《個人信息保護法》出台將帶來哪些改變?
個人信息保護法首次確立了「敏感個人資訊」的法律概念,不滿14周歲未成年人資訊被列為「敏感個人資訊」。。 根據規定,處理「敏感個人資訊」比處理一般個人資訊更為嚴格,只有在特定目的和充分必要情形下,並採取嚴格保護措施的情形下,取得個人單獨或書面同意才能進行,體現了分類保護的思路。
經過十多年醞釀論證、十三屆全國人大常委會三次審議,8月20日,十三屆全國人大常委會第三十次會議表決通過了個人信息保護法。 這部法律將於2021年11月1日起施行。
全國人大常委會法工委經濟法室副主任楊合慶表示,這是我國首部專門針對個人資訊保護的系統性、綜合性法律。 對法律的適用範圍、以”告知-同意”為核心的個人資訊處理規則、個人信息處理活動中個人的權利和處理者義務、大型網路平臺的特別義務、國家機關處理個人資訊的規範、個人資訊跨境流動及履行個人資訊保護監管體制、法律責任等內容作出了具體規定。
對外經貿大學數字經濟與法律創新研究中心執行主任許可教授告訴中青報·中青網記者,2003年我國就由原國務院資訊辦牽頭,開始了對個人資訊保護立法的研究工作;2012年全國人大常委會通過《關於加強網路資訊保護的決定》,開啟了我國在法律層面上對個人資訊保護的新歷史進程;隨後,2013年修改的消費者權益保護法將”個人資訊受到保護” 作為消費者的一種權益確認下來;2017年6月1日起實施的網路安全法、2020年1月1日起實施的民法典人格權編中,專設隱私和個人信息保護一章,這些都對個人信息保護作出了規定。
遏制App”強制同意”亂象
去餐廳吃飯被要求掃碼點餐,且必須填寫姓名、出生年月、手機號碼等與服務無關的個人資訊;想下載使用一款App,需要和平臺方達成”交易”,點選是否允許授權打開相冊、是否允許授權打開通訊錄、是否允許授權開啟定位…… 近年來,諸如此類收集資訊的方式,頻頻引發人們對個人資訊洩露的擔憂和質疑。
楊合慶指出,隨著資訊化與經濟社會持續深度融合,現實生活中一些企業、機構甚至個人,從商業利益等出發,隨意收集、違法獲取、過度使用、非法買賣個人資訊,利用個人資訊侵擾人民群眾生活安寧、危害人民群眾生命健康和財產安全等問題十分突出。 “‘告知-同意’是法律確立的個人信息保護核心規則,是保障個人對其個人信息處理知情權和決定權的重要手段。”
個人信息保護法規定,處理個人信息應當具有明確、合理的目的,並應當與處理目的直接相關,採取對個人權益影響最小的方式。 收集個人資訊,應當限於實現處理目的的最小範圍。
同時規定,處理個人信息應當在事先充分告知的前提下取得個人同意,個人信息處理的重要事項發生變更的應當重新向個人告知並取得同意。
針對現實生活中網路用戶質疑的「一攬子授權」「強制同意」等問題,個人資訊保護法規定,個人信息處理者在處理敏感個人資訊、向他人提供或公開個人資訊、跨境轉移個人資訊等環節應取得個人的單獨同意,明確個人信息處理者不得過度收集個人資訊,不得以個人不同意為由拒絕提供產品或者服務,並賦予個人撤回同意的權利,在個人撤回同意後, 個人信息處理者應當停止處理或及時刪除其個人資訊。
北京大學法學院教授薛軍在解讀這一基本規則時表示,這種同意必須是建立在告知的基礎上的有效同意,包括”單獨同意””書面同意”,”同意”後還可”撤回”。 這充分地體現了立法認可個人資訊受到法律保護。 此外,法律規定,個人信息保護的主導性方式是”自覺”原則。 這意味著,未經主體同意,原則上就不能處理個人資訊。
“大數據殺熟”在法律上予以禁止
使用者用兩款手機分別打開某旅行App訂酒店,點選同樣的酒店、同樣的時段后發現,老使用者比新使用者要多花錢;撥打客服電話得到的回復是:確實存在會員價格比新客戶貴的情況,原因是平臺對新用戶的優惠力度較大。
“‘大數據殺熟’行為違反了誠實信用原則,侵犯了消費者權益保護法規定的消費者享有公平交易條件的權利,應當在法律上予以禁止。” 楊合慶說。
為此,個人信息保護法明確,處理個人信息應當採取對個人權益影響最小的方式,收集範圍應當限於實現處理目的的最小範圍,保存期限應當為實現處理目的所必要的最短時間。
法律規定,不得通過誤導、欺詐、脅迫等方式處理個人資訊,不得以個人不同意為由拒絕提供產品或服務。 而且,公民對個人資訊的處理是有權撤回同意的。 針對大型互聯網平臺作出更嚴格規定,要求其成立主要由外部成員組成的獨立機構進行監督,制定有關個人資訊保護的平台規則,定期發佈個人資訊保護社會責任報告。
