个人信息保护法草案(下称“草案”)近日提请十三届全国人大常委会会议审议。从内容上看,草案对个人信息范围作出了明确界定,聚焦目前个人信息保护的突出问题,并加大了对违法行为的惩处力度。
草案备受关注的亮点,同时也是展示其雄心的重点。
作为一类随数字时代发展而产生的新问题,个人信息范围本身就有较大争议。国际上有“关联说”即信息能否关联到个人,也有“识别说”即信息是否可识别。草案明确个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,即匿名化处理后的信息不包含在内——采用的是后者。“识别说”会对如何监管还原匿名信息并滥用的问题提出更高要求,但也可以令个人信息范围更加明确和清晰,这也是目前较符合国际趋势的范围定义。
而对比此前因缺乏针对性法律间接造成的低违法成本问题,草案以大力度的高额处罚亮明了对个人信息保护的强硬态度。草案规定的顶格处罚是情节严重者可处5000万元以下或上一年度营业额5%以下罚款;而一向以严格著称的欧盟《通用数据保护条例》(GDPR)规定,重者处以2000万欧元或者企业上一年度全球营收的4%(两者取其高)的罚款。在以营业额比例为罚款依据这一方面,草案规定甚至高于GDPR。
更重要的是,草案立足实际,确立了以“告知—同意”为核心的个人信息处理系列规则,明确了知情同意在个人信息保护的不同使用场景中的具体表现。在这一方面,草案划分得很细致,例如,要求处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。这样的规则,将令曾经比比皆是的App“不同意隐私条款即不能享受服务”,以及隐藏在用户协议中平台对用户的个人信息完全免费、不可撤销、永久可转授权、可再许可等霸王条款,明确认定为违法。
无论是采用与国际趋势相一致的“识别说”、顶格处罚看齐GDPR,或是针对现实问题的个人信息处理规则,都不难看出,这是一部颇具雄心的草案。但要让雄心得以实现,除了决心和态度,还需要强力的执行配套。
一方面,大力度惩罚背后,更需要详细的情节划分,例如,对应顶格处罚的严重情节,分别包含哪些行为、到何种程度,都需要以量化标准具体地予以明确。另一方面,监管部门与执法责任需详细落实。目前,个人信息保护的监管仍处于“九龙治水”的状态,网信、市场监管、工信、公安等部门各负责一块,容易出现推诿“踢皮球”的现象。如何协调好各部门之间的关系、明确各部门之间的责任边界、调动各部门的监管积极性,则很大程度上决定了个人信息保护法的执行效率,也将会是个人信息保护法落地的难点所在。
数字时代,个人信息的随意甚至非法采集、滥用及非法买卖日渐猖獗,个人信息保护已成为公民权益最迫切需要被保障的部分,个人信息安全不仅关乎个人权益,亦与社会稳定发展息息相关。个人信息保护法的出台势在必行,如何让这部草案的雄心变为现实,让个人信息保护法成为保护公民个人信息的铠甲,还需更多执法监管的可行性措施作配套。
