《個(gè)人信息保護(hù)法》正式發(fā)布 確立多項(xiàng)重要法律原則

十三屆全國(guó)人大常委會(huì)第三十次會(huì)議表決通過《中華人民共和國(guó)個(gè)人信息保護(hù)法》。這是一部極為重要的、也是與人民生活緊密聯(lián)系的個(gè)人信息保護(hù)領(lǐng)域的法律，引起了社會(huì)的廣泛關(guān)注。

《個(gè)人信息保護(hù)法》正式發(fā)布后，《人民郵電》報(bào)記者專訪了浙江大學(xué)王春暉教授，請(qǐng)他對(duì)《個(gè)人信息保護(hù)法》進(jìn)行深入解讀。

觀點(diǎn)摘要：

1.這部法律的亮點(diǎn)在總則部分第六條的“兩個(gè)最小”原則：影響最小、范圍最小。這是個(gè)人信息處理應(yīng)遵循的核心原則，尤其是處理目的的“最小范圍”，是禁止“過度收集個(gè)人信息”的關(guān)鍵要點(diǎn)。

2.處理敏感個(gè)人信息是在履行“告知-知情-同意”原則的基礎(chǔ)上，只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施的情形下，個(gè)人信息處理者方可處理敏感個(gè)人信息。

3.《個(gè)人信息保護(hù)法》第五條引入了“誠(chéng)信原則”，劍指“大數(shù)據(jù)殺熟”，被稱為“帝王原則”。但它的內(nèi)涵和外延都不確定，且涵蓋的范圍極大，遠(yuǎn)遠(yuǎn)超過其他一般條款的規(guī)定，操作起來可能比較困難。

4.針對(duì)大企業(yè)特別建立的“守門人”制度有可能被“濫用”。因?yàn)檫@種“守門人”制度賦予了大型互聯(lián)網(wǎng)平臺(tái)一種“執(zhí)法權(quán)”，大型互聯(lián)網(wǎng)平臺(tái)是否有能力對(duì)平臺(tái)內(nèi)其他經(jīng)營(yíng)者的個(gè)人信息處理的合規(guī)情況依法展開調(diào)查?對(duì)于這一點(diǎn)存在疑問。建議國(guó)家有關(guān)部門出臺(tái)專門針對(duì)“守門人”制度的規(guī)范，讓“守門人”這項(xiàng)制度本身有法可依。

記者：在《個(gè)人信息保護(hù)法》出臺(tái)之前，其實(shí)已經(jīng)有多部相關(guān)法律和規(guī)定，比如《網(wǎng)絡(luò)安全法》《民法典》《數(shù)據(jù)安全法》等，為什么還要出臺(tái)《個(gè)人信息保護(hù)法》?

王春暉：黨的十八大以來，國(guó)家高度重視網(wǎng)絡(luò)與數(shù)據(jù)安全以及個(gè)人信息保護(hù)領(lǐng)域的立法。隨著數(shù)字化、網(wǎng)絡(luò)化和智能化快速發(fā)展，因個(gè)人信息被過度收集、濫用、泄露，導(dǎo)致公民權(quán)益受到侵害的事件時(shí)有發(fā)生，特別是2016年8月發(fā)生的山東姑娘徐玉玉因個(gè)人信息泄露導(dǎo)致被騙身亡案件，令人觸目驚心。因此，在現(xiàn)行個(gè)人信息保護(hù)的法律框架上制定一部具有系統(tǒng)性、針對(duì)性、可操作性和更加體系化的專門的個(gè)人信息保護(hù)法，是社會(huì)各界廣泛關(guān)注的焦點(diǎn)，而且立法呼聲也很高?！秱€(gè)人信息保護(hù)法》正是在這樣的背景下出臺(tái)的。

記者：《個(gè)人信息保護(hù)法》確立了哪幾項(xiàng)重要的法律原則?

