8月17日,个人信息保护法草案三审稿提请十三届全国人大常委会第三十次会议审议。草案进一步完善了个人信息处理规则,特别是对应用程序过度收集个人信息、“大数据杀熟”等作出了针对性规定,为个人信息处理活动划出红线。对此,众多业内专家均表示,个人信息保护法草案能够进一步维护广大人民群众的网络空间合法权益,促进个人信息合理利用。
“决策”不能任性而动
“当前,社会各方面对于用户画像、算法推荐等新技术新应用高度关注,对相关产品和服务中存在的信息骚扰、‘大数据杀熟’等问题反映强烈。”全国人大常委会法工委发言人臧铁伟在日前举行的记者会上表示,个人信息保护法草案立足于维护广大人民群众的网络空间合法权益,对利用个人信息进行自动化决策作出有针对性规范。
据介绍,公众熟知的用户画像、算法推荐等均属于自动化决策行为。自动化决策能够通过程序自动分析使用者的行为习惯、兴趣爱好、信用状况等,再进行决策活动。一旦自动化决策被违规使用,就可能会对个人在交易价格等交易条件上产生不合理的差别待遇。因此,个人信息保护法草案对利用个人信息进行自动化决策作出了专门规范。
此次草案明确,自动化决策应当遵守个人信息处理的一般规则,包括应遵循合法、正当、必要和诚信原则,目的明确和最小化处理原则等。自动化决策应当在充分告知个人信息处理相关事项的前提下取得个人同意,不得以个人不同意为由拒绝提供产品或者服务。
在上述规则下,法律草案提出,个人信息处理者要保证自动化决策的透明度和结果的公平、公正,不得通过自动化决策对个人在交易价格等交易条件上实行不合理的差别待遇,并在事前进行个人信息保护影响评估。对于违法处理个人信息的应用程序,履行个人信息保护职责的部门将责令暂停或者终止提供服务。
个人有权拒绝自动化决策
法律草案不仅明确了企业、平台等个人信息处理者的行为边界,而且赋予个人更加充分的权利保障。草案要求个人信息处理者通过自动化决策方式向个人进行信息推送、商业营销时,应当同时提供不针对其个人特征的选项,或者向个人提供拒绝的方式;作出对个人权益有重大影响的决定,个人有权要求予以说明,并有权拒绝仅通过自动化决策的方式作出决定。
针对敏感个人信息,草案也作出明确规定。敏感个人信息一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。这类个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。处理敏感个人信息应当取得个人的单独同意,法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
制定个人信息保护平台规则
上海段和段律师事务所律师刘春泉建议,软件、硬件设计、网络平台服务应当符合法律法规关于保护个人隐私与个人信息的要求。“为了体现设计保护个人信息的具体制度建设,软件和硬件必须从设计开始就注重保护个人信息。”
草案还增加规定,大型互联网企业应当遵循公开、公平、公正的原则,制定有关个人信息保护的平台规则;国家网信部门针对小型个人信息处理者制定相关规则。
北京师范大学网络法治国际中心执行主任吴沈括表示,此次立法关注大型互联网企业的个人信息保护相关平台治理体系的制度型建设,切中数字生态治理要点,从内外两个方面要求提升平台保护水平,一方面为平台合规风控指明了努力的方向,另一方面为个人信息主体合法权益的有效保护提供了扎实的制度依据,这种内外多方主体共治的思路格局在全世界个人信息保护立法浪潮中独树一帜。
据了解,部分常委委员和社会公众、部门、专家提出,为方便个人获取并转移其个人信息,建议借鉴有关国家和地区的立法,增加个人信息可携带权的规定。
全国人大宪法和法律委员会经研究,建议增加规定:“个人请求将其个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。”
同时,为完善个人信息保护投诉、举报机制,并在案件查处方面加强协同配合,草案增加规定,国家网信部门统筹协调有关部门完善个人信息保护投诉、举报工作机制。履行个人信息保护职责的部门发现违法处理个人信息涉嫌犯罪的,应当及时移送公安机关依法处理;对有关责任人员可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人等职务。
此外,侵害个人信息权益造成损害,怎么赔?按照草案建议,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。如果个人信息处理者违反规定处理个人信息,侵害众多个人的权益,人民检察院、由国家网信部门确定的组织可以依法向人民法院提起诉讼。
据介绍,草案三审稿还将不满十四周岁未成年人的个人信息作为敏感个人信息,并要求个人信息处理者对此制定专门的个人信息处理规则。同时完善个人信息跨境提供的规则,增加个人信息可携带权的规定,完善死者个人信息保护的规定等。