原标题:普法小课堂|个人信息保护法今起正式实施,法大专家为您解读
来源:中国政法大学
编者按
随着信息化与经济社会发展不断融合,网络成为生产生活的新空间、经济发展的新引擎,各类个人信息的收集与使用更为广泛、频繁。如何更好保护个人信息,成为人们关心的现实问题。2021年8月,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》,这部和人们数字生活息息相关的法律,回应了一系列社会关注的热点问题,为信息产业的未来标注了方向。今天,这部法律正式实施,标志着我国网络数据法律体系中继《网络安全法》《数据安全法》之后,具有重要意义的一块拼图终于落定,具有划时代的意义。
“奉法者强则国强,奉法者弱则国弱。”法律的生命在于实施。个人信息保护法以严密的制度、严格的标准,构建了权责明确、保护有效、利用规范的个人信息处理和保护制度规则。今天,就让我们一起来看看法大的专家学者们,对个人信息保护法的相关解读!
时建中
中国政法大学副校长
中国政法大学数据法治研究院院长
我国网络与数据安全及个人信息保护法律制度
——以国家总体安全观为统领
(向下滚动查看全文)
一、四部相关法律的主要内容和结构
《中华人民共和国个人信息保护法》在期待中获得通过,这部法律必将有利于维护个人信息权益,规范个人信息活动,促进个人信息的合理应用。在《中华人民共和国个人信息保护法》出台之前,《中华人民共和国网络安全法》《中华人民共和国数据安全法》和《中华人民共和国国家安全法》从2015年开始陆续出台并实施。这几部法律既不是孤立的,也不是独立的,而是以国家总体安全观为指引,以《中华人民共和国国家安全法》为龙头的一个有机的法律体系。通过《中华人民共和国国家安全法》在内的这四部法律的主要内容和结构,可以看到“安全”、“网络”、“数据”和“个人信息”是这四部法律共同的关键词,它们是一个有机整体。
二、立法宗旨与适用范围
这四部法律,它们的立法宗旨,都是为了维护国家安全、网络安全、数据安全和保护个人信息权益。它们适用的范围,特别在《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》中引入了域外效力制度,所以立法宗旨非常明确,适用范围也有其自己的一些特点。
三、四部法律关键词统计
在2015年制定的《中华人民共和国国家安全法》中,对网络安全、数据安全和个人信息给予了高度的关注。“网络”一词在国家安全法中出现了11次,最主要出现在第二十五条和第五十九条,甚至我们可以说第25条是国家安全法当中关于网络安全的一个专门条款。换言之,国家安全法为网络安全法的制定奠定法律基础。
在《中华人民共和国网络安全法》中,“网络”这个关键词在这部法律当中一共出现231次。因为数据产生在网络环境当中的,所以“数据”一词在网络安全法当中出现了16次。“信息”作为数据的内容或者数据作为信息的载体,“信息”一词一共出现了105次,其中个人信息出现了20次,均是集中在一个专门的条文中,我们可以把网络安全法当中关于个人信息条文理解为网络安全法对个人信息保护保护的一个专条。在网络安全法中,“安全”这个词出现频率也是非常高,一共出现了177次。
在《中华人民共和国数据安全法》当中,因为网络是数据产生的前提,数据一定离不开网络,所以尽管“网络”一词仅出现了4次,但这并不具有代表性。而“数据”一词出现了160次,这里的数据不再简单是“数据”两个字,因为其涉及到大量数据的分类,并且具有针对性的构建了相应的制度。数据安全法也对信息和个人信息做了一些强化和规定,其中“安全”在数据安全法中出现了91次。
