護(hù)僑普法
您當(dāng)前所在位置是:護(hù)僑普法 > 護(hù)僑普法
《個人信息保護(hù)法》的十大突出亮點(diǎn)和熱點(diǎn)問題解讀
發(fā)布時(shí)間:2022-11-12     作者:   來源:最高人民法院司法案例研究院微信   點(diǎn)擊量:2157   分享到:
字號:

《個人信息保護(hù)法》自2021年11月1日起施行以來,迄今已滿一周年?;仡欉^去十年來,我國在個人信息保護(hù)方面的工作,可謂一步一個臺階,法網(wǎng)越織越密。黨的二十大報(bào)告再次強(qiáng)調(diào),要加強(qiáng)個人信息保護(hù)。這為我國今后的個人信息保護(hù)工作進(jìn)一步奠定了基調(diào)、明確了方向。


本文對《個人信息保護(hù)法》的十大突出亮點(diǎn)進(jìn)行梳理,并附上專家學(xué)者對于該法施行一周年以來熱點(diǎn)問題的解讀,以供參考。


《個人信息保護(hù)法》十大突出亮點(diǎn)



一是個人信息的“保護(hù)”和“利用”同步推進(jìn)。


《個人信息保護(hù)法》第一條規(guī)定:“為了保護(hù)個人信息權(quán)益,規(guī)范個人信息處理活動,促進(jìn)個人信息合理利用,根據(jù)憲法,制定本法。”事實(shí)上,“規(guī)范個人信息處理活動”處于《個人信息保護(hù)法》的核心地位,只有夯實(shí)“規(guī)范個人信息處理活動”這個關(guān)鍵環(huán)節(jié),才能確保實(shí)現(xiàn)保護(hù)個人信息權(quán)益和促進(jìn)個人信息合理利用之目的。《個人信息保護(hù)法》的立法宗旨,是在確保個人信息安全的前提下,依法促進(jìn)個人信息的合理利用,“保護(hù)”個人信息和“促進(jìn)”合理利用要同步推進(jìn)。


二是完善“個人信息”的定義。


《個人信息保護(hù)法》第四條第一款將“個人信息”定義為:“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息,不包括匿名化處理后的信息?!痹摱x與《民法典》《網(wǎng)絡(luò)安全法》中的“個人信息”最大的不同在于增加“不包括匿名化處理后的信息”的除外規(guī)定,即明確“個人信息”經(jīng)匿名化處理后不屬于個人信息,無須適用《個人信息保護(hù)法》的相關(guān)規(guī)定,體現(xiàn)了“保護(hù)”與“利用”的并重。


三是確立個人信息處理的基本原則。


《個人信息保護(hù)法》確立的處理個人信息的重要法律原則包括:遵循合法、正當(dāng)、必要和誠信原則;采取對個人權(quán)益影響最小的方式,限于實(shí)現(xiàn)處理目的的最小范圍原則;處理個人信息應(yīng)當(dāng)遵循公開、透明原則;處理個人信息應(yīng)當(dāng)保證個人信息質(zhì)量原則;采取必要措施確保個人信息安全原則等。


《個人信息保護(hù)法》第六條規(guī)定:“處理個人信息應(yīng)當(dāng)具有明確、合理的目的,并應(yīng)當(dāng)與處理目的直接相關(guān),采取對個人權(quán)益影響最小的方式。收集個人信息,應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍,不得過度收集個人信息?!边@兩個“最小原則”,是個人信息處理應(yīng)遵循的核心原則。


四是確立“告知-知情-同意”的個人信息處理規(guī)則。


《個人信息保護(hù)法》不僅確立了以“告知-同意”的個人信息處理規(guī)則,而且構(gòu)建了以“告知-知情-同意”為核心的個人信息處理規(guī)則體系。個人信息處理者“告知”的目的是為了確保被告知者的充分“知情”,只有被告知者在充分知情的前提下才能自愿、明確地作出決定。《個人信息保護(hù)法》第十四條明確規(guī)定:“基于個人同意處理個人信息的,該同意應(yīng)當(dāng)由個人在充分知情的前提下自愿、明確作出。法律、行政法規(guī)規(guī)定處理個人信息應(yīng)當(dāng)取得個人單獨(dú)同意或者書面同意的,從其規(guī)定?!?/p>


