个人信息是数据的其中一部分。根据《个人信息保护法》第四条的规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”但是数据的范围远大于个人信息,根据《数据安全法》第三条第一款的规定:“本法所称数据,是指任何以电子或者其他方式对信息的记录。”
个人信息是个人最重要的数据,也是法律重点保护的数据。所以国家专门出台了专门的《个人信息保护法》,对个人信息的处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务以及履行个人信息保护职责的部门的义务进行了详细的规定,还规定了未履行处理和保护个人信息的行政处罚措施以及民事赔偿问题。除此之外,刑法还专门规定了侵犯公民个人信息罪,用最严厉的刑罚来保护个人信息。
今天我们要探讨的是:《个人信息保护法》的立法目的到底有哪些?
一、保护个人信息权益
近年来,我国进入网络社会和信息时代,个人信息的收集、存储和使用等处理行为变得容易且普遍。所以,国家保护个人信息的力度越来越大。但是依然有一些公司或个人为了追逐商业利益,有的甚至是为了获取非法利益,随意收集、非法获取、过度使用、违法买卖个人信息的行为高发,利用个人信息侵扰公民生活安宁、损害公民人身权益和财产权益的违法犯罪行为日益突出。
主要包括以下几类侵犯个人信息的违法犯罪行为:
1、个人信息被非法收集、随意买卖、违法使用,导致加害人侵害被害人的生命权、健康权、隐私权、名誉权等人格权益,还会损害被害人的物权、债权等财产权利。
2、一些公司合法收集海量的个人信息后,形成了大数据,进而通过算法等技术进行歧视性对待或差别对待,进行大数据杀熟,损害财产权利,侵犯公民人格尊严。
3、一些公司利用大数据和算法,结合人工智能技术,对用户或客户进行人格画像,并加以操控,将主体的人降格为客体即物体,损害人格利益。
在这种背景下,《个人信息保护法》出台了。该法第1条的第1句话就是“为了保护个人信息权益,……制定本法。”,该法第2条再次明确:“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。这是该法首要的最重要的立法目的。”
具体而言,该法通过以下10个方面去保护公民个人信息:
1、确立了处理个人信息应当遵循的基本原则。
(1)该法第5条规定:处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
(2)该法第六条规定:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。”、且“收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息”
2、规定了充分知情且自愿同意的规则。
(1)该法第13条明确规定:除了法定情形外,个人信息处理者需要取得个人同意,方可处理这些个人信息。
(2)该法第14条指出:“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。”,而且“个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。”
(3)该法第15条规定了,“基于个人同意处理个人信息的,个人有权撤回其同意。”
(4)接着,该法第16条指出:“人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务”。
(5)该法第17条规定:“个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(一)个人信息处理者的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定权利的方式和程序;(四)法律、行政法规规定应当告知的其他事项。”
3、针对社会民众普遍关注的“大数据杀熟”现象,明确要求个人信息处理者保证决策的透明和结果的公平公正,不得差别对待。
该法第二十四条规定:“个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。”,同时,“通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。”
4、针对社会民众普遍关注的“人脸识别”现象,明确要求个人信息处理者保证决策的透明和结果的公平公正,不得差别对待;人脸识别限于维护公共安全且需设置显著的提示标识。
该法第26条规定:“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。”
5、对敏感个人信息进行了特殊的规定和严格的保护。
(1)该法对敏感个人信息进行了定义和列举。
第28条第1款规定:敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
(2)第28条第二款指出:“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。”
(3)该法第29条指出:处理敏感个人信息应当取得个人的单独同意;
(4)为了更好的保护未成年人,该法第31条规定:“个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。”
6、该法第四章专门规定了个人在个人信息处理活动中的权利。
(1)规定了个人对自己的个人信息享有知情权、决定权、查阅复制权、转移信息权、更正补充权、要求对方删除权、要求对方解释说明权等权利。
(2)明确在自然人死亡的情况下死者生前个人信息的处理规则。
