專家解讀|個人信息保護法解決廣大人民群眾最關心最直接最現實的利益問題

2021年8月20日,個人信息保護法審議出臺,將于2021年11月1日起施行。國家層面對個人信息保護問題作出重大基礎性法律制度安排。2016年11月審議通過的網絡安全法在“網絡信息安全”一章中對個人信息保護問題進行了規定,明確了個人信息保護的主要原則和基本規則。網絡安全法對于推動個人信息保護法治進程發揮了重要作用。同時,隨著信息通信技術快速發展迭代,個人信息保護問題的復雜性、緊迫性、專業性進一步凸顯,有必要制定統一的、專門的個人信息保護立法。

個人信息保護已經成為廣大人民群眾最關心最直接最現實的利益問題之一。截至2020年12月,我國網民規模達9.89億,較2020年3月增長8540萬,互聯網普及率達70.4%。隨著“互聯網+”深度融合和數字經濟快速發展,線下活動逐漸向線上轉移融合,消費互聯網廣泛改變人們的生活方式,互聯網深刻改變人們的工作方式,網絡已經與人們的生產生活密不可分?,F實生活中,一些企業、機構甚至個人,從商業利益等出發,隨意收集、違法獲取、過度使用、非法買賣個人信息,利用個人信息侵擾人民群眾生活安寧、危害人民群眾財產安全和生命健康等問題仍十分突出。日常生活中,隨意收集個人信息的場景十分常見,免費領取的氣球小玩具要求掃碼關注獲取個人信息,商場停車要求微信公眾號注冊繳納停車費,餐廳點餐需要掃碼下單獲取不必要個人信息等等。人們對此司空見慣卻又頗具無奈。個人信息頻繁被收集使用,個人生活安寧被不斷侵擾,用戶合法權益得不到切實保障,甚至滋生長鏈條的黑色產業。個人信息保護法的出臺有效回應了這些不規范、不合法的問題??傮w來看,個人信息保護法對個人信息保護問題作出了全面性、基礎性的規定,能夠有效實現個人信息保護法治環境。具體來看,主要包括六個方面內容。

一是明確了個人信息保護的調整范圍。個人信息保護法第四條第一款規定,個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息。網絡安全法、民法典等對“個人信息”均有界定,基本以“識別說”為基礎,采取的都是概括+列舉的表述方式。個人信息保護法作為專門的個人信息保護法律,在定義方式上有明顯的不同,兼具了“識別說”和“關聯說”,很大程度上反映了個人信息保護的專業性、動態性,結合個人信息處理主體多樣、處理活動復雜、個人信息類型易變的現實發展情況,通過內涵和外延較為寬泛的定義方式,最大程度地保證了個人信息保護法能夠廣泛適用和穩定適用。與此同時,第四條第二款規定,個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。數據作為新型生產要素,價值化釋放是數據活動的主要目的之一。個人信息在當前發展階段是價值極為豐富的數據類型,其價值化釋放需求十分強烈,而可能伴隨的個人信息權益侵害也貫穿于數據處理活動的全生命周期。個人信息保護法通過立法技巧,將有關個人信息活動統一為“處理”活動,以保證全法條文的有效覆蓋。相比于歐盟的《通用數據保護條例》(GDPR)所規定的數據控制者(Data Controller)和數據處理者(Data Processor),個人信息保護法僅用“個人信息處理者”一個概念表述,從比較法角度存在差異理解問題,但個人信息保護法通過委托處理(第二十一條)和轉移處理(第二十三條)兩種方式的規定,實際上充分考慮了以“數據控制者”和“數據處理者”為理解背景的場景適用。從周延性的角度來說,并無實質不同。對于類型多樣的個人信息處理者而言,這是理解個人信息保護法適用的關鍵問題之一。

