《个人信息保护法》是我国第一部个人信息保护方面的专门法律,其颁行将极大地加强我国个人信息保护的法制保障。
《个人信息保护法》对个人信息处理规则作出了详细的规定,包括公众广泛关注的“大数据杀熟”问题、“人脸识别”问题,对个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务作出了详细的规定。
2021年8月20日,第十三届全国人大常委会第三十次会议审议通过了《中华人民共和国个人信息保护法》(以下称《个人信息保护法》),它是我国第一部个人信息保护方面的专门法律。《个人信息保护法》的颁行将极大地加强我国个人信息保护的法制保障;它以严密的制度、严格的标准、严厉的责任规范个人信息处理活动,规定了完备的个人在个人信息处理活动中的权利,全方位落实各类组织、个人等个人信息处理者的义务与责任;科学协调个人信息权益保护与个人信息合理利用的关系,建立了权责明确、保护有效、利用规范的个人信息处理规则,从而在保障个人信息权益的基础上,促进包括个人信息在内的数据信息的自由安全的流动与合理有效的利用,推动数字经济的健康发展。
科学合理的个人信息处理规则
个人信息处理规则就是处理个人信息如个人信息的收集、存储、使用、加工、传输、提供、公开、删除时遵循的规则,包括法律规定的和处理者自己制定的。法律规定的个人信息处理规则,是强制性的。个人信息处理规则既是个人信息处理者的行为规范,也是个人信息权益的保护规范。因此,《个人信息保护法》第二章对个人信息处理规则作出了详细的规定。
首先,《个人信息保护法》第13条建立了个人信息处理活动的多元化合法性基础。不仅是取得个人的同意可以作为处理个人信息的合法根据,而且为订立、履行个人作为一方当事人的合同所必需,按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需,履行法定职责或者法定义务所必需,为应对突发公共卫生事件或者紧急情况下为保护自然人的生命健康和财产安全所必需等,也都可以成为处理个人信息的合法性根据。这样一来,就很好地协调了个人信息权益的保护与个人信息的合理利用的关系。
其次,详细规定了告知同意规则,要求个人信息处理者处理个人信息前,必须以显著方式、清晰易懂的语言真实、准确、完整地向个人告知法律规定的事项,除非法律、行政法规规定应当保密或者不需要告知,或者告知将妨碍国家机关履行法定职责。如果个人信息处理者是基于个人同意而处理个人信息的,那么个人的同意必须是个人在充分知情的前提下自愿、明确的作出,个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务。
再次,就所谓的“大数据杀熟”问题,《个人信息保护法》第24条规定,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供拒绝的方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
第四,针对社会公众广泛关注的“人脸识别”问题,《个人信息保护法》第26条规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。这就是说,不是任何主体都有权在公共场所安装图像采集、个人身份识别设备,必须是为了维护公共安全并且要符合国家有关规定,同时还要通过设置显著的提示标识加以告知。对于收集的个人图像、身份识别信息只能用于特定的目的即维护公共安全,未取得个人单独同意的,不得用于其他目的。
最后,对敏感个人信息进行了更严格的保护。敏感个人信息,是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。《个人信息保护法》规定,处理者只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,才能处理敏感个人信息。并且,处理敏感个人信息应当取得个人的单独同意。此外,为了更好保护未成年人的个人信息权益,《个人信息保护法》将不满十四周岁未成年人个人信息作为敏感个人信息要求,要求处理者只有在取得未成年人的父母或者其他监护人的同意后才能处理,并且还要制定专门的个人信息处理规则。
安全与自由兼具的
个人信息跨境提供规则
个人信息跨境提供,是指一国境内的个人信息或个人数据流出境内,为他国的公权力机关或民事主体所读取、收集、存储、加工、使用等。网络科技已经打破了物理上的国境限制,随着网络科技高速发展与经济的全球化,各国间无时无刻不在进行着人员往来、货物流动、服务提供,云计算、物联网和跨境电子商务的飞速发展,使得包括个人数据在内的数据流动越来越频繁,也越来越重要。数据的跨境流动在全球蓬勃发展的数字经济中发挥着越来越重要的作用。然而,数据的跨境流动也带来了很多的问题,如不利于保护本国境内个人的权利,重要数据出境会危害国家安全,有碍本国数字经济的发展等。为了既保护个人信息的安全,同时又能实现个人信息数据的自由跨境流动,促进数字经济的发展,我国《个人信息保护法》对个人信息跨境提供的规则作出了如下规定。
