“嚴”字當頭,提升個人資訊保護法治化水平——全國人大常委會法工委有關部門負責人解讀個人資訊保護法熱點話題
日前,十三屆全國人大常委會第三十次會議表決通過了個人資訊保護法,自2021年11月1日起施行。這部法律將怎樣保護你我的資訊保安?全國人大常委會法工委經濟法室副主任楊合慶進行了解讀。
熱點一:處理個人資訊應向個人充分告知並取得同意
楊合慶介紹,個人資訊保護法明確,處理個人資訊應當具有明確、合理的目的,並應當與處理目的直接相關,採取對個人權益影響最小的方式。收集個人資訊,應當限於實現處理目的的最小範圍。
他表示,“告知——同意”是法律確立的個人資訊保護核心規則。個人資訊處理者在取得個人同意的情形下方可處理個人資訊,個人資訊處理的重要事項發生變更,應當重新向個人告知並取得同意。
針對群眾反映強烈的一攬子授權、強制同意等問題,楊合慶表示,個人資訊處理者在處理敏感個人資訊、向他人提供或公開個人資訊、跨境轉移個人資訊等環節應取得個人的單獨同意,明確個人資訊處理者不得過度收集個人資訊,不得以個人不同意為由拒絕提供產品或者服務,並賦予個人撤回同意的權利。
熱點二:防止“大資料殺熟”、敏感個人資訊被濫用
“當前,越來越多的企業利用大資料分析、評估消費者的個人特徵用於商業營銷,這有利於提高經濟活動的效率,提升消費者的消費體驗,但一些企業卻利用個人資訊進行‘大資料殺熟’,侵犯了消費者權益,應當在法律上予以禁止。”楊合慶說。
根據個人資訊保護法,個人資訊處理者利用個人資訊進行自動化決策,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。透過自動化決策方式向個人進行資訊推送、商業營銷,應當同時提供不針對其個人特徵的選項,或者向個人提供便捷的拒絕方式。
個人資訊保護法將生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等資訊,以及不滿十四周歲未成年人的個人資訊列為敏感個人資訊。本法要求,只有在具有特定的目的和充分的必要性,並採取嚴格保護措施的情形下,方可處理敏感個人資訊,同時應事前進行影響評估,並向個人告知處理的必要性以及對個人權益的影響。
熱點三:明確各方義務強化違法懲戒
超大型網際網路平臺掌握了海量使用者資料,一旦發生資訊洩露或者濫用,可能導致極為嚴重的後果。個人資訊保護法特別規定了這類平臺需要履行的義務,包括按照國家規定建立健全個人資訊保護合規制度體系,成立主要由外部成員組成的獨立機構進行監督,遵循公開、公平、公正的原則制定平臺規則,對嚴重違法處理個人資訊的平臺內產品或者服務提供者停止提供服務,定期釋出個人資訊保護社會責任報告接受社會監督等。
在監管部門方面,本法明確,國家網信部門和國務院有關部門在各自職責範圍內負責個人資訊保護和監督管理工作,同時對個人資訊保護和監管職責作出規定,其中包括指導監督個人資訊保護工作、接受處理相關投訴舉報、組織對應用程式等進行測評、調查處理違法個人資訊處理活動等。
據楊合慶介紹,個人資訊保護法根據個人資訊處理的不同情況,對違法處理個人資訊的行為設定了不同梯次的行政處罰。對未造成嚴重後果的輕微或一般違法行為,可由執法部門責令改正、給予警告、沒收違法所得,對拒不改正的最高可處一百萬元罰款;對情節嚴重的違法行為,最高可處五千萬元或上一年度營業額百分之五的罰款,並可以對相關責任人員作出相關從業禁止的處罰。
“個人資訊保護法以嚴密的制度、嚴格的標準、嚴厲的責任,構建了權責明確、保護有效、利用規範的個人資訊處理和保護制度規則。社會各方面應當加強個人資訊保護宣傳教育,提升個人資訊保護法治意識,推動個人資訊保護法落地實施,助力網路強國、數字中國、智慧社會建設。”楊合慶說。
記者:劉碩、白陽
編輯:王薇