《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 構(gòu)建“以人為本”的個人信息保護(hù)法律制度

構(gòu)建“以人為本”的個人信息保護(hù)法律制度

2021-07-10
來源: 中國信息安全
關(guān)鍵詞: 個人 信息保護(hù) 法律制度

  《中華人民共和國國民經(jīng)濟(jì)和社會發(fā)展第十四個五年規(guī)劃和 2035 年遠(yuǎn)景目標(biāo)綱要》(以下簡稱:“十四五”規(guī)劃綱要)提出:“加強(qiáng)涉及國家利益、商業(yè)秘密、個人隱私的數(shù)據(jù)保護(hù),,加快推進(jìn)數(shù)據(jù)安全,、個人信息保護(hù)等領(lǐng)域基礎(chǔ)性立法,強(qiáng)化數(shù)據(jù)資源全生命周期安全保護(hù)。” 加快推進(jìn)個人信息保護(hù)立法,必須恪守“以人民為中心”的理念,,構(gòu)建“以人為本”的個人信息保護(hù)法律制度,提升人民群眾的獲得感,、幸福感,、安全感。

  一,、認(rèn)識“個人信息”和“個人數(shù)據(jù)”

  網(wǎng)絡(luò)時代,,“數(shù)據(jù)”(Data)和“信息”(Information)是使用頻率最高的兩個詞匯,經(jīng)常被政府規(guī)范性文件甚至法律視為同一概念,。目前,,在各國的個人信息(數(shù)據(jù))保護(hù)立法中,多數(shù)國家將“個人信息”表述為“個人數(shù)據(jù)”,。如歐盟《個人數(shù)據(jù)保護(hù)指令》第 2 條(a)規(guī)定,,個人數(shù)據(jù)指“與一個人身份已被識別或者身份可以識別的自然人(數(shù)據(jù)主體)相關(guān)的任何信息”;法國《數(shù)據(jù)處理,、數(shù)據(jù)文件及個人自由法》第 2 條第 1 款規(guī)定,,個人數(shù)據(jù)指“可以通過身份證號碼、一項或多項個人特有因素被肢解或間接識別的自然人相關(guān)的任何信息”,;德國《聯(lián)邦數(shù)據(jù)保護(hù)法》第 3 節(jié)規(guī)定,,個人數(shù)據(jù)指“任何關(guān)于一個已識別的或者可識別的個人(數(shù)據(jù)主體)的私人或者具體狀態(tài)的信息”,。

  我國《網(wǎng)絡(luò)安全法》第七十六條對“網(wǎng)絡(luò)數(shù)據(jù)”給出的定義是:“網(wǎng)絡(luò)數(shù)據(jù),是指通過網(wǎng)絡(luò)收集,、存儲,、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)”,。全國人大常委會公布的《數(shù)據(jù)安全法(草案)》第三條第一款對“數(shù)據(jù)”的定義是:“數(shù)據(jù)是指任何以電子或者非電子形式對信息的記錄”,;第三條第二款將“數(shù)據(jù)的收集、存儲,、加工,、使用、提供,、交易、公開等行為”定義為“數(shù)據(jù)活動”,。

  關(guān)于“個人信息”的內(nèi)涵,,《網(wǎng)絡(luò)安全法》主要突出“識別自然人個人身份的各種信息”,《民法典》則突出強(qiáng)調(diào)“識別特定自然人的各種信息”,,但是上述兩部法律對“個人信息”的判斷和定義基本采用了兩條識別路徑:一是信息的單獨(dú)識別性,,其基本識別路徑是鑒于信息本身的特殊性,識別出特定的自然人,,如姓名,、出生日期、身份證件號碼,、家庭住址等,,從這些信息直接識別出特定的個人;二是信息的關(guān)聯(lián)識別性,,基本路徑是已知特定的自然人,,由該特定自然人在其活動中產(chǎn)生的信息,如生物識別信息,、個人位置信息,、個人通話記錄、個人瀏覽記錄等,。