王春暉：《個(gè)人信息保護(hù)法》確立多項(xiàng)重要的法律原則，如遵循合法、正當(dāng)、必要和誠(chéng)信原則;采取對(duì)個(gè)人權(quán)益影響最小的方式，限于實(shí)現(xiàn)處理目的的最小范圍原則等。但是《個(gè)人信息保護(hù)法》總則部分第六條有兩個(gè)“最小原則”，這是個(gè)人信息處理應(yīng)遵循的核心原則，尤其是處理目的的“最小范圍”，這是禁止“過度收集個(gè)人信息”的關(guān)鍵要點(diǎn)，因?yàn)閭€(gè)人信息處理者只有在嚴(yán)格遵守處理目的的“最小范圍”的前提下，即“非必要不收集”的情況下，才能確保其采取對(duì)個(gè)人權(quán)益影響最小的方式。

記者：《個(gè)人信息保護(hù)法》構(gòu)建了以“告知-同意”為核心的個(gè)人信息處理規(guī)則，您怎么理解這項(xiàng)規(guī)則?

王春暉：應(yīng)當(dāng)指出，個(gè)人信息處理者“告知”的目的是確保被告知者的充分“知情”，只有被告知者在充分知情的前提下才能自愿、明確地作出決定。因此，《個(gè)人信息保護(hù)法》第十四條特別強(qiáng)調(diào)了“基于個(gè)人同意處理個(gè)人信息的，該同意應(yīng)當(dāng)由個(gè)人在充分知情的前提下自愿、明確作出”，即“告知-知情-同意”。

記者：如何認(rèn)定《個(gè)人信息保護(hù)法》中的“敏感個(gè)人信息”及其保護(hù)規(guī)則?

王春暉：《個(gè)人信息保護(hù)法》沒有對(duì)自然人的隱私信息做出專門規(guī)定，而是將個(gè)人信息分為敏感信息和非敏感信息，并設(shè)專節(jié)設(shè)置了“敏感個(gè)人信息的處理規(guī)則”，對(duì)“敏感個(gè)人信息”的概念和敏感個(gè)人信息的處理規(guī)則作出了明確具體的規(guī)定。該法對(duì)處理敏感個(gè)人信息作出了嚴(yán)格的限制性規(guī)定，即在履行“告知-知情-同意”原則的基礎(chǔ)上，只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施的情形下，個(gè)人信息處理者方可處理敏感個(gè)人信息。

記者：“大數(shù)據(jù)殺熟”是人們普遍關(guān)注的問題，您怎么看這一點(diǎn)?

王春暉：《個(gè)人信息保護(hù)法》特別針對(duì)“大數(shù)據(jù)殺熟”“用戶畫像”“算法推薦”等涉及個(gè)人信息自動(dòng)化決策的熱點(diǎn)問題作出了規(guī)范，并明確要求處理個(gè)人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠(chéng)信原則，不得通過誤導(dǎo)、欺詐、脅迫等方式處理個(gè)人信息。值得注意的是，《個(gè)人信息保護(hù)法》第五條引入了“誠(chéng)信原則”，“誠(chéng)信原則”是“誠(chéng)實(shí)信用原則”的簡(jiǎn)稱，這是民法中最重要的一項(xiàng)原則，被稱為“帝王原則”。這一原則要求所有個(gè)人信息的處理者在不損害個(gè)人信息權(quán)益的前提下，追求自己的合法利益。

記者：普通用戶在個(gè)人信息處理活動(dòng)中具有哪些權(quán)利，如何實(shí)現(xiàn)?

王春暉：《個(gè)人信息保護(hù)法》全面構(gòu)建了個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利。自然人對(duì)其個(gè)人信息享有的決定權(quán)，包括向個(gè)人信息處理者撤回同意的權(quán)利、限制或者拒絕他人對(duì)其個(gè)人信息進(jìn)行處理的權(quán)利，實(shí)際上就是自然人對(duì)個(gè)人信息的處理享有“最終決定權(quán)”。然而，面對(duì)大型數(shù)字平臺(tái)的優(yōu)勢(shì)地位，處于弱勢(shì)地位的個(gè)人如何實(shí)現(xiàn)基于個(gè)人意志對(duì)其個(gè)人信息享有的決定權(quán)，這需要夯實(shí)大型數(shù)字平臺(tái)的個(gè)人信息保護(hù)合規(guī)制度體系。

記者：對(duì)于目前存在的“一攬子授權(quán)”“強(qiáng)制同意”等問題，在使用APP的時(shí)候不同意不讓用，這種行為構(gòu)成侵權(quán)嗎?

