原標(biāo)題:個人信息保護法——“十大亮點”彰顯個人信息全面保護
□我國個人信息保護法始終堅持以“告知同意”為核心構(gòu)建個人信息的處理規(guī)則,利用多個條文對告知同意規(guī)則作出了詳細規(guī)定��。
□為了確保個人信息處理活動的合法性與個人信息的安全,個人信息保護法對個人信息處理者的義務(wù)作出了嚴(yán)格且詳細的規(guī)定����。其中特別值得注意的是,個人信息保護法第58條規(guī)定了提供重要互聯(lián)網(wǎng)平臺服務(wù)��、用戶數(shù)量巨大���、業(yè)務(wù)類型復(fù)雜的個人信息處理者負有的特殊義務(wù)����。
2021年8月20日����,第十三屆全國人大常委會第三十次會議表決通過的《中華人民共和國個人信息保護法》,是我國第一部個人信息保護方面的專門法律�。該法以保護個人信息權(quán)益、規(guī)范個人信息處理活動���、促進個人信息合理利用為立法目的��,對個人信息處理規(guī)則��、個人在個人信息處理活動中的權(quán)利�、個人信息處理者的義務(wù)、履行個人信息保護職責(zé)的部門以及法律責(zé)任作出了極為系統(tǒng)完備與科學(xué)嚴(yán)謹(jǐn)?shù)囊?guī)定����。其中,最引人注意的是以下十大亮點:
亮點一:全方位規(guī)范個人信息處理活動�����。個人信息保護法對個人信息處理活動進行了全方位規(guī)范�。首先,對個人信息的界定采取了關(guān)聯(lián)說�,將其界定為:以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息,不包括匿名化處理后的信息��。其次���,在民法典列舉的個人信息的收集����、存儲����、使用、加工、傳輸��、提供��、公開等處理活動類型的基礎(chǔ)上�����,新增了“刪除”��。再次�����,無論是國家機關(guān)��、法律法規(guī)授權(quán)的具有管理公共事務(wù)職能的組織抑或作為營利法人的公司企業(yè)���,或者非法人組織以及自然人,其實施的個人信息處理活動都適用個人信息保護法����,除非法律另有規(guī)定。
亮點二:空間適用上以屬地管轄為原則�,輔之以必要的保護性管轄。為適應(yīng)互聯(lián)網(wǎng)的開放性、全球性及數(shù)據(jù)信息的流動性�����,充分保護我國境內(nèi)自然人的個人信息權(quán)益�,我國個人信息保護法在空間適用范圍即域外適用的問題上堅持了屬地管轄為原則,輔之以必要的保護性管轄��。首先�,依據(jù)該法第3條第1款,只要在我國境內(nèi)處理自然人個人信息的活動����,無論處理者是組織還是個人,無論是我國的還是外國的組織�����、個人����,都必須適用個人信息保護法。其次���,第3條第2款明確規(guī)定了三類在我國境外處理我國境內(nèi)自然人個人信息的活動���,即以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的����,分析����、評估境內(nèi)自然人的行為以及法律�、行政法規(guī)規(guī)定的其他情形,無論處理者本身是否是我國的組織或個人����,都要適用個人信息保護法。
亮點三:個人信息處理活動的多元合法根據(jù)��。個人信息的處理活動在客觀上就是對個人信息權(quán)益的侵入或影響�,如果沒有合法根據(jù),該處理活動就是侵害個人信息權(quán)益的行為��,屬于不法行為����。個人信息處理的合法根據(jù)有兩大類:一是告知并取得個人的同意,這種情形下的個人信息處理活動就是“基于個人同意處理個人信息的”活動�����,處理行為的合法性來自于信息主體即個人的有效同意;二是法定理由���,即法律����、行政法規(guī)規(guī)定的情形或理由���,此時無需個人的同意即可處理個人信息�����。就法定理由的范圍如何����,各國差異很大��,我國個人信息保護法的起草中也存在很大的爭議���。
最終�����,立法機關(guān)在充分考慮了我國的國情����,兼顧現(xiàn)實與未來發(fā)展基礎(chǔ)上,與民法典等法律保持一致����,吸收借鑒了比較法上的優(yōu)秀成果,在個人信息保護法第13條第1款第2項至第7項中���,明確規(guī)定了六類無需取得個人同意即可處理個人信息的情形,分別是:(1)為訂立��、履行個人作為一方當(dāng)事人的合同所必需��,或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需�����;(2)為履行法定職責(zé)或者法定義務(wù)所必需��;(3)為應(yīng)對突發(fā)公共衛(wèi)生事件���,或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需��;(4)為公共利益實施新聞報道���、輿論監(jiān)督等行為��,在合理的范圍內(nèi)處理個人信息��;(5)依照本法規(guī)定在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息���;(6)法律、行政法規(guī)規(guī)定的其他情形�����。
