人民网
人民网>>IT

“数·智观察”个人信息保护系列之一

增强顶层设计 我国个人信息保护立法步稳蹄疾

申佳平
2020年12月23日09:35 | 来源:人民网-IT频道
小字号

编者按:

在信息化时代,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。今年以来,有关部门“组合拳”频出,推进相关法律法规建设,加快行业乱象整治行动,为个人隐私和信息安全不断筑牢保护屏障。即日起,人民网IT频道推出“数·智观察”个人信息保护系列,结合今年以来个人信息保护领域的热点、要点,阐述我们在个人信息保护领域取得的进展和面临的挑战。

垃圾短信狂轰乱炸、明星航班信息“黑产”肆虐、APP账户注销“难比登天”……身处网络时代,以让渡个人信息获取生活便利让个人隐私遭受威胁,个人信息保护已成为广大群众的利益关切和当务之急。

近年来,有关部门高度重视网络空间法治建设,顶层设计不断加强。2020年,更是我国个人信息保护制度建设的关键之年:

5月,全国人大表决通过《中华人民共和国民法典》,明确个人信息受法律保护;7月、10月,备受期待的《中华人民共和国数据安全法(草案)》《个人信息保护法(草案)》陆续出台,目前均已完成公开征求意见。

作为我国第一部个人信息保护方面的专门法律,《个人信息保护法(草案)》(下称《草案》)可谓“千呼万唤始出来”。多位专家、学者、律师在接受人民网记者专访时表示,个人信息保护法位阶高、内容全、重前瞻,通过立法建立权责明确、保护有效、利用规范的制度规则,将进一步平衡多方主体利益,维护网络空间良好生态。

位阶高:给个人信息安装“安全阀”

“即将出台的个人信息保护法是全国人大常委会制定的法律,是所有行业都必须遵守的高位阶、强制性规定,法律要求明确、具体,可操作性强。”北京高勤律师事务所合伙人王源在接受人民网记者专访时表示。

我国有9亿互联网用户、超过400万个互联网网站、超过300万个应用程序……10月,工业和信息化部新闻发言人、信息通信发展司司长闻库在国新办发布会上表示,“十三五”时期,我国数字经济实现了跨越式发展。2019年数字经济总量超过35万亿元,占GDP比重为36.2%,对GDP增长贡献率为67.7%。

“互联网+”日渐融入生活,人民群众的个人信息安全却面临前所未有的巨大威胁。一些企业、机构甚至个人,从商业利益出发,随意收集、违法获取、过度使用、非法买卖个人信息,严重危害人们的生命健康和财产安全。

北京师范大学政府管理学院教授黄国彬告诉记者,一直以来,我国存在处理个人信息不法行为的法律依据较为薄弱的问题,相关规则存在效力级别低、制定主体多、内容较为分散等特点。“这在很大程度上致使不法行为在起诉程序、判定标准、追责效率和罚治力度等方面差强人意。”黄国彬说。

出台一部专门法律,为乱象定分止争,将广大人民群众的个人信息权益实现好、维护好、发展好,可谓势在必行。

近年来,各国民众个人信息保护意识不断觉醒,“用隐私交换便捷和效率”的作法普遍遭到摒弃。在中国电子技术标准化研究院网安中心测评实验室副主任何延哲看来,我国数字经济占比不断升高,要保障经济可持续发展,给个人信息装上“安全阀”很有必要。

王源表示,对内而言,出台个人信息保护法将有利于平衡国家安全和公共利益、企业和组织发展需求、个人权益保护的多方主体利益,完善我国网络空间法治建设,提升网络法律环境。

另外从国际环境来看,目前已有140多个国家和地区制定了个人信息保护方面的法律。全国人大常委会法制工作委员会副主任刘俊臣在关于《草案》作出说明时指出,《草案》充分借鉴有关国际组织和国家、地区的有益做法,建立健全适应我国个人信息保护和数字经济发展的法律制度。

“对外来说,出台个信法能够大幅提高国际社会对于我国网络法律环境的整体认知和评价。”王源说。

内容全:“告知—同意”是核心制度点

《草案》共八章达七十条,对个人信息及其处理作出明确界定,“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、 传输、提供、公开等活动。”

同时,《草案》还确立了最为关键的核心制度点,即以“告知—同意”为核心的个人信息处理系列规则,要求处理个人信息应当在事先充分告知的前提下取得个人同意。

在生活中,经常有人“吐槽”自己在网络购物或下载手机应用时,总遇到“不提供某种信息就无法使用服务”的情况。对此,《草案》也明确规定,“个人信息处理者不得以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。”

“一直以来,个人信息捆绑收集的边界较为模糊,《草案》的这一表述针对解决用户在信息化时代遇到的实际问题,有利于保护用户的知情权和自主选择权,能更好地促进个人信息得到合理利用。”何延哲表示。

值得注意的是,对于种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等“敏感个人信息”,《草案》还开设专节对其处理方法进行了严格限制。“基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。法律、行政法规规定处理敏感个人信息应当取得书面同意,从其规定。”

黄国彬表示,《草案》将敏感个人信息单独作出具体表述,体现了立法者对公民生存权和发展权的高度重视。“对敏感性信息提出增强性要求,也能让一些非敏感类个人信息得到更灵活的处理,这有助于为个人提供更好的服务。”何延哲说。

重前瞻:政务信息采集处理受重视

随着数据要素首次被纳入生产要素,促进个人信息数据的依法合理有效利用愈加关键。如何让法律既“接地气”又“望得远”,极大考验立法者在坚持问题导向和立法前瞻性上的结合能力。

此前有报道称,不法分子偷盗个人手机后,通过“手机号+验证码”弱验证方式获取某政务APP中用户身份证号等个人重要信息,进而申请网贷消费造成用户财产损失。

多位专家向记者表示,利用专节对国家机关处理个人信息进行规定,也是《草案》的一大亮点。“当前一些政府管理部门存在过度收集信息的现象,政务APP的确少有商业变现诉求,但在安全管理、信息收集环节还需要多下功夫,切实强化信息管理措施。”

按照《草案》,“国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度;国家机关不得公开或者向他人提供其处理的个人信息,法律、行政法规另有规定或者取得个人同意的除外。”

社保资料等关键信息与个人利益息息相关,包含最基础、最关键的个人信息。“公权力如何管理好自己手中的个人信息、如何把握处理过程中的原则和限度,非常关键。”何延哲说。

此外,王源表示,《草案》中涉及“利用个人信息进行自动化决策”的相关内容,也充分体现了法律对于用户画像、个性化算法推荐等新技术新应用带来的新问题的前瞻考虑。

她同时强调,“合理收集必要信息才能更好地保护个人信息和隐私,降低企业和组织数据合规风险。以近年来最热的人脸识别技术为例,由于人脸识别具有唯一性、精准性、不易更改,人脸已经成为人们最大的隐私,因此在个人图像采集、个人生物特征信息收集和使用过程中都应该更为审慎,依照个信法及相关国家标准在事前进行风险评估。”

“面对法律约束,相关企业、机构、个人应当提高站位,充分体现以问题为导向,充分评估利弊关系。”何延哲说。黄国彬也表示,相关主体应依法调整和规范自身涉及个人信息处理的业务模式、服务协议和内部规定,成为法律的坚实执行者和守护者。 

相关阅读:

系列之二:政务APP责任重大 个人信息处理亟需增强“敬畏心”

系列之三:个人信息保护意识觉醒 多方发力让信息不再“裸奔”

(责编:申佳平、章斐然)

分享让更多人看到