個人信息保護法出爐!賦予個人“最終決定權”,破除企業“數據霸權”
周弋博
【文/觀察者網 周弋博】
8月20日,第十三屆全國人大常委會第三十次會議表決通過《中華人民共和國個人信息保護法》(以下簡稱“個人信息保護法”),該法自2021年11月1日起施行。
作為我國首部全面完整規定個人信息權利的法律,個人信息保護法亮點頗多,且其嚴苛程度,被《華爾街日報》稱為是“全球最嚴格的數據保護法案之一”,不僅確立了個人在個人信息處理活動中的查閲、複製、攜帶轉移、更正、刪除等權利,也明確了個人的維權途徑和企業違反個人信息保護義務的法律責任,使個人與企業之間的強弱勢地位發生改變。
上海市滙業律師事務所高級合夥人李天航律師向觀察者網表示,個人信息保護法的出台使個人在一定程度上享有“最終決定權”,同時降低了其維護自身個人信息合法權益時的難度。假如“特斯拉女車主車展維權”與“個人徵信報告出現侮辱性字眼”等類似事件再次出現,當事人根據新法維權將更加便捷高效。
第十三屆全國人大常委會第三十次會議表決通過個人信息保護法 圖源:中國人大網
今年4月,特斯拉女車主車展維權事件引發廣泛關注,更是引出了企業“數據霸權”的問題。
當時,來自河南安陽的特斯拉車主張女士在今年2月遭遇駕駛事故後,要求特斯拉方提供事故發生前30分鐘內全部行車數據,但遭到拒絕。
隨後,地方監管部門介入調解,但特斯拉方始終拒絕提供數據。在張女士大鬧車展後,特斯拉方才在監管與媒體輿論壓力下,選擇對外公佈了部分數據。該事件在明面上是車主維權,但在本質上,其實是一場企業與個人之間的數據爭奪戰。
不過,根據即將生效的個人信息保護法的規定,企業未來若是和特斯拉一樣死扣着數據不給用户,將會面臨法律制裁。
而和張女士一樣有維權需求的用户,則有權根據該法直接要求企業按合理訴求處理個人信息。
維權女車主車展現場高喊“特斯拉剎車失靈”
當然,要想講清這個問題,首先得明確兩個概念。
一、個人信息,即以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,但不包括匿名化處理後的信息。
結合《信息安全技術 個人信息安全規範》(GB/T 35273-2020)的規定,個人信息包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。
二、個人信息處理者,在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。
其中,個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。
舉例而言,對購車用户而言,其駕駛產生的時速、制動情況、實時位置等行車數據屬於與已識別的自然人有關的信息,是個人信息,而記錄、保存、分析行車數據的車企顯然屬於個人信息處理者。
在以往,個人在個人信息處理活動中的權利不明確的情況下,如果企業拒絕交出數據好像還真拿他沒什麼辦法。
那麼,在個人信息保護法生效後,這一局面將被打破——用户多了“最終決定權”,企業多了“配合義務”。
特斯拉電動汽車上海旗艦店 圖源:視覺中國
上海市滙業律師事務所高級合夥人李天航律師向觀察者網表示,個人信息保護法以“個人信息自決權”為基礎對個人信息權利做了完整的規定。也就是説,企業處理個人信息應當以“需要獲得個人信息主體同意”為原則。
“與此同時,自然人對其個人信息享有自由決定和自由處理的權利,包括向個人信息處理者撤回同意的權利、限制個人信息處理者處理其個人信息的權利,在一定程度上可以認為其對個人信息的處理享有‘最終決定權’。”
李天航表示,雖然此前也有《信息安全技術 個人信息安全規範》(GB/T 35273-2020)對個人信息的查詢、更正、刪除、響應、投訴等作出一些規定,但是該規範屬於推薦性國家標準,本身不具有強制力保障,僅作為執法的參考。因此,個人信息保護法是首次從法律層面全面完整的規定了個人信息的知情權與決定權,意義非凡。
