個人信息保護法11月1日起實施,吸收接軌國際立法,探索開創中國路徑
《中華人民共和國個人信息保護法》于2021年11月1日起施行。法律明確不得過度收集個人信息、大數據殺熟,對人臉信息等敏感個人信息的處理作出規制,完善個人信息保護投訴、舉報工作機制等,充分回應了社會關切,為破解個人信息保護中的熱點難點問題提供了強有力的法律保障。
歷經十八載終出臺,構建完整個人信息保護框架
貝殼財經記者了解到,2003年,專家起草了個保法建議稿。2018年,個保法正式進入立法流程,歷經三次審議最終成型。2021年8月20日,十三屆全國人大常委會第三十次會議表決通過了《中華人民共和國個人信息保護法》,自2021年11月1日起正式實施。此時距離個保法建議稿的起草已經過去18年。
《個人信息保護法》全文以總計8章74條的篇幅,在總則、個人信息處理規則、個人信息跨境提供的規則、個人在個人信息處理活動中的權利、個人信息處理者的義務、履行個人信息保護職責的部門、法律責任以及附則等多個層面設計和建構個人信息保護的立法框架。
中國互聯網協會研究中心副主任、北京師范大學網絡法治國際中心執行主任吳沈括參與了個保法的制定。據他介紹,個人信息保護源于憲法對于公民人格尊嚴的保護,個保法涉及的是個人權益保護,并不直接解決個人信息相關的財產權。“立法者給了各方利益平衡的空間”。
丁曉東認為,從整體來看,個保法構建了完整的個人信息保護框架。其規定涵蓋了個人信息的范圍以及個人信息從收集、存儲到使用、加工、傳輸、提供、公開、刪除等所有處理過程;明確賦予了個人對其信息控制的相關權利,并確認與個人權利相對應的個人信息處理者的義務及法律責任;對個人信息出境問題、個人信息保護的部門職責、相關法律責任進行了規定。
吳沈括稱,個保法以“告知-同意”機制為核心邏輯建構覆蓋個人信息處理全生命周期的規則框架,強化保障自然人的自主權利,同時注重與其他重要利益包括國家安全以及公共利益等的平衡協調,例如針對各類不同的具體場景設定告知或者同意的例外規則。
從具體問題來看,個保法明確不得過度收集個人信息、大數據殺熟,對人臉信息等敏感個人信息的處理作出規制,完善個人信息保護投訴、舉報工作機制等。
中國政法大學傳播法研究中心副主任朱巍告訴貝殼財經記者,個保法一經問世,就肩負起統領其他法律法規對個人信息保護的作用。該法所確立的對權利人“最小傷害”“公開透明”“準確完整”“合理使用”“合理目的”等原則,是對先前相關法律關于個人信息使用“合法性、正當性、必要性”原則的擴展和補強。未來后續新的立法中,凡是涉及個人信息保護問題的,都應遵守個人信息保護法所確定的基本原則,任何規定都不得與之相沖突。
“個人信息保護法是個體權利在個人信息保護領域的新旗幟,極大擴展和補充了民法典、消費者權益保護法等民事法律關于個人信息權利的范圍。新法將個人權利單獨成章,賦予了公民個體對自己個人信息的‘自我決定權’和充分的‘知情權’。”朱巍表示。
向“大數據殺熟”“信息曝光”說不,個性化推送可關閉
朱巍認為,“我的權利我做主”在個人信息保護法中得到了具體體現。老百姓依法享有對自己信息的查詢權、復制權、刪除權、更正權、保持完整性和準確性權、投訴權、要求說明權和訴訟權。這些新型權利基本構成了適應大數據時代個人信息保護的權利保護體系。
例如,在個保法出臺前,用戶在接受互聯網產品和服務時,僅享有注冊權,很少有人嘗試過“注銷權”。很多App或網絡服務,當用戶不再使用的時候,隨手從手機中刪除,卻忘記了之前在平臺的注冊信息、身份信息和行為數據,這些信息不會因為個人刪除行為而自行消失。個保法出臺后,用戶一旦停止使用某款網絡服務,在刪除應用的同時,平臺也應依法對用戶現存信息進行刪除,確保用戶個人信息不會成為那些“睡眠應用”的非法財產。
而對于用戶在App平臺中遇到同一款產品,不同人顯示的價格不一樣,甚至在不同型號的手機上顯示價格也不同的“大數據殺熟”行為,個保法也有了明確的要求——個人信息保護法第二十四條規定,個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。丁曉東認為,這明確否定了“大數據殺熟”等現象。