五是確立敏感個人信息的認(rèn)定與保護(hù)規(guī)則。


《個人信息保護(hù)法》沒有對自然人的隱私信息作出專門規(guī)定,而是將個人信息分為敏感信息和非敏感信息,并設(shè)專節(jié)規(guī)定“敏感個人信息的處理規(guī)則”?!秱€人信息保護(hù)法》第二十八條對“敏感個人信息”進(jìn)行定義,即“敏感個人信息是一旦泄露或者非法使用,容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息?!?/p>


《個人信息保護(hù)法》對處理敏感個人信息作出嚴(yán)格的限制性規(guī)定,即在履行“告知-知情-同意”原則的基礎(chǔ)上,只有在具有特定的目的和充分的必要性,并采取嚴(yán)格保護(hù)措施的情形下,個人信息處理者方可處理敏感個人信息,特別是處理敏感個人信息應(yīng)當(dāng)取得個人的單獨(dú)同意。


六是規(guī)范自動化決策與遏制“大數(shù)據(jù)殺熟”。


針對“大數(shù)據(jù)殺熟”“用戶畫像”和“算法推薦”等涉及個人信息自動化決策的熱點(diǎn)問題,《個人信息保護(hù)法》第二十四條作出明確規(guī)定:第一,個人信息處理者利用個人信息進(jìn)行自動化決策,應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正,不得對個人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇;第二,通過自動化決策方式向個人進(jìn)行信息推送、商業(yè)營銷,應(yīng)當(dāng)同時(shí)提供不針對其個人特征的選項(xiàng),或者向個人提供便捷的拒絕方式;第三,通過自動化決策方式作出對個人權(quán)益有重大影響的決定,個人有權(quán)要求個人信息處理者予以說明,并有權(quán)拒絕個人信息處理者僅通過自動化決策的方式作出決定。


七是明確個人信息跨境提供規(guī)則。


《個人信息保護(hù)法》第三十八條第一款明確個人信息跨境提供的基本規(guī)則,即個人信息處理者因業(yè)務(wù)等需要,確需向中華人民共和國境外提供個人信息的,應(yīng)當(dāng)具備以下四項(xiàng)條件之一:一是依照《個人信息保護(hù)法》第四十條的規(guī)定通過國家網(wǎng)信部門組織的安全評估;二是按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個人信息保護(hù)認(rèn)證;三是按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同,約定雙方的權(quán)利和義務(wù);四是法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件。


八是明確個人在個人信息處理活動中的七項(xiàng)基本權(quán)利。


《個人信息保護(hù)法》構(gòu)建了個人在個人信息處理活動中的七項(xiàng)權(quán)利:一是知情同意權(quán),收集和使用自然人個人信息必須遵循合法、正當(dāng)、必要原則,且目的必須明確并經(jīng)用戶的知情同意。二是決定權(quán),個人有權(quán)限制、拒絕或撤回他人對其個人信息的處理。三是查閱復(fù)制權(quán),個人有權(quán)向個人信息處理者查閱、復(fù)制其個人信息。四是個人信息可攜帶權(quán),個人請求將個人信息轉(zhuǎn)移至其指定的個人信息處理者,符合國家網(wǎng)信部門規(guī)定條件的,個人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑。五是更正補(bǔ)充權(quán),個人發(fā)現(xiàn)其個人信息不準(zhǔn)確或者不完整的,有權(quán)請求個人信息處理者更正、補(bǔ)充。六是刪除權(quán),在五種情形下,個人信息處理者應(yīng)當(dāng)主動刪除個人信息。個人信息處理者未刪除的,個人有權(quán)請求刪除:1.處理目的已實(shí)現(xiàn)、無法實(shí)現(xiàn)或者為實(shí)現(xiàn)處理目的不再必要;2.個人信息處理者停止提供產(chǎn)品或者服務(wù),或者保存期限已屆滿;3.個人撤回同意;4.個人信息處理者違反法律、行政法規(guī)或者違反約定處理個人信息;5.法律、行政法規(guī)規(guī)定的其他情形。七是規(guī)則解釋權(quán),個人有權(quán)要求個人信息處理者對其個人信息處理規(guī)則進(jìn)行解釋說明。


九是強(qiáng)調(diào)重要互聯(lián)網(wǎng)平臺的“守門人”責(zé)任。


鑒于重要互聯(lián)網(wǎng)平臺掌握海量用戶數(shù)據(jù),一旦發(fā)生信息泄露或?yàn)E用,可能導(dǎo)致嚴(yán)重后果,《個人信息保護(hù)法》專門要求其履行“守門人”角色,并承擔(dān)更多責(zé)任,主要包括:1.應(yīng)按照國家規(guī)定建立健全個人信息保護(hù)合規(guī)制度體系;2.成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)進(jìn)行監(jiān)督;3.遵循公開、公平、公正的原則制定平臺規(guī)則;4.對嚴(yán)重違法處理個人信息的平臺內(nèi)產(chǎn)品或服務(wù)提供者停止提供服務(wù);5.定期發(fā)布個人信息保護(hù)社會責(zé)任報(bào)告并接受社會監(jiān)督等。


