長期以來，應(yīng)用程序過度收集個人信息問題成為社會關(guān)注的一大焦點。截至今年6月，我國網(wǎng)民規(guī)模為10.11億人，我國網(wǎng)站數(shù)量為422萬個，國內(nèi)市場上監(jiān)測到的App數(shù)量為302萬款，個人信息的收集、使用越來越廣泛。專家認(rèn)為，制定個人信息保護法是進一步加強個人信息保護法制保障的客觀要求，是維護網(wǎng)絡(luò)空間良好生態(tài)的現(xiàn)實需要，是促進數(shù)字經(jīng)濟健康發(fā)展的重要舉措。

8月20日，第十三屆全國人民代表大會常務(wù)委員會第三十次會議通過了《中華人民共和國個人信息保護法》(以下簡稱個人信息保護法)，該法自今年11月1日起施行。個人信息保護法有哪些亮點，回應(yīng)了哪些社會痛點?日前，多位專家接受中國商報·法治周刊記者采訪并就相關(guān)問題進行了解讀。

引領(lǐng)信息生態(tài)

“隨著信息化與經(jīng)濟社會持續(xù)深度融合，網(wǎng)絡(luò)已成為生產(chǎn)生活的新空間、經(jīng)濟發(fā)展的新引擎、交流合作的新紐帶，但利用個人信息侵?jǐn)_人民群眾生活安寧、危害人民群眾生命健康和財產(chǎn)安全等問題仍十分突出，亟須有一部專門的法律來規(guī)范信息收集與應(yīng)用，使信息技術(shù)更好地服務(wù)于生活。”全國人大常委會法工委副主任劉俊臣說。

近年來，雖然我國個人信息保護力度不斷加大，但是在現(xiàn)實生活中，一些企業(yè)、機構(gòu)和個人從商業(yè)利益角度等出發(fā)，隨意收集、違法獲取、過度使用、非法買賣個人信息等現(xiàn)象仍然屢見不鮮。

“在信息化時代，個人信息保護已成為廣大人民群眾最關(guān)心最直接最現(xiàn)實的利益問題，社會各方面廣泛呼吁出臺專門的個人信息保護法。”劉俊臣說，制定個人信息保護法是進一步加強個人信息保護法制保障的客觀要求，是維護網(wǎng)絡(luò)空間良好生態(tài)的現(xiàn)實需要，是促進數(shù)字經(jīng)濟健康發(fā)展的重要舉措。

針對社會上一些人提出反對收集個人信息的觀點，中國社會科學(xué)院學(xué)部委員、全國人大憲法和法律委員會委員孫憲忠也對制定個人信息保護法發(fā)表了他的看法。“制定個人信息保護法不是為了禁止個人信息收集，而是反對過度收集、強制收集和違法收集，讓網(wǎng)絡(luò)空間在法治的規(guī)定上運行發(fā)展，更好地造福于百姓生活。”孫憲忠說，“我們不能一味地反對個人信息收集。”

“國家已經(jīng)進入信息化社會，信息化是社會的進步重要體現(xiàn)。”孫憲忠說，信息技術(shù)在促進經(jīng)濟發(fā)展、給人民提供更多物質(zhì)生活和文化生活方面發(fā)揮著舉足輕重的作用。“但是，在信息收集環(huán)節(jié)和后續(xù)的信息加工、管理、應(yīng)用等環(huán)節(jié)卻出了過度收集、不當(dāng)收集、信息濫用等問題，個人信息保護法就是針信息收集利用方面提出的一些問題進行規(guī)范，讓信息生態(tài)在法治框架內(nèi)良性健康發(fā)展。”

確立核心規(guī)則

“個人信息保護法明確，處理個人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對個人權(quán)益影響最小的方式。”全國人大常委會法工委經(jīng)濟法室副主任楊合慶介紹說，“收集個人信息，應(yīng)當(dāng)限于實現(xiàn)處理目的的最小范圍。”

楊合慶表示，“告知—同意”是法律確立的個人信息保護核心規(guī)則。個人信息處理者在取得個人同意的情形下方可處理個人信息，個人信息處理的重要事項發(fā)生變更，應(yīng)當(dāng)重新向個人告知并取得同意。

