第4章 《释义》:总则
- 《中华人民共和国个人信息保护法》导读与释义
- 杨合庆主编
- 22919字
- 2022-11-09 09:58:34
第一条 为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。
[释义]本条是关于本法立法目的的规定。
个人信息保护是数字化时代的重要问题。计算机的发明,使得传统纸质记录的信息可以通过电子数据的形式保存,互联网的出现极大地提升了各类数据资源交互、传播的效率,大数据、人工智能等新技术更是突破了数据大规模处理的技术“瓶颈”,为数据的利用带来了无限可能。而个人信息是大数据的核心和基础,在数字化时代,每个人的一举一动、一言一行皆可被记录,并通过数据挖掘、分析技术被不断开发出新的用途,不论是私营企业还是公共部门都认识到个人信息所蕴含的巨大价值,对个人信息的收集和使用达到了空前的规模。信息技术的进步和普及,一方面,拓展了人们参与社会活动的广度和深度,为数字经济的发展注入了新的驱动力;另一方面,个人信息获取的便利化和公开化、个人信息的不当利用,让个人的隐私空间被压缩,不断侵蚀数字经济发展的信任基石。因此,与数字化时代同行,制定个人信息保护相关法律成为世界各国应对数字化挑战的重要举措,这些法律承载着保护公众合法权益、维护网络空间良好生态、促进数字经济健康发展等多重使命。同样,我国的个人信息保护法明确将“保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用”作为本法的立法目的,以此为出发点构建了全面的个人信息保护法律制度规范。
一、保护个人信息权益
近年来,我国在立法、执法、司法方面不断加大对个人信息的保护力度,但现实生活中,一些企业、机构甚至个人,为了经济利益,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题仍较为突出。从最高人民法院、最高人民检察院、公安部、中国人民银行、国家市场监督管理总局等司法、执法机关发布的典型案例和数据看,侵犯公民个人信息的行为虽得到一定遏制,但总体上仍呈现出量大面广的特征,个人信息保护的形势依然严峻。此外,当前非法获取、非法买卖个人信息也成为电信网络诈骗、敲诈勒索、套路贷等违法犯罪活动的上游环节,并催生了相关黑灰产业链。2016年山东考生徐玉玉因被电信网络诈骗9900元学费,郁结于心,年仅18岁的花样生命逝去,而导致这一悲剧的源头就是犯罪分子通过非法获取的考生个人信息以发放助学金为名实施精准诈骗。
在信息化时代,个人信息保护已成为广大人民群众最关心、最直接、最现实的利益问题之一。党中央高度重视网络空间法治建设,对个人信息保护立法工作作出部署。习近平总书记多次强调,要坚持网络安全为人民、网络安全靠人民,保障个人信息安全,维护公民在网络空间的合法权益。《国家信息化发展战略纲要》、“十三五”规划纲要等多个重要文件均强调要加强个人信息保护,“十四五”规划和2035年远景目标纲要明确提出:加强涉及国家利益、商业秘密、个人隐私的数据保护,加快推进数据安全、个人信息保护等领域基础性立法。社会各方面也广泛关注个人信息保护问题,全国人大代表、全国政协委员提出了许多议案、建议和提案,呼吁出台专门的个人信息保护法,维护广大人民群众个人信息权益。
个人信息保护法贯彻以人民为中心的法治理念,将保护人民群众个人信息权益作为首要目标,聚焦人民群众重大关切,确立了合法正当必要、最小化处理、公开透明等个人信息处理应遵循的原则,构建以“告知—同意”为核心的一系列规则,对社会反映突出的一揽子授权、强制同意、大数据杀熟、人脸识别等问题作出有针对性规定,严格保护敏感个人信息,规范国家机关处理个人信息的活动,赋予个人充分的权利以保障其知情权和决定权,强化个人信息处理者的义务,并设置了严格的法律责任。个人信息保护法通过全方位的制度规范,撑起个人信息权益的保护伞,将使广大人民群众在数字经济发展中享受更多的获得感、幸福感、安全感。
二、规范个人信息处理活动
党的十八大以来,我国个人信息保护法律制度逐步建立。全国人大及其常委会在制定关于加强网络信息保护的决定、网络安全法、电子商务法,修改消费者权益保护法等立法工作中,确立了个人信息保护的主要规则;在刑法的修改中,完善了惩治侵害个人信息犯罪的刑事法律责任;在民法典人格权编中,设专章对隐私权和个人信息保护作出规定。近年来,信息技术变革日新月异,新业态新模式不断涌现,个人信息应用领域更加宽广,处理主体和处理场景更加多样,个人信息保护的任务更加艰巨,亟须针对新情况、新问题完善个人信息处理活动的相关规则,以适应信息化快速发展的现实情况。
个人信息保护法在现行有关法律的基础上,进一步充实完善个人信息保护制度规范,明确处理个人信息的合法情形,细化“告知—同意”规则,并对个人信息的共同处理、委托处理、对外提供和公开、处理已公开的个人信息、自动化决策、跨境转移等各环节作出有针对性规定,同时健全个人信息保护工作机制,明确有关主管部门的个人信息保护监管职责。通过更加完备的制度规则,进一步增强法律规范的系统性、针对性和可操作性,为个人信息处理活动提供更加清晰的法律遵循,从源头上维护个人信息权益。
三、促进个人信息合理利用
近年来,我国大力推进网络强国、数字中国、智慧社会建设,以数据为新生产要素的数字经济蓬勃发展,取得了令人瞩目的成就,国际竞争力不断增强。随着信息化与经济社会持续深度融合,个人信息的收集、使用更为广泛。通过个人信息的大规模应用,一方面,促进了技术和商业模式的创新,提高了产品供需匹配的效率,降低了商业交易的成本,增强了经济社会发展的创新活力;另一方面,大数据的运用也提升了政府在经济社会治理方面的决策、管理、服务水平,特别是新冠肺炎疫情发生以来,通过对个人信息的快速收集和分析,为科学精准作出防控决策、稳妥推进复工复产提供了有力支撑,充分体现出在推进国家治理体系和治理能力现代化方面的重要作用。
个人信息保护法着眼数字经济发展长远需要,构建了权责明确、保护有效、利用规范的制度框架,填补了数字治理重要的法律板块,也将与网络安全法、数据安全法、电子商务法等法律一同构筑起保障数字经济健康发展的制度体系。
本条还对本法的立法依据作了阐释,即“根据宪法,制定本法”,这是在草案三审时对各方面意见深入研究后增加的。个人信息保护的核心是保护个人的人格尊严这一基本权利。我国宪法虽没有对个人信息保护问题作出直接规定,但宪法第三十三条中规定,国家尊重和保障人权;第三十八条中规定,公民的人格尊严不受侵犯;第四十条中规定,公民的通信自由和通信秘密受法律的保护。加强个人信息保护与宪法上对公民人格尊严和权利的尊重和保护是一致的。在个人信息保护法中明确“根据宪法,制定本法”是体现宪法精神、保障宪法实施的重要举措。
第二条 自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。
[释义]本条是关于自然人的个人信息受法律保护的宣示性规定。
