文 | 山东省泰安市华体官方网页版和信息化局 庞波 山东省泰安市华体官方网页版经济发展服务中心 谢厚正 马增利
摘要:《中华人民共和国个人信息保护法》已于2021年11月1日正式施行,在无线电管理行政执法实践中如何保护个人信息是非常值得探讨的。本文详细阐述了无线电管理行政执法与个人信息保护相关的各项内容,对执法过程中个人信息保护存在的问题作了深入的分析,并对今后无线电管理行政执法中的个人信息保护提出了改进措施和对策建议。
关键词:个人信息保护 无线电管理 行政执法
0 引言
2021年8月20日,中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议表决通过了《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),自2021年11月1日施行。这部法律的出台,给个人信息安全提供了法治保障,也对国家机关收集、存储、处理个人信息作出了专门的规定。本文结合无线电管理行政执法实践,研究分析《个人信息保护法》实施后无线电管理机构行政执法面对的违法风险和今后的对策建议。
1 无线电管理行政执法涉及个人信息内容
《个人信息保护法》共分8章74条,明确了个人信息处理活动应遵循的原则,构建了以“告知—同意”为核心的个人信息处理规则,保障个人在个人信息处理活动中的各项合法权利,强化了个人信息处理者的义务,明确了个人信息保护的监管职责,并设置了严格的法律责任。这部专门法律充分回应了社会关切,为破解个人信息保护中的热点难点问题提供了强有力的法律保障。该法第三条明确提出:“在中华人民共和国境内处理自然人个人信息的活动,适用本法。”所以,无线电管理行政执法工作,应当受到《个人信息保护法》的约束。对此,首先需要明确个人信息保护相关的概念、定义、原则,梳理分析无线电管理机构在行政执法过程中与个人信息保护的哪些内容相关。
1.1 个人信息的定义和相关内容
《个人信息保护法》第四条规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。”第七十三条第(四)款规定:“匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。”由此可见,与自然人有关的各种信息,只要没有经过匿名化处理的,都可以算作个人信息,都在个人信息保护范围内。该范围是非常广泛的,也体现了国家在数字化时代对个人人格尊严和公平的数字经济社会秩序的重视。
1.2 无线电管理行政执法收集、处理的个人信息
无线电管理机构行政执法相对人既有机关、社会组织、企业等法人也有自然人,但都不可避免要收集处理自然人的个人信息,有必要梳理目前执法实践中收集处理的个人信息范围。经梳理归纳,其主要包括以下几个方面:一是基本身份证明类信息,包括姓名、性别、身份证号、民族、住址等,主要是身份证所记载的个人信息。二是个人情况扩展类信息,包括文化程度、联系电话、工作单位、职务等。上述两类个人信息在无线电管理行政许可、行政检查和行政处罚等所有行政执法活动中都是必须采集处理的信息。三是与生物特征识别相关的信息,包括指纹、照片、音视频图像记录等。四是一定时间内个人生产经营活动和生活情况的记录、金融账户、行踪轨迹等。上述两类个人信息主要是在行政执法过程中,制作现场检查勘验笔录和询问笔录时采集处理。
2 无线电管理行政执法个人信息保护违法风险
《个人信息保护法》已于2021年11月1日正式施行,之后无线电管理行政执法过程中所有个人信息采集处理都应当符合该法的要求。从目前无线电管理行政执法实践来看,尚有许多做法与之相悖,亟待在《个人信息保护法》视角下重新审视个人的行政执法活动,并按照法律的要求修订完善无线电管理行政执法规范。
2.1 个人信息过度收集
《个人信息保护法》第六条规定:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”无线电管理行政执法活动中收集处理个人信息应当遵循适度、必要原则,从目前执法实践看,有些个人信息超出了必需。例如:业余无线电台识别码(业余无线电台设置)行政许可中的文化程度、服务单位等信息,既无法规依据,也无采集必要。
2.2 个人信息处理不当
根据《个人信息保护法》第七条、第十三条、第十七条和第十八条的规定,无线电管理机构为履行法定职责收集个人信息,不需要取得个人同意,但应当告知个人。例如:在无线电管理行政执法过程中的录音录像,应事先告知当事人;行政许可审批过程中采集个人身份证信息,应当提前公示告知;身份信息、录音录像等执法记录数据应当单独存储,并有专门的管理制度和处理规范。目前有的无线电管理机构在执法过程中采集个人信息没有做到事前告知和事后规范管理,这存在很大的数据泄露和违法风险。
