以法治统筹个人信息保护与利用
原标题:以法治统筹个人信息保护与利用
系统应对数字经济发展带来的新挑战,切实统筹个人信息保护与利用,是个人信息保护法立法的重要任务
8月20日,十三届全国人大常委会第三十次会议通过了个人信息保护法,该法将于今年11月1日起施行。个人信息保护法聚焦个人信息保护领域的突出问题和人民群众的重大关切,不仅进一步完善了个人信息保护制度规则,系统强化个人信息权益保护,还全面规范了个人信息处理活动,有效促进个人信息合理利用,为数字经济健康发展提供了有力保障。
随着移动互联网、云计算、大数据、物联网和人工智能等新技术的迅速发展和应用,人类社会已经迈入了数字经济时代,数据成为推动经济发展的关键生产要素。在这一背景下,个人信息数据的经济价值和公共价值日益凸显,成为数字经济发展的重要“原料”。与此同时,受利益驱使,利用数字技术随意收集、违法获取、过度使用、非法买卖个人信息,甚至利用个人信息侵害人民群众生活安宁、生命健康和财产安全等问题日益突出。虽然近年来我国个人信息保护力度不断加大,但与实践需求相比,此前法律规定比较分散、针对性不强,仍有较大完善空间。系统应对数字经济发展带来的新挑战,切实统筹个人信息保护与利用,成为个人信息保护法立法的重要任务。
对此,个人信息保护法从两方面进行了制度设计:一方面,强化个人信息权益保护,明确个人信息处理活动的底线红线。构建以“告知-同意”为核心的个人信息处理规则,要求处理个人信息应当在事先充分告知的前提下取得个人同意,不得以个人不同意为由拒绝提供产品或者服务等。有针对性地规范特定场景下的个人信息处理活动。例如,对于利用个人信息进行自动化决策带来的信息骚扰、“大数据杀熟”等问题,个人信息保护法明确规定,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇;通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。明确了个人信息处理的底线红线,实际就划出了产业发展和市场竞争的合法空间。
另一方面,确立个人信息合理利用规则,促进个人信息的有效利用。例如,考虑到经济社会生活的复杂性和个人信息处理的不同情况,不同于网络安全法将同意作为处理个人信息的唯一合法基础,个人信息保护法规定了基于个人同意以外合法处理个人信息的情形。具体包括:为订立、履行合同或者依法实施人力资源管理所必需;为履行法定职责或者法定义务所必需;为应对突发公共卫生事件,或者紧急情况下为保护自然人生命健康和财产安全所必需;为公共利益在合理范围内处理个人信息;在合理的范围内处理已公开的个人信息;法律、行政法规规定的其他情形。明确个人信息处理的多元合法基础,有利于充分实现个人信息利用的多元价值。新冠肺炎疫情暴发以来,为了防控疫情收集利用病患相关个人信息,就是个人信息公共价值的典型体现。
从个人信息保护法规定来看,一些个人信息合理利用制度的落地实施,仍需后续配套规定的细化支撑。例如,为满足跨平台转移个人信息的需求,个人信息保护法规定个人有权请求将其个人信息转移至其指定的个人信息处理者,但前提是符合国家网信部门规定的条件,而具体包含哪些条件就有待进一步明确。再如,为规范个人信息跨境流动,规定了个人信息跨境提供的合法途径,包括通过国家网信部门组织的安全评估、经专业机构认证、订立标准合同等,这些合法途径的具体实施也有待细化规定。
相信随着个人信息保护法的颁行实施和有关配套规定的制定落地,必将极大增强我国个人信息保护法律规范的系统性、针对性和可操作性,有力推动我国形成统筹个人信息保护与合理利用的制度体系,从而有利于在保障个人信息权益的基础上,促进个人信息依法合理有效利用,有力推动我国数字经济持续健康发展。(作者刘金瑞系中国法学会法治研究所研究员)