  可見,,純粹的“電子數(shù)據(jù)”是附著在電子信息系統(tǒng)載體的客觀事物記錄,是未經(jīng)過處理的原始記錄,,一般不具有“可識別”性,。數(shù)字時代的“個人信息”主要是以電子方式記錄,能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人的信息,,而“數(shù)據(jù)”之前加“個人”,,即“個人數(shù)據(jù)”也屬于“個人可識別信息”(PII),。因此,無論是“個人信息”或“個人數(shù)據(jù)”,,均具有已識別或可識別自然人(數(shù)據(jù)主體)相關(guān)信息的特征,,兩者應(yīng)屬于意義相同或相近的詞語。

  二,、強(qiáng)化對個人隱私和敏感信息的保護(hù)

  2018 年 4 月 20 日,,習(xí)近平總書記在全國網(wǎng)絡(luò)安全和信息化工作會議講話中強(qiáng)調(diào),要維護(hù)人民群眾合法權(quán)益 , 依法嚴(yán)厲打擊網(wǎng)絡(luò)黑客,、電信網(wǎng)絡(luò)詐騙,、侵犯公民個人隱私等違法犯罪行為?!笆奈濉币?guī)劃綱要明確要求,,要加強(qiáng)涉及個人隱私數(shù)據(jù)的保護(hù)。

  當(dāng)前,,從國際組織和國外一些立法經(jīng)驗看,,包括《通用數(shù)據(jù)保護(hù)條例》(GDPR)、經(jīng)合組織(OECD)“隱私框架”,、亞太經(jīng)合組織(APEC)“隱私框架”,、歐美隱私盾(EU-US Privacy Shield)協(xié)議、美國《消費(fèi)者隱私權(quán)法案》(Consumer Privacy Billof Rights),、《美國加利福尼亞消費(fèi)者隱私法案》(California Consumer Privacy Act,,CCPA)等個人隱私信息保護(hù)方面的立法,均強(qiáng)調(diào)未經(jīng)被收集者同意,,不得收集和向他人提供個人隱私信息,,突出知情權(quán)、明示同意權(quán),、訪問權(quán),、注銷權(quán)、撤回權(quán),、封鎖權(quán),、更正權(quán)、刪除權(quán)等“個人信息權(quán)”,,特別是 CCPA,,規(guī)定了異常嚴(yán)格的個人信息使用規(guī)則,要求各個公司必須通知用戶他們的私人數(shù)據(jù)將被如何使用,,并且需要為用戶提供“直接退出”的工具,。

  我國《民法典》人格權(quán)編設(shè)專章對隱私權(quán)保護(hù)進(jìn)行了詳細(xì)規(guī)定,特別是首次對隱私權(quán)的概念和保護(hù)范圍作出明確具體的規(guī)定,?!睹穹ǖ洹返?1032 條規(guī)定:“自然人享有隱私權(quán),。任何組織或者個人不得以刺探、侵?jǐn)_,、泄露,、公開等方式侵害他人的隱私權(quán)。隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間,、私密活動,、私密信息?!标P(guān)于個人信息中隱私信息的保護(hù),,《民法典》明確規(guī)定:“個人信息中的私密信息,適用有關(guān)隱私權(quán)的規(guī)定,;沒有規(guī)定的,,適用有關(guān)個人信息保護(hù)的規(guī)定?!?這一規(guī)定不僅強(qiáng)化了對個人隱私信息的保護(hù),,也為正在制定中的《個人信息保護(hù)法》對自然人個人隱私信息的保護(hù)留出了立法空間。