新出台的《中华人民共和国个人信息保护法》强调了个人信息包括电子以及其他载体形式的个人信息,但是在数字化的背景下,毫无疑问电子信息是种类最多的一种个人信息。尽管“网络”这个词在个人信息保护法中仅仅出现了1次,但因为电子信息一定是出现在网络环境中,“网络”是作为一个前置条件和前置的环境出现,所以它出现次数不多。值得注意的是,“数据”一词没有出现在个人信息保护法中,但这并不意味着个人信息保护法和数据安全法没有关系。回到个人信息的定义,个人信息是以电子或其他形式记录的,而电子形式的信息,或者说以电子形式作为载体的个人信息,毫无疑问是要受到数据安全法的调整和规范的。“信息”一词在个人信息保护法一共出现了297次,其中“个人信息”出现了288次。个人信息保护法不仅仅是一部保护个人信息权益,规范个人信息处理活动,促进个人信息利用的一部法律,同时也是一部关于个人信息安全的法律,而“安全”一词在这部法律当中出现了22次。从以上统计和分析可以看出,这四部法律是以国家总体安全观为指引、以《中华人民共和国国家安全法》为龙头的相互协调的、有机的、统一的法律体系整体。
四、关键概念的辨析及相互关系
这四部法律当中分别出现了安全、网络、数据和信息,并且对于国家安全、网络安全以及数据安全进行了定义。解析这个定义,特别是《中华人民共和国国家安全法》对国家安全的定义,以及第三条对于国家安全的分类,这些分类对随后出台的这三部法律关系非常大。比如在国家安全法的第三条,国家安全工作应当坚持总体国家安全观,这是一个基本的原则。同时,该条也提到了以人民安全为宗旨,此处的人民安全当然包括个人信息的安全。以政治安全为根本,以经济安全为基础。可以看到,无论是网络安全法、数据安全法,还是个人信息保护法,他们都考虑到政治安全,同时要促进数字经济的发展,保护经济安全,并且以军事安全、文化安全、社会安全为保障,以促进国际安全为依托,同时要维护各个领域的国家安全,来构建国家安全体系,走中国特色国家安全的道路。
根据《中华人民共和国国家安全法》第三条的规定,国家安全分成了七种具体的类型,即人民安全、政治安全、经济安全、军事安全、文化安全、社会安全和国际安全。通过列举的方式,最终落到了维护各个领域的国家安全。也就是说,国家安全的体系包括但不限于这七种具体的类型。在其他领域的安全,有专门的法律做出了相应的规定。就今天论坛讨论的主题——网络安全和数据安全而言,它们都被纳入到了国家安全的体系当中。具体说到《中华人民共和国网络安全法》和《中华人民共和国数据安全法》这两部法,我们必须要对以下两个概念做区分:第一个是网络安全,第二个是数据安全。
网络安全法第七十六条对网络安全进行了定义,数据安全法的第三条也对数据安全做了定义。通过这些定义可以看到,网络安全和数据安全有重叠的地方,但同时也有比较大的差异。这个差异对于网络安全来讲,它不仅仅要考虑到数据的内容,还要考虑到网络设施的一些问题。所以这里的网络安全,包括数据安全,包括但不限于数据安全,除了数据安全之外还包括网络空间的安全和网络设施的安全。
在网络安全法中提到了网络数据的概念,数据安全法里边专门对数据进行定义,这两个定义是有一定差异的。比如网络安全法第七十六条第四项,“网络数据是指通过网络收集、存储、传输、处理产生的各种电子数据”。数据安全法第三条提到“数据是指任何以电子或者其他形式对信息的记录”。所以,这两个条款对于“数据”的定义维度不同,尽管都有“数据”这个词,但同时应该注意到它们的差异。
就“个人信息”方面,网络安全法第七十六条第五项对“个人信息”进行了定义。在个人信息保护法中“个人信息”是这部法律最关键、最核心的一个术语。我们可以看到,它们之间还是有一些差异的。
