当前位置: 首页 > 法学实务 > 审判研讨
《个人信息保护法》的十大突出亮点和热点问题解读
作者:丹棱论坛  发布时间:2022-11-10 17:14:18 打印 字号: | |



《个人信息保护法》自2021年11月1日起施行以来,迄今已满一周年。回顾过去十年来,我国在个人信息保护方面的工作,可谓一步一个台阶,法网越织越密。党的二十大报告再次强调,要加强个人信息保护。这为我国今后的个人信息保护工作进一步奠定了基调、明确了方向。


本文对《个人信息保护法》的十大突出亮点进行梳理,并附上专家学者对于该法施行一周年以来热点问题的解读,以供参考。



《个人信息保护法》十大突出亮点



一是个人信息的“保护”和“利用”同步推进。


《个人信息保护法》第一条规定:“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。”事实上,“规范个人信息处理活动”处于《个人信息保护法》的核心地位,只有夯实“规范个人信息处理活动”这个关键环节,才能确保实现保护个人信息权益和促进个人信息合理利用之目的。《个人信息保护法》的立法宗旨,是在确保个人信息安全的前提下,依法促进个人信息的合理利用,“保护”个人信息和“促进”合理利用要同步推进。


二是完善“个人信息”的定义。


《个人信息保护法》第四条第一款将“个人信息”定义为:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”该定义与《民法典》《网络安全法》中的“个人信息”最大的不同在于增加“不包括匿名化处理后的信息”的除外规定,即明确“个人信息”经匿名化处理后不属于个人信息,无须适用《个人信息保护法》的相关规定,体现了“保护”与“利用”的并重。


三是确立个人信息处理的基本原则。


《个人信息保护法》确立的处理个人信息的重要法律原则包括:遵循合法、正当、必要和诚信原则;采取对个人权益影响最小的方式,限于实现处理目的的最小范围原则;处理个人信息应当遵循公开、透明原则;处理个人信息应当保证个人信息质量原则;采取必要措施确保个人信息安全原则等。


《个人信息保护法》第六条规定:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”这两个“最小原则”,是个人信息处理应遵循的核心原则。


四是确立“告知-知情-同意”的个人信息处理规则。


《个人信息保护法》不仅确立了以“告知-同意”的个人信息处理规则,而且构建了以“告知-知情-同意”为核心的个人信息处理规则体系。个人信息处理者“告知”的目的是为了确保被告知者的充分“知情”,只有被告知者在充分知情的前提下才能自愿、明确地作出决定。《个人信息保护法》第十四条明确规定:“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。”


五是确立敏感个人信息的认定与保护规则。


《个人信息保护法》没有对自然人的隐私信息作出专门规定,而是将个人信息分为敏感信息和非敏感信息,并设专节规定“敏感个人信息的处理规则”。《个人信息保护法》第二十八条对“敏感个人信息”进行定义,即“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”


《个人信息保护法》对处理敏感个人信息作出严格的限制性规定,即在履行“告知-知情-同意”原则的基础上,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息,特别是处理敏感个人信息应当取得个人的单独同意。


六是规范自动化决策与遏制“大数据杀熟”。


针对“大数据杀熟”“用户画像”和“算法推荐”等涉及个人信息自动化决策的热点问题,《个人信息保护法》第二十四条作出明确规定:第一,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇;第二,通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式;第三,通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。


七是明确个人信息跨境提供规则。


《个人信息保护法》第三十八条第一款明确个人信息跨境提供的基本规则,即个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备以下四项条件之一:一是依照《个人信息保护法》第四十条的规定通过国家网信部门组织的安全评估;二是按照国家网信部门的规定经专业机构进行个人信息保护认证;三是按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;四是法律、行政法规或者国家网信部门规定的其他条件。


八是明确个人在个人信息处理活动中的七项基本权利。


《个人信息保护法》构建了个人在个人信息处理活动中的七项权利:一是知情同意权,收集和使用自然人个人信息必须遵循合法、正当、必要原则,且目的必须明确并经用户的知情同意。二是决定权,个人有权限制、拒绝或撤回他人对其个人信息的处理。三是查阅复制权,个人有权向个人信息处理者查阅、复制其个人信息。四是个人信息可携带权,个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。五是更正补充权,个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。六是删除权,在五种情形下,个人信息处理者应当主动删除个人信息。个人信息处理者未删除的,个人有权请求删除:1.处理目的已实现、无法实现或者为实现处理目的不再必要;2.个人信息处理者停止提供产品或者服务,或者保存期限已届满;3.个人撤回同意;4.个人信息处理者违反法律、行政法规或者违反约定处理个人信息;5.法律、行政法规规定的其他情形。七是规则解释权,个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。


