应用程序过度收集个人信息、大数据“杀熟”……这些侵害用户权益的行为将无所遁形。8月20日,十三届全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》(以下简称个人信息保护法),自今年11月1日起施行。近年来,个人信息泄露事件屡屡发生,用户的信息安全存在严重隐患。作为我国首部针对个人信息保护的专门性立法,个人信息保护法将进一步强化个人信息安全监管与治理。
历经十八载终出台
随着大数据时代的到来,数据已经成为与物质资产和人力资本同样重要的基础生产要素。随着数字经济的蓬勃发展及5G、人工智能等新兴技术的快速崛起,网络安全问题已成为各行业、各领域关注的焦点,数据集聚开发应用背后的隐私泄露、数据泄露等问题亟待解决。
个人信息保护法千呼万唤始出来,引发社会高度关注。全国人大常委会法工委副主任刘俊臣曾表示,制定个人信息保护法是进一步加强个人信息保护法制保障的客观要求,是维护网络空间良好生态的现实需要,也是促进数字经济健康发展的重要举措。
早在2001年,国家就成立了国家信息化领导小组,下设国务院信息化工作办公室,主要负责推动国家的信息化相关立法;2003年,国务院信息化工作办公室即着手部署个人信息保护法立法研究工作;2018年9月,全国人大常委会正式将个人信息保护法纳入“十三届全国人大常委会立法规划”,位列“条件比较成熟、任期内拟提请审议”的69部法律草案之中。
去年5月,十三届全国人民代表大会第三次会议审议通过了民法典,其最大亮点之一就是人格权编单独成编,对个人信息受法律保护的权利内容及其行使等内容作了原则规定;全国人大常委会工作报告在下一步主要工作安排中指出,围绕国家安全和社会治理,制定生物安全法、个人信息保护法、数据安全法,通过刑法修正案(十一),修改行政处罚法、人民武装警察法等;同年10月,中国人大网公布了《中华人民共和国个人信息保护法(草案)》(一审稿)全文,公开征求意见,并提请十三届全国人大常委会第二十二次会议审议。
今年4月,第十三届全国人大常委会第二十八次会议对《中华人民共和国个人信息保护法(草案二次审议稿)》进行了审议,主要针对广大人民群众反映的个人信息收集、使用规则不透明以及个人信息被过度收集、使用等突出问题进行了修改和完善。
全面个人信息保护时代来临
互联网数据生态治理在数字化时代已成为一项长期而重要的工程,有关部门已经连续出台多条政策、法规保护个人信息安全、优化网络环境。随着个人信息保护法的出台,由网络安全法、数据安全法、个人信息保护法构成的我国数字经济时代三大法律支柱体系基本确立。
中国信息通信研究院互联网法律研究中心高级研究员杨婕认为,个人信息保护法从全局高度对各主体利益进行统筹安排和科学分配,在规则安排上既保护了个人信息权益,又拓展了个人信息处理者利用个人信息的合理空间,也回应了国家机关为履行法定职责或者法定义务处理个人信息的诉求,从而最大化实现社会利益。
北京大成(杭州)律师事务所合伙人孙鹏程律师表示,从全球层面上来说,个人信息保护逐渐成为各国立法机构的重要议题,且目前已有超过140多个国家和地区均制定了个人信息保护相关的法律,本次我国出台的个人信息保护法几乎与国际个人信息保护通用原则全面接轨,体现了我国包容开发的心态,有助于数字经济的全球化发展。
个人信息保护法第一条开宗明义地表明其立法依据为宪法,这将我国对个人信息受保护的权利提升到了宪法的高度,标志着我国对个人信息的保护上升到了更高的高度,且在一定程度上回应了公众对于国内个人信息被侵权、泄露的关切。
与此同时,个人信息保护法的出台标志我国进入了全面的个人信息保护时代。从个人信息主体来看,其依法享有对其个人信息的查询权、复制权、删除权、更正权、保持完整性和准确性权、投诉权、要求说明权和诉讼权。从执法机构来看,除目前常态化的执法行动外,针对个人信息保护的公益诉讼也将常态化地持久发力,最高检已下发《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》,旨在通过明确个人信息保护公益诉讼办案重点,加强对于个人信息的保护。
