上網(wǎng)痕跡被平臺(tái)收集分析推送廣告、網(wǎng)站制定“霸王條款”隨意變更VIP會(huì)員規(guī)則、公民的身份證號(hào)、個(gè)人行蹤等被泄露倒賣……這些亂象有了破解之道。

10月13日，個(gè)人信息保護(hù)法草案提請(qǐng)十三屆全國(guó)人大常委會(huì)第二十二次會(huì)議初次審議。

此次草案明確了適用范圍，健全了個(gè)人信息處理規(guī)則，與民法典有關(guān)規(guī)定銜接，規(guī)定了個(gè)人信息處理活動(dòng)中個(gè)人的各項(xiàng)權(quán)利，對(duì)敏感個(gè)人信息給出定義，成為公民個(gè)體權(quán)利的延伸。

上網(wǎng)痕跡被平臺(tái)收集分析推送廣告、網(wǎng)站制定“霸王條款”隨意變更VIP會(huì)員規(guī)則、公民的身份證號(hào)、個(gè)人行蹤等被泄露倒賣……這些亂象有了破解之道。對(duì)于互聯(lián)網(wǎng)企業(yè)而言，將面臨一場(chǎng)提升用戶信息保護(hù)的大考，從懲戒力度來看，大型互聯(lián)網(wǎng)企業(yè)監(jiān)管愈發(fā)趨嚴(yán)。

堅(jiān)持立足國(guó)情與借鑒國(guó)際經(jīng)驗(yàn)相結(jié)合，草案充分借鑒有關(guān)國(guó)際組織和國(guó)家、地區(qū)的有益做法。面對(duì)越來越激烈的國(guó)際競(jìng)爭(zhēng)，草案呼應(yīng)了網(wǎng)絡(luò)信息時(shí)代對(duì)跨境經(jīng)濟(jì)保護(hù)的訴求，維護(hù)數(shù)據(jù)安全與國(guó)家利益。

明確敏感個(gè)人信息定義

數(shù)據(jù)顯示，截至2020年3月，我國(guó)互聯(lián)網(wǎng)用戶已達(dá)9億，互聯(lián)網(wǎng)網(wǎng)站超過400萬個(gè)，應(yīng)用程序超300萬個(gè)，個(gè)人信息的收集、使用更為廣泛。與此同時(shí)，隨意收集、違法獲取、過度使用、非法買賣個(gè)人信息，利用個(gè)人信息侵?jǐn)_人民群眾生活安寧、危害人民群眾生命健康和財(cái)產(chǎn)安全等問題仍十分突出。

中國(guó)政法大學(xué)法律碩士學(xué)院院長(zhǎng)、教授許身健認(rèn)為，此次草案可以算作為“回應(yīng)型立法”，在當(dāng)前信息化社會(huì)及時(shí)回應(yīng)公眾的需要。

“個(gè)人信息保護(hù)法，是民法典中的人格權(quán)關(guān)于個(gè)人信息和隱私權(quán)在個(gè)人信息互聯(lián)網(wǎng)保護(hù)范圍內(nèi)的一個(gè)重要延伸，它實(shí)際是公民個(gè)體權(quán)利的延伸。”中國(guó)政法大學(xué)傳播法研究中心副主任朱巍如此定義。

草案與民法典的有關(guān)規(guī)定相銜接，明確在個(gè)人信息處理活動(dòng)中個(gè)人的各項(xiàng)權(quán)利，包括知情權(quán)、決定權(quán)、查詢權(quán)、更正權(quán)、刪除權(quán)等，并要求個(gè)人信息處理者建立個(gè)人行使權(quán)利的申請(qǐng)受理和處理機(jī)制。

之前對(duì)于一般個(gè)人信息、個(gè)人敏感信息、私密信息三者，法律上還缺乏清晰的界分。

草案則明確了敏感個(gè)人信息的定義：一旦泄露或者非法使用，可能導(dǎo)致個(gè)人受到歧視或者人身、財(cái)產(chǎn)安全受到嚴(yán)重危害的個(gè)人信息，包括種族、民族、宗教信仰、個(gè)人生物特征、醫(yī)療健康、金融賬戶、個(gè)人行蹤等信息。

