来源:大数据期刊
我国《个人信息保护法》立法背景与制度详解
于晓洋1, 何波2
1 中国政法大学网络法学研究院
2 中国信息通信研究院
摘要:《个人信息保护法》于2021年8月审议通过,并于2021年11月起正式施行,这推动中国个人信息保护法律制度体系的确立。首先,系统介绍了《个人信息保护法》制定的背景情况,立法历经3次审议,坚持问题导向,特点鲜明、意义重大;其次,分析了《个人信息保护法》的制度规则,重点介绍了个人信息的概念范围,处理个人信息的基本原则、合法性基础、相关主体权利义务、跨境提供规则以及法律责任等;最后,总结了个人信息从“间接保护”到“直接保护”再到“全面保护”的历程。
关键词:《个人信息保护法》 ; 基本原则 ; 个人信息处理 ; 权利义务 ; 法律责任
论文引用格式:
于晓洋, 何波. 我国《个人信息保护法》立法背景与制度详解[J]. 大数据, 2022, 8(2): 168-181.
YU X Y, HE B. Legislative background and system of China’s Personal Information Protection Law[J]. Big Data Research, 2022, 8(2): 168-181.
0 引言
根据中国互联网络信息中心(China Internet Network Information Center, CNNIC)的统计,截至2021年6月,我国网民规模达10.11亿,互联网普及率达71.6%,持续排名全球第一网民大国。近年来,随着云计算、大数据、区块链、5G、人工智能等新一代信息通信技术的快速发展和应用普及,互联网与传统实体经济全面融合、数字化转型加速推进,对个人信息的收集、加工、使用等活动更加频繁,加强个人信息保护已成为国家高度关注、社会广泛关切、群众普遍关心的重大现实问题。2021年8月,全国人民代表大会常务委员会(以下简称全国人大常委会)表决通过《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),并于2021年11月1日起正式施行。《个人信息保护法》是我国第一部法律层面的个人信息保护专门立法,立法坚持问题导向、积极回应社会需求,对公民在处理个人信息活动中的权利、个人信息处理者的义务等诸多方面做出了全面的规定,为深入开展我国个人信息保护和监督管理工作提供了坚实有力的法律保障。与此同时,《个人信息保护法》有效弥补了我国个人信息保护领域法律体系的重大缺失,与此前已经出台施行的《中华人民共和国网络安全法》(以下简称《网络安全法》)、《中华人民共和国数据安全法》(以下简称《数据安全法》)、《中华人民共和国电子商务法》(以下简称《电子商务法》)、《中华人民共和国民法典》(以下简称《民法典》)、《中华人民共和国刑法》(以下简称《刑法》)等相关法律法规配合衔接,共同建立了我国个人信息保护的法律制度体系框架,为数字时代经济社会高质量发展奠定了坚实的法治基础。
1 《个人信息保护法》立法背景
1.1 立法过程
一直以来,我国高度重视网络空间领域的法治建设工作,党中央国务院多次对加强个人信息保护工作提出明确要求,“保障个人信息安全,维护公民在网络空间的合法权益”。随着我国数字经济高速增长和持续发展,社会各界广泛呼吁,人大代表、政协委员积极建言,建议尽快制定出台个人信息保护领域专门的法律规定,《个人信息保护法》的起草工作被加速提上了立法日程。2018年9月,《十三届全国人大常委会立法规划》发布,《个人信息保护法》被作为第一类立法项目列入其中。此后,制定《个人信息保护法》先后被明确列入《全国人大常委会2020年度立法工作计划》和《全国人大常委会2021年度立法工作计划》。
2020年10月,《个人信息保护法(草案)》进入首次立法审议程序,草案明确了法律的基本框架结构,涵盖了总则、个人信息处理规则、法律责任、附则等在内的8个部分。自此,立法工作进入实质审议阶段,并第一次向社会公开征求意见,引起了社会各界的广泛关注和深入讨论。2021年4月,全国人大常委会再次审议了《个人信息保护法(草案二次审议稿)》,在征求意见的基础上进一步完善了相关制度规则,增加了撤回同意、自动化决策、死者个人信息保护、大型互联网平台个人信息保护义务等相关内容,并再次面向社会征求意见。2021年8月,全国人大常委会进行了第三次审议,审议稿增加了“根据宪法制定本法”,对App过度收集个人信息、大数据杀熟等问题做出针对性规范,将“不满十四周岁未成年人的个人信息”纳入敏感个人信息的范畴,增加了关于个人信息可携带权的规定。经过3次审议后,全国人大常委会表决通过《个人信息保护法》,并规定于2021年11月1日起生效实施。
