详解个人信息保护法草案:国家机关履职应遵循告知同意原则
10月21日,中国人大网公开《中华人民共和国个人信息保护法(草案)》(下称“草案”)并面向社会征求意见,截止时间为11月19日。
草案共八章七十条内容,包括“个人信息处理一般规定”、“敏感个人信息的处理规则”、“个人信息跨境提供的规则”等专门章节。
中国社会科学院法学研究所研究员周汉华认为,草案的一大亮点在于,相比过去零碎的、片段式的立法,草案对个人信息的整个生命周期进行了一个全流程的系统设计,解决了过去几部立法都没有解决的问题。
编辑|石莹
从个人信息生命周期角度进行系统设计
近年来,随着网络化、数字化技术的发展,人们在享受科技技术带来的便利服务的同时,也遇到许多新的问题。其中,因个人信息保护不周带来的电信诈骗、垃圾短信、大数据杀熟等问题切实损害了民众的利益。2016年,山东准大学生徐玉玉因个人信息泄露,被电信诈骗骗走学费9900元,郁结于心,最终导致心脏骤停不幸离世。
个人信息保护问题越来越被大众关注,社会各方面也一直呼吁出台专门的个人信息保护法。据人大法工委介绍,本届以来,全国人大代表共有340人次提出39件相关议案、建议,全国政协委员共提出相关提案32件。
针对个人信息保护问题,虽然一直没有专门立法,但在刑法、消费者权益保护法、网络安全法、民法典中都有相关规定。
“但(它们)都不是集中的全面的规定。” 清华大学法学院教授、副院长程啸强调,个人信息保护法是个人信息保护领域中最为全面最为集中的法律规范,有了这样一部法律,我国就真正形成了以民法典、个人信息保护法、为核心的,相关领域特别法为辅助的科学合理的个人信息保护法律规范体系。
“个人信息保护法不仅将(其他法律中)零散的条款,特别是它们背后的思想整合起来,更会归管这些条款尚未涉及的地方。”中国法学会民法典编纂领导小组侵权责任编召集人、中国人民大学法学院教授张新宝表示,它还积极回应了信息技术,特别是互联网应用对社会生活的影响,在强化对公民个人信息特别是私密信息保护的同时,为信息产业界划定合法合规创新发展经营的边界。
针对草案的亮点,中国社会科学院法学研究所研究员周汉华认为可归纳为一个“内”和一个“外”。“内”是指草案以个人权利为核心理念,体现在草案的整个制度构造中,把知情同意原则作为一个主线。
“过去好几部法律都规定了个人信息保护的内容,但是一直没有点出个人信息权这么一个概念。”他表示,这一次在立法说明当中,明确提出个人权利这个概念,意味着个人在现代社会是可以控制自己的信息的,这是国际社会的普遍经验,也就是草案内核的亮点。
在个人信息处理活动中,个人拥有哪些权利?草案对此进行了明确,包括知情权、决定权、查询权、更正权、删除权等。
“外”则是指和过去零碎的、片段式的立法相比,草案对个人信息的整个生命周期进行了一个全流程的系统设计。“从采集到使用,到安全保护、跨境提供,再到敏感个人信息的处理、管理部门的确定和法律责任……这是过去的几部立法都没有解决的问题。”周汉华说。
回应个性化推送、人脸识别等社会热点问题
自动化决策,指的是技术系统在没有人工干预的情况下自动作出决策。互联网平台基于用户画像进行的“千人前面”“猜你喜欢”的个性化推送,就是一种典型的自动化决策。
草案第二十五条规定,通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项。
全国人大常委会委员吕薇对这条规定印象很深,她认为,自主化决策有利有弊。一方面,个性化信息流可以帮助消费者快速从海量商品信息中找到所用、所需的商品和信息;另一方面,也存在差别化定价、大数据杀熟等现象。
因此她提出,第二十五条的关键是,在推送方式上,不能是强制性的推送,应该允许消费者选择是否接受推送,并为消费者提供关闭选项。
前不久,南都个人信息保护研究中心刚发布了《个性化展示安全与合规报告(2020)》。报告发现,常用20款App中有八成被测App的个性化展示用户友好程度处于中等以下水平,绝大部分App都要经过五次以上甚至上十次跳转才能找到关闭按钮。