这四部法律对安全、网络、数据、个人信息的定义存在差异性,同时这些定义之间具有相互关系的一致性。只有既关注了到了差异,又看到了一致性,才能够完整的去理解这四部法律之间的关系。无论对于《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》或者《中华人民共和国个人信息保护法》,我们都不能孤立地看单部法律,一定要放在这四部法律的整体环境当中去理解、深化,才能准确的适用它们。
五、小结
第一,《中华人民共和国网络安全法》《中华人民共和国数据安全法》和新出台的《中华人民共和国个人信息保护法》,这三部法律是陆续出台并实施的,这几部法律均是以国家总体安全观为指引,以《中华人民共和国国家安全法》为龙头,形成的有机法律体系,它们构成了国家安全法体系重要组成部分,并不是孤立的,更不是独立的。
第二,《中华人民共和国网络安全法》《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》,目前的立法主要是行为立法,对维护国家安全、网络安全、数据安全和个人信息保护,毫无疑问具有重要的意义。但是从有效的利用数据资源角度,未来需要加大与数据和信息相关的权利立法。权利是行为的起点,行为是权利的边界。因此,如果权利的立法长期滞后、缺位,那么对于行为的管理,行为的监管,甚至包括对于数据和信息有效的利用都会产生一些不利的影响。所以在此我也呼吁,在关于数据、网络和个人信息方面的行为立法以及相对的基本框架搭建完成后,我们应当把立法的重点转到一个权利的立法上来。
第三,在数字化的时代,无论是安全还是发展,我们都需要加快电信法的制定工作,因为电信法是数字时代的一个非常基本的法律。只有加快了电信法的制定工作,才能推动基础电信业务的发展和维护基础电信业务的安全。只有基础电信业务得到进一步的发展,它的安全得到进一步维护,才能够推动支撑整个数字社会、数字经济和数字政府的发展,才能够进一步去保护网络安全、数据安全,进一步保护个人信息。因此,电信法的长期缺位对于网络安全,对于数据安全以及个人信息保护是不利的,所以应当加快电信法的立法进程。
第四,在数字化的时代,无论是企业、事业单位、其他法人组织、社会团体,乃至于自然人,我们的身份、行为及相互之间的社会关系都已经数字化,因此数据治理是一个必须要正视的问题。无论是为了维护网络安全或数据安全、还是保护个人信息,促进网络、数据和个人信息的有效利用,数据行为的监管都显得格外重要。因为数据的监管涉及到了社会治理的方方面面,不仅仅涉及到社会治理,经济发展和政府管理也都会涉及到数据的监管。因此,数据监管是一个跨部门、跨领域的问题,需要尽快的建立数据协同监管的协调机制。我们不希望九龙治水,但是这九条龙必须要团结起来,只有这样才能够建立一个有效的数据协同监管协调机制。只有把数据协同监管的协调机制建立起来,我们才能够更好的实现这几部法所追求的立法目的。当然,数据协同监管的体制建立是前提。在这个体制的前提下,再去完善数据协同监管的协调机制。
第五,需要处理好《中华人民共和国网络安全法》《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》中网络与数据、数据与信息的关系,数据处理与信息处理的概念和它们之间的关系。这几组概念和关系,不仅仅具有重要的理论意义,而且具有更重要的实践价值。毫无疑问,如果没有重要的实践价值,它的理论意义也会暗淡无光。正因为这几组概念的内涵、外延以及它们相互之间的关系具有非常重要的实践价值和理论意义,所以我们有必要进一步的辨析和厘清。
许身健
法律硕士学院院长
中国政法大学互联网治理研究中心主任
树立个人信息保护的法治里程碑
(向下滚动查看全文)
当代社会的人们因为具有较强的权利意识,因此,公众对个人隐私被侵害保持警醒,期望个人信息得到周全的保护,然而,信息社会的发展导致个人信息很容易被泄露。有社会活动家曾经做过调查,发现最低一分钱就可以买一条个人信息。这是一个非常惊人的价格,但是我们其实也不会奇怪。信息时代下个人信息的泄漏已不是秘密,即便我们的信息被他人窃取,作为当事人的自己也不会惊讶,因为这都是在意料之中的了。
