個人信息保護法如何捍衛(wèi)個人信息安全

個人信息保護法自8月20日經(jīng)十三屆全國人大常委會第三十次會議表決通過以來，社會各界對其關(guān)注度與日俱增。

為何要制定個人信息保護法？個人信息保護法將對人們生活產(chǎn)生哪些影響？為什么個人信息保護法要強化對敏感個人信息的保護？一些業(yè)內(nèi)專家近日接受《法治日報》記者采訪，詳解個人信息保護法的創(chuàng)新特色和規(guī)則亮點。

回應(yīng)關(guān)切彰顯時代印記

“個人信息保護法出臺的時代背景有著豐富的國際國內(nèi)蘊涵。”北京師范大學網(wǎng)絡(luò)法治國際中心執(zhí)行主任、中國互聯(lián)網(wǎng)協(xié)會研究中心副主任吳沈括說。

吳沈括指出，一方面，隨著數(shù)字經(jīng)濟的蓬勃發(fā)展，世界各國日益重視個人信息的多重價值屬性，紛紛出臺個人信息保護的專門立法。個人信息法律保護已成為衡量一國法治文明和法治水平的重要指針。另一方面，當前我國正處于全面數(shù)字化轉(zhuǎn)型的高質(zhì)量發(fā)展新階段，個人信息的處理已成為社會進步和產(chǎn)業(yè)升級新的驅(qū)動力。因此，制定個人信息保護法也是保障公民個人信息權(quán)益、促進個人信息合理利用的必然舉措。

“個人信息保護法在條文內(nèi)容上反映了立法者吸收接軌國際立法、探索開創(chuàng)中國路徑的制度努力，特別是在制度安排上呈現(xiàn)特色，具有鮮明的時代印記與中國特色。”在吳沈括看來，這部法律的最大亮點之一是對我國當下諸多現(xiàn)實關(guān)切作出及時、有效的回應(yīng)。比如，針對目前多發(fā)的個人信息泄露事件，該法明確規(guī)定個人信息處理者的義務(wù)規(guī)則。又如，針對日益普遍的自動化決策應(yīng)用，明確要求保證決策的透明度和結(jié)果公平、公正，并賦予個人相關(guān)的知情權(quán)和拒絕權(quán)，特別是在通過自動化決策方式向個人進行信息推送、商業(yè)營銷的應(yīng)用場景中，有權(quán)同時獲得不針對其個人特征的選項或者拒絕的途徑。

“可以說，個人信息保護法已搭建起保護個人信息的科學、系統(tǒng)、全面的頂層設(shè)計。下一步，隨著監(jiān)管執(zhí)法舉措的不懈推進、司法裁判規(guī)則的不斷豐富、多方參與共治的持續(xù)培育以及國際交流合作的深入開展，置身代碼世界的廣大人民群眾將長久擁抱個人信息合法權(quán)益受保護、個人信息處理活動受規(guī)范、個人信息合理利用受促進的數(shù)字治理新生態(tài)。”吳沈括說。

突出重點保護個人權(quán)益

“個人信息保護法就是一部保護個人信息權(quán)益的法。”在清華大學法學院教授程嘯看來，這正是這部法律的根本目的。以此為基礎(chǔ)，個人信息保護法對個人在個人信息處理活動中的權(quán)利作出全面的規(guī)定并賦予可訴性。

個人信息保護法第四章對個人在個人信息處理活動中的權(quán)利作了詳細規(guī)定。此外，為了保護死者近親屬合法、正當?shù)睦?，同時也尊重死者的遺愿并保護死者本人及其交往者的隱私和通信秘密，個人信息保護法允許死者的近親屬可以對死者的相關(guān)個人信息行使查閱、復(fù)制、更正、刪除等權(quán)利。“但是，死者生前另有安排的除外。”程嘯說。

尤為值得一提的是，為了更好地保障上述個人權(quán)利的實現(xiàn)，個人信息保護法還專門賦予這些權(quán)利可訴性。

“所謂可訴性，即在個人信息處理者拒絕個人行使權(quán)利的請求時，個人可以依法向人民法院提起訴訟，由法院判決強制個人信息處理者履行相應(yīng)的義務(wù)，保障個人權(quán)利的實現(xiàn)。”程嘯解釋說。

以保護權(quán)益為目的，個人信息保護法還有一個重要內(nèi)容是規(guī)定了侵害個人信息權(quán)益的侵權(quán)賠償責任適用過錯推定責任。

“個人信息保護法第六十九條規(guī)定，處理個人信息侵害個人信息權(quán)益造成損害的，個人信息處理者如果不能證明自己沒有過錯的，就必須承擔損害賠償?shù)惹謾?quán)責任。”在程嘯看來，該規(guī)定對于減輕受害人的舉證負擔、保護其個人信息權(quán)益非常有利。