九是强调重要互联网平台的“守门人”责任。


鉴于重要互联网平台掌握海量用户数据,一旦发生信息泄露或滥用,可能导致严重后果,《个人信息保护法》专门要求其履行“守门人”角色,并承担更多责任,主要包括:1.应按照国家规定建立健全个人信息保护合规制度体系;2.成立主要由外部成员组成的独立机构进行监督;3.遵循公开、公平、公正的原则制定平台规则;4.对严重违法处理个人信息的平台内产品或服务提供者停止提供服务;5.定期发布个人信息保护社会责任报告并接受社会监督等。


十是确立个人信息处理者侵权责任的过错推定规则。


《个人信息保护法》第六十九条规定:“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。”


“个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任”,即适用“过错推定”原则,在个人信息处理者不能证明其没有过错的情况下,推定其有过错,应承担损害赔偿等侵权责任。



个人信息保护热点问题解读


聚焦《个人信息保护法》颁布一周年以来的热点问题,记者专访清华大学法学院副院长程啸教授,以及中国人民大学法学院、民商事法律科学研究中心执行主任石佳友教授,详谈《个人信息保护法》带来的重要影响及未来个人信息保护的方向。


问:今年以来,出现了不少滥用个人信息、数据泄露的事件,随着人类向数字空间迁移,个人越发透明,虽然有专门针对个人信息的法律,但是生活中依旧感觉个人不断让渡信息,对此您认为可以从哪些方面改进?


程啸:个人信息的安全与保护是合理利用的前提。《个人信息保护法》第二章规定了个人信息处理规则,明确了处理个人信息的合法性基础,并将国家机关处理个人信息的特别规定纳入进来,防范行政部门违法违规处理个人信息的问题。


在实践中,特别是在疫情期间,尤其需要把握公共利益和个人信息保护的关系,避免随意、过度地收集个人信息,保障信息主体合法的个人信息权益。


在规范主体方面,“个人信息处理者”是主要义务人,为了确保个人信息处理活动的合法合规,防止出现未经授权的访问以及个人信息泄露等安全问题,有义务采取必要的措施,如完善个人信息全生命周期管理制度、对个人信息进行分类管理等。


问:《个人信息保护法》第四章对“个人在个人信息处理活动中的权利”作出详细的规定,规定个人的查阅、复制、删除等系列权利。据您观察,目前个人行权有何难点?个人行权是否能真正实现?


程啸:个人对其个人信息处理的知情权和决定权是个人信息权益最核心的内容,而查阅权、复制权、可携带权、更正权、补充权、删除权、解释说明权等只是手段性或救济性权利,旨在保护知情权和决定权。


《个人信息保护法》第四章所规定的“个人在个人信息处理活动中的权利”指向的义务主体是个人信息处理者,只有个人信息处理者履行对应的义务,才能实现个人的这些权利。如果个人请求查阅、复制其个人信息,个人信息处理者应当及时提供,否则查阅、复制权就无法实现。


在司法实践中,有一种观点认为《个人信息保护法》第五十条第二款设置了个人向法院起诉的前置条件。当个人信息权益遭受侵害时,个人应先向个人信息处理者提出请求,只有被处理者拒绝后才能起诉,否则法院应予驳回。


我认为这种观点是有待商榷的。如果个人认为其个人信息权益被侵害后,须先向个人信息处理者提出请求,遭拒后才能向法院起诉,那么法院在决定是否受理时,势必要审查个人是否向个人信息处理者提出请求。如果处理者既不停止对个人信息权益的侵害,也不出具任何拒绝的证明材料,个人岂非无法通过起诉来维护自身合法权益?这显然是不妥当的。


没有救济,就没有权利。如果规定了个人在个人信息处理活动中的权利,却不允许权利人在权利无法得到实现时寻求法院的救济,那么该权利就没有意义了。


问:随着全球数字经济发展,数字遗产概念受到海内外广泛关注,但其法律属性、分类和继承性问题存在一定争议,对此您怎么看?


程啸:进入数字社会,自然人死后留下的财产不仅仅是物权、债权、知识产权以及股权,还会留下“数字遗产”。除了经济价值外,还需要关注其精神价值。人们既可以通过遗嘱对于个人的合法财产进行处分,也可以对数字遗产进行处分。法律对此应当给予尊重。


如个人未在生前通过遗嘱对于其数字遗产作出安排,处分数字遗产的权利应由死者的近亲属决定,而不是由网络服务提供者通过格式条款进行安排。如果互联网公司担心账号的继承和转让会引发混乱,可以通过格式条款进行控制和预防,但不能以此为由剥夺自然人对账号的控制力和支配力以及死后账号被继承的可能。


问:我们关注到仍有较多平台尚未在隐私协议中落实数据可携带权相关规定,为用户提供个人信息副本获取和转移的服务。您认为原因何在?数据可携带权在落实过程中存在哪些核心难点?


