11月1日起,一部众人期待已久的法律——个人信息保护法将正式施行。
网络信息时代,个人信息保护问题牵动各方神经,是广大人民群众最关心、最直接、最现实的利益问题之一。出台专门的个人信息保护法是近些年来社会各界最为强烈的立法呼声。经过三次审议,2021年8月20日,十三届全国人大常委会第三十次会议表决通过个人信息保护法。
有了法律,接下来需要重点解决的一个问题,就是如何确保这部法律在生效后得到全面、正确、有效实施。那么,这部法律想顺利落地的话,正确打开姿势应该是什么样的?
如何避免个信法仅是“看上去很美”?
——保护好个人信息需要认真学习谨慎处理
千呼万唤之下,个人信息保护法终于从理想照进现实。但是,从纸面的法律规定变身为现实维权的利器并非易事。应当说,在全社会个人信息安全意识逐步提高的大背景下,广大人民群众对个人信息保护一直保持着较高的关注热情,但是却普遍缺乏相关的科学和法律知识,要么不知道自己有哪些权利,要么不知道该如何行使权利。
如何才能让个人信息保护法不仅仅是“看上去很美”?如何提高人民群众对于个人信息保护法的了解程度,使其认真学法、主动用法?为此,中消协近日专门给出5个“提醒”:
——要积极学习个信法等法律规定。包括了解个人信息和敏感个人信息的处理规则、自身所享有的权利、个人信息处理者应当承担的义务以及个人信息权益受到侵害时的救济方式等。
——要养成“非必要不提供”的良好习惯。除了要仔细阅读隐私协议等条款外,还要考量处理个人信息理由的充分性和提供个人信息的必要性,只在确属必要的情况下才提供个人信息或者进行授权。
——要对自己授权或者提供的个人信息进行持续跟踪。不同意继续处理自己的个人信息时,要积极行使“撤回同意”权利,要求对方停止处理或及时删除其个人信息。
——要注意销毁带有个人信息的单据和资料,防止因随意丢弃、使用不当等造成个人信息泄露。如妥善处理未脱敏的快递单据等带有个人信息的单据和资料,使用完后应及时销毁,或是涂抹掉关键信息后再丢弃;在向他人提供身份证等重要证件的复印件时,最好显著标识此复印件的用途;一些带有个人敏感信息的电子数据,如证件照片等,建议用完即删或者采用加密方式进行存储。
——要主动拿起法律武器维护合法权益。当自身个人信息权益受到侵害或者发现存在违法处理消费者个人信息行为时,要主动进行投诉、举报,提供案件线索和相关凭证,维护自身及其他消费者的合法权益。
如何确保个信法各项制度落地?
——抓紧制定出台具体配套规定
为了加强个人信息保护监管执法的协同配合,个人信息保护法进一步明确了国家网信部门在个人信息保护监管方面的统筹协调作用,并作出5个方面具体规定。这意味着国家网信部门应当依据法律、行政法规的规定作出更细致明确的规定。
抓紧制定出台相应的配套规定成为当务之急。一些业内人士在接受《法治日报》采访时指出,个人信息保护在制度建设方面还有很多需要细化的地方,需要更多具体规则和标准才能更好地规范个人信息处理活动、保护个人信息权益。
需要指出的是,个人信息保护仅仅依靠个人主张权利、政府监管是难以实现维护个人信息权益、规范个人信息处理活动以及促进个人信息合理利用目的的。鉴于此,个人信息保护法将推进个人信息保护社会化服务体系建设作为国家网信部门的一项统筹协调工作,同时规定,国家网信部门应当支持有关机构开展个人信息保护评估和认证服务。为此,清华大学法学院副院长、教授程啸建议,未来,国家网信部门应当就个人信息保护认证机构、认证的程序、认证的效力、法律责任等作出细致的规定。“通过认证,一方面能够使个人信息处理者实现个人信息处理活动的合规性并向监管机构加以证明,另一方面也为市场提供了透明度,信息主体能够快速评估相关产品和服务的个人信息保护水平。”程啸说。
中国人民大学法学院教授张新宝认为,在法律实施后应及时开展配套的精细化立法工作,增强法律条文的可操作性,确保相关个人信息保护法律制度落地。他具体建议,实践中应当优先制定出台一些配套规定、包括敏感个人信息保护的配套规定、个人信息跨境提供的配套规定、个人信息处理合规审计的配套规定,“头部企业”外部独立监督机制的配套规定等。
如何改变执法监管“九龙治水”?
