楊小靜

2021年11月1日，《個人信息保護(hù)法》開始實(shí)施，作為個人信息保護(hù)的基本立法，它與《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《電子商務(wù)法》共同組成了信息科技時代維護(hù)網(wǎng)絡(luò)安全、數(shù)據(jù)安全、電子交易安全與個人信息安全的完善的法律制度體系?！秱€人信息保護(hù)法》是數(shù)字經(jīng)濟(jì)時代的重要立法，對解決數(shù)字經(jīng)濟(jì)發(fā)展過程中出現(xiàn)的失范現(xiàn)象，促進(jìn)數(shù)字經(jīng)濟(jì)有序發(fā)展起到了關(guān)鍵性作用。

一、數(shù)字經(jīng)濟(jì)面臨的數(shù)據(jù)安全風(fēng)險突出。近年來，隨著網(wǎng)絡(luò)信息科技的飛速發(fā)展，互聯(lián)網(wǎng)經(jīng)歷了顛覆性的變革，由簡單的信息傳輸、交互為主的信息化階段過渡到基于人工智能、大數(shù)據(jù)、物聯(lián)網(wǎng)等技術(shù)革新的數(shù)字化階段。一方面，這一變革使得數(shù)據(jù)成為戰(zhàn)略資源和新型生產(chǎn)要素，數(shù)字經(jīng)濟(jì)時代全面開啟。另一方面，數(shù)字化發(fā)展帶來的革新，也衍生出了一系列問題，這些風(fēng)險主要涉及三個類型：內(nèi)容安全風(fēng)險、基礎(chǔ)設(shè)施安全風(fēng)險以及數(shù)據(jù)安全風(fēng)險，其中數(shù)據(jù)安全風(fēng)險涉及的類型多樣、主體多元、范圍廣泛，因此更為復(fù)雜。

數(shù)據(jù)安全風(fēng)險的典型類型有三類：一是數(shù)據(jù)泄露問題，由于疫情影響，居家辦公、線上教育、智慧醫(yī)療、網(wǎng)上購物等生產(chǎn)生活方式的轉(zhuǎn)變催化各行業(yè)加速數(shù)字化轉(zhuǎn)型，數(shù)據(jù)泄露相較往年更加突出。據(jù)國內(nèi)數(shù)字產(chǎn)業(yè)第三方調(diào)研咨詢機(jī)構(gòu)數(shù)世咨詢在今年初發(fā)布的《2020網(wǎng)絡(luò)安全大事記》統(tǒng)計，2020年全球信息泄露用戶憑證數(shù)達(dá)8.27億個，泄露信息記錄達(dá)352.79億條，涉及人數(shù)約21.2億人。國外分析公司Canalys發(fā)布最新報告稱，僅2020年一年，被盜數(shù)據(jù)記錄的數(shù)量就已超過之前15年來的總和，數(shù)據(jù)泄露的情況讓人觸目驚心。二是違規(guī)收集使用個人信息現(xiàn)象突出，閃捷信息安全與戰(zhàn)略研究中心在其編制的《2020年度數(shù)據(jù)泄漏態(tài)勢分析報告》中指出：“個人信息泄漏占所有數(shù)據(jù)泄漏事件的60%?！眹一ヂ?lián)網(wǎng)應(yīng)急中心研究表明，個人信息的泄露主要原因是App（應(yīng)用程序）違法違規(guī)收集使用個人信息，如：未經(jīng)同意收集、超范圍收集、強(qiáng)制授權(quán)、過度索權(quán)等違法違規(guī)問題。三是數(shù)據(jù)非法交易情況較為嚴(yán)重，據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心監(jiān)測發(fā)現(xiàn)，2020年，銀行、證券、保險等行業(yè)的用戶信息和電子商務(wù)、社交平臺、高校、培訓(xùn)機(jī)構(gòu)、考試機(jī)構(gòu)等行業(yè)的用戶數(shù)據(jù)遭受非法售賣占比較高，情況嚴(yán)重。以上客觀情況表明，必須重視數(shù)據(jù)安全問題，尤其是個人信息保護(hù)問題。在此背景下，重視個人信息保護(hù)立法，是數(shù)字經(jīng)濟(jì)時代的必要之舉。

? 二、《個人信息保護(hù)法》為數(shù)字經(jīng)濟(jì)發(fā)展構(gòu)建基本法律框架。在網(wǎng)絡(luò)信息立法上，我國已初步形成較為完備的體系，我國在2016年通過的《網(wǎng)絡(luò)安全法》以全方位規(guī)范網(wǎng)絡(luò)空間安全為重點(diǎn);2018年通過的《電子商務(wù)法》以規(guī)范通過電子方式進(jìn)行的交易活動為重點(diǎn);2021年通過的《數(shù)據(jù)安全法》以保護(hù)數(shù)據(jù)安全為重點(diǎn)。以上各部法律是對對數(shù)字經(jīng)濟(jì)領(lǐng)域的不同對象進(jìn)行規(guī)范，《網(wǎng)絡(luò)安全法》是針對數(shù)字經(jīng)濟(jì)中的基礎(chǔ)設(shè)施進(jìn)行保護(hù);《電子商務(wù)法》是對交易行為進(jìn)行規(guī)制;《數(shù)據(jù)安全法》是對要素進(jìn)行保護(hù)，而《個人信息保護(hù)法》是對要素中最核心最重要的個人信息進(jìn)行保護(hù)，因此它更為基礎(chǔ)?！睹穹ǖ洹分小叭烁駲?quán)編”專設(shè)第六章規(guī)定了“隱私權(quán)和個人信息保護(hù)”，對個人信息的內(nèi)涵做出明確規(guī)定。因此針對個人信息保護(hù)專門立法，是對人民群眾最關(guān)切的問題進(jìn)行回應(yīng)，更為必要，是網(wǎng)絡(luò)信息法律體系的關(guān)鍵一環(huán)。