1.2 立法特点
我国个人信息保护立法过程中坚持以问题为导向 ,制度设计坚持继承与创新并重,坚持国际标准,立法特色鲜明。
一是立法坚持问题导向。进入数字经济时代后,数字技术发展日新月异,万物互联、人机交互使得个人信息保护面临前所未有的挑战,不仅极大地扩展了个人信息收集使用的规模,也增加了个人信息泄露、滥用的风险,实践中部分主体随意收集、违法获取、过度使用个人信息的现象时有发生。《个人信息保护法》立足于个人信息保护领域存在的突出问题和人民群众的重大关切,建立健全了相应的制度规范。与此同时,针对新技术新应用带来的新问题,例如自动化决策、移动应用程序等,在充分研究论证的基础上也做出了必要的规定。
二是立法坚持继承与创新并重。通过对《个人信息保护法》制度条款的梳理分析可以发现,内容中既有新设立的制度,也有对此前立法中个人信息保护制度的强化。尤其是,《个人信息保护法》在立法过程中充分吸收借鉴了《网络安全法》《民法典》等相关立法中已经确立的原则和制度,例如,《个人信息保护法》在总则部分吸收了《网络安全法》规定的“合法、正当、必要原则”,并进一步发展成“合法、正当、必要和诚信原则”。与此同时,《个人信息保护法》适应数字技术和产业形势的发展变化,持续创新探索,增加了单独同意、敏感个人信息保护、大型互联网平台特殊义务等诸多全新的个人信息保护制度。
三是立法坚持国际标准。近年来,国际社会对个人信息(或数据)保护的立法活动持续推进,越来越多的国家和地区陆续制定、出台个人信息保护方面的法律规定。一方面,新兴市场国家加快推进个人信息保护立法的进程;另一方面,发达经济体在原有法律制度的基础上持续强化和完善保护制度,不断提升保护水平。我国《个人信息保护法》在立法过程中参考借鉴了欧盟及其成员国等发达地区和国家的实践经验,坚持对标国际标准,建立健全适应我国个人信息保护具体国情和数字经济发展需要的法律制度。
1.3 立法意义
《个人信息保护法》的制定、出台具有十分重要的意义,不仅能强化自然人个人信息权益保护的现实需求,也是营造数字经济发展营商环境的重要举措和顺应国际个人信息保护发展趋势的必然选择。
一是维护公民个人信息合法权益的现实需求。长期以来,我国互联网领域商业模式普遍采用“前端免费、后端获利”的模式,随着信息通信技术的发展演进,企业盈利模式也从在线广告向基于大数据的定向推送、精准营销转变,用户个人信息成为企业获利的核心价值源。虽然近年来我国有关部门不断加大个人信息的保护力度,但从实践情况来看,由于企业个人信息保护能力良莠不齐,用户个人信息收集使用的规则、范围等还存在一些有待明确的地方,通过制定专门的法律规则强化个人信息保护、切实回应用户权利侵害等问题已经刻不容缓。
二是营造数字经济良好发展环境的重要举措。用户权益保护水平对数字经济发展环境具有重要影响,立法加强个人信息权益保护不仅是一项具有重大社会效益的益民举措,也是为数字经济持续健康发展营造公平竞争环境的重要保障。违法违规处理用户个人信息的行为不仅侵害了个人主体的切身利益,也严重扰乱了数字经济市场的秩序。因此,当务之急是要集中快速解决侵害用户权益、影响用户体验、阻碍使用服务、恶化行业生态等突出问题,破除行业发展的制约因素。通过建章立制,为个人信息处理活动画出底线、明确红线,明确监管部门的职责权限,降低各类市场主体个人信息保护合规成本,稳定市场预期,促进数字经济发展行稳致远。
三是顺应国际发展趋势的普遍做法。据统计,截至2021年11月,全球已经有128个国家和地区通过立法保护个人信息和隐私,制定个人信息保护立法强化用户权益保护是全球数字经济发展背景下的大势所趋。从国际社会来看,高水平个人信息保护的国家和地区相对比较容易在数字经济发展国际合作中取得信任,也比较容易在数据跨境流动等关键议题上建立合作关系。例如,欧盟通过充分性认定不断扩大跨境数据流动的范围,美国推动建立APEC跨境隐私规则体系。个人信息保护水平对数字经济发展环境具有重要影响,在我国数字经济走向全球化的过程中,也需要以国内高水平、严要求的个人信息保护为基础,在数字经济发展国际合作中取得充分信任,达成国际合作,释放我国数据规模优势。
2 《个人信息保护法》主要制度
我国《个人信息保护法》共计八章七十四条。在《网络安全法》《民法典》等有关法律的基础上,该法进一步细化、完善了个人信息保护的基本原则和处理规则,明确了个人信息处理活动中的权利和义务边界,健全了个人信息保护工作体制机制,确立了我国个人信息保护的基本制度规则。本节将从13个方面对《个人信息保护法》中的主要制度进行详细分析。
