建立适应中国个人信息保护和数字经济发展需要的法律制度。
10月13日,个人信息保护法草案提请十三届全国人大常委会第二十二次会议初次审议。
此次草案明确了适用范围,健全了个人信息处理规则,与民法典有关规定衔接,规定了个人信息处理活动中个人的各项权利,对敏感个人信息给出定义,成为公民个体权利的延伸。
上网痕迹被平台收集分析推送广告、网站制定“霸王条款”随意变更VIP会员规则、公民的身份证号、个人行踪等被泄露倒卖……这些乱象有了破解之道。对于互联网企业而言,将面临一场提升用户信息保护的大考,从惩戒力度来看,大型互联网企业监管愈发趋严。
坚持立足国情与借鉴国际经验相结合,草案充分借鉴有关国际组织和国家、地区的有益做法。面对越来越激烈的国际竞争,草案呼应了网络信息时代对跨境经济保护的诉求,维护数据安全与国家利益。明确敏感个人信息定义
数据显示,截至2020年3月,我国互联网用户已达9亿,互联网网站超过400万个,应用程序超300万个,个人信息的收集、使用更为广泛。与此同时,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题仍十分突出。
中国政法大学法律硕士学院院长、教授许身健认为,此次草案可以算作为“回应型立法”,在当前信息化社会及时回应公众的需要。
“个人信息保护法,是民法典中的人格权关于个人信息和隐私权在个人信息互联网保护范围内的一个重要延伸,它实际是公民个体权利的延伸。”中国政法大学传播法研究中心副主任朱巍如此定义。
草案与民法典的有关规定相衔接,明确在个人信息处理活动中个人的各项权利,包括知情权、决定权、查询权、更正权、删除权等,并要求个人信息处理者建立个人行使权利的申请受理和处理机制。
之前对于一般个人信息、个人敏感信息、私密信息三者,法律上还缺乏清晰的界分。
草案则明确了敏感个人信息的定义:一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。
同时,草案设专节对处理敏感个人信息作出更严格的限制,只有在具有特定的目的和充分的必要性的情形下,方可处理敏感个人信息,并且应当取得个人的单独同意或者书面同意。
此前,有司法解释曾对个人敏感信息做出规定。2017年5月,最高法、最高检发布《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,规定非法获取公民轨迹信息等个人敏感信息50条即可入罪。
“《刑法》的适用范围太窄了,没有办法扩展到敏感个人信息在民事领域和行政管理领域,草案则将敏感个人信息做了一个定性,包括生物识别、金融账号、个人行踪等等,将上述司法解释进行了细化。”朱巍说。
尽管当前公民个人信息受到侵害的事件频发,但不少人对于个人信息的保护并不是特别敏感。
许身健认为,个人信息保护法出台,是社会治理的同时,也将是一场大型的普法教育,将通过普法宣传、使用法律执法、惩戒侵害行为等提升全民的个人信息权利意识。
“我国个人信息保护法草案具有一定的前瞻性,但相比而言,还有一些需要完善之处,应当完善相应的配套制度。”许身健建议,对于自然人的个人信息查询权、复制权、更正权和删除权的行使需要作出更加具体细致的规定,还有个人信息的境内储存和安全评估等也需要进一步详细规范,明确侵害个人信息的赔偿范围和计算方法等。借鉴国际经验利于跨境保护
从上世纪70年代开始,经济合作与发展组织、亚太经济合作组织和欧盟等先后出台了个人信息保护相关准则、指导原则和法规,有140多个国家和地区制定了个人信息保护方面的法律。
2018年5月,欧盟正式实施《通用数据保护条例(The General Data Protection Regulation)》(“GDPR”),取代此前的《欧洲数据保护指令》。“GDPR”被业内认为是目前全球主要经济体中对数据信息保护管辖范围最宽、立法新意最多、处罚最为严厉的规范,适用范围是在欧洲设立并在其营业活动中处理个人数据的任何组织机构,且具有域外效力。
“从草案来看,充分借鉴了国外的一些经验。”许身健认为,草案借鉴了较多“GDPR”的相关规范。
例如,“GDPR”中对“敏感个人数据”的定义扩大到包括基因数据和生物特征数据,作为监管机构的数据保护机关可以对违反“GDPR”的组织和机构作出其当年全球营业额4%或者2000万欧元(以孰高者为准)的罚款决定,均在草案中有相关体现。
“草案可以视为与国际接轨的一个延伸,美国、澳大利亚、新西兰、新加坡等地均修改了个人信息保护法,所以我们如何完善、适用法律与国际接轨,也是个人信息保护法出台的一个重要原因。”朱巍表示。
