個人信息保護法首次確立了“敏感個人信息”的法律概念,不滿14周歲未成年人信息被列為“敏感個人信息”。根據(jù)規(guī)定,處理“敏感個人信息”比處理一般個人信息更為嚴格,只有在特定目的和充分必要情形下,并采取嚴格保護措施的情形下,取得個人單獨或書面同意才能進行,體現(xiàn)了分類保護的思路。
經過十多年醞釀論證、十三屆全國人大常委會三次審議,8月20日,十三屆全國人大常委會第三十次會議表決通過了個人信息保護法。這部法律將于2021年11月1日起施行。
全國人大常委會法工委經濟法室副主任楊合慶表示,這是我國首部專門針對個人信息保護的系統(tǒng)性、綜合性法律。對法律的適用范圍、以“告知-同意”為核心的個人信息處理規(guī)則、個人信息處理活動中個人的權利和處理者義務、大型網絡平臺的特別義務、國家機關處理個人信息的規(guī)范、個人信息跨境流動及履行個人信息保護監(jiān)管體制、法律責任等內容作出了具體規(guī)定。
對外經貿大學數(shù)字經濟與法律創(chuàng)新研究中心執(zhí)行主任許可教授介紹,2003年我國就由原國務院信息辦牽頭,開始了對個人信息保護立法的研究工作;2012年全國人大常委會通過《關于加強網絡信息保護的決定》,開啟了我國在法律層面上對個人信息保護的新歷史進程;隨后,2013年修改的消費者權益保護法將“個人信息受到保護”作為消費者的一種權益確認下來;2017年6月1日起實施的網絡安全法、2020年1月1日起實施的民法典人格權編中,專設隱私和個人信息保護一章,這些都對個人信息保護作出了規(guī)定。
遏制APP“強制同意”亂象
去餐廳吃飯被要求掃碼點餐,且必須填寫姓名、出生年月、手機號碼等與服務無關的個人信息;想下載使用一款App,需要和平臺方達成“交易”,點選是否允許授權打開相冊、是否允許授權打開通訊錄、是否允許授權開啟定位……近年來,諸如此類收集信息的方式,頻頻引發(fā)人們對個人信息泄露的擔憂和質疑。楊合慶指出,隨著信息化與經濟社會持續(xù)深度融合,現(xiàn)實生活中一些企業(yè)、機構甚至個人,從商業(yè)利益等出發(fā),隨意收集、違法獲取、過度使用、非法買賣個人信息,利用個人信息侵擾人民群眾生活安寧、危害人民群眾生命健康和財產安全等問題十分突出?!啊嬷?同意’是法律確立的個人信息保護核心規(guī)則,是保障個人對其個人信息處理知情權和決定權的重要手段。”個人信息保護法規(guī)定,處理個人信息應當具有明確、合理的目的,并應當與處理目的直接相關,采取對個人權益影響最小的方式。收集個人信息,應當限于實現(xiàn)處理目的的最小范圍。同時規(guī)定,處理個人信息應當在事先充分告知的前提下取得個人同意,個人信息處理的重要事項發(fā)生變更的應當重新向個人告知并取得同意。針對現(xiàn)實生活中網絡用戶質疑的“一攬子授權”“強制同意”等問題,個人信息保護法規(guī)定,個人信息處理者在處理敏感個人信息、向他人提供或公開個人信息、跨境轉移個人信息等環(huán)節(jié)應取得個人的單獨同意,明確個人信息處理者不得過度收集個人信息,不得以個人不同意為由拒絕提供產品或者服務,并賦予個人撤回同意的權利,在個人撤回同意后,個人信息處理者應當停止處理或及時刪除其個人信息。北京大學法學院教授薛軍在解讀這一基本規(guī)則時表示,這種同意必須是建立在告知的基礎上的有效同意,包括“單獨同意”“書面同意”,“同意”后還可“撤回”。這充分地體現(xiàn)了立法認可個人信息受到法律保護。此外,法律規(guī)定,個人信息保護的主導性方式是“自覺”原則。這意味著,未經主體同意,原則上就不能處理個人信息。“大數(shù)據(jù)殺熟”在法律上予以禁止
用戶用兩款手機分別打開某旅行App訂酒店,點選同樣的酒店、同樣的時段后發(fā)現(xiàn),老用戶比新用戶要多花錢;撥打客服電話得到的回復是:確實存在會員價格比新客戶貴的情況,原因是平臺對新用戶的優(yōu)惠力度較大。“‘大數(shù)據(jù)殺熟’行為違反了誠實信用原則,侵犯了消費者權益保護法規(guī)定的消費者享有公平交易條件的權利,應當在法律上予以禁止?!睏詈蠎c說。為此,個人信息保護法明確,處理個人信息應當采取對個人權益影響最小的方式,收集范圍應當限于實現(xiàn)處理目的的最小范圍,保存期限應當為實現(xiàn)處理目的所必要的最短時間。法律規(guī)定,不得通過誤導、欺詐、脅迫等方式處理個人信息,不得以個人不同意為由拒絕提供產品或服務。而且,公民對個人信息的處理是有權撤回同意的。針對大型互聯(lián)網平臺作出更嚴格規(guī)定,要求其成立主要由外部成員組成的獨立機構進行監(jiān)督,制定有關個人信息保護的平臺規(guī)則,定期發(fā)布個人信息保護社會責任報告。法律明確,利用個人信息進行自動化決策時,不得對個人在交易價格等交易條件上實行不合理的差別待遇。許可介紹說,個人信息保護法首次將國家機關和私營部門同時納入法律規(guī)制。網絡安全法、民法典有關個人信息保護的規(guī)定,都以私人主體、私營部門作為規(guī)制對象。個人信息保護法借鑒歐盟立法經驗,將國家機關和私營部門都作為規(guī)制對象。除非有特殊規(guī)定的,否則國家機關和私營部門都應當遵循個人信息保護標準,“最大程度地保護了個人信息權利”。未成年人信息被列為敏感個人信息
