【条文主旨】
本条是关于国家网信部门统筹协调个人信息保护职责的规定。
【条文理解】
本法第60条规定,国家网信部门负责统筹协调个人信息保护工作,本条是上述规定的具体展开,对国家网信部门统筹协调职责的主要内容作了具体列举。
一、制定个人信息保护具体规则、标准
本法是关于个人信息保护的一般性法律规范,规定了个人、个人信息处理者等的权利和义务,很多规定较为宏观和原则,这些规定的落地落实,还需要一些具体规则和标准配套实施。同时,个人信息处理工作专业性、技术性较强,从技术层面提出具体标准,对于规范企业经营行为,提升监管检测的自动化、智能化水平具有重要意义。从某种意义上讲,推动标准化是加强个人信息保护工作的关键环节。在这方面,我国有关部门做了许多尝试。2012年,由全国信息安全标准化技术委员会提出并归口组织,中国软件测评中心牵头,联合多家单位制定的我国首个个人信息保护国家标准——《信息安全技术公共及商用服务信息系统个人信息保护指南》正式发布,经国家标准化管理委员会批准于2013年2月1日正式实施。这项标准的出台,提高了人们对个人信息保护的自觉,在一定程度上规范了个人信息处理行为,构建了政府引导下的自律机制和模式,为个人信息保护立法积累了宝贵经验。2018年,国家标准《信息安全技术个人信息安全规范》(GB/T?35273—2017)正式实施,针对个人信息面临的安全问题,规范个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节的相关行为,遏制个人信息非法收集、滥用、泄露等乱象,最大程度上保障个人合法权益和社会公共利益。2020年,修订后的国家标准《信息安全技术个人信息安全规范》(GB/T?35273—2020)正式发布,于2020年10月1日起实施,对《信息安全技术个人信息安全规范》(GB/T?35273—2017)作了许多方面的修订和细化完善。2020年,国家市场监督管理总局、国家标准化管理委员会发布公告,全国信息安全标准化技术委员会归口的《信息安全技术个人信息安全影响评估指南》(GB/T?39335—2020)正式发布,于2021年6月1日起实施。另外,《个人信息和重要数据出境安全评估办法》《信息安全技术数据出境安全评估指南》《个人信息出境安全评估办法》《个人信息告知同意指南》《信息安全技术健康医疗信息安全指南》《信息安全技术个人信息安全工程指南》等多项国家标准也已经发布或正在起草。在应用程序规范方面,2020年,工信部组织中国信通院、电信终端产业协会(TAF),有针对性地制定了《App用户权益保护测评规范》10项标准;对于广大用户特别关心的“最小必要”等收集使用用户个人信息原则,制定了《App收集使用个人信息最小必要评估规范》8项系列标准,涉及图片、通讯录、设备信息、人脸、位置、录像、软件列表等信息收集使用规范。美团、华为、OPPO、滴滴、字节跳动、拼多多、百度、阿里、小米等终端厂商、互联网企业、安全企业等均参与了制定工作。上述18项标准以电信终端产业协会(TAF)的团标形式发布,为App侵害用户权益专项整治工作提供依据和支撑,为企业合规经营明确规范要求。
随着《个人信息保护法》的出台,多个行业、多个领域、多个层面的个人信息保护具体规则、标准的制定、修订工作即将提上议事日程。这些具体规则、标准的制定主体、时间表和路线图、不同标准之间冲突的解决等问题,都需要国家网信部门加强统筹协调,最大限度凝聚各方面共识,确保标准合法、合理、统一、规范。
二、针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准
不同规模的个人信息处理者,在处理个人信息的技术水平、风险和模式上存在差别,因而制度设计需要“因人而异”。大型互联网企业处理个人信息规模大、风险高、处理能力强,故本法强化对大型个人信息处理者的监管,配置与其控制力和影响力相适应的个人信息保护特别义务。包括成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督;遵循公开、公平、公正原则制定平台规则;对严重违反法律、行政法规处理个人信息的平台内产品和服务提供者,停止提供服务;定期发布个人信息保护社会报告,接受社会监督;等等。对处理信息数量少、处理活动简单的小型个人信息处理者,是否进行部分义务的豁免,以适当减轻其合规成本,目前全球范围内还处于探索阶段。本法授权国家网信部门协调有关部门针对小型个人信息处理者制定专门的个人信息保护规则、标准,留出了针对小型个人信息处理者的立法空间。下一步,国家网信部门可以在进一步研究基础上,在降低要求、责任豁免等方面对小型个人信息处理者作出专门规则设计。
