个人信息保护法保护你我的信息安全
个人信息保护法草案终于揭晓。草案确立了以“知情同意”为核心的个人信息处理规则,即在充分事先通知的前提下取得个人同意,个人有权撤回同意;不要以个人分歧为由拒绝提供产品或服务。此外,草案对非法处理个人信息规定了严格的法律责任。其中一个亮点是增加了违法成本,可以处以5000万元以下或者上一年营业额5%以下的罚款。
不久前,一条新闻“清华大学教授拒绝社区人脸识别门禁”引发热议,也将人们的注意力集中到了个人信息保护这个话题上。随着信息化与经济社会的深度融合,人们越来越享受信息化带来的便利,但也不得不面对个人信息泄露带来的困扰。为此,要求制定个人信息保护法的呼声不绝于耳。
在10月13日开幕的第十三届全国人民代表大会常务委员会第二十二次会议上,个人信息保护法草案终于揭晓。相关专家表示,该草案将形成一个更完整的个人信息保护体系,并提供更强的法律保护。
只有在一千次恳求之后,她才出现
最新数据显示,截至2020年6月,中国互联网用户数量达到9.4亿,相当于全球互联网用户的五分之一,比2020年3月增加3625万。网站数量468万,国内市场监控的应用数量359万。个人信息收集和使用更广泛。
近年来,虽然我国对个人信息的保护力度不断加大,但在现实生活中,一些企业、事业单位甚至个人以商业利益为目的,任意收集、非法获取、过度使用和非法买卖个人信息,利用个人信息扰乱人民生活安宁,危害人民生命健康和财产安全,相关问题十分突出。相关行业专家认为,我国个人信息保护法律体系已经逐步建立,但仍难以适应信息技术快速发展的现实。因此,应在现有法律的基础上制定专门的法律,以增强法律规范的系统性、针对性和可操作性。
中国社会科学院法律研究所研究员周汉华分析说,一方面,个人信息在现实生活中得不到保护的问题日益突出;另一方面,随着信息时代的到来,数字经济发展迅速,信息是一种资源。如何处理个人信息保护与数字经济发展的关系,需要在立法过程中不断平衡。周汉华认为,《个人信息保护法》的颁布经历了一个相对较长的时期,可以用“然而在她开始向我们走来之前,我们打了一千次电话,催促了一千次”来形容。长时间的研究也有助于更好地理解信息化快速发展中的个人信息保护问题。现在法律草案的出现,可谓“理所当然”。
保障知情权
什么是个人信息?该法律草案澄清,个人信息是指以电子方式或其他方式记录的与已确定或可识别的自然人有关的各种信息,不包括匿名信息。个人信息的处理包括个人信息的收集、存储、使用、处理、传输、提供和披露。
周汉华认为,这个概念比较宽泛,因为随着大数据时代的到来,个人信息很容易识别,相对宽泛的定义有利于包含各种情况,更好地保护个人信息。
草案中确立了以“告知-同意”为核心的个人信息处理规则,即应在事先充分告知的前提下取得个人同意,个人有权撤回同意;重要事项发生变更的,应当重新取得个人同意;不要以个人分歧为由拒绝提供产品或服务。
北京华讯律师事务所主任张韬表示,“告知-同意”规则中的告知是为了充分保护相关个人主体的知情权,同意是为了保证其对信息的独立决策权,通过保障这两项权利,可以从根本上保障个人信息的安全。
此外,草案中还专门设立了一节,严格限制对敏感个人信息的处理。敏感的个人信息只能在特定目的和充分必要的情况下处理,并应获得个人同意或书面同意。
张韬说,敏感的个人信息包括种族、民族、宗教信仰、个人生物特征、医疗健康、财务账户、个人行踪等信息。从其定义可以看出,一旦泄露或非法使用,可能导致人身歧视或严重危害人身财产安全。“敏感的个人信息对每个人都有很大的利害关系。设立专门的部门,不仅可以体现立法机关对这一问题的重视,还可以更有针对性地对相关问题进行具体限制和管理,为个人信息保护筑起坚固的堡垒。”张韬说。
解决杀死大数据等问题
在网上搜索一个产品,然后不断收到类似产品的广告……我们在生活中也遇到过类似的问题。
在这方面,草案规定,通过自动决策方法进行的商业营销和信息推送也应提供不针对其个人特征的选项。
周汉华说:“定制服务是大数据时代的一个特征,随之而来的挑战是大数据的滥用和可能的‘大数据杀手’。‘自动决策’的规定是为了解决相关问题。”
此外,草案还明确了个人认为自动化决策对自身权益有重大影响的,有权要求个人信息处理人说明,有权拒绝个人信息处理人仅通过自动化决策进行决策。
张韬认为,这些规定意味着对解决“信息茧房”问题的重视。“数据信息使用过程中可能出现的负面问题正在被立法规范,平台不能只向用户推送个性化信息和广告,否则用户有权拒绝”。
草案规定,在公共场所安装图像采集和个人识别设备,应当是维护公共安全所必需的,符合国家有关规定,并设置显著的提示标志。收集的个人图像和个人身份信息只能用于维护公共安全的目的,不得泄露或提供给他人。
周汉华认为,这项规定可以被视为整个草案的一个亮点。“如今,无处不在的人脸识别和视频监控系统存在信息泄露的风险。一旦相关信息被泄露和滥用,可能会威胁到人身财产安全和公共安全。从草案中可以看出,这个问题得到了立法机关的重视。”周汉华说。
张韬说,在公共场所安装和使用监控或其他个人信息识别设备不仅关系到公共安全,也关系到不明身份者的信息安全,因此有必要对其进行规范。
加大对非法活动的打击力度
草案对非法处理个人信息规定了严格的法律责任。周汉华说:“对每个人的一点点伤害都会在整个社会造成很大的问题,所以有必要加强对非法活动的打击。如何增加违法成本,落实法律规定的内容,是起草草案的一大难点。”
可见,草案关于法律责任的具体规定包括:违反本法规定处理个人信息,或者未按照规定采取必要的安全保护措施的,由履行个人信息保护职责的部门责令改正,没收违法所得。,给予警告;拒不改正的,处以100万元罚款;对直接负责的主管人员和其他直接责任人员处以1万元以上10万元以下的罚款。
上述违法行为情节严重的,由个人信息保护主管部门责令改正,没收违法所得,处以5000万元以下或者上一年度营业额5%以下的罚款,并可以责令其暂停相关业务、停业整顿,通知有关主管部门吊销相关营业执照或者吊销营业执照。
周汉华认为,“5000万元以下或不到上一年营业额5%的罚款”是一个亮点,根据营业额的百分比罚款可以增强法律对相关企业非法活动的威慑作用。