此外,個保法規定,通過自動化決策方式向個人進行信息推送、商業營銷,應當同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式。
安恒信息高級副總裁、首席科學家劉博告訴貝殼財經記者,上述條款限制了平臺對個人畫像及針對性營銷的能力。
中國電子技術標準化研究院網絡安全研究中心測評實驗室副何延哲則表示,(自動化決策條款)肯定會對廣告業產生影響,以前用戶往往只能被動接受個性化廣告的推送,用戶擁有主動權后,可以自行選擇是否開啟類似功能。“以前許多廣告商在無限度追求商業利益的過程中,經常忽略用戶個人的感受。如今出臺了相關法規,他們便要承擔之前野蠻發展的后果——曾經讓多少用戶反感,以后可能就要承擔多少用戶關閉個性化推薦后的損失。”
同時,針對廣泛存在的已公開個人信息的利用問題,《個人信息保護法》也專門規定個人信息處理者可以在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息,而個人對此有權明確拒絕,并且如果個人信息處理者處理已公開的個人信息對個人權益有重大影響的,仍然應當依法取得個人同意。
“個保法從個人信息處理的一般規則到敏感個人信息處理的特殊規則,乃至個人信息跨境提供的單獨規則設定,無不反映了立法者對于個人權益的著重保護,以及對于各利益相關方多樣訴求的兼容權衡,并通過系統的個人權利內容以及個人信息處理者義務相關規定予以全面的細化落實,切實貫徹保護個人信息權益與促進個人信息合理利用的雙重立法目的。”吳沈括表示。
吸收接軌國際立法,探索開創中國路徑
多位專家認為,個保法吸納了不少國際立法的成功經驗,但同時也結合中國國情做出了創新。
吳沈括認為,個保法注重發揮國家、社會、企業和個人等不同主體的協同作用,打造個人信息保護領域的多方共享共治模式。個保法特別強調國家建立健全個人信息保護制度,預防和懲治侵害個人信息權益的行為,加強個人信息保護宣傳教育,推動形成政府、企業、相關行業組織和社會公眾共同參與個人信息保護的良好環境,為促進個人信息合理利用奠定堅實的、可持續的生態基礎。“更進一步而言,個保法還對當下我國民眾的諸多現實關切做出了及時、有效的回應,提出了具有鮮明時代印記與中國特色的規則安排。”
例如,針對目前多發的個人信息泄露事件,個保法明確規定個人信息處理者的義務規則,要求其立即采取補救措施,并且面向履行個人信息保護職責的部門和個人通知個人信息泄露的原因、丟失的個人信息種類和可能造成的危害、已采取的補救措施以及個人可以采取的減輕危害的措施等重要事項。
需要注意的是,對于不同類型的個人信息,個保法規定,個人信息處理者要針對不同類型的信息進行分類處理。
吳沈括認為,信息分類是立法的總體要求,包括數據安全法中提到數據分類分級管理。落實到個人信息保護領域,分為敏感信息和非敏感信息、未成年人信息和成年人信息等。企業也可基于自身業務實踐做進一步分類,“立法者也是希望企業能針對不同類型的數據有不同強度、不同形式的保護,體現個保法全面保護的要求”。
但對比個保法二審稿,對個人信息進行分級的表述在正式稿中被刪除。
吳沈括表示,在不同場合中個人信息的敏感性質不相同,同一個信息在不同應用場景中的價值屬性也不相同,拿掉“分級”是為了給予企業更具彈性的操作空間,但不意味著個人信息分級不重要。
“可以期待,在個保法科學、系統、全面的頂層設計之下,后續隨著監管執法舉措的不懈推進、司法裁判規則的不斷豐富、多方參與共治的持續培育以及國際交流合作的深入開展,置身代碼世界的廣大人民群眾將長久擁抱個人信息合法權益受保護、個人信息處理活動受規范、個人信息合理利用受促進的數字治理新生態。”吳沈括表示。
“綜合而言,我國的個人信息保護法對相關制度進行了全方位的規定,體現了我國政府維護公民基本權益的決心,為個人信息的規范化收集與利用提供了保障。隨著幾個月后個人信息保護法的生效實施,這一數字時代的基本法也必將為我國數字社會治理與數字經濟發展注入更為強大的動力。”丁曉東表示。
《中華人民共和國個人信息保護法》于2021年11月1日起施行。法律明確不得過度收集個人信息、大數據殺熟,對人臉信息等敏感個人信息的處理作出規制,完善個人信息保護投訴、舉報工作機制等,充分回應了社會關切,為破解個人信息保護中的熱點難點問題提供了強有力的法律保障。
