《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)自2021年年11月1日起施行以来,迄今已满三周年。《个人信息保护法》是我国第一部个人信息保护的专门性法律,开启了依法全面保护个人信息的新时代。回顾过去的三年,我国在个人信息保护方面的工作,可谓一步一个台阶,配套规定逐步完善,法网越织越密,基本形成了我国个人信息保护的四粱八柱。
2024年1月1日实施的《未成年人网络保护条例》明确规定,个人信息处理者对其工作人员应当以最小授权为原则,严格设定信息访问权限,控制未成年人个人信息知悉范围。工作人员访问未成年人个人信息的,应当经过相关负责人或者其授权的管理人员审批,记录访问情况,并采取技术措施,避免违法处理未成年人个人信息。该条例要求,个人信息处理者应当自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计,并将审计情况及时报告网信等部门。
2024年9月,国务院公布的《网络数据安全管理条例》第三章专章设置了“个人信息保护”,明确要求: “网络数据处理者在处理个人信息前,通过制定个人信息处理规则的方式依法向个人告知的,个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、清晰易懂,包括但不限于下列内容:网络数据处理者的名称或者姓名和联系方式;处理个人信息的目的、方式、种类,处理敏感个人信息的必要性以及对个人权益的影响;个人信息保存期限和到期后的处理方式,保存期限难以确定的,应当明确保存期限的确定方法;个人查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意的方法和途径等。同时,要向个人告知收集和向其他网络数据处理者提供个人信息的目的、方式、种类以及网络数据接收方信息的,应当以清单等形式予以列明。网络数据处理者处理不满十四周岁未成年人个人信息的,还应当制定专门的个人信息处理规则。
当前,个人信息保护案件涉诉信息类型较为丰富,根据北京互联网法院通报的涉个人信息及数据相关案件审理情况,个人信息保护案件既包含基础个人信息,如手机号、身份证号等,也有因人工智能技术引发的“AI换脸”等新类型侵权案件,还包括多种衍生信息,亦包括大量法律未明确列举的个人信息,如电子商务平台上形成的用户订单交易详情、客服沟通记录等。这反映出,个人信息与企业的衍生数据相互交织,呈现复杂化的状态和趋势。与此同时,从侵权形态来看,涉及侵害个人信息的知情权与决定权的案件最多,主要侵权形式为未经同意收集、公开、提供个人信息,或超范围收集个人信息。
《个人信息保护法》是社会关注度极高的一部法律,该部法律总体上坚持了“以人民为中心”的法治理念,突出了国家尊重和保障人权的宪法原则,规范了个人信息处理的规则,强化了对个人敏感信息的保护,充分保障了个人信息权益的行使,强化个人信息处理者的义务等,抓住了当前个人信息保护的主要矛盾和平衡点,是我国个人信息保护领域的一部重要基础性法律。
在学习和贯彻《个人信息保护法》的过程中,建议关注十大法律亮点:
一是我国个人信息保护法立足“保护”和“利用”同步推进。《个人信息保护法》第一条规定:“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。”事实上,“规范个人信息处理活动”处于整个《个人信息保护法》的核心地位,只有夯实“规范个人信息处理活动”这个关键环节,才能确保实现保护个人信息权益和促进个人信息合理利用之目的。《个人信息保护法》的立法宗旨,是在确保个人信息安全的前提下,依法促进个人信息的合理利用,“保护”个人信息和“促进”合理利用要同步推进。
二是“个人信息”的定义体现了“保护”与“利用”的并重。《个人信息保护法》第四条第一款将“个人信息”定义为:“个人信息是 《个人信息保护法》的上述定义与《民法典》、《网络安全法》中的“个人信息”最大的不同在于,《个人信息保护法》的定义增加了“不包括匿名化处理后的信息”的除外规定,即明确了“个人信息”经匿名化处理后不属于个人信息,无须适用《个人信息保护法》的相关规定,体现了“保护”与“利用”的并重。
三是确立我国个人信息处理的基本原则。《个人信息保护法》确立的处理个人信息的重要法律原则包括:遵循合法、正当、必要和诚信原则;采取对个人权益影响最小的方式,限于实现处理目的的最小范围原则;处理个人信息应当遵循公开、透明原则;处理个人信息应当保证个人信息质量原则;采取必要措施确保个人信息安全原则等。《个人信息保护法》总则部分中的两个“最小原则”,是个人信息处理应遵循的核心原则。《个人信息保护法》第六条规定:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”
四是确立了“告知-知情-同意”的个人信息处理规则。《个人信息保护法》不仅是确立了以“告知-同意”的个人信息处理规则,而且构建了以“告知-知情-同意”为核心的个人信息处理规则体系。个人信息处理者“告知”的目的是为了确保被告知者的充分“知情”,只有被告知者在充分知情的前提下才能自愿、明确地作出决定。《个人信息保护法》第十四条明确规定:“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。”我国《网络数据安全管理条例》进一步明确了网络数据处理者基于个人同意处理个人信息,应当遵守的六项规定:1.收集个人信息为提供产品或者服务所必需,不得超范围收集个人信息,不得通过误导、欺诈、胁迫等方式取得个人同意;2.处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息的,应当取得个人的单独同意;3.处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意;4.不得超出个人同意的个人信息处理目的、方式、种类、保存期限处理个人信息;5.不得在个人明确表示不同意处理其个人信息后,频繁征求同意;6个人信息的处理目的、方式、种类发生变更的,应当重新取得个人同意。
