个人信息保护法草案终于“揭开面纱”。草案中确立了以“告知—同意”为核心的个人信息处理规则,即处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;不得以个人不同意为由拒绝提供产品或者服务。此外,草案对违法处理个人信息行为设置了严格的法律责任,其中一大亮点是提高了违法成本,可处5000万元以下或者上一年度营业额百分之五以下罚款。
不久前,一则“清华大学教授拒绝小区人脸识别门禁”的新闻引发热议,也将人们的目光聚焦到个人信息保护这一话题上。随着信息化与经济社会的深度融合,人们越来越享受信息化带来的种种便利,但也要面对个人信息泄露等问题带来的或大或小的烦恼。为此,制定一部个人信息保护方面专门法律的呼声也不绝于耳。
千呼万唤始出来
最新数据显示,截至2020年6月,我国网民规模达9.4亿,相当于全球网民的五分之一,较2020年3月增长3625万。网站数量为468万个,国内市场上监测到的APP数量为359万款。个人信息的收集、使用更为广泛。
保障个人知情权决定权
何谓个人信息?此次的法律草案明确,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。
周汉华称,这一概念相对宽泛,因为随着大数据时代的到来,个人信息很容易被识别,相对宽泛的定义有利于把各种情况包含其中,更好保护个人信息。
草案中确立了以“告知—同意”为核心的个人信息处理规则,即:处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。
此外,此次草案还设专节对处理敏感个人信息作出严格限制,只有在具有特定目的和充分必要性的情形下,方可处理敏感个人信息,并且应当取得个人单独同意或者书面同意。
解决大数据杀熟等问题
对此,草案规定,通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项。
此外,草案还明确,个人认为自动化决策对其权益造成重大影响的,有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
草案规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供。
张韬表示,公共场所中的监控或其他个人信息识别设备的安装及使用,既关系公共安全,也关系广大不特定人群的信息安全,因此有必要对其进行规制。
提高违法行为打击力度
草案对违法处理个人信息行为设置了严格的法律责任。周汉华表示:“对每个人很小的一点侵害,在全社会范围合起来都会造成很大的问题,因此要提高对违法行为的打击力度。如何提高违法成本,同时把法律规定的内容落实下来是草案起草的一大难点。”
可以看到,此次草案对法律责任作出的具体规定包括:违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的,由履行个人信息保护职责的部门责令改正,没收违法所得,给予警告;拒不改正的,并处100万元以下罚款;对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。