亮點四:完備的告知同意規(guī)則���。我國個人信息保護法始終堅持以“告知同意”為核心構(gòu)建個人信息的處理規(guī)則�,利用多個條文對告知同意規(guī)則作出了詳細規(guī)定����,具體包括:要求個人信息處理者在處理個人信息前,應(yīng)當(dāng)以顯著方式��、清晰易懂的語言真實�、準(zhǔn)確���、完整地向個人告知該法所列舉的各個事項;嚴(yán)格限制不需要告知的情形��;明確了個人的同意應(yīng)當(dāng)是由個人在充分知情的前提下自愿����、明確作出。同時�����,如果法律����、行政法規(guī)規(guī)定處理個人信息應(yīng)當(dāng)取得個人單獨同意或者書面同意的���,從其規(guī)定�����。在基于個人同意處理個人信息的情形中��,如果個人信息的處理目的����、處理方式和處理的個人信息種類、保存期限發(fā)生變更的����,應(yīng)當(dāng)重新取得個人同意?�;趥€人同意處理個人信息的�,個人有權(quán)撤回其同意。個人信息處理者應(yīng)當(dāng)提供便捷的撤回同意的方式��,處理者不得以個人不同意為由拒絕提供產(chǎn)品或者服務(wù)���。
亮點五:對自動化決策的全面規(guī)范��。自動化決策����,是指通過計算機程序自動分析�����、評估個人的行為習(xí)慣、興趣愛好或者經(jīng)濟���、健康��、信用狀況等��,并進行決策的活動����。自動化決策是建立在大數(shù)據(jù)���、機器學(xué)習(xí)�、人工智能和算法等基礎(chǔ)之上的�����,其通過大數(shù)據(jù)技術(shù)對海量的用戶進行持續(xù)追蹤和信息采集���,然后遵循特定的規(guī)則處理所收集的個人信息,對用戶進行數(shù)字畫像和相應(yīng)的決策�����。
我國個人信息保護法第24條在綜合采取算法透明化與個人賦權(quán)兩種觀點的基礎(chǔ)上�����,對利用個人信息進行自動化決策進行了全面規(guī)范。首先����,要求個人信息處理者利用個人信息進行自動化決策時,必須保證決策的透明度和結(jié)果的公平和公正�,尤其是不得對個人在交易價格等交易條件上實行不合理的差別待遇。其次�����,要求個人信息處理者通過自動化決策方式進行信息推送�、商業(yè)營銷時,應(yīng)當(dāng)同時提供不針對其個人特征的選項��,或者向個人提供拒絕的方式�。最后,賦予了個人要求處理者予以說明的權(quán)利和拒絕權(quán)��,即通過自動化決策方式作出對個人權(quán)益有重大影響的決定����,個人有權(quán)要求個人信息處理者予以說明,并有權(quán)拒絕個人信息處理者僅通過自動化決策的方式作出決定。
亮點六:對人臉識別的嚴(yán)格規(guī)制�。現(xiàn)代網(wǎng)絡(luò)信息技術(shù)尤其是大數(shù)據(jù)和人工智能技術(shù)高速發(fā)展,通過在公共場所安裝圖像采集和個人身份識別設(shè)備���,可以隨時對自然人的臉部特征����、指紋信息等生物識別信息以及行蹤軌跡等其他個人信息進行處理�����。其中�,最典型也最常見的就是人臉識別技術(shù)的運用。近年來�,我國人臉識別被濫用的情形時有發(fā)生,由此導(dǎo)致社會公眾的高度關(guān)注��。為回應(yīng)社會關(guān)切�����,個人信息保護法第26條明確規(guī)定����,在公共場所安裝圖像采集、個人身份識別設(shè)備�����,應(yīng)當(dāng)為維護公共安全所必需��,遵守國家有關(guān)規(guī)定�,并設(shè)置顯著的提示標(biāo)識。所收集的個人圖像�����、身份識別信息只能用于維護公共安全的目的���,不得用于其他目的���;取得個人單獨同意的除外。這就是說��,只有在滿足為了維護公共安全�����、符合國家有關(guān)規(guī)定����、設(shè)置了顯著提示標(biāo)識等三個條件的情形下���,才可以在公共場所安裝圖像采集�、個人身份識別設(shè)備,采集人臉信息��、行蹤軌跡信息等個人信息。并且要嚴(yán)格限制取得的個人信息的用途�����,即只能用于維護公共安全��。個人信息保護法第62條第2項還明確要求��,國家網(wǎng)信部門統(tǒng)籌有關(guān)部門依據(jù)本法針對人臉識別�、人工智能等新技術(shù)、新應(yīng)用��,制定專門的個人信息保護規(guī)則�����、標(biāo)準(zhǔn)����。