近年来,我国高度重视个人信息相关保护立法,从民事、刑事、行政法律各方面加强个人信息保护。2012年全国人大常委会通过关于加强网络信息保护的决定,确立了个人信息保护的基本原则;2009年和2015年通过刑法修正案(七)和刑法修正案(九),增加并完善了侵犯公民个人信息的犯罪及刑罚;2013年修改消费者权益保护法,对消费者个人信息保护作出专门规定;2016年通过网络安全法,建立了个人信息保护的主要制度规则;2020年编纂出台民法典,在总则编和人格权编中均明确规定“自然人的个人信息受法律保护”。个人信息保护法第二条再次强调“自然人的个人信息受法律保护”,充分体现了本法的立法定位。
个人信息保护法对个人信息处理活动各环节作出规范,赋予个人查询、复制、更正、删除等一系列工具性权利,保障个人对其个人信息处理的知情权、决定权,从而实现对个人信息上承载的隐私权、不受歧视的权利以及财产权等广泛权利和利益的保护,并将这些权利和利益界定为“个人信息权益”。
第三条 在中华人民共和国境内处理自然人个人信息的活动,适用本法。
在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:
(一)以向境内自然人提供产品或者服务为目的;
(二)分析、评估境内自然人的行为;
(三)法律、行政法规规定的其他情形。
[释义]本条是关于本法地域效力的规定。
一、本法的域内适用效力
本条第一款对本法的域内适用效力作了规定。个人信息保护法是全国人大常委会制定的法律,其效力在我国境内统一适用是题中应有之义。这里,有几点需要说明:
一是本法适用的主体不仅包括各类法人、非法人组织,也适用于个人所开展的个人信息处理活动。这样规定的主要考虑是,随着技术的快速发展和应用,个人同样可能具备大规模处理个人信息的能力,实践中也大量存在个人为营利等目的收集、使用个人信息的情况。此外,个人的不当处理行为同样可能对相关个人权益造成损害。因此,有必要将个人的处理行为纳入法律规范。同时,本法第七十二条对自然人因个人或者家庭事务处理个人信息的活动作了适用排除,据此,本法主要规范商业和公共领域的个人信息处理活动,纯粹私人领域的个人信息处理活动适用民法典的有关规定。
二是本款调整的行为是在我国境内处理个人信息的活动,而不论处理者是否设立于中国境内或具有中国国籍。个人信息处理的环节众多,按照通常的理解,应以个人信息处理行为的实际发生地或者服务器所在地是否位于我国境内作为境内处理的判断标准,纯粹的不经停留的网络数据过境传输通常不视为在我国境内处理个人信息。
三是本款中的“自然人”,不仅包括中国公民,也包括外国人,只要处理活动发生在我国境内,其个人信息均受到我国法律的同等保护。
二、本法的域外适用效力
随着经济全球化、数字化的不断推进,国际经贸往来更加便利,与之相伴的个人信息跨境处理活动也大幅增加。与此同时,因各国法律制度和保护水平的差异,个人信息跨境处理的安全风险问题日益突出,单纯的属地管辖原则已不能适应个人信息保护的需要。个人信息保护法借鉴有关国家和地区的做法,明确本法必要的域外适用效力,以充分保护我国境内个人的权益。
本条第二款规定了三类境外处理活动的适用情形:
一是以向境内自然人提供产品或者服务为目的,即以我国境内为目标市场并以个人为对象的跨境交易。随着我国不断推进高水平对外开放,更加深度融入全球化进程中,一些境外商业主体不断加大中国市场的开拓力度,特别是电子商务的迅猛发展,为跨境供应产品和服务提供了更多便利,促使我国消费者的跨境消费日益频繁,而以我国消费者为目标人群的经营活动,也必然涉及大规模处理我国境内自然人的个人信息。对于相关境外个人信息处理者是否以我国境内为目标市场,应当综合多种因素对其商业意图作出判断,如境外处理者的网站、应用程序使用中文对相关产品和服务进行标识、介绍,将人民币作为支付货币或者接入我国境内支付工具,则可以表明该境外处理者将我国作为目标市场,其处理我国境内自然人个人信息的活动应当适用本法。如我国境内消费者仅凭其个人意愿自主跨境消费,或者境外处理者仅零星少量处理我国境内自然人的个人信息,并综合其他因素能够确认境外处理者不以我国为目标市场,则其处理我国境内自然人个人信息的活动不适用本法。
二是分析、评估境内自然人的行为。利用个人信息进行分析、评估活动,通常需要持续记录、追踪相关个人信息,并通过后续的处理技术,对个人的行为习惯、兴趣爱好或者经济、健康、信用状况等作出分析或预测,典型的如利用用户画像进行营销或者作出自动化决策。此类行为对个人信息的收集、挖掘相比一般的处理行为更易侵害个人隐私等权益。因此,个人信息保护法明确,在境外分析、评估境内自然人行为的个人信息处理活动适用本法,这一适用情形不区分该处理活动是商业行为还是非商业行为。
三是法律、行政法规规定的其他情形。考虑到当前在个人信息处理方面,新技术、新应用快速迭代发展并可能带来新的挑战,个人信息跨境处理的风险尚未充分显现,在今后实践中还可能遇到新情况、新问题,这样规定可以为相关法律、行政法规有针对性加强跨境处理活动的管理提供必要的空间。
第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
[释义]本条是关于个人信息以及个人信息处理定义的规定。
个人信息和个人信息处理,是个人信息保护法中的两个基础性概念。不同国家和地区对个人信息和个人信息处理的界定有一定差异,我国个人信息保护法参考有关国家立法,并结合我国相关法律规定和个人信息保护实践情况,对个人信息和个人信息处理的定义作了规定。
一、部分国家和地区关于个人信息的定义
从一些国家和地区的个人信息保护立法看,在定义中可能使用“个人信息”“个人数据”“个人资料”等多种表述,其基本含义是指与特定自然人相关的各种信息。在界定方式上,通常采用概括加列举的方式,也有的采用概括式定义。
英国《1998年个人数据保护法》规定,个人数据是指与自然人相关的,可以单独或与其他由数据控制者占有的数据组合后识别特定自然人的数据,以及数据控制者或其他主体对特定自然人的看法或评价。
日本《个人信息保护法》规定,个人信息包括:(1)可以单独或与其他信息对照后识别特定个人的信息,如姓名、出生年月日或其他个人信息中包含的表述。(2)个人标识符,包括以电子方式记录的可以识别特定个人的特征信息,以及能够识别出服务的使用者或货物的购买者的相关标志、卡片或其他文件。
韩国《个人信息保护法》规定,个人信息是指与自然人相关的,可以通过姓名、居民身份证号码及影像等对个人进行识别的信息(包含与其他信息结合后即可识别个人的信息)。
新加坡《个人数据保护法》规定,个人数据是指不论真实与否,可以直接或与有关组织和个人获取的其他信息结合后识别出特定自然人的数据。
欧盟《通用数据保护条例》规定,个人数据是指任何与已识别或可识别的自然人相关的信息;可识别的自然人是指可以通过相关信息直接或间接识别的自然人,这些据以识别的信息主要包括姓名、身份证号、地理位置、在线身份标识,或者身体、生理、遗传、心理、经济、文化、社会身份等。