十是確立個人信息處理者侵權(quán)責(zé)任的過錯推定規(guī)則。


《個人信息保護(hù)法》第六十九條規(guī)定:“處理個人信息侵害個人信息權(quán)益造成損害,個人信息處理者不能證明自己沒有過錯的,應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。前款規(guī)定的損害賠償責(zé)任按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定;個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的,根據(jù)實(shí)際情況確定賠償數(shù)額?!?/p>


“個人信息處理者不能證明自己沒有過錯的,應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任”,即適用“過錯推定”原則,在個人信息處理者不能證明其沒有過錯的情況下,推定其有過錯,應(yīng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。



個人信息保護(hù)熱點(diǎn)問題解讀



聚焦《個人信息保護(hù)法》頒布一周年以來的熱點(diǎn)問題,記者專訪清華大學(xué)法學(xué)院副院長程嘯教授,以及中國人民大學(xué)法學(xué)院、民商事法律科學(xué)研究中心執(zhí)行主任石佳友教授,詳談《個人信息保護(hù)法》帶來的重要影響及未來個人信息保護(hù)的方向。


問:今年以來,出現(xiàn)了不少濫用個人信息、數(shù)據(jù)泄露的事件,隨著人類向數(shù)字空間遷移,個人越發(fā)透明,雖然有專門針對個人信息的法律,但是生活中依舊感覺個人不斷讓渡信息,對此您認(rèn)為可以從哪些方面改進(jìn)?


程嘯:個人信息的安全與保護(hù)是合理利用的前提?!秱€人信息保護(hù)法》第二章規(guī)定了個人信息處理規(guī)則,明確了處理個人信息的合法性基礎(chǔ),并將國家機(jī)關(guān)處理個人信息的特別規(guī)定納入進(jìn)來,防范行政部門違法違規(guī)處理個人信息的問題。


在實(shí)踐中,特別是在疫情期間,尤其需要把握公共利益和個人信息保護(hù)的關(guān)系,避免隨意、過度地收集個人信息,保障信息主體合法的個人信息權(quán)益。


在規(guī)范主體方面,“個人信息處理者”是主要義務(wù)人,為了確保個人信息處理活動的合法合規(guī),防止出現(xiàn)未經(jīng)授權(quán)的訪問以及個人信息泄露等安全問題,有義務(wù)采取必要的措施,如完善個人信息全生命周期管理制度、對個人信息進(jìn)行分類管理等。


問:《個人信息保護(hù)法》第四章對“個人在個人信息處理活動中的權(quán)利”作出詳細(xì)的規(guī)定,規(guī)定個人的查閱、復(fù)制、刪除等系列權(quán)利。據(jù)您觀察,目前個人行權(quán)有何難點(diǎn)?個人行權(quán)是否能真正實(shí)現(xiàn)?


程嘯:個人對其個人信息處理的知情權(quán)和決定權(quán)是個人信息權(quán)益最核心的內(nèi)容,而查閱權(quán)、復(fù)制權(quán)、可攜帶權(quán)、更正權(quán)、補(bǔ)充權(quán)、刪除權(quán)、解釋說明權(quán)等只是手段性或救濟(jì)性權(quán)利,旨在保護(hù)知情權(quán)和決定權(quán)。


《個人信息保護(hù)法》第四章所規(guī)定的“個人在個人信息處理活動中的權(quán)利”指向的義務(wù)主體是個人信息處理者,只有個人信息處理者履行對應(yīng)的義務(wù),才能實(shí)現(xiàn)個人的這些權(quán)利。如果個人請求查閱、復(fù)制其個人信息,個人信息處理者應(yīng)當(dāng)及時(shí)提供,否則查閱、復(fù)制權(quán)就無法實(shí)現(xiàn)。


在司法實(shí)踐中,有一種觀點(diǎn)認(rèn)為《個人信息保護(hù)法》第五十條第二款設(shè)置了個人向法院起訴的前置條件。當(dāng)個人信息權(quán)益遭受侵害時(shí),個人應(yīng)先向個人信息處理者提出請求,只有被處理者拒絕后才能起訴,否則法院應(yīng)予駁回。


