与时俱进反映民声的个人信息保护法(草案)

来源 :上海人大月刊 | 被引量 : 0次 | 上传用户:tianhaiyandml
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  个人信息泄露事件频发,海量个人信息被非法收集、滥用及买卖,如何有效保护个人信息,预防、遏制相关违法行为,追究违法者责任,成为民众关注的焦点。为及时回应个人信息保护领域的上述突出问题,2020年10月21日,个人信息保护法(草案)(简称草案)由十三届全国人大常委会第二十二次会议审议后公开征求意见。根据各方提出的意见,2021年4月草案二次审议稿作了部分调整和修改,再次公开征求意见。从内容上看,草案系我国首次对个人信息进行的专项立法,共八章73条,明确了个人信息保护所应遵循的基本原则,个人信息处理者的行为规范、义务及法律责任,个人信息跨境提供规则、个人在信息处理活动中的权利,履行个人信息保护职责的部门,建构了政府、企业、行业组织、社会公众等不同主体共同参与的个人信息保护体系。
  第一,采用一般性规范与专门性规范相结合的方式,建构有重点、分层次的个人信息保护体制
  草案作为我国个人信息保护领域的基本法,需要对涉及的个人信息活动进行全景式规则设计。一方面,明确了个人信息处理的合法、正当、目的明确、必要、公开透明、质量及责任原则,为不同场景下个人信息的处理活动提供基本指引;另一方面对于个人信息的收集、存储、使用、加工、传输、提供、公开等全生命周期的处理行为进行一般性规范,确立个人信息处理的合法性事由,明确了个人享有知情权、决定权、限制或拒绝权、查阅复制权、更正补充权、删除权等基本信息权益及信息处理者负有安全保障、合规审计、风险评估、信息泄露补救等核心义务。
  同时,考虑到敏感个人信息等特殊类别信息以及国家机关等特殊信息处理主体,专门制定了有别于一般规范的特殊处理规则。其中,对于敏感个人信息的处理条件更为严格,不仅必须具有“特定的目的和充分的必要性”,而且在同意的取得方式上,要求取得个人的单独同意或者书面同意。相较而言,国家机关及法律法规授权的组织基于法定职责处理个人信息,鉴于其公益性、职权性的特点,在告知同意方面需作出一定的例外规定,如基于保密规定或告知同意将妨碍国家机关履行职责的情形,并要求其处理的个人信息应境内存储以及进行风险评估。草案还特别强调了国家机关处理个人信息“不得超出履行法定职责所必需的范围和限度”,回应了公众对公权力机关过度获取个人信息的担忧。
  在个人信息处理者的义务方面,草案二审稿第57条特别增加了“提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”的义务,即“应当成立主要由外部人员组成的独立机构,对个人信息处理活动进行监督;对严重违反法律、行政法规处理个人信息的平台内的产品或服务提供者,停止提供服务;定期发布个人信息保护社会责任报告,接受社会监督”。应该说,仅仅依赖有限的行政监管资源对数量众多的企业实施外部监管难免挂一漏万。从监管的实效性考量,有必要对提供App操作系统、搭载第三方小程序平台、提供应用程序下载服务的平台等互联网头部企业施以更重的义务,毕竟上述企业拥有相应的技术、资源及能力对使用其所管理的通道、技术服务以及运营环境等其他个人信息处理者进行实时监控。而且,互联网头部企业已经成长为推动数字经济发展的重要力量,有义务回馈社会以维护其运作的外部环境,这就是其所应承担的社会责任。
   第二,对新技术应用带来的新风险及时进行法律规制,预防技术滥用、引导科技向善
   在大数据、云计算、人工智能等技术广泛应用于个人信息处理活动的新形势下,个人信息可以被快速、便捷地采集、存储、搜索及传递,轰炸式精准营销、算法劳工、无感化人脸识别、大数据杀熟等事件频发,对个人信息保护提出了新的问题。为此,如何引导科技向善、对技术滥用进行预防性控制就是草案不可推卸的责任和使命。草案第25条第2款规定,通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项,或者向个人提供拒绝的方式。草案第27条规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。这里,特别强调了“所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的”,以防止人脸识别等身份识别技术的滥用。同时,草案还要求国家网信部门统筹协调有关部门,针对人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准。也就是说,以专项规定的形式对新技术可能对个人信息保护带来的负面影响进行相应的法律规制,以防止科技异化或吞噬个人隐私及信息安全。
