《個人信息保護法》是我國第一部個人信息保護方面的專門法律,其頒行將極大地加強我國個人信息保護的法制保障。《個人信息保護法》對個人信息處理規則作出了詳細的規定,包括公眾廣泛關注的“大數據殺熟”問題、“人臉識別”問題,對個人信息跨境提供的規則、個人在個人信息處理活動中的權利、個人信息處理者的義務作出了詳細的規定。
2021年8月20日,第十三屆全國人大常委會第三十次會議審議通過了《中華人民共和國個人信息保護法》(以下稱《個人信息保護法》),它是我國第一部個人信息保護方面的專門法律。《個人信息保護法》的頒行將極大地加強我國個人信息保護的法制保障;它以嚴密的制度、嚴格的標準、嚴厲的責任規範個人信息處理活動,規定了完備的個人在個人信息處理活動中的權利,全方位落實各類組織、個人等個人信息處理者的義務與責任;科學協調個人信息權益保護與個人信息合理利用的關係,建立了權責明確、保護有效、利用規範的個人信息處理規則,從而在保障個人信息權益的基礎上,促進包括個人信息在內的數據信息的自由安全的流動與合理有效的利用,推動數字經濟的健康發展。
科學合理的個人信息處理規則
個人信息處理規則就是處理個人信息如個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除時遵循的規則,包括法律規定的和處理者自己制定的。法律規定的個人信息處理規則,是強制性的。個人信息處理規則既是個人信息處理者的行為規範,也是個人信息權益的保護規範。因此,《個人信息保護法》第二章對個人信息處理規則作出了詳細的規定。
首先,《個人信息保護法》第13條建立了個人信息處理活動的多元化合法性基礎。不僅是取得個人的同意可以作為處理個人信息的合法根據,而且為訂立、履行個人作為一方當事人的合同所必需,按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需,履行法定職責或者法定義務所必需,為應對突發公共衛生事件或者緊急情況下為保護自然人的生命健康和財產安全所必需等,也都可以成為處理個人信息的合法性根據。這樣一來,就很好地協調了個人信息權益的保護與個人信息的合理利用的關係。
其次,詳細規定了告知同意規則,要求個人信息處理者處理個人信息前,必須以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知法律規定的事項,除非法律、行政法規規定應當保密或者不需要告知,或者告知將妨礙國家機關履行法定職責。如果個人信息處理者是基於個人同意而處理個人信息的,那麼個人的同意必須是個人在充分知情的前提下自願、明確的作出,個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由,拒絕提供產品或者服務。
再次,就所謂的“大數據殺熟”問題,《個人信息保護法》第24條規定,個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。通過自動化決策方式向個人進行信息推送、商業營銷,應當同時提供不針對其個人特徵的選項,或者向個人提供拒絕的方式。通過自動化決策方式作出對個人權益有重大影響的決定,個人有權要求個人信息處理者予以說明,並有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。
第四,針對社會公眾廣泛關注的“人臉識別”問題,《個人信息保護法》第26條規定,在公共場所安裝圖像採集、個人身份識別設備,應當為維護公共安全所必需,遵守國家有關規定,並設置顯著的提示標識。所收集的個人圖像、身份識別信息只能用於維護公共安全的目的,不得用於其他目的;取得個人單獨同意的除外。這就是說,不是任何主體都有權在公共場所安裝圖像採集、個人身份識別設備,必須是為了維護公共安全並且要符合國家有關規定,同時還要通過設置顯著的提示標識加以告知。對於收集的個人圖像、身份識別信息只能用於特定的目的即維護公共安全,未取得個人單獨同意的,不得用於其他目的。
最後,對敏感個人信息進行了更嚴格的保護。敏感個人信息,是一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。《個人信息保護法》規定,處理者只有在具有特定的目的和充分的必要性,並採取嚴格保護措施的情形下,才能處理敏感個人信息。並且,處理敏感個人信息應當取得個人的單獨同意。此外,為了更好保護未成年人的個人信息權益,《個人信息保護法》將不滿十四周歲未成年人個人信息作為敏感個人信息要求,要求處理者只有在取得未成年人的父母或者其他監護人的同意后才能處理,並且還要制定專門的個人信息處理規則。
安全與自由兼具的
個人信息跨境提供規則
個人信息跨境提供,是指一國境內的個人信息或個人數據流出境內,為他國的公權力機關或民事主體所讀取、收集、存儲、加工、使用等。網絡科技已經打破了物理上的國境限制,隨着網絡科技高速發展與經濟的全球化,各國間無時無刻不在進行着人員往來、貨物流動、服務提供,雲計算、物聯網和跨境電子商務的飛速發展,使得包括個人數據在內的數據流動越來越頻繁,也越來越重要。數據的跨境流動在全球蓬勃發展的數字經濟中發揮着越來越重要的作用。然而,數據的跨境流動也帶來了很多的問題,如不利於保護本國境內個人的權利,重要數據出境會危害國家安全,有礙本國數字經濟的發展等。為了既保護個人信息的安全,同時又能實現個人信息數據的自由跨境流動,促進數字經濟的發展,我國《個人信息保護法》對個人信息跨境提供的規則作出了如下規定。
