經(jīng)濟(jì)觀察報(bào) 記者 沈怡然 《中華人民共和國個(gè)人信息保護(hù)法》(下稱《個(gè)人信息保護(hù)法》)將在11月1日落地實(shí)施,這是中國首部針對(duì)個(gè)人信息權(quán)益進(jìn)行保護(hù)的法律。該法與已施行的《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》,共同構(gòu)成了中國網(wǎng)絡(luò)法律體系的“三駕馬車”,管控之嚴(yán),堪比歐盟GDPR(《通用數(shù)據(jù)保護(hù)條例》)。
9月3日,記者專訪了中國人民大學(xué)法學(xué)院教授張新寶。張新寶專注民法領(lǐng)域,多年研究個(gè)人信息保護(hù),全程參與了《個(gè)人信息保護(hù)法》的立法工作,同時(shí),還參與民法典編纂工作,擔(dān)任中國法學(xué)會(huì)民法典起草領(lǐng)導(dǎo)小組成員和侵權(quán)責(zé)任編召集人。
張新寶表示,關(guān)于個(gè)人信息和隱私保護(hù)的法學(xué)研究,已經(jīng)在學(xué)術(shù)界醞釀多年,終于在2018年開始形成立法。中國的互聯(lián)網(wǎng)經(jīng)濟(jì)發(fā)展深入,智能硬件、算法技術(shù)已經(jīng)平民化,個(gè)人信息的收集和處理變得更為普遍,同時(shí),數(shù)據(jù)處理者侵害個(gè)人權(quán)益的問題,變得越來越突出。
疫情期間,個(gè)人信息再一次被大面積采集和處理,令決策者看到了保護(hù)個(gè)人信息的必要性,加速推進(jìn)了立法。
該法主要針對(duì)個(gè)人信息的處理活動(dòng)。個(gè)人信息,包括個(gè)人的身份、消費(fèi)、金融信息等,以及人臉、語音等生物信息。個(gè)人信息的處理,包括收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除等。
該法落地后,個(gè)人因權(quán)益受害可去投訴個(gè)人信息處理的侵權(quán)者,不再是無法可依,還對(duì)人臉識(shí)別監(jiān)控、用戶畫像、算法歧視等行為特別進(jìn)行了規(guī)范。《個(gè)人信息保護(hù)法》的適用范圍,并非針對(duì)某一類特定企業(yè),凡進(jìn)行個(gè)人信息處理的企事業(yè)單位、國家機(jī)關(guān)均在其中。
張新寶表示,新法落地后,信息處理者的責(zé)任和義務(wù)、合規(guī)成本必然會(huì)提高,但也是走向合理規(guī)范的一個(gè)過程。過去互聯(lián)網(wǎng)經(jīng)濟(jì)的野蠻生長(zhǎng),已經(jīng)給公眾帶來許多問題,國家必須要將其控制在一個(gè)正確、健康的范圍內(nèi)去發(fā)展,讓它不僅高速發(fā)展,還能健康發(fā)展,這也是立法的初衷。
經(jīng)濟(jì)觀察報(bào):《個(gè)人信息保護(hù)法》醞釀多年,是什么契機(jī)推動(dòng)了它的出臺(tái)?
張新寶:新冠肺炎疫情期間,公共場(chǎng)所大面積應(yīng)用人臉識(shí)別監(jiān)控設(shè)備,企業(yè)采用大數(shù)據(jù)決策,有的甚至是濫用這些技術(shù),同時(shí),政府通過健康寶、行程碼等手段采集個(gè)人行動(dòng)信息。其中很多信息對(duì)個(gè)人是高度敏感、涉及人身安全的。在這個(gè)過程中,數(shù)據(jù)處理者侵害個(gè)人權(quán)益的問題,變得越來越突出,這讓決策者意識(shí)到及時(shí)保護(hù)個(gè)人信息的必要性。
經(jīng)濟(jì)觀察報(bào):這是否也是立法的基本初衷?
張新寶:是的,個(gè)人信息保護(hù)在2018年之前處于基礎(chǔ)理論研究階段,到2018年開始形成法律框架,始終在關(guān)注數(shù)據(jù)處理者侵害個(gè)人權(quán)益的問題。在2018年,我們發(fā)現(xiàn),互聯(lián)網(wǎng)經(jīng)濟(jì)開始深入到社會(huì)經(jīng)濟(jì)的每一個(gè)角落,智能硬件和算法技術(shù)正在變得平民化、普遍化,甚至變得廉價(jià)。這一過程中,國家機(jī)關(guān)和企業(yè)大量收集和處理個(gè)人信息,也成為了一個(gè)普遍現(xiàn)象。
市政運(yùn)用監(jiān)控技術(shù)加強(qiáng)城市管理,一些頭部企業(yè)還承擔(dān)了信息基礎(chǔ)設(shè)施的角色。
從產(chǎn)業(yè)來看,互聯(lián)網(wǎng)經(jīng)濟(jì)中的頭部企業(yè),掌握了個(gè)人的消費(fèi)信息、信用信息、金融信息,甚至還將信息打包提供給第三方;它們運(yùn)用數(shù)據(jù)進(jìn)行自動(dòng)化決策,收集得信息越多、處理得層次越深、越有利于產(chǎn)品和服務(wù)。但是,這會(huì)對(duì)個(gè)人安全造成極大威脅。
經(jīng)濟(jì)觀察報(bào):決策者的推動(dòng)下,該法的出臺(tái)是早于業(yè)界預(yù)期的?
