当前位置: 首页

专门立法!最大限度保护个人信息权益

文/《中国人大》全媒体记者 张维炜

来源: 《中国人大》杂志2021年第17期  浏览字号: 2021年09月26日 08:57:00

导读:信息化时代,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。习近平总书记多次强调,要坚持网络安全为人民、网络安全靠人民,保障个人信息安全,维护公民在网络空间的合法权益,对加强个人信息保护工作提出明确要求。8月20日,全国人大常委会通过了中国首部专门针对个人信息保护的法律——《中华人民共和国个人信息保护法》。

随着信息化与经济社会持续深度融合,网络已成为生产生活的新空间、经济发展的新引擎、交流合作的新纽带。据统计,截至去年底,我国互联网用户已达9.89亿,互联网网站和应用程序数量分别超过440万个和340万个,个人信息的收集、使用更为广泛。

与此同时,个人信息利用与保护之间的矛盾也愈发突出,现实生活中一些企业、机构甚至个人,从商业利益等出发,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题十分突出。

信息化时代,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一,8月20日,备受关注的《中华人民共和国个人信息保护法》经十三届全国人大常委会第三十次会议通过,将于2021年11月1日起施行。

坚持和贯彻以人民为中心的法治理念,牢牢把握保护人民群众个人信息权益的立法定位,个人信息保护法细化、完善个人信息保护应遵循的原则如对权利人信息“最小获取”“公开透明”等原则,明确个人信息处理活动中的权利义务边界,健全个人信息保护工作体制机制,全方位构筑个人信息“保护网”,将最大限度保护公民的个人信息权益。

剑指“大数据杀熟”等顽疾

查阅这部新鲜出炉的法律,共8章74条,诸多条文设置直指现实生活中个人信息被泄露、个人权益被侵犯的顽疾、痛点,回应了社会期盼。

同一平台上的同一款产品或服务,对“熟客”的报价可能要比新用户更高。近年来,互联网平台通过收集、分析个人信息并进行“大数据杀熟”,饱受诟病。

为此,个人信息保护法第24条第1款规定,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果的公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。

全国人大常委会法工委经济法室副主任杨合庆在接受记者采访时表示,这意味着一方面,经营者应当按照法律规定,遵循公开、公平、公正的原则设定算法模型、制定自动化决策的规则,不得对消费者实行歧视性的、不公平的差别待遇;另一方面,个人信息处理者应当保障消费者的知情权和选择权,向个人进行信息推送、商业营销时,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。

目前,获取用户所在地理位置已经成为许多App提供应用服务的一个基本项。今年7月,某出行App因存在严重违法违规收集使用个人行踪轨迹等信息的行为而遭到国家网信办审查并下架。专家分析称,位置数据的背后,往往涉及用户的个性习惯、健康情况、人际交往等诸多敏感信息。

个人信息保护法将包括行踪轨迹在内的生物识别、宗教信仰、特定身份、医疗健康、金融账户的个人信息列为敏感个人信息,进行专门保护,要求只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可处理敏感个人信息,同时明确应当事前进行影响评估,并向个人告知处理的必要性以及对个人权益的影响。

对于该条款的立法初衷,杨合庆解释称,主要考虑是此类信息一旦泄露或者被非法使用,极易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害,对处理敏感个人信息的活动应当作出更加严格的限制。

随着触网年龄越来越小,未成年人个人信息保护备受关注。“少年儿童在生理上和心理上尚不成熟,认知能力和控制自己行为的能力都较弱,容易受到信息推送和商业营销的诱导,在面对违法处理行为侵害其合法权益时缺乏必要的分辨能力和充分的自我保护能力。”杨合庆说,为保护未成年人的个人信息权益和身心健康,个人信息保护法特别将不满十四周岁未成年人的个人信息确定为敏感个人信息予以严格保护。

同时,与未成年人保护法有关规定相衔接,个人信息保护法“升级”保护措施,要求处理不满十四周岁未成年人个人信息应当取得未成年人的父母或者其他监护人的同意,并应当对此制定专门的个人信息处理规则。

对网络平台巨头设置特别义务

作为个人信息处理者,互联网平台是个人信息保护的关键环节,将面临来自个人信息保护法的多方面约束。

其中,大型网络平台的监管及其个人信息保护特别义务被不断强化。对外经济贸易大学数字经济与法律创新研究中心执行主任许可介绍说,此次通过的个人信息保护法对“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”设置“看门人”义务,完善个人信息治理。

