拿什么保护你,我的信息安全——关于个人信息保护法草案的讨论

来源:《光明日报》2020年10月17日

千呼万唤始出来。10月13日,个人信息保护法草案提交全国人大常委会审议。

4年前,刚考上大学的徐玉玉在接到教育部门发放助学金的通知后,被一通陌生电话骗走9000多元学费,因伤痛至极溘然离世。如今,社会上依旧充斥着各种滥用个人信息的隐患。电商、社交软件“越界”收集;因个人信息被滥用,个性化推送经常“无事献殷勤”;掌握公民信息的电信诈骗案件不断从“撒网式”诈骗变成“精准化”打击……尽管个人信息保护的措施不断出台,但“信息裸奔”的状况并未根本改变。

个人信息保护法草案进入审议阶段,意味着这部万众期待的法律离我们越来越近。个人信息保护法能不能有效缓解社会的“个人信息安全焦虑”呢?

保护个人信息为何要专门立法

网络安全法、电子商务法、消费者权益保护法、民法典……近年来,我国立法修法不断确立个人信息保护的规则、完善惩治侵害个人信息的法律制度。据北京外国语大学法学院教授、电子商务与网络犯罪研究中心主任王文华介绍,目前含有个人信息保护相关描述的法律超过100部,相关司法解释也超过100部,行政法规、部门规章、地方法规规章更多。

既然有了这么多规定,为什么依旧感觉个人信息保护“千疮百孔”?

王文华表示,我国一直以来十分关注和重视公民个人信息及隐私保护的法制建设,然而随着技术发展,侵犯个人信息安全的不法行为依然“道高一尺、魔高一丈”。另外我国对个人信息的保护看似热闹,其实是处于“九龙治水”的状态,司法、执法成本较高,难以取得理想效果。

全国人大常委会法工委副主任刘俊臣在作草案说明时表示,我国个人信息保护法律制度逐步建立,但仍难以适应信息化快速发展的现实情况和人民日益增长的美好生活需要。因此,应当在现行法律基础上制定出台专门法律,增强法律规范的系统性、针对性和可操作性,在个人信息保护方面形成更加完备的制度,提供更加有力的法律保障。

对外经贸大学数字经济与法律创新研究中心执行主任许可表示:“之前的法律法规毕竟不是一部专门立法,规定得比较原则、抽象,而这一次规定比较细致,可操作性更强。”

王文华也表示,个人信息保护法出台后,将会是我国第一部对个人信息进行专门、集中规定和全面保护的法律,它将使得我国的个人信息保护有专门依据,有助于在立法上形成全面、科学、合理的个人信息保护法律规范体系,司法、执法上也较过去更有“抓手”。

App过分索权、推送无休止、银行流水被出卖,回应来了

新冠肺炎疫情防控期间,不少小区、学校引入人脸识别门禁系统,极大节省了社区和物业的人员成本,保证了出入人员的通行效率。而根据媒体报道,从今年3月起就有不法商家在网络上兜售人们上班打卡或进出门禁时拍的面部照片。有专家呼吁,生物特性数据具有唯一性和不可再生性,脸部特征是无法更改的,无法通过传统更改密码的简单方式来实现,这种认证数据信息泄露滥用造成的影响更严重。

银行流水被出卖,App过分索取个人信息,公共摄像头采集信息被传播,公众人物航班信息买卖,个性化推送无休止发送类似广告……针对种种乱象,个人信息保护法草案开宗明义——自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。

“这部法律草案体现了一个符合当代发展潮流的核心理念:在网络时代,个人对自己的信息具有控制的权利。”中国社科院法学所副所长、研究员周汉华表示,“目前在我国法律法规体系中,尚没有任何一部法律或者行政法规明确‘个人对自己信息有控制的权利’这样一种理念。草案第一次明确把个人信息权利写下来,并体现在以‘知情-同意’为核心的一整套制度上,这是它相比于过去立法的一个进步”。

处理个人信息应当限于实现处理目的的最小范围;个人信息的保存期限应当为实现处理目的所必要的最短时间;处理个人信息的同意,应当由个人在充分知情的前提下,自愿、明确作出意思表示;个人信息处理者不得以个人不同意或者撤回其对个人信息处理的同意为由,拒绝提供产品或者服务;通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项……翻阅法律草案,能看出不少反映现实困境的针对性条款。周汉华表示,草案对个人信息的收集、存储、使用、加工、传输、提供、公开等全流程保护提供了完整、系统、协调的法律制度,覆盖个人信息保护的整个生命周期,对很多重大现实问题都作了回应。这有利于更好保护个人权利,也使个人能够更加放心享受信息技术带来的各种便利。

保护个人信息,政府部门也“摊上事”了?

