肖飒解读《个人信息保护法》:电商平台应为个人网购信息泄露举证
日前,十三届全国人大常委会第三十次会议表决通过《个人信息保护法》,自2021年11月1日起施行。这是我国首部专门针对个人信息保护的系统性、综合性法律。
《个人信息保护法》将如何保护公民信息安全,掌握海量个人信息的互联网企业如何合规化?针对这些问题,中国产业经济信息网新经济频道于近日专访了北京大成律师事务所合伙人肖飒。
据介绍,肖飒拥有10年执业经验,业务领域涉及金融刑事案件辩护及法律风险防控,曾为多家上市公司、银行的合规整改提供意见。
1、刑法、数据安全法等法律也保护个人信息安全,为何国家要专门出台《个人信息保护法》,契机是什么?
答:我国正处于全面数字化转型的发展阶段,新技术、新应用层出不穷,个人信息的处理已成为社会进步和产业升级的驱动力,加大个人信息的保护已成为提高我国法治文明和法治水平的重要需求。
个人信息保护是系统性工程,涉及个人信息处理者行为规范、法律责任承担、国家对个人信息处理行为的行政监管等多方面。我国需要专门立法,为实践中的个人信息保护提供全面的、统一的法律基础。
2、《个人信息保护法》出台后,互联网企业在个人信息处理上应如何合规化?
答:《个人信息保护法》出台后,互联网企业务必在11月1日前调整“隐私协议”“注册协议”及内部数据合规体系,否则可能面临罚款或刑罚。它们需要做出如下合规调整:
第一,贯彻“告知-同意”规则。《个人信息保护法》要求,处理个人信息应当在实现充分告知的前提下取得个人同意。个人信息处理重要事项发生变更的,应当重新向个人告知并取得同意。
第二,注意对青少年个人信息的保护。《个人信息保护法》规定,14岁以下少年儿童的个人信息为敏感信息,互联网企业在甄别C端用户时,要对青少年个人信息做特别处理。
第三,注重对自动化决策的规范。现实中,很多企业利用大数据分析、评估消费者的个人特征用于商业营销,《个人信息保护法》第24条规定,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
第四,强化对敏感个人信息的保护。《个人信息保护法》将生物识别、医疗健康、金融账户等列为敏感个人信息。对敏感个人信息进行处理,应当事前进行影响评估,告知处理敏感个人信息的必要性以及对个人权益的影响,并取得个人单独同意。
《个人信息保护法》是要积极推进数据流转,在征得个人同意或者去标识化、匿名化之后,允许市场主体使用由个人信息衍生出来的数据。
3、对于大型互联网公司,《个人信息保护法》是否具备法律威慑力?
答:对企业及相关责任人罚款上限的规定是《个人信息保护法》的一大亮点,它大幅提高了个人信息泄露的违法成本,能够对大型互联网公司产生一定的威慑,也体现我国不以牺牲个人信息安全为代价换取数字经济高速发展的基本立场。
《个人信息保护法》第66条规定,有规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
我国单位犯罪是双罚制,不仅处罚单位而且处罚直接负责的人员。
4、除大数据杀熟,有哪些互联网平台常见做法将变成违法行为?
答:《个人信息保护法》出台后,数据爬虫、公开售卖隐私数据、一揽子授权、强制同意等行为会受到规制。
5、《个人信息保护法》对于个人金融信息保护的意义?
答:一定程度上,《个人信息保护法》能防止个人金融信息被非法使用,使追责更为切实可行,从而推动互联网金融的良性运行,营造更为安全的金融数据环境。
比如,以往金融机构或消金公司为了保证回款,将用户金融账户信息转给催收机构,导致个人信息外露。这是违反《个人信息保护法》的,可能会面临相应处罚。
6、《个人信息保护法》施行后,对个人会有什么影响?是否意味着个人可以放松警惕了?
答:《个人信息保护法》对个人信息主体权利进行全面构建,这些权利包括知情权、决定权、查阅复制权、数据转移权、更正补充权、删除权、诉权等。易言之,在《个人信息保护法》的框架下,权利主体对信息的处理享有更多“自决权”。
《个人信息保护法》的出台不意味着个人可以对信息保护放松警惕,个人应当在充分了解个人信息处理行为的主体、目的、方式等的基础上,妥善行使这些权利,以积极保护个人信息安全。
7、很多消费者的网购信息遭到泄露,《个人信息保护法》出台后,他们的维权将会更容易吗?
答:基于《个人信息保护法》第69条的过错推定责任原则,如果消费者在网购后遭遇个人信息泄露,电商平台应当能够证明自己没有过错,否则即应承担泄露个人信息的相应责任。这一规定有助于解决消费者举证困难的问题。
同时,《个人信息保护法》规定,国家网信部门应统筹协调有关部门完善个人信息保护投诉、举报工作机制,畅通了消费者的维权通道。
8、《个人信息保护法》对刑法红线的界定有影响吗,可否举例说明?
答:《刑法》第253条规定了侵犯公民个人信息罪,具体规定是,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对前述“违反国家有关规定”的界定是法律、行政法规、部门规章,范围较大,超过了《刑法》第九十六条“国家规定”对应的法律、行政法规。
在《个人信息保护法》出台之前,据不完全统计,涉及公民个人信息保护的法律、行政法规、部门规章多达几十部,该等条款之间不乏互相矛盾、冲突之处,在一定程度上导致了司法认定难题,如对本罪构成要件如个人信息的范围、如何认定提供和出售的“非法性”争议颇多。
《个人信息保护法》的效力等级是法律,可预见的是,其将成为《刑法》第253条主要的前置法之一,并且其实施以后,各行政法规与部门规章中与之相冲突的条款,则不应再适用,既能加强公民个人信息的刑法保护,同时也可防止犯罪圈的不当扩张。