千呼萬喚始出來 個人信息保護法將這樣捍衛信息安全

朱慧卿作（新華社發）

　　個人信息保護法草案終於“揭開面紗”。草案中確立了以“告知—同意”為核心的個人信息處理規則，即處理個人信息應當在事先充分告知的前提下取得個人同意，並且個人有權撤回同意；不得以個人不同意為由拒絕提供産品或者服務。此外，草案對違法處理個人信息行為設置了嚴格的法律責任，其中一大亮點是提高了違法成本，可處5000萬元以下或者上一年度營業額百分之五以下罰款。

　　不久前，一則“清華大學教授拒絕小區人臉識別門禁”的新聞引發熱議，也將人們的目光聚焦到個人信息保護這一話題上。隨著信息化與經濟社會的深度融合，人們越來越享受信息化帶來的種種便利，但也要面對個人信息洩露等問題帶來的或大或小的煩惱。為此，制定一部個人信息保護方面專門法律的呼聲也不絕於耳。

　　在10月13日開幕的十三屆全國人大常委會第二十二次會議上，個人信息保護法草案終於“揭開面紗”。相關專家表示，草案的制定將為個人信息保護形成更加完備的制度，提供更加有力的法律保障。

　　千呼萬喚始出來

　　最新數據顯示，截至2020年6月，我國網民規模達9.4億，相當於全球網民的五分之一，較2020年3月增長3625萬。網站數量為468萬個，國內市場上監測到的APP數量為359萬款。個人信息的收集、使用更為廣泛。

　　近年來，雖然我國個人信息保護力度不斷加大，但在現實生活中，一些企業、機構甚至個人，從商業利益等目的出發，隨意收集、違法獲取、過度使用、非法買賣個人信息，利用個人信息侵擾人民群眾生活安寧、危害人民群眾生命健康和財産安全，相關問題十分突出。相關業內專家認為，我國個人信息保護法律制度已逐步建立，但仍難以適應信息化快速發展的現實情況。因此，應當在現行法律基礎上制定出臺專門法律，增強法律規範的系統性、針對性和可操作性。

　　中國社會科學院法學研究所研究員周漢華分析，一方面，現實生活中個人信息得不到保護的問題越來越突出；另一方面，隨著信息化時代的到來，數字經濟快速發展，信息即資源，如何處理好保護個人信息與數字經濟發展的關係，需要在立法過程中不斷平衡。周漢華認為，個人信息保護法的制定經歷了相對較長的週期，可謂“千呼萬喚始出來”。較長的時間週期，也為更好認識信息化快速發展過程中出現的個人信息保護問題提供了便利，現在法律草案的亮相可謂“水到渠成”。

　　保障個人知情權決定權

　　何謂個人信息？此次的法律草案明確，個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理後的信息。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等活動。

　　周漢華稱，這一概念相對寬泛，因為隨著大數據時代的到來，個人信息很容易被識別，相對寬泛的定義有利於把各種情況包含其中，更好保護個人信息。

　　草案中確立了以“告知—同意”為核心的個人信息處理規則，即：處理個人信息應當在事先充分告知的前提下取得個人同意，並且個人有權撤回同意；重要事項發生變更的應當重新取得個人同意；不得以個人不同意為由拒絕提供産品或者服務。

　　北京華訊律師事務所主任張韜表示，“告知—同意”規則中的告知即要充分保障相關個人主體的知情權，同意是要保障其對信息的自主決定權，保障這兩種權利才能從根本上保障個人信息安全。

　　此外，此次草案還設專節對處理敏感個人信息作出嚴格限制，只有在具有特定目的和充分必要性的情形下，方可處理敏感個人信息，並且應當取得個人單獨同意或者書面同意。

　　張韜表示，敏感個人信息包括種族、民族、宗教信仰、個人生物特徵、醫療健康、金融賬戶、個人行蹤等信息，從其定義就可看出，一旦洩露或者非法使用，可能導致個人受到歧視或者人身、財産安全受到嚴重危害。“敏感個人信息和每個人都有重大利害關係，設專節既能顯示立法機關對這一問題的重視，又能更具針對性地對相關方面問題作具體約束和專門管理，為個人信息保護築起堅固堡壘。”張韜説。

　　解決大數據殺熟等問題

　　在網上搜索一個商品，接著就不斷收到同類商品的廣告推送……生活中，我們多少都遇到過類似問題。

　　對此，草案規定，通過自動化決策方式進行商業營銷、信息推送，應當同時提供不針對其個人特徵的選項。

　　周漢華説：“定制化服務是大數據時代的一個特點，隨之出現的一個挑戰是大數據被濫用以及可能造成的‘大數據殺熟’等問題。對‘自動化決策’作出規定，就是為了解決相關問題。”

　　此外，草案還明確，個人認為自動化決策對其權益造成重大影響的，有權要求個人信息處理者予以説明，並有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。

　　張韜認為，這些規定意味著解決“信息繭房”問題受到了重視，“數據信息的利用過程中可能産生的負面問題，正通過立法方式進行規制，平臺不能向用戶僅推送個性化信息及廣告，否則用戶有權拒絕”。

　　草案規定，在公共場所安裝圖像採集、個人身份識別設備，應當為維護公共安全所必需，遵守國家有關規定，並設置顯著的提示標識。所收集的個人圖像、個人身份特徵信息只能用於維護公共安全的目的，不得公開或者向他人提供。

　　周漢華認為，這一規定可以看作整部草案的一大亮點。“現在‘無處不在’的人臉識別、視頻監控等系統存在信息洩露風險，相關信息一旦被洩露和濫用，有可能威脅個人的人身、財産安全以及公共安全。從草案中可以看出，這一問題已經得到了立法機關的重視。”周漢華説。

　　張韜表示，公共場所中的監控或其他個人信息識別設備的安裝及使用，既關係公共安全，也關係廣大不特定人群的信息安全，因此有必要對其進行規制。

　　提高違法行為打擊力度

　　草案對違法處理個人信息行為設置了嚴格的法律責任。周漢華表示：“對每個人很小的一點侵害，在全社會範圍合起來都會造成很大的問題，因此要提高對違法行為的打擊力度。如何提高違法成本，同時把法律規定的內容落實下來是草案起草的一大難點。”

　　可以看到，此次草案對法律責任作出的具體規定包括：違反本法規定處理個人信息，或者處理個人信息未按照規定採取必要的安全保護措施的，由履行個人信息保護職責的部門責令改正，沒收違法所得，給予警告；拒不改正的，並處100萬元以下罰款；對直接負責的主管人員和其他直接責任人員處1萬元以上10萬元以下罰款。

　　上述違法行為情節嚴重的，由履行個人信息保護職責的部門責令改正，沒收違法所得，並處5000萬元以下或者上一年度營業額百分之五以下罰款，並可以責令暫停相關業務、停業整頓、通報有關主管部門吊銷相關業務許可證或者吊銷營業執照。

　　周漢華認為，“並處5000萬元以下或者上一年度營業額百分之五以下罰款”這一規定是一大亮點，按營業額百分比進行罰款可以提高法律對相關企業違法行為的威懾力。