十三届全国人大常委会第三十次会议表决通过的《中华人民共和国个人信息保护法》,是我国第一部个人信息保护方面的专门法律。该法以保护个人信息权益、规范个人信息处理活动、促进个人信息合理利用为立法目的,对个人信息处理规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门以及法律责任作出了极为系统完备与科学严谨的规定。其中,最引人注意的是以下十大亮点:
亮点一:全方位规范个人信息处理活动
个人信息保护法对个人信息处理活动进行了全方位规范。首先,对个人信息的界定采取了关联说,将其界定为以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息;其次,在民法典列举的个人信息的收集、存储、使用、加工、传输、提供、公开等处理活动类型的基础上,新增了“删除”;再次,无论是国家机关、法律法规授权的具有管理公共事务职能的组织抑或作为营利法人的公司企业,或者非法人组织以及自然人,其实施的个人信息处理活动都适用个人信息保护法,除非法律另有规定。
亮点二:空间适用上以属地管辖为原则,辅之以必要的保护性管辖
为适应互联网的开放性、全球性及数据信息的流动性,充分保护我国境内自然人的个人信息权益,我国个人信息保护法在空间适用范围即域外适用的问题上坚持了属地管辖为原则,辅之以必要的保护性管辖。首先,依据该法第3条第1款,只要在我国境内处理自然人个人信息的活动,无论处理者是组织还是个人,无论是我国的还是外国的组织、个人,都必须适用个人信息保护法;其次,第3条第2款明确规定了三类在我国境外处理我国境内自然人个人信息的活动,即以向境内自然人提供产品或者服务为目的,分析、评估境内自然人的行为以及法律、行政法规规定的其他情形,无论处理者本身是否是我国的组织或个人,都要适用个人信息保护法。
亮点三:个人信息处理活动的多元合法根据
个人信息的处理活动在客观上就是对个人信息权益的侵入或影响,如果没有合法根据,该处理活动就是侵害个人信息权益的行为,属于不法行为。个人信息处理的合法根据有两大类:一是告知并取得个人的同意,这种情形下的个人信息处理活动就是“基于个人同意处理个人信息的”活动,处理行为的合法性来自信息主体即个人的有效同意;二是法定理由,即法律、行政法规规定的情形或理由,此时无需个人的同意即可处理个人信息。就法定理由的范围如何,各国差异很大,我国个人信息保护法的起草中也存在很大的争议。
最终,立法机关在充分考虑了我国的国情,兼顾现实与未来发展基础上,与民法典等法律保持一致,吸收借鉴了比较法上的优秀成果,在个人信息保护法第13条第1款第2项至第7项中,明确规定了六类无需取得个人同意即可处理个人信息的情形,分别是:(1)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(2)为履行法定职责或者法定义务所必需;(3)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(4)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(5)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(6)法律、行政法规规定的其他情形。
亮点四:完备的告知同意规则
我国个人信息保护法始终坚持以“告知同意”为核心构建个人信息的处理规则,利用多个条文对告知同意规则作出了详细规定,具体包括:要求个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知该法所列举的各个事项;严格限制不需要告知的情形;明确了个人的同意应当是由个人在充分知情的前提下自愿、明确作出。同时,如果法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。在基于个人同意处理个人信息的情形中,如果个人信息的处理目的、处理方式和处理的个人信息种类、保存期限发生变更的,应当重新取得个人同意。基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式,处理者不得以个人不同意为由拒绝提供产品或者服务。
亮点五:对自动化决策的全面规范
自动化决策,是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。自动化决策是建立在大数据、机器学习、人工智能和算法等基础之上的,其通过大数据技术对海量的用户进行持续追踪和信息采集,然后遵循特定的规则处理所收集的个人信息,对用户进行数字画像和相应的决策。
