怎样建立完善个人信息处理规则——简评《个人信息保护法草案》
个人信息保护法律制度的构建与完善
个人信息保护法律制度的构建与完善随着信息技术的飞速发展和互联网的普及,个人信息的泄露和滥用问题日益突出。
为了保护公民的个人信息安全,各国纷纷建立了个人信息保护法律制度。
本文将探讨个人信息保护法律制度的构建与完善的相关问题,分析现有问题并提出解决方案。
首先,个人信息保护的法律制度应该重视个人权利。
个人信息的泄露和滥用不仅侵犯了公民的隐私权,也可能导致个人信用受损和经济损失。
因此,立法应注重保护公民的个人权利,确保个人信息的自主权、知情权和选择权。
其次,个人信息保护法律制度需要强化企业和组织的责任。
现阶段,很多企业和组织在收集、存储和使用个人信息时缺乏必要的安全保护措施,对个人信息保护问题不够重视。
因此,立法应加强对企业和组织的监管,明确其责任和义务,并设立严厉的处罚机制,以确保个人信息的安全。
此外,个人信息保护法律制度也需要关注跨境数据流动的问题。
在数字化时代,个人信息不再受限于国界,很多公司和组织在全球范围内收集和处理个人信息。
因此,个人信息保护法律制度也需要跨国合作和协调,加强对跨境数据流动的管理,保护个人信息的安全,避免个人信息被滥用和跨境隐私泄露。
另外,个人信息保护法律制度也需要与技术的发展相适应。
随着人工智能、大数据和物联网的不断发展,个人信息的获取和分析能力将进一步增强。
因此,立法应及时调整和完善个人信息保护法律制度,以应对新兴技术对个人信息保护带来的挑战。
此外,个人信息保护法律制度的构建还需要加强公众的教育和意识。
公众对个人信息保护法律制度的了解和意识不足,容易成为个人信息泄露的受害者。
因此,政府和社会应加强对个人信息保护知识的普及,提高公众对个人信息保护的重视程度,培养公民对个人信息保护问题的自我防范能力。
总之,个人信息保护法律制度的构建与完善是当前亟待解决的问题。
通过重视个人权利、强化企业和组织责任、关注跨境数据流动、与技术发展相适应以及加强公众教育和意识,我们可以建立一个更加完善的个人信息保护法律制度,保障公民的个人信息安全。
个人信息保护法律制度的完善
个人信息保护法律制度的完善第一章引言个人信息在当今社会中越来越重要,如何保护个人信息成为了全球民众关注的焦点。
在中国,个人信息保护立法始于 2007 年,随着我国市场经济的快速发展,人们对个人隐私的保护需求不断增强。
自 2016 年开始,个人信息保护进入快速发展时期,国务院颁布了《关于加强网络安全保护的若干意见》,并于 2017 年 6 月1 日实施《网络安全法》,明确了网络安全和个人信息保护相关的法规和制度。
然而,个人信息泄露事件仍时有发生,导致广泛的社会关注和讨论,因此,不断完善个人信息保护法律制度,保障公民个人信息安全成为社会各界共同的责任。
本文将从个人信息保护法律制度建设的背景、目的、体系、实施与监管等方面进行探讨,逐步深入分析个人信息保护法律制度的完善。
第二章个人信息保护法律制度建设的背景2.1 网络技术的发展网络技术在全球范围内呈现出不断发展的趋势。
随着互联网技术的普及和应用,各种网络服务如雨后春笋般涌现。
同时,网络技术的互联互通特性也为隐私、个人信息的安全提出了更高要求。
2.2 全球化的互联网经济随着互联网经济的全球化发展,跨境交易和数据流动成为越来越常见的现象,各国出现了各种各样的个人信息保护法规和标准。
我国个人信息保护法律制度的建设也应不断适应互联网经济的发展。
2.3 数据泄露事件与隐私权保护意识的提高频繁发生的个人信息泄露事件让人们对自身隐私保护的重要性有了更深刻的认识,并呼吁政府要通过制定完善的个人信息保护法律制度,从而保障公民个人信息的安全。
