SCI论文(www.lunwensci.com)
摘要:在新媒体技术日新月异、互联网快速发展和数字经济建设的时代背景下,《 中华人民共 和国个人信息保护法 》(以下简称《 个人信息保护法 》)颁布出台, 通过拓展个人信息保护范围、 确立“ 告知 — 同意 ”个人信息处理规则、规制人脸识别和算法推荐等新兴技术手段、明确个人信 息处理者的义务、强化侵权违法行为的法律责任,充分彰显了立法的时代性。《 个人信息保护法 》 与《 中华人民共和国网络安全法 》(以下简称《 网络安全法 》)《 中华人民共和国数据安全法 》(以 下简称《 数据安全法 》)相互补充配合, 为网络平台用户信息利用提供指引。
以大数据、人工智能、移动互联 、云计算 、区 块链 、物联网等为代表的新技术集群广泛应用 , 带动数字经济 、平台经济迅猛发展。伴随着发展 而来的网络平台个人信息利用与保护问题 ,也得 到了前所未有的热度和关注度 ,尤其是个人信息 收集 、披露 、滥用以及“ 大数据杀熟 ”等社会负 面现象频出,让大众对自身信息安全充满担忧 , 导致对各网络平台不信任,甚至引发法律纠纷 , 十分不利于经济社会的健康与和谐发展。本文以 《 个人信息保护法 》规定的个人信息保护范围和处 理规则 、利益相关者的权利义务和法律责任等为 讨论对象 ,就网络平台合法合规利用用户信息提 出可行策略。
一、《个人信息保护法 》出台背景
( 一 ) 个人信息滥用问题严峻
据中国互联网络信息中心 (CNNIC) 2021 年 8 月 27 日发布的《 中国互联网络发展状况统计报 告 》数据显示,截至 2021 年 6 月 ,我国网民规模 达 10.11 亿人 ,互联网普及率达 71.6% ,我国已 经形成全球最为庞大的数字社会。庞大的个人信 息运用到互联网 、大数据等领域 ,激活数字经济 发展的同时也产生诸多新问题。例如 ,2005 年 , 新浪网站发布一则《 网站搜人引擎偷走 9000 万份 个人资料 》的新闻 ,在一个号称全球最大的搜人 引擎 UCOOL 上 ,通过输入姓名查找到符合姓名的人的详细资料 ,包括联系方式 、学习或工作单 位、家庭住址等,[1] 一度引发了不小轰动和恐慌 ; 2009 年 ,中国社会科学院发布的《法治蓝皮书 》 显示 ,随着信息处理和存储技术不断发展 ,我国 个人信息滥用问题日趋严重 [2] ,过度收集 、擅自 披露、盗用滥用、非法买卖用户信息等问题层出不 穷;[3] 2016 年 ,美国近 8700 万 Facebook 用户数 据被不正当泄露给为美国总统竞选工作服务的数 据公司 ——J 分析公司,借此操纵舆论 、干预总统 大选 ;2020 年 ,浙江省消保委第三季度受理投诉 情况分析中 ,F 平台两度被点名,分别涉及“ 大数 据杀熟 ”和宣传与实际不符的问题 。网络领域的 用户信息合法合理地使用面临极其严峻的挑战 , 需要法律来保护用户信息的呼声越发响亮 ,已然 成为大众最为关心也最为息息相关的利益问题。
( 二 ) 回应信息流通立法潮流
