打开网易新闻 查看精彩图片

◎ 文 《法人》全媒体记者 银昕

在一系列互联网企业被诉侵犯个人隐私的案件发生之后,备受关注的个人信息保护法草案(下称“草案”)终于面世。10月13日,个人信息保护法草案提请十三届全国人大常委会第二十二次会议审议。

“为及时回应广大人民群众的呼声和期待,落实党中央部署要求,制定一部个人信息保护方面的专门法律,将广大人民群众的个人信息权益实现好、维护好、发展好,具有重要意义。”全国人大常委会法工委副主任刘俊臣说。

草案共八章,七十条。在具体内容上,草案确立了“合法”“正当”为处理个人信息的总原则,还确立了以“告知一同意”为核心的一系列个人信息处理规则,要求处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意。

针对敏感个人信息的问题,草案设置了专节做了更为严格的限制,只有在具有特定目的和充分必要性的情形下,方可处理敏感个人信息,并且应当取得个人的单独同意或者书面同意。

草案还对基于个人同意以外合法处理个人信息的情形作了规定。鉴于在应对新冠肺炎疫情中,大数据应用为联防联控和复工复产提供了有力支持。为此,草案将应对突发公共卫生事件或者紧急情况下保护自然人的生命健康,作为处理个人信息的合法情形之一。

个信保护立法体系呼之欲出

个信保护立法体系呼之欲出

“在我看来,个人信息保护法草案只是规定了一些大的原则性内容。”在通读全文之后,中国政法大学传播法研究中心副主任朱巍对《法人》记者表示。

其实,早在个人信息保护法草案审议之前,在信息安全领域已经有了一系列国家标准和司法解释,也有一系列在行业中已经达成了共识、成为行业惯例的做法。

2017年5月1日,推荐性国家标准《个人信息安全规范》开始实施,这套规范规定的“明确告知授权原则”“数据不可结转原则”“设立专职部门管理个人信息安全事宜”等,已被不少互联网企业采用。今年10月1日,该规范的第二版即《个人信息安全规范2020》也开始实施。

同样是在2017年5月,“两高一部”公布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,明确了非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上的将入罪。该司法解释在当年6月1日起实施。

记者整理发现,草案中不难寻到上述国家标准和司法解释中已经存在的内容,其中,“强调处理个人信息应当采用合法、正当的方式,具有明确、合理的目的,限于实现处理目的的最小范围”,此处的最小性和必要性原则,在上述安全规范中已经提过;“以‘告知一同意’为核心”的内容,也在前述司法解释和安全规范中有所表述。

“这部草案把此前行业内部和监管层已经达成的共识和通行做法在法律上予以确认。”某线上医疗机构的信息安全部门负责人对记者说,“这并非坏事,已经形成的行业共识和例行做法需要在法律高度加以确认,以提高这些内容在法理上的地位。”

朱巍则认为,草案最多只能做一些大体框架性和原则性的规定,“新意”不大。个人信息保护的司法实践牵扯到太多的具体情况,不是一部个人信息保护法能够涵盖的。当前,人工智能等新技术还在向前发展,法律不宜规定得“过死”,“只做原则性立法,留出一些空间,就不会影响新技术和新模式的尝试。”

“个人信息保护法相当于领域内的‘宪法’,只确立总体原则;‘宪法’之后还会有各管理部门制定的细则、法规等,对具体的情况进一步规定,这样才构成一套保护个人信息的法律体系。”朱巍说。

域外管辖权和罚款上限是亮点

域外管辖权和罚款上限是亮点

草案中最引人关注的内容是域外管辖权原则和对企业及相关责任人的罚款上限。

草案规定,以向境内自然人提供产品或者服务为目的,或者为分析、评估境内自然人的行为等发生在我国境外的个人信息处理活动,也适用本法;并要求境外的个人信息处理者在境内设立专门机构或者指定代表,负责个人信息保护相关事务。

草案中关于域外管辖权的做法参照了欧盟于2018年开始生效的《通用数据保护条例》(下称“GDPR”),该条例规定如某一组织虽不在欧盟境内设立业务机构,但却处理欧盟境内的个人数据,并且此类处理行为与向欧盟境内个人提供商品或服务相关,无论该等商品或服务是否收费,则也适用于GDPR。

对企业及相关责任人的罚款原则也能看到GDPR的影子。GDPR的最高罚款额度为公司上一年度营业额的4%或2000万欧元(取二者中的较高者)。草案则规定,对情节严重的违规行为,由履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或上一年度营业额的5%以下(取二者中的较高者)的罚款。

早在GDPR推出伊始,就有评论称这是截至当时最严格的一部数据保护法律,如此大数额的罚款发生在数字经济“不太发达”的欧盟,会进一步使欧盟国家的数字经济发展受限。然而两年后,在数字经济“十分发达”的我国,也对罚款数额上限做了较高的规定,这意味着立法者不愿以牺牲个人信息安全为代价换取数字经济高度发展的态度。

又一场激烈博弈悄然展开

又一场激烈博弈悄然展开

每一项针对新技术和新商业模式的立法都会引起一番博弈,在鼓励与限制之间,在企业希望获得更多授权以尝试不同商业模式和监管部门希望有更明确的执法依据之间,从草案出台的这一刻起,博弈也悄然开场。

以电子商务法为例,从2013年12月正式启动立法进程,到2018年8月获得表决通过,历时近五年,经历了四次审议,而大多数法律只需要经过三次审议即获通过。

当年最富争议的是电子商务法第三十八条,当电商平台未尽审核义务等造成消费者损害承担的责任。第三次审议稿的表述是“承担连带责任”,第四次审议稿改为“承担相应的补充责任”,而最终通过的版本则表述为“承担相应责任”。全国人大财经委员会副主任委员尹中卿对此表示,此前“连带责任”被认为太严重了,而“补充责任”又被认为太轻了,“相应责任”就比较平衡。

另一种压力来自实体企业对电商平台多年来享受到“特权”的不满。很多实体企业认为网络经济给实体经济带来冲击的原因在于电商没有工商登记,没有依法纳税,使两种零售业态在不公平的层面上竞争。与此同时,以阿里巴巴为代表的互联网企业却在呼吁为中小企业减轻税费压力。最终的定稿表述为:电子商务经营者应当依法履行纳税义务,并依法享受税收优惠。

与电子商务法相似,个人信息保护法也会直接影响到一些平台现行的商业模式。比如,收集个人消费和浏览偏好信息以实现精准营销的商业模式将迎来考验。

草案规定,用户可以要求平台不推送个性化广告,有权拒绝平台以自动化决策的方式做出的决定;还要求平台在通过自动化决策方式进行商业营销、信息推动时应同时提供不针对个人特征的选项。这一条直指电商平台“个性化推荐”功能和“精准营销”策略,一旦实施,大多数平台现行的“个性化推荐”模式势必做出改变。

在草案的审议过程中,以获取个人信息为商机的电商平台会不出意外地争取更多授权和更大自由度。个人信息保护法是否会比电子商务法经过更多次审议,当下不得而知,但可以肯定的是,另一场博弈已经悄然开始。