二是明確了個人信息處理的基本規則。首先,個人信息保護法首次在國內法中規定了個人信息處理的合法性基礎(第十三條),包括用戶同意、訂立合同所必需、人力資源管理所必需、履行法定職責/義務、緊急保護、新聞報道或者輿論監督、合理處理公開信息等多項合法性基礎。對于個人信息處理者而言,在以往僅有用戶同意這種唯一的合法性基礎之上,豐富了可以合法處理個人信息的途徑,既考慮了個人信息處理活動的合理實踐,也借鑒了成熟的國外立法經驗。同時,個人信息保護法也妥當地處理了同法條文的銜接,根據第十三條第二款規定,依照本法其他有關規定,處理個人信息應當取得個人同意,但有前款第二項至第七項規定情形的,不需取得個人同意。這充分體現了個人信息處理活動的復雜性、多場景性,明確了除“用戶同意”以外合法處理個人信息的情形遵守其他條款的規則,保證了立法的科學性和嚴密性。其次,個人信息保護法對通過自動化決策方式處理個人信息作出了規定,回應了廣為關注的信息繭房和大數據殺熟問題。個人信息保護法要求“利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正”(第二十四條第一款)。針對信息繭房問題,個人信息保護法賦予了用戶拒絕的權利,規定“通過自動化決策方式向個人進行信息推送、商業營銷,應當同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式”(第二十四條第二款);針對大數據殺熟問題,規定“不得對個人在交易價格等交易條件上實行不合理的差別待遇”(第二十四條第一款)。實際上,在反壟斷法框架下,大數據殺熟是一種濫用市場支配地位的行為,反壟斷法已有類似的規定。個人信息保護法對此作出規定,既能在反壟斷規制以外提供新的保護路徑,也能從個人信息收集、使用的底層邏輯上應對大數據殺熟問題。無論是信息繭房問題還是大數據殺熟,個人信息處理活動發揮著最基礎的支撐作用,離開個人信息數據處理,信息繭房和大數據殺熟都很難實現。通過對個人信息處理活動的有效規制,能夠對解決類似問題起到釜底抽薪的根本性作用。再次,明確了對公共場所視頻監控活動的規則。個人信息保護法第二十六條要求“在公共場所安裝圖像采集、個人身份識別設備,應當為維護公共安全所必需,遵守國家有關規定,并設置顯著的提示標識。所收集的個人圖像、身份識別信息只能用于維護公共安全的目的,不得用于其他目的;取得個人單獨同意的除外?!背鲇诒Wo公共安全的必要,公共場所設置攝像等設備越來越普及,也發揮了實際的效果。然而,有些攝像等設備的設置超出了維護公共安全的目的,甚至是為了私益。個人信息保護法通過該條作出了原則性規定,為后續規范相關活動提供了法律依據。最后,首次明確了處理已公開個人信息的規則。根據個人信息保護法第十三條的規定,“依照本法規定在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息”屬于合法性基礎之一。第二十七條對已公開的個人信息處理進行規定,明確可以在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息,但是個人明確拒絕的除外。同時,處理已公開的個人信息對個人權益有重大影響的,還應當依照本法規定取得個人同意。

三是對個人在個人信息處理活動中的權利進行了充分規定。個人對其個人信息所享有的權利是個人參與個人信息保護的重要手段之一,體現了個人信息多元治理思路。參考以GDPR為代表的國外個人信息保護立法,賦予個人的權利種類基本一致。個人信息保護法進行了科學、充分的立法借鑒。通過原則性條款明確了個人對其個人信息的處理享有知情權、決定權,有權限制或者拒絕他人對其個人信息進行處理(第四十四條)。具體規定了查閱、復制權,可攜帶權(第四十五條),更正權(第四十六條),刪除權(第四十七條),請求解釋權(第四十八條)。對于自然人死亡的,也明確了其近親屬行使相關權利的規定(第四十九條)。比較而言,個人信息保護法對個人在個人信息處理活動中享有的權利作了比較充分的規定,除了對國際國內普遍存在爭議的“被遺忘權”未作明確規定以外,基本和國外立法相一致。值得注意的是,個人信息保護法中所稱“權利”,有別于民法體系中的民事權利,并未對個人信息進行權利化規定,而是強調了“在個人信息處理活動中的”權利。

四是規定了個人信息處理者的義務。個人信息處理者的義務可以理解為個人信息處理的操作規范和手冊。對于個人信息處理者而言,是需要非常熟悉并逐一對照遵守的部分。個人信息保護是一種合規性狀態,而非一種目標性結果,需要個人信息處理者持續投入成本、資源以維持合法、合理的個人信息保護水平。個人信息保護法第五十一條對個人信息處理者的義務進行了概括性規定,包括:(一)制定內部管理制度和操作規程;(二)對個人信息實行分類管理;(三)采取相應的加密、去標識化等安全技術措施;(四)合理確定個人信息處理的操作權限,并定期對從業人員進行安全教育和培訓;(五)制定并組織實施個人信息安全事件應急預案;(六)法律、行政法規規定的其他措施??傮w而言,個人信息處理者按照這幾項持續推進內部個人信息保護工作就能符合合規要求,具體可以根據企業規模大小、服務性質、技術水平等選擇更為符合自身情況的相應措施。除了第五十一條規定,個人信息保護法還規定了合規審計(第五十四條)、泄露通知(第五十七條)等要求。在一般性要求的基礎上,個人信息保護法還作了一些特殊規定,一是對于處理個人信息達到國家網信部門規定數量的個人信息處理者,要求指定個人信息保護負責人(第五十二條);二是對于境外個人信息處理者,要求在中國境內設立專門機構或者指定代表(第五十三條);三是特定情形下應當進行個人信息保護影響評估,主要是一些高風險情形,包括處理敏感個人信息、自動化決策、委托處理、向他人/境外提供、公開個人信息等(第五十五條);四是規定了“守門人”義務,對于提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者(可以理解為“守門人”或是大型互聯網平臺)還應當履行更高水平的義務,要求成立外部獨立監督機構、制定平臺規則、阻斷違法活動、定期發布履責報告等(第五十八條)。