互联网的广泛应用和飞速发展 ,打破了传统 的地域和时空限制 ,规范信息流通 、加强个人信 息保护 ,已经成为全球面临的共性问题 。目前 , 全世界已经有超过 100 个国家通过立法的形式加 强对个人信息和隐私的保护,其中最具有代表性 的当数欧盟在 2018 年 5 月颁布生效的《通用数 据保护条例 (GDPR)》。 GDPR 对互联网组织收 集 、分析和管理用户信息权限进行了严格限定和 监管 ,包括信息收集的知情同意权 ,个人数据访问权、修改权、擦除权 、限制处理权,数据携带权 和反自动化决策权,[4] 同时还设立了独立的监管 机构 [5] 。与欧盟不同但同样具有代表性的是美国 的做法 ,美国诉诸“ 行业自律 + 分散立法 ”的双 重路径来保护个人信息 ,在行业自律维度主要是 通过微软等互联网巨头建立个人隐私保护机制 , 在立法上则是通过制定实施《 消费者隐私权利法 案 》《算法责任法案 》等法律发挥作用。我国《个 人信息保护法 》出台 ,在一定程度上借鉴了欧盟 GDPR 及其他国家和地区的立法思路 ,同时顺应 了全球化背景下我国数字经济发展大趋势 、新要 求 ,响亮回应了个人信息保护世界立法的潮流。
( 三 ) 前期立法奠定坚实基础
早在 21 世纪初 ,我国便开始针对个人信息 保护进行立法探索。2000 年颁布的《 全国人大常 委会关于维护互联网安全的决定 》对侵犯公民通 信自由和通信秘密作出规定 ,首次涉及个人信息 保护 [6] 。2012 年《全国人大常委会关于加强网络 信息保护的决定 》提出在收集 、利用个人电子信 息时应当遵守的三大原则 ,即合法、正当、必要 。 这三大原则作为基础性原则在之后的立法中均得 到延续和体现。2013 年《 电信和互联网用户个人 信息保护管理规定 》对用户个人信息作出明确界 定。2016 年《 网络安全法 》首次以法律形式规范 个人信息保护问题 ,明确了用户对个人信息的更 正权 、删除权 ,对“ 告知 — 同意 ”规则进行具体 阐述。该法填补了我国在个人信息保护领域的法 律空缺 ,为个人信息保护提供了法律依据 ,对我 国网络安全和数据保护具有里程碑意义 。同时 , 一些法律法规在制 (修) 订过程中都补充了个人 信息保护相关条款 [6] ,例如,《 消费者权益保护法 (修订 ) 》《刑法修正案 (九 ) 》《 民法典 · 人格 权编 》等,但均未形成完整的个人信息保护法律 体系。2018 年 9 月,《个人信息保护法 》首次纳入 立法计划,经过 3 年的起草修订,于 2021 年 11 月 1 日正式实施,标志着我国首个个人信息层面的立 法登上了时代舞台。
二、《个人信息保护法 》重点解读
( 一 ) 个人信息处理核心原则的确立
个人信息保护建立在规定和限制个人信息处 理者行为的前提之上。《个人信息保护法 》在继 承了三大原则的基础上 ,增加了诚信 、质量 、最 小范围 、目的限制等原则 。例如《个人信息保护法 》的第五条 、第六条以及第七条均彰显了个人 信息处理的核心原则 。同时,《个人信息保护法 》 对“ 告知 — 同意 ”规则做出了更为明确具体的规 定。《个人信息保护法 》的第十七条规定了信息处 理者在处理信息前应当以显著的方式,并用清晰 易懂的语言履行告知义务并取得同意。
( 二 ) 规范个人信息境外效力原则
《 个人信息保护法 》学习 、吸收了 2018 年欧 盟《通用数据保护条例 (GDPR)》 关于个人信息 保护境外效力的相关提法 、做法和经验 ,在条款 中明文规定了个人信息境外效力情形,耦合了国 际个人信息保护的境外效力趋势。根据《个人信 息保护法 》第三条第二款规定 ,在中华人民共和 国境外处理中华人民共和国境内自然人个人信息 的活动,包括以向境内自然人提供产品或者服务 为目的的活动 (如麦肯锡 、波士顿咨询等大型国 外咨询公司向境内的自然人提供咨询服务 ), 分 析 、评估境内自然人的行为的活动 (如国际商业 机器公司 (IBM) 发布的用户行为调查报告 ), 以及法律 、行政法规规定的其他情形 ,均适用本 法。个人信息境外效力的相关规定 ,进一步明确 和规范了个人信息国际流通的规范性 ,有效促进 国际交流合作和经济全球化健康可持续发展。