“不僅如此，考慮到侵害個人信息權(quán)益造成的損害中，受害人主要遭受的是精神損害，但精神損害既沒有達到嚴重程度，也往往是難以證明的。因此，個人信息保護法還規(guī)定，無論給受害人造成的是財產(chǎn)損失還是精神損害，都可以按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定；個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的，根據(jù)實際情況確定賠償數(shù)額。”程嘯說。

強化規(guī)則保護敏感信息

個人信息可以分為一般個人信息與敏感個人信息。敏感個人信息是指一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息以及不滿十四周歲未成年人的個人信息。為了強化對敏感個人信息的保護，個人信息保護法設(shè)置了特殊的處理規(guī)則和國家機關(guān)處理個人信息的特別規(guī)定。

“敏感個人信息一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴受到侵害，人身、財產(chǎn)安全受到危害。因此，對于敏感個人信息的保護，是個人信息保護法的重中之重。”中國人民大學法學院教授張新寶說。

談及為何要強化對敏感個人信息的保護，張新寶認為出于多方面的原因：一是生命安全對個人來講具有極端重要性，法律應(yīng)當將其作為最高利益予以保護。由于敏感個人信息的泄露或者非法使用可能導(dǎo)致個人的生命安全受到危害，敏感個人信息的處理應(yīng)當在充分保護個人生命安全的前提下進行。二是保護個人財產(chǎn)的恒定與安全是法治的基礎(chǔ)，也是整個社會存在的基礎(chǔ)。敏感個人信息的不當處理可能大幅提高個人財產(chǎn)遭受他人侵害的可能性，使得個人的財產(chǎn)安全面臨嚴重威脅。三是敏感個人信息與個人的人格尊嚴高度相關(guān)，因此處理敏感個人信息應(yīng)當符合更為嚴格的條件。一方面，處理者應(yīng)當防止其自身的處理活動得出有損個人人格尊嚴的結(jié)果；另一方面，處理者也應(yīng)當防止敏感個人信息被泄露或者非法使用，避免個人的人格尊嚴遭受侵害。

值得一提的是，個人信息保護法還專門規(guī)定，個人信息處理者處理不滿十四周歲未成年人個人信息的，應(yīng)當取得未成年人的父母或者其他監(jiān)護人的同意。個人信息處理者處理不滿十四周歲未成年人個人信息的，應(yīng)當制定專門的個人信息處理規(guī)則。

在張新寶看來，強化對未成年人的個人信息保護有著特殊的意義。“未成年人心智尚未成熟，其個人信息一旦被泄露或者非法使用，容易對其人格的健康、自由發(fā)展產(chǎn)生不利影響。而在個人信息處理活動中，未成年人沒有足夠的認識能力和控制能力，也缺乏足夠的自我保護能力，其權(quán)益無疑更容易受到侵害，因此更應(yīng)提供特殊保護。”張新寶說。

完善制度新增透明度原則

個人信息保護法在網(wǎng)絡(luò)安全法、民法典等法律所確立的合法正當必要原則之外，增加了透明度原則。

中國人民大學法學院教授、民商事法律科學研究中心執(zhí)行主任石佳友認為，這是對個人信息保護制度的重要完善。“個人信息保護立法的核心使命就是為了確保信息處理的透明度，從而保障個人信息自決權(quán)。”

“在個人信息保護領(lǐng)域，透明度原則意味著有關(guān)個人信息處理的相關(guān)規(guī)則說明必須易于獲取、易于理解，盡可能使用清晰和易懂的語言而非專業(yè)性術(shù)語，平臺不能大量使用一般用戶無法理解的、過于專業(yè)和晦澀的技術(shù)性術(shù)語。”石佳友說。

石佳友同時指出，這一原則還要求信息處理者應(yīng)向信息主體告知處理者的身份、處理目的、處理方式等信息透明度原則是信息主體行使知情同意權(quán)的前提；在信息處理者自第三方獲取并處理個人信息的外包場合（所謂“看不見的處理”），透明度原則對于保障信息主體的信息自決尤為重要。

個人信息保護法第二十四條針對自動化決策再次強調(diào)了透明度原則的適用：“個人信息處理者利用個人信息進行自動化決策，應(yīng)當保證決策的透明度和結(jié)果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇”。

“因此，透明度原則是可以同時適用于個人信息處理過程及其結(jié)果的基本原則。這在未來有助于應(yīng)對平臺以‘技術(shù)中立’等為借口的‘算法黑箱’和‘算法歧視’等現(xiàn)象。這也是該法第五條所規(guī)定的誠信原則的邏輯發(fā)展與應(yīng)用。”石佳友說。（來源：法治日報）