原標(biāo)題:個(gè)人信息保護(hù)法草案提請審議 互聯(lián)網(wǎng)商業(yè)模式迎考
上網(wǎng)痕跡被平臺收集分析推送廣告、網(wǎng)站制定“霸王條款”隨意變更VIP會員規(guī)則、公民的身份證號、個(gè)人行蹤等被泄露倒賣……這些亂象有了破解之道。
10月13日,個(gè)人信息保護(hù)法草案提請十三屆全國人大常委會第二十二次會議初次審議。
此次草案明確了適用范圍,健全了個(gè)人信息處理規(guī)則,與民法典有關(guān)規(guī)定銜接,規(guī)定了個(gè)人信息處理活動中個(gè)人的各項(xiàng)權(quán)利,對敏感個(gè)人信息給出定義,成為公民個(gè)體權(quán)利的延伸。
上網(wǎng)痕跡被平臺收集分析推送廣告、網(wǎng)站制定“霸王條款”隨意變更VIP會員規(guī)則、公民的身份證號、個(gè)人行蹤等被泄露倒賣……這些亂象有了破解之道。對于互聯(lián)網(wǎng)企業(yè)而言,將面臨一場提升用戶信息保護(hù)的大考,從懲戒力度來看,大型互聯(lián)網(wǎng)企業(yè)監(jiān)管愈發(fā)趨嚴(yán)。
堅(jiān)持立足國情與借鑒國際經(jīng)驗(yàn)相結(jié)合,草案充分借鑒有關(guān)國際組織和國家、地區(qū)的有益做法。面對越來越激烈的國際競爭,草案呼應(yīng)了網(wǎng)絡(luò)信息時(shí)代對跨境經(jīng)濟(jì)保護(hù)的訴求,維護(hù)數(shù)據(jù)安全與國家利益。
明確敏感個(gè)人信息定義
數(shù)據(jù)顯示,截至2020年3月,我國互聯(lián)網(wǎng)用戶已達(dá)9億,互聯(lián)網(wǎng)網(wǎng)站超過400萬個(gè),應(yīng)用程序超300萬個(gè),個(gè)人信息的收集、使用更為廣泛。與此同時(shí),隨意收集、違法獲取、過度使用、非法買賣個(gè)人信息,利用個(gè)人信息侵?jǐn)_人民群眾生活安寧、危害人民群眾生命健康和財(cái)產(chǎn)安全等問題仍十分突出。
中國政法大學(xué)法律碩士學(xué)院院長、教授許身健認(rèn)為,此次草案可以算作為“回應(yīng)型立法”,在當(dāng)前信息化社會及時(shí)回應(yīng)公眾的需要。
“個(gè)人信息保護(hù)法,是民法典中的人格權(quán)關(guān)于個(gè)人信息和隱私權(quán)在個(gè)人信息互聯(lián)網(wǎng)保護(hù)范圍內(nèi)的一個(gè)重要延伸,它實(shí)際是公民個(gè)體權(quán)利的延伸。”中國政法大學(xué)傳播法研究中心副主任朱巍如此定義。
草案與民法典的有關(guān)規(guī)定相銜接,明確在個(gè)人信息處理活動中個(gè)人的各項(xiàng)權(quán)利,包括知情權(quán)、決定權(quán)、查詢權(quán)、更正權(quán)、刪除權(quán)等,并要求個(gè)人信息處理者建立個(gè)人行使權(quán)利的申請受理和處理機(jī)制。
之前對于一般個(gè)人信息、個(gè)人敏感信息、私密信息三者,法律上還缺乏清晰的界分。
草案則明確了敏感個(gè)人信息的定義:一旦泄露或者非法使用,可能導(dǎo)致個(gè)人受到歧視或者人身、財(cái)產(chǎn)安全受到嚴(yán)重危害的個(gè)人信息,包括種族、民族、宗教信仰、個(gè)人生物特征、醫(yī)療健康、金融賬戶、個(gè)人行蹤等信息。
同時(shí),草案設(shè)專節(jié)對處理敏感個(gè)人信息作出更嚴(yán)格的限制,只有在具有特定的目的和充分的必要性的情形下,方可處理敏感個(gè)人信息,并且應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意或者書面同意。