2021年1—9月全國規模以上制造業實現利潤總額52986.4億元,增長42.9%
2021年19月全國規模以上制造業實現利潤總額52986.4億元,增長42.9%10月27日,國家統計局發布了三季度工業企業利潤數據,19月,全國規模以上工業企業實現利潤總額63440.8億元,同比增長44.7%,比2019年19月增長41.2%,兩年平均增長18.8%。19月,規模以上工業企業中,國有控股企業實現利潤總額19850.5億元,同比增長77.9%...歷經十八載終出臺,構建完整個人信息保護框架
貝殼財經記者了解到,2003年,專家起草了個保法建議稿。2018年,個保法正式進入立法流程,歷經三次審議最終成型。2021年8月20日,十三屆全國人大常委會第三十次會議表決通過了《中華人民共和國個人信息保護法》,自2021年11月1日起正式實施。此時距離個保法建議稿的起草已經過去18年。
《個人信息保護法》全文以總計8章74條的篇幅,在總則、個人信息處理規則、個人信息跨境提供的規則、個人在個人信息處理活動中的權利、個人信息處理者的義務、履行個人信息保護職責的部門、法律責任以及附則等多個層面設計和建構個人信息保護的立法框架。
中國互聯網協會研究中心副主任、北京師范大學網絡法治國際中心執行主任吳沈括參與了個保法的制定。據他介紹,個人信息保護源于憲法對于公民人格尊嚴的保護,個保法涉及的是個人權益保護,并不直接解決個人信息相關的財產權。“立法者給了各方利益平衡的空間”。
丁曉東認為,從整體來看,個保法構建了完整的個人信息保護框架。其規定涵蓋了個人信息的范圍以及個人信息從收集、存儲到使用、加工、傳輸、提供、公開、刪除等所有處理過程;明確賦予了個人對其信息控制的相關權利,并確認與個人權利相對應的個人信息處理者的義務及法律責任;對個人信息出境問題、個人信息保護的部門職責、相關法律責任進行了規定。
吳沈括稱,個保法以“告知-同意”機制為核心邏輯建構覆蓋個人信息處理全生命周期的規則框架,強化保障自然人的自主權利,同時注重與其他重要利益包括國家安全以及公共利益等的平衡協調,例如針對各類不同的具體場景設定告知或者同意的例外規則。
從具體問題來看,個保法明確不得過度收集個人信息、大數據殺熟,對人臉信息等敏感個人信息的處理作出規制,完善個人信息保護投訴、舉報工作機制等。
中國政法大學傳播法研究中心副主任朱巍告訴貝殼財經記者,個保法一經問世,就肩負起統領其他法律法規對個人信息保護的作用。該法所確立的對權利人“最小傷害”“公開透明”“準確完整”“合理使用”“合理目的”等原則,是對先前相關法律關于個人信息使用“合法性、正當性、必要性”原則的擴展和補強。未來后續新的立法中,凡是涉及個人信息保護問題的,都應遵守個人信息保護法所確定的基本原則,任何規定都不得與之相沖突。
“個人信息保護法是個體權利在個人信息保護領域的新旗幟,極大擴展和補充了民法典、消費者權益保護法等民事法律關于個人信息權利的范圍。新法將個人權利單獨成章,賦予了公民個體對自己個人信息的‘自我決定權’和充分的‘知情權’。”朱巍表示。
向“大數據殺熟”“信息曝光”說不,個性化推送可關閉
朱巍認為,“我的權利我做主”在個人信息保護法中得到了具體體現。老百姓依法享有對自己信息的查詢權、復制權、刪除權、更正權、保持完整性和準確性權、投訴權、要求說明權和訴訟權。這些新型權利基本構成了適應大數據時代個人信息保護的權利保護體系。
例如,在個保法出臺前,用戶在接受互聯網產品和服務時,僅享有注冊權,很少有人嘗試過“注銷權”。很多App或網絡服務,當用戶不再使用的時候,隨手從手機中刪除,卻忘記了之前在平臺的注冊信息、身份信息和行為數據,這些信息不會因為個人刪除行為而自行消失。個保法出臺后,用戶一旦停止使用某款網絡服務,在刪除應用的同時,平臺也應依法對用戶現存信息進行刪除,確保用戶個人信息不會成為那些“睡眠應用”的非法財產。
而對于用戶在App平臺中遇到同一款產品,不同人顯示的價格不一樣,甚至在不同型號的手機上顯示價格也不同的“大數據殺熟”行為,個保法也有了明確的要求——個人信息保護法第二十四條規定,個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。丁曉東認為,這明確否定了“大數據殺熟”等現象。