同時(shí)，草案設(shè)專節(jié)對(duì)處理敏感個(gè)人信息作出更嚴(yán)格的限制，只有在具有特定的目的和充分的必要性的情形下，方可處理敏感個(gè)人信息，并且應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意或者書面同意。

此前，有司法解釋曾對(duì)個(gè)人敏感信息做出規(guī)定。2017年5月，最高法、最高檢發(fā)布《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》，規(guī)定非法獲取公民軌跡信息等個(gè)人敏感信息50條即可入罪。

“《刑法》的適用范圍太窄了，沒有辦法擴(kuò)展到敏感個(gè)人信息在民事領(lǐng)域和行政管理領(lǐng)域，草案則將敏感個(gè)人信息做了一個(gè)定性，包括生物識(shí)別、金融賬號(hào)、個(gè)人行蹤等等，將上述司法解釋進(jìn)行了細(xì)化。”朱巍說。

盡管當(dāng)前公民個(gè)人信息受到侵害的事件頻發(fā)，但不少人對(duì)于個(gè)人信息的保護(hù)并不是特別敏感。

許身健認(rèn)為，個(gè)人信息保護(hù)法出臺(tái)，是社會(huì)治理的同時(shí)，也將是一場(chǎng)大型的普法教育，將通過普法宣傳、使用法律執(zhí)法、懲戒侵害行為等提升全民的個(gè)人信息權(quán)利意識(shí)。

“我國(guó)個(gè)人信息保護(hù)法草案具有一定的前瞻性，但相比而言，還有一些需要完善之處，應(yīng)當(dāng)完善相應(yīng)的配套制度。”許身健建議，對(duì)于自然人的個(gè)人信息查詢權(quán)、復(fù)制權(quán)、更正權(quán)和刪除權(quán)的行使需要作出更加具體細(xì)致的規(guī)定，還有個(gè)人信息的境內(nèi)儲(chǔ)存和安全評(píng)估等也需要進(jìn)一步詳細(xì)規(guī)范，明確侵害個(gè)人信息的賠償范圍和計(jì)算方法等。

借鑒國(guó)際經(jīng)驗(yàn)利于跨境保護(hù)

從上世紀(jì)70年代開始，經(jīng)濟(jì)合作與發(fā)展組織、亞太經(jīng)濟(jì)合作組織和歐盟等先后出臺(tái)了個(gè)人信息保護(hù)相關(guān)準(zhǔn)則、指導(dǎo)原則和法規(guī)，有140多個(gè)國(guó)家和地區(qū)制定了個(gè)人信息保護(hù)方面的法律。

2018年5月，歐盟正式實(shí)施《通用數(shù)據(jù)保護(hù)條例(The General Data Protection Regulation)》(“GDPR”)，取代此前的《歐洲數(shù)據(jù)保護(hù)指令》。“GDPR”被業(yè)內(nèi)認(rèn)為是目前全球主要經(jīng)濟(jì)體中對(duì)數(shù)據(jù)信息保護(hù)管轄范圍最寬、立法新意最多、處罰最為嚴(yán)厲的規(guī)范，適用范圍是在歐洲設(shè)立并在其營(yíng)業(yè)活動(dòng)中處理個(gè)人數(shù)據(jù)的任何組織機(jī)構(gòu)，且具有域外效力。

“從草案來看，充分借鑒了國(guó)外的一些經(jīng)驗(yàn)。”許身健認(rèn)為，草案借鑒了較多“GDPR”的相關(guān)規(guī)范。

例如，“GDPR”中對(duì)“敏感個(gè)人數(shù)據(jù)”的定義擴(kuò)大到包括基因數(shù)據(jù)和生物特征數(shù)據(jù)，作為監(jiān)管機(jī)構(gòu)的數(shù)據(jù)保護(hù)機(jī)關(guān)可以對(duì)違反“GDPR”的組織和機(jī)構(gòu)作出其當(dāng)年全球營(yíng)業(yè)額4%或者2000萬歐元(以孰高者為準(zhǔn))的罰款決定，均在草案中有相關(guān)體現(xiàn)。

