其他
《个人信息保护法时代的隐私保卫战》系列报道④|告别“透明人”,个人信息保护任重道远
文/本刊首席记者 李天琪 本社记者 张纯
来源:《民主与法制》周刊2022年第11期
编者按
《2022年全国两会好声音》系列报道之四
告别“透明人”,个人信息保护任重道远
本刊首席记者 李天琪 本社记者 张纯
新时代的新法里藏着独特的密码,《个人信息保护法》当然不会例外。关于这部被誉为“划时代意义”的法律,有哪些知识点是你不容错过的?在实施了4个多月后,企业经营者是否已经“痛下决心”自我革新,违法违规收集个人信息的情况是否令行禁止?别急,我们一一揭晓——
“群英荟萃”共话“有口皆碑”
宝剑锋从磨砺出,梅花香自苦寒来。现如今《个人信息保护法》终于出台,其重要性与价值意义自然不言而喻。法治是治国之重器,良法是善治之前提。那么,如何评价这部立法呢?早在《个人信息保护法》草案三次审议稿分组审议期间,全国人大常委会副委员长吉炳轩就曾说过,这是一部好法;是一部应时的、急需的法;是一部根据时代发展、科技进步,针对出现的新情况、新问题,而有针对性地提供法律支持的法;更是一部回应人民关切、保护人民合法权益的法。这部法律的政治意义很大,会有积极的国际影响,是在依法保护人权、保护个人信息不容侵犯。无独有偶。全国人大常委会委员蔡昉亦是肯定了这部法律的重要性与及时性:“可以说在这个时候制定这部法律非常及时。我们正在迎接数字经济时代,尤其是‘十四五’规划也特别强调了激活数据要素潜能。换句话说,在我们的生产要素中增加了一个至关重要的、体现这个时代的一个新要素——数字要素。同时,我们拥有14亿人口,既是超大规模市场,其实也拥有一个超大规模的数字要素禀赋。”所以在其看来,一定要把“两个必须”统筹在一起:必须发挥数字要素的优势,必须保护好个人信息。新冠肺炎疫情发生后,大数据、人工智能等技术广泛应用在防疫中,不少人担忧自己的个人信息能否得到有效保护。全国人大常委会委员李飞跃认为,这个节点制定《个人信息保护法》十分必要且迫切。“一方面,我国还没有系统全面地对个人信息保护相关问题进行专门立法,《民法典》《刑法》《网络安全法》等多部法律法规对个人信息保护的规定较为原则且分散,难以适应信息化快速发展的现实情况和人民群众对个人信息保护的各类迫切需求。在现行法律基础上,针对个人信息整个生命周期制定出台专门法律,可以提供更强有力的法律保障,维护网络空间良好生态。”在《个人信息保护法》审议期间,不少全国人大常委会委员亦提及2021年6月10日刚通过的《数据安全法》。吴玉良委员表示,制定《数据安全法》和《个人信息保护法》,在国家数据安全法治建设中意义重大。这两部法律贯彻总体国家安全观,分别从维护公共利益和保护个人合法权益方面对数据安全作出规范,兼顾了发展与安全,回应了促进数据产业发展和加强个人信息保护的现实需要。2021年11月1日,在万众期待中,《个人信息保护法》终于迎来了实施。如北京航空航天大学龙卫球教授在其所撰的《个人信息保护法的基本法定位与保护功能》一文中所介绍,《个人信息保护法》在整个网络信息法律体系中占据最基础的位置,个人信息保护在网络领域应优先受到关注,是网络信息领域法律形成和发展的重要体现。虽然此前我国已制定了《网络安全法》《电子商务法》《数据安全法》等法律,但这些法律体现了网络信息空间不同的规范重点,都没有成为网络信息领域法律的体系基础,直到《个人信息保护法》的出台才填补了这个空白。清华大学法学院副院长程啸教授发文,肯定《个人信息保护法》保护个人在个人信息处理活动中的权利上的成绩斐然。