( 三 ) 规范个人信息自动化决策原则
随着大数据、数据挖掘、人工智能等现代信息 技术在个人信息处理中的广泛应用,算法黑箱 、 信息茧房 、羊群效应 、大数据杀熟等负面社会现 象接踵而至 ,严重影响了经济秩序 。为了扭转局 面 、维持健康经济秩序,《个人信息保护法 》第 二十四条明确指出在进行自动化决策时,个人信 息处理者应当坚持的原则 ,即决策的透明度和结 果公平 、公正 ,以及不得对个人实行不合理的差 别待遇,包括交易价格等交易条件 。同时,要求个 人信息处理者提供不具有针对性的选项 ,如在营 销信息推送时提供自动化决策信息和非自动化决 策信息两个选项 ,由用户自主选择。《个人信息保 护法 》赋予了用户拒绝的权利 ,即对于利用自动 化决策作出的结果用户可以要求处理者说明并拒 绝那些对自己权益有重大影响的决定 ,这样能够 有效避免信息处理者滥用自动化决策。
( 四 ) 定义和建立敏感个人信息处理规则
《 个人信息保护法 》从人格尊严、人身及财产 安全 、是否年满十四周岁等三个维度区分了敏感信息和非敏感信息。《个人信息保护法 》用单独 的一节详细厘定了个人敏感信息的处理原则和方 法 ,例如利用敏感信息必须同时满足以下两个条 件:一是具有特定的目的以及充分的必要性,二是 采取严格保护措施。满足以上两个条件并不意味 着信息处理者可以立即实施处理行为。个人信息 处理者要充分告知个人信息处理的必要性及可能 影响 ,取得单独同意后才可实施处理敏感信息行 为。这些规则展现了立法者对敏感个人信息的高 度重视和严格保护。
( 五 ) 明确个人信息处理中个人各项权利
确立信息主体在个人信息处理中享有的各 项权利 ,有助于更好地管理自身信息权益 ,做好 风险预期与防范 ,同时也有助于个人信息处理者 更好地规范和约束自身信息处理行为。基于此 , 《 个人信息保护法 》用完整的一章 ,即第四章 (第 四十四条至第五十条 ) 厘定了主体的权利 ,构筑 信息主体在个人信息处理活动中的权利大楼,包 括知情权、决定权、查询复制权、转移携带权、更 正补充请求权 、删除请求权以及要求解释说明权 七项权利 [7] 。
( 六 ) 严格规定个人信息处理者的各项义务
只有严格监督个人信息处理者履行其在个人 信息处理中各项义务 ,才能更好地保证主体在个 人信息处理中的权利。鉴于此,《个人信息保护法 》 专设一章对个人信息处理者的义务进行了规制 。 一是规定了安全保障义务,《个人信息保护法 》第 五十一条从“ 制定内部管理制度和操作规程 、对 个人信息实行分类管理 …… 法律及行政法规规定 的其他措施 ”等六项措施来保证处理个人信息行 为的合法性和安全性;二是规定了个人信息保护 人制度 [8] ,据第五十二条 ,处理个人信息达到国 家网信部门规定数量的个人信息处理者,应当指 定个人信息保护负责人;三是个人信息保护影响 评估制度,第五十五条规定了四种需要进行个人 信息保护影响评估的具体情形 ,即敏感信息的处 理 、进行自动化决策 、委托或向其他处理者提供 个人信息以及向境外提供信息,并最后利用对个 人权利有无重大影响,来评估其他未列举情形是 否需要进行评估作为兜底 ,以保证对个人信息的 全面保护 ;四是规定了大型互联网平台的特殊保 护义务,《个人信息保护法 》要求其履行“ 守门人 ”角色 ,承担更多的责任 ,例如由外部成员成 立独立机构来进行监督工作 ,定期发布报告 ,以 接受社会监督 [9] 。
