2021年8月20日,十三届全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)。这是中国首部个人信息保护的专门法律,定于11月1日起施行。至此,我国数字经济领域的法律规范又向前迈出重要一步。同时,由《网络安全法》《数据安全法》《个人信息保护法》构成的我国数字经济时代三大法律支柱体系基本确立,共同搭建起数字经济“生态保护系统”。

《个人信息保护法》全文共8章74条,对法律的适用范围、以“告知—同意”为核心的个人信息处理规则、个人信息处理活动中个人的权利和处理者义务、大型网络台的特别义务、国家机关处理个人信息的规范、个人信息跨境流动以及履行个人信息保护监管体制、法律责任等内容作出了具体规定。作为我国首部个人信息保护的专门立法,《个人信息保护法》在立法高度和路径上、个人信息处理原则上,以及社会重大问题的回应上都极具特色。

在信息化时代,个人信息保护已经成为一个重大课题。自20世纪70年代起,个人信息保护立法逐渐发展成全球行动,到目前为止,有140多个国家和地区制定了相关法律。2018年5月施行的欧盟《通用数据保护条例》(GDPR)尤其注重保护私权,被认为代表了一种立法模式。中国此前采用分散立法的方式保护个人信息,相关条款先后写入《刑法》《侵权责任法》《消费者权益保护法》《网络安全法》和《民法典》等法律,以及公安、工信、金融等领域的行政法规、部门规章、国家标准和司法解释之中。

十八年沉淀三次审议“始出来”

相关资料显示,早在2003年,原国务院信息化工作办公室就启动了个人信息保护立法的研究工作。2018年,制定的《个人信息保护法》被列为十三届全国人大常委会立法规划的第一类项目,即条件比较成熟、任期内拟提请审议的法律草案。同年,全国人大常委会法工委会同中央网信办,着手研究起草法律草案。

2020年10月,《个人信息保护法》草案首次亮相,提请十三届全国人大常委会初次审议。初次审议后,草案一审稿向社会征求意见并进行了修改,随后形成草案二审稿于2021年4月提请审议。之后二审稿也向社会公开征求意见,并作了修改形成草案三审稿,于8月17日提请全国人大常委会第三次审议,至20日表决通过,《个人信息保护法》终得问世。

该部法律首次确立了“敏感个人信息”的法律概念,即一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。根据规定,处理敏感个人信息比处理一般个人信息更为严格,只有在特定目的和充分必要情形下,并采取严格保护措施的情形下,取得个人单独或书面同意才能进行。

以人为本充分体现分类保护思路

《个人信息保护法》对个人信息保护领域的突出问题予以重点回应。针对“大数据杀熟”问题,规定不得通过自动化决策对个人进行歧视。随着大数据、算法等技术的升级迭代,个人信息处理者能够以“千人千面”的个化推荐和自动化决策对信息主体进行区别对待,甚至实施价格歧视与不合理的差别待遇。《个人信息保护法》第二十四条增加了对“大数据杀熟”的规定,要求个人信息处理者在利用个人信息进行自动化决策时,不得对个人在交易条件上实行不合理的差别待遇,同时赋予个人要求进行说明和拒绝个化推送、营销的权利,进一步丰富了对“大数据杀熟”等歧视定价和差别待遇问题的规制工具箱。

在儿童权益保护问题上,对不满十四周岁未成年人的个人信息作特别规定。《个人信息保护法》将不满十四周岁未成年人的个人信息归为敏感个人信息,适用更高层次的保护规则,同时要求个人信息处理者要针对不满十四周岁的未成年人制定专门个人信息处理规则。由于儿童个人信息容易被过度采集,针对儿童权益保护问题,《个人信息保护法》在《未成年人保护法》和《儿童个人信息网络保护规定》基础上,兼顾行业发展诉求,将未成年人的保护年龄设定在十四周岁。一方面,加强对心智尚未发展成熟、自我保护意识薄弱的未满十四周岁未成年人的保护,防范其个人信息被滥用可能导致的严重后果;另一方面,考虑身心发展情况,对十四周岁以上的未成年人适用一般规定,减轻个人信息处理者的负担。

