《个人信息保护法》落地 为数据安全保驾护航
2021-08-24 14:46:47
  • 0
  • 0
  • 0

崔聪聪:北京邮电大学副教授,互联网治理和网络研究中心副主任

摘要:
在信息化时代,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。《个保法》主要有以下三个特点:第一,构建了民事、行政和刑事三位一体的保护模式,突出了民事保护,对行政监管做了强化和细致的规定。在个人信息承载着个人利益、社会公共利益以及国家利益或国家安全三重利益背景下,应该采取三重保护模式或者三种保护手段,这是有必要的。在个人信息收集使用过程当中由于个人和我们的企业力量明显处于不对等情况,要突出行政监管或者行政保护这种手段。第二,构建了从个人信息收集、利用到销毁整个生命周期的保护机制。第三,这部法律兼顾了安全和发展。直接从保护领域或者范围来解决发展的问题。这是这部法律可圈可点的地方。
有几个条文特别值得我们注意:第一是例外效力,采取一个这种模式,不像GDPR做的那么激进。第二是有关个人信息的界定,平衡或者有效解决我们现在的两种理论,一种是识别,一种是关联,《个人信息保护法》妥善的处理了这个争议。第三是个人信息保护基本原则除了熟知的合法、正当、必要之外,又增加了诚信、公开、透明、品质和安全原则,第8条改变品质原则的体现。第四点是有关同意,也是具有丰富的内涵,既明确同意的要求,也列举了同意的形式,在实践当中更具有可操作性。值得向大家请教的问题:第一个有关第26条人脸识别中“取得个人单独同意的除外”,涉及到怎么理解条文,这个分号分的是哪部分,到底分的是收集还是分后面一句的使用,值得研究。对于非公共场所人脸识别的使用应该符合什么条件,是后续的立法要补充回答的问题。第二个有关第32条具体哪些敏感个人信息应当取得行政许可,法律给我们预留了接口,是需要探讨的范围。第三个有关第66条怎么认定因个人信息违法违规收集所取得的收入值得大家研究。第四个有关第69条提到了损害赔偿的问题,需要后续的像最高法出台一些相应的司法解释给予我们明确。

很高兴能有机会谈一下对《个人信息保护法》的感想,同时这个过程当中也有几个问题以及不清楚的地方想向各位专家请教。

通过看《个保法》主要有以下几个特点:

第一,构建了民事、行政和刑事三位一体的保护模式,特别是比之前的《网安法》等相关法律突出了民事保护,同时对行政监管也做了一个非常强化和细致的规定。我们想说在个人信息承载着个人利益、社会公共利益以及国家利益或国家安全三重利益背景下,我们相应的应该采取三重保护模式或者三种保护手段,这是有必要的。当然,这三种保护手段应该各司其责,特别是就目前我们整个个人信息安全的形势来看,应当是特别突出行政监管的这种保护手段的。主要原因在于一方面个人信息承载着公共利益和国家利益,那么相应的民事保护可能就不能满足相应的要求了,就需要我们采用行政监管手段。同时在个人信息收集使用过程当中由于个人和我们的企业力量明显处于不对等情况,在这种实力悬殊情况下可能也要突出行政监管或者行政保护这种手段。这是第一点。

第二,构建了从个人信息收集、利用到销毁整个生命周期的保护机制。我们知道上个世纪国外《个人信息保护法》主要聚焦于收集,或者是一种病态的保护,进入到互联网深度利用的阶段以后个人信息深度利用引发了一些相应风险,这个时候我们就需要从收集、利用到销毁要对它进行整个生命周期的规制和保护。

第三,这部法律兼顾了安全和发展。有些企业或者是个人看来这部法律确实太严格了,其实我们看虽然说有严格的行政处罚和相应的这些集体诉讼、民事责任等等,但是我们也应当注意到这部法律也兼顾了发展,比如说体现在这些具体的制度上,像收集个人信息的合法性事由除了同意以外还增加很多例外情况,对外提供情形我们也有很多有利于发展,有利于个人信息合理利用的相应规则,同时还包括对于个人信息界定这一块,其实个人信息界定明确的排除了匿名化处理后的个人信息,或者匿名化处理以后的不属于个人信息,这其实也是兼顾我们的发展,直接从保护领域或者范围来解决发展的问题。我想这是这部法律的一些可圈可点的地方。

