□ 文|劉芷君
習(xí)近平總書記在中共中央政治局第三十四次集體學(xué)習(xí)時指出,“要完善數(shù)字經(jīng)濟治理體系,健全法律法規(guī)和政策制度,完善體制機制,提高我國數(shù)字經(jīng)濟治理體系和治理能力現(xiàn)代化水平?!贝髷?shù)據(jù)、人工智能、物聯(lián)網(wǎng)等數(shù)字經(jīng)濟新技術(shù)、新業(yè)態(tài)的發(fā)展和應(yīng)用在給人們的生活帶來便利的同時,也使人們面臨嚴(yán)峻的個人信息泄露、濫用等安全風(fēng)險,個人信息保護已成為廣大人民群眾最關(guān)心、最直接、最現(xiàn)實的利益問題之一。個人信息保護立法是筑牢個人信息保護堤壩,推進數(shù)字經(jīng)濟法治建設(shè)的重要一步。
2021年8月20日,《中華人民共和國個人信息保護法》(以下簡稱“《個人信息保護法》”)經(jīng)十三屆全國人大常委會第三十次會議表決通過,于2021年11月1日起正式施行,從此我國個人信息保護領(lǐng)域有了第一部綜合性的專門立法,開啟了個人信息保護新紀(jì)元。
《個人信息保護法》與《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》共同構(gòu)筑了我國網(wǎng)絡(luò)與數(shù)據(jù)安全領(lǐng)域的法律根基,是我國數(shù)字經(jīng)濟法律體系的重要組成部分,具有里程碑意義。
《個人信息保護法》第一條明確該法立法目的是“保護個人信息權(quán)益,規(guī)范個人信息處理活動,促進個人信息合理利用”,并且明確該法“根據(jù)憲法”制定,意義重大。我國憲法明確規(guī)定,“國家尊重和保障人權(quán)”“公民的人格尊嚴(yán)不受侵犯”“公民的通信自由和通信秘密受法律的保護”?!秱€人信息保護法》將憲法作為個人信息保護立法依據(jù)和根本遵循,將個人信息受法律保護的權(quán)利上升到憲法規(guī)定的公民基本權(quán)利層面,意味著個人信息保護的法律地位被提升到前所未有的高度。
信息化、數(shù)字化、智能化時代,人們在享受數(shù)字經(jīng)濟紅利的同時也面臨著一系列安全挑戰(zhàn),個人信息被過度索取、個人信息泄露、大數(shù)據(jù)殺熟等現(xiàn)象時有發(fā)生,對人民群眾的個人信息權(quán)益造成嚴(yán)重威脅。《個人信息保護法》關(guān)注與廣大人民群眾日常生活密切相關(guān)的個人信息處理場景,明確個人信息處理規(guī)則,設(shè)置個人信息處理中的權(quán)利和義務(wù),規(guī)定有力的法律責(zé)任,回應(yīng)了廣大人民群眾的基本關(guān)切,使人民群眾享受數(shù)字經(jīng)濟紅利的同時感受到安全感。
通過立法推動個人信息和隱私保護已經(jīng)成為數(shù)字時代的全球趨勢,我國出臺個人信息領(lǐng)域的專門立法,順應(yīng)了全球立法趨勢,《個人信息保護法》所規(guī)定的個人信息處理基本原則及相關(guān)規(guī)則,以及個人在個人信息處理活動中的若干權(quán)利等一定程度上借鑒了國外先進的立法經(jīng)驗,同時根據(jù)我國國情和發(fā)展階段進行了變通和優(yōu)化,體現(xiàn)出“中國特色”。此外,《個人信息保護法》第十二條明確“國家積極推動與其他國家、地區(qū)、國際組織之間的個人信息保護規(guī)則、標(biāo)準(zhǔn)等互認(rèn)”,也體現(xiàn)出我國個人信息保護的開放態(tài)度,以及為個人信息保護全球規(guī)則制定貢獻“中國方案”的決心。
《個人信息保護法》明確個人信息處理的原則和規(guī)則,綜合采取安全評估、認(rèn)證、標(biāo)準(zhǔn)合同等機制和路徑確保個人信息出境安全,賦予個人在個人信息處理活動中的系列權(quán)利,明確個人信息處理者的個人信息保護義務(wù),對個人信息處理活動進行全面規(guī)范。
