在现实生活中,随意收集、非法获取、过度使用、非法买卖个人信息等行为,不仅严重侵扰人民群众生活安宁,危害人民群众生命健康和财产安全,而且容易引发相关犯罪,影响社会正常秩序和经济生产秩序。日前,十三届全国人大常委会第二十二次会议首次审议了个人信息保护法草案。专家表示,个人信息保护法草案的制定将为个人信息保护形成更加完备的制度,提供更加有力的法律保障。
10月17日闭幕的十三届全国人大常委会第二十二次会议,首次审议了个人信息保护法草案。捍卫个人信息安全、推动数字经济发展行稳致远——公众期盼已久的个人信息保护法草案终于“揭开面纱”,闪亮登场。
全国人大常委会法工委有关负责人表示,制定个人信息保护法是为了回应广大人民群众的呼声和期待,有利于维护网络空间良好生态,也是促进我国数字经济健康发展的重要举措。个人信息保护法草案亮相,意味着个人信息保护即将有专门的法律,在个人信息保护方面会形成更加完备的制度,将提供更加有力的法治保障。
个人信息泄露频发
什么是“个人信息”?个人信息保护法草案明确,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。
虽然近年来我国个人信息保护力度在不断加大,但在现实生活中,一些企业、机构甚至个人,从商业利益等出发,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题仍十分突出。个人信息泄露不仅严重危害公民个人信息安全,而且容易引发电信网络诈骗等衍生犯罪。
不久前的某天,北京市朝阳区的申女士通过携程app为同事购买了某航空公司两张联程机票。次日,申女士收到署名为该航空公司的短信,被告知航班取消,要求其联系客服办理改签或者退票,但需要先转账再办理退款手续。
申女士按照短信提示拨打了“客服电话”,对方准确地说出了乘机人姓名、身份证号、航班起飞时间、航班号等相关信息。这让申女士确信对方就是航空公司工作人员,结果在对方的诱导下一步步操作,被转走了10万余元。之后,申女士将携程公司诉至法院,诉称携程公司未尽到安全保障义务,导致其个人信息泄露,因此被诈骗10万余元。北京市朝阳区人民法院经审理认定携程公司存在泄露申女士个人信息的高度可能,基于过错程度判决携程公司承担部分责任。
“个人信息泄露有多么严重,个人信息保护就有多么重要。”业内专家表示,近年来,我国立法修法不断确立个人信息保护的规则、完善惩治侵害个人信息的法律制度,网络安全法、电子商务法、消费者权益保护法、民法典等上百部法律都有关于个人信息保护的描述,相关司法解释也超过100部,行政法规、部门规章和地方法规规章更多。
全国人大常委会法工委副主任刘俊臣在作草案说明时表示,我国个人信息保护法律制度逐步建立,但仍难以适应信息化快速发展的现实情况和人民日益增长的美好生活需要。因此,应当在现行法律基础上制定出台专门法律,增强法律规范的系统性、针对性和可操作性,在个人信息保护方面形成更加完备的制度,提供更加有力的法律保障。
业内专家表示,个人信息保护法将成为我国第一部对个人信息进行专门、集中规定和全面保护的法律,它将使得我国的个人信息保护有专门依据,有助于在立法上形成全面、科学、合理的个人信息保护法律规范体系。
捍卫个人信息安全
个人信息保护法草案确立了以“告知—同意”为核心的个人信息处理规则,草案规定,处理个人信息的同意,应当由个人在充分知情的前提下,自愿、明确作出意思表示;个人信息处理者不得以个人不同意或者撤回其对个人信息处理的同意为由,拒绝提供产品或者服务。
业内专家表示,个人信息泄露风险主要源自两点:一是个人信息的违规收集、不当处理;二是服务商没有依法落实有关的安全防护措施。“告知—同意”规则中的“告知”是要充分保障相关个人主体的知情权,“同意”是要保障其对信息的自主决定权,保障好这两种权利才能从根本上保障个人信息安全。
值得一提的是,个人信息保护法草案对敏感个人信息作出了界定,设专节明确敏感个人信息处理规则,并作出严格限制。只有在具有特定目的和充分必要性的情形下,方可处理敏感个人信息,并且应当取得个人单独同意或者书面同意。
根据个人信息保护法草案规定,敏感个人信息包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。这些信息一旦被泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害。
业内专家表示,敏感个人信息和每个人都有重大利害关系,个人信息保护法草案对此设专节既能显示立法机关对这一问题的重视,又能更具针对性地作具体约束和专门管理,为个人信息保护筑起坚固堡垒。
银行流水被出卖、app过度索取个人信息、公共摄像头采集信息被传播、公众人物航班信息被买卖、个性化推送无休止发送广告……这些都是现实中存在的乱象。个人信息保护法草案有不少针对这些乱象的针对性条款:处理个人信息应当限于实现处理目的的最小范围;个人信息的保存期限应当为实现处理目的所必要的最短时间;通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项……
定制化服务是大数据时代的一个特点,随之出现的一个挑战是大数据被滥用以及可能造成出现“大数据杀熟”等问题。个人信息保护法草案对“自动化决策”作出了规定,就是为了解决相关问题。个人信息保护法草案明确,个人认为自动化决策对其权益造成重大影响的,有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
针对几乎无处不在的人脸识别、视频监控等系统,个人信息保护法草案明确,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供。
个人信息保护法草案规定,国家网信部门负责个人信息保护工作的统筹协调,其和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。专家表示,这就为建立统一、高效,职权配置清晰且明确的监管体制提供了法律支撑。
业内专家表示,个人信息保护法草案对个人信息的收集、存储、使用、加工、传输、提供、公开等全流程保护提供了完整、系统、协调的法律制度,覆盖个人信息保护的整个生命周期,对很多重大现实问题都作了回应。这有利于更好地保护个人权利,也使个人能够更加放心地享受信息技术带来的各种便利。
依法严惩违法行为
个人信息保护法草案对违法处理个人信息行为设置了严格的法律责任,提高了违法成本。比如,草案规定,违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的,由履行个人信息保护职责的部门责令改正,没收违法所得,给予警告;拒不改正的,并处100万元以下罚款;对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。
同时,个人信息保护法草案规定,上述违法行为情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处5000万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他责任人员处10万元以上100万元以下罚款。
业内专家表示,对每个人很小的一点侵害,在全社会范围合起来都会造成很大的问题,因此,要提高对违法行为的打击力度。个人信息保护法草案相关规定与民法典、刑法、网络安全法等法律相衔接,形成了民事、行政、刑事三个层次的法律责任配置。而其中“并处5000万元以下或者上一年度营业额百分之五以下罚款”的规定更是一大亮点,按营业额百分比进行罚款可以提高法律对相关企业违法行为的威慑力。
中国法学会网络与信息法学研究会副秘书长、中国社科院文化法制研究中心研究员周辉表示,如果个人信息得不到有效保障,就会损害民众对数字经济的信任,进而也会影响数字经济的长远发展。“党的十九大报告提出了建设网络强国、数字中国、智慧社会的要求,通过立法统筹个人信息权益保护与合理利用,正是落实这一部署的重要举措。”周辉说,“个人信息保护法草案通过建立权责明确、保护有效、利用规范的制度规则,在做好保障个人信息权益的同时,也注重促进依法合理有效利用个人信息数据,推动数字经济发展行稳致远。”
来源:https://dy.163.com/article/fpkr8sm30530hr9s.html
试用申请
产品咨询:4000 258 365 