《個人信息保護(hù)法》不僅填補(bǔ)了我國信息科技領(lǐng)域個人信息保護(hù)立法的空白，也為數(shù)字經(jīng)濟(jì)時代頻繁的個人信息處理活動提供了充分的法律依據(jù)與具體的操作指引。一是確立了處理個人信息的基本原則和具體規(guī)則，首先確立了處理個人信息的七大原則：合法正當(dāng)必要原則、目的明確合理原則、影響最小原則、目的最小范圍原則、公開透明原則、保證個人信息準(zhǔn)確完整原則、安全保障原則。這七大原則是處理個人信息必須遵循的基本要求和規(guī)范，貫穿于個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等各個處理環(huán)節(jié)，為政府、企業(yè)等個人信息處理者劃定紅線。其次，在基本原則的指導(dǎo)下，制定了以“知情—同意規(guī)則”為核心的個人信息處理的具體規(guī)則，即：個人信息處理者處理個人信息必須用清晰易懂的語言以顯著方式告知個人，告知內(nèi)容應(yīng)真實(shí)、準(zhǔn)確、完整并包含個人信息處理的目的、方式等事項(xiàng)，確保個人在充分知曉的情況下，明確同意授權(quán)相關(guān)主體處理個人信息。這就對如人臉識別技術(shù)濫用等現(xiàn)象劃出了合理界線。二是明確了職能部門的責(zé)任，？第六十條規(guī)定：“國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)個人信息保護(hù)工作和相關(guān)監(jiān)督管理工作?？h級以上地方人民政府有關(guān)部門的個人信息保護(hù)和監(jiān)督管理職責(zé)?！边@一規(guī)定明確了具體的職能部門，并且明確了兩方面的職責(zé)：一方面是對違法行為接受舉報、進(jìn)行處理;另一方面是針對違法行為制定具體標(biāo)準(zhǔn)，同時支持研發(fā)相關(guān)技術(shù)與公共服務(wù)建設(shè)。三是規(guī)定了違法者的法律責(zé)任，依據(jù)違法行為情節(jié)的輕重，對違法者予以警告、沒收違法所得、責(zé)令暫停終止服務(wù)、罰款、記入信用檔案等行政處罰。由此可見，這部法律從整體體系和具體內(nèi)容上為個人信息的保護(hù)構(gòu)建了基本法律框架。

三、構(gòu)建多元參與體系，推動數(shù)字經(jīng)濟(jì)健康發(fā)展。《個人信息保護(hù)法》傳遞出明確的價值導(dǎo)向，對數(shù)字經(jīng)濟(jì)的發(fā)展過程中的企業(yè)獲取經(jīng)濟(jì)利益和保護(hù)個人權(quán)益之間進(jìn)行了有效平衡。但是，立法只是第一步，如何真正彰顯法治效能，需要發(fā)揮不同主體的主動性。對于個人而言，提高防范意識是前提，比如在使用各類App時，用戶要認(rèn)真閱讀“隱私條款”，正確甄別App權(quán)限是否超過必要限度，并掌握主動選擇權(quán);對于企業(yè)而言，要加強(qiáng)內(nèi)部合規(guī)性建設(shè)，包括建章立制、設(shè)置專門機(jī)構(gòu)、開展教育培訓(xùn)、填補(bǔ)技術(shù)漏洞、加強(qiáng)風(fēng)險監(jiān)測、定期審計等方面，保證在獲取利益的同時履行法律義務(wù);對于行業(yè)而言，要自覺承擔(dān)起凈化行業(yè)風(fēng)氣的責(zé)任，不僅是互聯(lián)網(wǎng)行業(yè)，包括金融、醫(yī)療、教育等行業(yè)都要根據(jù)法律規(guī)定細(xì)化符合行業(yè)情況的個人信息保護(hù)規(guī)則，引導(dǎo)市場主體規(guī)范運(yùn)營;對于國家而言，要加強(qiáng)監(jiān)管執(zhí)法建設(shè)，同時，要以技術(shù)產(chǎn)業(yè)創(chuàng)新主體為重點(diǎn)對象，以技術(shù)檢測平臺為重要依托，以細(xì)化技術(shù)標(biāo)準(zhǔn)為重大任務(wù)，對個人信息進(jìn)行全方位監(jiān)管和保護(hù)。

《個人信息保護(hù)法》引領(lǐng)數(shù)字經(jīng)濟(jì)發(fā)展進(jìn)入全新的階段，對違法處理機(jī)構(gòu)、行業(yè)監(jiān)測機(jī)構(gòu)、企業(yè)以及公民個人都提出了更高的要求，因此要建立包含個人、企業(yè)、行業(yè)、國家職能部門等多方參與的個人信息保護(hù)體系，構(gòu)筑起“事前預(yù)防”“事中監(jiān)管”和“事后處置”的完整模式，為個人信息保護(hù)筑牢安全屏障，推動數(shù)字經(jīng)濟(jì)健康發(fā)展。

（作者單位：中共晉中市委黨校）