首先,为了实现个人信息的自由跨境流动,《个人信息保护法》允许处理者因业务等需要向境外提供个人信息,并且提供了多种可供选择的条件,如按照国家网信部门的规定经专业机构进行个人信息保护认证,按照国家网信部门制定的标准合同与境外接收方订立合同等。但是,为了保护个人信息安全,明确规定,关键信息基础设施运营者以及处理个人信息达到国家网信部门规定数量的个人信息处理者,均应将在我国境内收集和产生的个人信息存储在境内。如果确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估。此外,所有的向境外提供个人信息的处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到我国《个人信息保护法》规定的个人信息保护标准。
其次,为了将来我国和其他国家缔结的条约或者参加的国际条约、协定等对跨境提供个人信息作出相应的安排,《个人信息保护法》第38条第2款规定,中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。例如,2020年11月15日,东盟十国与我国、日本、韩国、澳大利亚、新西兰共15个国家正式签署了《区域全面经济伙伴关系协定》(RCEP),该协定第十二章“电子商务”中,要求缔约方为电子商务创造有利环境,保护电子商务用户的个人信息,为在线消费者提供保护,并针对非应邀商业电子信息加强监管和合作等。
最后,为了保障个人权利,防止个人信息跨境提供损害个人权利和自由,《个人信息保护法》规定,个人信息处理者向我国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式等事项,并取得个人的单独同意。
详细规定
个人在个人信息处理活动中的权利
《个人信息保护法》第四章对“个人在个人信息处理活动中的权利”作出了详细的规定。之所以采取“个人在个人信息处理活动中的权利”这一名称,是为了强调这些权利的主体是作为信息主体的个人,这些权利指向的义务人是个人信息处理者,并非其他主体。此外,也表明个人是在个人信息处理活动中才享有这些权利的。个人在个人信息处理活动中的权利属于手段性权利或救济性权利,目的在于保护自然人的个人信息权益。我国《个人信息保护法》立足于我国个人信息保护实践的要求,吸收借鉴比较法上的优秀成果,对个人在个人信息处理活动中的权利作出了系统全面的规定。该法规定的个人在个人信息处理活动中享有的权利包括:对个人信息处理的知情权与决定权、查阅复制权、可携带权、更正补充权、删除权、解释说明权等。
需要注意的是,首先,《个人信息保护法》明确承认了可携带权,即该法第45条第3款规定,个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。可携带权是由欧盟《一般数据保护条例》首次规定的一种新型的数据主体权利。可携带权有利于加强个人对其个人信息的控制,可以很好预防和制止平台经济领域内的垄断行为,保护市场公平竞争,促进平台经济规范有序创新健康发展,维护消费者利益和社会公共利益。故此,我国《个人信息保护法》承认了可携带权,但是对该权利的具体行使条件作出了限定,授权国家网信部门作出具体的规定。
其次,《个人信息保护法》第49条规定,自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。这是对死者个人信息保护的规定。在《民法典》第994条已经明确保护死者的姓名、肖像、名誉、荣誉、隐私等的情形下,《个人信息保护法》承认一定条件下死者的近亲属可以针对死者的相关个人信息行使查阅、复制、更正、删除等权利,既有利于更好维护死者近亲属自身的合法、正当利益,也有利于尊重死者的遗愿并保护死者本人及其交往者的隐私和通信秘密。
严格完整的
个人信息处理者的义务体系
为了加强个人信息权益保护,贯彻落实合法原则与责任原则,我国《个人信息保护法》专章对个人信息处理者的义务作出了详细的规定,并构建了一个严格完整的处理者的义务体系。
首先,明确了个人信息处理者的基本义务,即个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人的影响、可能存在的安全风险等,采取相应的措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失。该条列举了个人信息处理者应当采取的五种具体的措施。
其次,要求处理个人信息达到国家网信部门规定数量的个人信息处理者必须指定个人信息保护负责人制度,监督个人信息处理活动以及采取的保护措施,进一步确保个人信息处理活动的合法性与个人信息的安全性。如果是必须适用《个人信息保护法》的我国境外的个人信息处理者,也应当在我国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。
再次,规定了个人信息处理者的定期合规审计义务,使个人信息处理者能够持续保证个人信息处理活动符合法律、行政法规,并且有能力向监管部门举证证明。
第四,从事前、事中和事后三个维度规定了个人信息处理者的保护个人信息安全的义务。一方面,针对高风险的个人信息处理活动,要求个人信息处理者在事前进行个人信息保护影响评估,并对处理情况进行记录;另一方面,一旦发生个人信息泄露,要求个人信息处理者立即采取补救措施并通知监管机构和个人。
最后,对特定的个人信息处理者即提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者确立了所谓的“守门人义务”,要求其除了履行一般的个人信息处理者的义务外,还必须按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;定期发布个人信息保护社会责任报告,接受社会监督。
(作者为清华大学法学院副院长、教授、博士生导师)
(责任编辑:佟明彪)