美国《加州消费者隐私法案》规定,个人信息是指直接或间接地识别、关系、描述、能够关联或可合理地链接到特定消费者或家庭的信息,包括但不限于:(1)姓名、别名、邮政地址、唯一个人标识符、在线标识符、互联网协议地址、电子邮箱地址、账户名称、社会安全号码、驾驶证号码、护照号码的标识符或其他类似标识符。(2)商业信息,包括购买、获得或意向购买的财产、产品、服务或其他消费的记录。(3)生物信息,即个人的生理、生物或行为特征,包括基因、虹膜、视网膜、指纹、脸部、手掌、静脉图案和声纹图像等数据,以及可识别个人的步态节奏、睡眠、健康、运动数据。(4)网络活动信息,包括浏览历史、搜索历史以及与网站、应用程序或广告的交互信息等数据。(5)地理位置数据。(6)音频、电子、视觉、热量、嗅觉或类似信息。(7)专业或就业相关信息。(8)从已识别的任何信息中得出的推论,并可以用于创建反映消费者偏好、特征、心理倾向、行为、态度、智力、能力和资质的画像。个人信息不包括公开可用的信息和去标识化的消费者信息或信息集合。(9)家庭教育权利和隐私法、民法典等法律中所规定的其他个人信息或个人分类特征。
德国《联邦个人数据保护法》规定,个人数据是指与已识别、可识别的自然人(数据主体)的客观情况相关的数据。
俄罗斯《联邦个人数据法》规定,个人数据是指任何直接或间接属于特定的或可识别的自然人(个人数据主体)的信息。
巴西《通用数据保护法》规定,个人数据是指与已识别或可识别的自然人有关的信息。
印度《个人数据保护法草案》规定,个人数据是指与可直接或间接识别的自然人相关的数据,包括线上和线下涉及自然人的身份、特点、属性等特征,这些特征的组合或这些特征与其他信息的组合,以及从上述数据中得出的任何用于分析或预测数据主体行为、属性或者兴趣的推论(数据画像)。
二、我国关于个人信息的定义
我国香港特别行政区《个人资料(私隐)条例》规定,个人资料是指能够直接或间接识别个人身份并与自然人相关的,且能够实际查询或处理的资料。澳门特别行政区《个人资料保护法》规定,个人资料是指与某个身份已确定或可确定的自然人(数据当事人)相关的任何性质或载体形式的信息,包括声音和影像,尤其是特定的识别编码,以及身体、生理、心理、经济、文化或社会身份等相关信息。
我国内地在个人信息保护法出台之前,一些法律、法规、标准等对个人信息作了界定。全国人大常委会关于加强网络信息保护的决定规定,个人信息是指能够识别公民个人身份和涉及公民个人隐私的电子信息。网络安全法规定,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。民法典基本沿用了网络安全法的定义,在列举的信息类型上增加了电子邮箱、健康信息、行踪信息。工信部制定的《电信和互联网用户个人信息保护规定》将个人信息界定为,用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。最高人民法院、最高人民检察院颁布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定,公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。推荐性国家标准《信息安全技术 个人信息安全规范》将个人信息界定为,以电子或者其他方式记录的、能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
个人信息保护法在有关法律法规等的基础上,将个人信息界定为:“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”对此,可以从以下几个方面理解该定义:
第一,在载体形式方面,突出强调以电子方式记录的个人信息,这是因为信息技术的进步极大地拓展了个人信息的范围和规模,许多在传统条件下难以收集、利用的个人信息都可以通过电子数据的方式记录、保存,同时以电子方式记录的个人信息以其结构化、通用性的特点,为大规模自动化的个人信息处理创造了条件,由此也带来了更多风险,需要予以重点规范。本法也未排除以纸质等其他方式记录的个人信息,主要是考虑到虽然信息时代的个人信息处理活动主要是通过信息技术进行电子化信息的处理,但非电子化的个人信息对个人也十分重要,对其不当地收集、利用、传播也可能损害个人权益,因此将其纳入个人信息保护法调整范围。
第二,个人信息具有可识别性,即某一自然人的身份能够直接或者通过相关信息间接识别。
第三,个人信息具有相对性,即对个人信息处理者而言,只要其已经识别、确定了特定个人的身份(即“已识别”),或者具备识别、确定特定个人身份的能力(即“可识别”),则与该特定个人有关的各种信息均应作为个人信息予以保护。
三、关于个人信息的匿名化
通过匿名化技术或方法消除个人信息中的身份特征后加以利用,成为个人信息数据利用的一种重要方式。一些国家和地区通过立法对个人信息匿名化作出规范。欧盟《通用数据保护条例》在引言部分指出,数据保护原则不适用于匿名化数据,即与已识别或可识别自然人无关的数据,或者经匿名化处理且不再能够识别自然人身份的数据。日本2015年修改《个人信息保护法》,明确匿名加工信息是指将个人信息进行加工,使其无法识别特定个人,且无法对其进行复原的个人信息。同时,增加了匿名加工使用信息企业的义务,包括:必须按照个人信息保护委员会的规则,将个人信息及其组成部分进行加工,使其无法识别特定个人且无法复原;必须确保加工方法的保密性;不得与其他信息进行对照,以识别特定个人;向第三方提供时,必须提前公布匿名加工信息包含的项目和提供方法,并告知第三方此为匿名加工信息;禁止在取得匿名加工信息后,获取加工方法或与其他信息对照,以识别特定个人;制定并公布保护匿名加工信息的安全管理措施,受理投诉建议。美国联邦贸易委员会2016年发布的有关利用匿名化信息的政策要求:采取合理措施使数据充分去身份化;必须公开承诺,对处理后的数据应用将限定在非身份化的模式之下,并承诺不再进行身份识别;如果将这些数据提供给第三方,双方必须签订合同,要求第三方不得对数据进行身份的再识别,并采取有效的措施监督对方履行该义务。
2016年通过的网络安全法将个人信息匿名化处理作为向他人提供的例外情形,民法典第一千零三十八条作了相同规定。本法在上述法律规定的基础上,根据我国大数据发展和应用的实际,借鉴一些国家的做法,明确经匿名化处理后的信息不属于个人信息。个人信息匿名化处理的方法和技术要求应适用本法的配套规定和相关标准。
四、个人信息处理
