亮點一 確立個人信息保護原則 個人信息保護的原則是收集、使用個人信息的基本遵循,是構建個人信息保護具體規(guī)則的制度基礎。 個人信息保護法借鑒國際經(jīng)驗并立足我國實際,確立了個人信息處理應遵循的原則,強調(diào)處理個人信息應當遵循合法、正當、必要和誠信原則,具有明確、合理的目的并與處理目的直接相關,采取對個人權益影響最小的方式,限于實現(xiàn)處理目的的最小范圍,公開處理規(guī)則,保證信息質(zhì)量,采取安全保護措施等。 “這些原則應當貫穿于個人信息處理的全過程、各環(huán)節(jié)?!睏詈蠎c說。
亮點二 規(guī)范處理活動保障權益 個人信息保護法緊緊圍繞規(guī)范個人信息處理活動、保障個人信息權益,構建了以“告知-同意”為核心的個人信息處理規(guī)則。 “‘告知-同意’是法律確立的個人信息保護核心規(guī)則,是保障個人對其個人信息處理知情權和決定權的重要手段?!睏詈蠎c說。 個人信息保護法要求,處理個人信息應當在事先充分告知的前提下取得個人同意,個人信息處理的重要事項發(fā)生變更的應當重新向個人告知并取得同意。同時,針對現(xiàn)實生活中社會反映強烈的一攬子授權、強制同意等問題,個人信息保護法特別要求,個人信息處理者在處理敏感個人信息、向他人提供或公開個人信息、跨境轉移個人信息等環(huán)節(jié)應取得個人的單獨同意,明確個人信息處理者不得過度收集個人信息,不得以個人不同意為由拒絕提供產(chǎn)品或者服務,并賦予個人撤回同意的權利,在個人撤回同意后,個人信息處理者應當停止處理或及時刪除其個人信息。 此外,考慮到經(jīng)濟社會生活的復雜性,個人信息處理的場景日益多樣,個人信息保護法從維護公共利益和保障社會正常生產(chǎn)生活的角度,還對取得個人同意以外可以合法處理個人信息的特定情形作了規(guī)定。 此外,個人信息保護法還分別對共同處理、委托處理等實踐中較為常見的處理情形作出有針對性規(guī)定。
亮點三 禁止“大數(shù)據(jù)殺熟”規(guī)范自動化決策 當前,越來越多的企業(yè)利用大數(shù)據(jù)分析、評估消費者的個人特征用于商業(yè)營銷。有一些企業(yè)通過掌握消費者的經(jīng)濟狀況、消費習慣、對價格的敏感程度等信息,對消費者在交易價格等方面實行歧視性的差別待遇,誤導、欺詐消費者。其中,最典型的就是社會反映突出的“大數(shù)據(jù)殺熟”。 “‘大數(shù)據(jù)殺熟’行為違反了誠實信用原則,侵犯了消費者權益保護法規(guī)定的消費者享有公平交易條件的權利,應當在法律上予以禁止?!睏詈蠎c說。 對此,個人信息保護法明確規(guī)定:個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。
亮點四 嚴格保護敏感個人信息 值得關注的是,個人信息保護法將生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息列為敏感個人信息。個人信息保護法要求,只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,方可處理敏感個人信息,同時應當事前進行影響評估,并向個人告知處理的必要性以及對個人權益的影響。 “這主要是考慮到此類信息一旦泄露或者被非法使用,極易導致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害,因此,對處理敏感個人信息的活動應當作出更加嚴格的限制。”楊合慶說。 值得關注的是,為保護未成年人的個人信息權益和身心健康,個人信息保護法特別將不滿十四周歲未成年人的個人信息確定為敏感個人信息予以嚴格保護。同時,與未成年人保護法有關規(guī)定相銜接,要求處理不滿十四周歲未成年人個人信息應當取得未成年人的父母或者其他監(jiān)護人的同意,并應當對此制定專門的個人信息處理規(guī)則。
亮點五 規(guī)范國家機關處理活動 為履行維護國家安全、懲治犯罪、管理經(jīng)濟社會事務等職責,國家機關需要處理大量個人信息。保護個人信息權益、保障個人信息安全是國家機關應盡的義務和責任。但近年來,一些個人信息泄露事件也反映出有些國家機關存在個人信息保護意識不強、處理流程不規(guī)范、安全保護措施不到位等問題。 對此,個人信息保護法對國家機關處理個人信息的活動作出專門規(guī)定,特別強調(diào)國家機關處理個人信息的活動適用本法,并且處理個人信息應當依照法律、行政法規(guī)規(guī)定的權限和程序進行,不得超出履行法定職責所必需的范圍和限度。
亮點六 賦予個人充分權利 個人信息保護法將個人在個人信息處理活動中的各項權利,包括知悉個人信息處理規(guī)則和處理事項、同意和撤回同意,以及個人信息的查詢、復制、更正、刪除等總結提升為知情權、決定權,明確個人有權限制個人信息的處理。 同時,為了適應互聯(lián)網(wǎng)應用和服務多樣化的實際,滿足日益增長的跨平臺轉移個人信息的需求,個人信息保護法對個人信息可攜帶權作了原則規(guī)定,要求在符合國家網(wǎng)信部門規(guī)定條件的情形下,個人信息處理者應當為個人提供轉移其個人信息的途徑。 此外,個人信息保護法還對死者個人信息的保護作了專門規(guī)定,明確在尊重死者生前安排的前提下,其近親屬為自身合法、正當利益,可以對死者個人信息行使查閱、復制、更正、刪除等權利。