2.1 明确个人信息保护的宪法基础
从何种角度对个人信息进行保护在一定程度上体现了该国对个人信息的重视程度。例如,欧盟2000年通过的《欧洲联盟基本权利宪章》将“个人数据保护”作为一项基本的“自由”人权进行保护,规定每个公民都拥有保护与其相关的数据的权利,人人都有权访问已收集的有关他本人的数据,并有权对这些数据进行更正。我国则将个人信息受保护的权利提升到了宪法保护的高度。《中华人民共和国宪法》(以下简称《宪法》)规定,“国家尊重和保障人权”(参见《宪法》第三十三条。),“公民的人格尊严不受侵犯”(参见《宪法》第三十八条。),“公民的通信自由和通信秘密受法律的保护”(参见《宪法》第四十条。),这些都是与个人信息保护密切相关的条款。为此,《个人信息保护法(草案稿)》在第三次审议过程中增加了“根据宪法制定本法”的表述,确立了我国《个人信息保护法》的宪法性基础。与此同时,制定和实施《个人信息保护法》对于保障公民在《宪法》上的人格尊严和其他权益也具有重要意义,正如学者所指出的“国家负有对公民人格尊严和隐私、安宁进行保护的义务,随着信息时代的来临,该义务扩展到对个人信息相关权益的保护”。
2.2 界定并扩展了个人信息的范围
个人信息的概念和范围是开展个人信息保护工作的逻辑起点,也是整部《个人信息保护法》制度构建的基础。只有当某类信息明确符合个人信息的概念或属于个人信息的范围时,才会受到法律的保护和规范。从学理上来看,对个人信息的界定主要存在“识别说”和“关联说”两种主要的理论。所谓“识别说”,是指将“是否可以识别个人身份”作为界定个人信息和非个人信息的标准,这是传统个人信息保护立法常用的界定方式,也是对个人信息进行界定的基础。我国2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》首次在法律层面提出了“识别”的描述方式;2016年的《网络安全法》对个人信息的界定采取了“概括加列举”的方式,本质上也属于“识别说”的界定方式。“关联说”也即相关性,与“识别说”不同,“关联说”是在已知特定个人的情况下,知道该特定个人进一步的相关信息。由于具有“可识别性”的信息是有限的,加之个人信息的属性动态变化,难以采用“一刀切”的保护方式,我国在《个人信息保护法》立法过程中将“识别说”和“关联说”结合,将个人信息界定为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”(参见《个人信息保护法》第四条。),这种界定方式进一步扩展了个人信息的边界,具体见表1。
2.3 规定个人信息保护的基本原则
个人信息保护的基本原则具有十分重要的功能意义,不仅是开展个人信息处理活动的基本要求,也是个人信息保护具体制度构建的重要基础,贯穿个人信息处理的全过程、各环节。我国《个人信息保护法》在立法过程中借鉴国际经验,立足国内具体实践,在第五条至第九条中确立了个人信息保护的5项基本原则。一是合法、正当、必要和诚信原则。该原则是《个人信息保护法》第五条规定的个人信息保护首要原则,在此前的《网络安全法》中已经规定了“合法、正当、必要”原则,要求在对个人信息进行处理活动时,应严格遵循法律、行政法规的规定,采取合法的方式;“诚信”原则是《个人信息保护法》依据《民法典》新增加的基本原则,要求个人信息处理者应当秉持诚信,在处理信息的各环节中严守合同和允诺,不得随意违背合同损害个人信息权益,更不得以误导、欺诈等方式获取用户同意或处理个人信息。二是目的限制原则。该原则要求处理个人信息应当具有明确、合理的目的,该项原则在合法、正当、必要和诚信原则的基础上,为个人信息处理目的设定了一个评价标准,并将处理活动控制在“与直接处理目的相关”的范围内,从3个层面对个人信息处理的程度进行了限制,包括目的特定、直接相关和要求影响最小,不得过度收集使用个人信息。三是公开透明原则。该原则的具体要求体现在《个人信息保护法》第七条,即“个人信息处理者应当对外公开处理规则,并向个人明示处理的目的、方式和范围”,该项原则是用户权益保护的重要体现。值得注意的是,公开透明原则赋予了个人对其个人信息享有知情权,据此产生了个人信息处理者的查阅、复制权等内容,并在《个人信息保护法》中做了相应规定。四是质量原则,即完整性和准确性原则。该项原则是指个人信息处理者应当保证其所处理的个人信息的质量,避免因为个人信息的不准确、不完整对个人权益造成不利影响(参见《个人信息保护法》第八条。)。《个人信息保护法》第八条对处理个人信息的质量设定了评价标准,具体可从个人信息的完整性和准确性两方面来理解,要求个人信息处理者应当避免因个人信息的不准确、不完整而损害个人权益。五是安全保障原则。该原则的核心目的是确保个人信息处理中的安全。《个人信息保护法》第九条从两个方面对安全保障原则做了规定,即责任要求和安全要求。其中,责任要求明确了个人信息处理者的首要主体责任,应当对其个人信息处理活动负责;安全要求是指个人信息处理者应当采取必要措施保障个人信息的安全,这也是此前《全国人民代表大会常务委员会关于加强网络信息保护的决定》《网络安全法》等相关法律法规中普遍规定的要求。
