中的权利义务边界,健全个人信息保护工作体制机制,以切实将广大人民群众网络空间合法权益维护好、保障好、发展好。
杨合庆说:“共8章74条的个人信息保护法,以严密的制度、严格的标准、严厉的责任,构建了权责明确、保护有效、利用规范的个人信息处理和保护制度规则。”
个人信息过度使用 亟需形成更完备制度
据统计,截至去年年底,我国互联网用户已达9.89亿,互联网网站和应用程序数量分别超过440万个和340万个,个人信息的收集、使用更为广泛。与此同时,个人信息利用与保护之间的矛盾也愈发突出,现实生活中一些企业、机构甚至个人,从商业利益等出发,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题十分突出。
近年来,个人信息应用领域更加宽广,处理主体和处理场景复杂多样,新技术新业态新模式不断涌现,“这样一来,个人信息保护的任务更加艰巨,亟需进一步增强法律规范的系统性、权威性和针对性,在个人信息保护方面形成更加完备的制度、提供更加有力的法律保障。”杨合庆告诉深晚记者。
个人信息保护法律制度逐步建立完善
杨合庆说,党的十八大以来,全国人大及其常委会高度重视个人信息保护相关立法工作。在数字经济发展和法治建设进程中,我国的个人信息保护法律制度正逐步建立并不断发展完善。
他介绍,2012年通过关于加强网络信息保护的决定,确立了个人信息保护的基本原则;2016年通过网络安全法,建立了个人信息保护的主要制度规则;2020年编纂出台民法典,将个人信息保护作为一项重要的民事权利作出规定。此外,在修改消费者权益保护法、广告法、刑法,制定电子商务法等立法工作中,对个人信息保护的有关问题作了规定。同时,有关方面出台了一系列配套法规、规章、标准和司法解释。
全国人大常委会坚决贯彻落实党中央部署要求,及时回应广大人民群众的呼声和期待,积极推进个人信息保护立法工作。经过三次审议,8月20日,十三届全国人大常委会第三十次会议通过了个人信息保护法,将于2021年11月1日起施行。
处理个人信息应事先告知并取得个人同意
生活中,一些线上平台和应用软件在用户注册时,时常通过一揽子授权、强制同意等方式强制索取个人信息。
“个人信息保护法紧紧围绕规范个人信息处理活动、保障个人信息权益来构建个人信息保护法律制度。”杨合庆表示,“告知—同意”是法律确立的个人信息保护核心规则,是保障个人对其个人信息处理知情权和决定权的重要手段。个人信息保护法要求处理个人信息,应当在事先充分告知的前提下取得个人同意,个人信息处理的重要事项发生变更时应当及时向个人告知并取得同意。
个人信息保护法还特别要求,个人信息处理者在处理敏感个人信息、向他人提供或公开个人信息、跨境转移个人信息等环节应取得个人的单独同意,明确个人信息处理者不得过度收集个人信息,不得以个人不同意为由拒绝提供产品或者服务,并赋予个人撤回同意的权利,在个人撤回同意后,个人信息处理者应当停止处理或及时删除其个人信息。
严格保护敏感个人信息
个人信息保护法将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息列为敏感个人信息。“主要考虑是此类信息一旦泄露或者被非法使用,极易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害,所以,对处理敏感个人信息的活动应当作出更加严格的限制。”杨合庆说。
对此,个人信息保护法明确要求,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可处理敏感个人信息,同时应当事前进行影响评估,并向个人告知处理的必要性以及对个人权益的影响。
少年儿童在生理上和心理上尚不成熟,认知能力和控制自己行为的能力都较弱,容易受到信息推送和商业营销的诱导,在面对违法处理行为侵害其合法权益时缺乏必要的分辨能力和充分的自我保护能力。杨合庆说,考虑到这些因素,为保护未成年人的个人信息权益和身心健康,个人信息保护法特别将不满十四周岁未成年人的个人信息确定为敏感个人信息予以严格保护。同时,与未成年人保护法有关规定相衔接,个人信息保护法要求处理不满十四周岁未成年人个人信息应当取得未成年人的父母或者其他监护人的同意,并应当对此制定专门的个人信息处理规则。
在法律上禁止“大数据杀熟”
当前,一些企业通过掌握消费者的经济状况、消费习惯、对价格的敏感程度等信息,对消费者在交易价格等方面实行歧视性的差别待遇,误导、欺诈消费者,其中最典型的就是社会反映突出的“大数据杀熟”。
杨合庆说:“此类行为违反了诚实信用原则,侵犯了消费者权益保护法规定的消费者享有公平交易条件的权利,应当在法律上予以禁止。”对此,个人信息保护法明确规定:个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
一方面,经营者应当按照法律规定,遵循公开、公平、公正的原则的设定算法模型、制定自动化决策的规则,不得对消费者实行歧视性的不公平的差别待遇;另一方面,个人信息处理者应当保障消费者的知情权和选择权,向个人进行信息推送、商业营销时,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
大型网络平台对个人信息保护有特别义务
在个人信息处理方面,互联网平台为平台内经营者处理个人信息提供基础技术服务、设定基本处理规则,是个人信息保护的关键环节。
杨合庆介绍,个人信息保护法对这些大型互联网平台设定了特别的个人信息保护义务,包括:按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;遵循公开、公平、公正的原则,制定平台规则;对严重违法处理个人信息的平台内产品或者服务提供者,停止提供服务;定期发布个人信息保护社会责任报告,接受社会监督。
规范个人信息跨境流动
当前,个人信息的跨境流动日益频繁,但由于遥远的地理距离以及不同国家法律制度、保护水平之间的差异,个人信息跨境流动风险更加难以控制。杨合庆表示,个人信息保护法构建了一套清晰、系统的个人信息跨境流动规则,以满足保障个人信息权益和安全的客观要求,适应国际经贸往来的现实需要。
他说,具体来讲,一是明确在我国境外处理境内自然人个人信息的活动适用本法,并要求符合上述情形的境外个人信息处理者在我国境内设立专门机构或者指定代表,负责个人信息保护相关事务;二是明确向境外提供个人信息的途径,包括通过国家网信部门组织的安全评估、经专业机构认证、订立标准合同、按照我国缔结或参加的国际条约和协定等;三是要求个人信息处理者采取必要措施保障境外接收方的处理活动达到本法规定的保护标准;四是对跨境提供个人信息的“告知—同意”作出更严格的要求,切实保障个人的知情权、决定权等权利;五是为维护国家主权、安全和发展利益,对跨境提供个人信息的安全评估、向境外司法或执法机构提供个人信息、限制跨境提供个人信息的措施、对外国歧视性措施的反制等作了规定。
在专访最后,他对深晚记者表示,网络空间是亿万民众共同的家园,以数据为新生产要素的数字经济是高质量发展的新动力。社会各方面包括广大媒体,应当加强个人信息保护宣传教育,提升个人信息保护法治意识,推动个人信息保护法落地实施,助力网络强国、数字中国、智慧社会建设。(记者 王宇 林冬雯 方舟)