敏感个人信息是一旦泄露或者被非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满14周岁未成年人的个人信息。考虑到敏感个人信息对于个人的极端重要性,本法专门用一节的篇幅就敏感个人信息处理规则作出原则规定,并授权国家网信部门统筹协调有关部门制定专门的规则、标准。本法第32条规定:“法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的,从其规定。”相关部门可在认真研究基础上,就处理敏感个人信息设定行政许可或者相关限制性规定。
随着信息技术的发展,人脸识别、人工智能等新技术、新应用越来越多地渗入普通人的日常生活中,在带来便利的同时,也给人们生活带来了很多困扰。尤其是人脸识别所具有的隔空捕捉信息和网络爬取数据等特征使其有能力绕过知情同意环节,在未经授权情况下或者超出用户许可范围采集、使用、流转用户的面部数据。一个人面部特征的专属性和唯一性使面部特征信息一旦和不同数据库中的其他信息相结合,便能追踪和锁定自然人的个人身份、家庭关系、社交网络等,精准全面地勾勒出自然人的数字画像,使个人隐私安全岌岌可危。人脸识别要依靠大型的信息数据库,若聚合储存个人面部信息的识别系统存在数据安全漏洞,导致相关信息被滥用或者泄露,就会极大威胁到个人隐私乃至其他权利,有可能触发难以挽回的重大隐私侵权事件。2019年,国家新一代人工智能治理专业委员会发布《新一代人工智能治理原则——发展负责任的人工智能》,提出对包括人脸识别在内的人工智能治理的框架和行动指南,强调发展“负责任的人工智能”,避免误用,禁止滥用和恶意使用。这就需要建立更加严格的准入和监管机制,制定严格的法律规范进行调整。另外,还要看到,当前人工智能等新技术还处于发展时期,我国当前仍处于弱人工智能阶段,尚未进入拥有独立思考能力的强人工智能阶段,法律需要为新技术的发展预留空间,不宜过于严苛;同时,当前人工智能尚未对我国法律制度提出颠覆性挑战,一些新技术发展的影响尚未完全显现,需要进一步观察和研究。基于上述考虑,本法授权国家网信部门统筹协调有关部门在时机成熟时,针对人脸识别、人工智能等新技术、新应用研究制定专门的规则、标准。
三、支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设
当前,电子政务和电子商务的发展要求建立数字化、网络化的服务体系,使社会公众足不出户通过互联网就可以享受各种便捷的服务。因为各种服务和交易行为都要建立在身份认证的基础上,故必须建立起完备的身份管理体系,使企业和个人都在网络上拥有唯一的、可信的身份数据,这就是电子身份认证技术。电子身份认证能够利用简单的身份载体,如带有智能芯片的身份卡、个人指纹等,将个人的医疗资料、个人身份证件、工作状况、个人信用、个人经历、收入及纳税状况、公积金、养老保险、房产资料等信息结合在一起,通过网络实现政府部门的各项便民服务。同时,推行电子身份认证、建设网络身份认证公共服务后,企业在一些服务中不必再收集用户身份信息,向该系统直接确认用户身份即可,这对于个人信息保护而言是十分有利的。但必须看到,电子身份认证在为社会公众带来便利的同时,也对网络系统的安全性提出了更高要求,只要身份认证系统受到攻击,不仅会导致系统里的其他安全措施无法产生作用,还会导致个人信息海量泄露,进而造成无法估量的损失。由于对身份的识别和确认具有很强的权威性,同时由于电子身份认证涉及个人信息保护,对安全性的要求极高,因而公用的身份认证体系需要由政府建设和维护,建立起完备、高效的电子身份验证体系成为电子政务的一项重要职能,故本条授权国家网信部门统筹协调有关部门,研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设。