“草案可以視為與國(guó)際接軌的一個(gè)延伸，美國(guó)、澳大利亞、新西蘭、新加坡等地均修改了個(gè)人信息保護(hù)法，所以我們?nèi)绾瓮晟?、適用法律與國(guó)際接軌，也是個(gè)人信息保護(hù)法出臺(tái)的一個(gè)重要原因。”朱巍表示。

在當(dāng)前社會(huì)中，信息與數(shù)據(jù)不僅是數(shù)字經(jīng)濟(jì)的關(guān)鍵要素，也是信息時(shí)代重要的生產(chǎn)要素。在我國(guó)，數(shù)據(jù)安全更是被上升為與國(guó)家安全同等重要的地位，也成為國(guó)際競(jìng)爭(zhēng)間的關(guān)鍵。

“中國(guó)很多互聯(lián)網(wǎng)公司具有跨國(guó)性，法律上也需要相應(yīng)地對(duì)中國(guó)企業(yè)進(jìn)行保護(hù)，維護(hù)國(guó)家利益。”許身健認(rèn)為，草案呼應(yīng)了網(wǎng)絡(luò)信息時(shí)代對(duì)經(jīng)濟(jì)保護(hù)的相關(guān)訴求。

草案明確，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的處理者，確需向境外提供個(gè)人信息的，應(yīng)當(dāng)通過國(guó)家網(wǎng)信部門組織的安全評(píng)估;對(duì)于其他需要跨境提供個(gè)人信息的，規(guī)定了經(jīng)專業(yè)機(jī)構(gòu)認(rèn)證等途徑。草案對(duì)跨境提供個(gè)人信息的“告知—同意”作出更嚴(yán)格的要求。對(duì)從事?lián)p害我國(guó)公民個(gè)人信息權(quán)益等活動(dòng)的境外組織、個(gè)人，以及在個(gè)人信息保護(hù)方面對(duì)我國(guó)采取不合理措施的國(guó)家和地區(qū)，規(guī)定了可以采取的相應(yīng)措施。

此次草案還完善了個(gè)人信息跨境提供規(guī)則，明確了個(gè)人信息處理活動(dòng)中個(gè)人的權(quán)利和處理者義務(wù)，并明確了履行個(gè)人信息保護(hù)職責(zé)的部門。

許身健表示，中國(guó)互聯(lián)網(wǎng)產(chǎn)業(yè)走出去是重要方面，但其他國(guó)家的平臺(tái)進(jìn)入中國(guó)來，要遵守中國(guó)法律，特別是關(guān)于個(gè)人信息保護(hù)方面的特殊規(guī)定，這是與國(guó)際接軌的一個(gè)重要表現(xiàn)。

互聯(lián)網(wǎng)商業(yè)模式迎考

當(dāng)前已全面進(jìn)入到互聯(lián)網(wǎng)經(jīng)濟(jì)的下半場(chǎng)，幾乎所有的網(wǎng)絡(luò)服務(wù)推出都與個(gè)人信息有關(guān)。

剛與朋友聊旅游，手機(jī)轉(zhuǎn)眼就推送機(jī)票廣告，明明只是在電商平臺(tái)上搜索過某樣商品，打開另一款資訊App卻出現(xiàn)相同的廣告……越來越精準(zhǔn)的個(gè)性化推送，讓不少人感到困惑。

“安寧權(quán)是隱私權(quán)和個(gè)人信息保護(hù)的核心，也是老百姓最關(guān)心的一個(gè)問題。什么情況下可以將我的大數(shù)據(jù)用作商業(yè)用途?”朱巍表示，此次草案中涉及的不僅是個(gè)人信息保護(hù)的問題，還涉及到廣告法。

草案規(guī)定，用戶可以要求平臺(tái)不推送個(gè)性化廣告。個(gè)人有權(quán)拒絕個(gè)人信息處理者僅通過自動(dòng)化決策的方式作出決定。通過自動(dòng)化決策方式進(jìn)行商業(yè)營(yíng)銷、信息推送，應(yīng)當(dāng)同時(shí)提供不針對(duì)個(gè)人特征的選項(xiàng)。

