2021年8月20日,个人信息保护法审议出台,将于2021年11月1日起施行。国家层面对个人信息保护问题作出重大基础性法律制度安排。2016年11月审议通过的网络安全法在“网络信息安全”一章中对个人信息保护问题进行了规定,明确了个人信息保护的主要原则和基本规则。网络安全法对于推动个人信息保护法治进程发挥了重要作用。同时,随着信息通信技术快速发展迭代,个人信息保护问题的复杂性、紧迫性、专业性进一步凸显,有必要制定统一的、专门的个人信息保护立法。
个人信息保护已经成为广大人民群众最关心最直接最现实的利益问题之一。截至2020年12月,我国网民规模达9.89亿,较2020年3月增长8540万,互联网普及率达70.4%。随着“互联网+”深度融合和数字经济快速发展,线下活动逐渐向线上转移融合,消费互联网广泛改变人们的生活方式,互联网深刻改变人们的工作方式,网络已经与人们的生产生活密不可分。现实生活中,一些企业、机构甚至个人,从商业利益等出发,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众财产安全和生命健康等问题仍十分突出。日常生活中,随意收集个人信息的场景十分常见,免费领取的气球小玩具要求扫码关注获取个人信息,商场停车要求微信公众号注册缴纳停车费,餐厅点餐需要扫码下单获取不必要个人信息等等。人们对此司空见惯却又颇具无奈。个人信息频繁被收集使用,个人生活安宁被不断侵扰,用户合法权益得不到切实保障,甚至滋生长链条的黑色产业。个人信息保护法的出台有效回应了这些不规范、不合法的问题。总体来看,个人信息保护法对个人信息保护问题作出了全面性、基础性的规定,能够有效实现个人信息保护法治环境。具体来看,主要包括六个方面内容。
一是明确了个人信息保护的调整范围。
个人信息保护法第四条第一款规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。网络安全法、民法典等对“个人信息”均有界定,基本以“识别说”为基础,采取的都是概括+列举的表述方式。个人信息保护法作为专门的个人信息保护法律,在定义方式上有明显的不同,兼具了“识别说”和“关联说”,很大程度上反映了个人信息保护的专业性、动态性,结合个人信息处理主体多样、处理活动复杂、个人信息类型易变的现实发展情况,通过内涵和外延较为宽泛的定义方式,最大程度地保证了个人信息保护法能够广泛适用和稳定适用。与此同时,第四条第二款规定,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。数据作为新型生产要素,价值化释放是数据活动的主要目的之一。个人信息在当前发展阶段是价值极为丰富的数据类型,其价值化释放需求十分强烈,而可能伴随的个人信息权益侵害也贯穿于数据处理活动的全生命周期。个人信息保护法通过立法技巧,将有关个人信息活动统一为“处理”活动,以保证全法条文的有效覆盖。相比于欧盟的《通用数据保护条例》(GDPR)所规定的数据控制者(Data Controller)和数据处理者(Data Processor),个人信息保护法仅用“个人信息处理者”一个概念表述,从比较法角度存在差异理解问题,但个人信息保护法通过委托处理(第二十一条)和转移处理(第二十三条)两种方式的规定,实际上充分考虑了以“数据控制者”和“数据处理者”为理解背景的场景适用。从周延性的角度来说,并无实质不同。对于类型多样的个人信息处理者而言,这是理解个人信息保护法适用的关键问题之一。
二是明确了个人信息处理的基本规则。
首先,个人信息保护法首次在国内法中规定了个人信息处理的合法性基础(第十三条),包括用户同意、订立合同所必需、人力资源管理所必需、履行法定职责/义务、紧急保护、新闻报道或者舆论监督、合理处理公开信息等多项合法性基础。对于个人信息处理者而言,在以往仅有用户同意这种唯一的合法性基础之上,丰富了可以合法处理个人信息的途径,既考虑了个人信息处理活动的合理实践,也借鉴了成熟的国外立法经验。同时,个人信息保护法也妥当地处理了同法条文的衔接,根据第十三条第二款规定,依照本法其他有关规定,处理个人信息应当取得个人同意,但有前款第二项至第七项规定情形的,不需取得个人同意。这充分体现了个人信息处理活动的复杂性、多场景性,明确了除“用户同意”以外合法处理个人信息的情形遵守其他条款的规则,保证了立法的科学性和严密性。其次,个人信息保护法对通过自动化决策方式处理个人信息作出了规定,回应了广为关注的信息茧房和大数据杀熟问题。个人信息保护法要求“利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正”(第二十四条第一款)。针对信息茧房问题,个人信息保护法赋予了用户拒绝的权利,规定“通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式”(第二十四条第二款);针对大数据杀熟问题,规定“不得对个人在交易价格等交易条件上实行不合理的差别待遇”(第二十四条第一款)。实际上,在反垄断法框架下,大数据杀熟是一种滥用市场支配地位的行为,反垄断法已有类似的规定。个人信息保护法对此作出规定,既能在反垄断规制以外提供新的保护路径,也能从个人信息收集、使用的底层逻辑上应对大数据杀熟问题。无论是信息茧房问题还是大数据杀熟,个人信息处理活动发挥着最基础的支撑作用,离开个人信息数据处理,信息茧房和大数据杀熟都很难实现。通过对个人信息处理活动的有效规制,能够对解决类似问题起到釜底抽薪的根本性作用。再次,明确了对公共场所视频监控活动的规则。个人信息保护法第二十六条要求“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。”出于保护公共安全的必要,公共场所设置摄像等设备越来越普及,也发挥了实际的效果。然而,有些摄像等设备的设置超出了维护公共安全的目的,甚至是为了私益。个人信息保护法通过该条作出了原则性规定,为后续规范相关活动提供了法律依据。最后,首次明确了处理已公开个人信息的规则。根据个人信息保护法第十三条的规定,“依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”属于合法性基础之一。第二十七条对已公开的个人信息处理进行规定,明确可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息,但是个人明确拒绝的除外。同时,处理已公开的个人信息对个人权益有重大影响的,还应当依照本法规定取得个人同意。