该法第49条自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。
7、为了更好地保护个人信息权益,该法第5章专门规定了个人信息处理者的义务。
(1)该法明确要求个人信息处理者根据个人信息相关的具体情况采取措施确保信息处理合法,防止个人信息被侵害。
该法第51条规定:个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
(一)制定内部管理制度和操作规程;
(二)对个人信息实行分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(五)制定并组织实施个人信息安全事件应急预案;
(六)法律、行政法规规定的其他措施。
(2)该法要求指定个人信息保护负责人。
该法第52条第一款规定:处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。
(3)该法要求个人信息处理者在国内设立专门机构或者指定代表,负责处理个人信息保护相关事务。
该法第53条规定:本法第三条第二款规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。
(4)该法要求定期对处理个人信息合法合规的情况进行审计。
该法第54条规定:个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
(5)该法要求对个人权益有重大影响的高风险个人信息处理活动进行保护影响评估并记录。
该法第55条规定:有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:
(一)处理敏感个人信息;
(二)利用个人信息进行自动化决策;
(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
(四)向境外提供个人信息;
(五)其他对个人权益有重大影响的个人信息处理活动。
该法第56条明确了个人信息保护影响评估应当包括下列内容:
(一)个人信息的处理目的、处理方式等是否合法、正当、必要;
(二)对个人权益的影响及安全风险;
(三)所采取的保护措施是否合法、有效并与风险程度相适应。
(6)该法明确:在发生或可能发生个人信息泄露、篡改、丢失时应立即采取补救措施,并通知相关部门和个人。
该法第57条规定:“发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:
(一)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;
(二)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;
(三)个人信息处理者的联系方式。
(7)该法规定:提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者的4个特别的义务。
该法第58条规定:“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:
(一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;
(二)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;
(三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;
(四)定期发布个人信息保护社会责任报告,接受社会监督。”
8、该法第6章明确规定了有关部门对个人信息保护有微观职责及宏观职责。
(1)该法明确规定了有关部门对个人信息保护的具体职责。
该法第61条规定:“履行个人信息保护职责的部门履行下列个人信息保护职责:
(一)开展个人信息保护宣传教育,指导、监督个人信息处理者开展个人信息保护工作;
(二)接受、处理与个人信息保护有关的投诉、举报;
(三)组织对应用程序等个人信息保护情况进行测评,并公布测评结果;
(四)调查、处理违法个人信息处理活动;
(五)法律、行政法规规定的其他职责。”
(2)该法规定了有关部分为履行职责可以采取的调查等措施。
该法第63条规定:“履行个人信息保护职责的部门履行个人信息保护职责,可以采取下列措施:
(一)询问有关当事人,调查与个人信息处理活动有关的情况;
(二)查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料;
(三)实施现场检查,对涉嫌违法的个人信息处理活动进行调查;
(四)检查与个人信息处理活动有关的设备、物品;对有证据证明是用于违法个人信息处理活动的设备、物品,向本部门主要负责人书面报告并经批准,可以查封或者扣押。”
该法第64条规定:“履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施,进行整改,消除隐患。
履行个人信息保护职责的部门在履行职责中,发现违法处理个人信息涉嫌犯罪的,应当及时移送公安机关依法处理。”
(3)该法规定了国家网信部门及有关部门的宏观职责。
该法第六十二条规定:“国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作:
(一)制定个人信息保护具体规则、标准;
(二)针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准;
(三)支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设;