  我國正在制定的《個人信息保護(hù)法(草案)》(以下稱《草案》)沒有對隱私信息做出專門規(guī)定,,而是將個人信息分為敏感信息和非敏感信息,并設(shè)專節(jié)對處理敏感個人信息作出了嚴(yán)格的限制性規(guī)定,,即只有在具有特定的目的和充分的必要性的情形下,,方可處理敏感個人信息,并且應(yīng)當(dāng)取得個人的單獨(dú)同意或者書面同意,?!恫莅浮穼Α懊舾袀€人信息”的定義是:“一旦泄露或者非法使用,可能導(dǎo)致個人受到歧視或者人身,、財產(chǎn)安全受到嚴(yán)重危害的個人信息 , 包括種族,、民族、宗教信仰,、個人生物特征,、醫(yī)療健康、金融賬戶,、個人行蹤等信息,。”

  個人隱私信息與個人敏感信息既有聯(lián)系也有區(qū)別,,隱私信息主要是從自然人的人格權(quán)角度來判斷,,且主要是精神層面的人格權(quán),涉及自然人享有的私人生活安寧與私密信息不被搜集,、利用和公開,;判斷個人信息中的敏感信息主要是從損害結(jié)果的角度判斷,,即個人敏感信息一旦泄露或者非法使用,可能導(dǎo)致個人受到歧視或者人身,、財產(chǎn)安全受到嚴(yán)重危害,,比如宗教信仰信息、個人生物特征信息,、醫(yī)療健康信息,、金融賬戶信息、基因信息,、個人行蹤信息等,。

  《個人信息保護(hù)法》作為保護(hù)個人信息的基礎(chǔ)性立法,應(yīng)堅持以人民為中心,,對涉及公民隱私信息和公民不愿意他人知道的財產(chǎn)信息實施雙重保護(hù),,尤其是從個人信息被非法處理可能產(chǎn)生的危害后果出發(fā),對個人信息實行分級分類,,進(jìn)一步突出對個人隱私和敏感信息的保護(hù)力度,,在確保公民隱私權(quán)和財產(chǎn)權(quán)不受非法侵害的基礎(chǔ)上,促進(jìn)個人信息資源在“合法,、正當(dāng),、必要”以及“知情同意”的法定原則框架內(nèi)有限度地適當(dāng)處理和利用。

  三,、構(gòu)建“以人為本”的個人信息處理規(guī)則

  目前,,我國有關(guān)個人信息的處理規(guī)則,主要是適用“合法,、正當(dāng),、必要”,該處理規(guī)則最早以法律形式出現(xiàn)在 2013 年修訂的《消費(fèi)者權(quán)益保護(hù)法》第二十九條:“經(jīng)營者收集,、使用消費(fèi)者個人信息,,應(yīng)當(dāng)遵循合法、正當(dāng),、必要的原則,,明示收集、使用信息的目的,、方式和范圍,,并經(jīng)消費(fèi)者同意?!?017 年 6 月 1 日起施行的《網(wǎng)絡(luò)安全法》第 41 條采納這一原則規(guī)定:“網(wǎng)絡(luò)運(yùn)營者收集,、使用個人信息,應(yīng)當(dāng)遵循合法,、正當(dāng),、必要的原則,,公開收集、使用規(guī)則,,明示收集,、使用信息的目的、方式和范圍,,并經(jīng)被收集者同意,。”

  《民法典》第 1035 條除規(guī)定“處理個人信息的,,應(yīng)當(dāng)遵循合法,、正當(dāng)、必要原則”外,,還強(qiáng)調(diào)“不得過度處理”,,并附帶了四個法定條件:一是征得該自然人或者其監(jiān)護(hù)人同意,但是法律,、行政法規(guī)另有規(guī)定的除外,;二是公開處理信息的規(guī)則;三是明示處理信息的目的,、方式和范圍,;四是不違反法律、行政法規(guī)的規(guī)定和雙方的約定,。