2.4 完善个人信息处理的合法性基础
合法性基础是开展个人信息处理活动的前提条件,也是各方呼吁《个人信息保护法》解决的基本性问题。长期以来,我国围绕“知情-同意”规则构建了处理个人信息的基本制度,要求收集、使用个人信息应当征得被收集者同意,而“取得个人同意”一度成为处理个人信息的唯一合法性基础。例如,在2016年通过的《网络安全法》就规定“网络运营者收集、使用个人信息,应当……并经被收集者同意”(参见《网络安全法》第四十一条。)。但随着数字经济的持续发展,个人信息处理的场景日益复杂多样,对个人信息处理的需求也越来越多,单纯的“同意”规则难以满足经济社会的发展趋势以及行业监管治理的需求。为此,《个人信息保护法》在“知情-同意”的基础上,进一步丰富了处理个人信息的合法性基础,规定了7种条件下可以合法处理个人信息的场景(详见表2)。
在7项合法性基础中,“取得个人同意”和“为合同所必需”是实践中常用的形式。通过“取得个人同意”的方式处理个人信息继承了原有立法中的“知情-同意”规则。“知情-同意”是《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规确立的收集、使用个人信息的核心规则,有效保障了个人信息主体的知情权和决定权。类似的制度在欧盟《通用数据保护条例》(GDPR)中也有要求,规定了数据控制者在提供透明信息以及告知数据主体如何行使其权利方面的广泛义务,要求处理个人数据需征得数据主体的同意。我国《个人信息保护法》和欧盟GDPR都采取了选择“加入”(opt-in)的模式,即以个人同意作为信息处理合法性的理由,非经个人同意,不得对其个人信息进行处理,并且都对同意的有效性提出了实质性要求。此外,《个人信息保护法》关于同意的规则部分,还首次规定了单独同意和书面同意的要求,本文后续部分也将进行详细阐述。
“为合同所必需”是指当对个人信息的处理活动是为了完成该主体参与的合同所需要时,即使没有征求个人同意,也可以在一定限度内处理其个人信息。当个人自愿选择进入一个合同时,其便会受到合同规定的义务的约束,因此,为了履行该合同而处理个人信息具有合理性与正当性。欧盟GDPR也有类似规定,如果处理对于完成某项数据主体所参与的契约是必要的,或者在签订契约前基于数据主体的请求而进行的处理,则不需要主体的同意。值得注意的是,《个人信息保护法》在第三次审议稿时增加了“或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”的规定,为企业需要处理员工的个人信息的情形提供了法律依据。考虑到劳动关系中从属性的存在,员工的“同意”往往难以被认定为是自由做出的,新增该项规定为企业处理员工个人信息预留空间的同时又有着较强的限定,限制了“人力资源管理所必需”的适用场景,避免企业对正当利益合法基础滥用。
2.5 规范个人信息的自动化决策
自动化决策是指在没有人工干预的情况下,“通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动”(参见《个人信息保护法》第七十三条第二款。)。随着技术的进步,尤其是人工智能算法的大规模应用,越来越多的个人信息处理者利用大数据分析等技术评估消费者的个人特征,用于商业营销。更有甚者,部分企业通过自动化决策误导、欺诈消费者,其中,最具典型的就是社会各界高度关注的“大数据杀熟”问题。《个人信息保护法》对通过自动化决策方式处理个人信息的活动进行了明确的规制,有效解决了“大数据杀熟”问题。在《个人信息保护法》出台之前,我国已在反垄断和电子商务领域做了相关规定(《中华人民共和国反垄断法》第十七条明确规定,具有市场支配地位的经营者没有正当理由,不得对条件相同的交易相对人在交易价格等交易条件上实行差别待遇。