針對群眾反映強烈的一攬子授權(quán)、強制同意等問題，楊合慶表示，個人信息處理者在處理敏感個人信息、向他人提供或公開個人信息、跨境轉(zhuǎn)移個人信息等環(huán)節(jié)應(yīng)取得個人的單獨同意，明確個人信息處理者不得過度收集個人信息，不得以個人不同意為由拒絕提供產(chǎn)品或者服務(wù)，并賦予個人撤回同意的權(quán)利。

個人信息保護法第十四條明確規(guī)定，基于個人同意處理個人信息的，該同意應(yīng)當(dāng)由個人在充分知情的前提下自愿、明確作出。法律、行政法規(guī)規(guī)定處理個人信息應(yīng)當(dāng)取得個人單獨同意或者書面同意的，從其規(guī)定。人信息的處理目的、處理方式和處理的個人信息種類發(fā)生變更的，應(yīng)當(dāng)重新取得個人同意。

“該法第十五條還提到撤回權(quán)的問題，許可個人將信息撤回。”楊合慶說，第十六條針對此問題對信息收集者提出要求——個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產(chǎn)品或者服務(wù);處理個人信息屬于提供產(chǎn)品或者服務(wù)所必需的除外。

“個人信息保護法針對信息收集有很多條文規(guī)定，它的基本原則就是要正當(dāng)、合法、必要，不能侵犯個人隱私。”孫憲忠說，“談到個人隱私，我們首先要對隱私有一個明確的定義。”

孫憲忠介紹說，所謂個人隱私，用通俗的話說就是指涉及到個人的私生活、居住地、身體狀況等。這些方面的信息是不能收集的，這也是民法典明確規(guī)定的。如果某個平臺或者App提供者要求提供涉及個人隱私性信息，從法律上來看有可能會涉嫌違法。”

個人信息保護法第四條明確，個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。從此定義可以看出，個人信息從某種程度上來說即是個人隱私。

孫憲忠說，違規(guī)收集個人隱私是違法的，但不能說只要收集個人隱私就都是違法的，如醫(yī)院收集個人身體狀況有關(guān)信息就是必要的，因為醫(yī)院要給病人治病。個人信息保護法第六條明確，處理個人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對個人權(quán)益影響最小的方式。收集個人信息，應(yīng)當(dāng)限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息。

直擊五大痛點

針對當(dāng)前存在的五大痛點，個人信息保護法均給出了相應(yīng)的回應(yīng)。

痛點一：“大數(shù)據(jù)殺熟”侵犯消費者權(quán)益。“大數(shù)據(jù)殺熟”是指在互聯(lián)網(wǎng)銷售平臺利用消費者的消費數(shù)據(jù)，就相同的產(chǎn)品對不同用戶給出不同的價格。楊合慶表示，根據(jù)個人信息保護法，個人信息處理者利用個人信息進行自動化決策，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。通過自動化決策方式向個人進行信息推送、商業(yè)營銷，應(yīng)當(dāng)同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式。

痛點二：敏感個人信息被濫用。“個人信息保護法將生物識別、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息列為敏感個人信息。”楊合慶說。該法要求，只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護措施的情形下，方可處理敏感個人信息，同時應(yīng)事前進行影響評估，并向個人告知處理的必要性以及對個人權(quán)益的影響。

痛點三：個人信息跨境提供不規(guī)范。劉俊臣介紹，個人信息保護法明確關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的處理者，確需向境外提供個人信息的，應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評估。對于其他需要跨境提供個人信息的，規(guī)定了經(jīng)專業(yè)機構(gòu)認(rèn)證等途徑。

痛點四：個人信息被泄露。比如，一些人反映，自己的手機時不時地收到貸款、培訓(xùn)、購房等諸如此類的廣告推銷信息。“這屬于在信息收集之后的‘占有和加工管理’。”孫憲忠介紹說，個人信息保護法對此也有一些明確的規(guī)定。此外，在應(yīng)對新冠肺炎疫情過程中，大數(shù)據(jù)應(yīng)用為聯(lián)防聯(lián)控和復(fù)工復(fù)產(chǎn)提供了有力支持。個人信息保護法將應(yīng)對突發(fā)公共衛(wèi)生事件，或者緊急情況下保護自然人的生命健康，作為處理個人信息的合法情形之一。“需要強調(diào)的是，在上述情形下處理個人信息，也必須嚴(yán)格遵守本法規(guī)定的處理規(guī)則，履行個人信息保護義務(wù)。”劉俊臣說。