在当前社会中,信息与数据不仅是数字经济的关键要素,也是信息时代重要的生产要素。在我国,数据安全更是被上升为与国家安全同等重要的地位,也成为国际竞争间的关键。
“中国很多互联网公司具有跨国性,法律上也需要相应地对中国企业进行保护,维护国家利益。”许身健认为,草案呼应了网络信息时代对经济保护的相关诉求。
草案明确,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者,确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估;对于其他需要跨境提供个人信息的,规定了经专业机构认证等途径。草案对跨境提供个人信息的“告知—同意”作出更严格的要求。对从事损害我国公民个人信息权益等活动的境外组织、个人,以及在个人信息保护方面对我国采取不合理措施的国家和地区,规定了可以采取的相应措施。
此次草案还完善了个人信息跨境提供规则,明确了个人信息处理活动中个人的权利和处理者义务,并明确了履行个人信息保护职责的部门。
许身健表示,中国互联网产业走出去是重要方面,但其他国家的平台进入中国来,要遵守中国法律,特别是关于个人信息保护方面的特殊规定,这是与国际接轨的一个重要表现互联网商业模式迎考
当前已全面进入到互联网经济的下半场,几乎所有的网络服务推出都与个人信息有关。
刚与朋友聊旅游,手机转眼就推送机票广告,明明只是在电商平台上搜索过某样商品,打开另一款资讯App却出现相同的广告……越来越精准的个性化推送,让不少人感到困惑。
“安宁权是隐私权和个人信息保护的核心,也是老百姓最关心的一个问题。什么情况下可以将我的大数据用作商业用途?”朱巍表示,此次草案中涉及的不仅是个人信息保护的问题,还涉及到广告法。
草案规定,用户可以要求平台不推送个性化广告。个人有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对个人特征的选项。
“这里既包括广告,也涉及大数据杀熟。如何从个人信息中剥离出大数据进行合法使用,是草案的重要意义之一。”朱巍表示,在使用网络过程中,用户的权益相对而言变得很小,而且被侵权的方式很隐晦,如果没有一个原则性的法律去保障,企业可能将随着科技的进一步发展而开启“潘多拉魔盒”,对用户造成不利影响。
个人信息保护与大数据利用之间的关系如何平衡,曾有相关司法判例。玩抖音刷出前女友?微信读书信息默认开放?21世纪经济报道8月报道,北京互联网法院的一审判决,认定微信读书、抖音两款APP均有侵害用户个人信息的情形。
两个案件均借鉴了尚未实施的民法典的相关条例,微信读书案体现了对互联网时代人格权保护精神,抖音案则将隐私权和个人信息的考量限定在具体的网络场景中。
在上述案件中,如何判定侵犯个人信息权,是否满足用户的知情、同意成为关键。因知情、同意还曾引发质疑的,还有各类网站制定“霸王条款”随意变更VIP会员规则。
此次草案则确立以“告知—同意”为核心的个人信息处理一系列规则,要求处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。
实际上,对于互联网企业的相关监管一直在路上。
2019年,工信部、国家网信办等多部门已联合开展了贯穿全年的APP个人信息专项治理工作,2020年仍在持续中。被公开的企业违规违法行为,多集中在私自收集个人信息、过度索取权限、私自共享给第三方等方面。
今年5月,江苏淮安警方破获了一起特大贩卖公民个人信息案,共抓获26名嫌疑人,涉案金额2000多万元。其中,建设银行员工丁某以每条80-100元不等的价格,帮忙查询银行卡信息,一年黑色收入超30万元。
“个人信息很容易被滥用,甚至被买卖,现在草案加大了惩戒的力度,对违法行为赋以严格的法律责任。”许身健说,有互联网企业早期曾利用数据野蛮生长,但随着立法不断严密,监管也将不断收紧。
草案规定,违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的,情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处5000万元以下或者上一年度营业额5%以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处10万元以上100万元以下罚款。
“根据这个条款的罚款,可以看出其实更主要规范的是大型的互联网企业,法律在企业和个人之间,倾向于保护个人权益。”许身健认为,惩罚力度也成为此次草案的一大亮点。