文/朱昌俊
10月21日,中国人大网公开《中华人民共和国(草案)》(下称“草案”)并面向社会征求意见,截止时间为11月19日。草案共八章七十条内容,包括“个人信息处理一般规定”“敏感个人信息的处理规则”“个人信息跨境提供的规则”等专门章节。
草案正式公开征求社会意见,意味着个人信息保护法立法进程又向前推进一步。从草案具体内容来看,它对个人信息保护作出了细致而全面的梳理,从采集到使用,再到敏感个人信息的处理、管理部门的法律责任等,各个环节都有涉及,专家形容这是“全生命周期保护个人信息安全”,并非虚言。
草案公开,并不意味着立法完成。尤其是在征求意见阶段,对于草案中的一些关键性、突破性内容,要进一步完善,并凝聚共识。比如,草案针对人脸识别这一社会热点问题做出了回应。其中明确,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息,只能用于维护公共安全的目的,不得公开或者向他人提供。
应该说,在人脸识别应用愈发普及,乃至给社会带来滥用风险的大背景下,立法明确要求在公共场所进行的人脸识别“应当为维护公共安全所必需”、所收集的相关信息“只能用于维护公共安全的目的”,可谓起到“正本清源”的作用。
若按照这样的新规,像动物园为了追求验票效率启用人脸识别的做法,其合理性显然就值得疑问。这一界定,无疑给社会传递出明确信号——人脸识别只能是基于公共安全之必需才能使用,而不能随意扩大应用范畴。此一原则能够落实,有望有效遏制人脸识别在公共场所被滥用的风险。
但如专家所说,仅有原则要求是不够的。比如,人脸识别系统应该由谁来安装,需要什么样的程序,过程中的监管如何实现等等,这都需要有细化的规定,否则就很可能让原则被架空。
草案的另一大亮点是,对于违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要安全保护措施的,情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处5000万元以下或者上一年度营业额5%以下罚款。
众所周知,当前随意收集、过度使用个人信息,一些大的企业尤其是互联网企业往往是“重灾区”。针对这些大企业的非法行为,若对应的违规成本不高,无异于纵容。所以,像国外对于大公司的违规操作,往往有“天价罚款”。草案提出的最高可按照企业上一年度营业额5%以下罚款,依稀让人看到了“天价罚款”的影子。这对于遏制一些大企业违规收集、使用个人信息,能够产生显而易见的震慑力。因此,希望这一条款在征求意见的过程中,能够在凝聚社会共识的基础上得到保留,甚至进一步提高罚款比例。同时,到底何谓“情节严重”,也该有明确的标准,给社会和企业树立准确预期。
此外,草案还特别明确,国家机关为履行法定职责处理个人信息,应该依照本法规定向个人告知并取得同意。也就是说,国家机关在保护个人信息上,也没有“豁免权”。
任何一部法律都是一个完整的系统。但总有一些内容的突破,更能体现立法的价值。个人信息保护法草案在规范人脸识别、提高违法成本、规范国家机关处理个人信息等方面的突破性规定,可谓切中了当下个人信息保护的重点、难点问题,其后,应该在征求意见的过程中,珍惜来之不易的“成果”,继续细化完善,提高整部法律的“含金量”。
来源 | 羊城晚报·羊城派
题图 | 视觉中国
责编 | 魏礼园