平衡个人信息权益与价值实现—解读《个人信息保护法(草案)》
■宋丽敏李果丨文
随着社会信息化的程度不断提高,个人信
息的使用行为也越来越广泛。个人信息成为整
个网络空间中最为重要的数据类型,对个人信
息的利用,可以创造巨大的商业价值和社会价
值,个人信息处理逐渐成为社会进步和产业升
级新的驱动力。在利益的驱动下,个人信息存
在被泄露和窃取的危险。一些企业、机构甚至
个人,为了谋取私利,随意捜集甚至违法获取、
非法买卖个人信息,侵犯个人的信息权益,危
害个A M产链甚至生命链。
近年来,我国逐步开始个人信息保护立
法活动。但法律条文中规定的内容大多以末
端治理的制裁性规范为主,缺少源头治理的
引导性规范。在个人信息保护问题上,亟需
统一立法实现顶层设计,采取专门立法的模
式,弥补目前分散式法律保护的不足,以保
障公民个人信息权益、促进个人信息合理利
用。
2018年9月,十三届全国人大常委会立 法规划公布,个人信息保护法纳入立法第一类 项目(条件比较成熟、任期内拟提请审议的法 律草案),个人信息保护法立法正式走上了立 法曰程。历经多次修改,2020年10月21曰,《个人信息保护法(草案)》(下称《草案》)公布并公幵征求社会公众意见。
纵览《草案》全文,可以看出,《草案》充分借鉴了国际上先进立法经验和立法实践,从我国实际出发,系统化梳理和整合现有法 律、法规及司法实践,构建适应我国个人信 息保护需要的法律体系。亮点一:个人信息界定更加清晰
《草案》第4条规定:个人信息是以电 子或者其他方式记录的与已识别或者可识别 的自然人有关的各种信息,不包括匿名化处 理后的信息。民法典第1034条第2款、网络 安全法第76条第5款规定:个人信息是指以 电子或者其他方式记录的能够单独或者与其 他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生曰期、身 份证件号码、个人生物识别信息、住址、电 话号码等。以上概念界定都符合多数国家的 思路,采用“识别说”来界定个人信息,以
30中国电信业
CHINA TELECOMMUNICATIONS
TRADE
是否能够识别特定自然人来作为判断标准。
《草案》对个人信息的定义表述更加简 洁。没有具体列举个人信息范围,避免了立 法上的重复,且对个人信息判断标准从“自然人个人身份的各种信息”扩展到“自然人 有关的各种信息”,扩大了对个人信息的保 护范围,更符合当前个人信息保护形势的需 要。《草案》还将“匿名化处理后的信息”排除在外,这类信息不属于个人信息法保护 的范畴,使得个人信息的定义更加明确。
个人敏感信息
褢点二.明确个A停鳧埤琿的厚M
《草案》第5〜9条规定了一系列的个人 信息处理活动必须遵循的原则,包括合法性 原则、诚信原则、公开透明原则等。
这些原则性规定指导个人信息处理活动,要求个人信息处理者在处理个人信息时应当 采用正当合法的方式,遵循诚信原则;应当 具有明确、合理的目的;应当限于实现处理 目的的最小范围;应当遵循公开、透明原则,保证处理信息的准确性;应当采取必要的措 施保障所处理的个人信息安全等。
这些原则必须要贯穿于个人信息处理者 处理个人信息的全过程。由于立法的滞后性,当出现新型个人信息处理行为没有法律依据 之时,司法实践中可依据这些原则进行法律 调整。
專卓三:确耷个入倩塵绅琿规M
《草案》13、14条确立以“告知-同意”为核心的个人信息处理规则,要求处理个人 信息应当由个人在充分知情的前提下,自愿、明确地作出意思表示。这也就意味着处理个人信息应当满足充分知情、自愿、明确意思
表示三个条件,缺一不可。充分知情要求个
人信息处理者应当以显著的方式、清晰易懂
的语言向个人告知相关事项。这里的“个人”
也就是被告知的对象,法律上认为是普通人,
而非相关领域的专业人士,所以告知方式必
须显著,告知语言必须清晰易懂。
《草案》第14条第2款强调个人信息处
理目的、方式以及处理个人信息种类发生变
化的,应当重新取得个人同意。这意味着取
得自然人的同意并非一劳永逸,个人信息处
理的变化都应该重新取得同意。
《草案》在对个人信息权益着重保护的
同时,也兼顾其他重要利益,如国家安全及
公共利益的平衡,因而规定了个人信息处理
的例外情形。《草案》第13条第4款规定,
为应对突发公共卫生事件,个人信息处理者
可以处理个人信息,不需要通过“告知-同
意”。紧急情况下为保护自然人的生命健康
和财产安全所必需处理个人信息的,可以事
后告知;第5款规定为公共利益实施新闻报
道、舆论监督等行为在合理的范围内处理个
人信息,也是合法行为。
尋卓码:■瀆II寒机夭昀权籾又考
根据《草案》第34条规定,国家机关有
权依法为履行法定职责对个人信息进行处理。
但处理个人信息必须按照法定的权限、程序
进行,并且不得超出履行法定职责所必须的
范围和限度。
《草案》第56~60条明晰不同层级履行
个人信息保护职责部门的权限与分工,从上
至下国家网信部门、国务院有关部□、县级