個人信息保護法首次確立了“敏感個人信息”的法律概念,即一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息,以及不滿14周歲未成年人的個人信息。根據(jù)規(guī)定,處理敏感個人信息比處理一般個人信息更為嚴格,只有在具有特定目的和充分的必要性,并采取嚴格保護措施的情形下,取得個人單獨或書面同意才能進行,體現(xiàn)了分類保護的思路。據(jù)《中國互聯(lián)網絡發(fā)展狀況統(tǒng)計報告》顯示,截至2020年12月,我國小學及以下網民群體占比由2020年3月的17.2%提升至19.3%,未成年人已經是我國網民的重要組成部分。但隨著互聯(lián)網的不斷普及,網絡直播誘導打賞、網絡暴力等侵害青少年個人信息合法權益的情況屢有發(fā)生。楊合慶介紹說,考慮到少年兒童在生理上和心理上尚不成熟,認知能力和控制自己行為的能力都較弱,容易受到信息推送和商業(yè)營銷的誘導,在面對違法處理行為侵害其合法權益時缺乏必要的分辨能力和充分的自我保護能力,為保護未成年人的個人信息權益和身心健康,個人信息保護法特別將不滿十四周歲未成年人的個人信息確定為敏感個人信息予以嚴格保護。
同時,與未成年人保護法有關規(guī)定相銜接,個人信息保護法要求處理不滿十四周歲未成年人個人信息應當取得未成年人的父母或者其他監(jiān)護人的同意,并應當對此制定專門的個人信息處理規(guī)則。
“個人信息守門人”規(guī)定
楊合慶指出,提供重要互聯(lián)網平臺服務、用戶數(shù)量巨大、業(yè)務類型復雜的個人信息處理者,對平臺內的交易和個人信息處理活動具有強大的控制力和支配力,因此在個人信息保護方面應當承擔更多的法律義務。鑒于此,個人信息保護法對大型互聯(lián)網平臺設定特別的個人信息保護義務,包括:按照國家規(guī)定建立健全個人信息保護合規(guī)制度體系,成立主要由外部成員組成的獨立機構對個人信息保護情況進行監(jiān)督;遵循公開、公平、公正的原則,制定平臺規(guī)則;對嚴重違法處理個人信息的平臺內產品或者服務提供者,停止提供服務;定期發(fā)布個人信息保護社會責任報告,接受社會監(jiān)督。這些條款被稱為“個人信息守門人”規(guī)定。中青報·中青網記者注意到,個人信息保護法草案三次審議中,對超大型互聯(lián)網平臺保護個人信息的特別要求層層加碼,不斷趨于嚴厲。8月17日亮相的草案三審稿,又新增了一項合規(guī)要求,即“遵循公開、公平、公正的原則,制定平臺規(guī)則,明確平臺內產品或者服務提供者處理個人信息的規(guī)范和保護個人信息的義務”。全國人大憲法和法律委員會關于草案審議結果的報告中表示,增加這一規(guī)定的考慮是,有的部門、專家提出,大型互聯(lián)網企業(yè)制定有關個人信息保護的平臺規(guī)則時,應當公平合理地對待平臺內的經營者。8月20日通過的個人信息保護法再次增加規(guī)定,大型互聯(lián)網平臺“應當按照國家規(guī)定建立健全個人信息保護合規(guī)制度體系”。據(jù)介紹,增加這一條款是因為審議中,有的全國人大常委會委員提出,應當要求大型互聯(lián)網平臺建立個人信息保護合規(guī)體系,加強內部合規(guī)管理。許可表示,個人信息保護法的執(zhí)法屬多元執(zhí)法、多頭執(zhí)法,就像“九龍治水”,如何將不同的部門按照同樣的標準執(zhí)行個人信息保護法,顯得尤為重要?!斑@要求統(tǒng)一執(zhí)法標準,網信部門要發(fā)揮統(tǒng)籌協(xié)調功能。”執(zhí)法機構應根據(jù)不斷發(fā)展變化的事實和具體場景,制訂出符合個人信息保護法原則和規(guī)則的、更進一步的執(zhí)法規(guī)范性文件和部門規(guī)章、司法解釋和具體指導案例,才能使個人信息保護法的原則落到實處。許可認為,個人信息保護要遵循協(xié)同共治理念,完成立法只是邁出了第一步,還應該包括行業(yè)內形成個人信息保護標準的共識、制定出個人信息保護技術標準和市場優(yōu)勝劣汰多個環(huán)節(jié)。“特別是互聯(lián)網平臺要落實個人信息保護法的有關規(guī)定,監(jiān)督平臺內運營者遵循個人信息保護的基本要求?!?/section>