十三届全国人大常委会第三十次会议日前通过了《中华人民共和国个人信息保护法》(以下简称《个信法》),在《民法典》《网络安全法》《消费者权益保护法》等法律基础上,为个人信息保护提供了更具系统性、针对性和可操作性的法律遵循。作为信息化时代的标志性立法成果,《个信法》既注重保护个人信息权益,规范个人信息处理活动,也充分体现发展理念,促进个人信息合理利用,集中展示了个人信息保护法治的中国方案,必将对信息经济社会生活和国家治理产生深远影响。
进入信息化社会,人们在体验各种便利的同时,面临的信息过度采集、非法买卖、擅自公开、盗取泄露的风险也不断凸显。滥用人脸识别等信息技术、不合理应用自动化决策等新情况屡屡成为舆论焦点。在信息数据已经成为资本、技术以外的新型战略资源和竞争优势的背景下,数字经济活动急需系统的法律规则指引。随着信息产业应用全球化发展,个人信息跨境流动日益成为各国政府监管的重点。加强个人信息保护法治建设,既是尊重和保护人权,维护和实现人民群众个人信息权益的必然要求,也是明确信息处理边界和合规预期,实现数字经济健康长远发展的现实需要。
《个信法》坚持问题导向,充分吸收国际成功立法经验,立足中国国情,对个人信息的收集、存储、使用、加工、传输、提供、公开、删除等处理活动全流程作出制度设计;针对关键基础设施运营者、处理个人信息达到国家网信部门规定数量的个人信息处理者,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,以及国家机关等特殊主体规定了专门的管理要求。
《个信法》规定和发展了个人信息权益内容,在进一步确认个人信息知情权、决定权、查阅权、复制权、更正权、补充权的同时,还丰富了删除权的场景和创设了个人信息的可携带权。如果个人撤回同意,或者个人处理目的已实现、无法实现或者为实现处理目的不再必要,停止提供产品或者服务,或者保存期限已届满,以及违反法律、行政法规或者违反约定处理个人信息,个人信息处理者应当主动删除个人信息。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。
《个信法》细化了个人信息处理的基本要求,拓展了包括同意规则在内的合法性基础场景。基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。对于自动化决策、公共场所等特殊场景下的信息处理活动,进一步严格了管理要求。利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。
《个信法》加强了敏感个人信息的保护,对包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息,规定了更严格的处理要求。这些信息一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。而且,处理敏感个人信息应当取得个人的单独同意。
《个信法》对个人信息向中国境外提供的条件作了严格规定,并从不得降低个人信息保护标准的角度,要求个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到该法规定的个人信息保护标准。此外,也结合当前国际形势,就双边多边便利性安排作了衔接性规定,对境外侵害性活动、歧视性措施宣示和授权了反制措施。
除了权利、义务规则的设计,《个信法》也对法律责任作出严格规定,规定了严重违法的巨额罚款制度、损害赔偿的过错责任推定原则,并为公益诉讼提供了法律依据。
法律的生命在于实施。《个信法》的出台,只是个人信息保护法治建设的新起点。科学的立法,还需要未来严格的执法、公正的司法、积极的合规共同作用,才能让真正把广大人民群众个人信息权益实现好、维护好。
(作者为中国社会科学院文化法制研究中心研究员)