  《民法典》第 1035 條有關(guān)個人信息的處理規(guī)則與《網(wǎng)絡(luò)安全法》和《消費(fèi)者權(quán)益保護(hù)法》基本一致,,明確“應(yīng)當(dāng)遵循合法、正當(dāng),、必要原則”,但是《網(wǎng)絡(luò)安全法》和《消費(fèi)者權(quán)益保護(hù)法》在“個人信息”之前使用兩個動詞“收集,、使用”,,即“收集、使用個人信息”,,而《民法典》第 1035 條在“個人信息”之前只使用了一個動詞“處理”,,即“處理個人信息”。實際上,,在《民法典(草案)》第三次審議稿中,,仍然采用“收集、處理自然人個人信息”的表述,?!疤幚怼笔且粋€過程,本身包括“收集”,,即收攏和聚合個人在電子信息系統(tǒng)載體上已經(jīng)留下的個人信息(數(shù)據(jù)),,同時涵蓋“加工,、傳輸、提供,、公開”等內(nèi)容,。正式實施的《民法典》第 1035 條刪去了“收集”,只保留“處理”,,并對“個人信息的處理”的內(nèi)涵進(jìn)行了解釋,,即“個人信息的處理包括個人信息的收集、存儲,、使用,、加工、傳輸,、提供,、公開等?!?/p>

  《個人信息保護(hù)法(草案)》明確了個人信息處理應(yīng)遵循的原則,,并強(qiáng)調(diào)處理個人信息應(yīng)當(dāng)采用合法、正當(dāng)?shù)姆绞?,具有明確,、合理的目的,限于實現(xiàn)處理目的的最小范圍,,公開處理規(guī)則,,保證信息準(zhǔn)確,采取安全保護(hù)措施等,,并將上述原則貫穿于個人信息處理的全過程,、各環(huán)節(jié),體現(xiàn)了“以人為本”的個人信息處理規(guī)則,。

  《個人信息保護(hù)法(草案)》(二審稿)進(jìn)一步明確了“以人為本”的個人信息處理規(guī)則,,例如《草案》一審稿中第二十六條規(guī)定:“個人信息處理者不得公開其處理的個人信息,取得個人單獨(dú)同意或者法律,、行政法規(guī)另有規(guī)定的除外,。”在二審稿中刪除了“或者法律,、行政法規(guī)另有規(guī)定”,,只保留了“取得個人單獨(dú)同意的除外”;一審稿中第二十七條規(guī)定:“在公共場所安裝圖像采集,、個人身份識別設(shè)備,,應(yīng)當(dāng)為維護(hù)公共安全所必需 , 遵守國家有關(guān)規(guī)定 , 并設(shè)置顯著的提示標(biāo)識。所收集的個人圖像、個人身份特征信息只能用于維護(hù)公共安全的目的,,不得公開或者向他人提供,,取得個人單獨(dú)同意或者法律、行政法規(guī)另有規(guī)定的除外,?!痹诙徃逯袆h除了“法律、行政法規(guī)另有規(guī)定”的除外原則,,也只保留了“取得個人單獨(dú)同意的除外”,。上述處理規(guī)則,遵循了“以人民為中心”的理念,,體現(xiàn)了“以人為本”的個人信息保護(hù)規(guī)則,。

  四、嚴(yán)禁超范圍收集個人信息

  截至 2020 年 12 月,,我國手機(jī)上網(wǎng)人數(shù)達(dá)到了9.86 億人,,國內(nèi)市場監(jiān)測到的移動互聯(lián)網(wǎng)應(yīng)用程序(App)數(shù)量高達(dá) 345 萬款,App 幾乎完全取代瀏覽器成為最大流量入口,。當(dāng)前,,大量 App存在強(qiáng)制授權(quán)、過度索權(quán),、超范圍收集個人信息的情形,,尤其是違法違規(guī)使用個人信息的問題十分突出,已經(jīng)毫無規(guī)則和底線,,廣大網(wǎng)民深惡痛絕,。

  近幾年,盡管相關(guān)部門不斷查處各類違規(guī) App,,細(xì)化各項隱私政策和規(guī)范,,起到了一定的震懾作用,但是 App 超范圍收集和使用個人信息等行為依然嚴(yán)重,。對于治理 App 過度收集個人信息的問題,,人民群眾呼吁應(yīng)當(dāng)依法明確“必要個人信息范圍”,只要超過“必要個人信息范圍”的收集和處理行為,,必須堅決予以打擊和懲處,。