第三章个人信息保护法律制度的目的保障公民个人信息的安全和自主权利,预防和打击非法收集、使用、泄露个人信息的违法行为,通过法律制约来规范企业和机构的行为,确保网络安全和社会稳定。
第四章个人信息保护法律体系4.1 《中华人民共和国个人信息保护法》《中华人民共和国个人信息保护法》是针对个人信息保护的基本法律,对个人信息销毁、通知、个人信息保护的违法行为等进行了详细规定。
个人信息保护法律体系的构建与完善
个人信息保护法律体系的构建与完善在数字化时代的今天,个人信息保护问题日益突出。
随着科技的不断发展和人们对便利生活的追求,个人信息泄露、滥用和操纵已经成为个人隐私安全的新威胁。
因此,构建和完善个人信息保护的法律体系显得至关重要。
首先,个人信息保护法律体系的构建需要明确的法律框架。
个人信息保护法律应该明确规定了哪些信息被认定为个人信息,并对其收集、使用、存储和处理做出规范。
这样可以有效的限制个人信息的滥用和泄露,保障个人的隐私权益。
同时,也为相关立法提供了明确的依据,提高司法审判的规范度和公正性。
其次,法律对于信息主体的权利保护也是至关重要的。
个人信息保护法律体系应该明确规定了信息主体的权利,包括但不限于知情权、控制权、修改权、删除权等。
这样,个人信息主体就能够更加自主地掌控自己的个人信息,并对信息的收集和处理行为提供监督和指导。
同时,法律还需要加强对个人信息收集方和处理方的责任追究,确保他们不得擅自获取和利用他人的个人信息。
此外,个人信息保护法律体系的完善还需要加强跨领域合作。
个人信息在不同领域中被广泛应用,如医疗、金融、社交网络等。
因此,个人信息保护法律的建立需要跨部门、跨领域的合作,确保法律贯穿于各个领域的实践中。
在这一过程中,政府、企业、学术界和公众应该共同合作,制定更为完善和适应实际的法律措施,保护个人信息的安全。
当然,个人信息保护法律体系的构建与完善也离不开技术的支持。
随着技术的不断革新,个人信息保护法律的完善需要与技术的发展紧密结合,将技术纳入法律框架中。
例如,采用加密技术、匿名化处理和权限控制等技术手段来保护个人信息的安全。
同时,也需要制定相应的技术标准和监管机制,确保技术的应用不被滥用,不侵犯个人隐私。
综上所述,个人信息保护法律体系的构建与完善是当今数字化时代亟待解决的问题。
只有通过建立明确的法律框架、保护信息主体的权利、加强跨领域合作以及与技术的结合,才能有效的保护个人信息的安全,实现个人隐私权益的最大化。
论完善我国个人信息行政法保护的对策
论完善我国个人信息行政法保护的对策随着互联网技术的不断进步和社会信息化的快速发展,个人信息已经成为了现代社会的重要组成部分,而个人信息的泄露和滥用也威胁着公民的个人信息安全和权益。
为了解决这个问题,我国制定了一系列个人信息保护的法律法规,但实际上,这些法律法规的可行性和实施效果并不足以保护公民的个人信息安全。
因此,本文将探讨完善我国个人信息保护的对策。
一、建立健全的个人信息管理制度个人信息管理制度是实现个人信息保护的基础,而当前我国个人信息管理制度尚不完善。
为了更好地保护公民个人信息安全,需要加强个人信息管理制度,建设一个合理、科学、高效的个人信息保护体系。
建立健全的个人信息管理制度包括以下几个方面:1.建立强制性的个人信息报告制度,要求所有个人信息采集者都必须向个人信息管理机构申报,在申报期限内提交个人信息采集活动的详细记录、采集方式、处理方式等信息并承担法律责任。
2.建立完善的个人信息安全风险评估机制,要求个人信息管理机构对采集、处理、存储、交换个人信息的过程进行全面评估,防范安全漏洞和风险。
3.加强个人信息管理机构的监管力度,完善监管执法机构的法律地位和权力,建立每年定期和不定期的巡检机制,对危害公民个人信息安全的机构进行制裁。
