文：張雅婷

來源： 21世紀經(jīng)濟報道(dào)  

上網痕迹被(bèi)平台收集分析推送廣告、網站制定“霸王條款”随意變更VIP會(huì)員規則、公民的身份證号、個人行蹤等被(bèi)洩露倒賣……這(zhè)些亂象有了破解之道(dào)。

10月13日，個人信息保護法草案提請十三屆全國(guó)人大常委會(huì)第二十二次會(huì)議初次審議。

此次草案明确了适用範圍，健全了個人信息處理規則，與民法典有關規定銜接，規定了個人信息處理活動中個人的各項權利，對(duì)敏感個人信息給出定義，成(chéng)爲公民個體權利的延伸。

上網痕迹被(bèi)平台收集分析推送廣告、網站制定“霸王條款”随意變更VIP會(huì)員規則、公民的身份證号、個人行蹤等被(bèi)洩露倒賣……這(zhè)些亂象有了破解之道(dào)。對(duì)于互聯網企業而言，將(jiāng)面(miàn)臨一場提升用戶信息保護的大考，從懲戒力度來看，大型互聯網企業監管愈發(fā)趨嚴。

堅持立足國(guó)情與借鑒國(guó)際經(jīng)驗相結合，草案充分借鑒有關國(guó)際組織和國(guó)家、地區的有益做法。面(miàn)對(duì)越來越激烈的國(guó)際競争，草案呼應了網絡信息時代對(duì)跨境經(jīng)濟保護的訴求，維護數據安全與國(guó)家利益。

明确敏感個人信息定義

數據顯示，截至2020年3月，我國(guó)互聯網用戶已達9億，互聯網網站超過(guò)400萬個，應用程序超300萬個，個人信息的收集、使用更爲廣泛。與此同時，随意收集、違法獲取、過(guò)度使用、非法買賣個人信息，利用個人信息侵擾人民群衆生活安甯、危害人民群衆生命健康和财産安全等問題仍十分突出。

中國(guó)政法大學(xué)法律碩士學(xué)院院長(cháng)、教授許身健認爲，此次草案可以算作爲“回應型立法”，在當前信息化社會(huì)及時回應公衆的需要。

“個人信息保護法，是民法典中的人格權關于個人信息和隐私權在個人信息互聯網保護範圍内的一個重要延伸，它實際是公民個體權利的延伸。”中國(guó)政法大學(xué)傳播法研究中心副主任朱巍如此定義。

草案與民法典的有關規定相銜接，明确在個人信息處理活動中個人的各項權利，包括知情權、決定權、查詢權、更正權、删除權等，并要求個人信息處理者建立個人行使權利的申請受理和處理機制。

之前對(duì)于一般個人信息、個人敏感信息、私密信息三者，法律上還(hái)缺乏清晰的界分。

草案則明确了敏感個人信息的定義：一旦洩露或者非法使用，可能(néng)導緻個人受到歧視或者人身、财産安全受到嚴重危害的個人信息，包括種(zhǒng)族、民族、宗教信仰、個人生物特征、醫療健康、金融賬戶、個人行蹤等信息。

同時，草案設專節對(duì)處理敏感個人信息作出更嚴格的限制，隻有在具有特定的目的和充分的必要性的情形下，方可處理敏感個人信息，并且應當取得個人的單獨同意或者書面(miàn)同意。

此前，有司法解釋曾對(duì)個人敏感信息做出規定。2017年5月，最高法、最高檢發(fā)布《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事(shì)案件适用法律若幹問題的解釋》，規定非法獲取公民軌迹信息等個人敏感信息50條即可入罪。

“《刑法》的适用範圍太窄了，沒(méi)有辦法擴展到敏感個人信息在民事(shì)領域和行政管理領域，草案則將(jiāng)敏感個人信息做了一個定性，包括生物識别、金融賬号、個人行蹤等等，將(jiāng)上述司法解釋進(jìn)行了細化。”朱巍說。

盡管當前公民個人信息受到侵害的事(shì)件頻發(fā)，但不少人對(duì)于個人信息的保護并不是特别敏感。

許身健認爲，個人信息保護法出台，是社會(huì)治理的同時，也將(jiāng)是一場大型的普法教育，將(jiāng)通過(guò)普法宣傳、使用法律執法、懲戒侵害行爲等提升全民的個人信息權利意識。

