历经18年时间,《中华人民共和国个人信息保护法》终于在2021年8月20日经全国人大常委会表决通过,并将于2021年11日1日正式施行。至此,我国数字经济领域的法律规范完成又一块重要拼图。
同时,由《网络安全法》《数据安全法》《个人信息保护法》构成的我国数字经济时代三大法律支柱体系基本确立,共同搭建起数字经济“生态保护系统”——《网络安全法》所保护的关键基础设施可以看作是生态系统中的底层土壤,《数据安全法》则是对在基础设施上如江河奔流的数据要素进行保护,《个人信息保护法》的重要作用就是确保由土地河流滋养的草木繁茂健康成长。作为我国首部就个人信息保护的专门立法,《个人信息保护法》在立法高度和路径上、个人信息处理原则上,以及社会重大问题的回应上都极具特色。
一、从保护人格尊严与自由角度出发,确立宽严相济的个人信息保护路径
(一)以宪法为依据,保护个人信息。《个人信息保护法》在一、二审稿的基础上,着重强调其立法依据是宪法,在第一条规定“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。”具体而言,《个人信息保护法》将人身自由、人格尊严和通信秘密与通信自由等公民的宪法权利进一步落实到对个人信息的保护当中。另外,这种规定也体现出对个人信息的保护不仅属于民法范畴,还涉及到公权力对个人信息处理的公法层面的调整,具有很强的社会法色彩。
(二)开辟欧、美对个人数据保护之外的新路径。与欧盟过于严格和美国相对宽松的个人信息保护路径不同,我国在保护个体权益与促进数据利用上找到了新的平衡点。《个人信息保护法》借鉴欧盟《通用数据保护条例》(以下简称“GDPR”)中对个人数据的界定,将“已识别”与“可识别”作为判断相关数据是否属于个人信息的依据,相较于美国只有当信息实际上可与特定人相连接的规定,保护范围更广。但与GDPR规定不同的是,《个人信息保护法》未就“可识别”进行详细的列举规定,而是为后续法律实践留有一定探索空间。另外,在权益保护方面,不仅赋予个体寻求救济时的请求权基础,还采取行政监管的方式补足个人在对抗大型企业时的力量弱势;在多元共治方面,该法并没有将个人与企业在个人信息保护上进行对立,而是在第十一条确立了政府、企业、相关社会组织与公众共同参与的多元治理格局。
(三)对大型和小型个人信息处理者进行差异化制度安排。《个人信息保护法》在规定大型和小型个人信息处理者的法律义务上做出了梯度性的制度安排,强化了重要互联网平台服务提供者的个人信息保护义务。《个人信息保护法》第五十八条不仅要求重要互联网平台服务提供者要遵循公开、公平、公正的原则制定平台规则,还必须成立主要由外部成员责成的独立监管机构,定期发布个人信息保护责任报告,接受全社会的监督。对于小型个人信息处理者,《个人信息保护法》第六十二条第二款要求特别制定专门的个人信息保护规则、标准。对个人信息处理者进行区分的差异化制度设计,不仅与我国现阶段数字经济产业的发展现状相适应,更是与加强大型平台企业的监管力度趋势相符。
二、确立个人信息处理的七大基本原则与“告知-同意”核心规则
(一)个人信息处理的七大基本原则。《个人信息保护法》确立了处理个人信息的七项基本原则,即第五条合法性原则,第六条目的明确原则和最小必要原则、第七条公开透明原则、第八条准确性原则,以及第九条可问责性原则和数据安全原则。在总则部分所规定的该七项原则,其精神贯穿《个人信息保护法》适用的全过程,不仅与国内《网络安全法》和《民法典》一脉相承,还吸收借鉴了国际上对个人信息保护的先进经验,增加了对信息准确性与可问责性的新要求。
(二)以“告知-同意”基本逻辑构建起个人信息处理核心框架。基于个人信息处理原则,尤其是合法性与公开透明的要求,《个人信息保护法》构建起以“告知-同意”为核心的个人信息处理框架。
1.告知。《个人信息保护法》第十四条规定“充分知情”是取得个人同意的前提条件,并在第十七条具体列举了应当告知的具体事项。另外,告知义务也体现在个人信息转移(第二十二、二十三条)、处理已公开个人信息(第二十五条)、处理敏感个人信息(第三十条)、国家机关为履行法定职责处理个人信息(第三十五条)和个人信息出境(第三十九条)等场景。
