《个人信息保护法》重在落实与执行
2021/09/15 | 作者 周兼明 | 收藏本文
日前,中国首部《个人信息保护法》已获审议通过,将于今年11月1日起施行。这部法律从动议、研究到最终立法,历时近20年。20年间,互联网生态发生巨大变化,智能手机及相关应用已全面覆盖人们的生活,个人信息保护面临的问题也越来越多,适时推出新法将有助于遏制个人信息频繁被侵害的乱象。
由于手机中几乎包罗了一个人所有的信息,使得每个人都处于各类APP的监控中。又因信息的储存成本过低,造就诸多数据库成为当今社会最大黑箱的事实。由这些数据提供的算法不仅在你不知情的情况下,能勾勒出你的行为与身份画像,也能决定你未来面对什么样的世界——比如,当数个APP都判定你是“不可信任”的消费者,或对你进行某种归类时,你自己可能并不知道,但当你在未来消费时,就可能遇到一些意料不到的问题。
近些年,不仅用户的信息被网络公司收集得越来越多,信息泄露的规模也在呈指数级增长,泄露的个人信息更加全面和立体化了。据相关专业公司统计,2019年前9个月,公开的数据泄露事件已达5183起,数据泄露条数达79亿,有数十亿的各类个人信息在暗网上被出售。随着万物互联时代的来临,人们对数字技术的依赖更大,这种泄露趋势只会愈演愈烈。每个人虽面临着各类信息被泄露的风险,却无法停止个人信息的被获取,除非你回到原始丛林中生活。
基于以上背景,《个人信息保护法》经过三次审议,终于颁布了。该法共8章74条,采用了综合通用的立法模式,适用于各行各业,并“特别规定”国家机关处理个人信息时,也适用该法。
《个人信息保护法》确立的个人信息处理的核心规则为“告知-同意”。该法要求处理个人信息,应在事先充分告知的前提下取得个人同意,当其中重要事项发生变更时,也需重新向个人告知并取得同意。同时,对民众反映强烈的一揽子授权、强制同意等问题,该法要求在处理敏感个人信息、向他人提供或公开个人信息、跨境转移个人信息等环节时,需取得个人的“单独同意”。该法规定网站不得过度收集个人信息,不得以个人不同意为由拒绝提供产品或者服务,并赋予个人撤回同意的权利。当个人撤回同意后,网站应停止处理或及时删除其个人信息。
该法明确禁止“大数据杀熟”。《个人信息保护法》使用“自动化决策”一词来指称通过计算机程序,自动分析、评估个人行为习惯、兴趣爱好或者经济、健康、信用等状况,从而进行决策的活动(也即常说的“大数据画像”)。该法规定,各网站不得利用“大数据画像”,对个人在交易条件上实行不合理的差别待遇,同时在信息推送、营销时,应提供不针对其个人特征的选项。
《个人信息保护法》将个人的生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,列为敏感个人信息,要求网站只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,才能处理这些敏感个人信息,同时应事前进行影响评估,向个人告知处理的必要性及对个人权益的影响,并获得个人的单独同意。因为这类信息一旦泄露或被非法使用,极可能导致当事人的人格或人身、财产安全受到损害。该法规定,在处理不满十四周岁的未成年人个人信息时,需取得其父母或其他监护人的同意,对这类信息,需制定专门的个人信息处理规则。
该法还规范了个人在个人信息处理活动中的权利,有知情权、决定权,有限制和拒绝权;有查阅、复制权;有请求转移权;有更正权;有要求说明权。也同时规定了个人有权请求删除其个人信息的5种情形。该法同时明确,当自然人死亡时,其近亲属为了自身的合法、正当利益,可对死者的相关个人信息行使查阅、复制、更正、删除等权利。个人信息处理者如拒绝个人行使以上所有权利,个人可依法向人民法院提起诉讼——对个人新权利的这些规范,应当说还是比较全面的,基本可保护个人信息处理的权利不会受到明显的侵害。
值得指出的是,该法对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,也如欧盟《数字市场法案》一样,对这类“数字守门人”提出了需额外承担的一系列义务,这些可称为“守门人条款”:需成立主要由外部成员组成的独立机构进行监督;需遵循公开、公平、公正的原则,制定平台规则;需定期发布个人信息保护社会责任报告,接受社会监督等。《个人信息保护法》也规定了相关部门的监管职责,明确了违法者应承担的法律责任。
《个人信息保护法》的出台,意味着中国开始形成一个比较完整的对个人信息保护的法律体系。这部法律有统领其他法律法规对个人信息保护的作用,所确立的“合法正当”“公开透明”“合理目的”“准确完整”“最小伤害”等原则,将成为保护个人信息通行的、基本的原则,其他法律法规不能与之相冲突。
法律的颁布只是开始,民众有明晰的个人信息保护意识更重要。有了专门的立法,未来还需要司法机构、政府机关、行业组织、企业单位、公民个人都提高保护意识,共同协作,创建一个保护个人信息的良好环境。
相关报道