史上最详细《个人信息保护法》解读!
历经十八载,个人信息保护法终出台。8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》,自11月1日起施行。值得注意的是,这是我国首部针对个人信息保护的专门性立法。
南都记者注意到,个人信息保护法不仅回应了App过度收集个人信息、“大数据杀熟”、公共场所安装摄像头和人脸识别设备等社会热点问题,还重点加强了对头部企业的监管,并开创性地将国家机关纳入了监管范围。
个人信息保护法的出台有何缘由?如何理解新增的数据可携带权、自动化决策条款?为何区分大小型个人信息处理者?当消费者的个人信息权益受到侵害后,此部法律又对个人维权产生哪些影响?就此,南都记者采访了参与个人信息保护法起草的核心学者、业界专家和活跃在一线实务界的数据合规律师。
早在2003年,我国就已经启动了个人信息保护相关的立法研究,专家建议稿也很快形成。但在机构改革、立法资源有限等多重因素作用之下,立法一度陷入停滞。直到2018年,个保法才被列入十三届全国人大常委会立法规划。
与此同时,个人信息保护问题在移动互联网时代更加凸显。从频繁收到骚扰信息、一些手机应用不给个人信息就不让用,到电信诈骗者能够详细地说出接听者的家庭住址,再到新冠患者的个人信息在网络上流转甚至被“人肉”……
“个人信息保护问题在近年移动互联网迅速发展的背景下集中爆发,这也推动了个人信息保护法尽快出台。”曾参与起草国家标准《信息安全技术 个人信息安全规范》的中国电子技术标准化研究院网络安全研究中心测评实验室副主任何延哲对南都记者说。
在长期关注数据合规、个人信息保护的数据法律专家袁立志看来,制定专门的个人信息保护法可从内、外两个层面来看。对内来讲,以前看似有很多个人信息保护方面的法规标准,但大部分都属于指导性、推荐性文件,法律层级较低。“个保法填补了在个人信息保护领域高位阶、有强制约束力又提供详细规则的法律的空白。”对外来讲,中国有了一部具有自己特色、也借鉴了国际先进经验的保护个人信息的法律,使得国家未来在国际竞争特别是数据竞争中有了更加有利的地位。
个人信息保护法第一条写道:“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。”值得注意的是,“根据宪法,制定本法”并未出现在一审稿和二审稿中。
“‘根据宪法’这几个字有非常重大的意义,它表明个人信息保护法的立法依据是我国宪法上规定的‘个人的人格尊严和自由(不受侵犯)’。”中国社科院法学研究所副所长周汉华曾牵头撰写个人信息保护法专家建议稿,他这样告诉南都记者。
北京大学法学院教授、法治发展研究院执行院长王锡锌也表示,“在大数据时代,一个很重要的要求就是把国家尊重和保障人权、公民的人格尊严不受侵犯、公民拥有通信秘密与通信自由这些宪法的规定落实到个人信息保护中。”
他还提到,“根据宪法,制定本法”的第二层意义在于揭示了个人信息的法律属性。“个人信息保护法既涉及到民法上的保护,更涉及到国家机关对个人信息进行保护。它是一个私法与公法结合的综合性领域法。”
“此前有一些观点认为,既然在民法典中对个人信息保护作了规定,那么个人信息保护就是一个民事法律问题。但实际上,当今的个人信息保护主要面对的是大规模的个人信息处理活动,更需要国家机关来提供一种保护,启动国家权力需要一个宪法基础。”他解释。
在何延哲看来,这一规定可以为近年来的App治理行动提供合法性支撑,有利于治理行动的长期推行。对于测评结果具体怎么公开,目前还没有看到统一的标准。“如果能公开一些问题的细节,将有助于企业自查自纠,也有助于用户在使用App时注意保护自己的个人信息。”
南都记者注意到,个人信息保护法还首次引入了可携带权。第四十五条规定,个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。
据了解,数据可携带权由欧盟《通用数据保护条例》(GDPR)首创,在澳大利亚、美国等国家的立法中都有类似体现。
“数据可携的最大意义在于要打破网络时代的不充分竞争格局。”周汉华举例说,“虽然App的数据量有很多,但有些时候用户想要换App是很难的,因为他的朋友圈、社交信息等相关信息都在原来的平台上。”
他解释,增设这一条款是希望发挥“鲶鱼效应”——通过数据可携,给一些初创企业等小平台与大平台竞争的机会,这与近年来反垄断、鼓励竞争的精神也是相似的。“当然这一条款的操作难度会比较大,还需要后续慢慢探索。”
在实际操作层面,由于个人信息可携带权涉及技术实现的可能性、成本由谁承担等问题,曾引发诸多争议。
“符合国家网信部门规定条件的个人信息处理者才有义务提供转移途径,这一附加条件增加了灵活性。”袁立志建议,如果一些企业目前做不到数据可携,相关部门可以把规定的适用范围限制得窄一些,等企业的技术、经济实力能够承受得起,再放宽限制。
对外经贸大学数字经济与法律创新研究中心执行主任许可则指出,在某些场景下个人信息可携带是必需的,比如医疗健康等行业。但是倘若对可携带权不加限制,对个人的过分赋权可能会损害第三方利益,导致个人信息保护与利用的失衡。
“我国虽然引入了个人信息的可携带权,但并未赋予它绝对性的权利,而是使它成为一个有规则的、有条件的、有限制的权利,这种做法与GDPR等法律有一定的共通性。”许可说。
“大数据杀熟”现象会被遏制吗?