个人信息处理也是本法的核心概念,其中的“处理”不仅指对个人信息的加工,而且包括从个人信息的收集到最终删除的全生命周期中的各个环节。2016年通过的网络安全法使用个人信息的“收集”“使用”“向他人提供”等概念,民法典使用个人信息的“处理”这一集合概念,明确个人信息的“处理”包括收集、存储、使用、加工、传输、提供、公开等。个人信息保护法也将个人信息的“处理”作为一个概括性概念,进一步将个人信息的处理规定为对个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。有些国家和地区对个人信息处理的各环节作了更为具体的列举,如欧盟《通用数据保护条例》规定,个人数据的处理是指针对个人数据通过自动化方式或者其他方式进行采集、记录、组织、结构化、存储、改编或修改、检索、咨询、使用,通过传送、传播进行披露或以其他方式予以公开、校准或组合、限制、删除或销毁。
个人信息的收集通常又被称为个人信息的获取,常见的收集行为包括经个人提供而获取、从其他人处获取、从公开渠道获取等。个人信息的存储是指将收集到的个人信息通过一定的介质或形式保存起来,法律通常会对存储的技术条件以及期限作出规定。个人信息的使用,是指将个人信息用于特定目的的行为,主要包括利用个人信息提供产品或服务、进行商业营销、作出相关决定等。个人信息的加工是指将个人信息按照特定的标准进行整理或技术处理,以满足特定需求的行为。个人信息的传输是指将个人信息从一个系统或地点传送到另一个系统或地点。个人信息的提供是指一个主体将其掌握的个人信息给另一个主体。个人信息的公开是指将个人信息向不特定人员发布。个人信息的删除是指将储存的个人信息从系统中去除,以达到不可被检索和访问的效果。
第五条 处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
[释义]本条是关于合法、正当、必要和诚信原则的规定。
一、合法、正当、必要原则
合法、正当、必要原则是国际个人信息保护法律和实践所普遍确立的原则。经济合作与发展组织(OECD)制定的《隐私保护和个人数据跨境流动指南》规定,个人信息的收集应受到限制,任何此类信息的获得都应该通过合法和公正的方式,在适当的情况下应经过个人的默示或明示同意。亚太经济合作组织(APEC)制定的《隐私框架》规定,应采取合法、正当的方式收集与目的相关的个人信息,并在适当的情况下告知个人或取得其同意。国际标准化组织(ISO)和国际电工委员会(IEC)联合制定的《ISO 29100隐私框架》规定,确保信息使用目的符合法律并具有可接受的法律基础,个人可识别信息的收集应限定在法律允许和特定目的的真实、必要范围内。欧盟《通用数据保护条例》规定,应以合法、公正、透明的方式处理个人信息,应在处理目的必要范围内处理相关的个人信息。俄罗斯《联邦个人数据法》规定,个人信息处理的目的和方式应合法且善意。韩国《个人信息保护法》规定,处理个人信息目的应明确,并为达成必要目的合法正当收集最小限度的个人信息;应在实现目的必要适当范围内处理个人信息,不得另作他用。
合法、正当、必要原则是我国关于个人信息保护的法律法规中普遍规定的原则,对此原则关于加强网络信息保护的决定、消费者权益保护法、网络安全法、民法典等都作了规定。
合法原则是指个人信息处理行为应当根据法律规定的原则、规则进行,不能违反法律强制性规定。
正当原则是指对个人信息的处理,其目的和行为应是合理的、具有正当性的,不得违背公序良俗。
必要原则是指在合法、正当的目的下,就该目的而言对个人信息的处理是必要的,不得超过合理的限度。
二、诚信原则
诚信原则是社会主义核心价值观的重要内容,是任何组织、个人参与经济社会生活必须遵守的原则。民法典第七条规定,民事主体从事民事活动,应当遵循诚信原则,秉持诚实,恪守承诺。同样地,个人信息处理者处理个人信息,也应当诚实守信,在个人信息处理的各环节尊重个人信息权益,基于诚实的态度,善意地履行个人信息保护义务,恪守其作出的关于个人信息保护的承诺。
在通常情况下,个人信息处理者如果违反诚信原则,也会违反具体的法定义务。例如,信息处理者故意隐瞒、掩饰个人信息处理目的、范围,在个人不知情的情况下处理个人信息,超出其收集个人信息时确定的目的和范围处理个人信息,为了降低成本不依法采取有效的安全保障措施,通过设置不合理的条件限制或者阻碍个人依法行使信息权利等。
尽管遵守诚信原则与履行法定义务有一定的重叠,但诚信原则对有效落实个人信息保护法、切实加强个人信息保护具有重要作用。法律对个人信息处理规则以及个人信息处理者的义务的规定难以详尽,同时随着信息技术不断发展,个人信息保护和利用领域可能出现新情况、新问题,在法律没有明确规定或规定较为原则的情况下,可以根据诚信原则判断个人信息处理行为是否正当、合理,妥善处理个人信息保护和利用中各方的权利义务关系。
第六条 处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。
收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
[释义]本条是关于目的明确和最小化处理原则的规定。
一、关于目的明确原则
目的明确原则要求信息处理者在处理个人信息时应当具备特定的目的,在对个人信息的处理过程中不能随意变更、超出该目的。目的明确原则给个人信息处理者设定了必要的约束,避免通过宽泛、抽象的处理目的滥用个人信息,并且让个人信息处理者的处理行为更加透明,便于个人了解其个人信息的用途,从而更好地维护自己的个人信息权益。
1.部分国际组织、国家和地区的规定
经济合作与发展组织(OECD)《隐私保护和个人数据跨境流动指南》规定,收集个人信息前应当详细列明目的,随后的使用应限于实现这些目的,或者那些与前述目的并不矛盾的目的和每次更改后确定的目的。
亚太经济合作组织(APEC)《隐私框架》规定,除已取得个人同意、为个人提供其要求的产品或服务、法律另有规定的情形外,个人信息的使用应限于与收集目的相一致或相关的范围内。
国际标准化组织(ISO)和国际电工委员会(IEC)《ISO 29100隐私框架》规定,个人可识别信息的收集应限定在法律允许和特定目的的真实、必要范围内;最大限度减少所处理的个人可识别信息的范围和隐私利益相关者的数量;应限制个人可识别信息的使用、存储和披露,使用应限制在收集目的限定的范围内,保存仅限于实现目的的时限,目的达成后应封存、销毁或匿名化相关信息以避免进一步处理。
欧盟《通用数据保护条例》规定,应基于特定、明确、合法的目的收集个人信息,且不得采取与该目的相悖的方式进行处理。为公共利益、科学或历史研究、统计目的进一步处理个人信息不视为与最初目的相悖。以可识别个人的形式存储个人信息不得超出实现处理目的所需的时间,为公共利益、科学或历史研究、统计的目的可存储更长时间。
美国《隐私权法》规定,联邦机构收集个人信息时,仅可收集与任务目的相关且必要的信息。
俄罗斯《联邦个人数据法》规定,处理目的应符合事先确定的和在收集个人信息时声明的目的以及处理者的权限;所处理的个人信息的范围、性质及处理方式应符合处理目的。
韩国《个人信息保护法》规定,应尽可能特定化个人信息使用目的,如需变更使用目的应与之前的目的相关联且不超出合理范畴;应尽可能以对个人隐私侵害最小化的方式处理个人信息。