可以说,目前个人信息泄露已频发到见怪不怪的程度。我们每天几乎都能收到骚扰短信,隔三差五接到陌生的推销电话,在网上购物和浏览新闻的界面都如同“私人订制”一样,总是能精准推荐与我们需求和兴趣相匹配的事物,这说明信息泄露已经发展到超乎想象的境地了。利用个人信息进行的精准诈骗、精准推销,个人的经济利益和人身利益受到极大损害的案件也是屡见报端,“安溪女系因信息泄露被骗29万”“徐玉玉被电信诈骗案”都曾是震惊全国的利用个人信息进行犯罪损害公民利益的案件。
个人信息保护对保护公众的切身利益、国家信息安全和国家利益都有重大意义。随着网络化、大数据、人工智能等新技术的发展,个人信息收集和应用更加广泛,包括人脸识别在内的人体生物信息采集技术的应用愈发普遍,我国的个人信息保护正面临着巨大的挑战。为了有效应对上述问题,我国在个人信息权益、个人信息处理规则、个人信息安全保护措施等方面都作出了相关的规定,在不断完善个人信息保护相关法律制度,主要体现在《民法典》《网络安全法》《电子商务法》等法律法规和规范性文件当中。《民法典》在人格权编中对个人信息受法律保护的权利内容及其行使作了原则规定,这标志着个人信息主体的权利获得了基本法的确认,是我国个人信息保护立法体系的重要进步。针对个人信息保护的专门性立法也即将出台,2020年10月13日至17日在京举行的十三届全国人大常委会第二十二次会议将审议全国人大常委会委员长会议关于提请审议《个人信息保护法(草案)》的议案。对于《个人信息保护法》,有学者指出:“可以说,《个人信息保护法》是个人信息保护领域中最为全面最为集中的法律规范,有了这样一部法律,我国就真正形成了以民法典、个人信息保护法为核心的,相关领域特别法为辅助的科学合理的个人信息保护法律规范体系。”在某种程度上,该法将是我国个人信息保护的法治里程碑。
国内个人信息保护措施不断完善的同时,也应当适当借鉴国外的经验。2018年5月,欧盟《通用数据保护条例(The General Data Protection Regulation)》(以下简称“GDPR”)就已经正式实施,从而取代《欧洲数据保护指令》(95/46/EC)(以下简称“《指令》”),直接适用于各成员国。GDPR被业内人士认为是目前全球主要经济体中对数据信息保护管辖范围最宽、立法新意最多、处罚最为严厉的规范。GDPR的地域适用范围是在欧洲设立并在其营业活动中处理个人数据的任何组织机构,且具有域外效力。GDPR中对个人信息的定义,相比于《指令》定义范围有明显扩大,“敏感个人数据”的定义也扩大到包括基因数据和生物特征数据。GDPR是对欧盟现行法律的重大变革,其中一个重要变化是作为监管机构的数据保护机关可以对违反GDPR的组织和机构作出其当年全球营业额4%或者20,000,000欧元(以孰高者为准)的罚款决定。我国《个人信息保护法(草案)》具有一定的前瞻性,但相比而言,还有一些需要完善之处,应当完善相应的配套制度。对于自然人的个人信息查询权、复制权、更正权和删除权的行使需要作出更加具体细致的规定,还有个人信息的境内储存和安全评估等也需要进一步详细规范,明确侵害个人信息的赔偿范围和计算方法等。
面对未来科技和经济的发展,人应当以科技的主人姿态出现,科技的最终目的也应当是造福人类,而不是将人都看作“经济动物”。“任何价值都离不开人,人是一切事物的价值主体,也是一切价值的归属。这是由价值的质的规定性所决定的。价值是事物对于人的意义,人是价值存在的基本前提。如果没有了人这个价值主体作为前提,就不会有价值产生。”只有构建出个人数据的完整保护体系,才能保证人在技术的发展、信息的利用当中仍然保留人作为主体的人格和尊严,科技和经济的发展对于人来说才具有真正的意义,才能提高一个国家的竞争力和人民幸福感。