(四)推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务;
(五)完善个人信息保护投诉、举报工作机制。”
9、该法对违法处理个人信息或没有履行个人信息保护义务的行为规定了严格的行政处罚,同时明确:构成犯罪的,追究刑事责任。
该法第六十六条规定:“违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。”
该法第六十七条规定:“有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。”
该法第六十八条规定:“国家机关不履行本法规定的个人信息保护义务的,由其上级机关或者履行个人信息保护职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。”
履行个人信息保护职责的部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。
该法第七十一条规定:“违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。”
10、除了以上行政和刑事责任外,该法还规定了民事追责制度和民事公益诉讼,全方位保护个人信息。
(1)该法第69条规定了民事追责的具体内容:“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。”
(2)该法第70条跪地了民事公益诉讼制度:“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”
二、规范个人信息处理活动
该法第1条第2句话就说到了本法的立法目的包括:规范个人信息处理活动。信息社会,不可避免会接触或使用到个人信息,只有有效的规范个人信息处理活动,才能真正有效的保护个人信息。
根据《个人信息保护法》第4条第2款的规定,“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。”
个人信息处理行为的类型多种多样,前端包括个人信息的收集、买卖、窃取、骗取等,中端包括个人信息的使用、加工等,后端包括个人信息的传输、公开、共享等,在每一个环节都存在侵害公民各种权益的风险。这些个人信息既可以用于大数据杀熟、商家广告骚扰,也可以被违法犯罪分子用于诈骗、抢劫等犯罪活动。
需要明确的是,该法不仅调整普通民事主体处理个人信息的行为,同时也调整国家机关为履行公共管理职责而处理个人信息的行为。该法第2章第3节专门对国家机关处理个人信息进行了规定。
该法从是从内部和外部两方面对个人信息处理活动进行规范的。
(一)从外部而言,主要是从以下两个方面进行规制:
1、规定了个人信息处理者在各类处理行为中的告知、取得同意、安全保护、报告、监管等义务,规定了合法、正当、必要、诚信、不得过度收集等原则,为其提供行为规范和尺度。
2、规定了违反以上义务会产生的法律责任,从而保护这些义务得到切实履行。
(1)规定了违反义务会面临的罚款、处分、记入信用档案、停业整顿、吊销许可、吊销营业执照等行政处罚措施。
(2)明确了:情节严重的,追究刑事责任。
(3)对处理个人信息造成损害的,规定了民事侵权赔偿责任和公益诉讼。
三、促进个人信息合理利用。
个人信息是重要的数据,而数据在信息社会和网络时代属于重要的资产,可以产生经济效益,促进数字经济的发展。所以,一方面需要保护个人信息,这关系到每一个个体的人格和尊严、财产、乃至生命;另一方面,需要合理利用个人信息,不宜因过度保护个人信息权益而阻碍或妨碍个人信息的合理利用。
欧盟的《一般数据保护条例》在导言部分就明确了自然人在个人数据处理方面获得保护是一项基本权利,但同时又明确指出:“本条例致力于实现自由、安全、公平和经济联盟,致力于经济和社会进步,加强并聚集内部市场的经济,实现个人的幸福”、“保护个人数据的权利不是一项绝对权利,必须考虑其在社会中的作用并应当根据比例性原则与其他基本权利保持平衡”。
另外,2018年巴西《通用数据保护法》第2条规定:个人数据保护的规则建立在如下基础上:……5、经济技术的开发与创新。
此外,我国台湾省的《个人资料保护法》第1条也明确提出,该法的立法目的在于“规范个人资料之搜集、处理及利用,以避免人格权受侵害,并促进个人数据之合理利用”。
而在大陆,我国《国民经济和社会发展第十四个五年规划和2035年远景目标纲要》明确提出,要“迎接数字时代,激活数据要素潜能,推进网络强国建设,加快建设数字经济、数字社会、数字政府,以数字化转型驱动生产方式、生活方式和治理方面变革”。而党的十九大报告也提出了建设网络强国、数字中国、智能社会的任务要求。所以,按照该要求,应当统筹个人信息保护与利用,通过立法建立权责明确、保护有效、利用规范的制度规则,在保障个人信息权益的基本上,促进信息数据依法合理有效利用,推进数据经济持续健康发展。
所以,《个人信息保护法》的立法目的不仅仅是保护个人信息权益,也高度注重个人信息的合理利用,注意个人信息权益跟信息自由、商业活动、政府管理活动之间关系的协调,合理平衡个人信息与经济发展、公共利益之间的关系。该法同时保护前后两者。
为此,该法第13条明确规定,除了第一款第一项规定处理个人信息需要告知并取得个人同意外,还在第13条第一款第二至第七项规定了不需要取得个人同意亦可合法处理个人信息的6项情形。
这6项情形分别为:
1、为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
2、为履行法定职责或者法定义务所必需;
