8月20日,十三届全国人大常委会第三十次会议表决通过了个人信息保护法,将于2021年11月1日起施行。
随着信息化与经济社会持续深度融合,网络已成为生产生活的新空间、经济发展的新引擎、交流合作的新纽带。据统计,截至去年年底,我国互联网用户已达9.89亿,互联网网站和应用程序数量分别超过440万个和340万个,个人信息的收集、使用更为广泛。
与此同时,个人信息利用与保护之间的矛盾也愈发突出,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题十分突出。个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。
“个人信息保护法坚持和贯彻以人民为中心的法治理念,牢牢把握保护人民群众个人信息权益的立法定位,聚焦个人信息保护领域的突出问题和人民群众的重大关切。”全国人大常委会法工委经济法室副主任杨合庆说。
个人信息保护法共8章74条。在有关法律的基础上,该法进一步细化、完善个人信息保护应遵循的原则和个人信息处理规则,明确个人信息处理活动中的权利义务边界,健全个人信息保护工作体制机制。
确立保护原则规范处理活动
个人信息保护的原则是收集、使用个人信息的基本遵循,是构建个人信息保护具体规则的制度基础。
个人信息保护法借鉴国际经验并立足我国实际,确立了个人信息处理应遵循的原则,强调处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的并与处理目的直接相关,采取对个人权益影响最小的方式,限于实现处理目的的最小范围,公开处理规则,保证信息质量,采取安全保护措施等。
“这些原则应当贯穿于个人信息处理的全过程、各环节。”杨合庆强调说。
同时,个人信息保护法紧紧围绕规范个人信息处理活动、保障个人信息权益,构建了以“告知-同意”为核心的个人信息处理规则。“这是法律确立的个人信息保护核心规则,是保障个人对其个人信息处理知情权和决定权的重要手段。”杨合庆说。
个人信息保护法要求,处理个人信息应当在事先充分告知的前提下取得个人同意,个人信息处理的重要事项发生变更的应当重新向个人告知并取得同意。同时,针对现实生活中社会反映强烈的一揽子授权、强制同意等问题,个人信息保护法也作了特别要求。
此外,个人信息保护法还分别对共同处理、委托处理等实践中较为常见的处理情形作出有针对性规定。
规范自动化决策保证结果公平
当前,越来越多的企业把大数据用于商业营销,有一些企业借机对消费者实行歧视性的差别待遇,误导、欺诈消费者。其中,最典型的就是社会反映突出的“大数据杀熟”。
“这种行为违反了诚实信用原则,侵犯了消费者权益保护法规定的消费者享有公平交易条件的权利,应当在法律上予以禁止。”据杨合庆介绍,个人信息保护法对此作出规定,明确个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
与此同时,个人信息保护法对国家机关处理个人信息的行为也作出专门规定。特别强调国家机关处理个人信息的活动适用本法,规定国家机关处理个人信息应当依照法律、行政法规规定的权限和程序进行,不得超出履行法定职责所必需的范围和限度。
保护敏感信息赋予个人权利
个人信息保护法将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息列为敏感个人信息,要求只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可处理敏感个人信息,同时应当事前进行影响评估,并向个人告知处理的必要性以及对个人权益的影响。
“这主要是考虑到此类信息一旦泄露或者被非法使用,极易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害,因此,对处理敏感个人信息的活动应当作出更加严格的限制。”杨合庆说。
为保护未成年人的个人信息权益和身心健康,个人信息保护法特别将不满十四周岁未成年人的个人信息确定为敏感个人信息予以严格保护。同时,与未成年人保护法有关规定相衔接,要求处理不满十四周岁未成年人个人信息应当取得未成年人的父母或者其他监护人的同意,并应当对此制定专门的个人信息处理规则。
个人信息保护法还有一个重要内容,是将个人在个人信息处理活动中的各项权利总结提升为知情权、决定权,明确个人有权限制个人信息的处理;对个人信息可携带权作了原则规定,要求在符合国家网信部门规定条件的情形下,个人信息处理者应当为个人提供转移其个人信息的途径。
此外,个人信息保护法还对死者个人信息的保护作了专门规定,明确在尊重死者生前安排的前提下,其近亲属为自身合法、正当利益,可以对死者个人信息行使查阅、复制、更正、删除等权利。
强化处理者保障信息安全义务
个人信息处理者是个人信息保护的第一责任人。
个人信息保护法强调,个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。在此基础上,设专章明确了个人信息处理者的合规管理和保障个人信息安全等义务。
尤为需要特别指出的是,个人信息保护法对大型互联网平台设定了特别的个人信息保护义务。“在个人信息处理方面,互联网平台为平台内经营者处理个人信息提供基础技术服务、设定基本处理规则,是个人信息保护的关键环节。”杨合庆指出,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者对平台内的交易和个人信息处理活动具有强大的控制力和支配力,因此在个人信息保护方面应当承担更多的法律义务。
随着经济全球化、数字化的不断推进以及我国对外开放的不断扩大,个人信息的跨境流动日益频繁,但由于遥远的地理距离以及不同国家法律制度、保护水平之间的差异,个人信息跨境流动风险更加难以控制。为此,个人信息保护法构建了一套清晰、系统的个人信息跨境流动规则,以满足保障个人信息权益和安全的客观要求,适应国际经贸往来的现实需要。
健全工作机制加大惩戒力度
个人信息保护涉及的领域广,相关制度措施的落实有赖于完善的监管执法机制。根据工作实际,个人信息保护法明确,国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作,同时,对个人信息保护和监管职责作出规定,包括开展个人信息宣传教育、指导监督个人信息保护工作、接受处理相关投诉举报、组织对应用程序等进行测评、调查处理违法个人信息处理活动等。
根据个人信息处理的不同情况,个人信息保护法对违法处理个人信息的行为设置了不同梯次的行政处罚。同时还专门规定,对违法处理个人信息的应用程序,可以责令暂停或终止提供服务。在民事责任方面,个人信息保护法明确,处理个人信息侵害个人信息权益造成损害的,个人信息处理者如不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
“网络空间是亿万民众共同的家园,以数据为新生产要素的数字经济是高质量发展的新动力。个人信息保护法以严密的制度、严格的标准、严厉的责任,构建了权责明确、保护有效、利用规范的个人信息处理和保护制度规则。社会各方面应当加强个人信息保护宣传教育,提升个人信息保护法治意识,推动个人信息保护法落地实施,助力网络强国、数字中国、智慧社会建设。”杨合庆说。