个人信息如何加上“安全锁”
来源:人民周刊 更新时间:2021-11-22

    随着互联网技术进步、商业营销向精准化方向发展,公民家庭信息、工作信息、购物信息等逐渐成为一种新型“资源”。下载一款手机APP,却发现APP不断读取个人相册与通讯录;购买房屋后,持续接到推销家具、推荐装修等的陌生电话……个人信息遭泄露、被非法买卖,降低了平静生活中的安全感与幸福感。

    出台个人信息保护法律法规,为个人信息加上法律“安全锁”,不仅是万千群众的期待,而且成为互联网时代完善公民权益的重要举措。11月1日,由十三届全国人大常委会第三十次会议审议通过的《中华人民共和国个人信息保护法》(以下简称“个人信息保护法”)开始施行,这是我国立法史上出台的首部个人信息保护专门法律。

    “在民法典对个人信息给予私法保护的基础上,作为公法的个人信息保护法颁布实施,实现了对公民个人信息‘公’‘私’结合的立体保护。公法的介入,使国家对个人信息的保护更为主动,违法行为人的违法成本进一步提高,对违法行为的威慑更为有力。”中央财经大学法学院教授、学术委员会委员吴韬表示。

    为个人信息保护立法,对保障公民权益意义重大

    从列车出发地与目的地等出行信息,到名下房产、银行账户等财产信息,在个人信息非法交易产业链中,几乎所有类别的公民信息都可以明码标价出售或购买,活跃的个人信息交易市场隐藏在“背光处”。

    “除信息骚扰等相对较轻的权益侵害外,个人信息泄露后,涉及人身安全、财产安全、名誉尊严等的严重侵害也可能发生。”北京航空航天大学法学院硕士生导师薄守省表示,公民首先有生活不被打扰的权利,个人信息泄露显然会影响生活安宁;其次,个人信息本身就是一种需要保护的权益,即使个人或组织非法获得公民个人信息后没有用于任何用途,这种行为也需要禁止。

    “当今时代,信息技术突破性发展,使个人信息保护成为迫切需要法律规制的重大课题。为个人信息安全立法,对保护公民权益,尤其是隐私权益意义重大。立法不仅必要,而且十分必要。”薄守省说。

    此次出台的个人信息保护法,对公民个人信息的收集、存储、使用、加工、传输、提供、公开、删除等处理行为都作出细致规范。浙江大学光华法学院教授、中国证券法学研究会副会长李有星认为,这弥补了法律制度的??缺项。“个人信息保护是一种新的权利。民法典中虽然提到了个人信息保护,但是??远远不够,只有制定针对个人信息保护的专门法律,才能够真正形成关于??公民个人信息管理、保护、利用等方面??系统化、周密化的制度设计。”

    “以前,尽管有网络安全法、电子商务法等法律法规,但是对于个人信息收集的规则仍然不够明确,什么叫作数据、什么属于个人信息等的概念边界都不够清晰,何为??个人信息的非法收集、非法交易等也存在争议,一些个人或组织会??按照自己的理解,甚至打法律‘擦边球’进行操作。个人信息保护法对合法的个人信息收集作出清晰界定,只有将概念界定清楚,人们才能行之有据。”李有星表示。

    根据此次出台的个人信息保护法,个人信息包括以电子或其他方式记录的与已识别或可识别的自然人有关的各种信息,除为签订合同、履行义务等而处理公民个人信息或处理公民自行公开的个人信息外,公民个人信息的收集、传输、公开等行为必须以个人在充分知情前提下的自愿、明确同意,个人信息处理者真实、准确、完整地告知处理目的、处理方式、保存期限等事项为前提,公民有权限制或拒绝他人对自己的个人信息进行处理。李有星认为,这对知情权、同意权、查询权、更正权、删除权等个人信息??的权利形成了完善的保护。