五是確定了履行個人信息保護職責的部門及其職責。個人信息保護法對個人信息保護體制進行了明確安排(第六十條)。從橫向來看,由國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作,國務院有關部門依照本法和有關法律、行政法規的規定,在各自職責范圍內負責個人信息保護和監督管理工作。從縱向來看,縣級以上地方人民政府有關部門按照國家有關規定確定個人信息保護和監督管理職責。根據第六十條規定,個人信息保護將按照統籌協調加協抓共管的思路,構建跨部門、跨行業、跨領域監管體制機制,能夠很好地適應個人信息保護工作的特點。管理層級上,可以結合情況構建國家、?。▍^、市)、地級市、縣四級管理體系。同時,個人信息保護法對履行個人信息保護職責的部門的職責,國家網信部門的統籌協調職能進行了列舉式規定(第六十一條、第六十二條)。

六是規定了較為嚴厲的法律責任。個人信息處理活動涉及面廣、情況復雜、主體多樣、隱蔽性強,一旦發生侵害個人信息權益的行為,往往會對社會層面造成較為嚴重的后果,甚至有些損害結果難以顯性化察覺,監管成本比較高,行政資源消耗比較大。根據國外經驗以及個人信息保護本身的特點,苛以較為嚴厲的法律責任符合法理邏輯。行政責任方面,個人信息保護法設置了全面的行政處罰手段,包括警告、沒收違法所得、罰款(包括對單位和責任人員)、責令暫停相關業務或者停業整頓、吊銷許可或者營業執照。其中,對于違法處理個人信息的應用程序,可以責令暫?;蛘呓K止提供服務。罰款的最高數額可達五千萬元人民幣或者上一年度營業額的百分之五。此外還規定了信用懲戒以及對擔任企業董事、監事、高級管理人員和個人信息保護負責人的從業禁止等。民事責任方面,規定了過錯推定原則,處理個人信息侵害個人信息權益造成損害,個人信息處理者不能證明自己沒有過錯的,應當承擔損害賠償等侵權責任(第六十九條)。

縱觀個人信息保護法全文,其保護不可謂之不充分,其考慮不可謂之不全面,準確把握了網絡發展的規律和特點,回應了個人權益保護的迫切需求。個人信息保護立法過程中一直承載著各方高度關注和殷切希望。從一審稿到二審稿到最終出臺,不斷得到完善,廣泛得到各方認可和好評,反映了我國對個人信息保護法治工作認真、負責的態度。個人信息保護法的出臺,并不意味著個人信息保護工作的剛剛開始,實際上我國個人信息保護工作已經深入開展了相當長的時間。而個人信息保護法的出臺標志著我國進入了更高水平的個人信息保護的法治時代,這也正是給所有身處網絡時代生活的人們最關心最直接最現實的利益問題的最好法律答案。(作者:方禹,中國信息通信研究院互聯網法律研究中心主任)

評論一下
評論 0人參與,0條評論
還沒有評論,快來搶沙發吧!
最熱評論
最新評論
已有0人參與,點擊查看更多精彩評論

友情鏈接

信息網絡傳播視聽節目許可證:120330032

中華人民共和國互聯網新聞信息服務許可證:45120170002

中華人民共和國互聯網出版許可證 (署)網出證(桂)字第020號

廣播電視節目制作經營許可證編號:(桂)字第0230號

網警備案號:45010302000253

桂ICP備11003557 南寧新聞網版權所有

舉報電話:0771—5530647 郵箱:mail@nnnews.net

亚洲av永久无码精品国产精品|亚洲av永久无码精品天堂d1|亚洲av永久无码精品一区二区|亚洲av综合色区无码二区偷拍
<蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>|