張新寶:并不是比原計(jì)劃要早,當(dāng)初并沒有規(guī)定出臺(tái)時(shí)間,只是疫情后推進(jìn)的速度更快。從2020年10月至2021年6月,國家僅用10個(gè)月時(shí)間完成了法案的一審到三審,原本可能于今年6月正式公布,考慮到時(shí)間點(diǎn)與《數(shù)據(jù)安全法》重合,以及該法修改的難度,就延后至8月公布。
經(jīng)濟(jì)觀察報(bào):簡(jiǎn)單來說,該法是如何保護(hù)公眾個(gè)人利益的?
張新寶:《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息進(jìn)行分級(jí)分類,分為敏感和一般,成年人和未成年人,不同分類保護(hù)程度不一樣。簡(jiǎn)單說,就是強(qiáng)化對(duì)敏感信息的保護(hù),尤其是對(duì)不滿14周歲未成年人個(gè)人信息的保護(hù)。
不同信息對(duì)個(gè)人影響不同。例如“我叫張新寶,是人民大學(xué)教授”屬于一條標(biāo)準(zhǔn)的個(gè)人信息,法律生效后,數(shù)據(jù)處理者仍可長(zhǎng)期保存和應(yīng)用。但是,我在哪個(gè)銀行賬戶有存款、資金往來,則屬于敏感信息,法律生效后,原則上數(shù)據(jù)處理者不能收集這些信息。如需處理需要經(jīng)本人單獨(dú)同意,而且只能用于特定目的,用完后不可用到別處或出現(xiàn)泄漏,否則就屬于違法行為。
經(jīng)濟(jì)觀察報(bào):對(duì)人臉、聲音等個(gè)人生物信息的保護(hù),法律也作出了什么規(guī)范嗎?
張新寶:人臉識(shí)別是本法規(guī)范的一個(gè)重要內(nèi)容,也是相對(duì)于歐盟GDPR法案的特色之處。法律規(guī)定,人臉等生物信息屬于敏感信息。簡(jiǎn)單說,對(duì)于人臉信息的收集和處理,要有合法依據(jù),目的必須是服務(wù)公共安全;同時(shí),信息處理者還要提供替代措施,比如工作單位考勤,不能強(qiáng)制性要求員工進(jìn)行人臉圖像采集和比對(duì),對(duì)拒絕者,要有提供身份證核對(duì)等一些替代措施。
之所以將人臉識(shí)別納入管控,是看到在人工智能技術(shù)的進(jìn)步下,人臉識(shí)別首先在中國實(shí)現(xiàn)了大規(guī)模應(yīng)用。以人臉識(shí)別為代表,法律傳達(dá)了對(duì)整個(gè)生物識(shí)別技術(shù)的規(guī)范,還包括虹膜識(shí)別、語音識(shí)別、指紋識(shí)別、血型識(shí)別等,只是沒有一一列入條文進(jìn)行列舉。
經(jīng)濟(jì)觀察報(bào):若被機(jī)構(gòu)侵害權(quán)益,個(gè)人可以起訴嗎?
張新寶:原則上可以,但實(shí)際上一些情況下起訴對(duì)個(gè)人可能是不經(jīng)濟(jì)的。《個(gè)人信息保護(hù)法》最新規(guī)定,若侵權(quán)情況嚴(yán)重,可以提起公益訴訟。針對(duì)違法處理個(gè)人信息的行為、受害人人數(shù)眾多,個(gè)人可向三大類機(jī)構(gòu)進(jìn)行起訴,包括人民檢察院、法律規(guī)定的消費(fèi)者組織、由國家網(wǎng)信部門確定的組織。這些機(jī)構(gòu)再針對(duì)性地提起個(gè)人信息保護(hù)公益訴訟。過去,個(gè)人通常也是采取投訴的辦法,但如今更做到了有法可依。
經(jīng)濟(jì)觀察報(bào):作為數(shù)據(jù)處理者,該法會(huì)對(duì)企業(yè)產(chǎn)生哪些影響?
