互联网与大数据时代,个人信息保护构成了数字社会治理与数字经济发展的基本法,牵动着万千公众的切身利益,也关涉企业对于个人信息的合理利用与规范发展。个人信息保护法自启动立法以来,也因此受到了社会的广泛关注。如今,个人信息保护法正式颁布,为个人信息处理活动提供了明确的法律依据,为个人维护其个人信息权益提供了充分保障,为企业合规处理提供了操作指引。

整体来看,个人信息保护法构建了完整的个人信息保护框架。其规定涵盖了个人信息的范围以及个人信息从收集、存储到使用、加工、传输、提供、公开、删除等所有处理过程;明确赋予了个人对其信息控制的相关权利,并确认与个人权利相对应的个人信息处理者的义务及法律责任;对个人信息出境问题、个人信息保护的部门职责、相关法律责任进行了规定。

首先,个人信息保护法确认了广义的个人信息范围,包括以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,这意味着绝大多数与自然人相关的信息都可以纳入保护范围,体现了个人信息保护法广泛的保护范围。同时区分了敏感个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。将不满十四周岁的未成年人的个人信息纳入敏感个人信息范畴,加强了对未成年人个人信息保护的力度。此外,明确将匿名化处理后的信息排除在外,这表明在大力保护个人信息权益的同时,也希望个人信息处理者能够采用匿名化等技术,以保障正常的信息处理活动。

第二,个人信息保护法提出了处理个人信息需要遵循的原则和要求。处理个人信息不仅要满足合法、正当、必要,还要有明确、合理的目的,同时必须采取对个人权益影响最小的方式,限于实现处理目的的最小范围,遵循公开、透明的原则,保证个人信息的准确、完整性,并采取必要措施保障个人信息的安全。作为个人信息处理活动最基本的要求,这些原则贯穿于个人信息的收集、存储、使用、加工、传输、提供、公开、删除等各个处理环节,在疑难情况或没有具体规定时也都应当符合原则的要求,任何组织、个人都不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。

第三,个人信息保护法制定了个人信息处理的规则。原则为个人信息的处理活动提供了方向,规则则让个人信息的具体处理活动有更具体的依据。

首先是处理个人信息的合法性基础。个人信息保护法对“知情—同意规则”提出了明确要求。必须要保证个人的知情权,明确在处理个人信息前,个人信息处理者应当以显著方式、清晰易懂的语言真实、准确、完整地将个人信息处理的目的、处理方式等相关事项告知个人,个人在充分知情的前提下自愿、明确作出同意。个人还有权随时撤回其同意,并且不影响撤回前基于个人同意已进行的个人信息处理活动的效力,个人信息处理者不得以个人不同意或者撤回同意为由拒绝提供产品或者服务,处理个人信息属于提供产品或者服务所必需的除外。而基于“知情—同意规则”处理敏感个人信息的,除了需要个人的单独同意,在告知环节还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。

处理个人信息的合法基础除了个人的同意外,还有可能是其他原因,个人信息保护法第十三条规定:符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意;(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(七)法律、行政法规规定的其他情形。除同意以外的其他合法性基础还需要考虑特定情形,符合处理个人信息的基本原则,并采取对个人权益影响最小的方式,严格限制对个人信息的滥用。其中,以“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”为企业需要处理员工的个人信息的情形提供了法律依据。因为劳动关系中从属性的存在,员工的“同意”往往难以被认定为是自由作出,使得企业处理员工个人信息困难重重,以“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”作为合法基础为企业处理信息预留空间的同时又有着较强的限定,可以避免企业对正当利益合法基础的滥用,也体现了个人信息保护法严格的规制目标。

其次,个人信息保护法规定利用个人信息进行自动化决策,不仅要保证决策的透明度和结果的公平、公正,还要求不得对个人在交易价格等交易条件上实行不合理的差别待遇,明确否定了“大数据杀熟”等现象。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。如果利用自动化决策方式进行信息推送、商业营销,还应当同时提供不针对其个人特征的选项,或者向个人提供拒绝的方式,比如提供关闭个性化推荐的选项。

个人信息保护法还规定了个人信息跨境提供的合法性基础,包括通过国家网信部门组织的安全评估、按照国家网信部门的规定经专业机构进行个人信息保护认证、按照国家网信部门制定的标准合同与境外接收方订立合同并约定双方的权利和义务等,并且规定了中华人民共和国缔结或者参加的国际条约、协定也可以作为合法基础。但同时还需要注意个人信息跨境提供,个人信息处理者应当保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

第四,个人信息保护法明确了个人信息处理活动过程中的权利和义务。赋予了个人在个人信息处理活动中的权利,包括查阅复制权、可携带权、更正补充权、删除权、解释说明权等权利。其中,可携带权是指当个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。删除权的行使则需要在保存期限届满、出现违法违约等情况且个人信息处理者没有主动删除的情况下,个人才有权请求删除。

与个人权利相对应的是个人信息处理者的义务,个人信息保护法中对个人信息处理者的职责和义务提出了严格的要求,应当根据具体的处理情形采取必要的措施,并在涉及敏感个人信息、自动化决策等情形时还需在事前进行个人信息保护影响评估,如果处理个人信息数量达到国家网信部门规定数量的,还应当指定个人信息保护负责人。发生或可能发生个人信息泄露、篡改、丢失时,个人信息处理者应当立即采取补救措施,并将相关情况通知履行个人信息保护职责的部门和个人。同时,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者还应履行更高水平的保护义务。

第五,个人信息保护法规定了履行个人信息保护职责部门的职责。国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。履行个人信息保护职责的部门需要接受、处理与个人信息保护有关的投诉、举报,并调查、处理违法个人信息处理活动。对于个人信息处理活动有任何疑问的任何组织、个人都有权向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人。

第六,个人信息保护法规定了相关法律责任。个人信息保护法第五十四条规定,个人信息处理者应当定期对其个人信息处理活动遵守法律、行政法规的情况进行合规审计。这表明在未来对企业的合规审计将会成为常态,不仅是事后对违法的个人信息处理活动进行调查处理,更重要的是事前的预防机制,从源头阻止个人信息被侵害的情形发生。而一旦发生侵害个人信息的行为,将对个人信息处理者实行过错推定原则,不能证明自己没有过错的就应当承担损害赔偿等侵权责任,这在很大程度上减轻了个人维权的难度,也给个人信息处理者的合规审计带来了压力和动力。如果侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织还可以依法向人民法院提起公益诉讼。

综合而言,我国的个人信息保护法对相关制度进行了全方位的规定,体现了我国政府维护公民基本权益的决心,为个人信息的规范化收集与利用提供了保障。随着几个月后个人信息保护法的生效实施,这一数字时代的基本法也必将为我国数字社会治理与数字经济发展注入更为强大的动力。(作者:丁晓东,中国人民大学未来法治研究院副院长)