日本《个人信息保护法》规定,应尽可能特定化个人信息使用目的,如需变更使用目的应与之前的目的相关联且不超出合理范畴。
2.目的明确原则的含义
个人信息处理者处理个人信息的目的要明确、合理,让个人能够清晰地知道其个人信息用于何种目的,从而判断是否允许个人信息处理者处理其个人信息或者知道其个人信息权益是否受到侵害。
第一,为了避免过度处理个人信息,目的明确原则要求处理个人信息的目的不能过于宽泛或者笼统。例如,推荐性国家标准《信息安全技术 个人信息安全规范》规定,处理个人信息应当具有明确、清晰、具体的个人信息处理目的。不应通过捆绑产品或服务各项业务功能的方式,要求个人一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求。使用个人信息时,不应超出与收集个人信息时所声称的目的具有直接或合理关联的范围。
第二,处理个人信息的目的除需要清晰明确外,目的本身还应当是合理的,不得违反法律法规的规定和公序良俗。如果说目的清晰明确是形式要求,目的合理则是实质性价值判断,这也是个人信息处理正当性原则的要求。处理目的是否合理,要结合具体处理场景、处理行为进行判断。
第三,处理个人信息的行为应当与处理目的直接相关。根据该要求,个人信息处理行为都必须围绕处理目的展开。在目的实现、目的无法实现、目的变更等情况下,个人信息处理者都应该采取相应措施,以符合目的特定原则的要求。个人信息保护法对此作了详细规定,主要包括:个人信息的处理目的发生变更的,应当重新取得个人同意;个人信息处理者委托处理个人信息的,受托人应当按照约定处理个人信息,不得超出约定的处理目的处理个人信息;因合并、分立、解散、被宣告破产等原因需要接收个人信息的接收方,变更原先的处理目的的,应当重新取得个人同意;除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间;只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息;处理目的已实现、无法实现或者为实现处理目的不再必要时,个人信息处理者应当主动删除个人信息。
二、关于最小化处理原则
在确立目的明确原则基础上,本条进一步强调个人信息处理的最小化处理原则。最小化处理原则也是本法第五条关于个人信息处理必要原则的体现。
第一,处理个人信息应当采取对个人权益影响最小的方式。即便是出于明确、合理目的,按照法定规则处理个人信息,也可能会对个人权益造成影响。最小化处理原则要求个人信息处理者选择对个人权益影响最小的方式处理个人信息;当个人信息处理可能对个人信息权益有较大影响时,应当采取必要措施,比如调整处理行为或处理方式、特别告知或者向个人作出充分解释、采取更严格的安全保护措施等,减小对个人权益的影响。
第二,本条第二款特别强调,收集个人信息应当限于实现处理目的的最小范围,不得过度收集个人信息。实践中过度收集个人信息的情况比较严重,为了回应现实中过度收集个人信息的突出问题,本条第二款专门就个人信息的收集的最小化提出了有针对性的要求。
第七条 处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。
[释义]本条是关于公开、透明原则的规定。
个人信息处理不得秘密进行,公开、透明原则是个人信息处理者应当遵循的基本原则之一。要求处理个人信息公开、透明,主要目的就是保障个人的知情权,让个人可以有效维护自己的个人信息权益;同时,也让个人信息处理行为处于监管部门、社会的监督之下,督促个人信息处理者遵守法律法规、履行法定义务。本条从两个层面对该原则作了进一步规定:一是公开个人信息处理规则;二是明示处理的目的、方式和范围。
一、部分国际组织、国家和地区关于公开、透明原则的规定
公开、透明原则是许多国际组织、国家和地区明确规定的原则。经济合作与发展组织(OECD)《隐私保护和个人数据跨境流动指南》规定,个人信息的开发、应用和规则等一般政策应当公开;应提供可行的方式以确定个人信息的存在、性质、使用目的,以及信息控制者的身份和住所。国际标准化组织(ISO)和国际电工委员会(IEC)《ISO 29100隐私框架》规定,信息控制者以清晰和易懂的方式向个人提供有关信息处理的政策、程序和规则,应向个人告知本人的信息是否被收集、收集的目的、披露给第三方的信息类型、控制者的身份以及访问、更正、删除本人信息的方式,当处理程序有重大变化时应提示个人。欧盟《通用数据保护条例》规定,处理数据应当让数据主体知道处理数据的程序、范围和具体用途,不得在数据主体不知情的情况下进行。透明原则强调向个人进行的告知和说明,应当是简洁、清晰、易于理解、便于获取的。
美国、德国、法国、澳大利亚以及我国香港特别行政区、澳门特别行政区等国家和地区都对公开、透明原则作出了明确规定,主要体现在要求公开个人信息处理者的相关情况、个人信息处理规则,向个人告知对其个人信息处理的方式、用途以及个人享有的权利等。
二、公开个人信息处理规则
本条中的“个人信息处理规则”是指信息处理者为处理个人信息、落实个人信息保护义务,结合自身情况所制定或者遵循的具体操作规则或者办法,如实践中常见的“隐私政策”“个人信息保护政策”等。
1.个人信息处理规则的内容
个人信息处理规则由信息处理者自己制定,但法律也对应公开的事项予以了明确,如本法第十七条等条文对处理个人信息应告知的事项作了相应规定。此外,推荐性国家标准《信息安全技术 个人信息安全规范》对个人信息保护政策给出了推荐性的模板,包括但不限于以下内容:(1)个人信息控制者的基本情况,包括主体身份、联系方式。(2)收集、使用个人信息的业务功能,以及各业务功能分别收集的个人信息类型。涉及个人敏感信息的,需明确标识或突出显示。(3)个人信息收集方式、存储期限、涉及数据出境情况等个人信息处理规则。(4)对外共享、转让、公开披露个人信息的目的、涉及的个人信息类型、接收个人信息的第三方类型,以及各自的安全和法律责任。(5)个人的权利和实现机制,如查询方法、更正方法、删除方法、注销账户的方法、撤回授权同意的方法、获取个人信息副本的方法、对信息系统自动决策结果进行投诉的方法等。(6)提供个人信息后可能存在的安全风险,以及不提供个人信息可能产生的影响。(7)遵循的个人信息安全基本原则,具备的数据安全能力,以及采取的个人信息安全保护措施,必要时可公开数据安全和个人信息保护相关的合规证明。(8)处理个人询问、投诉的渠道和机制,以及外部纠纷解决机构及联络方式。
个人信息保护政策所告知的内容,应真实、准确、完整;个人信息保护政策的内容应清晰易懂,符合通用的语言习惯,使用标准化的数字、图示等,避免使用有歧义的语言。
2.公开的方式
个人信息处理者对个人信息进行收集等行为,有的是通过网络进行的,有的是通过线下面对面进行的。不同的处理方式下,公开个人信息处理规则的方式也存在差异。