我国个人信息保护法第24条在综合采取算法透明化与个人赋权两种观点的基础上,对利用个人信息进行自动化决策进行了全面规范。首先,要求个人信息处理者利用个人信息进行自动化决策时,必须保证决策的透明度和结果的公平和公正,尤其是不得对个人在交易价格等交易条件上实行不合理的差别待遇;其次,要求个人信息处理者通过自动化决策方式进行信息推送、商业营销时,应当同时提供不针对其个人特征的选项,或者向个人提供拒绝的方式;最后,赋予个人要求处理者予以说明的权利和拒绝权,即通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
亮点六:对人脸识别的严格规制
现代网络信息技术尤其是大数据和人工智能技术高速发展,通过在公共场所安装图像采集和个人身份识别设备,可以随时对自然人的脸部特征、指纹信息等生物识别信息以及行踪轨迹等其他个人信息进行处理,其中,最典型也最常见的就是人脸识别技术的运用。近年来,我国人脸识别被滥用的情形时有发生,由此导致社会公众的高度关注。为回应社会关切,个人信息保护法第26条明确规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。这就是说,只有在满足为了维护公共安全、符合国家有关规定、设置了显著提示标识等3个条件的情形下,才可以在公共场所安装图像采集、个人身份识别设备,采集人脸信息、行踪轨迹信息等个人信息。并且要严格限制取得的个人信息的用途,即只能用于维护公共安全。个人信息保护法第62条第2项还明确要求,国家网信部门统筹有关部门依据本法针对人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准。
亮点七:全面且可诉讼救济的个人信息处理活动中的个人权利
为了更好地保护自然人的个人信息权益,个人信息保护法第四章对个人在个人信息处理活动中的权利作出了详细规定,包括明确了个人对个人信息处理享有知情权与决定权;有权查阅复制个人信息;符合条件时的个人信息可携带权;有权要求更正或补充不完整、不正确的个人信息;有权要求个人信息处理者删除个人信息;有权要求个人信息处理者对个人信息处理规则进行解释说明等。此外,为了保护死者近亲属自身合法、正当的利益,同时也尊重死者的遗愿并保护死者本人及其交往者的隐私和通信秘密,个人信息保护法允许死者近亲属可以对死者的相关个人信息行使查阅、复制、更正、删除等权利,但是,死者生前另有安排的除外。更重要的是,为了更好地保障上述个人权利的实现,个人信息保护法还专门赋予这些权利以诉讼救济保障,即个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。
亮点八:严格的个人信息处理者的义务
为了确保个人信息处理活动的合法性与个人信息的安全,个人信息保护法对个人信息处理者的义务作出了严格且详细的规定,包括个人信息处理者采取措施确保个人信息处理活动合法并保护个人信息安全的义务;按照规定指定个人信息保护负责人的义务;定期进行合规审计的义务;对于各种高风险的个人信息处理活动进行个人信息保护影响评估并对处理情况进行记录的义务;在发生或可能发生个人信息泄露等安全事件时立即采取补救措施并通知监管机构和个人的义务。其中特别值得注意的是,个人信息保护法第58条规定了提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者负有的特殊义务。这些大型的网络企业不仅要确保自身个人信息处理活动符合法律规定、合乎科技伦理,承担应有的社会责任并接受社会监督,还必须通过制定公平公正的平台规则以及制止违法行为等措施,使平台内产品或者服务提供者也必须合法地处理个人信息并保护个人信息的安全。
亮点九:对违法的个人信息处理活动的严厉处罚
为了更好地惩治和预防违法处理行为,个人信息保护法规定了严格的法律责任,例如,对于违法的个人信息处理行为中情节严重的,除没收违法所得,还可以并处五千万元以下或者上一年度营业额百分之五以下罚款,并责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;同时,对于直接负责的主管人员和其他直接责任人员不仅要给予罚款,还可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。有个人信息保护法规定的违法行为的,还将按照法律、行政法规的规定记入信用档案,予以公示。
亮点十:侵害个人信息权益的过错推定责任
个人信息保护法第69条明确了侵害个人信息权益实行过错推定责任,规定个人信息处理者如果不能证明自己没有过错的,就必须要为其处理个人信息侵害个人信息权益造成的损害承担损害赔偿等侵权责任。该规定对于减轻受害人的举证负担,保护其个人信息权益非常有利。不仅如此,考虑到侵害个人信息权益对受害人造成的损害主要是精神损害,但是精神损害往往难以证明,个人信息保护法第69条特别规定:因侵害个人信息权益,无论给受害人造成的是财产损失还是精神损害,都可以按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。
(作者为清华大学法学院副院长、教授、博士生导师)