首先,為了實現個人信息的自由跨境流動,《個人信息保護法》允許處理者因業務等需要向境外提供個人信息,並且提供了多種可供選擇的條件,如按照國家網信部門的規定經專業機構進行個人信息保護認證,按照國家網信部門制定的標準合同與境外接收方訂立合同等。但是,為了保護個人信息安全,明確規定,關鍵信息基礎設施運營者以及處理個人信息達到國家網信部門規定數量的個人信息處理者,均應將在我國境內收集和產生的個人信息存儲在境內。如果確需向境外提供個人信息的,應當通過國家網信部門組織的安全評估。此外,所有的向境外提供個人信息的處理者應當採取必要措施,保障境外接收方處理個人信息的活動達到我國《個人信息保護法》規定的個人信息保護標準。
其次,為了將來我國和其他國家締結的條約或者參加的國際條約、協定等對跨境提供個人信息作出相應的安排,《個人信息保護法》第38條第2款規定,中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個人信息的條件等有規定的,可以按照其規定執行。例如,2020年11月15日,東盟十國與我國、日本、韓國、澳大利亞、新西蘭共15個國家正式簽署了《區域全面經濟夥伴關係協定》(RCEP),該協定第十二章“電子商務”中,要求締約方為電子商務創造有利環境,保護電子商務用戶的個人信息,為在線消費者提供保護,並針對非應邀商業電子信息加強監管和合作等。
最後,為了保障個人權利,防止個人信息跨境提供損害個人權利和自由,《個人信息保護法》規定,個人信息處理者向我國境外提供個人信息的,應當向個人告知境外接收方的名稱或者姓名、聯繫方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規定權利的方式等事項,並取得個人的單獨同意。
詳細規定
個人在個人信息處理活動中的權利
《個人信息保護法》第四章對“個人在個人信息處理活動中的權利”作出了詳細的規定。之所以採取“個人在個人信息處理活動中的權利”這一名稱,是為了強調這些權利的主體是作為信息主體的個人,這些權利指向的義務人是個人信息處理者,並非其他主體。此外,也表明個人是在個人信息處理活動中才享有這些權利的。個人在個人信息處理活動中的權利屬於手段性權利或救濟性權利,目的在於保護自然人的個人信息權益。我國《個人信息保護法》立足於我國個人信息保護實踐的要求,吸收借鑒比較法上的優秀成果,對個人在個人信息處理活動中的權利作出了系統全面的規定。該法規定的個人在個人信息處理活動中享有的權利包括:對個人信息處理的知情權與決定權、查閱複製權、可攜帶權、更正補充權、刪除權、解釋說明權等。
需要注意的是,首先,《個人信息保護法》明確承認了可攜帶權,即該法第45條第3款規定,個人請求將個人信息轉移至其指定的個人信息處理者,符合國家網信部門規定條件的,個人信息處理者應當提供轉移的途徑。可攜帶權是由歐盟《一般數據保護條例》首次規定的一種新型的數據主體權利。可攜帶權有利於加強個人對其個人信息的控制,可以很好預防和制止平台經濟領域內的壟斷行為,保護市場公平競爭,促進平台經濟規範有序創新健康發展,維護消費者利益和社會公共利益。故此,我國《個人信息保護法》承認了可攜帶權,但是對該權利的具體行使條件作出了限定,授權國家網信部門作出具體的規定。
其次,《個人信息保護法》第49條規定,自然人死亡的,其近親屬為了自身的合法、正當利益,可以對死者的相關個人信息行使本章規定的查閱、複製、更正、刪除等權利;死者生前另有安排的除外。這是對死者個人信息保護的規定。在《民法典》第994條已經明確保護死者的姓名、肖像、名譽、榮譽、隱私等的情形下,《個人信息保護法》承認一定條件下死者的近親屬可以針對死者的相關個人信息行使查閱、複製、更正、刪除等權利,既有利於更好維護死者近親屬自身的合法、正當利益,也有利於尊重死者的遺願並保護死者本人及其交往者的隱私和通信秘密。
嚴格完整的
個人信息處理者的義務體系
為了加強個人信息權益保護,貫徹落實合法原則與責任原則,我國《個人信息保護法》專章對個人信息處理者的義務作出了詳細的規定,並構建了一個嚴格完整的處理者的義務體系。
首先,明確了個人信息處理者的基本義務,即個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人的影響、可能存在的安全風險等,採取相應的措施確保個人信息處理活動符合法律、行政法規的規定,並防止未經授權的訪問以及個人信息泄露、篡改、丟失。該條列舉了個人信息處理者應當採取的五種具體的措施。
其次,要求處理個人信息達到國家網信部門規定數量的個人信息處理者必須指定個人信息保護負責人制度,監督個人信息處理活動以及採取的保護措施,進一步確保個人信息處理活動的合法性與個人信息的安全性。如果是必須適用《個人信息保護法》的我國境外的個人信息處理者,也應當在我國境內設立專門機構或者指定代表,負責處理個人信息保護相關事務,並將有關機構的名稱或者代表的姓名、聯繫方式等報送履行個人信息保護職責的部門。
再次,規定了個人信息處理者的定期合規審計義務,使個人信息處理者能夠持續保證個人信息處理活動符合法律、行政法規,並且有能力向監管部門舉證證明。
第四,從事前、事中和事後三個維度規定了個人信息處理者的保護個人信息安全的義務。一方面,針對高風險的個人信息處理活動,要求個人信息處理者在事前進行個人信息保護影響評估,並對處理情況進行記錄;另一方面,一旦發生個人信息泄露,要求個人信息處理者立即採取補救措施並通知監管機構和個人。
最後,對特定的個人信息處理者即提供重要互聯網平台服務、用戶數量巨大、業務類型複雜的個人信息處理者確立了所謂的“守門人義務”,要求其除了履行一般的個人信息處理者的義務外,還必須按照國家規定建立健全個人信息保護合規制度體系,成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督;遵循公開、公平、公正的原則,制定平台規則,明確平台內產品或者服務提供者處理個人信息的規範和保護個人信息的義務;對嚴重違反法律、行政法規處理個人信息的平台內的產品或者服務提供者,停止提供服務;定期發布個人信息保護社會責任報告,接受社會監督。
(作者為清華大學法學院副院長、教授、博士生導師)