個人信息保護法首次確立了“敏感個人信息”的法律概念,不滿14周歲未成年人信息被列為“敏感個人信息”。根據(jù)規(guī)定,處理“敏感個人信息”比處理一般個人信息更為嚴(yán)格,只有在特定目的和充分必要情形下,并采取嚴(yán)格保護措施的情形下,取得個人單獨或書面同意才能進行,體現(xiàn)了分類保護的思路。
——————————
經(jīng)過十多年醞釀?wù)撟C、十三屆全國人大常委會三次審議,8月20日,十三屆全國人大常委會第三十次會議表決通過了個人信息保護法。這部法律將于2021年11月1日起施行。
全國人大常委會法工委經(jīng)濟法室副主任楊合慶表示,這是我國首部專門針對個人信息保護的系統(tǒng)性、綜合性法律。對法律的適用范圍、以“告知-同意”為核心的個人信息處理規(guī)則、個人信息處理活動中個人的權(quán)利和處理者義務(wù)、大型網(wǎng)絡(luò)平臺的特別義務(wù)、國家機關(guān)處理個人信息的規(guī)范、個人信息跨境流動及履行個人信息保護監(jiān)管體制、法律責(zé)任等內(nèi)容作出了具體規(guī)定。
對外經(jīng)貿(mào)大學(xué)數(shù)字經(jīng)濟與法律創(chuàng)新研究中心執(zhí)行主任許可教授告訴中青報·中青網(wǎng)記者,2003年我國就由原國務(wù)院信息辦牽頭,開始了對個人信息保護立法的研究工作;2012年全國人大常委會通過《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》,開啟了我國在法律層面上對個人信息保護的新歷史進程;隨后,2013年修改的消費者權(quán)益保護法將“個人信息受到保護”作為消費者的一種權(quán)益確認(rèn)下來;2017年6月1日起實施的網(wǎng)絡(luò)安全法、2020年1月1日起實施的民法典人格權(quán)編中,專設(shè)隱私和個人信息保護一章,這些都對個人信息保護作出了規(guī)定。
遏制App“強制同意”亂象
去餐廳吃飯被要求掃碼點餐,且必須填寫姓名、出生年月、手機號碼等與服務(wù)無關(guān)的個人信息;想下載使用一款A(yù)pp,需要和平臺方達(dá)成“交易”,點選是否允許授權(quán)打開相冊、是否允許授權(quán)打開通訊錄、是否允許授權(quán)開啟定位……近年來,諸如此類收集信息的方式,頻頻引發(fā)人們對個人信息泄露的擔(dān)憂和質(zhì)疑。
楊合慶指出,隨著信息化與經(jīng)濟社會持續(xù)深度融合,現(xiàn)實生活中一些企業(yè)、機構(gòu)甚至個人,從商業(yè)利益等出發(fā),隨意收集、違法獲取、過度使用、非法買賣個人信息,利用個人信息侵?jǐn)_人民群眾生活安寧、危害人民群眾生命健康和財產(chǎn)安全等問題十分突出。“‘告知-同意’是法律確立的個人信息保護核心規(guī)則,是保障個人對其個人信息處理知情權(quán)和決定權(quán)的重要手段?!?/p>
個人信息保護法規(guī)定,處理個人信息應(yīng)當(dāng)具有明確、合理的目的,并應(yīng)當(dāng)與處理目的直接相關(guān),采取對個人權(quán)益影響最小的方式。收集個人信息,應(yīng)當(dāng)限于實現(xiàn)處理目的的最小范圍。
同時規(guī)定,處理個人信息應(yīng)當(dāng)在事先充分告知的前提下取得個人同意,個人信息處理的重要事項發(fā)生變更的應(yīng)當(dāng)重新向個人告知并取得同意。
針對現(xiàn)實生活中網(wǎng)絡(luò)用戶質(zhì)疑的“一攬子授權(quán)”“強制同意”等問題,個人信息保護法規(guī)定,個人信息處理者在處理敏感個人信息、向他人提供或公開個人信息、跨境轉(zhuǎn)移個人信息等環(huán)節(jié)應(yīng)取得個人的單獨同意,明確個人信息處理者不得過度收集個人信息,不得以個人不同意為由拒絕提供產(chǎn)品或者服務(wù),并賦予個人撤回同意的權(quán)利,在個人撤回同意后,個人信息處理者應(yīng)當(dāng)停止處理或及時刪除其個人信息。