朱巍
中国政法大学传播法
研究中心副主任
个人信息保护“法时代”到来了
(向下滚动查看全文)
今年8月,全国人大常委会正式通过了个人信息保护法,该法将于今年11月1日起正式实施。与在此之前颁布的网络安全法、数据安全法一并构建起中国新时代信息安全法律保障体系。
个人信息保护法一经问世,就肩负起统领其他法律法规对个人信息保护的作用。该法所确立的对权利人“最小伤害”“公开透明”“准确完整”“合理使用”“合理目的”等原则,是对先前相关法律关于个人信息使用“合法性、正当性、必要性”原则的扩展和补强。未来后续新的立法中,凡是涉及个人信息保护问题的,都应遵守个人信息保护法所确定的基本原则,任何规定都不得与之相冲突。
比如,饭店采用扫码点餐,要求获取我们的个人信息授权的行为,就可能超出了必要性原则和合理使用原则,属于侵权行为,因为点餐行为与获取个人信息之间并无必要性关联。再比如,导航服务开启时,获取我们的位置信息是必要的,但平台却偷偷开启摄像头或语音传输等功能,这就违反了新法规定的最小伤害原则,属于违法行为。从这个角度讲,个人信息保护法就是保护我们权利的“门神”。
个人信息保护法是个体权利在个人信息保护领域的新旗帜,极大扩展和补充了民法典、消费者权益保护法等民事法律关于个人信息权利的范围。新法将个人权利单独成章,赋予了公民个体对自己个人信息的“自我决定权”和充分的“知情权”。
“我的权利我做主”在个人信息保护法中得到了具体体现。老百姓依法享有对自己信息的查询权、复制权、删除权、更正权、保持完整性和准确性权、投诉权、要求说明权和诉讼权。这些新型权利基本构成了适应大数据时代个人信息保护的权利保护体系。
新法出台前,用户在接受互联网产品和服务时,仅享有注册权,很少有人尝试过“注销权”。很多App或网络服务,我们不再使用的时候,随手从手机中删除,却忘记了之前在平台的注册信息、身份信息和行为数据,这些信息不会因为个人删除行为而自行消失。新法出台后,用户一旦停止使用某款网络服务,在删除应用的同时,平台也应依法对用户现存信息进行删除,确保用户个人信息不会成为那些“睡眠应用”的非法财产。
新法出台后,老百姓对自身的权利要求,就转化成互联网平台等信息处理者的法定义务。如果信息处理者做得不好,可能面临高达5000万元或营收5%的高额罚款,直至吊销营业执照和停业整顿。如此高的违法成本,势必会震慑不法侵害行为,减少互联网技术的滥用。
在日常生活中,我们经常遇到同一款产品,不同人显示的价格不一样,甚至在不同型号的手机上显示价格也不同。一般来说,拥有越高消费能力、多次使用的熟客、缺乏比价能力的人群,价格就会更高,反之,则会偏低。这就是老百姓深恶痛绝的“大数据杀熟”。
个人信息保护法将“反大数据杀熟”正式写入法律,网络平台等个人信息处理者,不得利用个人信息和自动化决策,对个人在交易价格和交易条件上进行“价格歧视”。具体明确的法律规定配合巨额天价处罚,必将彻底遏制“大数据杀熟”乱象,还消费者公平交易的权利。
针对平台利用用户行为数据产生的“用户画像”发送“精准广告”的问题,个人信息保护法明确赋予了老百姓说“不”的权利。新法给予平台两个选项,要么为用户提供不针对个人特征的选项,要么明确给予用户拒绝的渠道。新法实施之后,用户自己的兴趣点都被平台捕捉,成为精准营销对象时,可以依据新法要求平台提供非个性化选项或者直截了当加以拒绝。可以说,无论是互联网平台、网络服务提供者,还是大众,都要做好准备适应个人信息保护的司法实践了。
法大微信【第20211101期】
内容来源:光明日报、法制网、21世纪经济报道
排版:赖巧媛
校对:黄楠
责任编辑:陈韵如