对于通过网络平台、App等线上渠道处理个人信息的情形,通常要求个人信息处理者在其网站或应用程序页面的明显位置公开个人信息处理规则,便于个人知悉、查阅和下载保存。本法第十七条根据线上个人信息处理的实际情况,规定个人信息处理者可以通过制定个人信息处理规则的方式进行告知,且处理规则应当公开,便于查阅和保存。《信息安全技术 个人信息安全规范》也规定,个人信息保护政策应公开发布且易于访问。对于通过线下处理个人信息,应当面向个人告知个人信息处理的相关事项,或者向个人提供书面材料等方式,确保个人知悉其个人信息处理的相关事项。
三、明示个人信息处理的目的、方式和范围
公开、透明原则的核心是要求个人信息处理者履行告知义务,明示个人信息处理的有关情况。个人信息保护法作了许多具体规定,包括第十七条规定,个人信息处理者在处理个人信息前向个人告知个人信息处理者的名称或者姓名和联系方式,个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;个人行使相关权利的方式和程序等;第二十二条、第二十三条规定了在转移或者向他人提供个人信息时的告知义务;第三十条规定了处理敏感个人信息时应当告知处理敏感个人信息的必要性以及对个人权益的影响;第三十九条规定了向境外提供个人信息时的告知内容。
在上述相关内容中,处理个人信息的目的、方式和范围是最为关键的。据此,本法在总则中特别强调,个人信息处理者应当通过个人信息处理规则明示处理的目的、方式和范围。
第八条 处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。
[释义]本条是关于个人信息质量原则的规定。
在大数据时代,个人信息处理者基于对其掌握的个人信息的分析,判断个人的性格、消费习惯、活动规律、财务状况等,然后根据这些分析作出针对个人的决策。例如,银行根据个人的财务状况决定是否给予其贷款、保险公司根据个人的健康情况决定具体的保费费率、用人单位根据个人的违法犯罪记录决定对某人是否录用。这些建立在对个人信息分析基础上的决策,对个人将产生重大影响,如果个人信息处理者掌握的个人信息不准确、不完整,或者未及时更新,所作出的决策可能会对个人产生不利影响。个人信息质量原则,就是强调信息处理者保障个人信息的质量,避免由于个人信息的不准确、不完整对个人产生不利影响。
一、部分国际组织、国家和地区的规定
信息质量原则是国际上普遍认可的原则。经济合作与发展组织(OECD)《隐私保护和个人数据跨境流动指南》规定,个人数据应与它们使用的目的相关,与使用目的相关的个人数据应当准确、完整,并且及时更新。亚太经济合作组织(APEC)《隐私框架》规定,为达到必要的使用目的,个人信息应准确、完整并及时更新。个人有权对信息的准确性提出异议并在适当的情况下更正、补充或删除其信息。个人信息控制者应当为个人提供查阅和更正的机会。国际标准化组织(ISO)和国际电工委员会(IEC)《ISO 29100隐私框架》规定,信息控制者应当确保个人可识别信息对使用目的而言是准确、完整、最新、充分和相关的,在处理前应确认从其他来源收集的个人可识别信息的可靠性,对个人可识别信息作出任何改变前应以适当的方法确认个人提出的要求的有效性和准确性,应当制定相应程序确保个人可识别信息的质量并建立监测机制定期进行检查。欧盟《通用数据保护条例》规定了数据的准确性原则,要求数据控制者应当保证个人数据准确、必要、及时进行更新,应当采取合理措施确保对不准确的数据进行删除或纠正且不得延误。美国法律普遍遵循的公平信息实践原则强调数据质量和完整性,要求组织应在可能的情况下确保个人可识别信息准确、相关、及时和完整,如美国《公平信用报告法》规定,信用报告机构应当遵守合理程序以确保报告涉及的个人信息最大限度的准确性;在制作用于就业用途的信用报告时,信用报告机构还必须采取严格的程序确保可能对个人获得聘用产生不良影响的信息是完整的、最新的;消费者如果认为自己信用报告中的信息是不完整或不准确的,有权向信用报告机构提出异议,信用报告机构必须对此进行调查;对于确属不完整、不准确的信息,个人有权要求信用报告机构删除或修改,信用报告机构应在30天内予以删除或修改。澳大利亚的隐私原则包括个人信息质量原则,要求App实体应采取措施保证所使用、披露个人信息的行为与自身的目的保持一致,并且应确保个人信息的准确、及时更新和完整;如果App实体掌握了用户个人信息,并且个人信息是不准确、过时的、不完整或与实体目的不完全相关的,或者个人要求修改个人信息的,那么实体应当采取措施来修改个人信息,使得个人信息是准确、及时、完整和相关的。日本《个人信息保护法》规定,个人信息处理者应当尽力在达到使用目的所必要的范围内,将个人数据保持在准确且最新的状态。韩国《个人信息保护法》规定,个人信息管理者应在实现管理个人信息目的必要范围内致力于确保个人信息的准确性、完整性和最新性。我国台湾地区“个人资料保护法”规定,公务机关或非公务机关应维护个人资料的正确性,主动或依当事人的请求予以更正或补充,对当事人提出的更正请求应在30日内作出是否更正的决定。
二、个人信息质量原则的具体要求
第一,是否需要保持个人信息的准确、完整,应结合个人信息的处理目的和对个人权益的影响等因素作具体判断。如以营销为目的向个人推送定向广告,一般只需收集个人的浏览、购买等记录,而无须掌握精确的个人身份信息,即使所使用的个人信息不准确、不完整,也只会影响广告的精准度,不会对个人权益造成实质不利影响,过于追求个人信息的准确性、完整性反而将导致个人信息的过度处理。而一些对个人权益有较大影响的处理场景,则对个人信息的质量有较高要求,典型的如征信信息,征信信息的不准确、不完整将直接导致个人无法获得贷款或贷款额度受限。因此,质量原则是征信业特别强调的原则,如《征信业管理条例》就规定,征信机构应当采取合理措施,保障其提供信息的准确性。个人认为征信机构采集、保存、提供的信息存在错误、遗漏的,有权向征信机构或者信息提供者提出异议,要求更正。征信机构或者信息提供者收到异议,应当按照国务院征信业监督管理部门的规定对相关信息作出存在异议的标注,自收到异议之日起20日内进行核查和处理,并将结果书面答复异议人。经核查,确认相关信息确有错误、遗漏的,信息提供者、征信机构应当予以更正;确认不存在错误、遗漏的,应当取消异议标注;经核查仍不能确认的,对核查情况和异议内容应当予以记载。
第二,个人信息处理者应当保障个人的补充、更正、拒绝等权利,避免因个人信息不准确、不完整对个人权益造成不利影响。本法第四十六条规定,个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。第二十四条第二款、第三款规定,通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。民法典第一千零三十七条规定,自然人发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。推荐性国家标准《信息安全技术 个人信息安全规范》规定,个人信息主体发现个人信息控制者所持有的该主体的个人信息有错误或不完整的,个人信息控制者应为其提供请求更正或补充信息的方法。
