5月25日,全国人大常委会工作报告在“下一步主要工作安排”中指出,围绕国家安全和社会治理,制定生物安全法、个人信息保护法、数据安全法。
消息一出,迅速“登顶”两会热搜榜——人们期盼已久的个人信息保护法,终于来信儿了。
(图源:视觉中国)
信息
《经济学人》杂志曾断言,“数据是新时代的石油”。千呼万唤始出来的个人信息保护法,在此种意义上,也就尤为“珍贵”。
这年头,信息裸奔已成常态。下载手机APP,要先开通其使用相册、定位的权限;用信用卡网购,个人敏感信息瞬间透明;生病入院治疗,一下手术台就接到药品推销电话;更有甚者,昨天刚去草莓园采摘,今天上网冲浪就弹出了现摘草莓的广告。
而与上述“经典”套路相对,近年来日渐兴起的大数据、云计算、物联网、人工智能、5G等新一代信息技术,更使个人数据信息、乃至生物识别信息无所遁形。
信息一抛头露面,先被互联网巨头收割一茬,随即再被智能产品从人脸、指纹、虹膜、声纹、步态、形体多角度榨取。一旦泄露,如果暂无“变脸”“变身”的打算,个人或将终身暴露在被攻击、骚扰的风险中。
此外,本次疫情中出现的不同部门或同一部门不同工作人员重复收集个人信息、人群出入商超等公共场所扫码留名也让人感到不安——病毒虽然躲过了,个人信息却做不到“百毒不侵”。
根据中国消费者协会此前调查,遭遇过个人信息泄露的群体占样本人群的85%。其中,信息泄露途径“五花八门”:经营方或不法分子故意泄露及出售(信用卡信息最低5毛钱就卖)、网络服务系统漏洞致使泄露、钓鱼网站及电话骗取。造成的影响不尽相同:轻者被短信、电话、垃圾邮件骚扰,重者财产不保,甚至生命安全也受到威胁。
不论是从规范互联网经济、信息技术有序发展,还是保障公民权益的角度切入,加强个人信息保护都势在必行。
专门立法,是其中至为关键的一步。
人脸识别技术或增加信息泄露风险(图源:解放日报)
立法
全国人大常委会法工委有关负责人表示,目前,个人信息保护法草案稿已经成形,将根据各方意见进一步完善,及早提请全国人大常委会审议。
从酝酿到问世,这部重头法律走过了漫长的历程:
2012年,全国人大常委会通过《关于加强网络信息保护的决定》,确立个人信息收集及使用的规则、网络服务提供者保护个人信息安全的义务;
2013年,修改《消费者权益保护法》;
2009年、2015年,通过刑法修正案(七)和修正案(九);
2016年,通过《网络安全法》;
2017年以来,《信息安全技术个人信息安全规范》等系列国家标准相继出台;
2020年,民法典草案将人格权独立成编,对全面保护个人隐私多有涉及。
那么,在多部法律、法规、规章均涉及个人信息保护的前提下,为何还要重磅推出个人信息保护法?
从上述法律法规的推进过程来看,中国对个人信息保护的监管力度在近年来持续加强。但若整体权衡,现有法律法规呈现分散立法状态,不具“合力”,量刑偏低,故需要一部系统、全面的法律,通过建立个人信息合理使用制度、侵害补偿、惩罚机制、设置监督机构等方式,为个人信息安全“加密”。
一位资深法律从业人士告诉岛妹,由于相关保护条款内容不集中、阐述不清晰、适用不明确、范围受局限、处罚不具体,现有法律法规的可操作性并不强:比如,公民自行公开个人信息,是否就能推定为同意他人收集使用?对于个人信息的收集和使用有无限定、如何限定?这些问题在司法实务中尚有分歧,亟待解决。
与此同时,也有学者呼吁,统一立法虽然迫切,但仍需区别对待“个人一般信息的利用”与“个人信息的滥用”。
北京师范大学法学院教授刘德良认为,中国的个人信息保护法一要促进对个人一般数据的规范利用,二要防止对个人信息数据的滥用,“不应照抄目前的欧盟个人控制主义立法模式”。
他所提及的欧盟《通用数据保护条例》规定,对于出售个人信息或利用信息进行非法活动者,罚款上限为2230万美元或涉事企业前一财年全球营业收入的4%,以较高者为准。
欧盟《通用数据保护条例》新闻图片(图源:外媒)
建言
全国两会期间,不少代表、委员也针对个人信息保护及相关立法问题建言献策。
快递实名制让个人信息“一览无遗”?全国人大代表柴闪闪就加强快递面单个人隐私保护提出建议:政府部门应在加强对快递企业内部信息运营监管的同时,加大力度推进快递企业使用隐私面单技术,为每一份“奔走”的个人信息套上“防护服”。
人脸、指纹信息易泄露?全国人大代表杨元庆表示,个人信息保护法应针对生物识别信息设置专门规定。目前欧美都有关于生物识别信息的专门规定。
针对涉疫个人信息的处置,有代表建议在疫情缓解后应尽量封存、销毁相关信息;有委员呼吁,应对疫情期间采集的个人信息设立退出机制,个人信息保护法应充分考虑不同应用场景、对个人信息进行分类分级保护。
全国政协委员、中华全国律师协会副会长迟日大表示,个人信息保护法在制度设计上应注意如下3方面:
一是在个人信息的收集上,应明确坚持最小化收集原则,同时可借助大数据等技术手段探索建立统一的公民个人信息平台;二是强化行政机关、事业单位等公共部门的自我规制义务;三是探索完善个人信息非损害类侵权行为的救济途径,要明确个人信息保护执法机关,探索建立全国统一的个人信息侵权举报平台。
法律的生命力在于实施。个人信息保护法成形之后,更需严格执法,确保司法公正,加强行业自律,畅通社会监督渠道。这既关乎商业伦理、行政规制,更关乎每个人的切身利益。
文/点苍居士