亮點七 強化個人信息處理者義務 個人信息處理者是個人信息保護的第一責任人。據(jù)此,個人信息保護法強調(diào),個人信息處理者應當對其個人信息處理活動負責,并采取必要措施保障所處理的個人信息的安全。 在此基礎上,個人信息保護法設專章明確了個人信息處理者的合規(guī)管理和保障個人信息安全等義務,要求個人信息處理者按照規(guī)定制定內(nèi)部管理制度和操作規(guī)程,采取相應的安全技術措施,指定負責人對其個人信息處理活動進行監(jiān)督,定期對其個人信息活動進行合規(guī)審計,對處理敏感個人信息、利用個人進行自動化決策、對外提供或公開個人信息等高風險處理活動進行事前影響評估,履行個人信息泄露通知和補救義務等。
亮點八 賦予大型網(wǎng)絡平臺特別義務 互聯(lián)網(wǎng)平臺服務是數(shù)字經(jīng)濟區(qū)別于傳統(tǒng)經(jīng)濟的顯著特征。互聯(lián)網(wǎng)平臺為商品和服務的交易提供技術支持、交易場所、信息發(fā)布和交易撮合等服務。 “在個人信息處理方面,互聯(lián)網(wǎng)平臺為平臺內(nèi)經(jīng)營者處理個人信息提供基礎技術服務、設定基本處理規(guī)則,是個人信息保護的關鍵環(huán)節(jié)?!睏詈蠎c指出,提供重要互聯(lián)網(wǎng)平臺服務、用戶數(shù)量巨大、業(yè)務類型復雜的個人信息處理者對平臺內(nèi)的交易和個人信息處理活動具有強大的控制力和支配力,因此在個人信息保護方面應當承擔更多的法律義務。 據(jù)此,個人信息保護法對這些大型互聯(lián)網(wǎng)平臺設定了特別的個人信息保護義務,包括:按照國家規(guī)定建立健全個人信息保護合規(guī)制度體系,成立主要由外部成員組成的獨立機構對個人信息保護情況進行監(jiān)督;遵循公開、公平、公正的原則,制定平臺規(guī)則;對嚴重違法處理個人信息的平臺內(nèi)產(chǎn)品或者服務提供者,停止提供服務;定期發(fā)布個人信息保護社會責任報告,接受社會監(jiān)督。個人信息保護法的上述規(guī)定是為了提高大型互聯(lián)網(wǎng)平臺經(jīng)營業(yè)務的透明度,完善平臺治理,強化外部監(jiān)督,形成全社會共同參與的個人信息保護機制。
亮點九 規(guī)范個人信息跨境流動 隨著經(jīng)濟全球化、數(shù)字化的不斷推進以及我國對外開放的不斷擴大,個人信息的跨境流動日益頻繁,但由于遙遠的地理距離以及不同國家法律制度、保護水平之間的差異,個人信息跨境流動風險更加難以控制。 “個人信息保護法構建了一套清晰、系統(tǒng)的個人信息跨境流動規(guī)則,以滿足保障個人信息權益和安全的客觀要求,適應國際經(jīng)貿(mào)往來的現(xiàn)實需要。”楊合慶介紹說,一是明確以向境內(nèi)自然人提供產(chǎn)品或者服務為目的,或者分析、評估境內(nèi)自然人的行為等,在我國境外處理境內(nèi)自然人個人信息的活動適用本法,并要求符合上述情形的境外個人信息處理者在我國境內(nèi)設立專門機構或者指定代表,負責個人信息保護相關事務;二是明確向境外提供個人信息的途徑,包括通過國家網(wǎng)信部門組織的安全評估、經(jīng)專業(yè)機構認證、訂立標準合同、按照我國締結或參加的國際條約和協(xié)定等;三是要求個人信息處理者采取必要措施保障境外接收方的處理活動達到本法規(guī)定的保護標準;四是對跨境提供個人信息的“告知-同意”作出更嚴格的要求,切實保障個人的知情權、決定權等權利;五是為維護國家主權、安全和發(fā)展利益,對跨境提供個人信息的安全評估、向境外司法或執(zhí)法機構提供個人信息、限制跨境提供個人信息的措施、對外國歧視性措施的反制等作了規(guī)定。
亮點十 健全個人信息保護工作機制 個人信息保護涉及的領域廣,相關制度措施的落實有賴于完善的監(jiān)管執(zhí)法機制。 根據(jù)個人信息保護工作實際,個人信息保護法明確,國家網(wǎng)信部門和國務院有關部門在各自職責范圍內(nèi)負責個人信息保護和監(jiān)督管理工作,同時,對個人信息保護和監(jiān)管職責作出規(guī)定,包括開展個人信息宣傳教育、指導監(jiān)督個人信息保護工作、接受處理相關投訴舉報、組織對應用程序等進行測評、調(diào)查處理違法個人信息處理活動等。 此外,為了加強個人信息保護監(jiān)管執(zhí)法的協(xié)同配合,個人信息保護法還進一步明確了國家網(wǎng)信部門在個人信息保護監(jiān)管方面的統(tǒng)籌協(xié)調(diào)作用,并對其統(tǒng)籌協(xié)調(diào)職責作出具體規(guī)定。
文稿編輯:魯濤