    生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹……除作出处理个人信息应遵循的一般性规定外,个人信息保护法还对敏感个人信息的含义以列举式予以明确,并以单独章节对敏感个人信息的处理规则进行了重点说明。根据法律条文,一旦泄露或非法使用,容易导致自然人的人格尊严受到侵害或人身、财产安全受到危害的个人信息,都属于敏感个人信息。“在现实中落实对敏感个人信息的保护,有赖于法律法规进一步明确范围和实践中的准确判断。比如,体检材料中的健康信息可能影响公民就业与职业发展,因此属于典型的敏感个人信息;金融账户、行踪轨迹等信息一旦公开可能影响公民财产安全乃至人身安全,因此除国家有关部门有权处理外,不应当随意泄露,信息处理者即使了解到这些信息也应当履行??保密义务。”李有星介绍。

    因敏感个人信息泄露导致公民人格尊严受到侵害,在很大程度上表现为公民社会评价的下降。薄守省表示,个人信息泄露使公民生活在他人“监视”之下,因此信息泄露本身就可以视为对公民人格尊严的一种侵犯。“浏览某些产品后,互联网平台会不断推送类似产品,无处不在的大数据已经使我们有了切身体会。此外,类似‘失足女’游街等泄露敏感个人信息、侵害公民人格尊严的做法,当事人或许并未感到不妥,但是一旦‘失足女’以人格尊严受到侵害为由诉诸法律,大概率会胜诉。”

    ??从对个人信息的概念界定到敏感个人信息的处理规则,从公民在个人信息处理活动中的权利到个人信息处理者的义务,此次出台的个人信息保护法对公民个人信息的保护作出全面规范。“这部法律的出台意义重大,它真正把个人信息??作为法律调整对象,基本上可以满足当前群众对个人信息保护的要求,使公民个人信息保护??有法可依。”李有星说。

    对公民权益给予倾斜性保护,公民同意是关键

    个人信息保护法施行后,合法的个人信息收集、使用、传输、公开等处理流程,是个人信息处理者取得公民自愿、明确同意后,在以显著方式、清晰易懂的语言,真实、准确、完整地向个人告知个人信息处理者的名称或姓名、联系方式,个人信息的处理目的、处理方式、信息种类、保存期限等事项后,严格按照双方约定处理个人信息,并为公民提供便捷的撤回同意方式。公民有权撤回同意,除提供产品或服务所必需的个人信息外,个人信息处理者不得以公民不同意或撤回同意个人信息处理为由,拒绝提供产品或服务。

    这一系列流程的落实,在很大程度上依赖于个人信息处理双方的约定。那么,通过立法形式保障对个人信息处理的公民双方约定,未来一旦出现违法违规或单方毁约等状况,法律问责追责机制将如何启动以保障公民个人权益?

    “基于事前认定的规则建立的契约关系,意味着对规则的认可,契约双方都要受法律条文的约束。公民知情同意,个人信息处理者才有权处理信息,一旦违背约定,个人信息处理行为便相当于回归到公民不知情、未同意的非法收集、非法传输等非法处理阶段,国家有关部门可以按照个人信息保护法的相关规定,追究违法行为的行政责任、刑事责任。受侵害的个人可以依据合同契约条款追究个人信息处理者的违约责任,也可根据个人信息保护法等规定追究其侵权责任。个人信息保护法对公民个人信息的保护特别强调‘告知—同意’,个人信息处理者合法处理个人信息,必须以公民同意为前提。”李有星分析道。

    部分APP等网络平台为获得合法处理用户个人信息的资格,往往事先制定严密的规则,用户安装使用时必须首先同意这些规则条款,才能够获得网络平台提供的服务。“这些规则对平台自身的责任约定很轻、很少,用户既没有讨价还价的机会,也没有对条款进行选择的余地,只能或者放弃使用,或者接受条款。”薄守省表示。

    为最大程度保障公民同意个人信息处理时的自由意志,个人信息保护法明确,不得以个人不同意或撤回同意个人信息处理为由拒绝提供产品或服务。“在网络平台企业与个人用户之间,明确规定前者提供相关服务不能与后者对个人信息处理的同意捆绑在一起,对作为弱势群体的后者给予倾斜性保护。”吴韬认为,这是个人信息保护法的重要亮点之一。