二、提高个人信息保护意识提高公民的个人信息保护意识,增强公民的自我保护能力是实现个人信息保护的一个重要途径。
公民应该明确个人信息的重要性、隐私性以及防范个人信息泄露的意义,积极采取保护措施,提高自身的保护能力。
例如:1.公民应该提高自身安全保护意识,增强对不法分子的警惕和防范意识。
2.公民要妥善保管自己的个人账户、密码等重要信息,定期更改密码、备份数据等;在不安全的网络环境下,不要轻易使用自己的账户、密码。
3.公民要拒绝不合理、过多的个人信息采集请求,并向有关部门投诉和举报涉嫌非法收集、使用、泄漏个人信息的机构。
三、加强执法力度,严惩不法行为虽然我国已经有了一系列个人信息保护的法律法规,但是由于执法难度大、成本高、利润诱人等因素,不法分子往往能够侵犯公民个人信息权益。
关于《中华人民共和国个人信息保护法(草案)》的说明
关于《中华人民共和国个人信息保护法(草案)》的说明文章属性•【公布机关】全国人大常委会,全国人大常委会,全国人大常委会•【公布日期】2020.10.13•【分类】立法草案及其说明正文关于《中华人民共和国个人信息保护法(草案)》的说明——2020年10月13日在第十三届全国人民代表大会常务委员会第二十二次会议上全国人大常委会法制工作委员会副主任刘俊臣委员长、各位副委员长、秘书长、各位委员:我受委员长会议的委托,作关于《中华人民共和国个人信息保护法(草案)》的说明。
一、关于制定本法的必要性随着信息化与经济社会持续深度融合,网络已成为生产生活的新空间、经济发展的新引擎、交流合作的新纽带。
截至2020年3月,我国互联网用户已达9亿,互联网网站超过400万个、应用程序数量超过300万个,个人信息的收集、使用更为广泛。
虽然近年来我国个人信息保护力度不断加大,但在现实生活中,一些企业、机构甚至个人,从商业利益等出发,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题仍十分突出。
在信息化时代,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。
社会各方面广泛呼吁出台专门的个人信息保护法,本届以来,全国人大代表共有340人次提出39件相关议案、建议,全国政协委员共提出相关提案32件。
党中央高度重视网络空间法治建设,对个人信息保护立法工作作出部署。
习近平总书记多次强调,要坚持网络安全为人民、网络安全靠人民,保障个人信息安全,维护公民在网络空间的合法权益,对加强个人信息保护工作提出明确要求。
为及时回应广大人民群众的呼声和期待,落实党中央部署要求,制定一部个人信息保护方面的专门法律,将广大人民群众的个人信息权益实现好、维护好、发展好,具有重要意义。
第一,制定个人信息保护法是进一步加强个人信息保护法制保障的客观要求。
党的十八大以来,全国人大及其常委会在制定关于加强网络信息保护的决定、网络安全法、电子商务法、修改消费者权益保护法等立法工作中,确立了个人信息保护的主要规则;在修改刑法中,完善了惩治侵害个人信息犯罪的法律制度;在编纂民法典中,将个人信息受法律保护作为一项重要民事权利作出规定。
我国法律范本保护个人信息的法律框架
我国法律范本保护个人信息的法律框架随着互联网的快速发展与普及,个人信息保护问题日益凸显。
保护个人信息既是个人信息安全的需要,也是法律法规的要求。
我国通过制定一系列法律法规和范本,构建了相对完整的个人信息保护的法律框架。
本文将就我国法律范本保护个人信息的法律框架进行探讨,为读者提供一个全面的了解。
一、总体情况和基本原则我国个人信息保护的法律框架主要由《中华人民共和国个人信息保护法》、《网络安全法》等法律法规构成。