App似乎正在变得越来越“懂你”。当用户打开购物软件后,首页弹出种草很久的商品,轻轻上划可以轻松刷到感兴趣的视频。但千人千面的个性化推荐、自动化决策也使人们开始担忧,其背后是否深藏算法陷阱,会不会遭遇“大数据杀熟”。
对上述问题,个人信息保护法作出了针对性规范。
个人信息保护法第二十四条规定,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇;通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
何为自动化决策?全国人大常委会法制工作委员会发言人臧铁伟介绍,是指通过程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康信用状况等,并进行决策的活动。
袁立志表示,自动筛选简历、信贷领域评估贷款额度都是自动化决策的应用场景。不过他指出,“大数据杀熟只是自动化决策的应用场景之一,其实数据杀熟问题本质上是算法监管的问题,虽然个人信息保护法将来也许会起到一定作用,但还需更加综合性的手段来治理这一问题。”
何延哲也持有类似看法,要解决大数据杀熟问题,首先要厘清概念。然而,至今很少有明确的相关案例,各方看法也未达成一致,还需要在法律实施后继续摸索更有操作性的细则。
南都个人信息保护研究中心去年发布的《个性化展示安全与合规报告》显示,20款常用App中,所有的个性化推荐开关都是默认开启,有的App故意将关闭的渠道设置得较为隐蔽,用户需要经过上十次点击才能跳转到相关页面;还有的App会设置三个月或半年的“关闭有效期”。这些操作都在一定程度上削弱了用户的控制权。
“(自动化决策条款)肯定会对广告业产生影响。”何延哲说,以前用户往往只能被动接受个性化广告的推送,用户拥有主动权后,可以自行选择是否开启类似功能。
“以前许多广告商在无限度追求商业利益的过程中,经常忽略用户个人的感受。如今出台了相关法规,他们便要承担之前野蛮发展的后果——曾经让多少用户反感,以后可能就要承担多少用户关闭个性化推荐后的损失。”他说。
区分大小企业的个人信息保护义务
如今,国内的BAT、国外的Facebook、苹果等互联网巨头企业掌握大量个人信息,对互联网生态环境有巨大的影响和控制力。学界普遍认为,这些“守门人”企业应当受到更加严格的规范,并承担起更多责任。
对此,个人信息保护法规定,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。
周汉华告诉南都记者,具有上述特征的个人信息处理者与国际上对“守门人”企业的规定有异曲同工之处。这条规定也和最近反垄断调查、加大对“守门人”企业的监管力度的趋势相符。
何为“外部成员”?许可认为,可类比上市公司的独立监事、外部董事等“和公司无关的人”。中国信息安全研究院副院长左晓栋也强调,独立机构的人员和个人信息处理者不能有隶属关系,独立机构不对个人信息处理者负责。
“外部独立机构能够独立到什么程度、多大程度会受到头部企业掣肘,比如机构运行中的资金问题等等,独立性在这个地方表现的是不充分的。只有独立机构不受到企业本身的制约,才能发挥其监督作用。”张新宝强调。
他认为,此举意在加强超大互联网平台的个人信息保护义务,符合目前互联网产业的法治状况。“在对个人信息处理者设定义务时,尤其要区分大小企业,这是一个重大突破。”
这一点在个人信息保护法中也有体现。法律明确,针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,应制定专门的个人信息保护规则、标准。
“因为执行个人信息保护法是有很重的负担,尽管小微企业也符合个人信息处理者的定义,但实际上它们处理个人信息的活动通常不会造成系统性的风险。”周汉华说,许多国家在这点上是类似的,“就是要减轻小微企业信息处理的负担。”
至于何为小型个人信息处理者,周汉华表示,法律实施后会由网信部门出台具体的操作标准。
不少“守门人”企业有海外业务,有时涉及个人信息跨境的问题。南都记者注意到,个人信息保护法中的相关规定也在此前审议稿的基础上有所改动——中国缔结或者参加的国际条约、协定对向境外提供个人信息的条件等有规定的,可以按照其规定执行。对于国外关于提供存储于境内个人信息的请求,新增“按照平等互惠原则”。
涉及跨境数据传输时,经过欧盟“充分性认定”的国家和企业可以接受从欧盟传输过来的数据,相当于一种白名单制度。在袁立志看来,上述规定明显是为中国未来加入或设置类似的白名单制度留下一个接口。