以上地方政府有关部门共同履行个人信息保
护职责。
中9电值业31
《草案》赋予履行个人信息保护职责部
门行政执法权力,有权利采取强制措施。主
要包括约谈、询问调查有关当事人、查阅复
印有关资料、实施现场检查、查封扣押设备
物品等。职责内容和执法方式的细化将有力
推动个人信息处理活动监管机制的完善,提
升监管力度。亮卓E :琿伟个人倩鳧埤理考义考
《草案》第50~55条明确规定个人信息
处理者的义务。要求:
1、
采取必要措施确保个人信息处理活动 合法,防止未经授权的访问以及个人信息泄
露或被窃取、篡改、删除。
2、 达到国家网信部门规定数量的个人信 息处理者指定个人信息保护负责人。
3、 事前进行风险评估,事中对合法性进 行审计。
4、 发生个人信息泄露立即采取补救措施, 并且向履行个人信息保护职责的部门和个人 通知重要事项。
5、在处理境内个人信息的处理者 应在境内设置专门机构或指定代表,并把 相关信息报送给履行个人信息保护职责的 部门。《草案》强化个人信息处理者义务。个 人信息处理者依法行为,常规状态下防范风 险,以预防为主,采取必要保护措施,预先
风险评估、事中审计,指定专人负责;紧急
情况下立即补救并报告,保障个人信息合理
有序流动。亮趣觸白抑人變_行为《草案》对处理敏感个人信息做出了严 格的限制规定。明确只有在具有特定的目的 和充分的必要性,且取得个人单独或者书面
同意后,方可处理敏感个人信息。当法律、
行政法规有更严格的规定时,执行更严格的 要求。可见《草案》对于敏感个人信息的处理,
遵循谨慎利用原则。
针对曰益普遍的自动化决策应用,《草
案》第69条第二款给出自动化决策的定义,
第25条规定自动化决策应用的行为规范。要
求决策透明,结果公平合理。个人有知情权
和拒绝权,有权要求说明,有权拒绝仅通过
自动化决策方式作出的决定。在商业营销或
信息推送到应用场景中,个人信息处理者应
当提供不针对其个人特征的选项,保障接受
者选择权。
《个人信息保护法》正式实施前,社会
中大量的个人信息已经被公开,对于这部分
信息的利用问题,《草案》第28条制定了后
续利用的相关规则。被公开时用途明确的,
后续利用要符合被公开时的用途,超出相关
合理范围的,应当告知并取得同意;被公开
时用途不明确的,后续利用要合理、谨慎,32中国电值
从事对个人有重大影响活动的,应当告知并 取得同意。
麵七:提出个人户白蹲夕_
数据的跨境流动已经成为常态,为了应 对这一趋势,全面保护我国境内自然人个人 信息权益,《草案》概括地提出了个人信息 保护的域外效力。
《草案》第3条第2款将一些在处 理境内自然人个人信息活动纳入《草案》的 调整范围,并且在《草案》第42条规定了处 罚措施。对于组织、个人从事损坏我国 个人信息权益或者危害公共安全、公共利益 的个人信息处理活动,《草案》赋予国家网 信部门执法权力,将其列入限制或者禁止个 人信息提供清单,予以公告,并采取措施限 制或者禁止提供个人信息。
目前《草案》的域外适用效力执行还仅 限于国内,至于何时走出国门,还需要后续 参加或者缔结国际条约或者与其他国家签订 双边协议。
專卓y v:寿善个八倩塵哼場榫供规1
为了维护国家利益,《草案》完善了个 人信息跨境提供相关规则。《草案》第38条 规定了可以跨境提供个人信息的先决条件:通过网信部门的安全评估或者进行了个人信 息保护认证或者与接收方签订合同并监 督其依法行为。
针对涉及重大利益或者对个人信息保护 产生重大影响的主体,《草案》设置不同的 要求。关键信息基础设施运营者和处理个人 达到国家网信部门规定数量的处理者,《草案》第40条要求必须通过国家网信部门组织的安
全评估方可跨境提供个人信息;国家机关需
要向提供个人信息的,《草案》第37条
则要求进行风险评估。
麵办:塚囂严堉睡律雖
《草案》第62~67条对违法处理个人
信息行为设置严格的法律责任,加大惩处力
度,处罚措施包括责令改正、没收违法所得、
警告、、责令暂停相关业务、停业整顿、
通报有关主管部门吊销相关业务许可或者吊
销营业执照等,对于有违法行为的记入信用
档案。
《草案》第66条赋予人民检察院、履行
个人信息保护职责的部门和国家网信部门确
定的组织原告的主体地位。当个人信息处理
者侵害众多个人的权益时由上述国家机关或
者国家机关指定的组织代为诉讼,以保障个
人信息
社会要进步,经济要发展,个人信息的
价值必须要得到实现。《草案》在第一条就
确立了个人信息保护立法的目的,保护个人
信息权益的同时促进个人信息合理利用。在
这个立法目的的指引下,《草案》处处体现
着个人信息权益与价值实现的平衡,赋予个
人信息处理行为合法性,允许处理个人信息、
允许处理敏感个人信息、允许个人信息跨境
传输,同时又设置个人信息处理的法律边界,
要求个人信息处理行为合理、合法、合规,
保证个人信息依法有序自由流动,促进个人
信息合理利用,实现个人信息的价值。3D
怍者单位:南京邮电大学信息产业发展战略研究院
中国电值业33