咨询热线:010-85199916
2021年4月26日,个人信息保护法草案二审稿(以下称“草案二审稿”)提请十三届全国人大常委会第二十八次会议审议。
草案二审稿拟强化对超大互联网平台的个人信息保护义务,引入由外部成员组成的独立机构对个人信息活动进行监督。专家表示,此举可让企业切实地负起保护个人信息的责任,并确保企业处理个人信息的透明性。
增设独立机构监督超大平台处理个人信息
目前,互联网服务已深入人们的日常生活,涉及餐饮、购物、出行、理财等等。这些服务平台在为海量用户提供便捷服务的同时,也收集、存储了大量的个人信息,给个人信息安全带来诸多隐患。
草案二审稿规定,提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督;对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;定期发布个人信息保护社会责任报告,接受社会监督。
对外经济贸易大学数字经济与法律创新研究中心执行主任许可介绍,“外部成员”可类比上市公司的独立监事、外部董事等“和公司无关的人”;“基础性服务”则可能在欧盟定义的基础网络服务上,把社交等类别的网络服务平台纳入进来。
中国信息安全研究院副院长左晓栋也强调,独立机构的人员和个人信息处理者不能有隶属关系,独立机构不对个人信息处理者负责。
“这是一个很好的规定。”中国社科院法学研究所副所长周汉华直言,互联网公司的算法不透明,内部治理结构在某种程度上也不透明。对“守门人”企业(用户量超大的企业)而言,让外部人士参加公司的内部治理,可加强它们的社会责任,增加它们的透明度。这也和最近强化反垄断调查、加大对“守门人”企业的监管力度的趋势相符。
在欧盟,用户量超过4500万的科技公司可能被认定为“守门人”企业。许可表示,由于发展体量不同,无论是基础服务,还是用户数量,国内与欧盟对“守门人”的认定标准都将不一样,“这取决于后续的实施细则”。
平台不能证明自己无过错应承担侵权责任
当个人信息权益被侵犯时,如何维权一直是公众关注的焦点和难点。对于被侵害个人信息权益的个人而言,维权成本高且举证责任大。
此前,草案一审稿规定,因个人信息处理活动侵害个人信息权益,个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任。草案二审稿修改为,个人信息权益因个人信息处理活动受到侵害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
天达共和律师事务所合伙人、数据合规团队负责人申晓雨告诉南都记者,以往个人信息权益受到侵犯时,往往采取的是过错责任原则。在“谁主张谁举证”的原则下,证明责任往往是由个人信息主体承担,而非企业。
她进一步指出,草案二审稿的此条改动减轻了个人的举证责任,更有利于个人维权。举证责任倒置可能会“倒逼”企业去做更细致的合规工作,比如合规工作本身的证明记录等。
“这是从现实情况出发作出的规定,因为用户处于弱势一方。”左晓栋强调,此举体现了草案二审稿“加大企业责任”的立法价值取向。同时,如果事后个人信息泄露的责任进一步澄清了,个人信息处理者还可以主张自己的权益,找真正的泄露者索赔。
南都记者注意到,针对广受关注的“撤回同意”,草案二审稿也做出了修改。草案一审稿规定,基于个人同意而进行的个人信息处理活动,个人有权撤回其同意。而二审稿修改为,个人信息处理者应当为个人提供便捷的撤回同意的方式;个人撤回同意,不影响撤回同意前已进行的个人信息处理活动的效力。
由“有权撤回”变为“便捷的撤回同意”, 申晓雨认为,草案二审稿将“撤回同意”的实操进一步细化——如果企业设置了过于复杂的撤回同意,用户可能会因此而被迫放弃撤回。
死者的个人信息权益由近亲属行使
值得注意的是,此次草稿二审稿新增要求:自然人死亡的,个人在个人信息处理活动中的权利由其近亲属行使。
如果一个人去世了,亲属想通知死者的微信好友,此时就需要掌握死者的微信号。“类似的情况越来越多”,左晓栋表示,草案二审稿增加的这条规定充分体现了人文关怀。
事实上,对于如何保障死者的个人信息权利,在今年1月起施行的《民法典》中已做出探索。《民法典》规定,死者的姓名、肖像、名誉、荣誉、隐私、遗体等受到侵害的,其配偶、子女、父母有权依法请求行为人承担民事责任;死者没有配偶、子女且父母已经死亡的,其他近亲属有权依法请求行为人承担民事责任。
对外经贸大学数字与法律创新研究中心执行主任许可认为,新增对死者的个人信息处理权利十分应当。因为《民法典》中没有明确规定死者人格权的条款,这才在个人信息保护法中特别进行了规定。
在申晓雨看来,这条新增规定具有进步意义。她认为,假如死者在生前曾对其个人信息做过安排,不愿其个人信息在死后被他人所知晓,还需考虑死者生前的自主意愿。
“如果死者希望个人信息处理者删除其个人信息、账号,或者匿名化,除非涉及国家社会安全等例外情形,我觉得应该尊重他的个人选择,这跟遗嘱是相似的。”她说。
对此,她建议个人信息处理平台设置相关功能,让用户可以在生前对死后的个人信息进行处理安排。她还提出,应进一步明确个人信息的定义,更好地与民法典、网络安全法衔接起来,便于明确某一类信息是否属于个人信息的范畴。
来源:隐私护卫队