《电子商务法》第十八条要求,电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的,可以向该消费者提供不针对其个人特征的选项。),考虑到个人信息处理活动的多样性和复杂性、算法决策机制的非公开性及决策结果的不确定性等,《个人信息保护法》在《中华人民共和国反垄断法》《电子商务法》的基础上进一步明确了对自动化决策的规范,并从3个方面做了要求:一是明确禁止“大数据杀熟”,规定“利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇”(参见《个人信息保护法》第二十四条第一款。);二是要求个人信息处理者提供选择的权利,打破信息茧房,规定“通过自动化决策方式向个人进行信息推送、商业营销,应提供不针对其个人特征的选项或提供便捷的拒绝方式”(参见《个人信息保护法》第二十四条第二款。);三是保障个人权利,规定“通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明”(参见《个人信息保护法》第二十四条第三款。)。
2.6 对敏感个人信息予以严格保护
《个人信息保护法》以概括加列举的方式首次明确了敏感个人信息的范围,将其界定为“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”(参见《个人信息保护法》第二十八条第一款。),并列举了生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹以及不满十四周岁未成年人的个人信息等。我国对个人敏感信息的规定借鉴了欧盟GDPR的经验,但在具体范围界定方面存在区别。GDPR第九条直接采用列举的方式将敏感个人数据界定为能够揭示个人的种族、政治倾向、宗教和哲学信仰、商业团体资格以及关于个人健康或者性生活的数据,还包括基因数据和生物数据等。鉴于敏感个人信息的特殊性,《个人信息保护法》对处理敏感个人信息的活动提出了更加严格的要求,明确只有在具有特定的目的和充分的必要性,以及采取严格保护措施的前提下,才可以开展处理活动(参见《个人信息保护法》第二十八条第二款。);还应当在处理前进行影响评估,并提出了应当取得单独同意或书面同意的要求(参见《个人信息保护法》第二十九条。)。值得关注的是,《个人信息保护法》在立法过程中吸收了《儿童个人信息网络保护规定》和《中华人民共和国未成年人保护法》(以下简称《未成年人保护法》)等法律法规的相关内容,将不满十四周岁未成年人的个人信息纳入敏感个人信息范畴,并要求个人信息处理者对此制定专门的个人信息处理规则(参见《个人信息保护法》第三十一条。)。2019年,国家互联网信息办公室制定并出台《儿童个人信息网络保护规定》,规定了有关不满十四周岁的儿童的个人信息保护问题;2020年, 《未成年人保护法》修订,进一步规定“处理不满十四周岁未成年人个人信息的,应当征得未成年人的父母或者其他监护人同意”(参见《未成年人保护保护法》第七十二条。)。
2.7 首次提出单独同意、书面同意
《个人信息保护法》第十三条将“取得个人的同意”作为合法处理个人信息的基础,在此基础上,第十四条首次提出了应当取得个人“单独同意”和“书面同意”的要求。单独同意是相对于一般同意的概念,旨在突出个人信息处理者的告知义务,强调企业应引起个人对处理其个人信息的重视,通过明确方式告知用户,并由用户做出是否同意的选择或授权。考虑到实践中处理个人信息的环节存在大量一揽子授权、强制用户同意等问题,《个人信息保护法》明确规定了向他人提供、公开、处理敏感个人信息等5种场景下的单独同意要求(详见表3)。个人信息处理者应当将这5种场景的同意与其他一般场景下的同意进行区分,避免通过一揽子授权的方式取得个人同意。
书面同意是相对于口头同意的概念,旨在强化取得个人同意的形式要求。《个人信息保护法》第十四条明确提出,通过取得同意的方式合法处理个人信息的,如果法律、行政法规规定应当取得个人书面同意的,要按照相关规定取得书面同意。第二十九条进一步要求,法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。书面同意的具体形式包括合同、邮件、信件等多种方式,既包括纸质方式,也包括电子方式,对此《个人信息保护法》并未有明确要求。此外,对于书面同意的情形是否需要再取得单独同意,目前《个人信息保护法》也没有给出明确的规定。
2.8 依法规范国家机关个人信息处理活动