具体包括:按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;遵循公开、公平、公正的原则,制定平台规则;对严重违法处理个人信息的平台内产品或者服务提供者,停止提供服务;定期发布个人信息保护社会责任报告,接受社会监督。

“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者对平台内的交易和个人信息处理活动具有强大的控制力和支配力,因此在个人信息保护方面应当承担更多的法律义务。”杨合庆表示,个人信息保护法的上述规定将提高大型互联网平台经营业务的透明度,完善平台治理,强化外部监督,有利于形成全社会共同参与的个人信息保护机制。

同时,为了适应互联网应用和服务多样化的实际,个人信息保护法对个人信息可携带权作出原则性规定,要求在符合国家网信部门规定条件的情形下,个人信息处理者应当为个人提供转移其个人信息的途径。“此举是对大型平台的‘数据垄断’现象亮剑。”许可认为,个人信息可携带权代表着用户有权依照自己意愿将其个人数据从一个平台转移到另一个平台。从个人权益的角度出发,在某些场景下个人信息可携带是必需的,例如医疗健康、教育等行业,数据和信息的合理、有序流动为普通民众带来了便捷。

强化对公权力机关约束规范

疫情防控期间,为了及时追踪相关人员轨迹、精准防控,出入社区、车站、道路卡口以及商场、超市、药店等公共场所,扫码登记、填写个人信息成为常态。

政府利用信息技术,有效控制了疫情蔓延,保障了公共利益。但一些个人信息泄露事件,也反映出有些国家机关存在个人信息保护意识不强、处理流程不规范、安全保护措施不到位等问题。由此引发立法上的一个关注点:如何对国家机关进行规范约束,管理好手中掌握的个人信息。

对此,个人信息保护法对国家机关处理个人信息的活动作出专门规定,明确国家机关处理个人信息的活动适用本法,即国家机关处理个人信息也应遵循本法规定的个人信息保护的基本原则、处理规则,除本法和有关法律另有规定不需要告知、不需要取得同意之外,也应当向个人告知、取得个人同意,并且处理个人信息应当依照法律、行政法规规定的权限和程序进行,不得超出履行法定职责所必需的范围和限度。

许可表示,个人信息保护法实现“两线作战”,在体例结构上,将私营部门处理个人信息和国家机关处理个人信息一体规制,既直面企业超采、滥用用户个人信息的痼疾,又防范公权力机关违法违规处理个人信息的问题,最大限度地保护个人信息权益。

建立更具威慑力的制度“防火墙”

与其他领域的制度治理类似,目前个人信息泄露问题日益突出,与违法成本过低不无关系。

据了解,个人信息保护法根据个人信息处理的不同情况,对违法处理个人信息的行为设置了不同梯次的行政处罚。对未造成严重后果的轻微或一般违法行为,可由执法部门责令改正、给予警告、没收违法所得,对拒不改正的最高可处一百万元罚款;对情节严重的违法行为,最高可处五千万元或上一年度营业额百分之五的罚款,并可以对相关责任人员作出相关从业禁止的处罚。同时,法律还规定,对违法处理个人信息的应用程序,可以责令暂停或终止提供服务。

在民事责任方面,个人信息保护法明确,处理个人信息侵害个人信息权益造成损害的,个人信息处理者如不能证明自己没有过错的,应当承担损害赔偿等侵权责任。同时,个人信息保护法还对涉及侵害众多个人权益的民事公益诉讼作了规定。

业内人士称,立法进一步强化“从严”“从重”,提升民事违规惩戒力度,包括行政罚款上限的大幅度提高、为受害者集体诉讼提供更高效低成本的维权通道等,为公民个人信息保护建立了更具威慑力的制度“防火墙”。

“网络空间是亿万民众共同的家园,以数据为新生产要素的数字经济是高质量发展的新动力。”杨合庆表示,个人信息保护法以严密的制度、严格的标准、严厉的责任,构建了权责明确、保护有效、利用规范的个人信息处理和保护制度规则。“社会各方面应当加强个人信息保护宣传教育,提升个人信息保护法治意识,推动个人信息保护法落地实施,助力网络强国、数字中国、智慧社会建设。”

编 辑: 丁显阳
责 编: 于 浩

相关文章