“我國(guó)個人信息保護法草案具有一定的前瞻性，但相比而言，還(hái)有一些需要完善之處，應當完善相應的配套制度。”許身健建議，對(duì)于自然人的個人信息查詢權、複制權、更正權和删除權的行使需要作出更加具體細緻的規定，還(hái)有個人信息的境内儲存和安全評估等也需要進(jìn)一步詳細規範，明确侵害個人信息的賠償範圍和計算方法等。

借鑒國(guó)際經(jīng)驗利于跨境保護

從上世紀70年代開(kāi)始，經(jīng)濟合作與發(fā)展組織、亞太經(jīng)濟合作組織和歐盟等先後(hòu)出台了個人信息保護相關準則、指導原則和法規，有140多個國(guó)家和地區制定了個人信息保護方面(miàn)的法律。

2018年5月，歐盟正式實施《通用數據保護條例（The General Data Protection Regulation）》（“GDPR”），取代此前的《歐洲數據保護指令》。“GDPR”被(bèi)業内認爲是目前全球主要經(jīng)濟體中對(duì)數據信息保護管轄範圍最寬、立法新意最多、處罰最爲嚴厲的規範，适用範圍是在歐洲設立并在其營業活動中處理個人數據的任何組織機構，且具有域外效力。

“從草案來看，充分借鑒了國(guó)外的一些經(jīng)驗。”許身健認爲，草案借鑒了較多“GDPR”的相關規範。

例如，“GDPR”中對(duì)“敏感個人數據”的定義擴大到包括基因數據和生物特征數據，作爲監管機構的數據保護機關可以對(duì)違反“GDPR”的組織和機構作出其當年全球營業額4%或者2000萬歐元（以孰高者爲準）的罰款決定，均在草案中有相關體現。

“草案可以視爲與國(guó)際接軌的一個延伸，美國(guó)、澳大利亞、新西蘭、新加坡等地均修改了個人信息保護法，所以我們如何完善、适用法律與國(guó)際接軌，也是個人信息保護法出台的一個重要原因。”朱巍表示。

在當前社會(huì)中，信息與數據不僅是數字經(jīng)濟的關鍵要素，也是信息時代重要的生産要素。在我國(guó)，數據安全更是被(bèi)上升爲與國(guó)家安全同等重要的地位，也成(chéng)爲國(guó)際競争間的關鍵。

“中國(guó)很多互聯網公司具有跨國(guó)性，法律上也需要相應地對(duì)中國(guó)企業進(jìn)行保護，維護國(guó)家利益。”許身健認爲，草案呼應了網絡信息時代對(duì)經(jīng)濟保護的相關訴求。

草案明确，關鍵信息基礎設施運營者和處理個人信息達到國(guó)家網信部門規定數量的處理者，确需向(xiàng)境外提供個人信息的，應當通過(guò)國(guó)家網信部門組織的安全評估；對(duì)于其他需要跨境提供個人信息的，規定了經(jīng)專業機構認證等途徑。草案對(duì)跨境提供個人信息的“告知—同意”作出更嚴格的要求。對(duì)從事(shì)損害我國(guó)公民個人信息權益等活動的境外組織、個人，以及在個人信息保護方面(miàn)對(duì)我國(guó)采取不合理措施的國(guó)家和地區，規定了可以采取的相應措施。

此次草案還(hái)完善了個人信息跨境提供規則，明确了個人信息處理活動中個人的權利和處理者義務，并明确了履行個人信息保護職責的部門。

許身健表示，中國(guó)互聯網産業走出去是重要方面(miàn)，但其他國(guó)家的平台進(jìn)入中國(guó)來，要遵守中國(guó)法律，特别是關于個人信息保護方面(miàn)的特殊規定，這(zhè)是與國(guó)際接軌的一個重要表現。

互聯網商業模式迎考

當前已全面(miàn)進(jìn)入到互聯網經(jīng)濟的下半場，幾乎所有的網絡服務推出都(dōu)與個人信息有關。

剛與朋友聊旅遊，手機轉眼就推送機票廣告，明明隻是在電商平台上搜索過(guò)某樣(yàng)商品，打開(kāi)另一款資訊App卻出現相同的廣告……越來越精準的個性化推送，讓不少人感到困惑。

