个人信息保护法如何捍卫个人信息安全
个人信息保护法如何捍卫个人信息安全
具有鲜明时代印记回应诸多现实问题
在信息化时代,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。本报通讯员 章善玉 摄
□ 本报记者 朱宁宁
个人信息保护法自8月20日经十三届全国人大常委会第三十次会议表决通过以来,社会各界对其关注度与日俱增。
为何要制定个人信息保护法?个人信息保护法将对人们生活产生哪些影响?为什么个人信息保护法要强化对敏感个人信息的保护?一些业内专家近日接受《法治日报》记者采访,详解个人信息保护法的创新特色和规则亮点。
回应关切彰显时代印记
“个人信息保护法出台的时代背景有着丰富的国际国内蕴涵。”北京师范大学网络法治国际中心执行主任、中国互联网协会研究中心副主任吴沈括说。
吴沈括指出,一方面,随着数字经济的蓬勃发展,世界各国日益重视个人信息的多重价值属性,纷纷出台个人信息保护的专门立法。个人信息法律保护已成为衡量一国法治文明和法治水平的重要指针。另一方面,当前我国正处于全面数字化转型的高质量发展新阶段,个人信息的处理已成为社会进步和产业升级新的驱动力。因此,制定个人信息保护法也是保障公民个人信息权益、促进个人信息合理利用的必然举措。
“个人信息保护法在条文内容上反映了立法者吸收接轨国际立法、探索开创中国路径的制度努力,特别是在制度安排上呈现特色,具有鲜明的时代印记与中国特色。”在吴沈括看来,这部法律的最大亮点之一是对我国当下诸多现实关切作出及时、有效的回应。比如,针对目前多发的个人信息泄露事件,该法明确规定个人信息处理者的义务规则。又如,针对日益普遍的自动化决策应用,明确要求保证决策的透明度和结果公平、公正,并赋予个人相关的知情权和拒绝权,特别是在通过自动化决策方式向个人进行信息推送、商业营销的应用场景中,有权同时获得不针对其个人特征的选项或者拒绝的途径。
“可以说,个人信息保护法已搭建起保护个人信息的科学、系统、全面的顶层设计。下一步,随着监管执法举措的不懈推进、司法裁判规则的不断丰富、多方参与共治的持续培育以及国际交流合作的深入开展,置身代码世界的广大人民群众将长久拥抱个人信息合法权益受保护、个人信息处理活动受规范、个人信息合理利用受促进的数字治理新生态。”吴沈括说。
突出重点保护个人权益
“个人信息保护法就是一部保护个人信息权益的法。”在清华大学法学院教授程啸看来,这正是这部法律的根本目的。以此为基础,个人信息保护法对个人在个人信息处理活动中的权利作出全面的规定并赋予可诉性。
个人信息保护法第四章对个人在个人信息处理活动中的权利作了详细规定。此外,为了保护死者近亲属合法、正当的利益,同时也尊重死者的遗愿并保护死者本人及其交往者的隐私和通信秘密,个人信息保护法允许死者的近亲属可以对死者的相关个人信息行使查阅、复制、更正、删除等权利。“但是,死者生前另有安排的除外。”程啸说。
尤为值得一提的是,为了更好地保障上述个人权利的实现,个人信息保护法还专门赋予这些权利可诉性。
“所谓可诉性,即在个人信息处理者拒绝个人行使权利的请求时,个人可以依法向人民法院提起诉讼,由法院判决强制个人信息处理者履行相应的义务,保障个人权利的实现。”程啸解释说。
以保护权益为目的,个人信息保护法还有一个重要内容是规定了侵害个人信息权益的侵权赔偿责任适用过错推定责任。
“个人信息保护法第六十九条规定,处理个人信息侵害个人信息权益造成损害的,个人信息处理者如果不能证明自己没有过错的,就必须承担损害赔偿等侵权责任。”在程啸看来,该规定对于减轻受害人的举证负担、保护其个人信息权益非常有利。
“不仅如此,考虑到侵害个人信息权益造成的损害中,受害人主要遭受的是精神损害,但精神损害既没有达到严重程度,也往往是难以证明的。因此,个人信息保护法还规定,无论给受害人造成的是财产损失还是精神损害,都可以按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。”程啸说。
强化规则保护敏感信息
个人信息可以分为一般个人信息与敏感个人信息。敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息以及不满十四周岁未成年人的个人信息。为了强化对敏感个人信息的保护,个人信息保护法设置了特殊的处理规则和国家机关处理个人信息的特别规定。
“敏感个人信息一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害,人身、财产安全受到危害。因此,对于敏感个人信息的保护,是个人信息保护法的重中之重。”中国人民大学法学院教授张新宝说。
谈及为何要强化对敏感个人信息的保护,张新宝认为出于多方面的原因:一是生命安全对个人来讲具有极端重要性,法律应当将其作为最高利益予以保护。由于敏感个人信息的泄露或者非法使用可能导致个人的生命安全受到危害,敏感个人信息的处理应当在充分保护个人生命安全的前提下进行。二是保护个人财产的恒定与安全是法治的基础,也是整个社会存在的基础。敏感个人信息的不当处理可能大幅提高个人财产遭受他人侵害的可能性,使得个人的财产安全面临严重威胁。三是敏感个人信息与个人的人格尊严高度相关,因此处理敏感个人信息应当符合更为严格的条件。一方面,处理者应当防止其自身的处理活动得出有损个人人格尊严的结果;另一方面,处理者也应当防止敏感个人信息被泄露或者非法使用,避免个人的人格尊严遭受侵害。
值得一提的是,个人信息保护法还专门规定,个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。
在张新宝看来,强化对未成年人的个人信息保护有着特殊的意义。“未成年人心智尚未成熟,其个人信息一旦被泄露或者非法使用,容易对其人格的健康、自由发展产生不利影响。而在个人信息处理活动中,未成年人没有足够的认识能力和控制能力,也缺乏足够的自我保护能力,其权益无疑更容易受到侵害,因此更应提供特殊保护。”张新宝说。
完善制度新增透明度原则
个人信息保护法在网络安全法、民法典等法律所确立的合法正当必要原则之外,增加了透明度原则。
中国人民大学法学院教授、民商事法律科学研究中心执行主任石佳友认为,这是对个人信息保护制度的重要完善。“个人信息保护立法的核心使命就是为了确保信息处理的透明度,从而保障个人信息自决权。”
“在个人信息保护领域,透明度原则意味着有关个人信息处理的相关规则说明必须易于获取、易于理解,尽可能使用清晰和易懂的语言而非专业性术语,平台不能大量使用一般用户无法理解的、过于专业和晦涩的技术性术语。”石佳友说。
石佳友同时指出,这一原则还要求信息处理者应向信息主体告知处理者的身份、处理目的、处理方式等信息透明度原则是信息主体行使知情同意权的前提;在信息处理者自第三方获取并处理个人信息的外包场合(所谓“看不见的处理”),透明度原则对于保障信息主体的信息自决尤为重要。
个人信息保护法第二十四条针对自动化决策再次强调了透明度原则的适用:“个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇”。
“因此,透明度原则是可以同时适用于个人信息处理过程及其结果的基本原则。这在未来有助于应对平台以‘技术中立’等为借口的‘算法黑箱’和‘算法歧视’等现象。这也是该法第五条所规定的诚信原则的逻辑发展与应用。”石佳友说。