五是确立了敏感个人信息的认定与保护规则。《个人信息保护法》没有对自然人的隐私信息做出专门规定,而是将个人信息分为敏感信息和非敏感信息,并设专节设置了“敏感个人信息的处理规则”。《个人信息保护法》第二十八条给出了“敏感个人信息”的定义,即“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”《个人信息保护法》对处理敏感个人信息作出了严格的限制性规定,即在履行“告知-知情-同意”原则的基础上,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。特别是处理敏感个人信息应当取得个人的单独同意。
六是明确了个人信息处理者应当履行“个人信息保护影响评估”和“遵守法律、行政法规的情况进行合规审计”的义务。《个人信息保护法》第五十五条规定,有下列五种情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:处理敏感个人信息;利用个人信息进行自动化决策;委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;向境外提供个人信息;其他对个人权益有重大影响的个人信息处理活动。《个人信息保护法》第五十四条明确了个人信息合规审计,即“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”。《网络数据安全管理条例》进一步规定,网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计。《未成年人网络保护条例》专门就个人信息合规审计作出规定:个人信息处理者应当自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计,并将审计情况及时报告网信等部门。
七是明确个人信息跨境提供规则。《个人信息保护法》第三十八条明确了个人信息跨境提供的基本规则,即个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备以下四项条件之一:一是依照《个人信息保护法》第四十条的规定通过国家网信部门组织的安全评估;二是按照国家网信部门的规定经专业机构进行个人信息保护认证;三是按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;四是法律、行政法规或者国家网信部门规定的其他条件。
八是明确个人在个人信息处理活动中的七项基本权利。《个人信息保护法》构建了个人在个人信息处理活动中的七项权利:一是知情同意权,收集和使用公民个人信息必须遵循合法、正当、必要原则,且目的必须明确并经用户的知情同意;二是决定权,有权限制、拒绝或撤回他人对其个人信息的处理;三是查阅复制权,个人有权向个人信息处理者查阅、复制其个人信息;四是个人信息可携带权,个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径;五是更正补充权,个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充;六是删除权,在五种情形下,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:1)处理目的已实现、无法实现或者为实现处理目的不再必要,2)个人信息处理者停止提供产品或者服务,或者保存期限已届满,3)个人撤回同意,4)个人信息处理者违反法律、行政法规或者违反约定处理个人信息,5)法律、行政法规规定的其他情形;七是规则解释权,个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。
九是强调重要互联网平台的“守门人”责任。鉴于重要互联网平台掌握海量用户数据,一旦发生信息泄露或滥用,可能导致严重后果,《个人信息保护法》专门要求其履行“守门人”角色,并承担更多责任,主要包括:1)应按照国家规定建立健全个人信息保护合规制度体系;2)成立主要由外部成员组成的独立机构进行监督;3)遵循公开、公平、公正的原则制定平台规则;4)对严重违法处理个人信息的平台内产品或服务提供者停止提供服务;5)定期发布个人信息保护社会责任报告并接受社会监督等。
十是确立个人信息处理者侵权责任的过错推定。《个人信息保护法》第六十九条规定:“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。”“个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任”。这是一项“过错推定”原则,即在个人信息处理者不能证明其没有过错的情况下,就推定其有过错,应承担赔偿损害责任。
(作者系南京邮电大学教授、浙江大学双聘教授、中国科协决策咨询首席专家、工业和信息化部ICT经济专家委员会委员)
文章来源:人民邮电报 文章作者:王春晖https://rmydb.cnii.com.cn/rmydb/html/2024/20241115/20241115_003/20241115_003_01_635.html