四、推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务
与个人信息保护重事前预防、过程监管的监管模式相适应,个人信息保护的前端工作如评估、认证等服务就显得十分重要。本法第36条规定:“国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行安全评估。安全评估可以要求有关部门提供支持与协助。”第38条规定:“个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证……”第55规定:“有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:(一)处理敏感个人信息;(二)利用个人信息进行自动化决策;(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;(四)向境外提供个人信息;(五)其他对个人权益有重大影响的个人信息处理活动。”由于评估、认证等服务工作专业性强,推行社会化服务模式有助于减轻政府负担,让专业的人做专业的事,确保评估、认证工作的专业性、中立性和客观性,还可以培育成熟的个人信息保护社会服务机构,推进统一认证体系建设,调动社会力量参与个人信息保护的积极性,进一步提升个人信息保护质量水平。故本条授权国家网信部门统筹协调有关部门推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务。
五、完善个人信息保护投诉、举报工作机制
本法第65条规定:“任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人。履行个人信息保护职责的部门应当公布接受投诉、举报的联系方式。”当前,个人信息保护涉及政府多个部门管理职责,不同程度地存在多头管理、推诿扯皮等现象,个人信息保护投诉、举报机制尚不完善,存在主体不统一、渠道不畅通、机构不完善、管辖不明确、受理不及时、办理不规范、移送不主动、处理结果告知不及时等现象,个人信息权益受到侵害后“状告无门”的现象时有发生,这与人民群众日益增长的个人信息保护需求是不相适应的。建立统一、高效的个人信息保护投诉、举报工作机制,不仅有利于个人信息权益受到侵害时第一时间诉诸公权力保护,最大程度上减轻损害后果,增强群众的安全感,还可以及时发现、惩处侵害个人信息权益的违法犯罪行为,及时调处涉个人信息权益的民事纠纷。为此,本条要求国家网信部门统筹协调有关部门完善个人信息保护投诉、举报工作机制。
【条文适用】
我国近年来高度重视个人信息保护方面的工作,一方面制定出台《个人信息保护法》《
数据安全法》《
网络安全法》等
法律法规;另一方面印发实施多项个人信息保护标准规范,自上而下形成了较为完善的个人信息保护治理体系。法律与标准有共同之处,也有许多区别。首先,法律是行为规范,是从权利义务角度划定人们的行为边界;而标准主要是技术规范,主要是从技术操作层面为相关行业提供业务指引。其次,法律是由国家强制力保证实施的,对人们有普遍的约束力;而标准是指引性规范,一般不具有强制性,然而标准一般是凝聚了相关领域、相关行业的共识,对相关行业具有事实上的拘束力,具有软法的性质。最后,法律法规是由国家权力机关或者行政机关制定,标准一般是由有关行业主管部门牵头制定,有的标准还吸收业内有关企业共同参与制定。虽然总体上有上述区别,但二者也没有泾渭分明的界限,我国很多法律法规同时也包含了技术规范,很多行业标准里面也有大量的权利义务规范。而且标准往往是制定法律的先导。比如,2012年《信息安全技术公共及商用服务信息系统个人信息保护指南》规定,处理个人信息应当具有特定、明确和合理的目的;应当在个人信息主体知情的情况下获得个人信息主体的同意;应当在达成个人信息使用目的之后删除个人信息;将个人信息分为个人一般信息和个人敏感信息,个人敏感信息在收集和利用前,必须首先获得个人信息主体明确授权。这些规定都被《个人信息保护法》相关条款吸收,正式成为了法律规范。