石佳友:目前可携带权的实施细则还有待明确,企业优化相关的技术和安全保障能力存在一定成本压力,欠缺积极落实可携带权的动力。


数据可携带权对于企业合规工作也带来一些启示。虽然具体细则有待明确,但法律已经作出要求,平台企业作为个人信息处理者,需要有前瞻意识,将“被动配合”转变为“主动合规”。特别是头部互联网平台需要履行相应的社会责任,可以先行先试,推动行业自律,以主动的心态去拥抱法律和监管。在实践中可以先推进行业标准的建设,监管部门在此基础上逐渐制定成熟的国家标准。这是一个非常有意义的探索过程。


问:人脸识别对于个人信息保护带来了哪些挑战?《个人信息保护法》对于人脸识别技术的运用作出相关规定,目前落地情况如何?面临哪些主要难点?


石佳友:近几年,人脸识别对个人信息保护带来的挑战逐渐被公众和监管部门重视。在认可人脸识别技术带来的便利性时,也应注意其背后的风险和隐患。在拉网式人脸信息收集的过程中可能严重威胁个人隐私,造成人身、财产以及心理上的安全隐忧。


强调“科技向善”非常重要,人脸识别就是一个很典型的场域。2021年发布的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》对滥用人脸识别技术问题作出司法统一规定。《个人信息保护法》也强化了对人脸信息的保护。另外,2022年3月,中共中央办公厅、国务院办公厅发布了《关于加强科技伦理治理的意见》,明确提出强化底线思维和风险意识,塑造科技向善的文化理念和保障机制。这些要求对于人脸识别治理具有重要指导作用。


我觉得从法律的角度来讲,要求是明确具体的,落地难点在于相关个人信息处理者的合规问题。比如曾经引起热议的小区物业使用人脸识别设备的问题,采集人脸信息必须依法征得业主或物业使用人同意,并且不能以人脸识别作为唯一的验证方式。


法律已经作出明确规定,个人信息处理者需要强化合规观念,在实践中不能流于形式,对于人脸信息处理活动需要落实单独同意规则,这部分是有待改善的。


问:学界有声音认为对于包括人脸信息在内的生物识别信息应进行专项立法,对此您如何看?


石佳友:专门立法有一定的意义,并且也有国际上的先例,比如美国伊利诺伊州、得克萨斯州等地颁布了关于生物隐私信息的监管法规。


但如果要专门立法,就不仅是针对人脸识别,而是包括各类生物识别信息,如指纹、虹膜、步态等,都应该纳入到规制范围。但是考虑到现状,专门立法在立法技术上应该难度不小。


不同生物识别技术发展程度和应用范围不一样,带来的风险也不一样,在此情况下是否能够制定一部统一的法律还有待观察。目前对于人脸识别已形成基本的法律框架,在《个人信息保护法》和相关司法解释已经出台的情况下,对短期内是否有必要再另行制定专门立法,可能也会有不同认知。


问:您认为接下来有哪些重要抓手推动这部法律的落地?


程啸:信息技术快速发展,面对出现的新问题,首先还是要立足中国国情,加强对于个人信息保护的研究。二是相应的配套文件包括行政法规、部门规章等还需要进一步细化。三是充分发挥个人信息保护职能部门的力量,常态的执法、事前监督、事后处罚都需要重视。


石佳友:首先是相关监管部门进一步细化配套措施,更好地让法律落地,因为《个人信息保护法》中的大量条文都依赖于配套措施的出台。譬如,行政机关应加快公共场所图像采集管理法规的起草工作,司法机关应尽快就个人信息民事纠纷出台相应的司法解释。


企业方面则需要重视“主动合规”,根据“合法、正当、必要”原则来规制日常商业实践,全面梳理既有做法,推进行业自律。头部企业充分履行社会责任,就某些问题先形成行业公约或最佳实践,为日后的立法总结和推广积累经验,都具有十分积极的意义。另外,建议行政机关出台一些个人信息合规方面的示范文本,司法机关定期颁布典型案例判决,为企业的合规工作提供具体和明确的指引。



来源:法治网、21世纪经济报道、北大法律信息网

转载自:最高人民法院司法案例研究院微信公众号




 
责任编辑:范静