中国信息通信研究院互联网法律研究中心高级研究员杨婕
全国人大代表、江苏省律师协会副会长车捷
9月10日,南都个人信息保护研究中心举办数字经济治理论坛第七期——“个人信息保护法解读与展望”,并发布《个人信息保护法立法之媒体观察报告》。
中国信息通信研究院互联网法律研究中心高级研究员杨婕表示,个保法重点解决了信息滥用及泄露两大问题,其中在应对个人信息泄露方面已形成一个闭环管理机制,即通过履行个人信息安全保障义务防范个人信息泄露源头,同时设立个人信息泄露通知制度对末端进行控制。
她还认为,个保法中新增的个人信息可携带权体现了立法的前瞻性,能打破平台数据垄断,构建用户主导型个人信息跨平台流通机制,而区别大小型个人信息处理者的规则标准体现出差异化、体系化的制度设计理念。
建立个人信息泄露通知制度
在杨婕看来,随着信息技术水平提升,信息的存储运用形式从传统纸本转变为低成本的数据;而我国网民人数众多,线上线下的信息收集手段多样,个人信息保护问题复杂多变,更易引发信息泄露及滥用问题。据她统计,2020年全球数据泄露量超过了过去15年的总和,个人信息泄露占所有数据泄露事件的60%。在这样的背景下,个人信息保护法重点解决了两大问题——个人信息滥用及泄露。
在个人信息滥用方面,个保法规定的个人信息处理规则、个人在个人信息处理活动中的权利等都针对滥用问题制定了较为普遍的规制。而在信息泄露方面,杨婕认为已“形成了一个闭环管理机制”——通过履行个人信息安全保障义务防范个人信息泄露源头,同时设立个人信息泄露通知制度对末端进行控制。
个保法第五十七条规定,“发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。”谈及设立个人信息泄露通知制度的原因,杨婕表示,网络安全领域不是一个绝对安全领域,而是一个相对安全领域,它具有很强的专业性,攻击行为具有隐蔽性、多变性。“安全是动态安全能力的维持,而不只是静态的确定性结果。因此,即使个人信息处理者充分履行了安全保障义务,也很难保证绝对安全。”
她指出,从多元治理和资源配置的角度来看,发生个人信息泄露、篡改、丢失等个人信息安全事件或可能产生个人信息泄露、篡改、丢失等个人信息安全风险时,构建个人信息泄露通知制度,通过触发监管资源及时介入,以及启动个人主体的防御举措,形成个人信息处理者、履行个人信息保护职责的部门以及个人之间的有效联动机制,能够极大地减轻个人信息泄露事件的影响。“个人信息泄露往往与数据非法交易相关,贩卖者通常将个人信息在‘暗网’上兜售,有些只接受比特币进行隐蔽交易,监管机构很难及时发现。个人信息泄露通知制度能够帮助监管机构及时了解泄露的具体情况,进而制定相应的应急监管方案。”
个保法规定了通知个人的豁免情形
“另一方面,个人信息泄露通知制度能够减少个人损失。发生个人信息泄露事件时,如果能够及时通知个人,个人就有机会通过采取更改密码等措施,或者提高对诈骗等行为的警惕,将个人信息泄露带来的损失最小化。”杨婕说。
据了解,美国各州、欧盟、澳大利亚等国都曾从建立个人信息泄露通知制度入手来解决个人信息泄露难题。杨婕认为,一直以来,我国都在不断推进个人信息泄露通知制度,而此次个保法进一步完善了该制度。
首先,个保法明确了个人和履行个人信息保护职责的部门属于通知对象,解决了此前的网络安全法、《电信和互联网用户个人信息保护规定》在确定通知对象方面存在的指向不明与适用范围有限的问题。
其次,个保法规定了通知个人的豁免情形。并非所有个人信息泄露事件都要启动通知制度,如果采取了补救措施阻止伤害或泄露事件本身未对个人造成危害,则无需通知个人,以避免使个人信息处理者增加不必要的通知成本。
再者,个保法立法的整体理念是设置了一种区分化的法律责任。“个人信息泄露通知制度并不代表个人信息安全保障义务的免除。在信息泄露事件发生后,企业通知个人及监管机构,机构将针对其开展个人信息安全检查,判断个人信息泄露事件是否与个人信息安全保障义务履行不到位有关。若有关,即使履行了相关通知义务,仍需为泄露事件承担法律责任。”杨婕强调。
明确提出个人信息可携带权
个保法第四十五条规定,“个人请求将其个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径”,明确提出了个人信息可携带权。
杨婕分析,这是个保法立法具有前瞻性的体现。当下,许多占据市场先发地位的大型平台凭借其在早期积累的大量用户个人信息获得了不可撼动的行业地位,并因此肆意调整隐私政策迫使用户接受不公平隐私条款,而个人信息可携权可有效打破大型平台数据垄断的局面。
此外,可携权的设立可以强化用户的自主权,有效破除个人信息流通障碍,以用户权益为出发点,构建用户主导型的个人信息跨平台流通机制,起到防止个人信息锁定,降低市场准入门槛以及增强平台间竞争的效果。
“目前,个保法中针对可携权的规定是原则性的,要求‘符合国家网信部门规定条件’为制定该权利的执行形式保留了立法空白,也为国家网信部门制定配套性立法提供了空间。”杨婕直言,接下来需从个人信息类型、处理方式及目的、对第三方权益的影响等方面对可携权进行限缩,避免企业因此增加不合理成本。
小型个人信息处理者豁免部分义务
杨婕还十分关注对大型及小型个人信息处理者规则、标准的区别制定,体现出制度设计的差异化和体系化。
个保法规定,针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准;而提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。