第九条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。
[释义]本条是关于责任原则和安全保障原则的规定。
个人信息处理者是个人信息处理活动的第一责任人,应对其处理行为负责,并切实采取措施保障个人信息的安全。
一、责任原则
1.部分国际组织、国家和地区的规定
经济合作与发展组织(OECD)《隐私保护和个人数据跨境流动指南》规定,信息控制者有责任遵守个人信息保护义务,并采取相应的措施确保落实相关义务。亚太经济合作组织(APEC)《隐私框架》规定,个人信息控制者应确保关于个人信息保护的相关原则得以实施。欧盟《通用数据保护条例》规定,数据控制者有责任落实个人数据保护原则并予以证明。韩国《个人信息保护法》规定,个人信息控制者应努力履行法定责任和义务,获得个人的信任。
2.责任原则的内容
责任原则要求:(1)个人信息处理者在处理个人信息时,应遵循本法确立的个人信息处理的原则;(2)处理个人信息应遵守本法规定的个人信息处理规则;(3)个人信息处理者应采取必要的管理措施和技术措施,保障个人信息处理的合规性和安全性,并保障个人的查阅权、复制权、更正权、删除权等权利的有效行使;(4)当个人信息处理活动侵害个人信息权益时,应承担相应的法律责任。
二、安全保障原则
1.部分国际组织、国家和地区的规定
经济合作与发展组织(OECD)《隐私保护和个人数据跨境流动指南》规定,对于个人数据,相关主体应当采取合理的保护措施,防止个人数据的遗失或者未经授权的访问、毁坏、使用、修改以及披露的风险。亚太经济合作组织(APEC)《隐私框架》规定,个人信息控制者应采取适当的安全措施防止发生诸如丢失或未经授权的访问、损毁、使用、修改或泄露、滥用等风险;所采取的安全措施应与损害发生的概率和严重程度、信息的敏感程度和保存环境相适应,并对保护措施进行定期审查和评估。国际标准化组织(ISO)和国际电工委员会(IEC)《ISO 29100隐私框架》规定,信息控制者应使个人可识别信息处于控制下,在运营、系统设计和策略三个层面上采取适当措施确保信息的完整性、保密性和可用性,在全生命周期中防止未经授权的访问、损毁、使用、修改、披露、丢失等风险。定期进行审计以确认和证明信息的处理符合信息保护和隐私安全的要求,建立适当的内部控制和独立监督机制,对信息处理的系统设计和服务提供过程是否符合信息保护和隐私安全的要求进行风险评估。欧盟《通用数据保护条例》规定,应以适当、安全的方式处理个人信息,包括采取技术和管理措施防止个人信息遭受未经授权或非法的处理、意外遗失、灭失或损毁。韩国要求个人信息管理者应制定内部管理计划,采取技术、管理和物理的安全措施,防止个人信息丢失、被窃、泄露、伪造、变造或破坏。新加坡要求制定和实施履行法案规定的义务所必需的政策和措施。我国台湾地区“个人资料保护法”规定,公务机关或非公务机关保有个人资料档案的,应采取适当的安全措施,防止个人资料被窃取、篡改、毁损、灭失或泄露。
2.安全保障原则的内容
我国许多法律都规定了个人信息处理者的安全保障义务。2012年通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》对此作了原则规定。2016年通过的网络安全法确立了网络安全等级保护制度,要求网络运营者按照网络安全等级保护制度的要求履行网络安全保护义务,保障网络数据的完整性、保密性和可用性,其中的网络数据包括个人信息数据。本法第五章对个人信息处理者的安全保障义务作了具体规定,要求个人信息处理者应当根据个人信息的处理目的、处理方式、种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施防止未经授权的访问以及个人信息泄露、篡改、丢失:(1)制定内部管理制度和操作规程;(2)对个人信息实行分类管理;(3)采取相应的加密、去标识化等安全技术措施;(4)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;(5)制定并组织实施个人信息安全事件应急预案;(6)法律、行政法规规定的其他措施。本条将个人信息处理者应当依法履行安全保障义务归纳概括为安全保障原则,并在总则中作出规定。
第十条 任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。
[释义]本条是关于禁止非法处理个人信息的规定。
本条从禁止性的角度强调了任何组织和个人都不得非法开展个人信息处理活动。一方面,强调个人信息处理者应当履行个人信息保护义务,不得违法处理个人信息;另一方面,体现了与相关法律的衔接,强调不得通过个人信息处理从事其他违法活动。
本法确立了处理个人信息应遵循的原则,建立了以“告知—同意”为核心的个人信息处理规则,明确了个人信息处理者保护个人信息的义务,任何组织、个人不得违法处理个人信息,包括不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
与此同时,个人信息处理作为一种技术手段或者方式,可能被用来从事违法犯罪活动,危害国家安全、公共利益,对此应在法律上予以禁止,并依照其他有关法律法规的规定追究其责任。
第十一条 国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。
[释义]本条是关于国家在个人信息保护方面责任的规定。
在信息化时代,加强个人信息保护、维护公民在网络空间的合法权益是全社会的共同责任,需要各方面共同参与。
一、建立健全个人信息保护制度
加强个人信息保护需要国家健全相关法律制度。近年来,我国先后制定、修改关于加强网络信息保护的决定、消费者权益保护法、刑法修正案、网络安全法、电子商务法、民法典等法律和决定,有关方面还出台了大量涉及个人信息保护的行政法规、规章、规范性文件以及司法解释、技术标准等,不断完善个人信息保护制度。制定个人信息保护法是进一步健全个人信息保护制度的重要举措,有关部门应当根据个人信息保护法的要求,完善个人信息保护工作机制,适时制定与修订相关配套规定和标准,形成完备的个人信息保护制度体系。
二、预防和惩治侵害个人信息权益的行为
为了更加有效保护公民的个人信息权益,应当在建立健全个人信息保护制度的基础上,采取措施监测、感知个人信息保护面临的突出问题和风险,完善个人信息保护监督执法工作机制,加强日常监督检查,提出有针对性的改进个人信息保护工作举措,有效预防侵犯个人信息权益行为的发生。同时,根据个人的投诉和举报,以及监督检查工作中发现的线索,对涉嫌侵害个人信息权益的违法犯罪行为依照法定程序调查处理。近年来,有关主管部门不断加大个人信息保护监督执法工作力度,中央网信办、工信部、公安部、国家市场监管总局联合开展“App违法违规收集个人信息专项治理”,组织对下载使用量大、与民众生活密切相关的App进行检测评估,对存在严重问题的App通过约谈、公开曝光等方式督促运营者进行整改,规范个人信息收集使用活动。公安部连续多年开展打击整治网络侵犯公民个人信息犯罪专项行动、净网行动,共侦办侵犯公民个人信息案件1.7万余起,抓获犯罪嫌疑人4万余名。
