首页 新闻资讯 律所新闻

皮剑龙委员:用更加完善的法律捍卫个人信息安全

  由于公民个人隐私被泄露而带来的人身和财产安全问题,已经成为互联网时代的一大隐患。目前,我国关于公民个人信息保护的规定,散见于网络安全法、电子商务法、民法总则、刑法等多部法律中,过于繁杂和笼统,且只限于规范侵犯个人信息造成后果的行为,打击震慑力度不大;针对个人信息保护的行政监管也有所缺位。当下,我国并没有设立专门保护个人信息的机构,而是将监管权分散赋予工业和信息化部、地方市场监管部门等各类政府监管机构,而这些监管机构对执法也不够积极、常态化。因此,加快推动个人信息保护法完善,使个人信息保护问题进一步走向法治化是众望所归。

  在此背景下,日前个人信息保护法草案已提请十三届全国人大常委会初次审议。笔者注意到,草案确立了个人信息处理应遵循的原则,强调处理个人信息应当采用合法、正当的方式,具有明确、合理的目的,限于实现处理目的的最小范围,公开处理规则,保证信息准确,采取安全保护措施等,并将上述原则贯穿于个人信息处理的全过程、各环节。同时,草案还确立了以“告知―同意”为核心的个人信息处理一系列规则,要求处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。相关的原则和规则为个人信息保护法和其他相关的法律法规提供了主要的规制思路和依据。

  此外,草案对个人信息处理活动中个人的各项权利进行了明确,根据个人信息保护工作实际,明确国家网信办等部门负责个人信息保护工作的统筹协调,发挥其统筹协调作用。为个人信息保护过程中各主体、各部门行使职权和权利、履行相应义务提供了法律指引,并加大了对违法行为的惩处力度。这一系列规定,表明了国家捍卫个人信息安全的决心。

  笔者认为,结合实际,在接下来的法律制定中,还需注意三个方面。

  一是建立第三方或信息处理机构内部的通知制度和预先审查制度。在个人信息保护的过程中,如果有独立的第三方权威机构,对信息获取利用者的利用目的、手段、范围、相关格式条款和免责协议等作出预先审查,这无疑会有利于对权利主体的个人信息更有效地保护。

  具体来讲,预先通知制度,是个人信息本人之外的其他主体,在实施涉及个人信息的行为之前,应当首先向行政监管机构履行预先报告义务,申明所处理信息的相关事项。预先审查制度,是指行政监管部门对收到的预先通知内容进行审查和批准,决定是否许可信息处理者的信息行为。这两项制度的建立旨在进行事前监督,将非法处理信息的行为扼制在萌芽状态,避免不当利用个人信息,以此能够对涉及信息主体重大利害关系的信息处理进行必要的审查、监督,既可以保障权利人的利益,又不会对信息流通造成不必要的阻碍。

  二是确定统一的行政监管机构。统一的行政监管机构事权一致、权责清晰,不但可以加强各机构之间的交流联系,整合执法资源,也能摆脱监管真空和效率低下的缺陷;同时,统一的行政监管机构在有效保障信息主体权益基础上,无论是尚未发生的个人信息安全潜在风险还是已经发生的对个人信息的非法侵害,都能够借助行政监管分流处理,大大减轻法院的工作负担。

  三是规定个人信息保护的救济方式。当个人信息遭受侵害时,被侵权人可以向个人信息监管部门投诉,监管部门根据申诉事项,依法律职权调查侵害行为,确定纠纷解决的具体方式。同时被侵权人也可选择司法救济、行政诉讼、行政复议的救济途径,充分尊重主体的自主选择。

10-22 13:07  中国政协网
  由于公民个人隐私被泄露而带来的人身和财产安全问题,已经成为互联网时代的一大隐患。目前,我国关于公民个人信息保护的规定,散见于网络安全法、电子商务法、民法总则、刑法等多部法律中,过于繁杂和笼统,且只限于规范侵犯个人信息造成后果的行为,打击震慑力度不大;针对个人信息保护的行政监管也有所缺位。当下,我国并没有设立专门保护个人信息的机构,而是将监管权分散赋予工业和信息化部、地方市场监管部门等各类政府监管机构,而这些监管机构对执法也不够积极、常态化。因此,加快推动个人信息保护法完善,使个人信息保护问题进一步走向法治化是众望所归。

  在此背景下,日前个人信息保护法草案已提请十三届全国人大常委会初次审议。笔者注意到,草案确立了个人信息处理应遵循的原则,强调处理个人信息应当采用合法、正当的方式,具有明确、合理的目的,限于实现处理目的的最小范围,公开处理规则,保证信息准确,采取安全保护措施等,并将上述原则贯穿于个人信息处理的全过程、各环节。同时,草案还确立了以“告知―同意”为核心的个人信息处理一系列规则,要求处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。相关的原则和规则为个人信息保护法和其他相关的法律法规提供了主要的规制思路和依据。

  此外,草案对个人信息处理活动中个人的各项权利进行了明确,根据个人信息保护工作实际,明确国家网信办等部门负责个人信息保护工作的统筹协调,发挥其统筹协调作用。为个人信息保护过程中各主体、各部门行使职权和权利、履行相应义务提供了法律指引,并加大了对违法行为的惩处力度。这一系列规定,表明了国家捍卫个人信息安全的决心。

  笔者认为,结合实际,在接下来的法律制定中,还需注意三个方面。

  一是建立第三方或信息处理机构内部的通知制度和预先审查制度。在个人信息保护的过程中,如果有独立的第三方权威机构,对信息获取利用者的利用目的、手段、范围、相关格式条款和免责协议等作出预先审查,这无疑会有利于对权利主体的个人信息更有效地保护。

  具体来讲,预先通知制度,是个人信息本人之外的其他主体,在实施涉及个人信息的行为之前,应当首先向行政监管机构履行预先报告义务,申明所处理信息的相关事项。预先审查制度,是指行政监管部门对收到的预先通知内容进行审查和批准,决定是否许可信息处理者的信息行为。这两项制度的建立旨在进行事前监督,将非法处理信息的行为扼制在萌芽状态,避免不当利用个人信息,以此能够对涉及信息主体重大利害关系的信息处理进行必要的审查、监督,既可以保障权利人的利益,又不会对信息流通造成不必要的阻碍。

  二是确定统一的行政监管机构。统一的行政监管机构事权一致、权责清晰,不但可以加强各机构之间的交流联系,整合执法资源,也能摆脱监管真空和效率低下的缺陷;同时,统一的行政监管机构在有效保障信息主体权益基础上,无论是尚未发生的个人信息安全潜在风险还是已经发生的对个人信息的非法侵害,都能够借助行政监管分流处理,大大减轻法院的工作负担。

  三是规定个人信息保护的救济方式。当个人信息遭受侵害时,被侵权人可以向个人信息监管部门投诉,监管部门根据申诉事项,依法律职权调查侵害行为,确定纠纷解决的具体方式。同时被侵权人也可选择司法救济、行政诉讼、行政复议的救济途径,充分尊重主体的自主选择。