此外,雖然取得個人同意才能處理個人信息是原則,但該法也規定了一些例外情況,例如“為訂立、履行個人作為一方當事人的合同所必需”“為履行法定職責或者法定義務所必需”等。
《中華人民共和國個人信息保護法》
第十三條 符合下列情形之一的,個人信息處理者方可處理個人信息:
(一)取得個人的同意;
(二)為訂立、履行個人作為一方當事人的合同所必需,或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需;
(三)為履行法定職責或者法定義務所必需;
(四)為應對突發公共衞生事件,或者緊急情況下為保護自然人的生命健康和財產安全所必需;
(五)為公共利益實施新聞報道、輿論監督等行為,在合理的範圍內處理個人信息;
(六)依照本法規定在合理的範圍內處理個人自行公開或者其他已經合法公開的個人信息;
(七)法律、行政法規規定的其他情形。
依照本法其他有關規定,處理個人信息應當取得個人同意,但是有前款第二項至第七項規定情形的,不需取得個人同意。
第十五條 基於個人同意處理個人信息的,個人有權撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式。
個人撤回同意,不影響撤回前基於個人同意已進行的個人信息處理活動的效力。
第四十四條 個人對其個人信息的處理享有知情權、決定權,有權限制或者拒絕他人對其個人信息進行處理;法律、行政法規另有規定的除外。
個人信息保護法中所確立的個人信息主體權利包括查閲、複製、轉移、更正、刪除等內容。
以前述的特斯拉女車主車展維權事件為例,若類似情形再度發生,車主可以直接向特斯拉方要求查閲複製自己的行車數據,也可以依法要求特斯拉方將這些數據轉移到其指定的其他接收方,但必須要在合理的範圍內行使。
“權利的行使不以損害他人為前提,即個人信息主體行使該權利還要考慮對個人信息主體正常經營的影響,在必要的限度和範圍內行使。”
針對前述個人要求數據轉移的權利,移轉的方式和成本是需要考慮的問題,如果數據體量大,數據接收方接收數據的能力和方式是否能夠匹配,都是實踐中必須面對的問題。車企也可以通過提供渠道由用户自行下載的方式,履行配合數據轉移的義務。
《中華人民共和國個人信息保護法》
第四十五條 個人有權向個人信息處理者查閲、複製其個人信息;有本法第十八條第一款、第三十五條規定情形的除外。
個人請求查閲、複製其個人信息的,個人信息處理者應當及時提供。
個人請求將個人信息轉移至其指定的個人信息處理者,符合國家網信部門規定條件的,個人信息處理者應當提供轉移的途徑。
李天航強調,需要注意的是,並非所有的數據都屬於個人信息,需要對數據的種類和性質進行區分,然後具體情況具體分析。但是,如果僅以該案件中特斯拉女車主所要求公佈的駕駛數據為例,這確實屬於個人信息的範疇。
特斯拉公開的部分行車數據
對於個人請求“更正、刪除個人信息”的權利,以前段時間發生的“個人徵信報告出現侮辱性字眼”事件為例,李天航稱類似事件的當事人在未來維權時將更加方便。
今年5月,江蘇南通市民房女士在查詢個人徵信報告時發現,其職業信息“工作單位”一欄中竟然出現了侮辱性字眼。
事件起因是,房女士與晉商消費金融公司有貸款糾紛,該公司為催繳貸款,變相施壓,在上傳徵信信息時,擅自填寫詆譭性內容。被曝光後,該信息已被刪除。
房女士徵信報告職業信息裏寫着侮辱性字眼 圖片來源:人民網江蘇頻道
而作為徵信機構,對於這類具有侮辱性信息應當及時核實並更正,上傳這類信息的主體也應當受到相應的處罰。
同時,當事人也可以根據個人信息保護法,請求徵信機構直接更正或刪除這類不實信息。
《中華人民共和國個人信息保護法》
第四十六條 個人發現其個人信息不準確或者不完整的,有權請求個人信息處理者更正、補充。
個人請求更正、補充其個人信息的,個人信息處理者應當對其個人信息予以核實,並及時更正、補充。