我認(rèn)為這種觀點(diǎn)是有待商榷的。如果個人認(rèn)為其個人信息權(quán)益被侵害后,須先向個人信息處理者提出請求,遭拒后才能向法院起訴,那么法院在決定是否受理時(shí),勢必要審查個人是否向個人信息處理者提出請求。如果處理者既不停止對個人信息權(quán)益的侵害,也不出具任何拒絕的證明材料,個人豈非無法通過起訴來維護(hù)自身合法權(quán)益?這顯然是不妥當(dāng)?shù)摹?/p>


沒有救濟(jì),就沒有權(quán)利。如果規(guī)定了個人在個人信息處理活動中的權(quán)利,卻不允許權(quán)利人在權(quán)利無法得到實(shí)現(xiàn)時(shí)尋求法院的救濟(jì),那么該權(quán)利就沒有意義了。


問:隨著全球數(shù)字經(jīng)濟(jì)發(fā)展,數(shù)字遺產(chǎn)概念受到海內(nèi)外廣泛關(guān)注,但其法律屬性、分類和繼承性問題存在一定爭議,對此您怎么看?


程嘯:進(jìn)入數(shù)字社會,自然人死后留下的財(cái)產(chǎn)不僅僅是物權(quán)、債權(quán)、知識產(chǎn)權(quán)以及股權(quán),還會留下“數(shù)字遺產(chǎn)”。除了經(jīng)濟(jì)價(jià)值外,還需要關(guān)注其精神價(jià)值。人們既可以通過遺囑對于個人的合法財(cái)產(chǎn)進(jìn)行處分,也可以對數(shù)字遺產(chǎn)進(jìn)行處分。法律對此應(yīng)當(dāng)給予尊重。


如個人未在生前通過遺囑對于其數(shù)字遺產(chǎn)作出安排,處分?jǐn)?shù)字遺產(chǎn)的權(quán)利應(yīng)由死者的近親屬決定,而不是由網(wǎng)絡(luò)服務(wù)提供者通過格式條款進(jìn)行安排。如果互聯(lián)網(wǎng)公司擔(dān)心賬號的繼承和轉(zhuǎn)讓會引發(fā)混亂,可以通過格式條款進(jìn)行控制和預(yù)防,但不能以此為由剝奪自然人對賬號的控制力和支配力以及死后賬號被繼承的可能。


問:我們關(guān)注到仍有較多平臺尚未在隱私協(xié)議中落實(shí)數(shù)據(jù)可攜帶權(quán)相關(guān)規(guī)定,為用戶提供個人信息副本獲取和轉(zhuǎn)移的服務(wù)。您認(rèn)為原因何在?數(shù)據(jù)可攜帶權(quán)在落實(shí)過程中存在哪些核心難點(diǎn)?


石佳友:目前可攜帶權(quán)的實(shí)施細(xì)則還有待明確,企業(yè)優(yōu)化相關(guān)的技術(shù)和安全保障能力存在一定成本壓力,欠缺積極落實(shí)可攜帶權(quán)的動力。


數(shù)據(jù)可攜帶權(quán)對于企業(yè)合規(guī)工作也帶來一些啟示。雖然具體細(xì)則有待明確,但法律已經(jīng)作出要求,平臺企業(yè)作為個人信息處理者,需要有前瞻意識,將“被動配合”轉(zhuǎn)變?yōu)椤爸鲃雍弦?guī)”。特別是頭部互聯(lián)網(wǎng)平臺需要履行相應(yīng)的社會責(zé)任,可以先行先試,推動行業(yè)自律,以主動的心態(tài)去擁抱法律和監(jiān)管。在實(shí)踐中可以先推進(jìn)行業(yè)標(biāo)準(zhǔn)的建設(shè),監(jiān)管部門在此基礎(chǔ)上逐漸制定成熟的國家標(biāo)準(zhǔn)。這是一個非常有意義的探索過程。


問:人臉識別對于個人信息保護(hù)帶來了哪些挑戰(zhàn)?《個人信息保護(hù)法》對于人臉識別技術(shù)的運(yùn)用作出相關(guān)規(guī)定,目前落地情況如何?面臨哪些主要難點(diǎn)?