《個人信息保護法》在總則明確了個人信息處理的各環(huán)節(jié),包括“個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除”等,將各類數(shù)據(jù)處理行為納入法律規(guī)制范圍,還提出了個人信息處理應(yīng)當(dāng)遵循的原則,總結(jié)起來包括合法、正當(dāng)、必要和誠信原則、明確性和相關(guān)性原則、公開透明原則、準(zhǔn)確性和完整性原則等。
《個人信息保護法》在個人信息處理的規(guī)則方面進行了一般規(guī)定和特別規(guī)定相結(jié)合的規(guī)范。在一般規(guī)定中,《個人信息保護法》構(gòu)建了以“告知-同意”為基礎(chǔ)的個人信息處理規(guī)則,還明確了個人同意之外的個人信息處理的合法性基礎(chǔ),在保護個人信息的同時平衡公共利益,最大程度提升個人信息處理效率。此外,還對取得個人同意的方式和效果進行了規(guī)定,賦予個人撤回同意的權(quán)利,對緊急情況下處理個人信息、共同處理個人信息、委托處理個人信息、轉(zhuǎn)移個人信息、利用個人信息進行自動化決策、公共場所采集個人圖像或身份識別信息等個人信息處理情形進行了專門規(guī)定,對現(xiàn)實生活中社會反映強烈的一攬子授權(quán)、強制同意、大數(shù)據(jù)殺熟、數(shù)據(jù)濫用等問題進行了回應(yīng)。
除了一般規(guī)定,《個人信息保護法》對敏感個人信息處理和國家機關(guān)處理個人信息的規(guī)則進行了特別規(guī)定。敏感個人信息處理方面,明確了敏感個人信息的概念和范疇,對敏感個人信息處理進行更嚴(yán)格規(guī)范。在國家機關(guān)處理個人信息方面,主要強調(diào)了國家機關(guān)應(yīng)當(dāng)合法合規(guī)地處理個人信息,國家機關(guān)處理的個人信息在境內(nèi)存儲,確需向境外提供應(yīng)進行安全評估。
對于因業(yè)務(wù)等需要確需向境外提供個人信息的情形,《個人信息保護法》提出了安全評估、個人信息保護認(rèn)證、標(biāo)準(zhǔn)合同等多元化管理路徑,還可按照我國締結(jié)或參加的國際條約和協(xié)定的規(guī)定執(zhí)行。關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理個人信息達到網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者確需向境外提供個人信息的需要通過安全評估路徑出境。2021年10月29日,國家互聯(lián)網(wǎng)信息辦公室發(fā)布《數(shù)據(jù)出境安全評估辦法(征求意見稿)》,列出了應(yīng)當(dāng)進行安全評估的個人信息出境情形,并明確了評估流程、申報材料、重點評估內(nèi)容等,為個人信息出境安全評估提供了具體規(guī)則指引,是建立個人信息出境規(guī)則體系的重要一步??梢灶A(yù)見,除了安全評估,個人信息保護認(rèn)證、標(biāo)準(zhǔn)合同等方面的具體規(guī)則將繼續(xù)研究出臺,我國個人信息出境安全保護體系將持續(xù)完善。
此外,《個人信息保護法》還明確了限制或禁止向境外提供個人信息的情形:一是非經(jīng)我國主管機關(guān)批準(zhǔn),不得向外國有關(guān)司法、執(zhí)法機構(gòu)提供存儲于境內(nèi)的個人信息;二是限制或禁止向被列入限制或禁止個人信息提供清單的境外組織和個人提供個人信息;三是針對其他國家或地區(qū)在個人信息保護方面對我國采取歧視性的禁止、限制等措施的,我國可以采取對等措施。
