个人信息保护法是我国立法对大数据时代个人信息、数据安全等问题所作的积极回应。该法通过后,将在数据安全领域具有基础性的法律地位,必将加快我国数据监管与保障法律体系的建设进程。
人类社会已经从工业社会转向信息社会,作为社会发展的基本资源,信息的创新、共享、传播和创造性使用,将大幅度地提高知识生产率和生产力水平。在互联网经济时代,数据是新的生产要素,是基础性资源和战略性资源,也是重要生产力。同时,在现代信息社会,对个人信息享有独立利益的主体日益多元。信息业者在个人信息的收集与处理中可获得巨大的商业利益,而国家同时也是个人信息最大的收集、处理、储存和利用者。因此,在个人信息保护与利用方面,需要平衡个人信息权利、信息业者对个人信息利用的利益、国家管理以及公共利益等之间的关系,构建政府、信息处理者以及信息主体之间共生共存的关系。
个人信息保护法草案共计八章七十条,构建了权责明确、保护有效、利用规范的制度规则;同时,草案也注重促进依法合理有效利用个人信息数据,推动数字经济发展行稳致远,在保护个人信息方面具有诸多亮点,具体而言:
丰富完善了个人对其信息所享有的权利
草案规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”从实质内容上看,个人信息是指信息网络环境中将自然人自身与他人作出区分的各种个人身份信息,以及与个人身份信息形成对应关系的个人网上言行信息、数据资料信息等。
进入大数据时代,信息主体控制自己的信息不被信息控制者违法处理或滥用的权利,是整个个人信息保护制度运行的基石。民法典将个人信息受法律保护作为一项重要民事权利作出规定。中国互联网络信息中心(CNNIC)第45次《中国互联网发展状况统计报告》显示,截至2020年3月,我国网民规模为9.04亿,互联网网站超过400万个,应用程序数量超过300万个,即时通信用户规模达到8.96亿,网络购物用户达7.1亿,网络支付用户规模达7.68亿,网络视频(含短视频)用户规模达到8.5亿。数据已经成为数字经济时代的重要生产要素,企业将海量信息汇总成为大数据后,可以分析市场、做出决策。
然而现实中,一些企业、机构甚至个人随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题十分突出。在“徐玉玉电话诈骗案”中,陈文辉等通过腾讯QQ、支付宝等工具非法获取高考学生信息,并使用该信息实施电信诈骗活动,造成山东省临沂市高考录取新生徐玉玉死亡。草案规定了个人在个人信息处理活动中的权利,包括知情权、查询权、更正权、删除权等,并要求个人信息处理者建立个人行使权利的申请受理和处理机制,以预防个人信息泄露。
确立了个人信息处理的规则
个人信息的处理主要包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。民法典人格权编对个人信息的处理规则作出了规定,个人信息保护法草案进一步细化、充实,确立了以“告知—同意”为核心的个人信息处理的一系列规则,包括处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。
关于如何平衡个人信息权利保护与个人信息利用之间的关系,草案一方面采取了“两头强化”的思路,即强化个人敏感信息的保护、强化个人一般信息的利用,以协调个人信息保护与利用。“个人敏感信息”是涉个人隐私核心领域、具有高度私密性、对其公开或利用将会对个人造成重大影响的个人信息,草案设专节作出更严格的限制,规定基于具有特定目的和充分必要性的情形下,方可处理敏感个人信息,并且个人信息处理者应当取得个人的单独同意,法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。而对“个人一般信息”则可以加强利用,发挥其价值。此种立法思路符合个人信息保护的特点,值得肯定。
另一方面,草案确立了个人信息处理应遵循的原则,强调处理个人信息应当采用合法、正当的方式,具有明确、合理的目的,限于实现处理目的最小范围,公开处理规则,保证信息准确,采取安全保护措施等,并将上述原则贯穿于个人信息处理的全过程、各环节。结合当前情势,在应对新冠肺炎疫情中,大数据应用为联防联控和复工复产提供了有力支持。草案将应对突发公共卫生事件,或者紧急情况下保护自然人的生命健康,作为不经个人事前同意处理个人信息的合法情形之一。此外,草案专节规定国家机关处理个人信息的规则,在保障国家机关依法履行职责的同时,要求国家机关处理个人信息应当依照法律、行政法规规定的权限和程序进行。
在大数据时代,个人信息保护已成为广大人民群众最关心、最直接、最现实的问题之一,不仅是在公共领域和私人领域全面保护个人人格利益的需要,而且直接关系到国家的信息主权、文化主权以及经济发展。