( 七 ) 加强个人信息侵权的法律责任
《 个人信息保护法 》在《 民法典 》对侵犯个人 信息权益的损害赔偿规则的基础上 ,进一步加强 了对个人信息权益的保护 ,增加了许多强有力的 个人信息保护措施 [8] 。第一 ,确立了民事责任 、 行政责任与刑事责任相结合的多维度 、多层次 、 立体化责任体系;第二 ,确立个人信息侵害过错 推定责任;第三 ,确立个人信息损害赔偿责任 。 《 个人信息保护法 》在罚款相关的规定上也相当严 格 ,其中“ 处 5000 万元以下或者上一年度营业额 5% 以下罚 款 ”, 对比 GDPR 的“ 对轻微 罚款营 业额 2%或 1000 万欧元的罚款 ”, 以及“ 对严重 违约罚款全球营业额的 4% 或 2000 万欧元 ”处罚 规则来看 ,我国的处罚程度与欧盟处在同一个量 级,体现了我国对违反个人信息保护制度的严厉 处罚以及对个人信息的坚决保护。
三 、网络平台合法合规利用用户信息的可行 策略
( 一 ) 树立信息利用和信息保护“ 互促双赢 ” 理念进入以数据资源作为关键生产要素 、以现代 信息网络作为重要载体 、以信息通信技术的有效 使用作为效率提升和经济结构优化的重要推动力 的数字经济时代 [10] ,是经济、计算机科学技术发 展的必然趋势。通过数据挖掘分析把握市场深层 次需求 ,利用精确的推荐算法程序满足差异化 、 多样化的需求 ,并指引商品生产规划 ,动态解决 供需失衡问题 [11] ,从而形成高效稳定供求关系 , 显著提升市场效率 ,可以进一步发挥数字经济优 势、推动数字经济发展 。因此,各网络平台应当树 立信息利用和信息保护“ 互促双赢 ”的理念 ,在 保护用户个人信息的同时 ,充分利用这一优点 , 找到信息保护和信息合理使用之间的平衡,促进 盈利增收的同时推动数字经济健康可持续发展 。 从《个人信息保护法 》第一条“ 为了保护个人信 息权益 ,规范个人信息处理活动 ,促进个人信息 合理利用,根据宪法,制定本法 ”也能看出,信息 保护和信息合理利用之间并不是相互对立 、互不 相容的关系 ,信息保护是信息合理利用的前提,合理利用信息是信息保护的目的 [11] 。
( 二 ) 把握个人信息处理各项规制
第一 ,准确认知《个人信息保护法 》所提及 的基础原则。这些原则不仅反映了立法的指导原 理和准则 ,同时折射出当今社会的价值取向 、趋 势和要求 。因此 ,平台只有在各项原则的指导下 进行个人信息收集 、处理等活动 ,才能建立起平 台的公信力 ,取得民众的信赖 ,用户才会放心地 将个人信息授权给平台使用。
第二 ,准确识别不同个人信息类型的适用场 景。非敏感个人信息 、敏感个人信息及不同类型 敏感个人信息的适用场景不同 ,处理方式也应有 所区别 。例如 ,人脸识别这种属于生物识别的敏 感个人信息,平台在收集、处理时应该以单独、显 著的方式征得用户的同意 ,而且不能以用户拒绝 提供面部信息为由而拒绝提供服务。
第三,科学合法使用自动化决策。对几乎所有 网络平台来讲 ,自动化决策解放了生产力 。网络平 台最常见的自动化决策,是借助数据分析、可视化 分析等手段将收集到的大量用户个人信息构建出 用户画像,并依托推荐算法向用户进行个性化推 荐,预测用户购买行为,影响甚至引导用户的购买 决策 。在《个人信息保护法 》的指导下 ,网络平 台应该提高自动化决策过程中的透明度 ,给予用 户选择是否需要个性化推荐的选择权;对影响用 户做出重大决策的场景引入人工审核,并且在有 第三方介入的场景时确保第三方系统满足法律的 要求;同时,还可在使用用户信息之前将用户个人 信息进行加密处理,使处理后的数据无法反向定 位、识别到具体用户,借此保护用户的信息。
