经济观察报 记者 沈怡然 《中华人民共和国个人信息保护法》(下称《个人信息保护法》)将在11月1日落地实施,这是中国首部针对个人信息权益进行保护的法律。该法与已施行的《网络安全法》、《数据安全法》,共同构成了中国网络法律体系的“三驾马车”,管控之严,堪比欧盟GDPR(《通用数据保护条例》)。
9月3日,记者专访了中国人民大学法学院教授张新宝。张新宝专注民法领域,多年研究个人信息保护,全程参与了《个人信息保护法》的立法工作,同时,还参与民法典编纂工作,担任中国法学会民法典起草领导小组成员和侵权责任编召集人。
张新宝表示,关于个人信息和隐私保护的法学研究,已经在学术界酝酿多年,终于在2018年开始形成立法。中国的互联网经济发展深入,智能硬件、算法技术已经平民化,个人信息的收集和处理变得更为普遍,同时,数据处理者侵害个人权益的问题,变得越来越突出。
疫情期间,个人信息再一次被大面积采集和处理,令决策者看到了保护个人信息的必要性,加速推进了立法。
该法主要针对个人信息的处理活动。个人信息,包括个人的身份、消费、金融信息等,以及人脸、语音等生物信息。个人信息的处理,包括收集、存储、使用、加工、传输、提供、公开、删除等。
该法落地后,个人因权益受害可去投诉个人信息处理的侵权者,不再是无法可依,还对人脸识别监控、用户画像、算法歧视等行为特别进行了规范。《个人信息保护法》的适用范围,并非针对某一类特定企业,凡进行个人信息处理的企事业单位、国家机关均在其中。
张新宝表示,新法落地后,信息处理者的责任和义务、合规成本必然会提高,但也是走向合理规范的一个过程。过去互联网经济的野蛮生长,已经给公众带来许多问题,国家必须要将其控制在一个正确、健康的范围内去发展,让它不仅高速发展,还能健康发展,这也是立法的初衷。
经济观察报:《个人信息保护法》酝酿多年,是什么契机推动了它的出台?
张新宝:新冠肺炎疫情期间,公共场所大面积应用人脸识别监控设备,企业采用大数据决策,有的甚至是滥用这些技术,同时,政府通过健康宝、行程码等手段采集个人行动信息。其中很多信息对个人是高度敏感、涉及人身安全的。在这个过程中,数据处理者侵害个人权益的问题,变得越来越突出,这让决策者意识到及时保护个人信息的必要性。
经济观察报:这是否也是立法的基本初衷?
张新宝:是的,个人信息保护在2018年之前处于基础理论研究阶段,到2018年开始形成法律框架,始终在关注数据处理者侵害个人权益的问题。在2018年,我们发现,互联网经济开始深入到社会经济的每一个角落,智能硬件和算法技术正在变得平民化、普遍化,甚至变得廉价。这一过程中,国家机关和企业大量收集和处理个人信息,也成为了一个普遍现象。
市政运用监控技术加强城市管理,一些头部企业还承担了信息基础设施的角色。
从产业来看,互联网经济中的头部企业,掌握了个人的消费信息、信用信息、金融信息,甚至还将信息打包提供给第三方;它们运用数据进行自动化决策,收集得信息越多、处理得层次越深、越有利于产品和服务。但是,这会对个人安全造成极大威胁。
经济观察报:决策者的推动下,该法的出台是早于业界预期的?
张新宝:并不是比原计划要早,当初并没有规定出台时间,只是疫情后推进的速度更快。从2020年10月至2021年6月,国家仅用10个月时间完成了法案的一审到三审,原本可能于今年6月正式公布,考虑到时间点与《数据安全法》重合,以及该法修改的难度,就延后至8月公布。
经济观察报:简单来说,该法是如何保护公众个人利益的?
张新宝:《个人信息保护法》对个人信息进行分级分类,分为敏感和一般,成年人和未成年人,不同分类保护程度不一样。简单说,就是强化对敏感信息的保护,尤其是对不满14周岁未成年人个人信息的保护。
不同信息对个人影响不同。例如“我叫张新宝,是人民大学教授”属于一条标准的个人信息,法律生效后,数据处理者仍可长期保存和应用。但是,我在哪个银行账户有存款、资金往来,则属于敏感信息,法律生效后,原则上数据处理者不能收集这些信息。如需处理需要经本人单独同意,而且只能用于特定目的,用完后不可用到别处或出现泄漏,否则就属于违法行为。
经济观察报:对人脸、声音等个人生物信息的保护,法律也作出了什么规范吗?
