李卓卓　周毅

我國第一部個人信息保護方面的專門法律——《中華人民共和國個人信息保護法》（以下稱《個人信息保護法》）將于今年11月1日起正式施行。這部法律對個人信息處理活動進行了全面規(guī)范，明確了個人在信息處理活動中的權(quán)利，個人信息處理者的義務(wù)與責(zé)任，以及個人信息權(quán)益保護與個人信息合理利用之間的關(guān)系，建立了權(quán)責(zé)明確、保護有效、利用規(guī)范的個人信息處理規(guī)則，這將促進包括個人信息在內(nèi)的數(shù)據(jù)信息自由安全流動與合理有效利用，進而推動數(shù)字治理和數(shù)字經(jīng)濟的健康發(fā)展。對政府部門而言，及時權(quán)威的信息公開對日常治理尤其是突發(fā)事件處置具有重要作用，科學(xué)精準(zhǔn)的信息公開需要平衡公共利益與個人利益的關(guān)系，應(yīng)該按照《個人信息保護法》要求，建立一套行之有效的制度體系和標(biāo)準(zhǔn)操作流程，切實從機制上保障個人信息安全。

構(gòu)建“告知-同意”的信息處理原則

《個人信息保護法》強調(diào)處理個人信息應(yīng)當(dāng)具有明確、合理的目的，并采取對個人權(quán)益影響最小的方式，限于最小范圍，保證信息質(zhì)量，采取安全保護措施等，遵循合法、正當(dāng)、必要和誠信原則，并將這些原則貫穿于個人信息處理的全過程、各環(huán)節(jié)。

在知情同意方面，《個人信息保護法》緊緊圍繞規(guī)范個人信息處理活動、保障個人信息權(quán)益，構(gòu)建了以“告知-同意”為核心的個人信息處理原則。在處理一般性公共事務(wù)和突發(fā)事件時，應(yīng)當(dāng)在事先充分告知的前提下取得個人同意，如果個人信息處理的重要事項發(fā)生變更，還應(yīng)當(dāng)重新向個人告知并取得同意?？紤]到經(jīng)濟社會生活的復(fù)雜性，《個人信息保護法》同樣從維護公共利益和保障社會正常生產(chǎn)生活的角度，對取得個人同意以外可以合法處理個人信息的特定情形作了規(guī)定。明確為應(yīng)對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需，不需取得個人同意，緊急情況下為保護自然人的生命健康和財產(chǎn)安全無法及時向個人告知的，個人信息處理者應(yīng)當(dāng)在緊急情況消除后及時告知。

在敏感信息保護方面，《個人信息保護法》將生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息列為敏感個人信息，并要求，只有在具有特定目的和充分的必要性，并采取嚴(yán)格保護措施的情形下，才可以處理敏感個人信息。同時應(yīng)當(dāng)進行事前影響評估，并向個人告知處理的必要性以及對個人權(quán)益的影響。針對現(xiàn)實生活中社會反映強烈的一攬子授權(quán)、強制同意等問題，《個人信息保護法》特別要求個人信息處理者在處理敏感個人信息、向他人提供或公開個人信息、跨境轉(zhuǎn)移個人信息等環(huán)節(jié)應(yīng)取得個人的單獨同意。這就要求在公開敏感個人信息前必須對信息進行“脫敏”處理，除非取得個人的單獨同意。

《個人信息保護法》明確個人信息處理者不得過度收集個人信息，不得以個人不同意為由拒絕提供產(chǎn)品或者服務(wù)，并賦予個人撤回同意的權(quán)利，在個人撤回同意后，個人信息處理者應(yīng)當(dāng)停止處理或及時刪除其個人信息。如果個人后續(xù)不愿公開其個人信息，相關(guān)部門應(yīng)該停止處理并刪除已經(jīng)公開的個人信息。

明確信息處理者的義務(wù)和責(zé)任

保護個人信息權(quán)益、保障個人信息安全是國家機關(guān)應(yīng)盡的義務(wù)和責(zé)任?！秱€人信息保護法》第二章第三節(jié)對國家機關(guān)及其有關(guān)部門處理個人信息進行了特別規(guī)定?！皣覚C關(guān)為履行法定職責(zé)處理個人信息，應(yīng)當(dāng)依照法律、行政法規(guī)規(guī)定的權(quán)限、程序進行，不得超出履行法定職責(zé)所必需的范圍和限度”，“處理個人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對個人權(quán)益影響最小的方式”，這意味著，即使個人信息使用是出于公共利益，仍然應(yīng)當(dāng)限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息。

《個人信息保護法》設(shè)專章明確了個人信息處理者的合規(guī)管理和保障個人信息安全等義務(wù)，要求個人信息處理者應(yīng)當(dāng)按照規(guī)定制定內(nèi)部管理制度和操作規(guī)程，對個人信息實行分類管理，采取相應(yīng)的安全技術(shù)措施，指定負(fù)責(zé)人對其個人信息處理活動進行監(jiān)督，定期對其個人信息活動進行合規(guī)審計，對處理敏感個人信息、利用個人信息進行自動化決策、對外提供或公開個人信息等高風(fēng)險處理活動進行事前影響評估，履行個人信息泄露通知和補救義務(wù)等?！秱€人信息保護法》實施后，關(guān)于個人信息公開的流程、內(nèi)容都將發(fā)生相應(yīng)變化，相關(guān)政府部門必須根據(jù)《個人信息保護法》相關(guān)規(guī)定對制度、規(guī)程和措施進行完善。