痛點五：“人臉識別”泛濫。個人信息保護法規(guī)定，在公共場所安裝圖像采集、個人身份識別設(shè)備，應(yīng)當(dāng)為維護公共安全所必需，遵守國家有關(guān)規(guī)定，并設(shè)置顯著的提示標(biāo)識。“不是任何主體都有權(quán)在公共場所安裝圖像采集、個人身份識別設(shè)備，必須是為了維護公共安全并且要符合國家有關(guān)規(guī)定，同時還要通過設(shè)置顯著的提示標(biāo)識加以告知。”清華大學(xué)法學(xué)院副院長、教授、博士生導(dǎo)師程嘯說，“對于收集的個人圖像、身份識別信息只能用于特定的目的即維護公共安全，未取得個人單獨同意的，不得用于其他目的。”

明確各方義務(wù)

“個人信息保護法明確個人信息處理活動中個人的權(quán)利和處理者義務(wù)。”劉俊臣說。

一方面，與民法典的有關(guān)規(guī)定相銜接，明確在個人信息處理活動中個人的各項權(quán)利，包括知情權(quán)、決定權(quán)、查詢權(quán)、更正權(quán)、刪除權(quán)等，并要求個人信息處理者建立個人行使權(quán)利的申請受理和處理機制。

另一方面，明確個人信息處理者的合規(guī)管理和保障個人信息安全等義務(wù)：要求其按照規(guī)定制定內(nèi)部管理制度和操作規(guī)程，采取相應(yīng)的安全技術(shù)措施，并指定負(fù)責(zé)人對其個人信息處理活動進行監(jiān)督;定期對其個人信息活動進行合規(guī)審計;對處理敏感個人信息、向境外提供個人信息等高風(fēng)險處理活動，事前進行風(fēng)險評估;履行個人信息泄露通知和補救義務(wù)，等等。

“超大型互聯(lián)網(wǎng)平臺掌握了海量用戶數(shù)據(jù)，一旦發(fā)生信息泄露或者濫用，可能導(dǎo)致極為嚴(yán)重的后果。”楊合慶說，個人信息保護法特別規(guī)定了這類平臺需要履行的義務(wù)，包括按照國家規(guī)定建立健全個人信息保護合規(guī)制度體系，成立主要由外部成員組成的獨立機構(gòu)進行監(jiān)督，遵循公開、公平、公正的原則制定平臺規(guī)則，對嚴(yán)重違法處理個人信息的平臺內(nèi)產(chǎn)品或者服務(wù)提供者停止提供服務(wù)等。

個人信息保護法根據(jù)個人信息處理的不同情況，對違法處理個人信息的行為設(shè)置了不同梯次的行政處罰。對未造成嚴(yán)重后果的輕微或一般違法行為，可由執(zhí)法部門責(zé)令改正、給予警告、沒收違法所得，對拒不改正的最高可處一百萬元罰款;對情節(jié)嚴(yán)重的違法行為，最高可處五千萬元或上一年度營業(yè)額百分之五的罰款，并可以對相關(guān)責(zé)任人員做出相關(guān)從業(yè)禁止的處罰。

“在監(jiān)管部門方面，個人信息保護法法明確，國家網(wǎng)信部門和國務(wù)院有關(guān)部門在各自職責(zé)范圍內(nèi)負(fù)責(zé)個人信息保護和監(jiān)督管理工作。”楊合慶說，“同時對個人信息保護和監(jiān)管職責(zé)作出規(guī)定，其中包括指導(dǎo)監(jiān)督個人信息保護工作、接收處理相關(guān)投訴舉報、組織對應(yīng)用程序等進行測評、調(diào)查處理違法個人信息處理活動等。”

(記者 李海洋)

關(guān)鍵詞： 個人信息 保護力度 護航 數(shù)字生態(tài) 建設(shè)