石佳友:近幾年,人臉識別對個人信息保護(hù)帶來的挑戰(zhàn)逐漸被公眾和監(jiān)管部門重視。在認(rèn)可人臉識別技術(shù)帶來的便利性時(shí),也應(yīng)注意其背后的風(fēng)險(xiǎn)和隱患。在拉網(wǎng)式人臉信息收集的過程中可能嚴(yán)重威脅個人隱私,造成人身、財(cái)產(chǎn)以及心理上的安全隱憂。


強(qiáng)調(diào)“科技向善”非常重要,人臉識別就是一個很典型的場域。2021年發(fā)布的《最高人民法院關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》對濫用人臉識別技術(shù)問題作出司法統(tǒng)一規(guī)定。《個人信息保護(hù)法》也強(qiáng)化了對人臉信息的保護(hù)。另外,2022年3月,中共中央辦公廳、國務(wù)院辦公廳發(fā)布了《關(guān)于加強(qiáng)科技倫理治理的意見》,明確提出強(qiáng)化底線思維和風(fēng)險(xiǎn)意識,塑造科技向善的文化理念和保障機(jī)制。這些要求對于人臉識別治理具有重要指導(dǎo)作用。


我覺得從法律的角度來講,要求是明確具體的,落地難點(diǎn)在于相關(guān)個人信息處理者的合規(guī)問題。比如曾經(jīng)引起熱議的小區(qū)物業(yè)使用人臉識別設(shè)備的問題,采集人臉信息必須依法征得業(yè)主或物業(yè)使用人同意,并且不能以人臉識別作為唯一的驗(yàn)證方式。


法律已經(jīng)作出明確規(guī)定,個人信息處理者需要強(qiáng)化合規(guī)觀念,在實(shí)踐中不能流于形式,對于人臉信息處理活動需要落實(shí)單獨(dú)同意規(guī)則,這部分是有待改善的。


問:學(xué)界有聲音認(rèn)為對于包括人臉信息在內(nèi)的生物識別信息應(yīng)進(jìn)行專項(xiàng)立法,對此您如何看?


石佳友:專門立法有一定的意義,并且也有國際上的先例,比如美國伊利諾伊州、得克薩斯州等地頒布了關(guān)于生物隱私信息的監(jiān)管法規(guī)。


但如果要專門立法,就不僅是針對人臉識別,而是包括各類生物識別信息,如指紋、虹膜、步態(tài)等,都應(yīng)該納入到規(guī)制范圍。但是考慮到現(xiàn)狀,專門立法在立法技術(shù)上應(yīng)該難度不小。


不同生物識別技術(shù)發(fā)展程度和應(yīng)用范圍不一樣,帶來的風(fēng)險(xiǎn)也不一樣,在此情況下是否能夠制定一部統(tǒng)一的法律還有待觀察。目前對于人臉識別已形成基本的法律框架,在《個人信息保護(hù)法》和相關(guān)司法解釋已經(jīng)出臺的情況下,對短期內(nèi)是否有必要再另行制定專門立法,可能也會有不同認(rèn)知。


問:您認(rèn)為接下來有哪些重要抓手推動這部法律的落地?


程嘯:信息技術(shù)快速發(fā)展,面對出現(xiàn)的新問題,首先還是要立足中國國情,加強(qiáng)對于個人信息保護(hù)的研究。二是相應(yīng)的配套文件包括行政法規(guī)、部門規(guī)章等還需要進(jìn)一步細(xì)化。三是充分發(fā)揮個人信息保護(hù)職能部門的力量,常態(tài)的執(zhí)法、事前監(jiān)督、事后處罰都需要重視。


石佳友:首先是相關(guān)監(jiān)管部門進(jìn)一步細(xì)化配套措施,更好地讓法律落地,因?yàn)椤秱€人信息保護(hù)法》中的大量條文都依賴于配套措施的出臺。譬如,行政機(jī)關(guān)應(yīng)加快公共場所圖像采集管理法規(guī)的起草工作,司法機(jī)關(guān)應(yīng)盡快就個人信息民事糾紛出臺相應(yīng)的司法解釋。


企業(yè)方面則需要重視“主動合規(guī)”,根據(jù)“合法、正當(dāng)、必要”原則來規(guī)制日常商業(yè)實(shí)踐,全面梳理既有做法,推進(jìn)行業(yè)自律。頭部企業(yè)充分履行社會責(zé)任,就某些問題先形成行業(yè)公約或最佳實(shí)踐,為日后的立法總結(jié)和推廣積累經(jīng)驗(yàn),都具有十分積極的意義。另外,建議行政機(jī)關(guān)出臺一些個人信息合規(guī)方面的示范文本,司法機(jī)關(guān)定期頒布典型案例判決,為企業(yè)的合規(guī)工作提供具體和明確的指引。