此前,有司法解釋曾對個(gè)人敏感信息做出規(guī)定。2017年5月,最高法、最高檢發(fā)布《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》,規(guī)定非法獲取公民軌跡信息等個(gè)人敏感信息50條即可入罪。
“《刑法》的適用范圍太窄了,沒有辦法擴(kuò)展到敏感個(gè)人信息在民事領(lǐng)域和行政管理領(lǐng)域,草案則將敏感個(gè)人信息做了一個(gè)定性,包括生物識別、金融賬號、個(gè)人行蹤等等,將上述司法解釋進(jìn)行了細(xì)化。”朱巍說。
盡管當(dāng)前公民個(gè)人信息受到侵害的事件頻發(fā),但不少人對于個(gè)人信息的保護(hù)并不是特別敏感。
許身健認(rèn)為,個(gè)人信息保護(hù)法出臺,是社會治理的同時(shí),也將是一場大型的普法教育,將通過普法宣傳、使用法律執(zhí)法、懲戒侵害行為等提升全民的個(gè)人信息權(quán)利意識。
“我國個(gè)人信息保護(hù)法草案具有一定的前瞻性,但相比而言,還有一些需要完善之處,應(yīng)當(dāng)完善相應(yīng)的配套制度。”許身健建議,對于自然人的個(gè)人信息查詢權(quán)、復(fù)制權(quán)、更正權(quán)和刪除權(quán)的行使需要作出更加具體細(xì)致的規(guī)定,還有個(gè)人信息的境內(nèi)儲存和安全評估等也需要進(jìn)一步詳細(xì)規(guī)范,明確侵害個(gè)人信息的賠償范圍和計(jì)算方法等。
借鑒國際經(jīng)驗(yàn)利于跨境保護(hù)
從上世紀(jì)70年代開始,經(jīng)濟(jì)合作與發(fā)展組織、亞太經(jīng)濟(jì)合作組織和歐盟等先后出臺了個(gè)人信息保護(hù)相關(guān)準(zhǔn)則、指導(dǎo)原則和法規(guī),有140多個(gè)國家和地區(qū)制定了個(gè)人信息保護(hù)方面的法律。
2018年5月,歐盟正式實(shí)施《通用數(shù)據(jù)保護(hù)條例(The General Data Protection Regulation)》(“GDPR”),取代此前的《歐洲數(shù)據(jù)保護(hù)指令》。“GDPR”被業(yè)內(nèi)認(rèn)為是目前全球主要經(jīng)濟(jì)體中對數(shù)據(jù)信息保護(hù)管轄范圍最寬、立法新意最多、處罰最為嚴(yán)厲的規(guī)范,適用范圍是在歐洲設(shè)立并在其營業(yè)活動中處理個(gè)人數(shù)據(jù)的任何組織機(jī)構(gòu),且具有域外效力。
“從草案來看,充分借鑒了國外的一些經(jīng)驗(yàn)。”許身健認(rèn)為,草案借鑒了較多“GDPR”的相關(guān)規(guī)范。
例如,“GDPR”中對“敏感個(gè)人數(shù)據(jù)”的定義擴(kuò)大到包括基因數(shù)據(jù)和生物特征數(shù)據(jù),作為監(jiān)管機(jī)構(gòu)的數(shù)據(jù)保護(hù)機(jī)關(guān)可以對違反“GDPR”的組織和機(jī)構(gòu)作出其當(dāng)年全球營業(yè)額4%或者2000萬歐元(以孰高者為準(zhǔn))的罰款決定,均在草案中有相關(guān)體現(xiàn)。
“草案可以視為與國際接軌的一個(gè)延伸,美國、澳大利亞、新西蘭、新加坡等地均修改了個(gè)人信息保護(hù)法,所以我們?nèi)绾瓮晟啤⑦m用法律與國際接軌,也是個(gè)人信息保護(hù)法出臺的一個(gè)重要原因。”朱巍表示。