许可则认为,中国目前签署了多个多边条约,并可能参与WTO的后续修改。未来中国可能会与欧盟等国缔结条约,这也是为我国和其他国家之间的个人信息流通创造便利。
根据“平等互惠原则”,袁立志指出,“即使双方尚未签署双边协议,但如果对方为我国调取个人信息提供便利,我们也可以‘投桃报李’,为对方调取个人信息提供同等便利。”
省级以上才有罚款权限,避免“执法利益化”
个人信息保护法草案一亮相,与GDPR类似的高额罚款就吸引了不少注意,最终出台的版本保留了这条规定。
根据个人信息保护法,如果个人信息处理者违规处理个人信息,或者处理个人信息未履行个人信息保护义务,情节严重的,可由省级以上履行个人信息保护职责的部门处以五千万以下或者上一年度营业额百分之五以下罚款。
“除了反垄断法外,可以说这么高额的罚款在我国法律中是前所未有的力度。”周汉华解释,GDPR规定的比例是4%,反垄断法规定的是1%-10%,而个人信息保护法的5%借鉴了两者的经验。
“有的(企业)算下来可能达到几百亿。”中国人民大学法学院教授张新宝坦言,“高额的罚款对企业有较大的威慑作用。”
事实上,对于企业有震慑作用的并不是只有高额罚款这一条。个人信息保护法还规定,有违法行为且情节严重的,除了对直接负责的主管人员和其他直接责任人员处以罚款,还可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
袁立志坦言,这一条“威力挺大的”。张新宝则表示,这是借鉴了金融从业人员管理的经验,有利于强化对高管人员的管理,避免其“打一枪换一个地方”,持续利用企业侵害个人信息权益。
南都记者注意到,个人信息保护法在最终版中进一步细化了处以“高额罚款”的部门范围,即省级以上履行个人信息保护职责的部门。
“这是在多次讨论中大家都反映的(问题)。”王锡锌表示,一旦高额罚款的权力下沉,至少会出现两个方面的问题,一是许多互联网平台的经营是高度集中化的,“全国一张网”。按照传统行政处罚由县级以上的部门管,执法主体过多,而高度分散的执法不太符合当今数字经济下的管理和执法现状。
另一方面,“由于有高额罚款,许多地方的执法部门可能受到利益驱动,也就是‘追求罚款’的‘执法寻租’,结果平台运营的成本被大幅提高。我觉得这点是很重要的修改原因。”王锡锌说。
张新宝也认为,个人信息保护法将罚款的权限规定到省级以上履行个人信息保护职责的部门,有利于执法的统一性,并且避免地方保护主义以及权力滥用。他还建议,“巨额罚款应当收缴到中央国库。”
未来需跟进配套政策,细化操作标准
在审议过程中,个人信息保护法有多个条款吸引了大量关注。比如将国家机关纳入监管范围之内;将不满14周岁未成年人的个人信息纳入敏感个人信息,个人信息处理者须为其制定专门规则;个人信息处理者不能证明自己无过错的应担责;赋予死者近亲属处理其个人信息的权利等等。
不过,多位受访专家直言,个人信息保护法的规定较为原则化,未来需要跟进许多方面的配套政策,细化相关的操作标准。
以国家机关处理个人信息的相关规定为例。王锡锌向南都记者表示,个人信息保护法对于国家机关处理个人信息只做了非常有限的原则性规定。国家机关是最大的个人信息处理平台,与其他个人信息处理者相比,国家机关处理个人信息存在着巨大的不同,具有公共性、法定性、垄断性、强制性等特点。
“最重要的就是国家机关处理个人信息到底按照什么规则来做?”他建议,未来需要细化国家机关处理个人信息时如何保护个人信息的规则,甚至可能需要对此专门立法。
此外,如个人信息的司法救济、民事公益诉讼也需要后续的配套规则。“像是可携带权、删除权、复制权、知情决定权等个人信息保护的基本权利如果被侵犯后到底该怎么保障,是否可以直接去法院起诉?还是通过监管部门行政执法?具体如何进行政执法?这些方面的规则也是需要完善的。”王锡锌说。
“法律出台后,接力棒就交到了后续执法、司法部门的手中,他们也要帮助个人信息保护法成为一部切实可行的法律。”在许可看来,“个人信息保护决不只是法律层面的事情,要依赖法律、社群规范、市场上的最佳实践以及技术进步来实现。”
具体而言,首先要将个人信息保护法里已经规定了但没有细化的制度进行落实。比如对人脸识别、人工智能等方面的规定。其次,要通过国家标准的制定落实社群规范。比如个人信息安全规范就是一个非常重要的行业标准。最后,要通过市场力量去落实个人信息保护法。
许可强调,除了国家机关以外,互联网平台是目前最大的个人信息收集者,也是个人信息保护最重要的市场主体。通过互联网大型平台去建立健全个人信息保护规范,对平台经营者进行约束,是未来完善个人信息保护法的一个重要环节。