漫谈与速读《个人信息保护法》(草案)
关键词:区块链;人工智能;大数据;智能合约;涉外法律服务;专业律师
本期关键词: 个人信息保护法 草案 解读
本文约3400字,大概需要阅读 10分钟。
备受关注的个人信息保护法草案首次提请审议,这一草案与我们每个人、每家利用互联网技术的公司以及政府都密切相关,今天我们就来聊一聊《个人信息保护法》(草案) 。首先说明,本文不是严肃的学术文章,本文主要是给非法律工作者提供一个初步的了解与解读,欢迎批评指正。
一、我们的信息已经满天飞
我们国家在互联网科技方面的进步以及走在世界前列,这一成就其实我们每个人都作出了贡献。因为,我们都在有意或无意间向互联网公司提供了我们的个人信息。吃一顿饭,逛一个商场,当你买单或者享受优惠时,你可能就会遇到让你下载APP或者在已经有的APP上注册会员之类的。然后,最起码你的微信和手机号就被商家们掌握了。有时,你下载一个查询类的软件,这个软件会需要访问你的定位,访问你手机上的照片与图库,如果你拒绝,你可能就无法正常使用这个APP。当我们成为低头族的时候,各种类似的情形似乎每天都在出现。
二、《个人信息保护法》是个什么东东?
如果说我们的个人信息每天都在“裸奔”,那么这个法就是给我们的个人信息穿上一层衣服,衣服最基本的功能就是遮盖身体、防寒保暖。所以,今天聊的就是这个法律如何能够帮助我们“遮盖身体、防寒保暖”。
不知大家有无注意,冠之以“保护”的法律并不多,有《消费者权益保护法》、《未成年人保护法》以及以《环境保护法》以核心的若干自然资源保护法。虽说所有的法律都是以保护合法权益为目的之一,但以“保护”作为法律的名称就可以看出保护的必要性与迫切性,以及受保护对象的脆弱或者弱势性。所以名称上用“保护”,足以说明在个人信息所有者与处理者在天平两端上并不平衡,这个法律就是对这种不平衡的状态进行“矫正”。
三、第一条似乎就有问题
第一条里面没有写上位法的依据,所以其本身就是法律,但因为它是一部专门立法,因此也应该有上位法的支撑才对。《民法典》本应是其上位法,但《民法典》尚未正式实施,而且就算是《民法典》作为其上位法也存在问题,因为《民法典》主要是一部民商事法律规范,私法性较为突出,而个人信息保护,似乎已经不是私法领域就可以解决的问题。
所以我个人认为,应当根据《宪法》制定本法,那就更把问题凸显出来了:个人信息保护是不是一个宪法性权利?这个问题就大了,这里讨论不了,但始终这里是有个bug。
四、第一章的几个基本原则
第一章规定了这部法律总体上的原则,有不少亮点:
第一,第三条明确了本法的“域外管辖”,简单说就是国外的组织或个人在一定条件下也要遵守我们这部法律。
第二,明确了个人信息的基本概念,草案里规定“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”,这样规定可以说对个人信息保护是最全面的。因为没有限定或者例举,唯一的例外是后面那句话:“匿名化”。这里就要小心了,可能有些互联网企业就是用“匿名化”的外衣来给自己找借口。首先,我国是手机号码实名制的,而大部分信息都需要采集手机号码,那么有没有“匿名化”?其次,“匿名化”后能不能“还原”,如果互联网企业可以随时“还原”“匿名”,那么就仍然要受到本法的约束。
第三,第五、六、七、八、九条分别从信息处理方式、处理目的与范围、公开透明、准确与更新等方面规定了个人信息处理的几个重要原则。这些条文都极为重要。这里,对第九条单独说一下:“个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全”。这一条意味着互联网企业要加大对信息网络安全、数据库安全的防护义务。未来我认为应当根据互联网企业信息安全的等级来确定其可以收集哪些信息。说白了,没有那把刷子,就别干那瓷器活儿。
五、个人信息处理的基本规则
1、告知与同意规则
这一规则来源于欧盟的《一般数据保护条例》,简单说就是当你要收集或者处理我的个人信息时,一定要告知我,第二,告知完了以后,还要经过我的同意。啥叫“告知”呢?殊不知,有很多APP在后台运行,例如采集我的定位,而我们全然不知。告知啥呢?