人脸信息等敏感个人信息获保护
个人信息保护法共八章74条。在有关法律的基础上,该法进一步细化、完善了个人信息保护应遵循的原则和个人信息处理规则,明确个人信息处理活动中的权利义务边界,健全个人信息保护工作体制机制。
北京市伟博律师事务所主任李伟民认为,个人信息保护法主要有明确了“个人信息”的定义和法律性质、明确了个人信息保护法特殊的域外效力、明确了与个人信息有关活动的性质和范围、明确了个人信息处理的基本原则和一般原则、明确了个人信息处理“同意原则”的例外情形、明确了个人信息越境转移的特殊规则等亮点。
他表示,个人信息保护法是一部信息时代、具有特殊历史使命的法律,具有私法的特征,同时也兼具公法的特征,个人信息定义的明确具有很大进步性,具有识别功能或者具有识别可能性、与个人有关的电子信息或者其他形式存在的信息都属于该法保护的个人信息。
与此同时,个人信息保护法还明确了敏感信息的定义和特殊的处理规则,并强调对特定弱势群体的保护。例如,处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定;个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。
李伟民认为,生物识别信息、基因信息、诊疗信息、未成年的有关信息属于敏感信息,不同于一般的个人信息,保护程度和造成的损害都有所不同,处理规则也要区别对待,总体原则上,对个人信息中的敏感信息的保护要更加严格。
对App过度收集个人信息、公共场所安装摄像头和人脸识别设备等个人信息保护中的问题进行规范,也是个人信息保护法的亮点之一。今年央视“3·15”晚会上,上海科勒卫浴、宝马等商家被发现在门店中装有特别为人脸识别使用的摄像头,用于消费者管理。顾客进店后在完全不知情的情况下就被采集了人脸数据,这些信息一旦被泄露,将严重威胁个人的财产、隐私安全。
针对滥用人脸识别技术问题,个人信息保护法要求,在公共场所安装图像采集、个人身份识别设备,应设置显著的提示标识;所收集的个人图像、身份识别信息只能用于维护公共安全的目的。
大数据“杀熟”将无所遁形
大数据“杀熟”是社会公众对互联网平台利用大数据和算法对用户进行画像分析,从而收取不同价格等行为的概括性说法。据统计,目前,已经有多部法律法规出台约束大数据“杀熟”行为,包括反垄断法、电子商务法、价格法等。
近年来,对于反垄断的关注不断增加。国家市场监管总局已多次开出反垄断罚单,此外,反垄断还成为全国两会中的焦点,被写入了今年的政府工作报告。在这种态势下,“二选一”、大数据“杀熟”等行为更是无所遁形。
个人信息保护法对大型和小型个人信息处理者进行了区分。对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,要遵循公开、公平、公正的原则制定平台规则,还必须成立主要由外部成员组成的独立监管机构,定期发布个人信息保护责任报告,接受全社会的监督。
个人信息保护法第二十四条还规定,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇;通过自动化决策方式向个人进行信息推送、商业营销的,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
孙鹏程律师表示,对于消费者来说,个人信息保护法授予了其知情权、决定权、查阅权、复制权、更正权、保持个人信息完整性和准确性的权利、撤回同意的权利。
事实上,今年以来,随着执法机构执法的日趋严厉以及趋于常态化,应用程序过度收集个人信息以及大数据“杀熟”等行为已逐渐减少。随着个人信息保护法的出台和个人信息主体意识的提高(包括向执法机构投诉侵犯其个人权利的情形),毫无疑问,这些侵权行为将无所遁形。(记者 祖爽)