中证网讯(记者 彭扬)全国政协委员、中国人民银行杭州中心支行行长殷兴山建议,通过专门立法,统一对公私领域的个人信息保护,明确运营主体收集、使用个人信息的原则、程序和保密、保护义务,不当使用、保护不力的法律责任以及监管部门的监督手段和处罚措施等。
殷兴山表示,随着新技术的迅猛发展,大数据时代已然来临,个人信息(数据)成为经济社会活动的重要元素。以防控新冠肺炎疫情为例,大数据对传染源的追踪和监测发挥了突出作用,复工复产阶段运用大数据形成的健康码大大降低了社会成本。同时,由于个人信息的资源价值,各个层面都重视挖掘个人信息、行为模式等数据,导致个人信息使用不断膨胀和扩散,有的被不法分子利用成为诈骗案件,保障个人信息安全迫在眉睫。
殷兴山建议,加快立法进程。2019年3月,全国人大已将个人信息保护法纳入立法规划,建议加快立法进程。通过专门立法,统一对公私领域的个人信息保护,明确运营主体收集、使用个人信息的原则、程序和保密、保护义务,不当使用、保护不力的法律责任以及监管部门的监督手段和处罚措施等。
殷兴山建议,设立专门监管机构。在立法中明确专门机构负责或牵头负责个人信息保护工作,建立统一的制度规范,有权监督运营主体,并对违规行为进行处理。若采取牵头负责模式,监管机构要发挥协调职能,相关部门应依法配合。
殷兴山建议,确立运营主体运营规范。明确运营主体必须依法采集、使用、保管个人信息,有明确正当的目的,符合“最少、必需”要求,并经过信息主体明示同意;注重平衡保护,在强调个人信息保密义务的同时,明确基于法律规定、社会公共利益、当事信息主体同意等例外规定,实现特定情形下个人信息无障碍流通;加强从业人员管理,制定信息收集、处理、传输、公开、使用规则,做好流程监控,一旦发生信息泄露事件,严格追究相关人员责任。同时,将技术防护纳入法律规范,推动运营主体加大技防投入。
殷兴山建议,赋予信息主体自我保护权力。明确“信息自决权”,信息主体有权决定是否告知或允许他人利用自己的信息,建立“知情同意”制度,只有信息主体知情同意,运营主体方可采集、保管、使用个人信息;赋予“被遗忘权”,借鉴欧盟《通用数据保护条例》,信息主体行使“被遗忘权”时,运营主体不仅要删除自己所掌握的信息,还要对公开传播的信息负责,有义务通知其他人停止利用并删除;赋予审查、拒绝权,信息主体有权审查运营主体的适格性,仅向合法运营主体提供个人信息,对超范围收集信息,有权提出异议或拒绝提供;赋予救济权,当信息主体发现信息被滥用或泄露,有依法寻求行政、民事乃至刑事救济的权利。
