个人信息保护法首次确立了“敏感个人信息”的法律概念,不满14周岁未成年人信息被列为“敏感个人信息”。根据规定,处理“敏感个人信息”比处理一般个人信息更为严格,只有在特定目的和充分必要情形下,并采取严格保护措施的情形下,取得个人单独或书面同意才能进行,体现了分类保护的思路。
——————————
经过十多年酝酿论证、十三届全国人大常委会三次审议,8月20日,十三届全国人大常委会第三十次会议表决通过了个人信息保护法。这部法律将于2021年11月1日起施行。
全国人大常委会法工委经济法室副主任杨合庆表示,这是我国首部专门针对个人信息保护的系统性、综合性法律。对法律的适用范围、以“告知-同意”为核心的个人信息处理规则、个人信息处理活动中个人的权利和处理者义务、大型网络平台的特别义务、国家机关处理个人信息的规范、个人信息跨境流动及履行个人信息保护监管体制、法律责任等内容作出了具体规定。
对外经贸大学数字经济与法律创新研究中心执行主任许可教授告诉中青报·中青网记者,2003年我国就由原国务院信息办牵头,开始了对个人信息保护立法的研究工作;2012年全国人大常委会通过《关于加强网络信息保护的决定》,开启了我国在法律层面上对个人信息保护的新历史进程;随后,2013年修改的消费者权益保护法将“个人信息受到保护”作为消费者的一种权益确认下来;2017年6月1日起实施的网络安全法、2020年1月1日起实施的民法典人格权编中,专设隐私和个人信息保护一章,这些都对个人信息保护作出了规定。
遏制App“强制同意”乱象
去餐厅吃饭被要求扫码点餐,且必须填写姓名、出生年月、手机号码等与服务无关的个人信息;想下载使用一款App,需要和平台方达成“交易”,点选是否允许授权打开相册、是否允许授权打开通讯录、是否允许授权开启定位……近年来,诸如此类收集信息的方式,频频引发人们对个人信息泄露的担忧和质疑。
杨合庆指出,随着信息化与经济社会持续深度融合,现实生活中一些企业、机构甚至个人,从商业利益等出发,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题十分突出。“‘告知-同意’是法律确立的个人信息保护核心规则,是保障个人对其个人信息处理知情权和决定权的重要手段。”
个人信息保护法规定,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围。
同时规定,处理个人信息应当在事先充分告知的前提下取得个人同意,个人信息处理的重要事项发生变更的应当重新向个人告知并取得同意。
针对现实生活中网络用户质疑的“一揽子授权”“强制同意”等问题,个人信息保护法规定,个人信息处理者在处理敏感个人信息、向他人提供或公开个人信息、跨境转移个人信息等环节应取得个人的单独同意,明确个人信息处理者不得过度收集个人信息,不得以个人不同意为由拒绝提供产品或者服务,并赋予个人撤回同意的权利,在个人撤回同意后,个人信息处理者应当停止处理或及时删除其个人信息。
北京大学法学院教授薛军在解读这一基本规则时表示,这种同意必须是建立在告知的基础上的有效同意,包括“单独同意”“书面同意”,“同意”后还可“撤回”。这充分地体现了立法认可个人信息受到法律保护。此外,法律规定,个人信息保护的主导性方式是“自觉”原则。这意味着,未经主体同意,原则上就不能处理个人信息。
“大数据杀熟”在法律上予以禁止
用户用两款手机分别打开某旅行App订酒店,点选同样的酒店、同样的时段后发现,老用户比新用户要多花钱;拨打客服电话得到的回复是:确实存在会员价格比新客户贵的情况,原因是平台对新用户的优惠力度较大。
“‘大数据杀熟’行为违反了诚实信用原则,侵犯了消费者权益保护法规定的消费者享有公平交易条件的权利,应当在法律上予以禁止。”杨合庆说。
为此,个人信息保护法明确,处理个人信息应当采取对个人权益影响最小的方式,收集范围应当限于实现处理目的的最小范围,保存期限应当为实现处理目的所必要的最短时间。
法律规定,不得通过误导、欺诈、胁迫等方式处理个人信息,不得以个人不同意为由拒绝提供产品或服务。而且,公民对个人信息的处理是有权撤回同意的。针对大型互联网平台作出更严格规定,要求其成立主要由外部成员组成的独立机构进行监督,制定有关个人信息保护的平台规则,定期发布个人信息保护社会责任报告。