“這里既包括廣告，也涉及大數(shù)據(jù)殺熟。如何從個(gè)人信息中剝離出大數(shù)據(jù)進(jìn)行合法使用，是草案的重要意義之一。”朱巍表示，在使用網(wǎng)絡(luò)過程中，用戶的權(quán)益相對(duì)而言變得很小，而且被侵權(quán)的方式很隱晦，如果沒有一個(gè)原則性的法律去保障，企業(yè)可能將隨著科技的進(jìn)一步發(fā)展而開啟“潘多拉魔盒”，對(duì)用戶造成不利影響。

個(gè)人信息保護(hù)與大數(shù)據(jù)利用之間的關(guān)系如何平衡，曾有相關(guān)司法判例。玩抖音刷出前女友?微信讀書信息默認(rèn)開放?21世紀(jì)經(jīng)濟(jì)報(bào)道8月報(bào)道，北京互聯(lián)網(wǎng)法院的一審判決，認(rèn)定微信讀書、抖音兩款A(yù)PP均有侵害用戶個(gè)人信息的情形。

兩個(gè)案件均借鑒了尚未實(shí)施的民法典的相關(guān)條例，微信讀書案體現(xiàn)了對(duì)互聯(lián)網(wǎng)時(shí)代人格權(quán)保護(hù)精神，抖音案則將隱私權(quán)和個(gè)人信息的考量限定在具體的網(wǎng)絡(luò)場(chǎng)景中。

在上述案件中，如何判定侵犯?jìng)€(gè)人信息權(quán)，是否滿足用戶的知情、同意成為關(guān)鍵。因知情、同意還曾引發(fā)質(zhì)疑的，還有各類網(wǎng)站制定“霸王條款”隨意變更VIP會(huì)員規(guī)則。

此次草案則確立以“告知—同意”為核心的個(gè)人信息處理一系列規(guī)則，要求處理個(gè)人信息應(yīng)當(dāng)在事先充分告知的前提下取得個(gè)人同意，并且個(gè)人有權(quán)撤回同意;重要事項(xiàng)發(fā)生變更的應(yīng)當(dāng)重新取得個(gè)人同意;不得以個(gè)人不同意為由拒絕提供產(chǎn)品或者服務(wù)。

實(shí)際上，對(duì)于互聯(lián)網(wǎng)企業(yè)的相關(guān)監(jiān)管一直在路上。

2019年，工信部、國(guó)家網(wǎng)信辦等多部門已聯(lián)合開展了貫穿全年的APP個(gè)人信息專項(xiàng)治理工作，2020年仍在持續(xù)中。被公開的企業(yè)違規(guī)違法行為，多集中在私自收集個(gè)人信息、過度索取權(quán)限、私自共享給第三方等方面。

今年5月，江蘇淮安警方破獲了一起特大販賣公民個(gè)人信息案，共抓獲26名嫌疑人，涉案金額2000多萬元。其中，建設(shè)銀行員工丁某以每條80-100元不等的價(jià)格，幫忙查詢銀行卡信息，一年黑色收入超30萬元。

“個(gè)人信息很容易被濫用，甚至被買賣，現(xiàn)在草案加大了懲戒的力度，對(duì)違法行為賦以嚴(yán)格的法律責(zé)任。”許身健說，有互聯(lián)網(wǎng)企業(yè)早期曾利用數(shù)據(jù)野蠻生長(zhǎng)，但隨著立法不斷嚴(yán)密，監(jiān)管也將不斷收緊。

草案規(guī)定，違反本法規(guī)定處理個(gè)人信息，或者處理個(gè)人信息未按照規(guī)定采取必要的安全保護(hù)措施的，情節(jié)嚴(yán)重的，由履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正，沒收違法所得，并處5000萬元以下或者上一年度營(yíng)業(yè)額5%以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、通報(bào)有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營(yíng)業(yè)執(zhí)照;對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處10萬元以上100萬元以下罰款。

“根據(jù)這個(gè)條款的罰款，可以看出其實(shí)更主要規(guī)范的是大型的互聯(lián)網(wǎng)企業(yè)，法律在企業(yè)和個(gè)人之間，傾向于保護(hù)個(gè)人權(quán)益。”許身健認(rèn)為，懲罰力度也成為此次草案的一大亮點(diǎn)。(張雅婷)

標(biāo)簽： 上網(wǎng)痕跡 互聯(lián)網(wǎng)商業(yè)模式