随着5G移动互联时代的到来,大数据爆发性增长的同时,个人信息保护问题亦日益严峻。早期我国关于个人信息保护的规定散见于若干法律文件中,2019年以来国家加快了对个人信息保护的立法进度,相关法规呈现出井喷式增长,尤其是在行政监管领域,逐渐形成了“法律-部门规章-规范性文件-国家标准”层层递进,层层细化的个人信息保护行政监管法律体系。
2012年,全国人民代表大会常务委员会发布了《关于加强网络信息保护的决定》(以下简称《决定》),从公民个人电子信息保护出发,对治理垃圾电子信息、网络身份管理以及网络服务提供者和网络用户的义务与责任、政府有关部门的监管职责等作出了明确规定,为加强网络信息保护提供了法律依据。《决定》确定了个人信息保护的几大原则:
1、收集、使用个人信息的原则:应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
2、网络服务提供者的义务与责任:对收集的公民个人信息严格保密,并采取必要技术措施保证信息的安全,防止发生泄露、毁损、丢失。
3、加强对垃圾电子信息等违法违规信息的管理:发现后应立即停止传输该信息,采取消除等处置措施,保存有关记录,并向有关主管部门报告。
4、明确需用户提供真实身份信息的情形:办理网站接入服务、入网手续,为用户提供信息发布服务时必须提供真实身份信息。
5、推送商业性电子信息的条件:需经用户同意或请求,用户明确拒绝的,不得推送。
6、用户的救济措施:用户发现存在侵害其个人信息行为的,有权要求网络服务提供者采取必要措施予以制止,涉及犯罪的,有权向有关主管部门举报、控告。
2013年新修订的《消费者权益保护法》第29条新增了关于个人信息保护的相关规定,直接引用了《决定》中收集、使用个人信息的原则、网络服务提供者的义务与责任和推送商业性电子信息的条件,从消费者个人信息保护的角度为经营者设定了相关的法律保护义务。
2016年发布的《网络安全法》关于个人信息的保护主要规定在第22条、41条以及44条等相关法条中,沿用了《决定》中收集、使用个人信息的原则、网络服务提供者的义务与责任以及用户的救济措施,并在此基础上新增了以下规则:
1、 网络运营者不得收集与其提供的服务无关的个人信息。
2、 个人信息经过处理无法识别特定个人且不能复原的,可以不经被收集者同意,向他人提供个人信息。
3、 个人发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。
4、 明确了个人信息的定义,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
《网络安全法》首次规定了交易经过“脱敏”处理的个人信息,不违反法律规定,也不侵害自然人的个人信息。其底层逻辑在于交易经过“脱敏”处理的个人信息,已经不属于个人信息交易,而交易的是不能单独或者与其他信息结合识别自然人个人身份的“大数据”,为合理的商业运用个人信息提供了法律依据。
2018年发布的《电子商务法》关于个人信息保护的规定散见于第二十三条、二十四条、二十五条、三十二条、七十九条和八十七条,再次重申了电子商务经营者对用户的个人信息保护义务,新增了“电子商务经营者应当明示用户信息查询、更正、删除以及用户注销的方式、程序,不得对用户信息查询、更正、删除以及用户注销设置不合理条件。”
2021年6月10日,《中华人民共和国数据安全法》经十三届全国人大常委会第二十九次会议表决通过,并将于2021年9月1日起正式施行。作为数据领域的基础性法律,确立了数据分类分级、数据出境、重要数据处理等数据安全保护管理各项基本制度。
关于个人信息保护方面的部门规章,最早见于2000年信息产业部(即现在的工业和信息化部)发布的《互联网电子公告服务管理规定》第十二条,“电子公告服务提供者应当对上网用户的个人信息保密,未经上网用户同意不得向他人泄露。”
2013年工业和信息化部发布的《电信和互联网用户个人信息保护规定》,在《决定》的基础上,对电信业务经营者和互联网信息服务提供者在个人信息保护方面的职责进行了细化。
2019年国家互联网信息办公室发布了《儿童个人信息网络保护规定》,聚焦对不满14周岁的未成年的个人信息保护,这部规章的亮点主要有以下几点:
1、要求网络运营者设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护。
2、要求网络运营者在收集、使用、转移、披露儿童个人信息时,以显著、清晰的方式告知儿童监护人,并征得儿童监护人的同意。告知事项发生实质性变化时,需再次征得儿童监护人的同意。
3、存储儿童个人信息需采取加密等措施。