法律明确,利用个人信息进行自动化决策时,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
许可介绍说,个人信息保护法首次将国家机关和私营部门同时纳入法律规制。网络安全法、民法典有关个人信息保护的规定,都以私人主体、私营部门作为规制对象。个人信息保护法借鉴欧盟立法经验,将国家机关和私营部门都作为规制对象。除非有特殊规定的,否则国家机关和私营部门都应当遵循个人信息保护标准,“最大程度地保护了个人信息权利”。
未成年人信息被列为敏感个人信息
个人信息保护法首次确立了“敏感个人信息”的法律概念,即一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满14周岁未成年人的个人信息。根据规定,处理敏感个人信息比处理一般个人信息更为严格,只有在具有特定目的和充分的必要性,并采取严格保护措施的情形下,取得个人单独或书面同意才能进行,体现了分类保护的思路。
据《中国互联网络发展状况统计报告》显示,截至2020年12月,我国小学及以下网民群体占比由2020年3月的17.2%提升至19.3%,未成年人已经是我国网民的重要组成部分。但随着互联网的不断普及,网络直播诱导打赏、网络暴力等侵害青少年个人信息合法权益的情况屡有发生。
杨合庆介绍说,考虑到少年儿童在生理上和心理上尚不成熟,认知能力和控制自己行为的能力都较弱,容易受到信息推送和商业营销的诱导,在面对违法处理行为侵害其合法权益时缺乏必要的分辨能力和充分的自我保护能力,为保护未成年人的个人信息权益和身心健康,个人信息保护法特别将不满十四周岁未成年人的个人信息确定为敏感个人信息予以严格保护。
同时,与未成年人保护法有关规定相衔接,个人信息保护法要求处理不满十四周岁未成年人个人信息应当取得未成年人的父母或者其他监护人的同意,并应当对此制定专门的个人信息处理规则。
“个人信息守门人”规定
杨合庆指出,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,对平台内的交易和个人信息处理活动具有强大的控制力和支配力,因此在个人信息保护方面应当承担更多的法律义务。
鉴于此,个人信息保护法对大型互联网平台设定特别的个人信息保护义务,包括:按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;遵循公开、公平、公正的原则,制定平台规则;对严重违法处理个人信息的平台内产品或者服务提供者,停止提供服务;定期发布个人信息保护社会责任报告,接受社会监督。这些条款被称为“个人信息守门人”规定。
中青报·中青网记者注意到,个人信息保护法草案三次审议中,对超大型互联网平台保护个人信息的特别要求层层加码,不断趋于严厉。
8月17日亮相的草案三审稿,又新增了一项合规要求,即“遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务”。全国人大宪法和法律委员会关于草案审议结果的报告中表示,增加这一规定的考虑是,有的部门、专家提出,大型互联网企业制定有关个人信息保护的平台规则时,应当公平合理地对待平台内的经营者。
8月20日通过的个人信息保护法再次增加规定,大型互联网平台“应当按照国家规定建立健全个人信息保护合规制度体系”。据介绍,增加这一条款是因为审议中,有的全国人大常委会委员提出,应当要求大型互联网平台建立个人信息保护合规体系,加强内部合规管理。
许可表示,个人信息保护法的执法属多元执法、多头执法,就像“九龙治水”,如何将不同的部门按照同样的标准执行个人信息保护法,显得尤为重要。“这要求统一执法标准,网信部门要发挥统筹协调功能。”
执法机构应根据不断发展变化的事实和具体场景,制订出符合个人信息保护法原则和规则的、更进一步的执法规范性文件和部门规章、司法解释和具体指导案例,才能使个人信息保护法的原则落到实处。
许可认为,个人信息保护要遵循协同共治理念,完成立法只是迈出了第一步,还应该包括行业内形成个人信息保护标准的共识、制定出个人信息保护技术标准和市场优胜劣汰多个环节。“特别是互联网平台要落实个人信息保护法的有关规定,监督平台内运营者遵循个人信息保护的基本要求。”
中青报·中青网记者 王亦君 焦敏龙