对此,专家分析了个人信息保护法实施过程中可能遇到的难点,建议尽快制定配套制度,完善监管机制,推动良法善治。
11月1日,个人信息保护法正式实施,这是我国首部专门针对个人信息保护的系统性、综合性法律。业界普遍认为,该法为个人信息的隐私保护提供了有法可依、有章可循的坚实保障。法律的出台筑牢了个人信息使用安全边界的第一步,如何确保这部法律在生效后得到全面、正确、有效实施,是公众目前较为关心话题。
专家指出,个人信息保护法实施中可能会受到具体配套制度不完备、监管机制不健全等问题的制约。
综合中国人民大学法学院教授张新宝、清华大学法学院副院长程啸等专家观点,一是缺少数据和信息相关的权利立法。个人信息保护法的立法主要是行为立法,对维护数据安全和个人信息保护具有重要意义,但是从长远来看,权利立法长期滞后、缺位不利于实现数据资源的充分利用,也不利于政府部门有效监管。因此,需要加大与数据和信息相关的权利立法。二是个人信息保护的配套制度不足。个人信息保护在制度建设方面还有很多需要细化的地方,包括敏感个人信息保护的配套规定、个人信息跨境提供的配套规定、个人信息处理合规审计的配套规定等,都需要更多具体规则和标准才能更好地规范个人信息处理活动、保护个人信息权益。三是数据治理的监管机制仍有待健全。个人信息保护法对个人信息保护主管部门的规定较为复杂,其中既有集中进行统筹协调的监管机构,也有分散于国务院、地方政府有关部门中的监管机构。法律的落实离不开完善的监管执法机制。因此,有必要协调好各个部门之间的职责关系,避免“九龙治水”导致的主管部门重复执法或者推诿扯皮等问题。
图片
专家建议,加大与个人信息相关的权利立法,完善配套制度,建立数据协同监管的协调机制等。
图片
一是将个人信息保护的立法重心转向权利立法,厘清与网络安全法数据安全法的关系。中国政法大学副校长时建中认为,个人信息保护法重点关注了侵害个人信息安全行为的规制。权利是行为的起点,行为是权利的边界。因此,有必要在关于数据、网络和个人信息方面的行为立法的基本框架搭建完成后,把立法的重点转到权利立法上来。在立法时,可参照民法典的立法精神,明确个人的信息权利,如个人信息查询权、复制权、更正权和删除权以及在权利受到侵害时的救济途径。此外,还要处理好与网络安全法数据安全法的关系,以国家安全法为核心,形成有机法律体系,共同构成国家安全法体系重要组成部分。
二是完善个人信息保护配套制度,推进个人信息保护社会化服务体系建设。程啸教授等专家建议,国家网信部门应当就个人信息保护认证机构、认证程序、认证效力、法律责任等作出细致的规定,推进个人信息保护社会化服务体系建设。通过认证,一方面能够使个人信息处理者实现个人信息处理活动的合规性并向监管机构加以证明,另一方面也为市场提供了透明度,信息主体能够快速评估相关产品和服务的个人信息保护水平。此外,尽快制定出台一些配套规定,如个人敏感信息保护、个人信息跨境提供、个人信息处理合规审计、“头部企业”外部独立监督机制等。
三是建立数据协同监管的协调机制,形成强有力执法威慑。时建中等专家建议,一方面,要明确个人信息保护职责的部门分工。根据个人信息保护法的规定,履行个人信息保护职责的部门可分为两类,一类是负责统筹协调个人信息保护工作和相关监督管理工作的国家网信部门,包括中央网信办与地方各级网信办。一类是负有监管职责的国务院有关部门以及县级以上地方人民政府的有关部门。这两类部门(机构)都负有个人信息保护的法定职责,需要明确二者之间的职责关系。另一方面,建议以网信办作为牵头单位成立一个部级协调机构,在不同部门开展执法工作的过程中,充分发挥国家网信部门的统筹协调作用,加强不同部门之间的执法配合,建立一个有效的数据协同监管协调机制。
四是平衡信息保护与合理利用。中南财经政法大学数字经济研究院执行院长盘和林认为,良好的信息保护是数据共享的前提,但要警惕正当信息保护变成过度保护,影响数据的合理利用。因此,建议更清晰和科学地界定平台权责,健全“看门人”制度,更好地完善数据的管理体系。同时,鼓励平台尽快制定简易透明的隐私保护规则和完善信息保护机制,转变经营思路和方向,最终实现消费者权益、生产者权益、全社会权益的平衡。
作者/ 刘畅 胡堃