第四十七條 有下列情形之一的,個人信息處理者應當主動刪除個人信息;個人信息處理者未刪除的,個人有權請求刪除:
(一)處理目的已實現、無法實現或者為實現處理目的不再必要;
(二)個人信息處理者停止提供產品或者服務,或者保存期限已屆滿;
(三)個人撤回同意;
(四)個人信息處理者違反法律、行政法規或者違反約定處理個人信息;
(五)法律、行政法規規定的其他情形。
法律、行政法規規定的保存期限未屆滿,或者刪除個人信息從技術上難以實現的,個人信息處理者應當停止除存儲和採取必要的安全保護措施之外的處理。
個人信息保護法為個人用户賦予了權利,自然也為企業設定了義務。
那麼,如果企業很‘頭鐵”,拒不配合用户行使權利,應當如何處理?結論是,行政處罰。
李天航表示,個人信息權利的行使以個人信息處理者配合義務為前提,拒絕履行義務導致用户個人信息權利無法實現的,違反了個人信息保護法,應當適用其規定的處罰條款,個人也可以向人民法院提起訴訟。
“結合執法實踐,一般情況下,執法機構會先責令改正,給予警告的處罰;拒不改正或者情節嚴重的,再作出較大數額罰款、責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照等較為嚴重的處罰。”
“同時,對企業直接負責的主管人員和其他直接責任人員也會作出一定數額的罰款,甚至可以一併決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。”
《中華人民共和國個人信息保護法》
第六十六條 違反本法規定處理個人信息,或者處理個人信息未履行本法規定的個人信息保護義務的,由履行個人信息保護職責的部門責令改正,給予警告,沒收違法所得,對違法處理個人信息的應用程序,責令暫停或者終止提供服務;拒不改正的,並處一百萬元以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
有前款規定的違法行為,情節嚴重的,由省級以上履行個人信息保護職責的部門責令改正,沒收違法所得,並處五千萬元以下或者上一年度營業額百分之五以下罰款,並可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款,並可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。
此外,個人用户在此時也有權向企業提起民事訴訟,如果涉及人數較多,還可以由檢察院、消費者協會或國家網信部門確定的組織提起民事公益訴訟。
李天航指出,個人信息保護法在訴訟維權問題上借鑑了《民法典》中侵權責任部分關於“舉證責任倒置”的規定,即“個人信息處理者不能證明自己沒有過錯的,應當承擔損害賠償等侵權責任”,明顯降低了個人維權難度。當然,個人也還是要首先證明企業“侵害其個人信息權益並造成損害這一事實”的發生。
《中華人民共和國個人信息保護法》
第五十條 個人信息處理者應當建立便捷的個人行使權利的申請受理和處理機制。拒絕個人行使權利的請求的,應當説明理由。
個人信息處理者拒絕個人行使權利的請求的,個人可以依法向人民法院提起訴訟。
第六十九條 處理個人信息侵害個人信息權益造成損害,個人信息處理者不能證明自己沒有過錯的,應當承擔損害賠償等侵權責任。
前款規定的損害賠償責任按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定;個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的,根據實際情況確定賠償數額。
第七十條 個人信息處理者違反本法規定處理個人信息,侵害眾多個人的權益的,人民檢察院、法律規定的消費者組織和由國家網信部門確定的組織可以依法向人民法院提起訴訟。
那麼,如果企業為了逃避義務,以“不提供產品或服務”為代價迫使用户放棄上述權利的,或者通過《用户協議》等形式否認用户的上述權利的,又該如何處理?
