□中国改革报记者 何玲
□实习记者 孟佳惠
大数据时代,个人信息获取也成“双刃剑”。在海量数据加持之下,行业发展进入快车道,同时个人信息屡被泄露,霸王条款层出不穷,个人信息保护立法亟待跟进。
4月26日,备受关注的个人信息保护法草案(以下简称“草案二审稿”)在十三届全国人大常委会第二十八次会议上提请审议。相比2020年10月首次提请审议的个人信息保护法草案(以下简称“草案一审稿”),草案二审稿针对突出问题,以保护个人信息权益为核心,以严格规制个人信息处理活动为重点,进一步完善了相关的制度规范。
强化超级平台义务
加强对“守门人”企业监管
目前,一些网络平台提供从生活消费到金融理财等各类服务,为消费者带来许多便利。但是,海量用户数据集中于这些超级平台手中,也给用户信息安全带来诸多隐患。比如,安装App时却被要求使用个人通讯录和电话语音;咨询过一次中介服务,却每天收到多个中介的骚扰电话。
为此,草案二审稿进一步强化了超大型互联网平台的个人信息保护义务,并加强监督。草案二审稿拟规定,提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督,并要求其定期发布个人信息保护社会责任报告。
“具有上述特征的个人信息处理者与国际上对‘守门人’企业(用户量超大的企业)的规定有异曲同工之处。”中国社科院法学研究所副所长周汉华表示,上述规定和最近强化反垄断调查、加大对“守门人”企业的监管力度的趋势是相符的。
在欧盟,用户量超过4500万的科技公司可能被认定为“守门人”企业。由于发展体量不同,无论是基础服务,还是用户数量,国内与欧盟对“守门人”的认定标准都将不一样。对外经济贸易大学数字经济与法律创新研究中心执行主任许可提到:“这将取决于后续的实施细则。”
关于对“独立机构”的理解,许可认为,可类比上市公司的独立监事、外部董事等“和公司无关的人”。独立机构的人员和个人信息处理者不能有隶属关系,独立机构不对个人信息处理者负责。
中国信息安全研究院副院长左晓栋认为,该条款极具创新性,为保护好超大型互联网平台上的个人信息提供了新的监管思路。“超大型平台是如何收集和使用个人信息的,对外人来说一直都是个‘谜’。草案的新增条款能让这些平台接受社会大众的独立监督。”左晓栋说。
“这是一个很好的规定。”周汉华直言,互联网公司的算法不透明,内部治理结构在某种程度上也不透明。对“守门人”企业而言,实施上述规定,让外部人士参加公司的内部治理,可加强其社会责任感,确保企业处理个人信息的透明性。
天达共和律师事务所合伙人、数据合规团队负责人申晓雨从企业的角度指出,企业增设独立机构可能短期内会加重合规成本,但从长远来看,增设独立机构有利于企业建设合规的经营模式。
完善信息处理原则
保障用户“后悔”权益
值得注意的是,存在过度索取个人信息的还不只是超大型互联网平台。想要下载某个App,用户必须同意授权大量个人信息,否则就无法使用;在与朋友闲聊中提到某商品,不久竟收到精准推送的广告……当下,App已然成为个人信息泄露的重灾区。
2020年7月,江西省南昌市人民检察院委托专业检测公司,对本地企业开发经营的“贪玩蓝月”“地宝网”等6款手机App进行检测,发现它们均存在违规问题,包括未经用户同意收集使用个人信息,收集与所提供服务无关的个人信息,未经同意向他人提供个人信息等。
针对个人信息收集、使用规则不透明及过度收集、使用等热点问题,草案二审稿进一步明确,不得通过“胁迫”方式处理个人信息;处理个人信息应当限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式;处理个人信息应当公开个人信息处理规则,明示处理目的、方式和范围,应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。
“一些App如果用户不授权就用不了任何功能,存在‘强制索权’的嫌疑。”中国电子技术标准化研究院信安中心测评实验室副主任何延哲表示,草案二审稿增加不得通过“胁迫”方式处理个人信息的规定,是对这一现实问题的有力回应。
何延哲认为,草案二审稿明确在收集和处理个人信息时需“采取对个人权益影响最小的方式”,这不仅明确了企业收集和使用个人信息的指导原则,也为用户维权提供了法律依据。
除“强制索权”外,App“个性化服务难以取消”的问题也为广大用户所诟病。安装程序时可以“一键同意”,撤回同意时却设置各种障碍;搜索过一个东西,就频频推送类似产品的广告,想关都关不掉……不少用户都有过这样闹心的体验。
草案二审稿增加规定,基于个人同意而进行的个人信息处理活动,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项,或向个人提供拒绝的方式。
北京安理律师事务所高级合伙人王新锐认为,草案二审稿对撤回同意的便捷性提出要求,能够倒逼互联网平台提升用户体验,切实保障用户“后悔”的权利。
“一些用户被自动化广告追踪时感觉非常不好,想要找到拒绝追踪的操作入口又很难。”王新锐表示,草案二审稿指明了两种用户拒绝被自动化广告追踪的方式,让用户维权更有法律保障。
保护逝者个人信息
调整侵权责任界定
互联网作为当代社会的重要组成部分,也留下了许多逝者的生活痕迹。关于如何保护逝者的个人信息权,草案二审稿也给出了方案。
今年1月1日起施行的民法典明确,逝者的姓名、肖像、名誉、荣誉、隐私、遗体等受到侵害的,其配偶、子女、父母有权依法请求行为人承担民事责任;逝者没有配偶、子女且父母已经死亡的,其他近亲属有权依法请求行为人承担民事责任。作为对民法典的衔接,草案二审稿规定,自然人死亡的,其在个人信息处理活动中的权利由其近亲属行使。
浙江省公共政策研究院研究员高艳东认为,从民法角度看,此处修改将逝者个人信息作为一种财产权利进行保护,这种立法理念值得肯定。法律应当考虑逝者个人信息的特殊性,对其适用不同于自然人个人信息的保护标准,从而实现对侵权行为的精准打击和对法律资源的最优利用。
当公民的个人信息权益受到侵害时,如何举证往往是维权的关键。草案二审稿在举证责任方面作出重要调整。
草案一审稿规定,因个人信息处理活动侵害个人信息权益,个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任。草案二审稿对此修改为,个人信息权益因个人信息处理活动受到侵害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
清华大学法学院教授劳东燕表示,相较于互联网平台,普通用户在举证上处于劣势地位,有必要根据过错推定责任原则将举证责任转移给处理信息的平台一方。此处规定的调整具有积极意义,如果平台不能“自证清白”,就应当承担侵权赔偿责任。
随着近些年的发展,个人信息保护立法呼声也越来越强。浙江晓德律师事务所主任陈文明表示,该法规的实施对规范移动互联网应用程序个人信息处理活动,促进个人信息合理利用起到积极作用。同时可以切实保障用户同意权、知情权、选择权和个人信息安全。