  針對 App 超范圍收集個人信息的亂象,,國家網(wǎng)信辦,、工信部、公安部,、國家市場監(jiān)督管理總局聯(lián)合發(fā)布了《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》,,對“必要個人信息”做出了定義,即“保障 App 基本功能服務(wù)正常運(yùn)行所必需的個人信息,缺少該信息 App 即無法實現(xiàn)基本功能服務(wù),。具體是指消費(fèi)側(cè)用戶個人信息,,不包括服務(wù)供給側(cè)用戶個人信息?!?該定義有以下特征:首先,,必要個人信息是指保障 App 業(yè)務(wù)功能正常運(yùn)行所最少夠用的個人信息;其次,,所謂“必要個人信息”是指一旦缺少這些必要的信息將導(dǎo)致 App 服務(wù)無法實現(xiàn)或無法正常運(yùn)行,。

  中共中央《法治社會建設(shè)實施綱要(2020-2025年)》提出,嚴(yán)格規(guī)范收集使用用戶身份,、通信內(nèi)容等個人信息行為,,加大對非法獲取、泄露,、出售,、提供公民個人信息的違法犯罪行為的懲處力度。建議應(yīng)當(dāng)將四部委確立的“必要個人信息”法律化,,提高法律位階,,把這一制度納入正在審議的《個人信息保護(hù)法(草案)》。

  五,、構(gòu)建企業(yè)數(shù)據(jù)合規(guī)體系和 DPO制度

  “十四五”規(guī)劃綱要明確提出,,推進(jìn)產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型,推動數(shù)據(jù)賦能全產(chǎn)業(yè)鏈協(xié)同轉(zhuǎn)型,。在推進(jìn)產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型進(jìn)程中,,將呈現(xiàn)出互聯(lián)網(wǎng)企業(yè)傳統(tǒng)化,而傳統(tǒng)企業(yè)互聯(lián)網(wǎng)化的新趨勢,。為保證企業(yè)對個人敏感數(shù)據(jù)和個人隱私數(shù)據(jù)處理和利用的合法合規(guī),,多數(shù)國家的數(shù)據(jù)保護(hù)法要求構(gòu)建完善的數(shù)據(jù)合規(guī)體系,并確定專門的數(shù)據(jù)合規(guī)負(fù)責(zé)人,。

  GDPR 對企業(yè)合規(guī)處理個人數(shù)據(jù)提出明確要求,。GDPR 第 6 條專門規(guī)定了“個人數(shù)據(jù)處理的合法性”:一是數(shù)據(jù)主體同意其個人數(shù)據(jù)為一個或多個特定目的處理;二是處理應(yīng)為履行數(shù)據(jù)主體參與合同的必要行為,,或處理是因數(shù)據(jù)主體在簽訂合同前的邀約而采取的措施,;三是處理個人數(shù)據(jù)是為履行數(shù)據(jù)控制者所服從的法律義務(wù)之必要;四是處理個人數(shù)據(jù)是為了保護(hù)數(shù)據(jù)主體或另一個自然人的切身利益之必要,;五是處理個人數(shù)據(jù)是為了執(zhí)行公共利益領(lǐng)域的任務(wù)或行使數(shù)據(jù)控制者既定的公務(wù)職權(quán)之必要,;六是為了控制人或第三方所追求的合法利益,處理是必要的,,除非這種利益與保護(hù)個人數(shù)據(jù)的數(shù)據(jù)主體利益或基本權(quán)利和自由相沖突,,特別是在數(shù)據(jù)主體是兒童的情況下,但是該項規(guī)定不適用于政府當(dāng)局在履行其職責(zé)時進(jìn)行的數(shù)據(jù)處理行為。