法律明確,利用個人資訊進行自動化決策時,不得對個人在交易價格等交易條件上實行不合理的差別待遇。
許可介紹說,個人信息保護法首次將國家機關和私營部門同時納入法律規制。 網路安全法、民法典有關個人資訊保護的規定,都以私人主體、私營部門作為規制物件。 個人信息保護法借鑒歐盟立法經驗,將國家機關和私營部門都作為規制物件。 除非有特殊規定的,否則國家機關和私營部門都應當遵循個人資訊保護標準,”最大程度地保護了個人資訊權利”。
未成年人資訊被列為敏感個人資訊
個人資訊保護法首次確立了「敏感個人資訊」的法律概念,即一旦洩露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人資訊,包括生物識別、宗教信仰、特定身份、醫療健康、金融帳戶、行蹤軌跡等資訊,以及不滿14周歲未成年人的個人資訊。 根據規定,處理敏感個人資訊比處理一般個人資訊更為嚴格,只有在具有特定目的和充分的必要性,並採取嚴格保護措施的情形下,取得個人單獨或書面同意才能進行,體現了分類保護的思路。
據《中國互聯網絡發展狀況統計報告》顯示,截至2020年12月,我國小學及以下網民群體佔比由2020年3月的17.2%提升至19.3%,未成年人已經是我國線民的重要組成部分。 但隨著互聯網的不斷普及,網路直播誘導打賞、網路暴力等侵害青少年個人資訊合法權益的情況屢有發生。
楊合慶介紹說,考慮到少年兒童在生理上和心理上尚不成熟,認知能力和控制自己行為的能力都較弱,容易受到資訊推送和商業行銷的誘導,在面對違法處理行為侵害其合法權益時缺乏必要的分辨能力和充分的自我保護能力,為保護未成年人的個人資訊權益和身心健康,個人信息保護法特別將不滿十四周歲未成年人的個人資訊確定為敏感個人資訊予以嚴格保護。
同時,與未成年人保護法有關規定相銜接,個人信息保護法要求處理不滿十四周歲未成年人個人信息應當取得未成年人的父母或者其他監護人的同意,並應當對此制定專門的個人資訊處理規則。
“個人資訊守門人”規定
楊合慶指出,提供重要互聯網平臺服務、用戶數量巨大、業務類型複雜的個人信息處理者,對平臺內的交易和個人資訊處理活動具有強大的控制力和支配力,因此在個人信息保護方面應當承擔更多的法律義務。
鑒於此,個人資訊保護法對大型互聯網平臺設定特別的個人資訊保護義務,包括:按照國家規定建立健全個人資訊保護合規制度體系,成立主要由外部成員組成的獨立機構對個人資訊保護情況進行監督;遵循公開、公平、公正的原則,制定平台規則;對嚴重違法處理個人資訊的平臺內產品或者服務提供者,停止提供服務;定期發佈個人資訊保護社會責任報告,接受社會監督。 這些條款被稱為「個人資訊守門人」規定。
中青報·中青網記者注意到,個人信息保護法草案三次審議中,對超大型互聯網平臺保護個人資訊的特別要求層層加碼,不斷趨於嚴厲。
8月17日亮相的草案三審稿,又新增了一項合規要求,即”遵循公開、公平、公正的原則,制定平臺規則,明確平臺內產品或者服務提供者處理個人信息的規範和保護個人資訊的義務”。 全國人大憲法和法律委員會關於草案審議結果的報告中表示,增加這一規定的考慮是,有的部門、專家提出,大型互聯網企業制定有關個人信息保護的平台規則時,應當公平合理地對待平臺內的經營者。
8月20日通過的個人信息保護法再次增加規定,大型互聯網平臺”應當按照國家規定建立健全個人信息保護合規制度體系”。 據介紹,增加這一條款是因為審議中,有的全國人大常委會委員提出,應當要求大型互聯網平臺建立個人資訊保護合規體系,加強內部合規管理。
許可表示,個人信息保護法的執法屬多元執法、多頭執法,就像”九龍治水”,如何將不同的部門按照同樣的標準執行個人信息保護法,顯得尤為重要。 “這要求統一執法標準,網信部門要發揮統籌協調功能。”
執法機構應根據不斷發展變化的事實和具體場景,制訂出符合個人資訊保護法原則和規則的、更進一步的執法規範性檔和部門規章、司法解釋和具體指導案例,才能使個人信息保護法的原則落到實處。
許可認為,個人信息保護要遵循協同共治理念,完成立法只是邁出了第一步,還應該包括行業內形成個人資訊保護標準的共識、制定出個人資訊保護技術標準和市場優勝劣汰多個環節。 “特別是互聯網平臺要落實個人資訊保護法的有關規定,監督平臺內運營者遵循個人資訊保護的基本要求。”