张新宝:人脸识别是本法规范的一个重要内容,也是相对于欧盟GDPR法案的特色之处。法律规定,人脸等生物信息属于敏感信息。简单说,对于人脸信息的收集和处理,要有合法依据,目的必须是服务公共安全;同时,信息处理者还要提供替代措施,比如工作单位考勤,不能强制性要求员工进行人脸图像采集和比对,对拒绝者,要有提供身份证核对等一些替代措施。
之所以将人脸识别纳入管控,是看到在人工智能技术的进步下,人脸识别首先在中国实现了大规模应用。以人脸识别为代表,法律传达了对整个生物识别技术的规范,还包括虹膜识别、语音识别、指纹识别、血型识别等,只是没有一一列入条文进行列举。
经济观察报:若被机构侵害权益,个人可以起诉吗?
张新宝:原则上可以,但实际上一些情况下起诉对个人可能是不经济的。《个人信息保护法》最新规定,若侵权情况严重,可以提起公益诉讼。针对违法处理个人信息的行为、受害人人数众多,个人可向三大类机构进行起诉,包括人民检察院、法律规定的消费者组织、由国家网信部门确定的组织。这些机构再针对性地提起个人信息保护公益诉讼。过去,个人通常也是采取投诉的办法,但如今更做到了有法可依。
经济观察报:作为数据处理者,该法会对企业产生哪些影响?
张新宝:最大的影响是企业合规成本会提高。要达到《个人信息保护法》合规标准,企业首先要具备相应的能力,需要增加法务、安全方面的人员配置和相应机制,还要接受网信部门定期或非定期的监管,这些都会对企业生产经营造成影响。
其中头部企业承担了更多责任和义务。法律在二审稿中又加入了一些条文。其中一项是在今年年初,我作为专家向立法部门提出的,简单说,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,相比一般企业,要做到更高标准的信息合规处理,同时,还要明确平台上商户企业的合规。
例如,电子商务企业的平台上,有成千上万的小商户,政府无法一一进行管理,法律将管理义务交由平台企业,大企业要制定相应的平台规则,且公正、公平、公开地对小商户进行规范。
经济观察报:法律对政府和事业单位作出了哪些规范?
张新宝:对事业单位的规定和对企业一样。对政府的规定有所区别,比如国家机关采集个人信息,需要有特别的法律依据,需要组织专门机构处理信息,并保证信息的安全;另外,国家机关不适用公益诉讼。健康宝和行程码是有法律法规依据的,政府的责任是要保证数据安全,待疫情过后停止使用这样的个人信息,进行后续的处理和销毁。
经济观察报:作为立法参与者,您如何回应产业对该法的一些关切、甚至担忧?
张新宝:其实立法前专家组就评估过法案的产业影响,也按照民主程序,征求头部企业机构的意见。我认为,企业其实是没有必要担忧的。首先,法律的监管,并非针对某个行业或者某个企业,所有企业的成本都在增加,是在平等基础上进行竞争的;其次,很多产品和服务都没有统一定价,企业可以通过定价机制来化解成本。长远来看,合规对企业发展是有利的。做到合规,处理信息的质量更高,也是一种信誉的保证,方便企业之间的交易,以及出海做国际生意。
经济观察报:根本上说,这部法的价值导向是什么?
张新宝:立法的目的是多维的,首先是保护个人信息,但不单是保护,还是规范个人信息处理活动,促进个人信息的合理利用。如果在数据的收集、处理过程中不会伤害公众,那么经过处理的个人信息数据仍然是科技创新、经济发展的“原料”,国家也对企业创造的财富予以保护。
之所以前几年立法进展稍慢,是和产业发展水平有关。法学家的认识应该超越他人走得更前,但法律永远是走在经济发展的后面,只有等到产业发展到一定程度,再运用法律加以规范。
这部《个人信息保护法》,代表了价值取向、法律制度基本框架,具体到如何实施,需要大量的配套细则。细则主要由网信管理部门制定,目前已经公布了一些,但是还有内容尚未处理完善的。即便到11月1日正式实施,配套细则也未必制定完全,其间也要向各方征求意见,工作还在持续中。
京公网安备 11010802028547号