近期,備受關注的《中華人民共和國個人信息保護法(草案)》(以下簡稱草案)正式提交十三屆全國人大常委會第二十二次會議首次審議,揭開我國個人信息立法進程的新篇章。
在我國數字化轉型加速、新技術新應用層出不窮的背景下,個人信息處理逐漸成為社會進步和產業升級新的驅動力,廣大民眾對於加大個人信息保護力度有着空前的關切和期待,個人信息保護法的制定是保障公民個人信息權益、促進個人信息合理利用的必然舉措。
草案對個人信息合理利用以及信息泄露等諸多民眾現實關切做出了及時、有效回應:
針對目前頻發的個人信息泄露事件,草案明確規定個人信息處理者的義務規則,要求其立即採取補救措施,並且向履行個人信息保護職責的部門和個人通知信息泄露的原因、已泄露的個人信息種類和可能造成的危害、已採取的補救措施以及個人可以採取的減輕危害措施等重要事項。
針對日益普遍的自動化決策應用,草案明確要求保證決策的透明度和處理結果的公平合理,並賦予個人相關的知情權和拒絕權,特別是在通過自動化決策方式進行商業營銷或信息推送的應用場景中,有權同時獲得不針對其個人特徵的選項。
針對廣泛存在的已公開個人信息的利用問題,草案明確強調對該類信息的後續利用應當符合該個人信息被公開時的用途,超出與該用途相關合理範圍的,應當另行告知並取得同意。在用途不明確的場景中,必須遵從合理、謹慎的處理原則,如果相關個人信息處理活動對個人有重大影響的,則應當依法向個人告知並取得其同意。
總體來看,草案在個人信息處理規則、個人在個人信息處理活動中的權利、個人信息處理者的義務、履行個人信息保護職責的部門、法律責任等多個層面設計和建構個人信息保護的立法框架,在規範設計上呈現出眾多亮點。
草案以“告知-同意”機制為核心邏輯建構覆蓋個人信息處理全生命週期的規則框架,強化保障自然人的控制能力,同時注重與其他重要利益包括國家安全以及公共利益等的平衡協調,例如,針對各類不同的具體場景設定告知或者同意的例外規則。這反映了立法者對個人權益的着重保護,並通過系統的個人權利內容以及個人信息處理者義務相關規定予以全面細化落實,切實貫徹保護個人信息權益與促進個人信息合理利用的雙重立法目的。
草案還通過明確規定履行個人信息保護職責的部門權限分工,進一步提升個人信息權益的保護層次和水平。從國家網信部門、國務院有關部門到縣級以上地方人民政府有關部門的職責內容與執法方式等細化規定,將有力推動個人信息處理活動監管機制的革新與完善。
草案同時注重發揮國家、社會、企業和個人等不同主體的協同作用,打造個人信息保護領域的多方共享共治模式。草案特別強調國家建立健全個人信息保護制度,預防和懲治侵害個人信息權益的行為,加強個人信息保護宣傳教育,推動形成政府、企業、相關行業組織和社會公眾共同參與個人信息保護的良好環境,為個人信息依法有序自由流動奠定堅實的、可持續的生態基礎。