草案还针对人脸识别这一社会热点问题做出了回应。第二十七条明确,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供;取得个人单独同意或者法律、行政法规另有规定的除外。
南都记者注意到,一些商场门店已经开始使用人脸识别设备进行客流分析;疫情期间,多地小区也开始使用人脸识别设备进行防控。但上述场景能否上升到公共安全的高度,各方看法不一。
对于这条规定,吕薇认为,应该进一步明确“谁可以安装图像采集和个人身份识别设备,需要什么样的批准程序,由谁来批准”等问题。同时,要注意防范过度收集,保障被收集的信息不被用于公共安全以外的用途。
周汉华则表示,该条规定回应了现在大家比较关注的生物信息的采集问题,尤其是人脸识别,社会各界的关注度比较高。“把维护公共安全作为前提条件,应该说对于可能发生的(人脸识别)滥用现象能够产生遏制效应。”
去年10月,因为不愿意被强制刷脸,浙江某大学特聘副教授郭兵将杭州野生动物世界告上法庭。案件引发广泛关注,被业内人士称为“国内人脸识别第一案”。
周汉华以此案为例指出,杭州野生动物世界显然不是为了公共安全考虑,而是为了提高效率,就不具备强制使用人脸识别的必要性。他认为,草案会对法院裁判该案起到很强的指导性。
不过,实际效果如何“还是要取决于法规的执行和实施”。他说,公共安全和公共利益一样,是一个伸缩性很强的概念,小区和商场可能都认为自己跟公共安全有关。“怎样使得公共安全真正落实而不流于形式,就需要社会各界的共同对话。”
处罚对大型公司和机构具有震慑力
据中国互联网络信息中心于9月份发布的第46次《中国互联网络发展状况统计报告》显示,截至2020年6月,我国网民规模为9.40亿,网站数量为468万个,App数量有359万个。毫无疑问,网络已成为生产生活的新空间、经济发展的新引擎、交流合作的新纽带。
然而,一些企业、机构甚至个人,从商业利益等出发,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题仍十分突出。
对此,草案第六十二条规定,违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的,情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款。
南都记者梳理发现,《反垄断法》是我国第一部采用上年度营业额百分比作为处罚基准的法律,《个人信息保护法》可能成为第二部。上一年度营业额百分之五的罚款对于大型公司和机构来说,无疑极具震慑力。
在周汉华看来,这条规定将是未来审议中的焦点问题。他指出,五千万和上一年度营业额百分之五大大提高了现有的罚款额度,“会不会有市场主体认为太高?还是说力度还不够?实施当中是不是能够落得了地?我想会是一个大家广泛关注的问题。”
国家机关如何处理个人信息?草案第二章第三节设立专节— “国家机关处理个人信息的特别规定”。
第三十五条规定,国家机关为履行法定职责处理个人信息,应该依照本法规定向个人告知并取得同意。第三十六规定,国家机关不得公开或者向他人提供其处理的个人信息,法律、行政法规另有规定或者取得个人同意的除外。
周汉华认为,草案中的这一章节也是亮点之一。他表示,该规定体现了对国家机关和市场主体同等对待的原则,是规则平等的一个表现,有重要意义。尤其是现在国家机关泄露或者滥用个人信息的情况的确存在,所以规定也具有现实意义。
此外,草案中的第三章“个人信息跨境提供的规则”也是一大看点。华东政法大学教授、互联网法治研究院院长高富平认为这部分细化了个人信息跨境传输的有关要求,也为个人信息出境提供了多渠道的方式。比如,第四十一到四十三条基于国家安全的要求,分别从司法协助、限制措施和对等措施的角度进行了规定。
谈及个人信息保护法的定位,程啸告诉南都记者,这部法律本身并非单纯的民事特别法,而是一部运用民事、行政等综合性手段对于个人信息加以保护,对于自然人个人信息权益、信息自由、公共利益等多重利益关系加以协调的法律。