在當(dāng)前社會中,信息與數(shù)據(jù)不僅是數(shù)字經(jīng)濟(jì)的關(guān)鍵要素,也是信息時(shí)代重要的生產(chǎn)要素。在我國,數(shù)據(jù)安全更是被上升為與國家安全同等重要的地位,也成為國際競爭間的關(guān)鍵。
“中國很多互聯(lián)網(wǎng)公司具有跨國性,法律上也需要相應(yīng)地對中國企業(yè)進(jìn)行保護(hù),維護(hù)國家利益。”許身健認(rèn)為,草案呼應(yīng)了網(wǎng)絡(luò)信息時(shí)代對經(jīng)濟(jì)保護(hù)的相關(guān)訴求。
草案明確,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的處理者,確需向境外提供個(gè)人信息的,應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評估;對于其他需要跨境提供個(gè)人信息的,規(guī)定了經(jīng)專業(yè)機(jī)構(gòu)認(rèn)證等途徑。草案對跨境提供個(gè)人信息的“告知—同意”作出更嚴(yán)格的要求。對從事?lián)p害我國公民個(gè)人信息權(quán)益等活動的境外組織、個(gè)人,以及在個(gè)人信息保護(hù)方面對我國采取不合理措施的國家和地區(qū),規(guī)定了可以采取的相應(yīng)措施。
此次草案還完善了個(gè)人信息跨境提供規(guī)則,明確了個(gè)人信息處理活動中個(gè)人的權(quán)利和處理者義務(wù),并明確了履行個(gè)人信息保護(hù)職責(zé)的部門。
許身健表示,中國互聯(lián)網(wǎng)產(chǎn)業(yè)走出去是重要方面,但其他國家的平臺進(jìn)入中國來,要遵守中國法律,特別是關(guān)于個(gè)人信息保護(hù)方面的特殊規(guī)定,這是與國際接軌的一個(gè)重要表現(xiàn)。
互聯(lián)網(wǎng)商業(yè)模式迎考
當(dāng)前已全面進(jìn)入到互聯(lián)網(wǎng)經(jīng)濟(jì)的下半場,幾乎所有的網(wǎng)絡(luò)服務(wù)推出都與個(gè)人信息有關(guān)。
剛與朋友聊旅游,手機(jī)轉(zhuǎn)眼就推送機(jī)票廣告,明明只是在電商平臺上搜索過某樣商品,打開另一款資訊App卻出現(xiàn)相同的廣告……越來越精準(zhǔn)的個(gè)性化推送,讓不少人感到困惑。
“安寧權(quán)是隱私權(quán)和個(gè)人信息保護(hù)的核心,也是老百姓最關(guān)心的一個(gè)問題。什么情況下可以將我的大數(shù)據(jù)用作商業(yè)用途?”朱巍表示,此次草案中涉及的不僅是個(gè)人信息保護(hù)的問題,還涉及到廣告法。
草案規(guī)定,用戶可以要求平臺不推送個(gè)性化廣告。個(gè)人有權(quán)拒絕個(gè)人信息處理者僅通過自動化決策的方式作出決定。通過自動化決策方式進(jìn)行商業(yè)營銷、信息推送,應(yīng)當(dāng)同時(shí)提供不針對個(gè)人特征的選項(xiàng)。
“這里既包括廣告,也涉及大數(shù)據(jù)殺熟。如何從個(gè)人信息中剝離出大數(shù)據(jù)進(jìn)行合法使用,是草案的重要意義之一。”朱巍表示,在使用網(wǎng)絡(luò)過程中,用戶的權(quán)益相對而言變得很小,而且被侵權(quán)的方式很隱晦,如果沒有一個(gè)原則性的法律去保障,企業(yè)可能將隨著科技的進(jìn)一步發(fā)展而開啟“潘多拉魔盒”,對用戶造成不利影響。