这个比较重要,草案第十八条是这么规定的:“个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言向个人告知下列事项:(一)个人信息处理者的身份和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定权利的方式和程序;(四)法律、行政法规规定应当告知的其他事项。前款规定事项发生变更的;应当将变更部分告知个人。个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。”这一条够狠,关键是如果他没有告知,将会遭受哪些处罚,要不然,老百姓个人的维权成本太大了。这里还有很多细的规则,不一一赘述。
2、流动规则
草案第二十一、二十二、二十三、二十四条是关于数据流动规则的,啥叫流动?举个“栗子”:微信收集的信息给QQ用,京东收集的信息给头条用,诸如此类。草案将这种流动区分了四种类型:第一,共同处理;第二,委托处理;第三,因合并分立时的处理;第四,向第三方提供。那么这种“流动”,也要让本人知情且同意。说白了,以后“串联”的难度大了点。
3、算法规制
草案第二十五条用来规范“自动化决策”,说实话我不懂技术,以我朴素的理解,就是“算法”,举个“栗子”:目前某些APP存在的所谓“杀熟”,这个东西,100块钱,你放进了购物车,当你下单时,价格变成了105块钱,咋整的?其实,后面没人,就是“程序猿”们搞了一个算法出来,知道你经常买,有依赖性,多一点儿无所谓。这是轻的,更为严重的,甚至通过算法搞歧视,这就是算法歧视的问题了,例如算法根据大数据已经算出你是个“屌丝”,不是“白富美”,然后给你“量身定制”。
4、公共场所
满大街全是摄像头,到底谁来管,怎么管?草案第二十七条规定,“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供;取得个人单独同意或者法律、行政法规另有规定的除外”。
最后,草案第二章将“敏感个人信息”与“国家机关处理个人信息”分别作为两节来进行规定,这里关键是啥是敏感个人信息。草案第二十九条说,“个人信息处理者具有特定的目的和充分的必要性,方可处理敏感个人信息。敏感个人信息是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息”。大家可以想想,还有啥可以算是敏感信息,教育信息算不算,经加工以后所形成了信息算不算?例如,通过大数据知道我属于哪一种职业,有哪些兴趣爱好之类的。
六、跨境流动
草案专门用一章来规范“跨境流动”,简单说就是境内向境外提供个人信息。例如,我们下载一个外国的APP,或者比如谷歌中国向谷歌提供信息之类的,跨境流动获得规范,是不是也意味着外国的APP只要遵守本法,一样可以向中国用户提供服务。
七、我们的权利和他们的义务
草案第四章是“个人在个人信息处理活动中的权利”,简单说有这么几个权利:知情权、决定权、查阅复制权、更正补充权、删除权、质询权、投诉权。草案第五章是“个人信息处理者的义务”,主要包括这么几个义务(其实前面有很多都是他们的义务):有义务建立完整有效的安全防护体系、必要时设置信息合规官或者信息保护官、个人信息审计的义务(这个牛!)、事前风险评估的义务、信息泄露后的补救义务。
八、谁来保护我们
草案第六章规定了“履行个人信息保护职责的部门”,说白了就是“人人有份”。网信办统筹协调,其他各部位都要承担起相应的责任来。
九、牙齿在哪里
如果违反本法,到底有哪些法律后果,本法的“牙齿”在哪里?草案第七章是“法律责任”,一般违法,100万以下的罚款,严重的5000万以下或者上一年度营业额5% 以下,当然负责人或者直接责任人也有个人罚款。
另外,就是信用记录,其他行政责任、民事责任和刑事责任了。大家觉得力度够不够?个人信息没有保护好,所可能存在的隐患非常大,所以不光是罚款就可以震慑的,对于负责人和直接责任人,是否有必要给予市场禁入类的处罚,这个可以商榷,总之就是要达成“不能、不敢、不愿”的效果,我们的信息才算得到了基本的保障。
终于有衣服穿了,有衣服总比没有衣服好,至于衣服的质量、材质、功能甚至款式,总是随着时代的进步而逐步改进的,让我们期待它尽快出台吧。
陆续更新,敬请期待
如认为本文侵犯版权,请及时联系闪涛律师团队。
闪涛律师
WeChat:davy_shan
Email:davy_shan@vip.163.com
闪涛律师
广东广信君达律师事务所 高级合伙人律师
广东外语外贸大学法学院兼职教授、硕士研究生导师
中南财经政法大学 博士研究生
专注于涉外法律服务、“一带一路”与海外投资、公司法务、并购、解散、破产、清算、金融、证券、私募、人工智能、区块链、智能合约、大数据等领域
最高人民检察院咨询专家
中华全国律师协会涉外法律事务领军人才库人选
司法部、全国律师协会“一带一路”跨境律师人才库首批成员
司法部、全国律师协会“一带一路”项目沙特阿拉伯国别协调人、埃塞俄比亚国别协调人
点一下在看再走吧