北京大學(xué)法學(xué)院教授薛軍在解讀這一基本規(guī)則時表示,這種同意必須是建立在告知的基礎(chǔ)上的有效同意,包括“單獨同意”“書面同意”,“同意”后還可“撤回”。這充分地體現(xiàn)了立法認(rèn)可個人信息受到法律保護。此外,法律規(guī)定,個人信息保護的主導(dǎo)性方式是“自覺”原則。這意味著,未經(jīng)主體同意,原則上就不能處理個人信息。
“大數(shù)據(jù)殺熟”在法律上予以禁止
用戶用兩款手機分別打開某旅行App訂酒店,點選同樣的酒店、同樣的時段后發(fā)現(xiàn),老用戶比新用戶要多花錢;撥打客服電話得到的回復(fù)是:確實存在會員價格比新客戶貴的情況,原因是平臺對新用戶的優(yōu)惠力度較大。
“‘大數(shù)據(jù)殺熟’行為違反了誠實信用原則,侵犯了消費者權(quán)益保護法規(guī)定的消費者享有公平交易條件的權(quán)利,應(yīng)當(dāng)在法律上予以禁止?!睏詈蠎c說。
為此,個人信息保護法明確,處理個人信息應(yīng)當(dāng)采取對個人權(quán)益影響最小的方式,收集范圍應(yīng)當(dāng)限于實現(xiàn)處理目的的最小范圍,保存期限應(yīng)當(dāng)為實現(xiàn)處理目的所必要的最短時間。
法律規(guī)定,不得通過誤導(dǎo)、欺詐、脅迫等方式處理個人信息,不得以個人不同意為由拒絕提供產(chǎn)品或服務(wù)。而且,公民對個人信息的處理是有權(quán)撤回同意的。針對大型互聯(lián)網(wǎng)平臺作出更嚴(yán)格規(guī)定,要求其成立主要由外部成員組成的獨立機構(gòu)進行監(jiān)督,制定有關(guān)個人信息保護的平臺規(guī)則,定期發(fā)布個人信息保護社會責(zé)任報告。
法律明確,利用個人信息進行自動化決策時,不得對個人在交易價格等交易條件上實行不合理的差別待遇。
許可介紹說,個人信息保護法首次將國家機關(guān)和私營部門同時納入法律規(guī)制。網(wǎng)絡(luò)安全法、民法典有關(guān)個人信息保護的規(guī)定,都以私人主體、私營部門作為規(guī)制對象。個人信息保護法借鑒歐盟立法經(jīng)驗,將國家機關(guān)和私營部門都作為規(guī)制對象。除非有特殊規(guī)定的,否則國家機關(guān)和私營部門都應(yīng)當(dāng)遵循個人信息保護標(biāo)準(zhǔn),“最大程度地保護了個人信息權(quán)利”。
未成年人信息被列為敏感個人信息
個人信息保護法首次確立了“敏感個人信息”的法律概念,即一旦泄露或者非法使用,容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息,以及不滿14周歲未成年人的個人信息。根據(jù)規(guī)定,處理敏感個人信息比處理一般個人信息更為嚴(yán)格,只有在具有特定目的和充分的必要性,并采取嚴(yán)格保護措施的情形下,取得個人單獨或書面同意才能進行,體現(xiàn)了分類保護的思路。
據(jù)《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》顯示,截至2020年12月,我國小學(xué)及以下網(wǎng)民群體占比由2020年3月的17.2%提升至19.3%,未成年人已經(jīng)是我國網(wǎng)民的重要組成部分。但隨著互聯(lián)網(wǎng)的不斷普及,網(wǎng)絡(luò)直播誘導(dǎo)打賞、網(wǎng)絡(luò)暴力等侵害青少年個人信息合法權(quán)益的情況屢有發(fā)生。
楊合慶介紹說,考慮到少年兒童在生理上和心理上尚不成熟,認(rèn)知能力和控制自己行為的能力都較弱,容易受到信息推送和商業(yè)營銷的誘導(dǎo),在面對違法處理行為侵害其合法權(quán)益時缺乏必要的分辨能力和充分的自我保護能力,為保護未成年人的個人信息權(quán)益和身心健康,個人信息保護法特別將不滿十四周歲未成年人的個人信息確定為敏感個人信息予以嚴(yán)格保護。