4、要求网络运营者对其工作人员以最小授权为原则,严格设定信息访问权限,控制儿童个人信息知悉范围。
5、要求网络运营者向第三方转移儿童个人信息时,自行或者委托第三方机构进行安全评估。
2017年至2019年,我国还出台了几部关于个人信息保护的规章征求意见稿,2019年的《数据安全管理办法(征求意见稿)》涉及我国境内利用网络开展数据收集、存储、传输、处理、使用等活动,而2017年的《个人信息和重要数据出境安全评估办法(征求意见稿)》和2019年的《个人信息出境安全评估办法(征求意见稿)》则规制网络运营者向境外提供我国公民个人信息的行为,2018年的《网络安全等级保护条例(征求意见稿)》也提到了网络运营者对数据和信息安全的保护义务。
上述法律和规章构建起了我国行政监管领域关于个人信息保护的总体架构,除此以外,还有许多关于个人信息保护的规范性文件,在法律和规章的基础之上进行了更加细化的规定。
2019年3月发布的《App违法违规收集使用个人信息自评估指南》,分别从隐私政策文本、App收集使用个人信息行为、App运营者对用户权利的保障三个角度出发指出各自的评估要点;
2019年4月公安部发布了《互联网个人信息安全保护指南》,制定了个人信息安全保护的管理机制、安全技术措施和业务流程,供个人信息持有者在个人信息生命周期(收集、保存、应用、委托处理、共享、转让和公开披露、删除个人信息)处理过程中开展安全保护工作参考使用;
2019年6月发布的《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》,在个人信息最少够用原则的指导下,编制了地图导航、网络约车、即时通讯社交、社区社交、网络支付、新闻资讯、网上购物、短视频、快递配送、餐饮外卖、交通票务、婚恋相亲、求职招聘、金融借贷、房产交易、汽车交易16类基本业务功能正常运行所需的个人信息;
2019年11月,中央网信办、工信部、公安部、市场监督管理总局联合发布了《App违法违规收集使用个人信息行为认定方法》(以下简称《认定方法》),明确了何种行为可以被认定为“未公开收集使用规则”、“未明示收集使用个人信息的目的、方式和范围”、“未经用户同意收集使用个人信息”、“违反必要原则,收集与其提供的服务无关的个人信息”、“未经同意向他人提供个人信息”和“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”;
2020年3月发布的《移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)》,参照前述《认定方法》的六个模块对19年的评估指南进行了修订,同月发布的《网络安全标准实践指南—移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》,则对当前App个人信息保护合规的10大常见问题给出了相应的防范策略。
此外,关于个人信息保护方面的主要国家标准详见下表:
| 序号 | 名称 | 发布时间 |
|---|---|---|
| 1 | 信息安全技术 移动智能终端个人信息保护技术要求 | 2017/11/1 |
| 2 | 信息安全技术 个人信息安全影响评估指南(征求意见稿) | 2018/6/11 |
| 3 | 信息安全技术 个人信息安全工程指南(征求意见稿) | 2019/6/25 |
| 4 | 信息安全技术 移动互联网应用(App)收集个人信息基本规范(征求意见稿) | 2019/8/8 |
| 5 | 信息安全技术 个人信息去标识化指南 | 2019/8/30 |
| 6 | 信息安全技术 个人信息告知同意指南(征求意见稿) | 2020/1/20 |
| 7 | 信息安全技术 个人信息安全规范 | 2020/3/6 |
| 8 | 网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿) | 2020/3/19 |
| 9 | 网络安全标准实践指南—移动互联网应用程序(App)个人信息安全防范指引(征求意见稿) | 2020/3/30 |
综上,我们可以看到,关于个人信息保护的立法从2018年开始越来越活跃,直到2019年达到了一个高潮,但是部分规范的效力等级较低,已经无法满足社会公众对个人信息保护的需求。《个人信息保护法》(草案)已于2020年10月21日发布征求意见稿,有望明确“个人信息”的内涵和外延,理顺相关主体之间的关系,并覆盖对个人信息的收集、存储、使用、共享、跨境传输等多个方面,我国也将迎来个人信息保护的“法制新时代”。