“嚴”字當頭,提升個人信息保護法治化水平——全國人大常委會法工委有關部門負責人解讀個人信息保護法熱點話題
日前,十三屆全國人大常委會第三十次會議表決通過了個人信息保護法,自2021年11月1日起施行。這部法律將怎樣保護你我的信息安全?全國人大常委會法工委經濟法室副主任楊合慶進行了解讀。
熱點一:處理個人信息應向個人充分告知並取得同意
楊合慶介紹,個人信息保護法明確,處理個人信息應當具有明確、合理的目的,並應當與處理目的直接相關,採取對個人權益影響最小的方式。收集個人信息,應當限於實現處理目的的最小範圍。
他表示,“告知——同意”是法律確立的個人信息保護核心規則。個人信息處理者在取得個人同意的情形下方可處理個人信息,個人信息處理的重要事項發生變更,應當重新向個人告知並取得同意。
針對羣眾反映強烈的一攬子授權、強制同意等問題,楊合慶表示,個人信息處理者在處理敏感個人信息、向他人提供或公開個人信息、跨境轉移個人信息等環節應取得個人的單獨同意,明確個人信息處理者不得過度收集個人信息,不得以個人不同意為由拒絕提供產品或者服務,並賦予個人撤回同意的權利。
熱點二:防止“大數據殺熟”、敏感個人信息被濫用
“當前,越來越多的企業利用大數據分析、評估消費者的個人特徵用於商業營銷,這有利於提高經濟活動的效率,提升消費者的消費體驗,但一些企業卻利用個人信息進行‘大數據殺熟’,侵犯了消費者權益,應當在法律上予以禁止。”楊合慶説。
根據個人信息保護法,個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。通過自動化決策方式向個人進行信息推送、商業營銷,應當同時提供不針對其個人特徵的選項,或者向個人提供便捷的拒絕方式。
個人信息保護法將生物識別、宗教信仰、特定身份、醫療健康、金融賬户、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息列為敏感個人信息。本法要求,只有在具有特定的目的和充分的必要性,並採取嚴格保護措施的情形下,方可處理敏感個人信息,同時應事前進行影響評估,並向個人告知處理的必要性以及對個人權益的影響。
熱點三:明確各方義務強化違法懲戒
超大型互聯網平台掌握了海量用户數據,一旦發生信息泄露或者濫用,可能導致極為嚴重的後果。個人信息保護法特別規定了這類平台需要履行的義務,包括按照國家規定建立健全個人信息保護合規制度體系,成立主要由外部成員組成的獨立機構進行監督,遵循公開、公平、公正的原則制定平台規則,對嚴重違法處理個人信息的平台內產品或者服務提供者停止提供服務,定期發佈個人信息保護社會責任報告接受社會監督等。
在監管部門方面,本法明確,國家網信部門和國務院有關部門在各自職責範圍內負責個人信息保護和監督管理工作,同時對個人信息保護和監管職責作出規定,其中包括指導監督個人信息保護工作、接受處理相關投訴舉報、組織對應用程序等進行測評、調查處理違法個人信息處理活動等。
據楊合慶介紹,個人信息保護法根據個人信息處理的不同情況,對違法處理個人信息的行為設置了不同梯次的行政處罰。對未造成嚴重後果的輕微或一般違法行為,可由執法部門責令改正、給予警告、沒收違法所得,對拒不改正的最高可處一百萬元罰款;對情節嚴重的違法行為,最高可處五千萬元或上一年度營業額百分之五的罰款,並可以對相關責任人員作出相關從業禁止的處罰。
“個人信息保護法以嚴密的制度、嚴格的標準、嚴厲的責任,構建了權責明確、保護有效、利用規範的個人信息處理和保護制度規則。社會各方面應當加強個人信息保護宣傳教育,提升個人信息保護法治意識,推動個人信息保護法落地實施,助力網絡強國、數字中國、智慧社會建設。”楊合慶説。
記者:劉碩、白陽
編輯:王薇