治理隱私被泄露、數(shù)據(jù)被濫用等亂象——

個人信息保護法捍衛(wèi)你我信息安全

個人信息保護法草案終于“揭開面紗”。草案中確立了以“告知—同意”為核心的個人信息處理規(guī)則，即處理個人信息應當在事先充分告知的前提下取得個人同意，并且個人有權(quán)撤回同意；不得以個人不同意為由拒絕提供產(chǎn)品或者服務。此外，草案對違法處理個人信息行為設置了嚴格的法律責任，其中一大亮點是提高了違法成本，可處5000萬元以下或者上一年度營業(yè)額百分之五以下罰款。

不久前，一則“清華大學教授拒絕小區(qū)人臉識別門禁”的新聞引發(fā)熱議，也將人們的目光聚焦到個人信息保護這一話題上。隨著信息化與經(jīng)濟社會的深度融合，人們越來越享受信息化帶來的種種便利，但也要面對個人信息泄露等問題帶來的或大或小的煩惱。為此，制定一部個人信息保護方面專門法律的呼聲也不絕于耳。

在10月13日開幕的十三屆全國人大常委會第二十二次會議上，個人信息保護法草案終于“揭開面紗”。相關專家表示，草案的制定將為個人信息保護形成更加完備的制度，提供更加有力的法律保障。

千呼萬喚始出來

最新數(shù)據(jù)顯示，截至2020年6月，我國網(wǎng)民規(guī)模達9.4億，相當于全球網(wǎng)民的五分之一，較2020年3月增長3625萬。網(wǎng)站數(shù)量為468萬個，國內(nèi)市場上監(jiān)測到的APP數(shù)量為359萬款。個人信息的收集、使用更為廣泛。

近年來，雖然我國個人信息保護力度不斷加大，但在現(xiàn)實生活中，一些企業(yè)、機構(gòu)甚至個人，從商業(yè)利益等目的出發(fā)，隨意收集、違法獲取、過度使用、非法買賣個人信息，利用個人信息侵擾人民群眾生活安寧、危害人民群眾生命健康和財產(chǎn)安全，相關問題十分突出。相關業(yè)內(nèi)專家認為，我國個人信息保護法律制度已逐步建立，但仍難以適應信息化快速發(fā)展的現(xiàn)實情況。因此，應當在現(xiàn)行法律基礎上制定出臺專門法律，增強法律規(guī)范的系統(tǒng)性、針對性和可操作性。

中國社會科學院法學研究所研究員周漢華分析，一方面，現(xiàn)實生活中個人信息得不到保護的問題越來越突出；另一方面，隨著信息化時代的到來，數(shù)字經(jīng)濟快速發(fā)展，信息即資源，如何處理好保護個人信息與數(shù)字經(jīng)濟發(fā)展的關系，需要在立法過程中不斷平衡。周漢華認為，個人信息保護法的制定經(jīng)歷了相對較長的周期，可謂“千呼萬喚始出來”。較長的時間周期，也為更好認識信息化快速發(fā)展過程中出現(xiàn)的個人信息保護問題提供了便利，現(xiàn)在法律草案的亮相可謂“水到渠成”。

保障個人知情權(quán)決定權(quán)

何謂個人信息？此次的法律草案明確，個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等活動。

周漢華稱，這一概念相對寬泛，因為隨著大數(shù)據(jù)時代的到來，個人信息很容易被識別，相對寬泛的定義有利于把各種情況包含其中，更好保護個人信息。

草案中確立了以“告知—同意”為核心的個人信息處理規(guī)則，即：處理個人信息應當在事先充分告知的前提下取得個人同意，并且個人有權(quán)撤回同意；重要事項發(fā)生變更的應當重新取得個人同意；不得以個人不同意為由拒絕提供產(chǎn)品或者服務。

北京華訊律師事務所主任張韜表示，“告知—同意”規(guī)則中的告知即要充分保障相關個人主體的知情權(quán)，同意是要保障其對信息的自主決定權(quán)，保障這兩種權(quán)利才能從根本上保障個人信息安全。