    对于违背公民自由意志、非法处理个人信息的行为,个人信息保护法也提供了畅通的维权途径。中央财经大学法学院教授、博士生导师邢会强说:“个人信息保护法规定,个人信息处理者应当建立个人行使权利的便捷申请受理和处理机制,公民可以通过个人信息处理者的内部投诉处理机制维权。根据个人信息保护法,国家网信部门、国务院有关部门、县级以上地方人民政府有关部门等履行个人信息保护职责的部门,应当履行接受、处理与个人信息保护有关的投诉、举报等个人信息保护职责,公民可以向这些主管部门申诉。依据个人信息保护法,个人信息处理者拒绝公民行使权利请求的,公民也可以依法向人民法院提起诉讼。”

    一旦查实个人信息处理行为违反个人信息保护法相关规定,个人信息处理者便有可能被处以数万元乃至数十万元罚款、吊销相关业务许可或营业执照,甚至将承担刑事责任。薄守省介绍:“违反个人信息保护法的后果和责任可以分为三类:一是没收违法所得、罚款、责令暂停或终止提供服务、吊销业务许可或营业执照、对直接责任人员进行从业任职限制等行政责任;二是民事责任,主要是赔偿责任;三是以刑法为依据的刑事责任,根据刑法相关规定,窃取或以其他方法非法获取公民个人信息、违规向他人出售或提供公民个人信息等侵犯公民个人信息罪,情节特别严重的,将处以3年以上7年以下有期徒刑并处罚金。”

    根据个人信息保护法,因处理个人信息、侵害个人权益造成的公民损失,如果个人信息处理者无法证明自己没有过错,应当承担损害赔偿等侵权责任。薄守省认为,这一举证责任倒置原则的实行对公民一方非常有利。“个人信息保护的主要难点之一就是举证困难。举证责任倒置,可以大大减轻公民的举证负担。”

    “此外,如果损害赔偿责任仅按照公民受到的损失或个人信息处理者获得的利益确定,力度显然不够,侵犯个人信息案件的民事责任还应当借鉴消费者保护法,规定惩罚性的赔偿。在对个人信息保护违约责任的追究中,当事人之间的合同是重要依据,但是很多个人信息案件涉及公共利益,因此单靠合同法来规制也远远不够,还需要采取行政措施甚至刑事措施。”薄守省说。

    “法律不规定责任,相当于没有牙齿的老虎。这些责任规定,就是个人信息保护法的‘牙齿’。”在薄守省看来,监管部门介入进行“必需性”审查也是必要的。“在实践中如何认定信息收集的‘必需’?即使个人同意、合同成立,事后产生诉讼纠纷,法院也有权对条款的效力进行审查判断。因此,对个人信息的合法处理除经过‘告知—同意’流程外,还必须由监管部门以公权力介入,进行‘必需性’审查。处理非‘必需’的信息,即使公民同意,也不应当视为合法。”

    细则持续完善,法律逐步落实

    “我曾经负责主持过一个关于区块链技术下个人信息??删除权的课题研究。”李有星介绍,信息一旦通过“全程留痕”的区块链存储,就几乎无法再更改和删除,因此,立法中有必要充分考虑到区块链等技术发展带来的数据信息更正、删除的不可行及替代性方案。而此次出台的个人信息保护法沿用传统的删除权、更正权,将其作为公民在个人信息处理活动中的重要权利加以保障,要求个人信息处理者对公民请求更正、补充的个人信息经核实后及时更正、补充,并在公民撤回同意、处理目的已实现等情况下主动删除个人信息。

