观点|推动《个人信息保护法》全面有效实施

2021-11-01 来源: “教授加”微信公众号

今天11月1日《中华人民共和国个人信息保护法正式实施》!


目前为止,我国已经构建起包括法律、行政法规、司法解释、部门规章、规范性文件、国家标准、行业标准在内的多层次、多维度的个人信息保护体系。《个人信息保护法》将全方位保护个人信息安全,在国家层面建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为发生。法律明确不得过度收集个人信息、“大数据杀熟”,对人脸信息等敏感个人信息的处理作出规制,完善个人信息保护投诉、举报工作机制等,充分回应了社会关切,为破解个人信息保护中的热点难点问题提供了强有力的法律保障。


为推动《个人信息保护法》全面、正确、有效实施,中国人民大学法学院教授张新宝老师这么看。


《个人信息保护法》的实施要在以下五大方面发力:

一、抓紧制定出台相应的配套规定

为了配合《个人信息保护法》的实施,我国已经出台了一些配套规定,例如国务院于2021年7月30日发布的《关键信息基础设施安全保护条例》,国家互联网信息办公室等五部门于2021年8月16日联合发布的《汽车数据安全管理若干规定(试行)》。

实践中还应当优先制定出台的配套规定主要包括:

第一,关于敏感个人信息保护的配套规定;

第二,关于个人信息跨境提供的配套规定;

第三,关于个人信息处理合规审计的配套规定;

第四,关于“头部企业”外部独立监督机制的配套规定;

第五,关于个人信息保护评估、认证服务的配套规定。


二、发挥网信办统筹协调职能,加强不同部门之间的执法配合


依据《个人信息保护法》第60条的规定,履行个人信息保护职责的部门可分为两类:第一类是负责统筹协调个人信息保护工作和相关监督管理工作的国家网信部门,包括中央网信办与地方各级网信办。第二类是负有个人信息保护和监督管理职责的国务院有关部门以及县级以上地方人民政府的有关部门,其内含的个人信息保护机构负责具体履行此等职责。例如,公安机关在公共场所利用摄像头等设备处理人脸信息的,直接履行个人信息保护和监督管理职责的部门应当是公安机关内含的个人信息保护机构。

前述两类部门(机构)都负有个人信息保护的法定职责,因此需要明确二者之间的职责关系。为了避免“九龙治水”,在不同部门开展执法工作的过程中应当充分发挥国家网信部门的统筹协调作用,其他执法部门应当积极配合。统筹要有权威,协调要有效率。建议成立一个部级协调机构,以网信办作为牵头单位负责处理《个人信息保护法》实施过程中的政策协调问题以及其他具体问题。


三、完善存量个人信息的合法合规治理


存量个人信息是指个人信息处理者在《个人信息保护法》实施前已经收集、存储的个人信息。由于个人信息处理行为具有持续性,实践中个人信息处理者收集、存储的个人信息可能会在后续处理活动中被反复利用。因此,个人信息处理者处理存量个人信息如果存在违法违规情形,其行为的性质应当如何认定,需要作出司法政策上的决断。

我们认为,应当以《个人信息保护法》正式实施之日作为时间节点,区分实施前与实施后两种情形分别作出判断。对于《个人信息保护法》实施前的处理行为,原则上不应当依照该法规定追究个人信息处理者的法律责任。但是,个人信息处理者处理个人信息如果存在违反《网络安全法》《民法典》等法律的情形,应当分别依照当时已经生效的《网络安全法》《民法典》等法律的规定追究其相应的法律责任。对于《个人信息保护法》实施后的处理行为,应当依照该法规定追究个人信息处理者的法律责任。如果个人信息处理者的处理活动未能达到《个人信息保护法》规定的规范化标准,履行个人信息保护职责的部门应当责令其改正或者获得补充的同意,或者责令其不得进行除存储和采取必要的安全保护措施之外的处理。基于此,我们建议未来以出台相关规章或者司法解释对这一问题作出明确规定。

 

四、适时开展严格的集中执法活动


在《个人信息保护法》实施之后开展集中执法活动,需要紧扣“适时”与“严格”两个关键点。“适时”是指开展集中执法活动的时间点不应当过早或过晚。原因在于,如果过早开展集中执法活动,国家机关可能难以做好相关准备工作,企业等个人信息处理者出于商业惯性等因素可能也难以在短时间内作出相应调整,因此不一定能收获良好的执法效果;如果过晚开展集中执法活动,则难以彰显《个人信息保护法》的强制力与威慑力。我们认为,《个人信息保护法》实施后一年左右是一个较为合适的时间点。“严格”是指执法部门应当加大对违法违规行为的打击力度,形成强有力的执法威慑。

 

五、全方位推进相关宣传教育工作



《个人信息保护法》第11条规定,国家应当推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。《个人信息保护法》的实施与信息科学、前沿技术以及法治理念等紧密相关,因此有必要通过加强个人信息保护的宣传教育,大力营造学习宣传《个人信息保护法》的浓厚氛围,进而发挥多方共同参与个人信息保护的治理优势。

首先,国家机关应当在习近平法治思想的指导下,充分认识《个人信息保护法》颁布实施的重大意义,认真领会《个人信息保护法》的立法精神,全面履行个人信息保护以及相关监督管理的法定职责,提高自身执法能力。

其次,企业应当准确理解《个人信息保护法》对个人信息处理活动规范化提出的各项要求,加强企业内部的合规建设,提升个人信息保护合规水平。

最后,应当丰富人民群众在个人信息保护方面的科学知识和法律知识,增强其保护个人信息安全的法律意识。例如,可以通过“国家网络安全宣传周”等定期举办的宣传活动普及个人信息安全基本知识,有关的国家主流媒体也应当加强个人信息保护方面的宣传工作。

只有在人民群众具有个人信息保护相关的基本知识,同时又能理解掌握《个人信息保护法》基本精神的情况下,才能充分调动其参与社会治理的积极性,不断激发其持续高度关注个人信息保护相关社会问题的热情与动力,进而打造个人信息保护领域共建共治共享的社会治理格局。