10月13日,个人信息保护法草案“千呼万唤始出来”,提交全国人大常委会审议。
“个人信息保护立法坚持从我国实际出发,深入总结网络安全法等法律、法规、标准的实施经验,并充分借鉴有关国际组织和国家、地区的个人信息保护相关准则、指导原则和法规,建立健全适应我国个人信息保护需要的法律制度。”全国人大常委会法工委发言人臧铁伟表示。
草案确立了以“告知——同意”为核心的个人信息处理一系列规则,有望为破解这些问题提供法律依据。
截至3月,我国互联网用户已达9亿,互联网网站超过400万个,应用程序超300万个,个人信息的收集、使用更为广泛。虽然近年来我国个人信息保护力度不断加大,但随意收集、违法获取、过度使用、非法买卖,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题仍十分突出,尤其在疫情期间,许多人反映自己的信息被频繁采集,感觉隐私受到侵犯。
此次草案可以算作“回应型立法”,在当前信息化社会及时回应公众的需要。
“个人信息保护法在《民法典》规定的‘应当遵循合法、正当、必要的原则’基础上,强调个人信息处理者不能过度处理信息。”段和段律师事务所律师刘燕向记者介绍说,处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言将个人信息处理者的身份、联系方式,个人信息的处理目的、处理方式,处理的个人信息种类、保存期限,个人行使本法规定权利的方式和程序等事项向个人告知。
“个人信息保护法的制定,将进一步增强法律规范的系统性、针对性和可操作性,在个人信息保护方面形成更加完备的制度、提供更加有力的法律保障。”臧铁伟说。
一些平台还利用收集的大数据向用户推送个性化广告。草案对此明确,利用个人信息进行自动化决策,应当保证决策的透明度和处理结果的公平合理。刘燕表示,搜一下商品出现无数广告的商业营销、信息推送将涉嫌违法,个人信息处理者应注意对信息处理分寸的把握,兼顾商业权益与客户的隐私权益。企业自动化决策给个人权益造成重大影响的,当事人有权拒绝个人信息处理者处理其信息。
刘燕强调,在个人信息安全意识不断提高的当下,如何立法执法防范个人信息泄露、非法买卖、非法利用等风险,以及个人信息被非法利用后的民事责任、行政责任以及刑事责任承担。在强调责任承担后,还应考虑侵权行为的救济途径,不断提升人民群众的信息安全感。我们选择单独制定规则约束,还是适用原有法律,是值得探讨的问题。不同类型的企业、监管机构、消费者对立法的需求有所侧重,需要立法机关汇集各方意见从专业角度进行平衡。
“我国个人信息保护立法可以参考GDPR和美国等其他国家信息安全法律给企业、市场、互联网经济带来的影响,并结合我国立法条件综合判断。个人信息权益的内容可能需要进一步具体规范,如个人信息跨境转移、被遗忘权、可携带权等。”刘燕说。