此外,個保法規定,通過自動化決策方式向個人進行信息推送、商業營銷,應當同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式。
安恒信息高級副總裁、首席科學家劉博告訴貝殼財經記者,上述條款限制了平臺對個人畫像及針對性營銷的能力。
中國電子技術標準化研究院網絡安全研究中心測評實驗室副何延哲則表示,(自動化決策條款)肯定會對廣告業產生影響,以前用戶往往只能被動接受個性化廣告的推送,用戶擁有主動權后,可以自行選擇是否開啟類似功能。“以前許多廣告商在無限度追求商業利益的過程中,經常忽略用戶個人的感受。如今出臺了相關法規,他們便要承擔之前野蠻發展的后果——曾經讓多少用戶反感,以后可能就要承擔多少用戶關閉個性化推薦后的損失。”
同時,針對廣泛存在的已公開個人信息的利用問題,《個人信息保護法》也專門規定個人信息處理者可以在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息,而個人對此有權明確拒絕,并且如果個人信息處理者處理已公開的個人信息對個人權益有重大影響的,仍然應當依法取得個人同意。
“個保法從個人信息處理的一般規則到敏感個人信息處理的特殊規則,乃至個人信息跨境提供的單獨規則設定,無不反映了立法者對于個人權益的著重保護,以及對于各利益相關方多樣訴求的兼容權衡,并通過系統的個人權利內容以及個人信息處理者義務相關規定予以全面的細化落實,切實貫徹保護個人信息權益與促進個人信息合理利用的雙重立法目的。”吳沈括表示。
吸收接軌國際立法,探索開創中國路徑
多位專家認為,個保法吸納了不少國際立法的成功經驗,但同時也結合中國國情做出了創新。
吳沈括認為,個保法注重發揮國家、社會、企業和個人等不同主體的協同作用,打造個人信息保護領域的多方共享共治模式。個保法特別強調國家建立健全個人信息保護制度,預防和懲治侵害個人信息權益的行為,加強個人信息保護宣傳教育,推動形成政府、企業、相關行業組織和社會公眾共同參與個人信息保護的良好環境,為促進個人信息合理利用奠定堅實的、可持續的生態基礎。“更進一步而言,個保法還對當下我國民眾的諸多現實關切做出了及時、有效的回應,提出了具有鮮明時代印記與中國特色的規則安排。”
例如,針對目前多發的個人信息泄露事件,個保法明確規定個人信息處理者的義務規則,要求其立即采取補救措施,并且面向履行個人信息保護職責的部門和個人通知個人信息泄露的原因、丟失的個人信息種類和可能造成的危害、已采取的補救措施以及個人可以采取的減輕危害的措施等重要事項。
需要注意的是,對于不同類型的個人信息,個保法規定,個人信息處理者要針對不同類型的信息進行分類處理。
吳沈括認為,信息分類是立法的總體要求,包括數據安全法中提到數據分類分級管理。落實到個人信息保護領域,分為敏感信息和非敏感信息、未成年人信息和成年人信息等。企業也可基于自身業務實踐做進一步分類,“立法者也是希望企業能針對不同類型的數據有不同強度、不同形式的保護,體現個保法全面保護的要求”。
但對比個保法二審稿,對個人信息進行分級的表述在正式稿中被刪除。
吳沈括表示,在不同場合中個人信息的敏感性質不相同,同一個信息在不同應用場景中的價值屬性也不相同,拿掉“分級”是為了給予企業更具彈性的操作空間,但不意味著個人信息分級不重要。
“可以期待,在個保法科學、系統、全面的頂層設計之下,后續隨著監管執法舉措的不懈推進、司法裁判規則的不斷豐富、多方參與共治的持續培育以及國際交流合作的深入開展,置身代碼世界的廣大人民群眾將長久擁抱個人信息合法權益受保護、個人信息處理活動受規范、個人信息合理利用受促進的數字治理新生態。”吳沈括表示。
“綜合而言,我國的個人信息保護法對相關制度進行了全方位的規定,體現了我國政府維護公民基本權益的決心,為個人信息的規范化收集與利用提供了保障。隨著幾個月后個人信息保護法的生效實施,這一數字時代的基本法也必將為我國數字社會治理與數字經濟發展注入更為強大的動力。”丁曉東表示。
粵公網安備 44030402000745號 