鞏義市
李喜蕊
數(shù)字經濟時代��,個人信息的保護和利用是全球關注的普遍性難題。二零二一年8月20日���,第十三屆全國人民代表大會常務委員會第三十次會議表決通過了《個人信息保護法》�,定于二零二一年11月1日起正式施行����,這是我國首部個人信息保護領域的專門立法。該法嚴格保護個人信息處理活動中的個人權利��,明確個人信息處理活動中的各方責任義務����,促進個人信息的合理利用,保障相關產業(yè)發(fā)展�����,為個人信息處理者提供了全面的規(guī)范���。
處理個人信息要獲得個人同意——“告知-同意”為核心的處理規(guī)則��。
《個人信息保護法》明確個人信息處理前及變更處理方式目的和種類時�����,應當以顯著方式�、清晰易懂的語言真實�、準確、完整地向個人告知必需事項�,獲得個人的同意,除非有法律�、行政法規(guī)規(guī)定應當保密或者不需要告知的情形。個人信息處理者應當提供便捷的撤回同意方式��,方便個人撤回同意��,并不得以個人不同意或撤回同意為由拒絕提供產品或服務��。
《個人信息保護法》第13條在規(guī)定個人同意規(guī)則的同時���,還規(guī)定了6種情況下不需要取得個人同意的例外��,包括訂立合同所必需����,履行法定職責或法定義務所必需,應對突發(fā)公共衛(wèi)生或緊急情況下保護自然人的生命健康和財產安全所必需��,為公共利益實施新聞報道��、輿論監(jiān)督所必需����,合理范圍內處理個人自行公開或其他已經合法公開的個人信息等,體現(xiàn)了個人利益和公共利益平衡的立法理念�。
處理個人信息要內部管控——權責相當?shù)膬炔恐贫纫蟆?br/>《個人信息保護法》專章規(guī)定了個人信息處理者的義務,并區(qū)分一般個人信息處理者��、境外個人信息處理者����、達到規(guī)定數(shù)量的個人信息處理者和綜合互聯(lián)網服務平臺,主要從內部管理制度建設方面��,對他們提出了不同的義務要求���,體現(xiàn)了權力和責任義務相當?shù)脑瓌t�����。
對于一般信息處理者��,《個人信息保護法》明確要制定內部管理制度和操作流程�,對個人信息進行分類管理����,采取相應的安全技術措施,確定人員的操作權限和安全教育���,制定安全預案等�����,以確保信息處理活動安全合規(guī)���。
達到規(guī)定數(shù)量的個人信息處理者——對于處理個人信息達到國家網信部門規(guī)定數(shù)量的個人信息處理者,還應當制定個人信息保護負責人����。
境外個人信息處理者——對于處理境內自然相關信息的境外個人信息處理者,應當在境內設立專門機構或者指定代表�����。
互聯(lián)網平臺——對于提供重要互聯(lián)網平臺服務、用戶數(shù)量巨大���、業(yè)務類型復雜的個人信息處理者����,還應當履行更多的義務���,包括建立健全個人信息保護合規(guī)制度體系����、制定平臺規(guī)則����、定期發(fā)布個人信息保護社會責任報告等。
處理個人信息須全程防范——定期審計��、事前評估和事后補救�����。
定期審計���、事前評估和及時補救能夠預防個人信息保護不力情況出現(xiàn)���,并及時降低安全風險����。
《個人信息保護法》第54條明確個人信息處理者應當定期對其處理的個人信息遵守法律��、行政法規(guī)的情況進行合規(guī)審計��。
對于發(fā)生或者可能發(fā)生個人信息泄露��、篡改����、丟失的個人信息處理者應當立即采取補救措施�����,并通知履行個人保護職責的部門和個人��。
對于一些特殊個人信息處理活動還應當事前進行個人信息保護影響評估����,并對處理情況進行記錄。這些個人處理活動包括處理敏感個人信息�����、利用個人信息進行自動化決策、向境外提供個人信息����、委托處理、公開或者向其他個人信息處理者提供個人信息���、對個人權益有重大影響的個人信息處理活動等�。評估活動應當包括合法正當必要性評估�����、對個人權益影響及安全風險評估�����、保護措施評估等��,評估報告和處理記錄應當至少保存三年��。
杜絕“大數(shù)據(jù)殺熟“——自動化決策處理個人信息時的特別義務�����。“大數(shù)據(jù)殺熟”是指個人信息處理企業(yè)利用個人信息�����,分析和預測個人消費喜好和消費能力�����,對不同對象收取不同價格的“價格歧視”行為����。針對令人深惡痛絕的各行業(yè)過度收集數(shù)據(jù)并“大數(shù)據(jù)殺熟“問題��,《個人信息保護法》專門在第24條規(guī)定���,個人信息處理者利用個人信息進行自動化決策�,應當保證決策的透明度和結果公平����、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇�����。通過自動化決策方式向個人進行信息推送、商業(yè)營銷����,應當同時提供不針對其個人特征的選項,或者提供便捷的拒絕方式�����。個人有權對個人權益有重大影響的自動化決策決定要求提供說明并有權拒絕���。
兼顧安全與共享——跨境提供個人信息時的特別義務����。
隨著全球化進程加快和互聯(lián)網技術的發(fā)展���,跨境信息流動已成為重要的國際貿易需求�,信息共享與信息安全保護的沖突如何協(xié)調�,是國際貿易中的難題?����!秱€人信息保護法》回應時代需求,明確了共享與安全并重的個人信息跨境提供規(guī)則���。
個人信息處理者因業(yè)務等需要跨境提供個人信息應當達到法定的條件����,包括通過國家網信部門的安全評估����、按照國家網信部門的規(guī)定經專業(yè)機構進行個人信息保護認證、按照國家網信部門制定的標準合同與境外接收方訂立合同等���。
個人信息處理者應當采取必要措施�����,確保境外接收方處理個人信息的活動達到我國《個人信息保護法》規(guī)定的個人信息保護標準。
個人信息處理者應當向個人告知境外接收方的名稱或姓名���、聯(lián)系方式���、處理目的、處理方式�、個人信息的種類��,以及個人向境外接收方行使權利的方式和程序等��,并取得個人的單獨同意�����。
(作者系華北電力大學副教授)