亮點七:全面且可訴訟救濟的個人信息處理活動中的個人權(quán)利。為了更好地保護自然人的個人信息權(quán)益��,個人信息保護法第四章對個人在個人信息處理活動中的權(quán)利作出了詳細規(guī)定����,包括明確了個人對個人信息處理享有知情權(quán)與決定權(quán);有權(quán)查閱復(fù)制個人信息����;符合條件時的個人信息可攜帶權(quán);有權(quán)要求更正或補充不完整�����、不正確的個人信息���;有權(quán)要求個人信息處理者刪除個人信息���;有權(quán)要求個人信息處理者對個人信息處理規(guī)則進行解釋說明等。此外��,為了保護死者近親屬自身合法��、正當(dāng)?shù)睦妫瑫r也尊重死者的遺愿并保護死者本人及其交往者的隱私和通信秘密�,個人信息保護法允許死者近親屬可以對死者的相關(guān)個人信息行使查閱、復(fù)制�����、更正��、刪除等權(quán)利��,但是�,死者生前另有安排的除外。更重要的是����,為了更好地保障上述個人權(quán)利的實現(xiàn),個人信息保護法還專門賦予這些權(quán)利以訴訟救濟保障���,即個人信息處理者拒絕個人行使權(quán)利的請求的�,個人可以依法向人民法院提起訴訟����。
亮點八:嚴(yán)格的個人信息處理者的義務(wù)。為了確保個人信息處理活動的合法性與個人信息的安全�,個人信息保護法對個人信息處理者的義務(wù)作出了嚴(yán)格且詳細的規(guī)定���,包括個人信息處理者采取措施確保個人信息處理活動合法并保護個人信息安全的義務(wù);按照規(guī)定指定個人信息保護負責(zé)人的義務(wù)��;定期進行合規(guī)審計的義務(wù)�;對于各種高風(fēng)險的個人信息處理活動進行個人信息保護影響評估并對處理情況進行記錄的義務(wù)�����;在發(fā)生或可能發(fā)生個人信息泄露等安全事件時立即采取補救措施并通知監(jiān)管機構(gòu)和個人的義務(wù)�����。其中特別值得注意的是���,個人信息保護法第58條規(guī)定了提供重要互聯(lián)網(wǎng)平臺服務(wù)��、用戶數(shù)量巨大�、業(yè)務(wù)類型復(fù)雜的個人信息處理者負有的特殊義務(wù)�。這些大型的網(wǎng)絡(luò)企業(yè)不僅要確保自身個人信息處理活動符合法律規(guī)定、合乎科技倫理�����,承擔(dān)應(yīng)有的社會責(zé)任并接受社會監(jiān)督,還必須通過制定公平公正的平臺規(guī)則以及制止違法行為等措施�����,使平臺內(nèi)產(chǎn)品或者服務(wù)提供者也必須合法地處理個人信息并保護個人信息的安全���。
亮點九:對違法的個人信息處理活動的嚴(yán)厲處罰�。為了更好地懲治和預(yù)防違法處理行為��,個人信息保護法規(guī)定了嚴(yán)格的法律責(zé)任�,例如,對于違法的個人信息處理行為中情節(jié)嚴(yán)重的�,除沒收違法所得,還可以并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款��,并責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓��、通報有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營業(yè)執(zhí)照�����;同時���,對于直接負責(zé)的主管人員和其他直接責(zé)任人員不僅要給予罰款��,還可以決定禁止其在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事����、監(jiān)事、高級管理人員和個人信息保護負責(zé)人�����。有個人信息保護法規(guī)定的違法行為的���,還將按照法律、行政法規(guī)的規(guī)定記入信用檔案���,予以公示����。
亮點十:侵害個人信息權(quán)益的過錯推定責(zé)任�。個人信息保護法第69條明確了侵害個人信息權(quán)益實行過錯推定責(zé)任,規(guī)定個人信息處理者如果不能證明自己沒有過錯的���,就必須要為其處理個人信息侵害個人信息權(quán)益造成的損害承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任���。該規(guī)定對于減輕受害人的舉證負擔(dān)�,保護其個人信息權(quán)益非常有利��。不僅如此��,考慮到侵害個人信息權(quán)益對受害人造成的損害主要是精神損害����,但是精神損害往往難以證明,個人信息保護法第69條特別規(guī)定:因侵害個人信息權(quán)益�����,無論給受害人造成的是財產(chǎn)損失還是精神損害�����,都可以按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定��;個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的�����,根據(jù)實際情況確定賠償數(shù)額���。
(作者:程嘯?為清華大學(xué)法學(xué)院副院長���、教授�����、博士生導(dǎo)師)
法治號