通过赋予个人在个人信息处理活动中享有知情权、决定权、查阅复制权、可携带权、删除权等针对个人信息处理者的权利,可以有效实现对个人信息权益的保护。中国政法大学副教授朱巍更是将这部法律形容为保护老百姓权利的“门神”。媒体采访中,他举例我们生活中很多熟悉的场景——“饭店扫码点餐,要求获取我们的个人信息授权”“导航服务开启后偷偷开启摄像头或语音传输等功能”都“成了问题”。前者超出了必要性和合理使用原则,属于侵权行为;后者违反了新法规定的最小伤害原则,属于违法行为。他认为,新法出台后,老百姓对自身的权利要求,就转化成互联网平台等信息处理者的法定义务。如果信息处理者做得不好,可能面临高达5000万元或营收5%的高额罚款,直至吊销营业执照和停业整顿。如此高的违法成本,势必会震慑不法侵害行为,减少互联网技术的滥用。另外,将敏感个人信息予以特殊保护,是当前《个人信息保护法》立法方面大家普遍关注的问题,也是国际通行做法,更是此次立法重点体现的重要理念。广东省法学会网络与电子商务法学研究会会长、暨南大学法学院刘颖教授认为,我国《个人信息保护法》区分敏感与非敏感的个人信息,并在此基础上确定了敏感个人信息的特殊处理规则,与世界主流个人数据保护立法一致,体现了对与人格尊严或人身、财产安全密切相关的个人信息的倾斜保护,能更有效地防范个人信息风险,更全面保护个人信息主体的利益。“良法善治”更看“落地实施”伴随着网络信息科技的颠覆性发展,互联网从简单信息化阶段过渡到复杂数字化阶段。在大数据时代,数据成为新型重要的生产要素,流通是数据创造价值的本质要求。移动终端、大数据、云计算、人工智能、物联网等新技术的数字资源化实践演化出数字经济、数字社会和数字管理的繁荣前景。搭乘数字经济快车,赢取数字红利的同时,也给我们带来了新矛盾、新焦虑、新挑战。其中突出问题之一,就是数字化发展和个人信息保护日益陷入复杂的矛盾关系。个人信息毫无疑问属于数据的一类,但与其他数据不同的是,个人信息承载了多元化利益,即个人利益、企业利益和社会公共利益。此外,个人信息因数字化发展得以大量显现和形成,并因其具有极高数据化价值而备受产业和管理机构的青睐,但同时也伴生了大量的对个人的负面效应,特别是未经同意的个人信息处理和愈演愈烈的滥用行为对个人带来的损害或风险。还记得2021年的“3·15”晚会中曝光的求职者简历被非法售卖等问题牵出一些软件开发公司的非法销售链吗?还有2021年7月国家互联网信息办公室发布有关下架“滴滴出行”App的通报,即便身为行业标杆却也依旧存在严重违法违规收集个人信息问题。凡此种种,不禁让人感叹,个人信息俨然成为互联网企业盈利的副产品。《个人信息保护法》之所以被称为具有“划时代意义”,龙卫球认为在于它不再只突出支持数字化创新发展,而是明确以“促进数字经济健康发展”为目标,要求“应当统筹个人信息保护与利用,通过立法建立权责明确、保护有效、利用规范的制度规则,在保障个人信息权益的基础上,促进信息数据依法合理有效利用”,实现了从促进数字化创新发展到个人信息保护与利用并重的重要跨越。而“如何找到数据保护和合理利用之间的平衡点”,恰恰也是保护个人信息问题在现实监管中的难点和要点。就拿应用程序违法违规大量收集个人信息的情况来说,近年来,包括国家互联网信息办公室、工业和信息化部、公安部、市场监督管理总局等在内的有关部门,多次组织对App侵害用户权益行为的专项治理行动,特别是对网络平台上的各种应用程序进行测试检查,发挥了较好的预防和治理效果,对于保护个人信息起到一定明显效果。