其中,《中华人民共和国个人信息保护法》是我国个人信息保护的基础法,对个人信息收集、处理、使用和保护等方面进行了详细规定;而《网络安全法》则从网络环境的角度出发,加强了对个人信息的保护。
个人信息保护的基本原则主要包括以下几点:1. 合法性原则:个人信息的处理必须遵循合法、正当、必要的原则,未经个人同意不得收集、使用、提供个人信息。
2. 公平性原则:个人信息的处理必须保证公平性,个人信息处理者应当向个人告知处理信息的目的、方式和范围,并征得个人同意。
3. 限制性原则:个人信息的处理应当在明确的目的范围内进行,并且不得超出规定的范围进行处理,未经个人同意不得收集、使用、提供个人敏感信息。
4. 安全性原则:个人信息处理者必须采取合理、必要的技术和管理措施,确保个人信息的安全,防止个人信息的泄露、损坏或丢失。
二、个人信息的分类根据我国的法律框架,个人信息可以分为两类:一类是普通个人信息,包括姓名、年龄、性别、住址、电话号码等基本信息;另一类是个人敏感信息,包括身份证号码、银行账户等涉及财产安全和生命安全的信息。
对于处理不同类别的个人信息,我国法律也有所不同的规定和要求。
三、个人信息的权利和责任1. 个人权利:根据我国的法律框架,个人享有对自己的个人信息有知情权、决定权和控制权。
个人可以要求个人信息处理者提供个人信息的采集用途、数据传输范围等,并有权对个人信息进行查阅、更正和删除。
2. 个人信息处理者的责任:个人信息处理者应当按照法律法规和合同约定的规定处理个人信息,采取必要的措施保护个人信息的安全,并对个人信息的泄露、损坏或丢失承担相应责任。
详解个人信息保护法草案:从个人信息生命周期角度进行系统设计
详解个人信息保护法草案:从个人信息生命周期角度进行系统设计导语相比过去零碎的、片段式的立法,草案对个人信息的整个生命周期进行了一个全流程的系统设计。
10月21日,中国人大网公开《中华人民共和国个人信息保护法(草案)》(下称“草案”)并面向社会征求意见,截止时间为11月19日。
草案共八章七十条内容,包括“个人信息处理一般规定”、“敏感个人信息的处理规则”、“个人信息跨境提供的规则”等专门章节。
中国社会科学院法学研究所研究员周汉华认为,草案的一大亮点在于,相比过去零碎的、片段式的立法,草案对个人信息的整个生命周期进行了一个全流程的系统设计,解决了过去几部立法都没有解决的问题。
一、从个人信息生命周期角度进行系统设计近年来,随着网络化、数字化技术的发展,人们在享受科技技术带来的便利服务的同时,也遇到许多新的问题。
其中,因个人信息保护不周带来的电信诈骗、垃圾短信、大数据杀熟等问题切实损害了民众的利益。
2016年,山东准大学生徐玉玉因个人信息泄露,被电信诈骗骗走学费9900元,郁结于心,最终导致心脏骤停不幸离世。
个人信息保护问题越来越被大众关注,社会各方面也一直呼吁出台专门的个人信息保护法。
据人大法工委介绍,本届以来,全国人大代表共有340人次提出39件相关议案、建议,全国政协委员共提出相关提案32件。
针对个人信息保护问题,虽然一直没有专门立法,但在刑法、消费者权益保护法、网络安全法、民法典中都有相关规定。
但(它们)都不是集中的全面的规定。
个人信息保护法是个人信息保护领域中最为全面最为集中的法律规范,有了这样一部法律,我国就真正形成了以民法典、个人信息保护法、为核心的,相关领域特别法为辅助的科学合理的个人信息保护法律规范体系。
个人信息保护法不仅将(其他法律中)零散的条款,特别是它们背后的思想整合起来,更会归管这些条款尚未涉及的地方。
它还积极回应了信息技术,特别是互联网应用对社会生活的影响,在强化对公民个人信息特别是私密信息保护的同时,为信息产业界划定合法合规创新发展经营的边界。
个人信息保护法的问题和建议
个人信息保护法的问题和建议
x
一、个人信息保护法的问题