她认为,不同个人信息处理者在处理模式及相关风险上都存在很大差异,比如头部互联网平台用户数量巨大,在信息处理活动中具备极强的控制力和支配力,因此需在保护层面承担更重的法律义务。小型个人信息处理者凭借其技术水平、风险等级,应当豁免其部分义务。
2016年的徐玉玉被骗猝死案、2020年的人脸识别第一案、2021年的大数据杀熟第一案……随着数字经济时代的到来,信息安全愈加受到重视。个人信息保护是一个综合性、系统性、全面性的工程,需要社会各界的合力形成共同治理,为此,杨婕肯定了媒体在宣传个人信息保护方面的重要性。
个人信息泄露往往与数据非法交易相关,贩卖者通常将个人信息在“暗网”上兜售,有些只接受比特币进行隐蔽交易,监管机构很难及时发现。个人信息泄露通知制度能够帮助监管机构及时了解泄露的具体情况,进而制定相应的应急监管方案。
——中国信息通信研究院互联网法律研究中心高级研究员杨婕
当公司等主体在接到死者近亲属行使死者个人信息权利请求时,将有权要求近亲属说明其行权目的,同时可对死者生前是否已对其个人信息的死后处理作出安排予以审查,如果有证据证明不符合上述法定情形,可以拒绝响应近亲属行权请求。
——全国人大代表、江苏省律师协会副会长车捷
关注
近亲属行使死者个人信息权利时 需说明行权目的 个保法限缩了近亲属行权情形,若企业发现行权目的与死者生前意愿相违背,可拒绝响应
在论坛上,全国人大代表、江苏省律师协会副会长车捷就个人信息保护法在立法过程中的焦点条款发表观点。他强调,个人信息保护法针对死者个人信息保护的相关规定,既体现立法者对于死者生前意愿的充分尊重,也进一步限缩了近亲属行权的情形。如果企业发现近亲属的行权目的与死者生前意愿相违背,可拒绝响应近亲属的行权请求。
宪法作为个保法立法依据
8月20日,个人信息保护法经十三届全国人大常委会第三十次会议表决通过,于11月1日起施行。
从启动立法研究到正式出台,这部法律历时18年,经历了许多社会变化。尤其是互联网的发展,促进了立法进程,也为立法工作带来诸多挑战。作为全国人大代表,车捷多年来建议加快个人信息保护法的立法进程,并在立法期间向全国人大提出修改建议。
与此前的版本相比,个人信息保护法在第一条中新增“根据宪法,制定本法”。车捷指出,这背后的法理是“自然人有独立人格,有权自主塑造其在社会中的身份,自主决定其个人事务,因而个人有权防范他人不当处理涉及个人的信息,以维护主体尊严或人格自主”。
他还表示,宪法具有双重功能,一是防御权功能,即对抗公权主体。国家负有避免侵害基本权利的消极(不作为)义务,在此功能下,个人信息受保护权在国家和个人这一双方关系中竖起屏障,可防御国家在处理个人信息过程中侵害个体尊严。其次,国家有为公民个人信息提供积极保护的义务。车捷强调,在此功能下,个人信息受保护权处理的是国家、个人和第三方的三边关系,国家为使个人尊严免受第三方侵害需积极提供保护。
处理已公开个人信息的标准有待明确
如今,利用网络爬虫等技术,从公开渠道获得的大量信息进行收集、聚合、分类、关联和分析,并通过付费会员服务等方式获取利益已成为一种成熟的商业模式。然而,在实务中对于已公开的个人信息的爬取和使用,仍有不少争议。
据车捷介绍,上述问题所对应的条款也是个人信息保护法在制定过程中的焦点条款之一。
个人信息保护法第二十七条规定,个人信息处理者可以在合理范围内处理个人自行公开或者其他已经合法公开的个人信息,个人明确的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当按照本法规定取得个人同意。
而二审稿规定,个人信息处理者处理公开的个人信息,应当符合被公开时的用途,超出该用途相关的合理范围的,应当依照本法规定取得个人同意。“实际上这一条(二审稿的规定)是比较难掌握的。”车捷解释,因为企业很难判断个人公开时的用途,或者说在用途不明确的时候,合理谨慎地处理个人信息的要求是比较难以掌握的。
“毕竟我们在保护个人信息的同时,还要促进个人信息的使用。”车捷举例说,在基于社会管理、政府管理而使用个人信息,人社部门、教育部门批量使用个人信息的情况下,如果完全依二审稿中的相关规定则会增加难度,不利于管理行为。
虽然个人信息保护法的终版“大幅简化了判定个人信息公开时的用途”等内容,但他强调,处理已公开个人信息仍需以“合理”为限。在判断“合理”范围时,应考虑个人信息被公开时的用途、个人的隐私期待、使用公开信息对个人权益的影响等因素,具体标准仍有待监管执法与司法裁判所明确。
限缩了近亲属代替死者行权的情形
此外,据车捷介绍,死者个人信息的保护问题也是个人信息保护法立法过程中讨论较多的内容之一。
个人信息保护法第四十九条规定,自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。
相比于二审稿,终版对死者近亲属行权增加了“为了自身的合法、正当利益”以及“死者生前另有安排的除外”的规定。
车捷表示,此变化一方面体现立法者对于死者生前意愿的充分尊重,另一方面进一步限缩了近亲属行权的情形。当公司等主体在接到死者近亲属行使死者个人信息权利请求时,将有权要求近亲属说明其行权目的,同时可对死者生前是否已对其个人信息的死后处理作出安排予以审查,如果有证据证明不符合上述法定情形,可以拒绝响应近亲属行权请求。