《个人信息保护法》最大亮点是“两个最小”原则
来源:人民邮电报 更新时间:2021-09-03

《个人信息保护法》最大亮点是“两个最小”原则

专访浙江大学教授王春晖
8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》。这是一部极为重要的、也是与人民生活紧密联系的个人信息保护领域的法律,引起了社会的广泛关注。

《个人信息保护法》正式发布后,《人民邮电》报记者专访了浙江大学王春晖教授,请他对《个人信息保护法》进行深入解读。

观点摘要:

1.这部法律的亮点在总则部分第六条的“两个最小”原则:影响最小、范围最小。这是个人信息处理应遵循的核心原则,尤其是处理目的的“最小范围”,是禁止“过度收集个人信息”的关键要点。

2.处理敏感个人信息是在履行“告知-知情-同意”原则的基础上,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。

3.《个人信息保护法》第五条引入了“诚信原则”,剑指“大数据杀熟”,被称为“帝王原则”。但它的内涵和外延都不确定,且涵盖的范围极大,远远超过其他一般条款的规定,操作起来可能比较困难。

4.针对大企业特别建立的“守门人”制度有可能被“滥用”。因为这种“守门人”制度赋予了大型互联网平台一种“执法权”,大型互联网平台是否有能力对平台内其他经营者的个人信息处理的合规情况依法展开调查?对于这一点存在疑问。建议国家有关部门出台专门针对“守门人”制度的规范,让“守门人”这项制度本身有法可依。

记者:在《个人信息保护法》出台之前,其实已经有多部相关法律和规定,比如《网络安全法》《民法典》《数据安全法》等,为什么还要出台《个人信息保护法》?

王春晖:党的十八大以来,国家高度重视网络与数据安全以及个人信息保护领域的立法。随着数字化、网络化和智能化快速发展,因个人信息被过度收集、滥用、泄露,导致公民权益受到侵害的事件时有发生,特别是2016年8月发生的山东姑娘徐玉玉因个人信息泄露导致被骗身亡案件,令人触目惊心。因此,在现行个人信息保护的法律框架上制定一部具有系统性、针对性、可操作性和更加体系化的专门的个人信息保护法,是社会各界广泛关注的焦点,而且立法呼声也很高。《个人信息保护法》正是在这样的背景下出台的。

记者:《个人信息保护法》确立了哪几项重要的法律原则?

王春晖:《个人信息保护法》确立多项重要的法律原则,如遵循合法、正当、必要和诚信原则;采取对个人权益影响最小的方式,限于实现处理目的的最小范围原则等。但是《个人信息保护法》总则部分第六条有两个“最小原则”,这是个人信息处理应遵循的核心原则,尤其是处理目的的“最小范围”,这是禁止“过度收集个人信息”的关键要点,因为个人信息处理者只有在严格遵守处理目的的“最小范围”的前提下,即“非必要不收集”的情况下,才能确保其采取对个人权益影响最小的方式。

记者:《个人信息保护法》构建了以“告知-同意”为核心的个人信息处理规则,您怎么理解这项规则?

王春晖:应当指出,个人信息处理者“告知”的目的是确保被告知者的充分“知情”,只有被告知者在充分知情的前提下才能自愿、明确地作出决定。因此,《个人信息保护法》第十四条特别强调了“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出”,即“告知-知情-同意”。

记者:如何认定《个人信息保护法》中的“敏感个人信息”及其保护规则?

王春晖:《个人信息保护法》没有对自然人的隐私信息做出专门规定,而是将个人信息分为敏感信息和非敏感信息,并设专节设置了“敏感个人信息的处理规则”,对“敏感个人信息”的概念和敏感个人信息的处理规则作出了明确具体的规定。该法对处理敏感个人信息作出了严格的限制性规定,即在履行“告知-知情-同意”原则的基础上,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。

记者:“大数据杀熟”是人们普遍关注的问题,您怎么看这一点?

王春晖:《个人信息保护法》特别针对“大数据杀熟”“用户画像”“算法推荐”等涉及个人信息自动化决策的热点问题作出了规范,并明确要求处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。值得注意的是,《个人信息保护法》第五条引入了“诚信原则”,“诚信原则”是“诚实信用原则”的简称,这是民法中最重要的一项原则,被称为“帝王原则”。这一原则要求所有个人信息的处理者在不损害个人信息权益的前提下,追求自己的合法利益。

记者:普通用户在个人信息处理活动中具有哪些权利,如何实现?

王春晖:《个人信息保护法》全面构建了个人在个人信息处理活动中的权利。自然人对其个人信息享有的决定权,包括向个人信息处理者撤回同意的权利、限制或者拒绝他人对其个人信息进行处理的权利,实际上就是自然人对个人信息的处理享有“最终决定权”。然而,面对大型数字平台的优势地位,处于弱势地位的个人如何实现基于个人意志对其个人信息享有的决定权,这需要夯实大型数字平台的个人信息保护合规制度体系。

记者:对于目前存在的“一揽子授权”“强制同意”等问题,在使用APP的时候不同意不让用,这种行为构成侵权吗?

王春晖:表面来看,移动应用APP运营者似乎告知了用户相关权利,用户可以选择不授权,但这样做的结果是导致APP无法使用。特别是,当这种做法成为行业“潜规则”的时候,除了被迫同意,用户几乎没有其他选择。对此,《个人信息保护法》特别强调,个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务。

记者:《个人信息保护法》要求大型互联网平台成立主要由外部成员组成的独立机构对个人信息保护情况进行监督,您怎样看这项规定?

王春晖:鉴于超级平台的特殊性,《个人信息保护法》要求超级平台成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督。本人对此表示担忧,这可能会出现既不“独立”也不“监督”的情形,就好似《公司法》设立的独立董事制度一样,我国的独立董事制度在很多情形下是既不“独立”也不“懂事”,不能真正起到监督的作用,其主要原因是我国没有建立第三方的独立董事。建议由国家网信部门成立或指定第三方组织履行对平台个人信息处理活动的独立监督职能。

记者:这部法律中特别提到了“守门人”制度,为什么会有这种规定?

王春晖:我本人担心,这项制度有可能被“滥用”。因为这种“守门人”制度赋予了大型互联网平台一种“执法权”,大型互联网平台是否有能力对平台内其他经营者的个人信息处理情况依法展开合规调查,我本人存在很大的疑问。建议国家有关部门出台专门针对“守门人”制度的规范,让“守门人”这项制度本身有法可依。

记者:在执法层面,该法指出,国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作,这种方式会对执法产生什么样的影响?

王春晖:实际上,《个人信息保护法》关于履行个人信息保护监管职责的规定还是很清晰的,首先,国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作;其次,国务院有关部门依法在各自职责范围内负责个人信息保护和监督管理工作;最后,县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。此外,《个人信息保护法》规定,任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。这一规定在实际执行中会出现不知道向哪家机构投诉、举报的情形,建议国家设立专门的国家一体化的个人信息保护投诉、举报平台,统一受理违法个人信息处理活动。(记者 方正梁)