對於前者,個人信息保護法已有明確規定:個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由,拒絕提供產品或者服務。
對於後者,撤回同意、查閲、複製、轉移、更正等權利是法定權利,如果企業以種種理由對此予以限制或者排除該權利的行使,將失去法律規定的意義。
“如果《用户協議》等文件以要求用户放棄相應權利作為獲得處理用户個人信息的條件的,有強制獲得用户同意的性質,也違背了個人信息保護法第十六條的規定,原則上是無效的。”
《中華人民共和國個人信息保護法》
第十六條 個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由,拒絕提供產品或者服務;處理個人信息屬於提供產品或者服務所必需的除外。
除了針對前述配合義務,企業還需要承擔保證個人信息質量、維護個人信息安全、告知用户具體情況、彙報監督責任人員等義務。
比如説,除非得到用户的同意,否則企業不得公開其處理的個人信息。
換言之,類似於前述事件中特斯拉方未經車主同意擅自公開“事故發生前一分鐘”行車數據的行為,構成違法,理應承擔相應責任。
《中華人民共和國個人信息保護法》
第八條 處理個人信息應當保證個人信息的質量,避免因個人信息不準確、不完整對個人權益造成不利影響。
第九條 個人信息處理者應當對其個人信息處理活動負責,並採取必要措施保障所處理的個人信息的安全。
第十七條 個人信息處理者在處理個人信息前,應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項:
(一)個人信息處理者的名稱或者姓名和聯繫方式;
(二)個人信息的處理目的、處理方式,處理的個人信息種類、保存期限;
(三)個人行使本法規定權利的方式和程序;
(四)法律、行政法規規定應當告知的其他事項。
前款規定事項發生變更的,應當將變更部分告知個人。
個人信息處理者通過制定個人信息處理規則的方式告知第一款規定事項的,處理規則應當公開,並且便於查閲和保存。
第二十五條 個人信息處理者不得公開其處理的個人信息,取得個人單獨同意的除外。
第五十二條 處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人,負責對個人信息處理活動以及採取的保護措施等進行監督。
個人信息處理者應當公開個人信息保護負責人的聯繫方式,並將個人信息保護負責人的姓名、聯繫方式等報送履行個人信息保護職責的部門。
其中,針對需要將個人信息送往境外的個別企業,個人信息保護法還設定了額外的義務。
如果企業確因業務需要等將個人信息提供至境外的,應當符合以下條件:
一是如果企業屬於關鍵信息基礎設施運營者或者處理個人信息達到國家網信部門規定數量的,應當通過國家網信部門組織的安全評估,法律、行政法規和國家網信部門規定可以不進行安全評估的除外。
二是對於上述企業以外的,可以選擇以下兩種方式之一:按照國家網信部門規定經專業機構進行個人信息保護認證;或者按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務。
至於關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者,必須將境內收集的個人信息儲存在境內。
畢竟,數據之爭可以由企業或個人進行,但承載的利益如果涉及國家,那數據權屬問題可以瞬間上升為國家安全問題。
《中華人民共和國個人信息保護法》
第三十八條 個人信息處理者因業務等需要,確需向中華人民共和國境外提供個人信息的,應當具備下列條件之一:
(一)依照本法第四十條的規定通過國家網信部門組織的安全評估;
(二)按照國家網信部門的規定經專業機構進行個人信息保護認證;
(三)按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務;
(四)法律、行政法規或者國家網信部門規定的其他條件。
中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個人信息的條件等有規定的,可以按照其規定執行。
個人信息處理者應當採取必要措施,保障境外接收方處理個人信息的活動達到本法規定的個人信息保護標準。
第四十條 關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者,應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的,應當通過國家網信部門組織的安全評估;法律、行政法規和國家網信部門規定可以不進行安全評估的,從其規定。
總得來説,隨着大數據時代的到來,科技巨頭們對數據的壟斷操控一直是一個極具爭議的問題。
因為美國科技巨頭壟斷了歐洲很大部分數據,歐盟在2016年推出了《通用數據保護條例》(GDPR),以保證將歐盟公民的數據留在歐洲。
如今,中國推出了個人信息保護法,有力地保障了個人的合法權益,明確了企業的法律義務與社會責任,足以打破數據之爭中“個人弱、企業強”的現有局面。
那麼,特斯拉等企業的“數據霸權”是否還能繼續存在?
今年11月1日個人信息保護法生效後自然會有答案。