疫情期间“健康码”的应用实现了动态精准化的数字治理,但在前期也存在数据过度采集、数据处理不透明的问题,如“杭州健康变色码”,将公民完全异化为数据评估对象并给予工具评价。在一切皆可被数据测量、皆可被数字评判的今天,尤须心存对人格尊严的敬畏,对人本身的关怀。因此,《个人信息保护法》并不止步于保障个体对个人信息的处分,而是以人为核心、以人为本位的数字社会的权利界碑。

此外,针对“数据遗产”问题,对死者信息处理作出规定。相关研究表明,由于缺乏相关法律规定,大量的个人数据往往会随着信息主体的死亡而沉睡在数据控制者的服务器中,碍于“用户隐私”保护政策成为无法被“继承”的“数据遗产”。《个人信息保护法》在第四十九条规定了自然人死亡后其个人信息的处理方式,给予其亲属处理个人信息的权力,同时也兼顾了死者生前意志,尊重其生前就个人数据所做的安排。

面临挑战互联网“数据垄断”不复当年

年初以来,大型台“数据垄断”问题几度冲击舆论热榜,本次《个人信息保护法》引入个人信息可携权。个人信息可携权即数据主体有权从数据控制者处获取经过处理的、常用的且机器可读的个人专属数据,并要求数据控制者将其个人专属数据传输给其他数据控制者。《个人信息保护法》在二审稿的基础上也增加了对个人信息可携权的规定,即经个人请求,个人信息处理者应当提供转移的途径将个人信息转移至个人所指定的个人信息处理者。创设个人信息可携权能够在一定程度上扼制大型台“数据驱动”与“隐私驱动”的增长模式,破除“数据垄断”。数字经济时代,用户数据业已成为台企业争夺的重要资源。大型台利用其早期积累的个人数据资源优势,构筑起极高的市场壁垒。个人信息可携权的创设,增强了台用户对其个人信息的掌控权,降低了台企业的用户黏,促进数据流通,为新进入者提供了更为等的竞争环境,进一步加强台之间在产品和服务上的竞争。

有业内人士表示,《个人信息保护法》中的多个条款将对大型互联网台产生深远影响。该法第五十八条规定,提供重要互联网台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行四大法定义务,包括按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;遵循公开、公、公正的原则,制定台规则,明确台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;对严重违反法律、行政法规处理个人信息的台内的产品或者服务提供者,停止提供服务;定期发布个人信息保护社会责任报告,接受社会监督等。

《个人信息保护法》第二十四条规定,利用个人信息进行自动化决策,应当保证决策的透明度和结果公、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。本条第2、3款明确,通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式;通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

上述条款对互联网行业的影响可瞥端倪。《个人信息保护法》通过当天,阿里巴巴旗下的淘宝网宣布已于期更新用户信息加密技术,商家和开发者被要求跟进系统改造。

求同存异贡献全球数字实践中国方案

如何衡好个人权益保护与促进数据利用的关系,始终是个人信息保护立法的核心命题。欧盟《通用数据保护条例》(GDPR)以“权利保护”而闻名于世,但也始终无法摆脱阻碍欧盟数字经济发展的质疑。

尽管法律机制有着共通,但在探索数字时代个人信息保护以及更为广泛的数据治理政策框架的道路上,并没有万能的标准答案。欧盟GDPR、美国加州《隐私法》(CCPA&CPRA),也是依据本地区的政治、文化、产业发展基础量身定制的制度方案。

中国自身的数字经济发展规模和基础,以及对未来发展的宏观愿景,都决定了在设计个人信息保护的中国方案时,有着基于自身国情的特殊考量。这体现在整体上与国际规则接轨的同时,在具体机制上仍然有细微的差别。

譬如,该法扩展了域外适用效力,但适度有限;建立了个人的权利体系,但对于仍有争议尚未看清的权利仍持谨慎态度,对我国社会公众关注的大数据画像、“大数据杀熟”制定了专门条款;在跨境数据流动规则方面集中体现了作为发展中国家对于数据安全的优先考量。这些差异之处代表了发展中国家在面对数字经济议题时,对个人权利保护、数字创新发展和国家数据安全的综合衡,也成为中国在当前全球数字治理中的制度贡献。(记者 李跇)

推荐内容