此外，此次草案還設專節(jié)對處理敏感個人信息作出嚴格限制，只有在具有特定目的和充分必要性的情形下，方可處理敏感個人信息，并且應當取得個人單獨同意或者書面同意。

張韜表示，敏感個人信息包括種族、民族、宗教信仰、個人生物特征、醫(yī)療健康、金融賬戶、個人行蹤等信息，從其定義就可看出，一旦泄露或者非法使用，可能導致個人受到歧視或者人身、財產(chǎn)安全受到嚴重危害。“敏感個人信息和每個人都有重大利害關系，設專節(jié)既能顯示立法機關對這一問題的重視，又能更具針對性地對相關方面問題作具體約束和專門管理，為個人信息保護筑起堅固堡壘。”張韜說。

解決大數(shù)據(jù)殺熟等問題

在網(wǎng)上搜索一個商品，接著就不斷收到同類商品的廣告推送……生活中，我們多少都遇到過類似問題。

對此，草案規(guī)定，通過自動化決策方式進行商業(yè)營銷、信息推送，應當同時提供不針對其個人特征的選項。

周漢華說：“定制化服務是大數(shù)據(jù)時代的一個特點，隨之出現(xiàn)的一個挑戰(zhàn)是大數(shù)據(jù)被濫用以及可能造成的‘大數(shù)據(jù)殺熟’等問題。對‘自動化決策’作出規(guī)定，就是為了解決相關問題。”

此外，草案還明確，個人認為自動化決策對其權(quán)益造成重大影響的，有權(quán)要求個人信息處理者予以說明，并有權(quán)拒絕個人信息處理者僅通過自動化決策的方式作出決定。

張韜認為，這些規(guī)定意味著解決“信息繭房”問題受到了重視，“數(shù)據(jù)信息的利用過程中可能產(chǎn)生的負面問題，正通過立法方式進行規(guī)制，平臺不能向用戶僅推送個性化信息及廣告，否則用戶有權(quán)拒絕”。

草案規(guī)定，在公共場所安裝圖像采集、個人身份識別設備，應當為維護公共安全所必需，遵守國家有關規(guī)定，并設置顯著的提示標識。所收集的個人圖像、個人身份特征信息只能用于維護公共安全的目的，不得公開或者向他人提供。

周漢華認為，這一規(guī)定可以看作整部草案的一大亮點。“現(xiàn)在‘無處不在’的人臉識別、視頻監(jiān)控等系統(tǒng)存在信息泄露風險，相關信息一旦被泄露和濫用，有可能威脅個人的人身、財產(chǎn)安全以及公共安全。從草案中可以看出，這一問題已經(jīng)得到了立法機關的重視。”周漢華說。

張韜表示，公共場所中的監(jiān)控或其他個人信息識別設備的安裝及使用，既關系公共安全，也關系廣大不特定人群的信息安全，因此有必要對其進行規(guī)制。

提高違法行為打擊力度

草案對違法處理個人信息行為設置了嚴格的法律責任。周漢華表示：“對每個人很小的一點侵害，在全社會范圍合起來都會造成很大的問題，因此要提高對違法行為的打擊力度。如何提高違法成本，同時把法律規(guī)定的內(nèi)容落實下來是草案起草的一大難點。”

可以看到，此次草案對法律責任作出的具體規(guī)定包括：違反本法規(guī)定處理個人信息，或者處理個人信息未按照規(guī)定采取必要的安全保護措施的，由履行個人信息保護職責的部門責令改正，沒收違法所得，給予警告；拒不改正的，并處100萬元以下罰款；對直接負責的主管人員和其他直接責任人員處1萬元以上10萬元以下罰款。

上述違法行為情節(jié)嚴重的，由履行個人信息保護職責的部門責令改正，沒收違法所得，并處5000萬元以下或者上一年度營業(yè)額百分之五以下罰款，并可以責令暫停相關業(yè)務、停業(yè)整頓、通報有關主管部門吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照。

周漢華認為，“并處5000萬元以下或者上一年度營業(yè)額百分之五以下罰款”這一規(guī)定是一大亮點，按營業(yè)額百分比進行罰款可以提高法律對相關企業(yè)違法行為的威懾力。（記者 張 雪）