个人信息到底怎么保护?——《中华人民共和国个人信息保护法(草案)》(2017)解读

前 言

本文结合当前网络安全形势和个人信息保护立法实际情况,针对2017年公布的《中华人民共和国个人信息保护法(草案)》进行了条款特点、立法要求等方面的解读,同时指出该草案的几个不足并给出了相应的解决建议。

近年来,随着网络化和信息化建设的不断深入,我国已经成为世界上网络数据生产量最大、数据类型最丰富的国家之一,与此同时,层出不群的数据泄露和网络安全事件也给个人信息和隐私保护带来了新的挑战。在巨大的商业利益驱使下,不法分子通过数据盗取、信息盗用、网络钓鱼、电信诈骗等一系列非法手段,侵犯公民个人信息及隐私,造成巨大的经济损失和负面社会影响。由此可见,当前我国个人信息保护形势不容乐观。

我国十分关注和重视公民个人信息及隐私保护的法制建设。

2000年,全国人大常委会通过的《全国人大常委会关于维护互联网安全的决定》首次涉及到个人信息保护,但主要涉及侵犯公民通信自由和通信秘密,而非全面的个人信息保护。

2003年,国务院信息化办公室就已对个人信息立法研究课题进行部署,于2005年形成专家意见稿,但至今还未进入正式的立法程序。

权威数据表明,截至2017年11月,在我国现行的法律法规中,含有个人信息保护相关描述的宪法法律有110部,行政法规有177部,地方法规规章有7191部,部位规章及文件有有940部,司法解释及文件有112部[1]。其中,刑法、民法、网络安全法、消费者权益法、邮政法、统计法等多项法律涉及到个人信息及隐私的保密和保护内容。在行政管理方面,国家出台了《个人信用信息基础数据库管理暂行办法》、《电信和互联网用户个人信息保护规定》等行业行政规范。在标准建立方面,国家于2013年发布了《信息安全技术、公共及商用服务信息系统个人信息保护指南》等相关标准。

2017年3月,全国人大代表邵志清在第十二届全国人民代表大会第五次会议上提出议案,建议加快制定个人信息保护法,同时将《中华人民共和国个人信息保护法(草案) 》作为附件提交。

该草案由六个章节组成,涉及四十四个条款。

第一章介绍了个人信息保护的立法目的、适用范围、基本定义和保护原则;

第二章罗列了个人信息保护所应关注的权利;

第三章提出了国家机关收集、处理和利用个人信息的基本规范;

第四章规定了非国家机关对个人信息的收集、处理和利用的基本规范;

第五章明确了个人信息保护的主要法律责任;

第六章给出了相关名词的定义。

1

强调了个人信息保护的基本原则

作为我国目前最新颖的个人信息保护专有法律,该草案提出立法目的、适应范围、基本定义及七个个人信息保护的基本原则。该草案提出个人信息应在明确特定目的的前提下,征得信息主体的知情同意后方可收集。同时,该法案规定个人信息的处理和利用须和收集目的相一致,及时更新个人信息并保证信息本身和其渠道的安全性,确保个人信息可追溯、可异议和可纠错。

2

明确了个人信息主体的基本权利

草案明确了九个个人信息主体享有的基本权利,提出个人信息权包括信息决定、信息保密、信息查询、信息更正、信息封锁、信息删除、信息可携、被遗忘,依法对自己的个人信息所享有的支配、控制并排除他人侵害的权利。其中,草案通过设定信息的可携权,给予信息主体对要求传输信息的权利;设定信息封锁权、删除权和被遗忘权,给予信息主体对信息的控制权利。

3

分类规范信息处理主体相关活动

草案将信息处理主体统一分为了国家机关信息处理主体和非国家机关信息处理主体,并分别提出了相应的个人信息保护规定。其中,草案在个人信息的处理和加工资格、信息跨境传输、信息特殊使用及政策披露等方面,对国家机关所应承担的义务、责任及操作情况做出了详细的规定说明。针对商业或商业目的的非国家机关信息处理主体,草案主要提出了信息披露、收集和处理资格、义务及规范等方面的要求。

草案的不足及建议

虽然该草案适时地引用了近年来网络安全现行法律和标准等,但仍然在多个方面存在不足和改进空间。

一是缺乏个人信息的分类。大数据技术的发展使得如今多种非个人信息累计关联后形成清晰的公民数字画像,甚至能够精确到个人身份和物理位置。其中,每个行业的个人信息定义可能略有不同,一个行业的个人信息可能是另一个行业的非个人信息。明晰个人信息将有助于今后的司法解释、纠纷处理和执法管理。因此,作为个人信息保护的专有法律,应在行业分类上具有指导性,以供各个行业领域个人信息自律规范制定予以参考。

二是法律责任及处罚力度不足。纵观我国当今的法律体系,针对个人信息的责任认定及处罚主要集中在刑法、民法、网络安全法等大法当中。然而这些大法因此涉及内容较广、结构复杂,针对个人信息保护的责任认定和处罚就略显粗略,量刑也相对较轻。因此,作为个人信息保护方面的独立专有法律,《个人信息保护法》应当对量刑标准、责任确立和处罚处置方面更加细致和明确,以补充其他大法的不足。

三是条款规定落地实施难。个人信息保护关系到公民的切身利益甚至是国家安全,在监督管理方面应当具有一定的实操性,比如设定监管的方式或引入检测的工具。草案中的条款更像是制度层面的要求,只针对于处理主体,没有明确执法监管机构的义务和责任,更没有提出任何一种操作性强的监管手段或工具,容易给制度的落实和实施带来一定的阻力。因此,建议立法修订能够充分考虑监管、执法机构的任务分配,结合监管手段与工具,提高法律实施的实操性。

结语

总体来看,该草案具有一定的前瞻性,也考虑了当前信息系统与网络安全的实际需求,同时也存在一定程度的不足,在细节划分、应对新技术及落地实施方面存在较大的改善空间,建议有关部门在立法修订时予以考虑。

注释

[1] 中国法律法规信息库

http://law.npc.gov.cn/FLFG/ksjsCateGroup.action

声明

本文仅代表作者本人观点

无声动态

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20180115G0PLE400?refer=cp_1026

扫码关注云+社区