1、不完善的监管
目前,我国个人信息保护的法律法规尚未完善,不及时地完成法规的制定,缺乏严格的监管机制,导致个人信息泄露的情况时有发生。
2、个人信息安全保护缺乏
由于目前法律法规缺乏,个人信息安全的保护力度较弱,缺乏有效的人员和技术防护,个人信息容易泄露,从而受到侵害。
3、个人信息容易被滥用
尽管目前已经有了一些保护个人信息安全的法律法规,但不足以有效地阻止个人信息的滥用。
由于缺乏有效的监管和执法,这个问题仍然存在。
二、建议
1、加强法律法规的完善
要加强对个人信息保护的法律法规,完善有关保护措施,加强对个人信息的监管,严格执法,遏制违法行为。
2、完善个人信息安全保护
要加大个人信息安全保护的力度,建立健全个人信息安全保护机制,增加人员和技术保护措施,严格管理及时发现和消除个人信息泄露的风险,保护个人信息安全。
3、严格限制个人信息滥用
要严格限制个人信息滥用的行为,完善有关措施,建立个人信息安全监管机制,严格执法,对违法行为依法严惩,防止不法分子滥用个人信息。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
怎样建立完善个人信息处理规则——简评《个人信息保护法草案》《个人信息保护法草案》以专章、25条对个人信息处理规则作出了详尽的规定。
细化了民法典关于告知同意的规定,并以告知同意作为个人信息处理中的最基本规则;对处理者共同决定个人信息的处理、委托他人处理个人信息或向第三方提供处理的个人信息时的法律义务和责任作出了规定;在区分敏感个人信息与非敏感个人信息的基础上,对敏感个人信息的处理采取更加严格的规则;对国家机关处理个人信息作出了特别的规定。
民法典在人格权编第六章对个人信息保护作出了规定,不仅界定了个人信息、区分私密信息与非私密信息,还对个人信息处理的涵义以及处理的原则与规则进行了规定。
由于民法典是民商事领域的基本法,其对个人信息保护的规定主要是确立大的原则方向、规定最重大和最基本的问题。
故此,个人信息处理的基本规则还需要个人信息保护的专门立法加以规定,最高立法机关正在抓紧起草个人信息保护法。
2020年10月举行的十三届全国人大常委会第二十二次会议对《个人信息保护法草案》(以下简称《草案》)进行了第一次审议,并在会后向社会公开征求意见。
《草案》采用专章(第2章)、25条(占整个草案条文数量的比例超过三分之一)对个人信息处理规则作出了详尽的规定。
其特点在于:首先,细化了民法典关于告知同意的规定,并以告知同意作为个人信息处理中的最基本规则,从而更好地维护自然人对其个人信息的知情权和决定权。
其次,对处理者共同决定个人信息的处理、委托他人处理个人信息或向第三方提供处理的个人信息时的法律义务和责任作出了规定;再次,在区分敏感个人信息与非敏感个人信息的基础上,对敏感个人信息的处理采取更加严格的规则;最后,对国家机关处理个人信息作出了特别的规定。
以告知同意作为处理个人信息的基本规则个人信息处理中的告知同意规则,是指任何组织或个人在处理个人信息时都应当对信息主体即其个人信息被处理的自然人进行告知并取得同意,除非法律另有规定。
告知同意规则包含了告知规则与同意规则。
二者紧密联系,不可分割。
没有告知,自然人无法就其个人信息被处理作出同意与否的表示;即便告知了但不充分、不清晰,那么即便自然人表示了同意,该同意也并非是真实有效的同意。
反之,虽然告知了且充分、清晰,可是并未取得自然人的同意,对个人信息的处理也是非法的,构成对自然人个人信息权益的侵害。
告知同意的规则是世界各国个人信息保护立法中所普遍确立的一项基本规则,即便存在法律规定不适用该规则的情形(如基于公共利益、履行法定职责、维护自然人权益等),也不能据此就否定告知同意规则在个人信息处理中的原则性地位,因为该规则是自然人对其个人信息自主决定权的体现,它奠定了个人信息处理的正当性与合法性的基础。
