個人信息保護法草案(下稱“草案”)近日提請十三屆全國人大常委會第二十二次會議審議。從內容上看,草案對個人信息範圍作出了明確界定,聚焦目前個人信息保護的突出問題,並加大了違法行為的懲處力度。
草案備受關注的亮點,同時也是展示其雄心的重點。
作為一類隨數字時代發展而產生的新問題,個人信息範圍本身就有較大爭議。國際上有“關聯説”即信息能否關聯到個人,也有“識別説”即信息是否可識別。草案明確個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,即匿名化處理後的信息不包含在內——採取的是後者。“識別説”會對如何監管還原匿名信息並濫用的問題提出更高要求,但也可以令個人信息範圍更加明確和清晰,這也是目前較符合國際趨勢的範圍定義。
而對比此前因缺乏針對性法律間接造成的低違法成本問題,草案以大力度的高額處罰亮明瞭對個人信息保護的強硬態度。草案規定的頂格處罰是,情節嚴重者,可處5000萬元以下或上一年度營業額5%以下罰款;而一向以嚴格著稱的歐盟《通用數據保護條例》(GDPR)規定,重者處以2000萬歐元或者企業上一年度全球營收的4%(兩者取其高)的罰款。在以營業額比例為罰款依據這一方面,草案規定甚至高於GDPR。
更重要的是,草案立足實際,確立了以“告知—同意”為核心的個人信息處理系列規則,明確了知情同意在個人信息保護的不同使用場景中的具體表現。在這一方面,草案劃分得很細緻,例如,要求處理個人信息應當在事先充分告知的前提下取得個人同意,並且個人有權撤回同意;重要事項發生變更的應當重新取得個人同意;不得以個人不同意為由拒絕提供產品或者服務。這樣的規則,就將令曾經比比皆是的App“不同意隱私條款即不能享受服務”,以及隱藏在用户協議中平台對用户的個人信息完全免費、不可撤銷、永久可轉授權、可再許可等霸王條款,明確確認為違法。
無論是採用與國際趨勢相一致的“識別説”、頂格處罰看齊GDPR,或是針對現實問題的個人信息處理規則,都不難看出,這是一部頗具雄心的草案。但要讓雄心得以實現,除了決心和態度,還需要強力的執行配套。
一方面,大力度懲罰背後,更需要詳細的情節劃分,例如,對應頂格處罰的嚴重情節,分別包含哪些行為、到何種程度,都需要以量化標準具體地予以明確。另一方面,監管部門與執法責任需詳細落實。目前,個人信息保護的監管仍處於“九龍治水”的狀態,網信、市場監管、工信、公安等部門各負責一塊,容易出現推諉“踢皮球”的現象。或許成立專門部門負責個人信息保護的監管仍較為遙遠,但在草案延續了目前體系的情況下,仍明確由國家網信部門統籌協調,那麼,如何協調好部門之間的關係、明確各部門之間的責任邊界、調動各部門的監管積極性,則很大程度上決定了個人信息保護法的執行效率,也將會是個人信息保護法落地的難點所在。
數字時代,個人信息的隨意甚至非法採集、濫用及非法買賣日漸猖獗,個人信息保護已成為公民權益最迫切需要被保障的部分,個人信息安全不僅關乎個人權益,亦與社會穩定發展息息相關。個人信息保護法的出台勢在必行,如何讓這部草案的雄心變為現實,讓個人信息保護法成為保護公民個人信息的鎧甲,還需更多執法監管的可行性措施作配套。