三、加强个人信息保护宣传教育
加强个人信息保护宣传教育,包括宣传个人信息保护的重要性、各方主体在个人信息保护方面的权利义务、个人信息保护的具体知识以及个人信息保护法律法规等,有利于增强各方面的个人信息保护意识,提高个人自我保护能力,在全社会营造重视个人信息保护的良好氛围,促进个人信息保护法律制度的有效实施。
个人信息保护宣传教育的途径和方式是多样的。国家应当支持将个人信息保护纳入学校教育、家庭教育和社会教育等内容,鼓励媒体通过新闻报道、公益专题片等多种形式开展个人信息保护宣传教育。有关国家机关可以根据自身职能、结合具体的工作开展相关宣传教育。近年来,有关主管部门通过多种渠道组织开展个人信息宣传普法活动,中央网信办通过在每年网络安全宣传周设置个人信息保护主题宣传日,开展网信普法进校园、进机关、进企业系列活动,在“3·15”晚会对App违法违规收集使用个人信息进行现场展示等多种形式普及个人信息保护知识和技能,推动提升公众个人信息保护意识;最高人民法院、最高人民检察院、公安部等通过发布典型案例、媒体访谈、专家解读等形式,广泛开展个人信息保护宣传,震慑违法犯罪行为,帮助广大人民群众增强识别意识和防范能力。
四、推动形成全社会共同参与的良好环境
个人信息保护事关国家和全社会的共同利益,加强个人信息保护需要政府、企业、相关行业组织和社会公众共同参与,发挥全社会的作用。政府依法履行职责,是个人信息保护制度得到有效落实的保障。企业要依法履行个人信息保护义务、遵守商业道德、承担社会责任、接受政府和社会监督。相关社会组织通过订立行业规范、提出行为倡议、开展业务交流培训等方式,指导和促进本行业的个人信息保护工作的开展。社会公众通过行使具体的个人信息权利以及监督、投诉、诉讼等权利,有效维护自身合法权益,并促进社会对个人信息保护的重视。国家应当采取措施支持社会各方面参与个人信息保护工作,营造全社会共同参与的有利环境和良好氛围。
第十二条 国家积极参与个人信息保护国际规则的制定,促进个人信息保护方面的国际交流与合作,推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等互认。
[释义]本条是关于参与个人信息保护国际治理的规定。
一、个人信息保护是重要的国际议题
数据是信息社会重要的生产要素,个人信息数据是大数据的核心和基础,随着数字经济蓬勃发展,个人信息逐渐成为各国重要的战略资源,个人信息保护也是当前国际竞争和网络社会治理的重要议题。20世纪70年代以来,有关国际组织逐渐重视研究推动形成个人信息保护的相关治理规则。经济合作与发展组织(OECD)制定了《隐私保护和个人数据跨境流动指南》,亚太经济合作组织(APEC)出台了《隐私框架》。欧盟1995年制定了《数据保护指令》,2016年又出台了《通用数据保护条例》。联合国召开世界信息峰会、成立信息安全政府间专家组,上海合作组织、二十国集团(G20)领导人峰会等均将个人信息保护等网络安全相关议题作为重要合作领域。
围绕个人信息保护展开的国际竞争日益激烈。例如,为了从欧盟境内获取个人信息,美国与欧盟就个人信息跨境流动问题反复谈判,并先后达成“安全港框架协议”“隐私盾框架协议”等协议,2020年“隐私盾框架协议”被宣布无效后,双方继续协商寻求新的解决方案。随着网络强国、数字中国建设工作的深入推进,我国在信息技术和数字经济方面整体实力不断增强,但同时与有关国家之间的竞争甚至冲突也日益显现,为了保障我国公民个人信息权益、维护国家利益,以及为建立公平合理的个人信息保护国际治理规则贡献中国智慧,我国需要积极参与个人信息保护领域的国际交流与合作。
二、我国积极倡导和践行国际合作
2015年,习近平主席在第二届世界互联网大会开幕式上的讲话中提出了全球互联网发展治理的“四项原则”和“五点主张”,强调国际社会应该在相互尊重、相互信任的基础上,加强对话合作,推动互联网全球治理体系变革,共同构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的全球互联网治理体系。2016年《国家网络空间安全战略》和2017年《网络空间国际合作战略》均提出加强网络空间治理的国际合作。网络安全法、电子商务法、数据安全法也规定了开展网络空间治理等领域的国际交流合作内容。
实践中,我国积极参与联合国、G20、金砖国家、APEC、WTO等多边机制数字领域国际规则制定,并先后倡导发起《二十国集团数字经济发展与合作倡议》《“一带一路”数字经济国际合作倡议》《携手构建网络空间命运共同体行动倡议》《全球数据安全倡议》,参与ISO《区块链和分布式记账技术参考架构》等标准的制定,这些都与个人信息保护密切相关。
三、参与个人信息保护国际治理的几方面内容
第一,积极参与个人信息保护国际规则的制定。个人信息保护是一个相对新兴的领域,虽然有一些比较有影响力的区域性规则,但相关制度总体上尚处于探索和发展之中,还没有形成全球统一且成熟的国际规则。我国积极参与个人信息保护国际规则的制定,既是维护国家利益的需要,也有利于推动形成公平合理的个人信息保护国际规则。
第二,促进个人信息保护方面的国际交流与合作。通过合作交流加强相互信任和支持,有效保障个人信息权益,促进个人信息有序流动。国际交流与合作的领域,包括规则制定方面的合作,也包括执法、司法等领域的合作,还包括技术层面的合作。合作主体方面,既包括促进政府之间的合作,也包括促进企业、行业等相互合作。通过国家缔结或参加国际条约、协定,是促进国际交流合作的重要方式。例如,本法第三十八条规定了我国缔结或者参加的国际条约、协定对向我国境外提供个人信息的条件等有规定的,按照其规定执行。
第三,推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等互认。规则标准“软联通”是推动国际交往高质量发展的重要支撑,是加强国际合作的重要方式。推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等互认,一是有利于从源头防范和化解个人信息保护国际冲突,降低个人信息保护成本,促进个人信息保护和利用。二是提升我国个人信息保护规则、标准的国际影响力,增强我国参与个人信息保护国际规则制定的话语权。国家推动规则、标准等互认,一方面,需要积极参与国际规则、标准的制定,为国际规则、标准与我国规则、标准的衔接奠定好的基础;另一方面,我国制定相关规则、标准,也需要深入研究国际规则和实践情况,做好必要的衔接和应对。此外,还需要在国际交往中重视这方面的协商、谈判,积极推动规则、标准等互认。