通常而言,为了履行提供政务服务、维护国家安全、惩治违法犯罪、管理经济社会事务等职责,国家机关在日常工作中需要处理大量个人信息。但与此同时,国家机关在处理个人信息的过程中,也存在个人信息保护意识不强、处理流程不规范、安全保护措施不到位等问题,需要进行规范和解决。因此,《个人信息保护法》将国家机关处理个人信息的活动也纳入规制的范18 围,强调其个人信息处理活动要遵守《个人信息保护法》的有关规定,并设立“国家机关处理个人信息的特别规定”专门小节,要求应当依照法定的权限和程序进行个人信息处理,依法履行告知义务,处理的个人信息应当在境内存储,确需向境外提供的应当进行安全评估等(详见表4)。此外,对于依法授权的具有管理公共事务职能的组织,其为履行法定职责处理个人信息的活动,也被认为是国家机关个人信息处理活动,需遵守《个人信息保护法》中关于国家机关的相关要求。
2.9 赋予个人信息主体多项权利
制定《个人信息保护法》的一个重要目的是要通过系统的法律制度设计,明确个人信息主体的权利,从而强化个人对其个人信息的控制,实现保护个人信息的目的。《个人信息保护法》立足于我国个人信息保护的现实需求,在《网络安全法》《民法典》等已有法律的基础上,参考欧盟GDPR等国际社会立法实践,设专章规定“个人在个人信息处理活动中的权利”,在第四十四条至第四十九条规定了个人信息主体的知情权、决定权、限制处理权等多项个人信息权利(详见表5)。与此同时,为了确保个人相关权利的有效行使,《个人信息保护法》还要求个人信息处理者建立个人行使权利的申请受理和处理机制,并在具体权利上设计了相应的保障规则。例如第四十五条规定了对个人信息的查阅、复制权,同时要求个人信息处理者应当及时提供;再如第四十六条规定了对个人信息的更正、补充权,同时要求个人信息处理者应当核实并及时更正、补充。此外,为了维护死者的近亲属的合法、正当利益,《个人信息保护法》还与《民法典》相关规定保持衔接,规定:自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使查阅、复制、更正、删除等权利(参见《个人信息保护法》第四十九条。)。
2.10 强化个人信息处理者义务
与欧盟《通用数据保护条例》同时使用“数据控制者”和“数据处理者”两个概念来规范个人数据处理主体不同,我国《个人信息保护法》统一使用了“个人信息处理者”的表述,并将其界定为“在个人信息处理活动中自主决定处理目的、处理方式的组织、个人”(参见《个人信息保护法》第七十三条第一款。)。与此同时,《个人信息保护法》设立专门章节,在第五章详细规定了个人信息处理者的义务,包括个人信息安全保障义务(参见《个人信息保护法》第五十一条。),特定个人信息处理应当指定个人信息保护负责人(参见《个人信息保护法》第五十二条。),设立专门机构或者指定代表(参见《个人信息保护法》第五十三条。),定期组织对其个人信息情况进行合规审计(参见《个人信息保护法》第五十四条。),事前组织开展个人信息保护影响评估工作(参见《个人信息保护法》第五十五条、五十六条。),履行个人信息泄露、篡改、丢失的通知义务并采取补救措施(参见《个人信息保护法》第五十七条。),以及对大型互联网平台规定的个人信息保护特殊义务等。这些条款的规定为企业等主体开展个人信息处理活动明确了具体的边界要求,有利于理清自身合规要点,在开展商业活动中更好地履行个人信息保护义务。
在上述个人信息处理者应当履行的义务中,备受关注的是第五十八条对大型网络平台义务的特别规定。互联网平台服务是数字经济区别于传统经济的显著特征,互联网平台为商品和服务的交易提供技术支持、交易场所、信息发布和交易撮合等服务。在个人信息处理方面,互联网平台为平台内经营者处理个人信息提供基础技术服务、设定基本处理规则,涉及大量的用户个人信息处理活动,是个人信息保护的关键环节。而大型互联网平台对平台内的交易和个人信息处理活动具有强大的控制力和支配力,因此也应当承担更加严格的个人信息保护义务。为此,我国《个人信息保护法》对于“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”规定了特别的个人信息保护义务,对外包括成立独立机构对个人信息保护情况进行监督,定期发布社会责任报告;对内包括建立健全个人信息保护合规制度体系的义务,制定合理的平台规则,明确平台内权利义务规范,并履行监督义务。
2.11 完善个人信息跨境提供的规则