( 三 ) 制定个人信息利用规章制度
从《个人信息保护法 》对大体量的互联网平 台在用户个人信息保护的要求上来看,平台需建 立一套耦合《个人信息保护法 》相关规定 、符合 自身实际的个人信息保护规章制度和完备且高效 的数据管理体系与内部监管模式 。例如 ,遵循公 开、公平、公正的原则,制定利用规则、过错推定 责任认定规则 、违规处罚规则 ,明确平台在个人 信息利用中的“ 利用什么信息 、用在哪些地方 、 如何利用 、如何保护 、如何约束 、如何处理违规 利用 ”;成立专门的个人信息保护小组或团队 ,明 确个人信息保护第一责任人 ,进行合法合规 、隐私保护方案具体实施的监管,并逐步形成稳定健 全的监督机制,充分履行个人信息保护“ 守门人 ” 职责。
四 、结语
《 中国互联网发展报告 2021》显示 ,2020 年 中国数字经济规模达到 39.2 万亿 ,占 GDP 比重 38.6% 并保持了 9.7% 的高位增速。我国数字经济 正以势不可当的姿态阔步而来。各网络平台应结 合数字经济发展趋势和规律 ,主动迎接《个人信 息保护法 》,在以《个人信息保护法 》为核心的网 络法律体系下进行自我限定,及时转变经营管理 思路和方向,利用好、保护好用户个人信息,定将 享受到数字经济的优势 ,分享到其带来的红利 , 进而带动我国数字经济健康可持续发展。
参考文献
[1] 聂生奎.个人信息保护法律问题研究[D].北京:中国政法大学,2009.
[2] 何培瑞,唐炜钧,雷歆怡.大数据时代个人信息保护的法律思考[J].网络安全技术与应用,2022(8): 62-64.
[3] 宋丽娟,程文华.要切实增强个人信息保护意识[J].人大建设,2009(5):49.
[4] 金幼芳,王凯莉,张汀菡.《个人信息保护法》视角下“大数据杀熟”的法律规制[J].浙江理工大学学 报(社会科学版),2021.46(6):693-701.
[5] 孙权,沙泽 阳,王曦,等.个人信息保护法案对比研究及对我国的启示[J].上海保险,2020(11): 54-60.
[6] 戴建华.个人信息保护有法可依[N].中国纪检监察报,2021-08-31(8).
[7] 程啸.论《民法典》与《个人信息保护法》的关系[J].法律科学 (西北政法大学学报),2022.40(3):19- 30.
[8] 王利明,丁晓东.论《个人信息保护法》的亮点、特色与适用[J].法学家,2021(6):1-16.191.
[9] 王春晖.《个人信息保护法》的十大核心要点解析[J].中国电信业,2022(1):54-60.
[10] 国家统计局.数字经济及其核心产业统计分类 (2021)(国家统计局令第 33 号)[EB/OL].(2021- 06-03)[2022-07- 17].http://www.stats.gov.cn/tjsj/ tjbz/202106/t20210603_1818134.html.
[11] 盘和林.个人信息保护法今起实施 需在保护与合理利用之间找平衡[N].每日经济新闻,2021-11-01 (6).
关注SCI论文创作发表,寻求SCI论文修改润色、SCI论文代发表等服务支撑,请锁定SCI论文网!
文章出自SCI论文网转载请注明出处:https://www.lunwensci.com/falvlunwen/61774.html