——应统筹协调形成强有力执法威慑
个人信息保护涉及的领域广,相关制度措施的落实离不开完善的监管执法机制。如何构筑强有力的执法威慑,有效遏制违法违规侵害个人信息权益的行为,是个人信息保护法实施后亟待解决的问题。
“个人信息保护法对个人信息保护主管部门的规定较为复杂,其中既有集中进行统筹协调的监管机构,也有分散于国务院、地方政府有关部门中的监管机构。因此,有必要协调好各个部门之间的职责关系,避免‘九龙治水’导致的主管部门重复执法或者推诿扯皮等问题。”张新宝说。
在张新宝看来,网信办应发挥统筹协调职能,加强不同部门之间的执法配合。
“依据个信法规定,履行个人信息保护职责的部门可分为两类。”张新宝介绍说,一类是负责统筹协调个人信息保护工作和相关监督管理工作的国家网信部门,包括中央网信办与地方各级网信办。一类是负有监管职责的国务院有关部门以及县级以上地方人民政府的有关部门。“这两类部门(机构)都负有个人信息保护的法定职责,需要明确二者之间的职责关系。”
张新宝指出,为了避免“九龙治水”,在不同部门开展执法工作的过程中应当充分发挥国家网信部门的统筹协调作用,其他执法部门应当积极配合。“统筹要有权威,协调要有效率”,建议以网信办作为牵头单位成立一个部级协调机构。
如何计算遭受侵害后损失大小?
——在司法实践中应根据具体情况判断
加大违法处理个人信息行为的惩戒力度,是个人信息保护法亮点之一。个人信息保护法对违法处理个人信息的行为设置了不同梯次的行政处罚。同时,在民事责任方面明确,处理个人信息侵害个人信息权益造成损害的,个人信息处理者如不能证明自己没有过错的,应当承担损害赔偿等侵权责任,并明确了损害赔偿的计算方法。
“这就意味着,个信法对侵害个人信息权益的行为采取过错推定原则,首先个人信息处理者须证明自己没有过错。”程啸说。
那么,处理者如何才能够证明自己没有过错?
程啸举例说,比如,被黑客攻击而导致个人信息泄露侵害权益的纠纷中,如果个人信息处理者能够证明已经按照法律的规定采取了相应的措施,防止个人信息被泄露或被篡改、丢失,同时在发生或可能发生个人信息泄露、被篡改等情况时立即采取了补救措施,并且通知有关部门和个人,在这种情况下就应当认为其并不存在过错,不应承担侵权责任。
需要注意的是,个人信息保护法规定,侵害个人信息权益的损害赔偿责任,按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。
程啸特别强调,个人信息保护法使用的是“损失”一词,而不是民法典中的“财产损失”。这意味着,“损失”既包括财产损失或财产损害,也包括精神损失或精神损害。只要造成损害,都可以要求赔偿。
那么,在司法实践中,如何确定个人信息侵权损害赔偿案件“损失”大小呢?“如果个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,则需根据实际情况确定赔偿数额,主要综合考虑以下因素:行为人和受害人的职业与身份、侵权行为的影响范围、侵权人的过错程度,加害行为的目的、方式、后果等。这些都需要法官在司法实践中根据案件具体情况加以判断。”程啸说。(朱宁宁)