我国第一部个人信息保护方面的专门法律——《中华人民共和国个人信息保护法》(以下称《个人信息保护法》)将于今年11月1日起正式施行。这部法律对个人信息处理活动进行了全面规范,明确了个人在信息处理活动中的权利,个人信息处理者的义务与责任,以及个人信息权益保护与个人信息合理利用之间的关系,建立了权责明确、保护有效、利用规范的个人信息处理规则,这将促进包括个人信息在内的数据信息自由安全流动与合理有效利用,进而推动数字治理和数字经济的健康发展。对政府部门而言,及时权威的信息公开对日常治理尤其是突发事件处置具有重要作用,科学精准的信息公开需要平衡公共利益与个人利益的关系,应该按照《个人信息保护法》要求,建立一套行之有效的制度体系和标准操作流程,切实从机制上保障个人信息安全。
构建“告知-同意”的信息处理原则
《个人信息保护法》强调处理个人信息应当具有明确、合理的目的,并采取对个人权益影响最小的方式,限于最小范围,保证信息质量,采取安全保护措施等,遵循合法、正当、必要和诚信原则,并将这些原则贯穿于个人信息处理的全过程、各环节。
在知情同意方面,《个人信息保护法》紧紧围绕规范个人信息处理活动、保障个人信息权益,构建了以“告知-同意”为核心的个人信息处理原则。在处理一般性公共事务和突发事件时,应当在事先充分告知的前提下取得个人同意,如果个人信息处理的重要事项发生变更,还应当重新向个人告知并取得同意。考虑到经济社会生活的复杂性,《个人信息保护法》同样从维护公共利益和保障社会正常生产生活的角度,对取得个人同意以外可以合法处理个人信息的特定情形作了规定。明确为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需,不需取得个人同意,紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。
在敏感信息保护方面,《个人信息保护法》将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息列为敏感个人信息,并要求,只有在具有特定目的和充分的必要性,并采取严格保护措施的情形下,才可以处理敏感个人信息。同时应当进行事前影响评估,并向个人告知处理的必要性以及对个人权益的影响。针对现实生活中社会反映强烈的一揽子授权、强制同意等问题,《个人信息保护法》特别要求个人信息处理者在处理敏感个人信息、向他人提供或公开个人信息、跨境转移个人信息等环节应取得个人的单独同意。这就要求在公开敏感个人信息前必须对信息进行“脱敏”处理,除非取得个人的单独同意。
《个人信息保护法》明确个人信息处理者不得过度收集个人信息,不得以个人不同意为由拒绝提供产品或者服务,并赋予个人撤回同意的权利,在个人撤回同意后,个人信息处理者应当停止处理或及时删除其个人信息。如果个人后续不愿公开其个人信息,相关部门应该停止处理并删除已经公开的个人信息。
明确信息处理者的义务和责任
保护个人信息权益、保障个人信息安全是国家机关应尽的义务和责任。《个人信息保护法》第二章第三节对国家机关及其有关部门处理个人信息进行了特别规定。“国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度”,“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式”,这意味着,即使个人信息使用是出于公共利益,仍然应当限于实现处理目的的最小范围,不得过度收集个人信息。
《个人信息保护法》设专章明确了个人信息处理者的合规管理和保障个人信息安全等义务,要求个人信息处理者应当按照规定制定内部管理制度和操作规程,对个人信息实行分类管理,采取相应的安全技术措施,指定负责人对其个人信息处理活动进行监督,定期对其个人信息活动进行合规审计,对处理敏感个人信息、利用个人信息进行自动化决策、对外提供或公开个人信息等高风险处理活动进行事前影响评估,履行个人信息泄露通知和补救义务等。《个人信息保护法》实施后,关于个人信息公开的流程、内容都将发生相应变化,相关政府部门必须根据《个人信息保护法》相关规定对制度、规程和措施进行完善。
比如在疫情防控过程中,流调报告已经成为公众了解疫情信息的重要渠道、提升防疫效率的重要手段。公开流调报告,关乎防疫大局,但也要体现对个人信息的保护,特别是个人隐私信息的保护。不当公开可能会导致个人隐私信息的暴露和生活细节的放大,经过少数网民“人肉搜索”的数据关联画像,甚至会导致网络暴力等问题。2021年初,北京和上海等地的防疫信息通报就运用了“只提地点不提人”的方式,避免了对个人信息,特别是个人隐私信息的暴露。这充分说明,流调信息等因公共利益需要可以公开,但相关责任部门有义务保护个人信息,做到有限公开,遵循《个人信息保护法》中的“最小化原则”,控制个人信息最小范围、最小影响的开放;适度公开,要对流调信息的范围和内容进行必要取舍,隐去病例的年龄、性别、籍贯、工作等与疫情防控关联性不高的个人信息,进行“脱敏”处理;做到精准公开,流调信息切实从防疫的需要出发,平衡好公共利益和个人权益。
切实加强个人信息保护
当前,个人信息与数据安全成为社会关注的焦点问题,各级地方政府及相关部门应加强对个人信息保护,对个人信息与数据保护采取针对性措施。
加强个人信息权利保护意识。对公众而言,要通过多种形式、多种渠道宣传普及个人信息安全知识。例如,通过曝光违法违规行为、发布打击违法犯罪案例、开展警示教育等提升全民个人数据保护意识和技能,在全社会强化个人信息权保护敏感度,引导个体小心谨慎严格授权。同时,加强对网络服务平台的宣传教育,督促平台对个人信息依法依规采集、规范妥善处理,杜绝滥采滥用。另一方面,要规范信息公开流程和标准,健全个人信息保护制度,对涉及个人信息收集、组织、加工和保存的处理事项进行“瘦身”,对需要公开个人信息的事项进行重新评估和适度精简。
规范不同情境下信息公开的要素。按照《个人信息保护法》对个人信息处理者的要求,信息公开主体应制定针对不同情境和具体情况的个人信息分类标准,实行情境式分类管理,对公开程度、公开内容、公开方式、安全技术措施等制定分类标准和风险评估,规范不同情境下信息公开要素,实现对个人信息的初评和预判,在信息公开和个人信息保护中取得平衡。
统一个人信息处理和公开的流程。将公民活动行程、活动轨迹等个人隐私信息交由统一部门处理,进一步严格法律责任追究。积极推动全国信息安全标准委员会发布的《个人信息安全规范》《大数据服务安全能力要求》等国家标准在省市范围内的施行,率先组织制定移动互联网应用程序收集个人数据基本规范等标准草案,对现行政务与商务活动中的个人数据安全出现的问题加大惩罚力度。规范不同场景中个人信息处理责任单位,形成统一规范的“告知-同意”流程和特定场景的信息公开模板,避免出现个人信息保护缺位问题。
开展人肉搜索、网络暴力等行为的专项治理。通过人肉搜索和网络暴力等,擅自处理和公开个人隐私信息属于违法行为,随意篡改、扭曲公开的个人信息也属于违法行为。围绕《关于做好个人信息保护利用大数据支撑联防联控工作的通知》等专项治理要求,针对省市域内注册的企业或平台所开展App违法违规收集使用个人数据专项治理行动,网信办、大数据局和行业主管部门等要盯紧房产、金融、教育、旅游、保险等重点领域,严防个人数据泄露,同时畅通监督举报渠道,强化部门联动协作,坚决斩断侵害个人数据安全的利益链条,要强化个人数据安全保护的主体责任,采取严格的管理和技术防护措施,防止个人数据被窃取泄露。
(作者单位:苏州大学社会学院;苏州大学数据治理与产业发展研究院)
责任编辑:李佳婧