随着当前国际数字贸易的持续快速发展,对个人信息跨境传输的需求越来越强烈。《个人信息保护法》在第三章专章规定“个人信息跨境提供的规则”,在《网络安全法》《数据安全法》等相关规定的基础上,构建了一套清晰、系统的个人信息跨境流动规则,以满足保障个人信息权益和安全的客观要求,适应国际经贸往来的现实需要。一是针对个人信息跨境提供规定了4种可供选择的合法场景。《个人信息保护法》规定,个人信息处理者因业务等需要,确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估,或经过专业机构进行个人信息保护认证,或按照标准合同与境外接收方订立合同约定双方的权利和义务,或满足法律、行政法规、国家网信部门规定的其他条件(参见《个人信息保护法》第三十八条。)。对于前述规定的4项要求,满足其一即可。二是 对个人信息跨境提供的必要条件做了明确规定。《个人信息保护法》第三十八条规定的4种合法场景是个人信息跨境的选择性条件,在此基础上,还必须满足两项必要性条件,即取得个人主体对于其个人信息跨境提供事项的单独同意,以及采取必要措施保障境外接收方处理个人信息的活动达到《个人信息保护法》规定的个人信息保护标准。三是规定了几类特殊个人信息跨境提供的限制性要求。其一,对于国家机关处理的个人信息,原则上应当在中华人民共和国境内存储;其二,对于关键信息基础设施运营者,以及处理个人信息达到特定数量的个人信息处理者,这两类主体在中华人民共和国境内收集和产生的个人信息,原则上也需要在境内存储。对于上述几类主体,如果确实存在需要向境外提供个人信息的情形,应当进行安全评估(参见《个人信息保护法》第三十六条、第四十条。)。四是完善了向境外司法或执法机构提供个人信息的规定。《个人信息保护法》采取了与《数据安全法》中对跨境数据执法要求相对一致的规定,对因国际司法协助或者行政执法协助需要向境外提供个人信息的,明确提出需要依法申请有关主管部门批准。非经批准的,不得提供(参见《个人信息保护法》第四十一条。)。五是规定了个人信息跨境流动的黑名单制度,以及对他国或地区采取歧视性措施的反制制度。《个人信息保护法》规定,对于境外的组织、个人从事侵害中国公民的个人信息权益,或者危害国家安全、公共利益的个人信息处理活动的,可以将其列入限制或者禁止个人信息提供清单(参见《个人信息保护法》第四十二条。)。此外,法律还规定,任何国家或者地区在个人信息保护方面对中国采取歧视性的禁止、限制或者其他类似措施的,中国可以根据实际情况对该国家或者地区对等采取措施(参见《个人信息保护法》第四十三条。),为国家应对数字时代的大国博弈提供了可供选择的工具箱。
2.12 健全个人信息保护工作机制
个人信息保护以及相关制度规定的施行需要具体监管部门来贯彻落实。由于个人信息保护涉及各个领域和多个部门的职责,如何设置监管机制是个人信息保护立法中一项至关重要的工作。从国际社会来看,随着各国个人信息保护监管法律体系和制度要求逐渐明确,越来越多的国家和地区建立了个人信息保护专门机构,以加强对个人信息保护工作的统筹协调和监督管理。例如,欧盟层面设立了专门的数据监管机构——欧洲数据保护委员会(EDPB),各成员国也根据欧盟《通用数据保护条例》的要求分别设立了国内个人数据保护专门机构,如德国的联邦数据保护委员会、法国国家信息与自由委员会等。为此,根据个人信息保护工作的实际需要,我国《个人信息保护法》也在第六章规定了“履行个人信息保护职责的部门”相关的职责分配和工作安排,确立了国家网信部门统筹协调和监督管理、国务院各部门和县级以上地方人民政府有关部门在各自职责范围内履行职责的制度。值得关注的是,《个人信息保护法》中的监管机制设置与2016年通过的《网络安全法》(《网络安全法》第八条规定,国家网信部门负责统筹协调数据安全在内的网络安全工作和相关监督管理工作,同时授权国务院电信主管部门、公安部门和其他有关机关在各自职责范围内承担安全保护和监督管理职责。)保持了基本一致的思路,基本构建了以国家网信部门统筹协调、行业主管部门各司其职的数据安全监管体制。与此同时,《个人信息保护法》第六十一条、第六十二条对个人信息保护具体监管职责、相关工作做出了规定,包括开展个人信息宣传教育、指导监督个人信息保护工作、接受处理相关投诉举报、组织对应用程序等进行测评等。第六十三条对履行个人信息保护职责的部门调查和处理违法个人信息处理活动的权力做了规定,赋予其调查权、查阅权、法定情况下的查封扣押权等。此外,我国《个人信息保护法》还首次在法律中明确了个人信息保护的约谈制度,将实践中长期存在的“约谈制度”进行了法定化(参见《个人信息保护法》第六十四条。)。
2.13 设置严格法律责任