同時,與未成年人保護法有關(guān)規(guī)定相銜接,個人信息保護法要求處理不滿十四周歲未成年人個人信息應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護人的同意,并應(yīng)當(dāng)對此制定專門的個人信息處理規(guī)則。
“個人信息守門人”規(guī)定
楊合慶指出,提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者,對平臺內(nèi)的交易和個人信息處理活動具有強大的控制力和支配力,因此在個人信息保護方面應(yīng)當(dāng)承擔(dān)更多的法律義務(wù)。
鑒于此,個人信息保護法對大型互聯(lián)網(wǎng)平臺設(shè)定特別的個人信息保護義務(wù),包括:按照國家規(guī)定建立健全個人信息保護合規(guī)制度體系,成立主要由外部成員組成的獨立機構(gòu)對個人信息保護情況進行監(jiān)督;遵循公開、公平、公正的原則,制定平臺規(guī)則;對嚴(yán)重違法處理個人信息的平臺內(nèi)產(chǎn)品或者服務(wù)提供者,停止提供服務(wù);定期發(fā)布個人信息保護社會責(zé)任報告,接受社會監(jiān)督。這些條款被稱為“個人信息守門人”規(guī)定。
中青報·中青網(wǎng)記者注意到,個人信息保護法草案三次審議中,對超大型互聯(lián)網(wǎng)平臺保護個人信息的特別要求層層加碼,不斷趨于嚴(yán)厲。
8月17日亮相的草案三審稿,又新增了一項合規(guī)要求,即“遵循公開、公平、公正的原則,制定平臺規(guī)則,明確平臺內(nèi)產(chǎn)品或者服務(wù)提供者處理個人信息的規(guī)范和保護個人信息的義務(wù)”。全國人大憲法和法律委員會關(guān)于草案審議結(jié)果的報告中表示,增加這一規(guī)定的考慮是,有的部門、專家提出,大型互聯(lián)網(wǎng)企業(yè)制定有關(guān)個人信息保護的平臺規(guī)則時,應(yīng)當(dāng)公平合理地對待平臺內(nèi)的經(jīng)營者。
8月20日通過的個人信息保護法再次增加規(guī)定,大型互聯(lián)網(wǎng)平臺“應(yīng)當(dāng)按照國家規(guī)定建立健全個人信息保護合規(guī)制度體系”。據(jù)介紹,增加這一條款是因為審議中,有的全國人大常委會委員提出,應(yīng)當(dāng)要求大型互聯(lián)網(wǎng)平臺建立個人信息保護合規(guī)體系,加強內(nèi)部合規(guī)管理。
許可表示,個人信息保護法的執(zhí)法屬多元執(zhí)法、多頭執(zhí)法,就像“九龍治水”,如何將不同的部門按照同樣的標(biāo)準(zhǔn)執(zhí)行個人信息保護法,顯得尤為重要?!斑@要求統(tǒng)一執(zhí)法標(biāo)準(zhǔn),網(wǎng)信部門要發(fā)揮統(tǒng)籌協(xié)調(diào)功能。”
執(zhí)法機構(gòu)應(yīng)根據(jù)不斷發(fā)展變化的事實和具體場景,制訂出符合個人信息保護法原則和規(guī)則的、更進一步的執(zhí)法規(guī)范性文件和部門規(guī)章、司法解釋和具體指導(dǎo)案例,才能使個人信息保護法的原則落到實處。
許可認(rèn)為,個人信息保護要遵循協(xié)同共治理念,完成立法只是邁出了第一步,還應(yīng)該包括行業(yè)內(nèi)形成個人信息保護標(biāo)準(zhǔn)的共識、制定出個人信息保護技術(shù)標(biāo)準(zhǔn)和市場優(yōu)勝劣汰多個環(huán)節(jié)?!疤貏e是互聯(lián)網(wǎng)平臺要落實個人信息保護法的有關(guān)規(guī)定,監(jiān)督平臺內(nèi)運營者遵循個人信息保護的基本要求?!?/p>
中共安徽省委黨校微信公眾號
省委黨校智慧校園APP
Copyright ? 2011 中共安徽省委黨校. All Rights Reserved. Designed by Minggao
皖I(lǐng)CP備06012118號-1 皖公網(wǎng)安備 34011102001196號
通訊地址:安徽省合肥市屯溪路301號 郵編:230022