張新寶:最大的影響是企業(yè)合規(guī)成本會(huì)提高。要達(dá)到《個(gè)人信息保護(hù)法》合規(guī)標(biāo)準(zhǔn),企業(yè)首先要具備相應(yīng)的能力,需要增加法務(wù)、安全方面的人員配置和相應(yīng)機(jī)制,還要接受網(wǎng)信部門定期或非定期的監(jiān)管,這些都會(huì)對(duì)企業(yè)生產(chǎn)經(jīng)營(yíng)造成影響。
其中頭部企業(yè)承擔(dān)了更多責(zé)任和義務(wù)。法律在二審稿中又加入了一些條文。其中一項(xiàng)是在今年年初,我作為專家向立法部門提出的,簡(jiǎn)單說,提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者,相比一般企業(yè),要做到更高標(biāo)準(zhǔn)的信息合規(guī)處理,同時(shí),還要明確平臺(tái)上商戶企業(yè)的合規(guī)。
例如,電子商務(wù)企業(yè)的平臺(tái)上,有成千上萬的小商戶,政府無法一一進(jìn)行管理,法律將管理義務(wù)交由平臺(tái)企業(yè),大企業(yè)要制定相應(yīng)的平臺(tái)規(guī)則,且公正、公平、公開地對(duì)小商戶進(jìn)行規(guī)范。
經(jīng)濟(jì)觀察報(bào):法律對(duì)政府和事業(yè)單位作出了哪些規(guī)范?
張新寶:對(duì)事業(yè)單位的規(guī)定和對(duì)企業(yè)一樣。對(duì)政府的規(guī)定有所區(qū)別,比如國家機(jī)關(guān)采集個(gè)人信息,需要有特別的法律依據(jù),需要組織專門機(jī)構(gòu)處理信息,并保證信息的安全;另外,國家機(jī)關(guān)不適用公益訴訟。健康寶和行程碼是有法律法規(guī)依據(jù)的,政府的責(zé)任是要保證數(shù)據(jù)安全,待疫情過后停止使用這樣的個(gè)人信息,進(jìn)行后續(xù)的處理和銷毀。
經(jīng)濟(jì)觀察報(bào):作為立法參與者,您如何回應(yīng)產(chǎn)業(yè)對(duì)該法的一些關(guān)切、甚至擔(dān)憂?
張新寶:其實(shí)立法前專家組就評(píng)估過法案的產(chǎn)業(yè)影響,也按照民主程序,征求頭部企業(yè)機(jī)構(gòu)的意見。我認(rèn)為,企業(yè)其實(shí)是沒有必要擔(dān)憂的。首先,法律的監(jiān)管,并非針對(duì)某個(gè)行業(yè)或者某個(gè)企業(yè),所有企業(yè)的成本都在增加,是在平等基礎(chǔ)上進(jìn)行競(jìng)爭(zhēng)的;其次,很多產(chǎn)品和服務(wù)都沒有統(tǒng)一定價(jià),企業(yè)可以通過定價(jià)機(jī)制來化解成本。長(zhǎng)遠(yuǎn)來看,合規(guī)對(duì)企業(yè)發(fā)展是有利的。做到合規(guī),處理信息的質(zhì)量更高,也是一種信譽(yù)的保證,方便企業(yè)之間的交易,以及出海做國際生意。
經(jīng)濟(jì)觀察報(bào):根本上說,這部法的價(jià)值導(dǎo)向是什么?
張新寶:立法的目的是多維的,首先是保護(hù)個(gè)人信息,但不單是保護(hù),還是規(guī)范個(gè)人信息處理活動(dòng),促進(jìn)個(gè)人信息的合理利用。如果在數(shù)據(jù)的收集、處理過程中不會(huì)傷害公眾,那么經(jīng)過處理的個(gè)人信息數(shù)據(jù)仍然是科技創(chuàng)新、經(jīng)濟(jì)發(fā)展的“原料”,國家也對(duì)企業(yè)創(chuàng)造的財(cái)富予以保護(hù)。
之所以前幾年立法進(jìn)展稍慢,是和產(chǎn)業(yè)發(fā)展水平有關(guān)。法學(xué)家的認(rèn)識(shí)應(yīng)該超越他人走得更前,但法律永遠(yuǎn)是走在經(jīng)濟(jì)發(fā)展的后面,只有等到產(chǎn)業(yè)發(fā)展到一定程度,再運(yùn)用法律加以規(guī)范。
這部《個(gè)人信息保護(hù)法》,代表了價(jià)值取向、法律制度基本框架,具體到如何實(shí)施,需要大量的配套細(xì)則。細(xì)則主要由網(wǎng)信管理部門制定,目前已經(jīng)公布了一些,但是還有內(nèi)容尚未處理完善的。即便到11月1日正式實(shí)施,配套細(xì)則也未必制定完全,其間也要向各方征求意見,工作還在持續(xù)中。
京公網(wǎng)安備 11010802028547號(hào)