    在个人信息保护法立法过程中,李有星曾与专业人士就这一条款展开讨论。“法律条款特别规定:‘删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理’。既然信息数据一旦存储上链,原则上就不再能够删除,那么区块链等特殊技术如何遵从个人信息保护法规定?法律是否需要明确规定涉及个人数据信息的不能采用区块链技术?或者能否使用??分类管理、加密技术、遮掩技术等可替代的保护措施,在数据源依然存在的情况下将信息隐藏起来,使社会公众无法查看,从而满足删除、更正等权利无法实现时对公民个人信息的保护?”李有星介绍,欧盟为保障公民个人信息数据安全而颁布的《通用数据保护条例》所要求的删除是从根本上清除,我国的个人信息保护法则并未对“删除”的含义作出明确。

    “个人信息保护法的条款逻辑严密,对公民个人信息的保护作出全方位设计,普通群众都能够看懂,是一部很好的法律。而在??技术层面,如何实现个人信息保护法在??新技术条件下对公民个人信息的保护,还有赖于技术水平的提升,以及在制度层面针对不同的技术完善细则,制定??更可操作的标准与规范。”李有星表示。

    “法律通常只能构建一个框架,具体的判断标准、行为标准等还有待于通过法规规章司法解释和行业标准等不断充实和丰富。”吴韬说。

    “任何一部法律都不可能尽善尽美。未尽之处或未来出现新情况时,需要及时修法,补充调整规则。”薄守省表示,为了维护法律的稳定性,一些具体问题可以通过制定《实施细则》或《实施办法》等方式进行灵活调整。“这样既便于应对复杂的社会生活,又可以避免法律修改过于频繁。”

    在邢会强看来,重要数据目录、安全评估细则、个人信息影响评估细则、个人信息保护负责人设置与工作细则、个人信息保护合规审计指引、标准合同条款、大型复杂信息处理者外部监督委员会行为指引等,都是当前亟须制定的相关细则与标准。

    “徒法不足以自行。”法律从出台到落实,需要走过很长一段路途;许多公民寄望于通过个人信息保护法的施行从根本上“斩断”非法交易个人信息产业链,还生活以宁静,在现实中还任重道远。“个人信息保护法完善了非法处理个人信息的民事责任和行政责任。此前,已有司法解释规定了非法出售、提供个人信息的刑事责任。刑事责任是最严厉的,仍然未能从根本上‘斩断’非法交易个人信息产业链,何况责任更弱的民事责任和行政责任。”邢会强表示,非法交易个人信息产业链庞大,很多非法交易活动在暗网中进行,从根本上“斩断”,需要投入更大的执法资源。

    “个人信息保护法的规定较为原则,执法中具有很大的灵活性。”邢会强认为,从立法到落实,一方面要求履行个人信息保护职责的部门通过执法案例以案释法,明确执法标准,另一方面要求个人信息处理者主动拥抱监管、拥抱合规,树立诚信意识,践行“设计的隐私保护”理念,切实把个人信息权益保护落实到具体业务流程和产品中。

    薄守省也表示,法律出台只是万里长征迈出第一步。“立法只是一个开始,之后如何落实才是最重要的。确保个人信息处理者履行义务、保障公民权益,需要全社会共同努力:一是每个人都要增强权利意识,敢于依法维护个人信息权益;二是监管部门要尽职尽责,不能懈怠姑息,有案必查;三是个人信息处理者要增强法律意识,遵守法律。这三个方面彼此作用,相互促进。”

    “违法行为往往基于利益驱动,只要做到违法就一定被处理,违法成本远高于收益,违法情况就肯定会减少。此外,国家网信部门、国务院有关部门等履职部门行使职权的标准有待细化,不同部门间的协调机制、工作衔接机制等也有待明确。普通群众对个人信息权益被侵害后如何维权尚不够了解,这也需要进行普法宣传。”薄守省说。

    “作为一部??国家层面制定的、关于个人信息保护的重要法律,法律条文更多是??概括性、抽象性、总体性的要求。在??具体落实中,几乎每一个环节都需要补充很多规章制度或??操作规程。而从??有法可依到有法必依、??执法必严、违法必究,在实践中已经不再是立法的问题,而是司法的问题。”李有星表示,有了立法就有了框架,在框架的指引下,未来个人信息保护领域的法律法规将逐步细化和完善。(记者 武凤珠)