三是对个人在个人信息处理活动中的权利进行了充分规定。
个人对其个人信息所享有的权利是个人参与个人信息保护的重要手段之一,体现了个人信息多元治理思路。参考以GDPR为代表的国外个人信息保护立法,赋予个人的权利种类基本一致。个人信息保护法进行了科学、充分的立法借鉴。通过原则性条款明确了个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理(第四十四条)。具体规定了查阅、复制权,可携带权(第四十五条),更正权(第四十六条),删除权(第四十七条),请求解释权(第四十八条)。对于自然人死亡的,也明确了其近亲属行使相关权利的规定(第四十九条)。比较而言,个人信息保护法对个人在个人信息处理活动中享有的权利作了比较充分的规定,除了对国际国内普遍存在争议的“被遗忘权”未作明确规定以外,基本和国外立法相一致。值得注意的是,个人信息保护法中所称“权利”,有别于民法体系中的民事权利,并未对个人信息进行权利化规定,而是强调了“在个人信息处理活动中的”权利。
四是规定了个人信息处理者的义务。
个人信息处理者的义务可以理解为个人信息处理的操作规范和手册。对于个人信息处理者而言,是需要非常熟悉并逐一对照遵守的部分。个人信息保护是一种合规性状态,而非一种目标性结果,需要个人信息处理者持续投入成本、资源以维持合法、合理的个人信息保护水平。个人信息保护法第五十一条对个人信息处理者的义务进行了概括性规定,包括:(一)制定内部管理制度和操作规程;(二)对个人信息实行分类管理;(三)采取相应的加密、去标识化等安全技术措施;(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;(五)制定并组织实施个人信息安全事件应急预案;(六)法律、行政法规规定的其他措施。总体而言,个人信息处理者按照这几项持续推进内部个人信息保护工作就能符合合规要求,具体可以根据企业规模大小、服务性质、技术水平等选择更为符合自身情况的相应措施。除了第五十一条规定,个人信息保护法还规定了合规审计(第五十四条)、泄露通知(第五十七条)等要求。在一般性要求的基础上,个人信息保护法还作了一些特殊规定,一是对于处理个人信息达到国家网信部门规定数量的个人信息处理者,要求指定个人信息保护负责人(第五十二条);二是对于境外个人信息处理者,要求在中国境内设立专门机构或者指定代表(第五十三条);三是特定情形下应当进行个人信息保护影响评估,主要是一些高风险情形,包括处理敏感个人信息、自动化决策、委托处理、向他人/境外提供、公开个人信息等(第五十五条);四是规定了“守门人”义务,对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者(可以理解为“守门人”或是大型互联网平台)还应当履行更高水平的义务,要求成立外部独立监督机构、制定平台规则、阻断违法活动、定期发布履责报告等(第五十八条)。
五是确定了履行个人信息保护职责的部门及其职责。
个人信息保护法对个人信息保护体制进行了明确安排(第六十条)。从横向来看,由国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作,国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。从纵向来看,县级以上地方人民政府有关部门按照国家有关规定确定个人信息保护和监督管理职责。根据第六十条规定,个人信息保护将按照统筹协调加协抓共管的思路,构建跨部门、跨行业、跨领域监管体制机制,能够很好地适应个人信息保护工作的特点。管理层级上,可以结合情况构建国家、省(区、市)、地级市、县四级管理体系。同时,个人信息保护法对履行个人信息保护职责的部门的职责,国家网信部门的统筹协调职能进行了列举式规定(第六十一条、第六十二条)。
六是规定了较为严厉的法律责任。
个人信息处理活动涉及面广、情况复杂、主体多样、隐蔽性强,一旦发生侵害个人信息权益的行为,往往会对社会层面造成较为严重的后果,甚至有些损害结果难以显性化察觉,监管成本比较高,行政资源消耗比较大。根据国外经验以及个人信息保护本身的特点,苛以较为严厉的法律责任符合法理逻辑。行政责任方面,个人信息保护法设置了全面的行政处罚手段,包括警告、没收违法所得、罚款(包括对单位和责任人员)、责令暂停相关业务或者停业整顿、吊销许可或者营业执照。其中,对于违法处理个人信息的应用程序,可以责令暂停或者终止提供服务。罚款的最高数额可达五千万元人民币或者上一年度营业额的百分之五。此外还规定了信用惩戒以及对担任企业董事、监事、高级管理人员和个人信息保护负责人的从业禁止等。民事责任方面,规定了过错推定原则,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任(第六十九条)。
纵观个人信息保护法全文,其保护不可谓之不充分,其考虑不可谓之不全面,准确把握了网络发展的规律和特点,回应了个人权益保护的迫切需求。个人信息保护立法过程中一直承载着各方高度关注和殷切希望。从一审稿到二审稿到最终出台,不断得到完善,广泛得到各方认可和好评,反映了我国对个人信息保护法治工作认真、负责的态度。个人信息保护法的出台,并不意味着个人信息保护工作的刚刚开始,实际上我国个人信息保护工作已经深入开展了相当长的时间。而个人信息保护法的出台标志着我国进入了更高水平的个人信息保护的法治时代,这也正是给所有身处网络时代生活的人们最关心最直接最现实的利益问题的最好法律答案。(作者:方禹,中国信息通信研究院互联网法律研究中心主任)