个人信息保护法的“十大亮点”
2021-11-13程啸
程啸
十三届全国人大常委会第三十次会议表决通过的《中华人民共和国个人信息保护法》,是我国第一部个人信息保护方面的专门法律。该法以保护个人信息权益、规范个人信息处理活动、促进个人信息合理利用为立法目的,对个人信息处理规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门以及法律责任作出了极为系统完备与科学严谨的规定。其中,最引人注意的是以下十大亮点:
亮点一:全方位规范个人信息处理活动
个人信息保护法对个人信息处理活动进行了全方位规范。首先,对个人信息的界定采取了关联说,将其界定为以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息;其次,在民法典列举的个人信息的收集、存储、使用、加工、传输、提供、公开等处理活动类型的基础上,新增了“删除”;再次,无论是国家机关、法律法规授权的具有管理公共事务职能的组织抑或作为营利法人的公司企业,或者非法人组织以及自然人,其实施的个人信息处理活动都适用个人信息保护法,除非法律另有规定。
亮点二:空間适用上以属地管辖为原则,辅之以必要的保护性管辖
为适应互联网的开放性、全球性及数据信息的流动性,充分保护我国境内自然人的个人信息权益,我国个人信息保护法在空间适用范围即域外适用的问题上坚持了属地管辖为原则,辅之以必要的保护性管辖。首先,依据该法第3条第1款,只要在我国境内处理自然人个人信息的活动,无论处理者是组织还是个人,无论是我国的还是外国的组织、个人,都必须适用个人信息保护法;其次,第3条第2款明确规定了三类在我国境外处理我国境内自然人个人信息的活动,即以向境内自然人提供产品或者服务为目的,分析、评估境内自然人的行为以及法律、行政法规规定的其他情形,无论处理者本身是否是我国的组织或个人,都要适用个人信息保护法。
亮点三:个人信息处理活动的多元合法根据
个人信息的处理活动在客观上就是对个人信息权益的侵入或影响,如果没有合法根据,该处理活动就是侵害个人信息权益的行为,属于不法行为。个人信息处理的合法根据有两大类:一是告知并取得个人的同意,这种情形下的个人信息处理活动就是“基于个人同意处理个人信息的”活动,处理行为的合法性来自信息主体即个人的有效同意;二是法定理由,即法律、行政法规规定的情形或理由,此时无需个人的同意即可处理个人信息。就法定理由的范围如何,各国差异很大,我国个人信息保护法的起草中也存在很大的争议。
最终,立法机关在充分考虑了我国的国情,兼顾现实与未来发展基础上,与民法典等法律保持一致,吸收借鉴了比较法上的优秀成果,在个人信息保护法第13条第1款第2项至第7项中,明确规定了六类无需取得个人同意即可处理个人信息的情形,分别是:(1)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(2)为履行法定职责或者法定义务所必需;(3)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(4)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(5)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(6)法律、行政法规规定的其他情形。
亮点四:完备的告知同意规则
我国个人信息保护法始终坚持以“告知同意”为核心构建个人信息的处理规则,利用多个条文对告知同意规则作出了详细规定,具体包括:要求个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知该法所列举的各个事项;严格限制不需要告知的情形;明确了个人的同意应当是由个人在充分知情的前提下自愿、明确作出。同时,如果法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。在基于个人同意处理个人信息的情形中,如果个人信息的处理目的、处理方式和处理的个人信息种类、保存期限发生变更的,应当重新取得个人同意。基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式,处理者不得以个人不同意为由拒绝提供产品或者服务。
漫画《工信部责令1336款APP整改》(朱慧卿 绘)
亮点五:对自动化决策的全面规范
自动化决策,是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。自动化决策是建立在大数据、机器学习、人工智能和算法等基础之上的,其通过大数据技术对海量的用户进行持续追踪和信息采集,然后遵循特定的规则处理所收集的个人信息,对用户进行数字画像和相应的决策。
我国个人信息保护法第24条在综合采取算法透明化与个人赋权两种观点的基础上,对利用个人信息进行自动化决策进行了全面规范。首先,要求个人信息处理者利用个人信息进行自动化决策时,必须保证决策的透明度和结果的公平和公正,尤其是不得对个人在交易价格等交易条件上实行不合理的差别待遇;其次,要求个人信息处理者通过自动化决策方式进行信息推送、商业营销时,应当同时提供不针对其个人特征的选项,或者向个人提供拒绝的方式;最后,赋予个人要求处理者予以说明的权利和拒绝权,即通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
亮点六:对人脸识别的严格规制
现代网络信息技术尤其是大数据和人工智能技术高速发展,通过在公共场所安装图像采集和个人身份识别设备,可以随时对自然人的脸部特征、指纹信息等生物识别信息以及行踪轨迹等其他个人信息进行处理,其中,最典型也最常见的就是人脸识别技术的运用。近年来,我国人脸识别被滥用的情形时有发生,由此导致社会公众的高度关注。为回应社会关切,个人信息保护法第26条明确规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。这就是说,只有在满足为了维护公共安全、符合国家有关规定、设置了显著提示标识等3个条件的情形下,才可以在公共场所安装图像采集、个人身份识别设备,采集人脸信息、行踪轨迹信息等个人信息。并且要严格限制取得的个人信息的用途,即只能用于维护公共安全。个人信息保护法第62条第2项还明确要求,国家网信部门统筹有关部门依据本法针对人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准。