明确不得过度收集个人信息、大数据杀熟,对人脸信息等敏感个人信息的处理作出规制,完善个人信息保护投诉、举报工作机制……8月20日,十三届全国人大常委会第三十次会议表决通过的《中华人民共和国个人信息保护法》充分回应社会关切,将于2021年11月1日起施行。
专家表示,当前个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一,个人信息保护法进一步完善我国在数据领域的立法体系,全方位构筑个人信息保护网,标志着我国个人信息保护迈出具有里程碑意义的一步。
全方位构筑个人信息保护网
个人信息保护法共8章74条,在有关法律的基础上,进一步细化、完善个人信息保护应遵循的原则和个人信息处理规则,明确个人信息处理活动中的权利义务边界,健全个人信息保护工作体制机制。
“个人信息保护法从全局高度对各主体利益进行统筹安排和科学分配,在规则安排上既保护了个人信息权益,又拓展了个人信息处理者利用个人信息的合理空间,也回应了国家机关为履行法定职责或者法定义务处理个人信息的诉求,从而最大化实现社会利益。”中国信息通信研究院互联网法律研究中心高级研究员杨婕表示。
针对App过度收集个人信息、公共场所安装摄像头和人脸识别设备等个人信息保护中的热点难点问题,个人信息保护法也给出回应,包括处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式;在公共场所安装图像采集、个人身份识别设备,应设置显著的提示标识;所收集的个人图像、身份识别信息只能用于维护公共安全的目的。
中国电子信息产业发展研究院网络安全所所长刘权表示,针对线上应用和线下设备过度收集用户信息,造成的个人信息采集边界模糊问题,个人信息保护法提出以“知情同意”为重要核心、以“最少必要信息”为基本原则的个人信息采集要求,旨在从数据全生命周期源头为个人信息打造“安全保护锁”。
中国信息通信研究院云计算与大数据所工程师呼娜英也指出,个人信息保护法明确要求个人信息处理者在处理敏感个人信息前需存在“特定的目的”及“充分的必要性”。这是处理个人信息需遵循“合法、正当、必要”的具体体现,也对处理敏感个人信息提出更高要求。这样一来,零售商要求刷脸进出或支付、小区要求刷脸进出、楼宇闸机要求刷脸登记等场景仅以人脸识别作为唯一方式,则可能因缺乏目的正当性和必要性而遭受挑战。
针对越来越多的企业利用大数据分析、评估消费者个人特征用于商业营销的“大数据杀熟”问题,个人信息保护法给予明确禁止,规定个人信息处理者利用个人信息进行自动化决策,不得对个人在交易价格等交易条件上实行不合理的差别待遇。刘权认为,在社会各界的普遍监督下,滥用技术手段实施“大数据杀熟”行为的主体将会受到高额罚款、终止服务等严厉的监管处罚,消费者权益有望得到充分保障。
加强对头部企业监督规范
当前,不少互联网巨头企业掌握大量个人信息,对互联网生态环境有巨大的影响和控制力。业内人士认为,互联网巨头等大型个人信息处理者应受到更加严格的规范,在个人信息保护方面应当承担更多的法律义务。
个人信息保护法对大型和小型个人信息处理者进行区分。对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,特别规定了其需要履行的义务,如建立健全个人信息保护合规制度体系,定期发布个人信息保护社会责任报告,接受社会监督等。而信息量较少、处理活动简单、技术水平较低的小型企业则由国家网信部门为其制定数据处理的相关规则。
“互联网巨头等大型个人信息处理者需履行‘守门人’角色,并承担更多责任。”刘权表示,这一举措充分体现我国法律制定对于“因材施教”的考量:针对大型企业,充分发挥其主体责任,重点加强对其个人信息处理活动的监管;对于小型企业,需考虑其强化个人信息保护和负担合规成本之间的平衡,避免较高的合规成本成为其创新发展的阻碍。
对外经贸大学数字经济与法律创新研究中心执行主任许可认为,下一步相关部门需要进一步划分大型和小型个人信息处理者标准,在降低要求、豁免部分责任等方面对小型个人信息处理者作出专门规则设计,这为制定个人信息保护法相关配套性立法留足了空间。
个人信息保护法设立个人信息可携权,对大型平台的“数据垄断”现象亮剑。许可表示,个人信息可携权代表着用户有权依照自己意愿将其个人数据从一个平台转移到另一个平台。从个人权益的角度出发,在某些场景下个人信息可携带是必需的,例如医疗健康、教育等行业,数据和信息的合理、有序流动为普通民众带来了便捷。
杨婕也指出,当前,具有先发市场地位的大型平台通过在市场早期积累的大量用户个人信息,逐步形成了不可撼动的行业地位。可携权的设立,强化了用户自主权,能够有效破除个人信息流通障碍,以用户权益为出发点,形成“用户主导型”个人信息跨平台流通,起到防止个人信息锁定、降低市场准入门槛以及增强平台之间竞争的效果。
保障数字经济长远发展利益
在业内专家看来,个人信息保护法的出台将促进信息数据依法合理有效利用,为数字经济健康发展提供法律保障。
“过去几十年,国际上诸多国家纷纷探索个人信息保护制度,并相继完成个人信息保护相关立法,我国虽早已发布关于个人信息安全保护的多项规范性文件及国家标准,并组织开展违法违规行为的专项打击活动,但由于缺乏具有强威慑力的顶层法律制度,个人信息安全乱象屡禁不止,由此对我国数字技术和产业发展造成的风险也逐渐加剧。”刘权说。
中国法学会法治研究所研究员刘金瑞表示,个人信息保护法的颁行实施和有关配套规定的制定落地,必将有力推动我国形成完备的个人信息保护制度体系,进而在保障个人信息权益的基础上,促进信息数据依法合理有效利用,推动我国数字经济持续健康发展。
刘权也表示,个人信息保护法为我国数字技术在法律规定的框架内快速发展创造了条件,为数字产业平稳发展提供了良好的社会环境。同时,其确立的个人信息处理原则、个人信息处理者责任义务、设立个人信息跨境标准合同机制等方面均与国际立法具有较强兼容性,为全球数据治理贡献了中国解决方案。(作者:郭倩)