2.同意。除《个人信息保护法》第十三条第二款到第七款列举的取得同意的例外情形,取得同意是个人信息处理者处理个人信息的大前提,而且在处理目的、方式和种类发生变更时,需要重新取得同意(第十四条第二款),在处理特殊信息或事项上,需要取得单独同意(第二十三条、第二十五条、第二十六条、第二十九条、第三十九条)。另外,在第十五条赋予个人撤回同意的权利基础上,第十六条进行了配套保障,禁止个人信息处理者以撤回同意为由拒绝提供产品或服务。
三、对个人信息保护领域的突出问题予以重点回应
(一)针对“大数据杀熟”问题,规定不得通过自动化决策对个人进行歧视。随着大数据、算法等技术的升级迭代,个人信息处理者能够以“千人千面”的个性化推荐和自动化决策对信息主体进行区别对待,甚至实施价格歧视与不合理的差别待遇。虽然我国《反垄断法》已经在竞争法的框架内对价格歧视问题进行了规范,但受限于《反垄断法》较高的适用门槛与条件,“大数据杀熟”问题仍屡禁不止。《个人信息保护法》第二十四条增加了对“大数据杀熟”的规定,要求个人信息处理者在利用个人信息进行自动化决策时,不得对个人在交易条件上实行不合理的差别待遇,同时赋予个人要求进行说明和拒绝个性化推送、营销的权利,进一步丰富了对“大数据杀熟”等歧视性定价和差别待遇问题的规制工具箱。
(二)针对儿童权益保护问题,对不满十四周岁未成年人的个人信息作特别规定。《个人信息保护法》将不满十四周岁未成年人的个人信息归为敏感个人信息,适用更高层次的保护规则,同时要求个人信息处理者要针对不满十四周岁的未成年人制定专门个人信息处理规则。互联网的开放性为资讯获取提供了极大便利,但由于个人信息保护意识相对淡薄,加之对新生事物较为好奇,儿童个人信息很容易被过度采集。针对儿童权益保护问题,《个人信息保护法》在《未成年人保护法》和《儿童个人信息网络保护规定》基础上,兼顾行业发展诉求,将未成年人的保护年龄设定在十四周岁。一方面,增强对心智尚未发展成熟、自我保护意识薄弱的未满十四周岁未成年人保护,防范其个人信息被滥用所可能导致的严重后果;另一方面,考虑身心发展情况,对十四岁以上的未成年人适用一般规定,减轻个人信息处理者的负担。
(三)针对大型平台“数据垄断”问题,引入个人信息可携权。数据可携权最先由GDPR确立,并在澳大利亚、美国等国家立法中都有体现,具体是指数据主体有权从数据控制者处获取经过处理的、常用的且机器可读的个人专属数据,并要求数据控制者将其个人专属数据传输给其他数据控制者。《个人信息保护法》在二审稿的基础上也增加了对个人信息可携权的规定,即经个人请求,个人信息处理者应当提供转移的途径将个人信息转移至个人所指定的个人信息处理者。创设个人信息可携权能够一定程度上扼制大型平台“数据驱动”与“隐私驱动”的增长模式,破除“数据垄断”。数字经济时代,用户数据业已成为平台企业争夺的重要资源。大型平台利用其早期积累的个人数据资源优势,构筑起极高的市场壁垒。可携权的创设,增强了平台用户对其个人信息的掌控权,降低了平台企业的用户黏性,促进数据流通,为新进入者提供了更为平等的竞争环境,进一步加强平台之间在产品和服务上的竞争。
(四)针对“数据遗产”问题,对死者信息处理作出规定。据统计,全球每天会产生2940亿封电子邮件、50亿次的搜索、4PB数据(仅限于Facebook,包括3.5亿张照片和1亿小时视频)、650亿条消息(仅限于WhatsApp)、5亿条推文(仅限于Twitter)和9500万份照片视频(仅限于Instagram)。然而,由于缺乏相关法律规定,大量的个人数据往往会随着信息主体的死亡而沉睡在数据控制者的服务器中,碍于“用户隐私”保护政策成为无法被“继承”的“数据遗产”。2004年,死者的父亲向雅虎提出请求,希望获得已逝孩子的电子邮箱账号密码来检查邮件,从而制作更完整的纪念册,但因隐私政策原因遭到了雅虎拒绝,其诉讼请求也没有获得法院支持。不同于GDPR否定式的立法安排,就这一问题,我国《个人信息保护法》在第四十九条规定了自然人死亡后其个人信息的处理方式,给予其近亲属处理个人信息的权力,同时也兼顾了死者生前意志,尊重其生前就个人数据所做安排。
文章来源:综合开发院官方号
转载本网文章请注明出处