但《个人信息保护法》出台前,治理App运营者违法违规收集使用个人信息,重点依据《网络安全法》《关于印发〈App违法违规收集使用个人信息行为认定方法〉的通知》《关于印发〈常见类型移动互联网应用程序必要个人信息范围规定〉的通知》《App违法违规收集使用个人信息自评估指南》等相关法律和规定,由于管理授权不够清晰,其适用存在合法性疑虑等问题。《个人信息保护法》明确了管理部门可以依据第61条对App实施监管,在此条规定下,管理部门实施监管App的行为不用担心合法性问题,反之如果不实施监管倒要担心是否构成不作为。我们一方面沉浸在《个人信息保护法》出台的喜悦之中,一方面也需清醒理性认识到:这部法律虽然是我国在个人信息保护立法上的里程碑,但其却远非个人信息泄露的终结者。 “法律落地,至少要破解两个难点”
《个人信息保护法》虽然已经实施4个多月,但是,全国人大常委会委员吕薇建议尽快制定实施细则,提高法律的可操作性。她表示在征求意见中很多人都反映,这个法律制定得不错,但是很多地方比较原则,从字面上很难去把握,建议进一步细化,通过实施细则来明确,这样将来可以及时进行调整。全国人大常委会委员乌日图说, 个人信息的保护长期以来在国内是个薄弱环节,同时又是一个涉及14亿人民群众的大工程,靠政府、靠机构保护是不够的,更多的是让每个国民拿起法律的武器,保护好个人的有关信息。因此,颁布实施后要大力推动法律的宣传,使大家充分认识到个人在信息保护方面的权利和义务。吉炳轩副委员长认为,《个人信息保护法》通过后,执行起来还要做很多工作。除了要广泛进行宣传教育,使人们树立个人信息保护意识,并要尊重他人的信息保护,不能乱用、盗用、借用他人信息外,在具体的法律实施中还会遇到不少困难。互联网、云计算、手机都是高科技产物,而且现在依旧处于快速发展状态,可以容纳海量信息。进入信息社会,信息无处不在。信息的开发与利用是信息社会最突出的,也是最本质的特点。信息怎样去开发和利用?同个人信息保护怎样区别开来?怎样去明确界定?很难一刀切。因此他认为,在法律的实施中,至少有两个难点还需要去破解:第一,个人信息具体内容的明确界定,同时还要明确个人信息哪些是可以公开使用的,哪些是不能公开使用的。比如个人的日记、通信、家庭情况一般是不能公开使用的信息,是要进行保护的。但个人及其家庭信息也很繁杂,涉及许多方面,哪些能公开,哪些不能公开,这都要在实施中去明确界定。第二个是针对违法犯罪行为谁来承担主体责任的问题。现在有许多网络犯罪、信息诈骗不但控制不了,而且有许多案件破不了,群众反映很强烈,但确实办起来很难。另外,个人信息被非法使用,有许多人或多数人根本发现不了,也不可能去打官司,就更不会去追究。这个问题的实质还是互联网的管理问题,把互联网管住了,这个问题也就解决了。希望这部法律在实施的过程中不断进行完善,可以由政府主管部门制定一些实施细则来及时解决存在的问题,防止这部法律在执行中落空。中国证券监督管理委员会科技监管局局长姚前认为,当前,我国个人信息保护的“四梁八柱”法律制度已经形成,下一步,我们应坚决做到有法必依、执法必严、违法必究,将个人信息保护法律法规执行到位。与此同时,我们也要积极探索各类数据脱敏和匿名化创新技术,开展数据合规有序、高质量流动和应用,更好地促进我国数字经济繁荣发展。前不久,国家互联网信息办公室发布了《数据出境安全评估办法(征求意见稿)》,国家市场监管总局公布了《互联网平台分类分级指南(征求意见稿)》《互联网平台落实主体责任指南(征求意见稿)》,一系列文件形成合力,奠定了《个人信息保护法》深入实施的制度基础。各大互联网企业和平台,都应从中明确新的责任边界,树立新的发展坐标。
“切中要害,还得要有真动作”《个人信息保护法》从通过到实施至今,已有部分平台对标法律要求作出相应的合规调整,不过还是有不少线上线下平台机构有恃无恐,买房信息泄露、App过度收集信息、视频平台索要会员照片等现象仍然出现在我们身边。
