备受关注的个人信息保护法草案将于本月正式揭幕。
新闻显示,第十三届全国人民代表大会常务委员会第七十二次委员长会议决定于10月13日至17日在北京召开第十三届全国人民代表大会常务委员会第二十二次会议。根据委员会委员长会议的建议,常务委员会将审议全国人民代表大会常务委员会委员长会议关于个人信息保护法》草案的提案。
就在不久前,一个“清华大学教授拒绝人脸识别门禁”这个消息引起了热烈的讨论。此前,江苏常州的一些社区强迫居民“刷脸进社区”也引起了争议。近年来,随着大数据、人工智能等新技术的发展,个人信息的收集和应用越来越广泛,加强个人信息保护的任务也越来越艰巨。个人信息泄露事件频发,引起了公众的广泛关注。特别是在新冠肺炎疫情期间,个人信息泄露问题不时出现在媒体上,人体生物信息采集技术的应用越来越广泛,包括人脸识别,引起了个人信息保护的关注。
如今,随着技术的不断发展,如何处理个人信息的利用和保护已成为一个突出的问题。
2018年开始研究起草工作
个人信息保护关系到广大人民群众的切身利益、国家信息安全和数字经济的发展。长期以来,个人信息安全一直是社会各界关注的焦点,个人信息保护的立法呼声也很高。
近年来,根据中共中央的决策部署,全国人民代表大会及其常务委员会制定、修订网络安全法、刑法、电子商务法、个人信息权益、个人信息处理规则、个人信息安全保护措施,不断完善个人信息保护相关法律制度,但不集中综合规定,个人信息保护专项立法尚未出台。
据了解,根据全国人民代表大会常务委员会立法规划和立法工作计划,自2018年以来,法律工作委员会会同中央网络安全信息委员会办公室认真总结网络安全法律实施经验,深入研究个人信息利用和保护的突出问题,借鉴相关国家和地区法律制度,密切关注个人信息保护法的研究起草。
民法典为专门立法提供基本依据
值得一提的是,今年5月,第十三届全国人民代表大会第三次会议审议通过了中国第一部民法典。民法典将于2021年1月1日生效。民法典最大的亮点之一是人格权分别编制,原则上规定了受法律保护的个人信息的权利内容及其行使。
“民法典为制定个人信息保护法提供了基本依据。” 在谈到民法典与个人信息保护法之间的关系时,清华大学法学院教授程晓指出,民法典作为公民社会和市场经济的基本法,其个人信息保护的规定侧重于建立最重要、最基本的原则方向,如个人信息的定义、私人信息保护的法律适用、个人信息权益的内容和个人信息的合理使用制度等。在很大程度上,《个人信息保护法》在个人信息和隐私保护领域与民法典有关。
“《个人信息保护法》本身并不是一部简单的民事特别法,而是一部利用民事、行政、刑事等综合手段协调自然人个人信息权益、信息自由、公共利益等多重利益的法律。”程啸说。
出台个人信息保护法是必要和重要的
随着网络信息技术的快速发展,特别是在世界各国高度重视个人信息和数据保护的背景下,制定个人信息保护法是非常必要和重要的。
“可以说,《个人信息保护法》是个人信息保护领域最全面、最集中的法律规范。有了这样的法律,真正形成了以民法典和个人信息保护法为核心的科学合理的个人信息保护法律规范体系,辅以相关领域的特殊法律。”程啸说。
他还强调,制定个人信息保护法的基本起点是贯彻宪法的规定,实现党的十九大保护人民人格权、财产权和人格权的要求,充分保护自然人的人格尊严和自由,更好地满足互联网和大数据时代发展的需要,促进国家治理体系和治理能力的现代化。特别是在当前复杂的国际斗争形势下,制定中国个人信息保护立法也有利于全面提高中国的信息安全,更好地保护中国公民、法人和非法组织的合法权益。
五大立法值得关注
那么,个人信息保护法需要关注哪些内容呢?程晓认为,五个方面值得期待:
首先,如何通过建立科学合理的个人信息处理规则,协调自然人个人信息权益保护与信息自由流动和合理使用之间的关系。其中,通知和同意规则是个人信息处理的基本规则。一方面,敏感的个人信息必须建立严格的通知和同意规则,即除非法律、行政法规根据公共利益或维护信息主体的合法权益,否则不得处理。另一方面,在必要和合理的前提下,应尽可能允许使用非敏感的个人信息和开放的个人信息,并满足比例原则的要求。
其次,要更具体地规范个人信息权益的内容和行使。目前,关于是否需要规定遗忘权和个人数据可携带权仍存在很大争议。此外,自然人还需要对如何行使查询权、复制权、更正权、删除权等作出更具体、更明确的规定。
第三,对国家机关和承担行政职能的法定机构处理个人信息的具体规定。政府部门处理个人信息不同于私营企业,因为他们必须履行法律职责,是为了公共利益,是强制性的。也就是说,国家机关必须处理相应的个人信息,自然人必须提供相应的个人信息。同时,国家机关因未履行个人信息安全保护义务而产生的赔偿责任,属于国家赔偿责任。
第四,科学规范个人信息的跨境转移。这涉及到国家安全、公共安全和公共利益的保护。因此,有必要详细规范个人信息的国内存储和安全评估,以及在什么情况下可以进行跨境转移。
第五,个人信息安全问题,即如何通过综合的措施(自律和他律)来保护个人信息的安全,防止出现个人信息泄露、非法买卖、非法利用等,以及个人信息被泄露或被非法利用后的民事责任、行政责任以及刑事责任等。具体而言,在侵害个人信息的民事责任中需要明确归责原则究竟是过错责任、过错推定责任还是无过错责任,同时,明确赔偿的范围和计算方法等。
此外,由于我国个人信息保护领域的存在“九龙治水”在情况下,相关部门对各自领域的个人信息负有保护和管理责任,如网络、金融、医疗卫生、教育、工业和信息、消费者保护、房地产登记等。是否有必要设立独立的个人信息保护机构,专门负责个人信息的保护和执法,并对个人信息保护机构作出特别规定,这也是一个值得关注的问题。