《草案》在第二章第一节对告知同意规则作出了详细的规定,如要求处理个人信息的同意应当建立在个人充分知情的前提下,自愿、明确作出意思表示(第14条第1款);在个人信息的处理目的、处理方式和处理的个人信息种类发生变更时,应当重新取得个人同意(第14条第2款);基于个人同意而进行的个人信息处理活动,个人有权撤回其同意(第16条);除非处理个人信息属于提供产品或者服务所必需的,否则,个人信息处理者不得以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由,拒绝提供产品或者服务(第17条);明确个人信息处理者应当告知的具体事项(第18条)等。
总的来说,《草案》这些规定都是值得肯定的,但是也有若干需要完善之处。
例如,《草案》第13条将取得个人的同意与其他不需要取得同意的例外相互并列规定为个人信息处理者可以处理个人信息的情形,显然没有凸显告知同意规则作为原则的地位。
该条第2项将“为订立或者履行个人作为一方当事人的合同所必需”作为不需要取得同意的例外过于宽泛。
这种规定会导致个人信息处理者皆可以此为由不取得个人的同意。
例如,网络公司在向自然人提供网络服务本身就是要订立网络服务合同,依据该项,可以不经自然人的同意就处理其个人信息。
再如,《草案》第16条规定了个人有权撤回其同意,但是没有进一步明确撤回同意不影响此前个人信息处理行为的合法性。
个人信息处理涉及多个主体时的义务与责任我国民法典借鉴欧盟《一般数据保护条例》的立法模式,采用了“处理者”(Processor)来统称实施个人信息处理活动的主体。
然而,实践中既存在多个主体共同决定个人信息处理的情形,也存在处理者委托他人处理个人信息或者向第三方提供其处理的个人信息等复杂的情形。
这些时候,如何保护自然人的个人信息权益?怎样确定多个处理者之间、委托人与受托人及第三方之间的权利义务关系?对此,民法典没有规定。
《草案》第21条至第24条作出了详细的规定。
例如,第21条规定,两个或者两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。
但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。
个人信息处理者共同处理个人信息,侵害个人信息权益的,依法承担连带责任。
再如,《草案》第24条明确规定,个人信息处理者向第三方提供其处理的个人信息的,应当向自然人告知相关信息并取得单独同意等。
《草案》的上述规定非常有必要,但需要进一步完善。
例如,第21条第2款将共同处理个人信息而侵害个人信息权益的民事责任一律规定为连带责任,似有不妥。
因为,在个人信息处理者共同处理个人信息侵害个人信息权益的情形中,除非处理者存在共同故意,否则单纯的共同处理行为,不一定都产生连带责任,而是很可能构成民法典第1168条至第1172条规定的各种情形,可能承担连带责任,也可能承担按份责任。
再如,《草案》第22条对委托他人处理个人信息的问题作出了规定。
该条的问题在于:首先,在委托他人处理个人信息时,应当明确要求委托方必须向个人披露受托方的身份和联系方式。
其次,应当更具体的规定委托方对受托方采取的监督义务。
《草案》第22条第1款仅仅说“对受托方的个人信息处理活动进行监督”,过于模糊。
再次,在受托方非法处理个人信息或者侵害自然人的个人信息权益的时候,委托方与受托方的责任承担问题应当明确为连带责任,但是内部可以依据合同进行追偿。
敏感个人信息的处理规则所谓敏感的个人信息主要是指那些涉及自然人人格尊严、人格自由或者其他重大权益的个人信息,这些个人信息倘若被非法处理,将会对所涉自然人的人格尊严、人格自由或者其他重大的人身权益、财产权益造成严重的威胁或损害。