《个人信息保护法》正式实施的当月,工信部发布《关于App超范围索取权限、过度收集用户个人信息等问题“回头看”的通报》(以下简称《通报》)。《通报》显示,工信部在针对App超范围、高频次索取权限,非服务场景强制收集非必要信息,欺骗误导用户下载App等违规行为的检查中,发现包括QQ音乐、小红书、探探等38款App存在问题,其中有22款App存在“超范围收集个人信息”的情况。另外,同样是在《个人信息保护法》实施后,国家移动互联网应用安全管理中心数据显示,连续有44款App被发现隐私保护不合规,其中不乏多点、亚马逊购物等安装量超过千万次的热门App。从现阶段来看,虽然近年来我国个人信息的保护工作大步向前、马不停蹄地不断完善,接连出台《数据安全法》《个人信息保护法》等相关法律法规,同时相关部门持续发力不断开展各类违规App专项整治行动,遗憾的是,从实践来看,隐私泄露等顽疾很难在短时间内“刹住车”被治愈。不可否认,这是一条任重道远、道阻且艰之路。以“超范围收集个人信息”为例,从运营者角度来看,“一揽子授权”不仅是行业普遍做法,还能对用户进行精准画像,冠之以“帮助用户提供个性化的推荐服务”这种冠冕堂皇的理由,何乐而不为?然而根据《个人信息保护法》,这种“一劳永逸”的信息收集做法势必违反“最小必要原则”,无疑是对用户个人信息权益的侵害。相信大家已有共识,近年的“3·15”晚会,个人隐私、App过度索权、数据泄露等都是晚会热词。一方面是社会公众对个人信息、个人隐私的关注度逐年升温;另一方面,也反向说明违规违法问题屡禁不止。2022年3月14日,国家互联网信息办公室发布关于《未成年人网络保护条例(征求意见稿)》再次公开征求意见的通知,意见稿第四章指出,个人信息保护应重点要求加强未成年人个人信息的保护,个人信息处理者对其工作人员应当以最小授权为原则,严格设定信息访问权限,控制未成年人个人信息知悉范围。而2022年“3·15”晚会的App合规话题,让我们又一次关注到《低配儿童智能手表成行走的偷窥器》问题。根据曝光,低配儿童智能手表一般使用低版本的安卓系统,恶意程序可以轻而易举地安装到儿童表中,同时各类App无需用户授权就可以拿走定位、通讯录、麦克风和摄像头等多种敏感权限,这也就意味着能轻松获取孩子的位置、人脸图像、录音等隐私信息。从《个人信息保护法》的出台,到2022年3月央视的曝光,违法违规情况的屡禁不止足以说明,光靠企业经营者“痛下决心”自我革新是不够的。有业界人士称,监管目前对App违规收集个人信息等问题整治工作非常“细腻”,并体现了App监管监测合规工作的连续性及“零容忍”的态度。进入2022年以来,工业和信息化部已经完成两批次134款App和SDK的200多个合规问题的通报,通报范围涉及“App强制、频繁、过度索取权限”“违规收集个人信息”“强制用户使用定向推送功能”“超范围收集个人信息”“违规使用个人信息”等十大类违规问题。发现问题,还要去解决问题,我们注意到《个人信息保护法》相较于其他相关法规加大了个人信息违规收集、处理行为的惩罚力度,希望通过惩罚措施“加码”,真正让这部法律长出牙齿,毕竟保护个人信息权益还得要有“真动作”。“徒法不足以自行。”在立法大功告成之后,《个人信息保护法》的真正落地还有待司法和执法的后续接力。让我们一起努力!
编辑:狄磊 芦佳琪
推荐阅读:
立法故事|个人信息保护法出台记:历十八载,执法“九龙治水”争议多年
立法信息|《个人信息保护法》草案被宪法和法律委员会认为已比较成熟,建议本次常委会会议审议通过!