   第三,建立个人信息跨境提供规则,在保障安全的基础上促进个人信息的有序流动
   草案第38条规定了基于业务需要,确需向境外提供个人信息的条件:(1)依法通过国家网信部门组织的安全评估;(2)按照国家网信部门的规定经专业机构进行个人信息保护认证;(3)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到法定的保护标准;(4)法律、行政法规或者国家网信部门规定的其他条件。对于个人信息处理者的告知义务也作了较为详细的规定,要求取得个人的单独同意。同时,第40条规定关键信息基础设施运营者、处理个人信息达到国家网信部门规定数量的个人信息处理者,应当本地化存储。应该说,草案并未采用欧盟的“充分性保护原则”对个人信息出境苛以更高的要求和标准,而是在规范个人信息处理者信息出境义务的基础上,综合运用监管机构安全评估、第三方认证以及双方协议等多元化治理方式,促进个人信息的有序跨境流动。
   第四,明确个人信息保护的监管主体及其权限和职责,以保障执法工作落地见效
   从世界范围内来看,个人信息保护监管设置有两种方式:一是以欧盟为代表的统一监管模式,即设立专门的信息保护机构,对包括公营机构及私营机构在内的全部领域实施集中监管。二是不设立专门的信息监管机构,由各职能部门根据其权限开展监管活动,个人信息保护仅为其监管职责的一部分,以美国最为典型。草案采用第二种模式,“国务院有关部门依照法律、行政法规规定,在各自职责范围内负责个人信息保护和监管工作”。同时,二审稿中特别突出了“国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作”,并积极推进包括制定个人信息保护具体规则、标准、支持研究电子身份认证技术等工作。为了切实保障其履行监管职责,草案赋予了监管部门询问、查阅复制、现场检查以及查封、扣押等监管措施。同时,对于个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以对个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求其委托专业机构对其个人信息处理活动进行合规审计。
   第五,优化个人信息权益受损的民事救济路径,正式引入“过错推定”的归责原则
   由于个人信息权尚未明确为具体人格权,我国民法典仅确认了“自然人的个人信息受法律保护”,目前尚缺乏个人信息民事救济的专门性规定。实践中,一旦发现权益受损,个人往往诉诸于隐私权、名誉权、一般人格权等诉由。从判决结果来看,由于个体与掌握技术、资源等企业相比实力悬殊过大,而且个人信息通常由信息处理者控制,原告往往无法直接证明被告如何获得其个人信息;即便能够证明侵权行为是被告所为,也会困囿于严格的侵权责任构成要件限制以及“谁主张、谁举证”的要求,个人信息受损后的赔偿请求难以实现。鉴于此,草案二审稿第68条第1款规定,“个人信息处理者不能证明自己没过错的,应当承担损害赔偿等侵权责任”,引入“过错推定责任”,由个人信息处理者承担相应的举证责任,将在很大程度上提升个人维权的实效,根本性改變目前司法实践中普遍存在的举证难、赔偿低、成本高等问题。
   (作者系上海政法学院教授,现挂职上海市人大财经委任处长)
其他文献
"长三角七地都是底蕴深厚的文化名城,此次在七地人大的共同推动下,签署全域旅游合作框架协议,既是深度整合旅游资源,深化长三角旅游一体化的关键之举,更是七地携手并肩、全力
新式里弄房屋居住环境改善项目是今年长宁区江苏路街道的一项民心工程。近日,江苏路街道人大工委按照区人大常委会关于人大代表评议民生实事项目的工作要求,对照街道“五大战区”目标任务,选取了“岐宏板块”作为试点新式里弄房屋卫生设施改造工程,并将该项目作为首个区人大代表评议民生实事项目。评议活动邀请了区党代表和政協委员共同参加。   迎进门,民生项目实地看。街道面对群众改善“如厕难” “洗漱难”的迫切需要,
1990年12月28日,七届全国人大常委会第十七次会议通过了《中华人民共和国残疾人保障法》,于1991年5月15日正式施行。1993年2月,上海市尤届人大常委会第四十一次会议通过了上
4月15日至16日,第三届长三角G60科创走廊九城市人大工作交流会暨人大代表科创企业(人才)交流大会在苏州举行,会议以"聚焦科技创新助力高质量发展"为主题,开展九城市人大工作
世界读书日刚过,你有多久没有完整读过一本书了?数字时代,信息如海。阅读的载体已经发生了天翻地覆的变化,从看书到读屏,从电脑屏、平板屏到手机屏,从文字到图像、声音,从微