相较现行法律法规将个人信息保护规制的重点落在了个人和企业身上,个人信息保护法设专节规定在保障国家机关依法履行职责的同时,国家机关处理个人信息,应当依照法律、行政法规规定的权限和程序进行。

“草案还有一个主要突破,在于确认了国家机关对个人信息保护的义务和责任。”许可认为,相较于对企业进行规制,对政府机关义务的明确更加重要。“在当今智慧城市建设中,政府部门是收集个人信息最多的一个主体,掌握的都是诸如财产信息、身份信息、行踪信息等关乎公民切身利益的、最有价值的信息。而政府机关却很难有足够的人力、财力和技术去保护这些信息数据。如今存在很多买卖个人信息的黑产,这些信息不是从天而降的,很多都是从政府部门和大企业泄露出来的。正如徐玉玉案中,当地教育部门信息泄露难辞其咎。”许可说。

“以往我们是出事以后再来追究责任。如今在草案中,可以看到国家机关的双重责任、双重义务。国家机关作为个人信息处理者,在处理个人信息时也要遵守草案规定的制度;国家机关同时也是个人信息保护的执法机关,履行个人信息保护执法监督的责任。国家机关既要自己守法,同时也要履行执法的责任,有效保护公民个人信息,促进法律得到有效实施。”周汉华表示。

这些案例推动个人信息保护进程

2016年,山东女孩徐玉玉被南京邮电大学录取。8月19日,她接到陌生电话声称有一笔助学金要发放给她。在这之前,徐玉玉曾接到过教育部门发放助学金的通知。按对方要求,徐玉玉将准备交学费的9900元打入了骗子提供的账号。发现被骗后,徐玉玉当晚就和家人报了案。在回家的路上,她突然晕厥,溘然离世。

经审查,犯罪嫌疑人购买了5万余条山东省2016年高考考生信息,冒充教育局工作人员以发放助学金名义对高考录取生实施电话诈骗。2017年7月,7名被告人获刑。

2019年7月,哈尔滨网友王先生在使用某App的过程中发现,当他使用微信账号登录时,该App会获取其全部微信好友信息,并向他推送微信好友发布的视频。同样的情况也发生在他使用QQ账号登录时。他认为,他仅授权了登录,该App无权收集和使用他的性别、地区和好友关系,因而他起诉该App公司侵犯隐私权。

法院裁定,该公司立即停止在该App中使用王先生微信或QQ好友信息的行为,以及将他的相关信息推荐给其他用户的行为。

2019年4月,郭兵在杭州野生动物世界办理了一张年卡,通过验证年卡和指纹,可在一年内不限次数入园游玩。2019年10月,被告杭州野生动物世界通过短信告知郭兵:园区年卡系统已升级为人脸识别入园,原指纹识别已取消,即日起,未注册人脸识别的用户将无法正常入园。

对此,郭兵认为面部特征等个人生物识别信息属于个人敏感信息,一旦泄露、非法提供或者滥用,将极易危害消费者人身和财产安全。在协商不成的情况下,郭兵以服务合同违约为由,将杭州野生动物世界告上法庭。

2020年5月,某脱口秀演员发布微博爆料,中信银行上海虹口支行未获本人授权,将其个人账户流水提供给上海笑果文化传媒有限公司,属于侵犯公民个人信息的违法行为,并通过律师发函要求中信银行、笑果文化赔偿损失并公开道歉。5月7日凌晨,中信银行在微博发长文向该演员致歉,并称已处分相关员工,将支行行长撤职。5月9日,银保监会消费者权益保护局发布通报称,对中信银行侵害消费者合法权益事件启动立案调查程序,严格依法依规进行查处。

相关信息:

一部建构个人信息保护制度体系的专门立法

北京大学法学院教授、北京大学电子商务法研究中心主任  薛军

2020年9月14日,河北省石家庄市桥西区草场街小学的学生在观看网络安全知识展板。新华社发

经过数年的研究与酝酿,备受社会各界关注的个人信息保护法草案(以下简称“草案”)终于亮相,接受全国人大常委会审议。这标志着我国个人信息保护法的立法,迈出了具有决定性意义的一步。围绕这一草案还会有很多讨论,草案的文本也会有进一步的修改与完善。但由草案所勾勒的个人信息保护规则以及个人信息保护制度体系,已清晰可辨。

中国的个人信息保护立法立规早已开始,并且已经颇具规模。从《全国人民代表大会常务委员会关于加强网络信息保护的决定》,到网络安全法的制定、消费者权益保护法的修订,再到电子商务法以及今年刚刚颁布的民法典,这些法律都涉及个人信息保护问题,都可以找到关于个人信息保护的某一个方面、某一个领域的专门规则。特别是在今年5月28日颁布的民法典中,针对个人信息的民法保护问题,设立了相当全面的规则。在这样的背景之下,全国人大要进一步制定一部专门的个人信息保护法,其意义何在?是为了解决什么样的问题?