“安甯權是隐私權和個人信息保護的核心，也是老百姓最關心的一個問題。什麼(me)情況下可以將(jiāng)我的大數據用作商業用途？”朱巍表示，此次草案中涉及的不僅是個人信息保護的問題，還(hái)涉及到廣告法。

草案規定，用戶可以要求平台不推送個性化廣告。個人有權拒絕個人信息處理者僅通過(guò)自動化決策的方式作出決定。通過(guò)自動化決策方式進(jìn)行商業營銷、信息推送，應當同時提供不針對(duì)個人特征的選項。

“這(zhè)裡(lǐ)既包括廣告，也涉及大數據殺熟。如何從個人信息中剝離出大數據進(jìn)行合法使用，是草案的重要意義之一。”朱巍表示，在使用網絡過(guò)程中，用戶的權益相對(duì)而言變得很小，而且被(bèi)侵權的方式很隐晦，如果沒(méi)有一個原則性的法律去保障，企業可能(néng)將(jiāng)随著(zhe)科技的進(jìn)一步發(fā)展而開(kāi)啓“潘多拉魔盒”，對(duì)用戶造成(chéng)不利影響。

個人信息保護與大數據利用之間的關系如何平衡，曾有相關司法判例。玩抖音刷出前女友？微信讀書信息默認開(kāi)放？21世紀經(jīng)濟報道(dào)8月報道(dào)，北京互聯網法院的一審判決，認定微信讀書、抖音兩(liǎng)款APP均有侵害用戶個人信息的情形。

兩(liǎng)個案件均借鑒了尚未實施的民法典的相關條例，微信讀書案體現了對(duì)互聯網時代人格權保護精神，抖音案則將(jiāng)隐私權和個人信息的考量限定在具體的網絡場景中。

在上述案件中，如何判定侵犯個人信息權，是否滿足用戶的知情、同意成(chéng)爲關鍵。因知情、同意還(hái)曾引發(fā)質疑的，還(hái)有各類網站制定“霸王條款”随意變更VIP會(huì)員規則。

此次草案則确立以“告知—同意”爲核心的個人信息處理一系列規則，要求處理個人信息應當在事(shì)先充分告知的前提下取得個人同意，并且個人有權撤回同意；重要事(shì)項發(fā)生變更的應當重新取得個人同意；不得以個人不同意爲由拒絕提供産品或者服務。

實際上，對(duì)于互聯網企業的相關監管一直在路上。

2019年，工信部、國(guó)家網信辦等多部門已聯合開(kāi)展了貫穿全年的APP個人信息專項治理工作，2020年仍在持續中。被(bèi)公開(kāi)的企業違規違法行爲，多集中在私自收集個人信息、過(guò)度索取權限、私自共享給第三方等方面(miàn)。

今年5月，江蘇淮安警方破獲了一起(qǐ)特大販賣公民個人信息案，共抓獲26名嫌疑人，涉案金額2000多萬元。其中，建設銀行員工丁某以每條80-100元不等的價格，幫忙查詢銀行卡信息，一年黑色收入超30萬元。

“個人信息很容易被(bèi)濫用，甚至被(bèi)買賣，現在草案加大了懲戒的力度，對(duì)違法行爲賦以嚴格的法律責任。”許身健說，有互聯網企業早期曾利用數據野蠻生長(cháng)，但随著(zhe)立法不斷嚴密，監管也將(jiāng)不斷收緊。

草案規定，違反本法規定處理個人信息，或者處理個人信息未按照規定采取必要的安全保護措施的，情節嚴重的，由履行個人信息保護職責的部門責令改正，沒(méi)收違法所得，并處5000萬元以下或者上一年度營業額5%以下罰款，并可以責令暫停相關業務、停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照；對(duì)直接負責的主管人員和其他直接責任人員處10萬元以上100萬元以下罰款。

“根據這(zhè)個條款的罰款，可以看出其實更主要規範的是大型的互聯網企業，法律在企業和個人之間，傾向(xiàng)于保護個人權益。”許身健認爲，懲罰力度也成(chéng)爲此次草案的一大亮點。