中国首部在国家层面制定的《个人信息保护法》预计将在本周通过,这部法案的部分条款效仿了欧盟几年前通过的类似条例,但存在重要差异。在中国,个人信息泄露早已成为常态,那么这样的一部法律究竟能解决多大的问题呢?
规范企业行为是立法重点
中国《个人信息保护法》草案周二提交全国人大常委会进行第三次审议,预计将于本周通过。官媒《人民法院报》指出,与几个月前提交的二次审议稿相比,最新版本作了六处主要修改,涉及未成年人信息保护、个人信息可携带权等内容,对应用程序过度收集个人信息、“大数据杀熟”、算法自动推送等公众关注的焦点作了回应。
值得注意的是,三次审议稿对各类应用程序中随处可见的自动化决策作出如下定义:通过程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。审议稿要求相关应用的自动化决策应在充分告知的前提下取得个人同意,不得对个人在交易价格等方面实行差别待遇。
近一年来,中国政府显著加强了对互联网企业的监管,而数据保护是其工作重点之一。今年六月,中国《数据安全法》正式通过,要求对“重要民生、重大公共利益等”国家核心数据实行更严格的管理制度。
长期关注个人隐私议题的深圳市民邹涛说,《个人信息保护法》有助于规范科技公司的数据收集行为:“我认为这部法律的出台有利于科技公司的长远发展,并不是在限制他们。如果任由他们这样下去的话,事实上伤害的是老百姓对他们的信任。”
邹涛告诉记者,他本人就深受个人信息泄露其害。由于他的手机号已经用了二十多年,他的个人信息被很多人“卖来卖去”。前两年,他几乎不敢开机,否则就会接到各种诈骗电话和垃圾短信。他甚至还曾就此投诉和报警,但也没有下文。
在中国,邹涛的经历非常普遍。为了引发公众对个人信息保护的关注和讨论,北京艺术家邓玉峰曾在2018年举办了一场名为“34.6万武汉公民的秘密”的展览,展现了他此前在黑市上购买的几十万武汉市民的姓名、电话、住址等个人信息。开展两天后,武汉当局就关闭了这场展览,并告诉他因涉嫌通过非法手段收集信息,正在被调查。
2016年发布的《中国个人信息安全和隐私保护报告》显示,有七成的中国大陆被调查者认为,自己的个人信息泄漏严重。(法新社图片)
法律管得了“老大哥”吗?
业内普遍认为,《个人信息保护法》借鉴了欧盟2018年实施的《通用数据保护条例》(GDPR)的一些内容,但两者间仍然存在显著差异。比如,欧盟法规在数据跨境方面强调保护数据主体,但中方草案则包括国家安全等考虑因素。
邹涛指出,这部法律不但应该规范企业和个人的行为,更应对行政执法素质提出更高的要求:“打铁还需自身硬,作为政府机关,你要立法、执法、去惩罚违法的人,那么你自己要先戴上紧箍咒。除了针对某个公司或个人,国家机关还要更严格地去保护公民隐私。”
记者注意到,草案规定,国家机关在处理个人信息时,“不得超出履行法定职责所必须的范围和限度”,还要依法告知个人并取得其同意。但法律法规规定,应当保密或告知、取得同意将妨碍政府履行法定职责的除外。有舆论认为,草案未对执法部门的相关权限作出明确规定,势必无法改善政府的“老大哥”形象。
在新疆,上千万穆斯林看上去毫无隐私可言。中国政府在当地构建的“一体化联合作战平台”(IJOP)就利用与之关联的警务手机软件收集大量个人信息,包括身高、车牌号、是否使用翻墙软件等等。早在2016年,新疆就开始实施全民体检工作,有数千万人参与其中。但维吾尔少数民族和人权组织表示,当局在这个过程中采集了DNA样本等生物识别信息。
现居美国的人权律师滕彪表示,中国政府才是滥用个人信息的始作俑者:“中国政府对个人信息的收集和滥用都是非常普遍的,而且有愈演愈烈的趋势,包括社会信用体系、大数据、DNA采集、人脸识别等等。”
《个人信息保护法》是中国首部涉及个人信息保护的全国性法律。过去几年间,当局出台了一系列相关法律法规和国家标准清单,包括《电子商务法》、《网络安全法》、《互联网个人信息安全保护指南》等等,但都没有对此进行系统性立法。