首先,先前立法中涉及个人信息保护的规则,相对而言,比较原则与抽象,需要通过专门的立法,对有关规则的内涵以及在不同场景中的把握,做进一步明确具体的规定。缺乏具体明确的可操作的规则,个人信息保护制度就难以真正落地。因此,针对个人信息保护进行专门立法的首要目的在于,进一步明确个人信息保护规则。这一点在草案的文本中表现得相当突出。举例来说,关于个人信息的处理,先前立法都一以贯之地强调,原则上需要获得个人信息主体的同意(只是在有限的几种例外情况下,不经过个人的同意,也可以进行个人信息的处理)。但关于“同意”,具体来说,应该如何理解?是需要明示的同意还是默示同意就可以;是概括同意、打包同意,一揽子同意就可以,还是需要单独的同意?是比较宽松的包括口头同意在内的同意就可以,还是需要以特定的书面方式同意才可以?是一次性同意就代表了对后续的处理都视为同意,还是说根据个人信息处理场景的转换,需要另外重新获得同意才可以?更加重要的是,如果个人信息主体不同意,相对人是否可以因此拒绝提供产品或者服务?这些都是在实务上非常重要,需要在立法上予以进一步明确的问题。对此,草案都给出了相当明确清晰的答案。

在个人信息主体所具有的受法律保护权益的具体内涵上,先前的立法也没有给出明确具体的表述,草案对此给出了非常具体的规定。个人在信息处理活动中,针对其个人信息,可以享有知情权、决定权、查询权、更正权、删除权等等。这些都是非常重要的规定,使得个人信息保护的规定,具有更强的可操作性。

其次,个人信息保护是一个完整的制度体系。先前在这一问题上的立法,往往只关注制度的一个特定方面,因此仍然需要通过一个专门的综合性立法,来建构一个相对完整的个人信息保护制度体系。我们可以看到,草案针对个人信息保护法的域外效力问题、个人信息跨境提供问题、个人信息处理者的义务问题、履行个人信息保护职责的部门的权限界定问题,都作出了明确具体的规定。这些都是一国的个人信息保护制度体系中不可或缺的组成部分。通过这一立法,才可以说,中国建立了一个相对完整的个人信息保护的制度体系。

值得注意的是,草案关于个人信息处理者的义务体系的规定,相当系统和全面。仅草案中提到的管理措施就涉及相关处理者的内部管理措施、不同类型的个人信息分类管理制度、安全技术措施、应急预案、个人信息保护负责人、个人信息处理活动审计制度、个人信息处理风险评估制度、个人信息泄露事件的披露以及补救制度等等。这些制度先前只是零散地被提及,这次通过草案的规定,得以系统化地提出。而这些配套制度的建立,对于完善中国的个人信息保护制度体系具有重大意义。

基于以上两个方面的考虑,可以认为个人信息保护的专门立法正当其时,非常有必要。当然,由于是初步的草案,相关规定的科学性、合理性仍然值得深入研究。具体来说,草案中所确定的个人信息主体所拥有的权益体系是否科学合理,是否符合中国现实,如何避免其不当行使给信息处理者带来过重负担,甚至影响信息产业的发展,均值得斟酌。另外,针对个人信息处理者所设计的诸多制度,如何评估其合理性以及必要性,需要慎重评判。相关的制度是否会成为监管套利的工具,例如安全认证制度等等,值得深入研究。对履行个人信息保护职责的部门而言,相关规定是否足够明确具体,是否有助于建构一个有效的工作机制,如何避免互相卸责又互相争夺的问题,也值得研究。

个人信息保护立法的优劣,最重要的评价标准就是科学而且精准地平衡两大法律价值,一方面是保障个人信息权益,同时又不能过度影响个人信息的合理利用。从整体而言,草案的规定力求实现二者的兼顾。我们相信随着各方积极参与讨论,集思广益,最终一定会制定出一部良善的个人信息保护法。

Next Post

农业农村部:农业信息化发展已到关键时期

周一 10月 19 , 2020
来源:《经济参考报》2020年10月19日 农业农村部市场与信息司副司长宋丹阳10月18日表示,近年 […]
登录 注册

热门文章