我国首部专门针对个人信息保护的系统性、综合性法律《中华人民共和国个人信息保护法》11月1日起正式实施。这部法律的实施,能否有效解决“大数据杀熟”定点推送、个人信息泄露等问题?法律实施之后,我们又该怎么用好这个“法”?
个人信息保护法已经开始发挥作用了吗?
中国社会科学院法学研究所副所长周汉华:11月1日杭州互联网法院一天判了三个个人信息保护相关的案子。其实从法律实施准备过程开始,我给很多企业做了合规培训,尤其是一些大企业合规意识提高非常快,能感受到法律所带来的威慑力。但是个人信息处理者的类型不一样,一些中小型企业合规意识可能还没有跟上,所以未来还要研究如何加大法律的实施力度。
个人信息保护法处罚力度有多大?
中国社会科学院法学研究所副所长周汉华:欧洲的处罚额度是上一年度营业额的4%,我们是5%,这个额度非常高。在我国法律里,除了《反垄断法》规定营业额1%到10%之外,《个人信息保护法》是第二部用营业额百分比来进行行政处罚的,这个处罚力度非常大,多的话可以过百亿。
国家机关既要做好执法者,也要做好守法者
中国社会科学院法学研究所副所长周汉华:国家机关既是个人信息保护领域的执法者,同时又掌握了大量的个人信息,也是个人信息的处理者。国家机关怎样扮演好两个角色,既有效执法,保护公民个人信息,同时作为信息处理者,在处理信息时也遵守法律规范?这是一个很大的挑战。尤其是如果不能把运动员和裁判员的身份进行有效区分,可能会出现两者角色不清,最后使得守法方面效果不是那么好。
企业主体要发布个人信息保护的责任报告,是道德要求,还是约束性要求?
中国社会科学院法学研究所副所长周汉华:要让企业尤其是大的企业遵守法律,无非两个方式,一个是靠外在威慑,比如严罚。另一个,是靠激励相容措施。如何调动企业内在守法的积极性,这就是“守门人”条款设计的初衷。比如企业要健全合规制度,要发布社会责任报告,而且要成立主要由外部成员组成的独立机构等等,这些其实就是激励相容措施。在各国的个人信息保护当中,激励相容机制设计的核心要义,就是激发它发自内心遵守法律的积极性。企业如果不能保护个人信息,恐怕也很难得到消费者的认同,很难长期经营。
个人信息保护法能否真正保证我们的个人信息?
中国社会科学院法学研究所副所长周汉华:“徒法不足以自行”,写得再好的法律如果在实施中没有有效落地,有些规定可能就会落空。这取决于法律设计的一系列行为规范、法律责任、管理措施、履行个人信息保护职责的部门,以及公益诉讼机制等等,也就是说社会共治机制、法律实施机制,是不是能有效落地。