個(gè)人信息保護(hù)與大數(shù)據(jù)利用之間的關(guān)系如何平衡,曾有相關(guān)司法判例。玩抖音刷出前女友?微信讀書信息默認(rèn)開放?21世紀(jì)經(jīng)濟(jì)報(bào)道8月報(bào)道,北京互聯(lián)網(wǎng)法院的一審判決,認(rèn)定微信讀書、抖音兩款A(yù)PP均有侵害用戶個(gè)人信息的情形。
兩個(gè)案件均借鑒了尚未實(shí)施的民法典的相關(guān)條例,微信讀書案體現(xiàn)了對互聯(lián)網(wǎng)時(shí)代人格權(quán)保護(hù)精神,抖音案則將隱私權(quán)和個(gè)人信息的考量限定在具體的網(wǎng)絡(luò)場景中。
在上述案件中,如何判定侵犯個(gè)人信息權(quán),是否滿足用戶的知情、同意成為關(guān)鍵。因知情、同意還曾引發(fā)質(zhì)疑的,還有各類網(wǎng)站制定“霸王條款”隨意變更VIP會員規(guī)則。
此次草案則確立以“告知—同意”為核心的個(gè)人信息處理一系列規(guī)則,要求處理個(gè)人信息應(yīng)當(dāng)在事先充分告知的前提下取得個(gè)人同意,并且個(gè)人有權(quán)撤回同意;重要事項(xiàng)發(fā)生變更的應(yīng)當(dāng)重新取得個(gè)人同意;不得以個(gè)人不同意為由拒絕提供產(chǎn)品或者服務(wù)。
實(shí)際上,對于互聯(lián)網(wǎng)企業(yè)的相關(guān)監(jiān)管一直在路上。
2019年,工信部、國家網(wǎng)信辦等多部門已聯(lián)合開展了貫穿全年的APP個(gè)人信息專項(xiàng)治理工作,2020年仍在持續(xù)中。被公開的企業(yè)違規(guī)違法行為,多集中在私自收集個(gè)人信息、過度索取權(quán)限、私自共享給第三方等方面。
今年5月,江蘇淮安警方破獲了一起特大販賣公民個(gè)人信息案,共抓獲26名嫌疑人,涉案金額2000多萬元。其中,建設(shè)銀行員工丁某以每條80-100元不等的價(jià)格,幫忙查詢銀行卡信息,一年黑色收入超30萬元。
“個(gè)人信息很容易被濫用,甚至被買賣,現(xiàn)在草案加大了懲戒的力度,對違法行為賦以嚴(yán)格的法律責(zé)任。”許身健說,有互聯(lián)網(wǎng)企業(yè)早期曾利用數(shù)據(jù)野蠻生長,但隨著立法不斷嚴(yán)密,監(jiān)管也將不斷收緊。
草案規(guī)定,違反本法規(guī)定處理個(gè)人信息,或者處理個(gè)人信息未按照規(guī)定采取必要的安全保護(hù)措施的,情節(jié)嚴(yán)重的,由履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正,沒收違法所得,并處5000萬元以下或者上一年度營業(yè)額5%以下罰款,并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、通報(bào)有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營業(yè)執(zhí)照;對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處10萬元以上100萬元以下罰款。
“根據(jù)這個(gè)條款的罰款,可以看出其實(shí)更主要規(guī)范的是大型的互聯(lián)網(wǎng)企業(yè),法律在企業(yè)和個(gè)人之間,傾向于保護(hù)個(gè)人權(quán)益。”許身健認(rèn)為,懲罰力度也成為此次草案的一大亮點(diǎn)。
(作者:張雅婷 編輯:曹金良)
“掌”握科技鮮聞 (微信搜索techsina或掃描左側(cè)二維碼關(guān)注)
