《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)自去年11月1日起施行以来,迄今已满一周年。回顾过去十年,我国在个人信息保护方面的工作,可谓一步一个台阶,法网越织越密。党的二十大报告再次强调,要加强个人信息保护。这为我国今后的个人信息保护工作,进一步奠定了基调,明确了方向。
我国对于个人信息法律层面的保护,最早的立法可追溯至2004年的《居民身份证法》,在2009年实施的《刑法修正案(七)》中,专门增加了“侵犯公民个人信息罪”。此后,随着互联网与经济社会持续深度融合,以电子等方式记录的个人信息大量产生,个人信息保护面临严峻挑战,我国对个人信息的保护愈加重视,特别是党的十八大以来,立法逐渐完善。
回溯过去十年,可以说,我国基本构建了个人信息保护的四梁八柱。2012年,全国人大常委会出台《关于加强网络信息保护的决定》,重点强化对个人隐私信息的保护;2013年,全国人大常委会修订《消费者权益保护法》,强调依法保护消费者个人信息,明确了消费者个人信息保护的基本规则;2015年,全国人大常委会通过《刑法修正案(九)》,扩大了侵犯公民个人信息犯罪主体的范围;2017年6月1日,我国首部《网络安全法》实行,专章规定了公民个人信息保护的基本法律制度;2019年1月1日起施行《电子商务法》,要求电子商务经营者依法履行个人信息保护的义务;2021年1月1日,我国首部《民法典》正式实施,确立了个人信息保护的基本原则和规则;2021年11月1日,我国第一部个人信息保护的专门性法律——《个人信息保护法》开始施行,开启了依法全面保护个人信息的新时代。
今天,在这部有着划时代意义的法律实施整满一周年的日子,我们有必要再次梳理一下这部法律的十大突出亮点:
一是个人信息的“保护”和“利用”同步推进。《个人信息保护法》第一条规定:“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。”事实上,“规范个人信息处理活动”处于整个《个人信息保护法》的核心地位,只有夯实“规范个人信息处理活动”这个关键环节,才能确保实现保护个人信息权益和促进个人信息合理利用之目的。《个人信息保护法》的立法宗旨,是在确保个人信息安全的前提下,依法促进个人信息的合理利用,“保护”个人信息和“促进”合理利用要同步推进。
二是完善了“个人信息”的定义。《个人信息保护法》第四条第一款将“个人信息”定义为:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。” 《个人信息保护法》的上述定义与《民法典》、《网络安全法》中的“个人信息”最大的不同在于,《个人信息保护法》的定义增加了“不包括匿名化处理后的信息”的除外规定,即明确了“个人信息”经匿名化处理后不属于个人信息,无须适用《个人信息保护法》的相关规定,体现了“保护”与“利用”的并重。
三是确立个人信息处理的基本原则。《个人信息保护法》确立的处理个人信息的重要法律原则包括:遵循合法、正当、必要和诚信原则;采取对个人权益影响最小的方式,限于实现处理目的的最小范围原则;处理个人信息应当遵循公开、透明原则;处理个人信息应当保证个人信息质量原则;采取必要措施确保个人信息安全原则等。
《个人信息保护法》总则部分中的两个“最小原则”,是个人信息处理应遵循的核心原则。《个人信息保护法》第六条规定:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”
四是确立了“告知-知情-同意”的个人信息处理规则。《个人信息保护法》不仅是确立了以“告知-同意”的个人信息处理规则,而且构建了以“告知-知情-同意”为核心的个人信息处理规则体系。个人信息处理者“告知”的目的是为了确保被告知者的充分“知情”,只有被告知者在充分知情的前提下才能自愿、明确地作出决定。《个人信息保护法》第十四条明确规定:“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。”
五是确立了敏感个人信息的认定与保护规则。《个人信息保护法》没有对自然人的隐私信息做出专门规定,而是将个人信息分为敏感信息和非敏感信息,并设专节设置了“敏感个人信息的处理规则”。《个人信息保护法》第二十八条给出了“敏感个人信息”的定义,即“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”
《个人信息保护法》对处理敏感个人信息作出了严格的限制性规定,即在履行“告知-知情-同意”原则的基础上,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。特别是处理敏感个人信息应当取得个人的单独同意。
六是规范自动化决策与遏制“大数据杀熟”。针对“大数据杀熟”“用户画像”和“算法推荐”等涉及个人信息自动化决策的热点问题,《个人信息保护法》第二十四条作出了明确规定:第一,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇;第二,通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式;第三,通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
七是明确个人信息跨境提供规则。《个人信息保护法》第三十八条明确了个人信息跨境提供的基本规则,即个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备以下四项条件之一:一是依照《个人信息保护法》第四十条的规定通过国家网信部门组织的安全评估;二是按照国家网信部门的规定经专业机构进行个人信息保护认证;三是按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;四是法律、行政法规或者国家网信部门规定的其他条件。
八是明确个人在个人信息处理活动中的七项基本权利。《个人信息保护法》构建了个人在个人信息处理活动中的七项权利:一是知情同意权,收集和使用公民个人信息必须遵循合法、正当、必要原则,且目的必须明确并经用户的知情同意;二是决定权,有权限制、拒绝或撤回他人对其个人信息的处理;三是查阅复制权,个人有权向个人信息处理者查阅、复制其个人信息;四是个人信息可携带权,个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径;五是更正补充权,个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充;六是删除权,在五种情形下,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:1)处理目的已实现、无法实现或者为实现处理目的不再必要,2)个人信息处理者停止提供产品或者服务,或者保存期限已届满,3)个人撤回同意,4)个人信息处理者违反法律、行政法规或者违反约定处理个人信息,5)法律、行政法规规定的其他情形;七是规则解释权,个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。
九是强调重要互联网平台的“守门人”责任。鉴于重要互联网平台掌握海量用户数据,一旦发生信息泄露或滥用,可能导致严重后果,《个人信息保护法》专门要求其履行“守门人”角色,并承担更多责任,主要包括:1)应按照国家规定建立健全个人信息保护合规制度体系;2)成立主要由外部成员组成的独立机构进行监督;3)遵循公开、公平、公正的原则制定平台规则;4)对严重违法处理个人信息的平台内产品或服务提供者停止提供服务;5)定期发布个人信息保护社会责任报告并接受社会监督等。
十是确立个人信息处理者侵权责任的过错推定。《个人信息保护法》第六十九条规定:“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。”
“个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任”。这是一项“过错推定”原则,即在个人信息处理者不能证明其没有过错的情况下,就推定其有过错,应承担赔偿损害责任。
作者:王春晖 网络空间治理与数字经济(长三角)研究基地主任兼首席专家