比如在疫情防控過程中，流調(diào)報告已經(jīng)成為公眾了解疫情信息的重要渠道、提升防疫效率的重要手段。公開流調(diào)報告，關(guān)乎防疫大局，但也要體現(xiàn)對個人信息的保護，特別是個人隱私信息的保護。不當(dāng)公開可能會導(dǎo)致個人隱私信息的暴露和生活細(xì)節(jié)的放大，經(jīng)過少數(shù)網(wǎng)民“人肉搜索”的數(shù)據(jù)關(guān)聯(lián)畫像，甚至?xí)?dǎo)致網(wǎng)絡(luò)暴力等問題。2021年初，北京和上海等地的防疫信息通報就運用了“只提地點不提人”的方式，避免了對個人信息，特別是個人隱私信息的暴露。這充分說明，流調(diào)信息等因公共利益需要可以公開，但相關(guān)責(zé)任部門有義務(wù)保護個人信息，做到有限公開，遵循《個人信息保護法》中的“最小化原則”，控制個人信息最小范圍、最小影響的開放;適度公開，要對流調(diào)信息的范圍和內(nèi)容進行必要取舍，隱去病例的年齡、性別、籍貫、工作等與疫情防控關(guān)聯(lián)性不高的個人信息，進行“脫敏”處理;做到精準(zhǔn)公開，流調(diào)信息切實從防疫的需要出發(fā)，平衡好公共利益和個人權(quán)益。

切實加強個人信息保護

當(dāng)前，個人信息與數(shù)據(jù)安全成為社會關(guān)注的焦點問題，各級地方政府及相關(guān)部門應(yīng)加強對個人信息保護，對個人信息與數(shù)據(jù)保護采取針對性措施。

加強個人信息權(quán)利保護意識。對公眾而言，要通過多種形式、多種渠道宣傳普及個人信息安全知識。例如，通過曝光違法違規(guī)行為、發(fā)布打擊違法犯罪案例、開展警示教育等提升全民個人數(shù)據(jù)保護意識和技能，在全社會強化個人信息權(quán)保護敏感度，引導(dǎo)個體小心謹(jǐn)慎嚴(yán)格授權(quán)。同時，加強對網(wǎng)絡(luò)服務(wù)平臺的宣傳教育，督促平臺對個人信息依法依規(guī)采集、規(guī)范妥善處理，杜絕濫采濫用。另一方面，要規(guī)范信息公開流程和標(biāo)準(zhǔn)，健全個人信息保護制度，對涉及個人信息收集、組織、加工和保存的處理事項進行“瘦身”，對需要公開個人信息的事項進行重新評估和適度精簡。

規(guī)范不同情境下信息公開的要素。按照《個人信息保護法》對個人信息處理者的要求，信息公開主體應(yīng)制定針對不同情境和具體情況的個人信息分類標(biāo)準(zhǔn)，實行情境式分類管理，對公開程度、公開內(nèi)容、公開方式、安全技術(shù)措施等制定分類標(biāo)準(zhǔn)和風(fēng)險評估，規(guī)范不同情境下信息公開要素，實現(xiàn)對個人信息的初評和預(yù)判，在信息公開和個人信息保護中取得平衡。

統(tǒng)一個人信息處理和公開的流程。將公民活動行程、活動軌跡等個人隱私信息交由統(tǒng)一部門處理，進一步嚴(yán)格法律責(zé)任追究。積極推動全國信息安全標(biāo)準(zhǔn)委員會發(fā)布的《個人信息安全規(guī)范》《大數(shù)據(jù)服務(wù)安全能力要求》等國家標(biāo)準(zhǔn)在省市范圍內(nèi)的施行，率先組織制定移動互聯(lián)網(wǎng)應(yīng)用程序收集個人數(shù)據(jù)基本規(guī)范等標(biāo)準(zhǔn)草案，對現(xiàn)行政務(wù)與商務(wù)活動中的個人數(shù)據(jù)安全出現(xiàn)的問題加大懲罰力度。規(guī)范不同場景中個人信息處理責(zé)任單位，形成統(tǒng)一規(guī)范的“告知-同意”流程和特定場景的信息公開模板，避免出現(xiàn)個人信息保護缺位問題。

開展人肉搜索、網(wǎng)絡(luò)暴力等行為的專項治理。通過人肉搜索和網(wǎng)絡(luò)暴力等，擅自處理和公開個人隱私信息屬于違法行為，隨意篡改、扭曲公開的個人信息也屬于違法行為。圍繞《關(guān)于做好個人信息保護利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》等專項治理要求，針對省市域內(nèi)注冊的企業(yè)或平臺所開展App違法違規(guī)收集使用個人數(shù)據(jù)專項治理行動，網(wǎng)信辦、大數(shù)據(jù)局和行業(yè)主管部門等要盯緊房產(chǎn)、金融、教育、旅游、保險等重點領(lǐng)域，嚴(yán)防個人數(shù)據(jù)泄露，同時暢通監(jiān)督舉報渠道，強化部門聯(lián)動協(xié)作，堅決斬斷侵害個人數(shù)據(jù)安全的利益鏈條，要強化個人數(shù)據(jù)安全保護的主體責(zé)任，采取嚴(yán)格的管理和技術(shù)防護措施，防止個人數(shù)據(jù)被竊取泄露。

（作者單位：蘇州大學(xué)社會學(xué)院;蘇州大學(xué)數(shù)據(jù)治理與產(chǎn)業(yè)發(fā)展研究院）

責(zé)任編輯：李佳婧