一直備受關注的個人信息保護法草案即將揭開神秘面紗於本月正式亮相。
消息顯示,十三屆全國人大常委會第七十二次委員長會議決定於10月13日至17日在京舉行十三屆全國人大常委會第二十二次會議。根據委員長會議建議,本次常委會將審議全國人大常委會委員長會議關於提請審議個人信息保護法草案的議案。
就在不久前,一則“清華大學教授拒絕人臉識別門禁”的消息引發了熱議。此前,江蘇常州部分社區強制居民“刷臉進社區”也曾引發爭議。近年來,隨着大數據、人工智能等新技術的發展,個人信息的收集、應用更加廣泛,加強個人信息保護的任務也更加艱鉅。個人信息泄露事件頻現,引發了廣泛的公眾關注。尤其是新冠疫情期間,個人信息泄露問題不時見諸媒體,包括人臉識別在內的人體生物信息採集技術的愈發廣泛的應用,更是引發了個人信息保護的擔憂。
在技術不斷髮展的今天,如何處理好個人信息利用和保護已經成為突出問題。
從2018年開始抓緊開展研究起草工作
個人信息保護事關廣大人民羣眾的切身利益,事關國家信息安全,事關數字經濟發展。一直以來,個人信息安全問題是社會各界關注的焦點,有關個人信息保護的立法呼聲也很高。
近年來,按照黨中央的決策部署,全國人大及其常委會在制定、修改網絡安全法、刑法、電子商務法等法律中,對個人信息權益、個人信息處理規則、個人信息安全保護措施等都作出了相關的規定,不斷完善個人信息保護相關法律制度,但是都不是集中的全面的規定,針對個人信息保護的專門性立法遲遲未出台。
據瞭解,按照全國人大常委會立法規劃和立法工作計劃安排,從2018年開始,法工委就會同中央網絡安全和信息化委員會辦公室在認真總結網絡安全法等法律實施經驗、深入研究個人信息利用和保護中的突出問題、借鑑有關國家和地區法律制度的基礎上,抓緊開展個人信息保護法的研究起草工作。
民法典為專門立法提供基本依據
值得一提的是,今年5月,十三屆全國人民代表大會第三次會議審議通過了我國首部民法典。民法典將於2021年1月1日施行。此次民法典的最大亮點之一就是人格權編單獨成編,對個人信息受法律保護的權利內容及其行使等作了原則規定。
“應當説,民法典為個人信息保護法的制定提供了基本依據。” 談及民法典與個人信息保護法之間的關係,清華大學法學院教授程嘯指出,民法典作為市民社會和市場經濟的基本法,其對個人信息保護的規定側重於確立大的原則方向、規定最重大、最基本的問題,如個人信息的界定、私密信息保護的法律適用、個人信息權益的內容以及個人信息的合理使用制度等。而個人信息保護法在很大程度上就個人信息和隱私權保護領域中與民法典相關聯、相配套的法律。
“個人信息保護法本身並非單純的民事特別法,而是一部運用民事、行政、刑事等綜合性手段對於個人信息加以保護,對於自然人個人信息權益、信息自由、公共利益等多重利益關係加以協調的法律。”程嘯説。
出台個人信息保護法必要且重要
在當前網絡信息科技高速發展,尤其是世界各國都非常重視對於個人信息和數據保護的大背景下,對於個人信息保護進行專門的立法即制定個人信息保護法十分必要且重要。
“可以説,個人信息保護法是個人信息保護領域中最為全面最為集中的法律規範,有了這樣一部法律,我國就真正形成了以民法典、個人信息保護法為核心的,相關領域特別法為輔助的科學合理的個人信息保護法律規範體系。”程嘯説。
他同時強調指出,制定個人信息保護法的基本出發點就是落實憲法的規定,實現黨的十九大提出的保護人民人身權、財產權和人格權的要求,充分保障自然人的人格尊嚴和自由,同時也能夠更好地適應互聯網和大數據時代發展的需要,推進國家治理體系和治理能力的現代化。特別是在當前複雜的國際鬥爭形勢下,制定一部我國的個人信息保護立法也有利於全面提升我國的信息安全,更好地保護我國公民、法人和非法人組織的合法權益。
五大立法內容值得重點關注
那麼,此次個人信息保護法中都有哪些內容需要重點關注呢?程嘯認為,五方面內容值得期待:
首先,如何通過確立科學合理的個人信息處理規則來協調自然人的個人信息權益保護與信息自由流動、合理使用之間的關係。其中,告知和同意規則是個人信息處理的基本規則。一方面對於敏感的個人信息必須確立嚴格的告知和同意規則,即非經告知並取得同意不得處理,除非法律、行政法規基於公共利益或者維護信息主體自身合法權益而作出特別的規定。另一方面,非敏感的個人信息、公開的個人信息等在必須且合理的前提下還是應當儘量允許使用,同時要符合比例原則的要求。
其次,對於個人信息權益的內容和行使要進行更具體的規範。目前對於是否需要規定被遺忘權、個人數據可攜帶權等仍然存在很大的爭論。此外,對於自然人就其個人信息的查詢權、複製權、更正權、刪除權等如何行使,也需要作出更具體、更明確的規定。
再次,對於國家機關和承擔行政職能的法定機構處理個人信息的專門規定。政府部門處理個人信息不同於私人企業,它們是因為要履行法定的職責,是為了公共利益,具有強制性。也就是説,對於國家機關而言必須處理相應的個人信息,對於自然人而言,則必須提供相應的個人信息。同時,國家機關因為沒有履行個人信息安全保護義務等違法行為而產生的賠償責任,屬於國家賠償責任。
第四,對於個人信息的跨境轉移加以科學規範。這涉及到國家安全、公共安全以及公共利益的保護的問題,因此要詳細規範個人信息的境內存儲和安全評估以及何種情形下可以進行跨境轉移。
第五,個人信息安全問題,即如何通過綜合的措施(自律和他律)來保護個人信息的安全,防止出現個人信息泄露、非法買賣、非法利用等,以及個人信息被泄露或被非法利用後的民事責任、行政責任以及刑事責任等。具體而言,在侵害個人信息的民事責任中需要明確歸責原則究竟是過錯責任、過錯推定責任還是無過錯責任,同時,明確賠償的範圍和計算方法等。
此外,由於目前我國個人信息保護領域存在“九龍治水”的局面,相關部門對於各自領域的個人信息都負有保護和管理職責,如網絡、金融、醫療衞生、教育、工信、消費者保護、不動產登記等都涉及到對相應的個人信息進行管理和保護的職責,是否有必要設立一個獨立的個人信息保護機構來專門負責個人信息的保護與執法工作,對於個人信息保護機構作出專門的規定,也是值得關注的問題。