在《个人信息保护法》出台前的很长一段时间里,相比于企业获得的巨大商业利益,我国相关法律对于企业违法行为设定的处罚力度和实际处罚金额都相对偏低,例如《网络安全法》规定的最高罚款额度仅为10 0万元,且实践中鲜有具有较大社会影响力的处罚案件。相比之下,欧盟自GDPR生效以来,截至2021年10月,依法处罚超过800起案件,累计罚款金额超过12.9亿欧元。为此,《个人信息保护法》在立法之初就大幅提升了对违法处理个人信息或者不履行个人信息保护义务等行为的处罚力度,并在最终通过的条文中得到延续。《个人信息保护法》第六十六条明确了个人信息处理者在违反本法规定的情况下所要承担的一般责任与情节严重时的法律责任,特别是对于情节严重的,处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处以罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。与此同时,法律责任部分还规定了记入信用档案并予以公示的制度,明确了国家机关及其工作人员不履行个人信息保护职责时的处分制度。此外,第六十九条明确了个人信息处理者造成损害时以“过错推定”原则为归责原则的民事责任制度,并且确立了“个人因此受到的损失”或“个人信息处理者因此获得的利益”的损害赔偿计算方式,以及前两者不能确定情况下的“法院酌定”的损害赔偿计算方式。
3 个人信息全面保护新阶段
我国在互联网产业和数字经济发展过程中高度重视个人信息保护工作,坚持在发展中规范、在规范中发展,切实维护公民个人信息合法权益。总体上来看,我国个人信息保护随着技术和产业的发展经历了从“间接保护”到“直接保护”,再到“全面保护”的过程。在我国互联网产业发展的早期,主要通过保护公民“隐私权”实现对个人信息的间接保护,例如2009年通过的《侵权责任法》规定了隐私权是一种民事权益,将个人信息作为公民隐私权进行保护。随着我国互联网行业进入快速发展阶段,国家开始在相关立法中对个人信息进行直接保护,例如2016年《网络安全法》设置的“网络信息安全”章节也被称为“个人信息保护专章”,规定了收集、使用个人信息的若干原则和安全保护要求,确立了我国个人信息保护的基础制度规则。
近年来,随着用户个人信息数据成为最具价值的关键生产要素,我国全面加强了对公民个人信息的保护力度。2021年6月,全国人大常委会审议通过《数据安全法》,建立健全了数据安全保护制度规则;2021年8月,全国人大常委会审议通过《个人信息保护法》,这既是我国个人信息保护领域的专门立法,也是一部综合性、系统性的法律,从适用范围、适用主体、保护对象等多方面做了全面的规定。从适用范围来看,《个人信息保护法》既规定了“在中华人民共和国境内处理自然人个人信息的活动,适用本法”外,还规定了一定的域外适用效力(《个人信息保护法》第三条规定,在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:(一)以向境内自然人提供产品或者服务为目的;(二)分析、评估境内自然人的行为;(三)法律、行政法规规定的其他情形。),在“属地主义”管辖的基础上,进一步向“属人主义”扩展。从适用主体来看,不仅企业、公民、组织需要遵守法律的规定,《个人信息保护法》明确适用于国家机关,并通过专节强化国家机关的特别义务。从保护对象来看,《个人信息保护法》将个人信息划分为“一般个人信息”和“敏感个人信息”进行保护,并设置了专门的章节对“处理敏感个人信息”做出了更加严格的监管要求。随着《个人信息保护法》的生效施行,我国进入个人信息全面保护的新阶段。
4 结束语
虽然近年来我国个人信息保护法律制度建设取得了积极进展,但个人信息保护工作具有动态性、技术性等特征,现有法律制度仍难以完全适应新一代信息通信技术快速发展的现实情况和人民群众日益增长的美好生活需求,需要在现行法律法规基础上,根据实际情况变化及时制定修订相关制度规则,增强法律规范的系统性、针对性和可操作性,在个人信息保护方面形成更加完备的制度、提供更加有力的法律保障。我国 《个人信息保护法》指出,国家建立健全个人信息保护制度,推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境(参见《个人信息保护法》第十一条。),《个人信息保护法》的出台施行不是我国个人信息保护的终点,而是个人信息保护法律制度体系建设新的起点。在《个人信息保护法》确定的5项基本原则和若干制度规则的基础上,未来,我国将以此为支点持续推进个人信息保护法律制度体系建设。
作者简介
于晓洋(1991-),女,中国政法大学网络法学研究院博士生,长期从事网络领域法律政策研究与实践工作,目前主要研究方向为个人信息保护、数据治理等。
何波(1989-),男,博士,中国信息通信研究院互联网法律研究中心主任工程师,国际统一私法协会研究访问学者,曾参与《电子商务法》《个人信息保护法》等多部互联网相关立法研究和起草支撑工作,目前主要研究方向为网络法、个人信息保护、数据治理以及国际数字贸易规则等。