《個人信息保護法》充分賦予了個人在個人信息處理活動中享有的權(quán)利,為個人維護其合法個人信息權(quán)益、權(quán)益受侵害后尋求司法救助奠定堅實的法律基礎(chǔ)。具體而言,個人對其個人信息的處理享有的權(quán)利包括知情權(quán)、決定權(quán)、查閱和復(fù)制權(quán)、個人信息攜帶權(quán)、請求個人信息處理者更正、補充個人信息的權(quán)利、特定情形下個人信息刪除請求權(quán)、要求個人信息處理者解釋說明處理規(guī)則的權(quán)利等,個人信息處理者應(yīng)當(dāng)為個人行使權(quán)利提供便捷的申請受理和處理機制。此外,還特別明確了死者的部分權(quán)利可以由近親屬行使。
《個人信息保護法》明確了個人信息處理者的義務(wù),包括采取相關(guān)的管理和技術(shù)措施、指定個人信息保護負(fù)責(zé)人(處理規(guī)定數(shù)量個人信息的個人信息處理者履行)、在我國境內(nèi)設(shè)立專門機構(gòu)或指定代表負(fù)責(zé)處理個人信息保護相關(guān)事務(wù)(符合法定情形的境外個人信息處理者履行)、定期進行合規(guī)審計、法定情形下事先進行個人信息保護影響評估、在發(fā)生或可能發(fā)生個人信息泄露、篡改、丟失的情形下采取補救措施并通知相關(guān)部門和個人等。對于提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者還應(yīng)履行成立獨立監(jiān)督機構(gòu)、制定平臺規(guī)則、定期發(fā)布個人信息保護社會責(zé)任報告等義務(wù)。
《個人信息保護法》為我國個人信息保護奠定了堅實法律基礎(chǔ)。在《個人信息保護法》搭建的法治框架下,我國個人信息保護體系將不斷健全完善,個人信息保護工作將邁入嶄新階段。
在上位法搭建的法律框架內(nèi),個人信息保護具體規(guī)則和標(biāo)準(zhǔn)將陸續(xù)出臺,現(xiàn)有標(biāo)準(zhǔn)規(guī)范將持續(xù)修改完善,個人信息出境安全管理等制度規(guī)則將進一步細(xì)化,針對小型個人信息處理者、敏感個人信息處理及人臉識別、人工智能等新技術(shù)、新應(yīng)用的專門個人信息保護規(guī)則標(biāo)準(zhǔn)將制定出臺,為個人信息保護工作提供具體指引。
《個人信息保護法》給個人信息處理者設(shè)置了更嚴(yán)格的個人信息保護義務(wù),提出了更高的個人信息保護要求,企業(yè)作為重要的個人信息處理者,將加大合規(guī)投入力度,全方位部署個人信息保護的管理、技術(shù)手段,依法進行個人信息保護相關(guān)評估和認(rèn)證,強化從業(yè)者個人信息保護教育培訓(xùn),建立健全個人信息保護合規(guī)制度體系。
《個人信息保護法》明確推進網(wǎng)絡(luò)身份認(rèn)證公共服務(wù)建設(shè)和個人信息保護社會化服務(wù)體系建設(shè)。相關(guān)專業(yè)技術(shù)機構(gòu)、企業(yè)、高校等機構(gòu)將研究開發(fā)和推廣應(yīng)用安全、方便的電子身份認(rèn)證技術(shù),積極開展個人信息保護評估、認(rèn)證服務(wù),不斷提升個人信息保護服務(wù)能力,形成多方參與的個人信息保護社會服務(wù)體系。
《個人信息保護法》明確要求國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門完善個人信息保護投訴、舉報工作機制,公布接受投訴、舉報的聯(lián)系方式。此外,《個人信息保護法》正式將個人信息保護納入檢察公益訴訟領(lǐng)域??梢?,公民個人信息權(quán)益受到侵害后的投訴舉報和司法救助的渠道將更加暢通,個人信息權(quán)益將得到切實保障。
《個人信息保護法》奠定了我國個人信息保護法治根基,搭建了我國個人信息保護制度框架,開啟了我國個人信息保護工作的新階段。在新階段,應(yīng)持續(xù)完善個人信息保護法律體系,構(gòu)建統(tǒng)籌協(xié)調(diào)的個人信息保護工作機制,建立健全個人信息保護制度,加強個人信息保護宣傳教育,推動形成政府、企業(yè)、公眾多方參與、共同維護的良好個人信息保護環(huán)境,持續(xù)護航數(shù)字經(jīng)濟健康發(fā)展。