以法律赋予个人信息安全“定心丸”
近年来我国“互联网+”等领域的快速发展,对个人信息安全造成了一定威胁。《个人信息保护法》将自2021年11月1日起施行,该法律从处理过程、各方主体的各个角度保护个人信息安全,赋予个人信息安全“定心丸”。
明确个人信息范围,确定三个“最小”原则。对于个人信息的定义,《民法典》与当前互联网行业普遍用于参考制定用户注册协议、个人隐私政策的GB/T 35273-2020《信息安全技术个人信息安全规范》相近,以“能够识别”为重要标准,而《个人信息保护法》扩大了外延,包括“已识别或者可识别的自然人有关的各种信息”,同时进一步明确了敏感个人信息的范围,对敏感个人信息的处理作出特殊规定。确定三个“最小原则”:处理个人信息应当“采取对个人权益影响最小的方式”、收集个人信息应当“限于实现处理目的的最小范围”、个人信息保存期限应当为“实现处理目的所必要的最短时间”,贯穿整个信息处理过程,最大限度保护个人信息安全。
确保充分知情授权,覆盖信息处理过程。明确处理个人信息应当事先告知个人信息的处理目的、方式、种类等,保障个人知情权,获得个人明确同意,在相关协议或规则变更时应就变更事项重新告知并获得同意。因应社会发展,对信息处理过程中频繁出现的问题加以规范,例如信息处理者向第三方提供个人信息、公开个人信息、处理敏感个人信息、向境外提供个人信息等情况,应当获得个人单独同意,这将涉及金融、医疗、网络平台、境外交易等多个领域;规范自动化决策,整治大数据杀熟;关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内,以保护我国信息安全等。
确立信息主体权利,规范各方义务责任。明确个人对其信息享有的权利,如查阅、复制、转移、变更、补充、删除个人信息等,并延续《民法典》中对死者人格权的保护,规定近亲属可以对死者的相关个人信息行使相关权利。要求提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者成立主要由外部成员组成的独立机构进行监督,加强大型平台的社会责任。加大对违法行为的惩罚力度,责任落实到直接负责的主管人员和其他直接责任人员。
进入信息化时代,平衡市场发展和人民合法权益是新时代的考卷,需始终以人民利益为中心,根据市场发展出现的新趋势、新问题,不断完善立法,做到清朗网络空间,让人民享受数字生活。