王春暉：表面來看，移動(dòng)應(yīng)用APP運(yùn)營(yíng)者似乎告知了用戶相關(guān)權(quán)利，用戶可以選擇不授權(quán)，但這樣做的結(jié)果是導(dǎo)致APP無(wú)法使用。特別是，當(dāng)這種做法成為行業(yè)“潛規(guī)則”的時(shí)候，除了被迫同意，用戶幾乎沒有其他選擇。對(duì)此，《個(gè)人信息保護(hù)法》特別強(qiáng)調(diào)，個(gè)人信息處理者不得以個(gè)人不同意處理其個(gè)人信息或者撤回同意為由，拒絕提供產(chǎn)品或者服務(wù)。

記者：《個(gè)人信息保護(hù)法》要求大型互聯(lián)網(wǎng)平臺(tái)成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督，您怎樣看這項(xiàng)規(guī)定?

王春暉：鑒于超級(jí)平臺(tái)的特殊性，《個(gè)人信息保護(hù)法》要求超級(jí)平臺(tái)成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)，對(duì)個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督。本人對(duì)此表示擔(dān)憂，這可能會(huì)出現(xiàn)既不“獨(dú)立”也不“監(jiān)督”的情形，就好似《公司法》設(shè)立的獨(dú)立董事制度一樣，我國(guó)的獨(dú)立董事制度在很多情形下是既不“獨(dú)立”也不“懂事”，不能真正起到監(jiān)督的作用，其主要原因是我國(guó)沒有建立第三方的獨(dú)立董事。建議由國(guó)家網(wǎng)信部門成立或指定第三方組織履行對(duì)平臺(tái)個(gè)人信息處理活動(dòng)的獨(dú)立監(jiān)督職能。

記者：這部法律中特別提到了“守門人”制度，為什么會(huì)有這種規(guī)定?

王春暉：我本人擔(dān)心，這項(xiàng)制度有可能被“濫用”。因?yàn)檫@種“守門人”制度賦予了大型互聯(lián)網(wǎng)平臺(tái)一種“執(zhí)法權(quán)”，大型互聯(lián)網(wǎng)平臺(tái)是否有能力對(duì)平臺(tái)內(nèi)其他經(jīng)營(yíng)者的個(gè)人信息處理情況依法展開合規(guī)調(diào)查，我本人存在很大的疑問。建議國(guó)家有關(guān)部門出臺(tái)專門針對(duì)“守門人”制度的規(guī)范，讓“守門人”這項(xiàng)制度本身有法可依。

記者：在執(zhí)法層面，該法指出，國(guó)家網(wǎng)信部門和國(guó)務(wù)院有關(guān)部門在各自職責(zé)范圍內(nèi)負(fù)責(zé)個(gè)人信息保護(hù)和監(jiān)督管理工作，這種方式會(huì)對(duì)執(zhí)法產(chǎn)生什么樣的影響?

王春暉：實(shí)際上，《個(gè)人信息保護(hù)法》關(guān)于履行個(gè)人信息保護(hù)監(jiān)管職責(zé)的規(guī)定還是很清晰的，首先，國(guó)家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)個(gè)人信息保護(hù)工作和相關(guān)監(jiān)督管理工作;其次，國(guó)務(wù)院有關(guān)部門依法在各自職責(zé)范圍內(nèi)負(fù)責(zé)個(gè)人信息保護(hù)和監(jiān)督管理工作;最后，縣級(jí)以上地方人民政府有關(guān)部門的個(gè)人信息保護(hù)和監(jiān)督管理職責(zé)，按照國(guó)家有關(guān)規(guī)定確定。此外，《個(gè)人信息保護(hù)法》規(guī)定，任何組織、個(gè)人有權(quán)對(duì)違法個(gè)人信息處理活動(dòng)向履行個(gè)人信息保護(hù)職責(zé)的部門進(jìn)行投訴、舉報(bào)。這一規(guī)定在實(shí)際執(zhí)行中會(huì)出現(xiàn)不知道向哪家機(jī)構(gòu)投訴、舉報(bào)的情形，建議國(guó)家設(shè)立專門的國(guó)家一體化的個(gè)人信息保護(hù)投訴、舉報(bào)平臺(tái)，統(tǒng)一受理違法個(gè)人信息處理活動(dòng)。(王春暉 方正梁)

關(guān)鍵詞： 個(gè)人信息保護(hù)法 大數(shù)據(jù)殺熟 禁止 自動(dòng)化決策