民法典只是将个人信息区分为私密信息与非私密信息,未规定敏感个人信息。
《草案》对此作出了明确的规定,并在第2章第2节进行了具体规范。
这一点值得肯定。
例如,《草案》第29条第2款将敏感个人信息界定为“一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息”。
区分敏感与非敏感个人信息的根本原因就在于处理规则上的差异。
首先,为了更好地保护敏感的个人信息,对于敏感的个人信息的处理不仅要取得自然人的同意而且这种同意必须是明示的、单独的同意,不能是默示的或者概括的同意。
但是,非敏感的个人信息无需如此严格。
其次,个人信息处理者对于敏感的个人信息负有更高的注意义务,否则,就会出现因为处理者的安全防护措施不足而造成敏感的个人信息泄露,对自然人会造成很大的损害或风险。
《草案》关于敏感个人信息处理规则的规定,还有必要加以修改完善。
具体而言,对于敏感的个人信息的处理应当有更严格的要求,这种严格不仅体现在对基于个人同意而处理敏感的个人信息的问题上,还应当体现在非经个人同意而处理敏感的个人信息的情形应当严格加以限制。
首先,只有法律才能规定例外,即法律才能规定不经个人同意就处理敏感的个人信息,因为这涉及到基本民事制度,与自然人的重大民事权益密切相关,不能把口子放得太开。
从民法典第1033条对私密信息的保护上也可以看出此点。
其次,《草案》第13条的规定不能适用于敏感的个人信息,否则,敏感的个人信息在处理规则上基本上与非敏感的个人信息没有什么差别。
国家机关处理个人信息的特别规定在个人信息的处理中,区分作为民事主体的信息业者和国家机关非常重要,因为二者处理个人信息活动的性质、负有的义务、对个人信息的利用、相应的法律责任等方面存在很大的差别。
例如,国家机关处理个人信息往往是因为要履行法定的职责,具有强制性。
但是,网络企业等信息业者是因为从事经营等民事活动而处理个人信息,是为了私人利益,不具有强制性,自然人有权拒绝提供。
再如,国家机关因为没有履行个人信息安全保护义务等违法行为而产生的赔偿责任,属于国家赔偿责任,但是私人企业的赔偿责任属于民事赔偿责任。
因此,在个人信息保护法中专门对国家机关处理个人信息作出规定是有必要的。
事实上,民法典第1039条之所以专门规定:“国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。
”也正是考虑到了这一区别。
《草案》在第2章第3节对国家机关处理个人信息作出了特别规定,是极有必要的。
不过,在完善该节规定时,需要注意三点:其一,防止国家机关任意以履行法定职责为由规避告知同意规则而处理个人信息。
《草案》第35条除了“法律、行政法规规定应当保密”外,又增加了“告知、取得同意将妨碍国家机关履行法定职责”的除外情形。
如此一来,很可能导致国家机关滥用该权利而侵害自然人的个人信息权益。
其二,对国家机关共享个人信息的行为进行规范。
为了便民利民,防止出现信息孤岛,国家机关之间信息共享(互相推送信息或开放端口等)情形较为普遍,此时如何保护个人信息?一旦发生损害如何承担责任等,《草案》应当予以关注。
其三,国家机关工作对个人信息的安全保护义务的履行与监督问题。
对于国家机关外的个人信息处理者的违法行为,履行个人信息保护职责的部门进行执法是很容易的。
然而,当国家机关不履行个人信息保护义务时,履行个人信息保护职责的部门则可能根本无法或难以执法,这一点从《草案》第64条只是规定了责令改正或对有关人员的处分等并不有力的措施上也可以看出端倪。
故此,有必要从法律责任的规定上强化国家机关对个人信息的安全保护义务。