2.3 不当披露个人信息
按照《行政许可法》《行政处罚法》《中华人民共和国无线电管理条例》等法律、行政法规的相关规定,无线电管理行政执法结果应当依法公开,无线电管理机构公开的政府信息涉及个人隐私、会对其本人合法权益造成损害的不予公开。但是经本人同意,或者无线电管理机构认为不公开会对公共利益造成重大影响的,应当依法予以公开。目前无线电管理执法实践对涉及个人信息如何依法公开缺乏统一规范的管理制度,各地对公开的时效、事项和具体信息操作不一致,在个人信息保护方面存在较大不确定性和违法隐患。
2.4 擅自对外提供个人信息
在无线电管理行政执法实践中,有很多应其他单位、组织要求提供部分数据或主动向一些社会组织提供数据的情况。例如在业余无线电台和电台识别码管理过程中,无线电管理机构因工作需要向相关的协会提供部分数据的情况经常发生。这类情况涉及大量的个人信息数据,一旦操作不当,极易造成个人信息泄露。由此引发法律纠纷,无线电管理机构违法风险较高,尤其需要引起注意。
3 无线电管理行政执法个人信息保护对策建议
3.1 个人信息处理适度原则
无线电管理行政执法中个人信息处理应当遵循合法、正当、必要、诚信、公开、透明等原则,具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的处理方式,不得过度收集个人信息。建议对目前所有执法过程涉及的处理个人信息和执法规范、流程做一次全面系统评估,保留适度的个人信息要素,对超出适度范围的信息统一进行销毁处理,并修订完善相应的执法规范和流程。无线电管理行政执法人员处理个人信息,应当依照《中华人民共和国无线电管理条例》等法规规章规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。
3.2 建立个人信息保护审查制度
一是对今后出台的无线电管理行政执法规章和规范性文件正式发布实施前要经过法规部门的个人信息保护审查,确保个人信息处理合法,符合适度原则。二是对包括生物识别、宗教信仰、特定身份、金融账号、行踪轨迹等信息,以及不满14周岁未成年人的个人信息,应当严格审核处理敏感信息的必要性并向其及时告知对个人权益的影响。无线电管理机构在依法处理上述信息时应采取严格的保护措施。三是对相关个人信息对外提供的,应当进行严格内部审核,坚持合法、必要、最小限度原则。对向境外提供数据的,还应当通过国家网信部门的评估和审查。
3.3 建立健全个人信息保护技术标准和规范
针对执法中的个人信息保护法规要求,建立健全一系列相关技术标准和规范。无线电管理机构应当制定内部管理制度和操作规程,采取相应的加密、去标识化,制定个人信息安全事件应急预案等相应技术措施和规范,通过技术手段防止未经授权的访问和个人信息泄露、篡改、丢失,并将技术标准和操作规范应用到无线电管理行政执法全过程,有效保障执法全流程个人信息保护制度和措施落实到位。还应当不断完善迭代信息安全技术体系,强化安全管理制度规范,通过建设数据安全保护平台等技术措施,提高无线电管理网络安全和数据安全,切实保护个人信息安全。
3.4 定期开展个人信息保护评估
一是建议定期对涉及无线电管理行政执法处理个人信息的规章和规范性文件、个人信息数据等开展评估,及时销毁超期保存数据,修订或废止过期的规章文件。二是应当保护个人在个人信息处理活动中的权利。保障个人对其个人信息的处理享有知情权、决定权、查阅复制权、更正补充权、请求删除权、要求解释权、可携权等合法权利。
4 结束语
《个人信息保护法》是从维护个人在数字化时代的人格尊严和公平实践的角度出发制定的,也充分考虑了数字经济发展的合理需求和趋势,旨在确立自然人对于个人信息的尊严、安全和公平使用的合理要求。它对自然人关于个人信息的权利、个人信息处理者对于个人信息的义务、相关部门对于个人信息的保护职责、个人信息处理具体要求、个人信息跨境、法律责任等作出了明确和可操作的规定。《个人信息保护法》的通过和施行向世界展示了中国对于个人信息保护极其严肃的法治立场:将用法律迎接一个充分尊重个人信息并正当对待“数字人格”的新时代。作为无线电管理机构,行政执法机关理应认真研究学习,深刻领会《个人信息保护法》的新规定、新要求和新精神,结合新时代无线电管理工作任务要求,全面履行电波卫士职责,维护国家电磁空间安全,切实把广大人民群众合法权益维护好、保障好,使广大人民群众在数字经济发展中享受更多的获得感、幸福感和安全感。
参考文献:
[1] 中华人民共和国个人信息保护法,中国人大网(www.npc.gov.cn)[EB/OL]http://www.npc.gov.cn/npc/c30834/202108/a8 c4e3672c74491a80b53a172bb753fe.shtml,2021-8- 20/2022-1-21
新闻附件:
