个人信息保护法捍卫你我信息安全

  个人信息保护法草案终于“揭开面纱”。草案中确立了以“告知—同意”为核心的个人信息处理规则,即处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;不得以个人不同意为由拒绝提供产品或者服务。此外,草案对违法处理个人信息行为设置了严格的法律责任,其中一大亮点是提高了违法成本,可处5000万元以下或者上一年度营业额百分之五以下罚款。

  在10月13日开幕的十三届全国人大常委会第二十二次会议上,个人信息保护法草案终于“揭开面纱”。相关专家表示,草案的制定将为个人信息保护形成更加完备的制度,提供更加有力的法律保障。

  最新数据显示,截至2020年6月,我国网民规模达9.4亿,相当于全球网民的五分之一,较2020年3月增长3625万。网站数量为468万个,国内市场上监测到的APP数量为359万款。个人信息的收集、使用更为广泛。

  中国社会科学院法学研究所研究员周汉华分析,一方面,现实生活中个人信息得不到保护的问题越来越突出;另一方面,随着信息化时代的到来,数字经济快速发展,信息即资源,如何处理好保护个人信息与数字经济发展的关系,需要在立法过程中不断平衡。周汉华认为,个人信息保护法的制定经历了相对较长的周期,可谓“千呼万唤始出来”。较长的时间周期,也为更好认识信息化快速发展过程中出现的个人信息保护问题提供了便利,现在法律草案的亮相可谓“水到渠成”。

  何谓个人信息?此次的法律草案明确,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。

  草案中确立了以“告知—同意”为核心的个人信息处理规则,即:处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。

  此外,此次草案还设专节对处理敏感个人信息作出严格限制,只有在具有特定目的和充分必要性的情形下,方可处理敏感个人信息,并且应当取得个人单独同意或者书面同意。

  解决大数据杀熟等问题

  对此,草案规定,通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项。

  此外,草案还明确,个人认为自动化决策对其权益造成重大影响的,有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

  草案规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供。

  张韬表示,公共场所中的监控或其他个人信息识别设备的安装及使用,既关系公共安全,也关系广大不特定人群的信息安全,因此有必要对其进行规制。

  草案对违法处理个人信息行为设置了严格的法律责任。周汉华表示:“对每个人很小的一点侵害,在全社会范围合起来都会造成很大的问题,因此要提高对违法行为的打击力度。如何提高违法成本,同时把法律规定的内容落实下来是草案起草的一大难点。”

  上述违法行为情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处5000万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可证或者吊销营业执照。

周汉华认为,“并处5000万元以下或者上一年度营业额百分之五以下罚款”这一规定是一大亮点,按营业额百分比进行罚款可以提高法律对相关企业违法行为的威慑力。(记者 张 雪)