具体来看有几个条文特别值得我们注意到,当然《个保法》每一个条文都有它深刻的背景和含义,也值得我们仔细研究,但我简单的提几条。第一是例外效力,采取一个这种模式,不像GDPR做的那么激进。第二是有关个人信息的界定,平衡或者有效解决我们现在的两种理论,一种是识别,一种是关联,其实深入的研究看这二者,识别和关联并没有水火不相容的地步,我们把识别理解成包括直接识别和间接识别情况下其实也和关联差不多了,这种情形虽然理论上识别和关联没有本质区别,但可能说有些学者说有一定区别的,为了避免争议《个人信息保护法》妥善的处理了这个争议。第三是个人信息保护基本原则来看,我们在法律适用过程当中一方面是找具体的条文,如果在具体条文没有明确规定的时候我们就有必要回归这个原则。个人信息保护基本原则我想说我们这部法律是非常丰富的,除了熟知的合法、正当、必要之外,又增加了诚信、公开、透明、品质和安全原则,第8条改变品质原则的体现。第四点是有关同意,也是具有丰富的内涵,既明确同意的要求,也列举了同意的形式,比如单独同意、书面同意等等使同意在实践当中更具有可操作性。

在学习这部法律过程当中还有很多问题值得向大家请教,第一个有关第26条人脸识别这个问题,一方面我们具体理解这个条文的时候特别是最后一句,“取得个人单独同意的除外”,这个分号分的是前面一句话还是分两句话,或者在公共场所收集个人人脸信息应当基于维护公共安全的需要,那么是不是只有这一种情形或者是取得个人同意以外不以公共安全为目的的收集行不行?这涉及到怎么理解条文或者这个分号分的是哪部分,到底分的是收集还是分后面一句的使用,这是值得研究的地方。还有对于非公共场所人脸识别的使用,人脸识别信息的使用比如说用于手机App验证个人身份或者手机开机,这些应该符合什么条件,这个一方面值得研究,二方面后续的立法,包括出人脸识别的规定要回答的问题。第二个有关第32条提到了处理敏感个人信息如果说应当取得行政许可的那么应当依照法律行政法规的规定,那么具体哪些敏感个人信息应当取得行政许可,法律给我们预留了接口,但是这个也是需要探讨的范围,比如基于人脸这些要不要获得相应的行政许可。我们知道在简政放权大背景下,要想申请一个行政许可可能确实是有一定难度的,这个时候有关部门特别是中央编办会不会在这方面充分考虑到个人信息的特殊性,基于相应的这些对于法律的后续落实或者是对后续相应法律法规、行政法规的制定给予相应的开绿灯或是给予支持的情况下也是值得我们探讨的。第三个有关第66条提到了违法所得,其实在实践当中我们怎么认定因个人信息违法违规收集所取得的收入或者违法所得我们怎么界定,这块也是值得大家研究的地方。第四个有关第69条提到了损害赔偿的问题,有违法所得的按照违法获得的利益进行计算,那么没有违法所得的或者有损失能够明确计算或者有违法所得可以明确计算的按照损失和违法所得确定,如果前面两者情形难以计算的根据实际情况确定,这个时候实际情况这里我们怎么理解,可能也需要后续的像最高法出台一些相应的司法解释给予我们明确。一方面说在司法环节,法纲可以有一个明确的指引,我相信在一些相应的学者和律师可能对这方面有深入的研究,但是我们在立法过程当中大家也充分的发表了这个意见,但是最后还是采取了一种模糊化的处理方式,对这块还需要后续我们进一步的深入研究,给后续司法解释提供一些相应的支持。

最后想说的是,网安协会专门成立了个人信息保护专家组,欢迎大家后续积极参与个人信息保护专家组的工作,我们一同努力把这部法律宣传好、贯彻好、推动落实好。

 
最新文章
相关阅读