个人信息保护法征求意见 要在关键突破上凝聚共识

　　□朱昌俊

　　10月21日，中国人大网公开《中华人民共和国个人信息保护法(草案)》(下称“草案”)并面向社会征求意见，截止时间为11月19日。草案共八章七十条内容，包括“个人信息处理一般规定”“敏感个人信息的处理规则”“个人信息跨境提供的规则”等专门章节。

　　草案正式公开征求社会意见，意味着个人信息保护法立法进程又向前推进一步。从草案具体内容来看，它对个人信息保护作出了细致而全面的梳理，从采集到使用，再到敏感个人信息的处理、管理部门的法律责任等，各个环节都有涉及，专家形容这是“全生命周期保护个人信息安全”，并非虚言。

　　草案公开，并不意味着立法完成。尤其是在征求意见阶段，对于草案中的一些关键性、突破性内容，要进一步完善，并凝聚共识。比如，草案针对人脸识别这一社会热点问题做出了回应。其中明确，在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、个人身份特征信息，只能用于维护公共安全的目的，不得公开或者向他人提供。

　　应该说，在人脸识别应用愈发普及，乃至给社会带来滥用风险的大背景下，立法明确要求在公共场所进行的人脸识别“应当为维护公共安全所必需”、所收集的相关信息“只能用于维护公共安全的目的”，可谓起到“正本清源”的作用。

　　若按照这样的新规，像动物园为了追求验票效率启用人脸识别的做法，其合理性显然就值得疑问。这一界定，无疑给社会传递出明确信号——人脸识别只能是基于公共安全之必需才能使用，而不能随意扩大应用范畴。此一原则能够落实，有望有效遏制人脸识别在公共场所被滥用的风险。

　　但如专家所说，仅有原则要求是不够的。比如，人脸识别系统应该由谁来安装，需要什么样的程序，过程中的监管如何实现等等，这都需要有细化的规定，否则就很可能让原则被架空。

　　草案的另一大亮点是，对于违反本法规定处理个人信息，或者处理个人信息未按照规定采取必要安全保护措施的，情节严重的，由履行个人信息保护职责的部门责令改正，没收违法所得，并处5000万元以下或者上一年度营业额5%以下罚款。

　　众所周知，当前随意收集、过度使用个人信息，一些大的企业尤其是互联网企业往往是“重灾区”。针对这些大企业的非法行为，若对应的违规成本不高，无异于纵容。所以，像国外对于大公司的违规操作，往往有“天价罚款”。草案提出的最高可按照企业上一年度营业额5%以下罚款，依稀让人看到了“天价罚款”的影子。这对于遏制一些大企业违规收集、使用个人信息，能够产生显而易见的震慑力。因此，希望这一条款在征求意见的过程中，能够在凝聚社会共识的基础上得到保留，甚至进一步提高罚款比例。同时，到底何谓“情节严重”，也该有明确的标准，给社会和企业树立准确预期。

　　此外，草案还特别明确，国家机关为履行法定职责处理个人信息，应该依照本法规定向个人告知并取得同意。也就是说，国家机关在保护个人信息上，也没有“豁免权”。

　　任何一部法律都是一个完整的系统。但总有一些内容的突破，更能体现立法的价值。个人信息保护法草案在规范人脸识别、提高违法成本、规范国家机关处理个人信息等方面的突破性规定，可谓切中了当下个人信息保护的重点、难点问题，其后，应该在征求意见的过程中，珍惜来之不易的“成果”，继续细化完善，提高整部法律的“含金量”。