  關(guān)于個人數(shù)據(jù)處理過程的安全性問題,,GDPR 第32 條規(guī)定:考慮目前的工藝水平,、實施成本、處理過程的性質(zhì),、范圍,、目的,以及自然人自由和權(quán)利所面對的不同可能性和嚴(yán)重性風(fēng)險,,控制者,、處理者應(yīng)當(dāng)執(zhí)行適當(dāng)?shù)募夹g(shù)和組織措施來保證合理應(yīng)對風(fēng)險的安全級別,尤其要酌定考慮以下因素:一是個人數(shù)據(jù)的匿名化和加密,;二是確保處理系統(tǒng)和服務(wù)現(xiàn)行的保密性,、完整性、可用性以及可恢復(fù)性,;三是在發(fā)生物理事故或技術(shù)事故的情況下,,恢復(fù)可用性以及及時獲取個人信息的能力;四是定期對技術(shù)措施以及組織措施的有效性進(jìn)行測試,、評估,、評價處理,力求確保處理過程的安全性,。

  我國《個人信息保護(hù)法(草案)》明確規(guī)定了個人信息處理者的合規(guī)管理和保障個人信息安全等義務(wù),,要求其按照規(guī)定制定內(nèi)部管理制度和操作規(guī)程,采取相應(yīng)的安全技術(shù)措施,,并指定負(fù)責(zé)人對其個人信息處理活動進(jìn)行監(jiān)督,;定期對其個人信息活動進(jìn)行合規(guī)審計;對處理敏感個人信息,、向境外提供個人信息等高風(fēng)險處理活動,,事前進(jìn)行風(fēng)險評估;履行個人信息泄露通知和補(bǔ)救義務(wù)等,。

  《草案》(二審稿)第五十一條規(guī)定,,個人信息處理者應(yīng)當(dāng)根據(jù)個人信息的處理目的、處理方式,、個人信息的種類以及對個人的影響,、可能存在的安全風(fēng)險等 , 采取必要措施確保個人信息處理活動符合法律、行政法規(guī)的規(guī)定 , 并防止未經(jīng)授權(quán)的訪問以及個人信息泄露或者被竊取,、篡改,、刪除。對此,,《草案》提出了六項具體要求:一是制定內(nèi)部管理制度和操作規(guī)程,;二是對個人信息實行分類管理;三是采取相應(yīng)的加密,、去標(biāo)識化等安全技術(shù)措施,;四是合理確定個人信息處理的操作權(quán)限 , 并定期對從業(yè)人員進(jìn)行安全教育和培訓(xùn);五是制定并組織實施個人信息安全事件應(yīng)急預(yù)案,;六是法律,、行政法規(guī)規(guī)定的其他措施。

  數(shù)據(jù)保護(hù)官(Data Protection Officer,,DPO)這一專職保護(hù)個人數(shù)據(jù)的負(fù)責(zé)人制度,,是 GDPR 率先以法律形式確定的,GDPR 對 DPO 的任命提供了詳細(xì)指引,。GDPR 要求,,數(shù)據(jù)保護(hù)官的任命必須基于其專業(yè)素養(yǎng),包括數(shù)據(jù)保護(hù)的法律及實踐知識,,以及完成一系列數(shù)據(jù)保護(hù)官職責(zé)的能力,。根據(jù) GDPR的規(guī)定,數(shù)據(jù)保護(hù)官的職責(zé),,主要是為保護(hù)處理中的數(shù)據(jù)始終處于安全狀態(tài),,即個人數(shù)據(jù)不得被泄露、非法買賣,、轉(zhuǎn)讓等,。

  借鑒 GDPR 的 DPO 制度,《草案》(二審稿)第五十二條規(guī)定,,處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者應(yīng)當(dāng)指定個人信息保護(hù)負(fù)責(zé)人,,負(fù)責(zé)對個人信息處理活動以及采取的保護(hù)措施等進(jìn)行監(jiān)督。個人信息處理者應(yīng)當(dāng)公開個人信息保護(hù)負(fù)責(zé)人的姓名,、聯(lián)系方式等 , 并報送履行個人信息保護(hù)職責(zé)的部門,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]