中国信通院杨婕:《个人信息保护法》正式出台——中国走出第三条路
近年来,新一轮科技革命和产业变革蓬勃发展,数字化、网络化、智能化加速推进,个人信息处理活动更为普遍。习近平总书记多次强调,要坚持网络安全为人民、网络安全靠人民,保障个人信息安全,维护公民在网络空间的合法权益。个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一,社会各界对出台专门的个人信息保护立法高度关注。为及时回应广大人民群众的呼声,贯彻落实党中央要求和部署,2021年8月20日,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)经十三届全国人大常委会第三十次会议通过并正式发布,将于2021年11月1日起施行。
与将个人信息作为公民基本人权加以保护,相对严格的“欧盟模式”以及积极利用个人信息,相对宽松的“美国模式”不同,我国《个人信息保护法》采取“宽严相济”的立法模式,探索出了第三条个人信息保护路径。在立法理念上,从“个人本位”进阶到“社会本位”,展现出深远的战略思维。《个人信息保护法》从全局高度对各主体利益进行统筹安排和科学分配,在规则安排上既保护了个人信息权益,又拓展了个人信息处理者利用个人信息的合理空间,也回应了国家机关为履行法定职责或者法定义务处理个人信息的诉求,从而最大化实现社会利益。在保护路径上,从单一赋权模式转变为多元保护模式,回应了个人信息保护的复杂情形。数字经济时代,个人与个人信息处理者之间的关系明显不对等,将个人信息保护的期望单纯寄托于处于弱势地位的个人,通过行使自身权利的方式来达成是不切实际的。《个人信息保护法》采取多元化的保护路径,既明确了个人在个人信息处理活动中的权利,又采取行政干预的方式,对涵盖国家机关的个人信息处理者进行行为规制,明确个人信息收集、存储、使用、加工、传输、提供、公开、删除等处理环节的规则。从制度设计上来看,以“六化”全方位布局个人信息保护工作,具有鲜明的时代精神。《个人信息保护法》所体现的“六化”包括,立法实现产业发展与权益保护平衡化、以权义分层设置实现法律规则梯度化、以超前布局方式实现法律制度前瞻化、以统分结合路径实现监管机构专责化、以多方共治机制实现保护手段多样化以及以责任混溶方式实现法律责任复合化。
《个人信息保护法(草案)》(以下简称一审稿)以及《个人信息保护法(草案二次审议稿) 》(以下简称二审稿)备受关注。社会各界普遍认为,个人信息保护立法具有重要意义,一审稿和二审稿制度条款成熟,整体逻辑清晰,反映和回应了个人信息保护现实问题。《个人信息保护法》在二审稿的基础上,充分吸纳各方意见建议,进一步完善制度设计(后附一审稿、二审稿以及《个人信息保护法》修改对照表,点击“阅读原文”下载)。
一、增加人力资源管理所必需作为个人信息处理的合法性基础
一直以来,“同意”都是作为个人信息处理活动的重要前提。数字经济时代,个人信息处理活动愈发复杂多样。个人信息不仅具有个人性,还具有社会性和公共性,交织着人格利益、商业利益等复合式利益。为使各方利益均能够得到充分主张和合理分配,有效实现个人信息权益保护和个人信息合理利用之间的动态平衡,一审稿和二审稿规定了除个人同意外,其他六项个人信息处理合法性基础。具体包括,为订立、履行合同所必需、履行法定职责或者法定义务所必需、突发公共卫生事件或者紧急情况下保护自然人生命健康和财产安全所必需、在合理范围内处理已公开的个人信息、为公共利益在合理范围内处理个人信息以及法律、行政法规规定的其他情形。
相较于二审稿,《个人信息保护法》第十三条增加“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”作为一种新的个人信息处理合法性基础,但并未单独成项。即,增加于十三条第一款第二项中,为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需。由于人力资源管理涉及员工日常工作的方方面面,如果过度扩张“人力资源管理所必需”的适用场景,个人信息处理者可能利用此条,并凭借雇主优势地位肆意收集、使用员工个人信息,侵害员工合法权益。为此,《个人信息保护法》仅将人力资源管理所必需的场景限缩于“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理”这两大场景之下。例如,个人信息处理者收集员工的银行卡信息,以履行劳动合同中关于薪酬支付的约定。
二、新设个人信息可携权,增强个人对个人信息移转与再利用行为的控制
《个人信息保护法》第四十五条新设了个人信息可携权,规定个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。欧盟《通用数据保护条例》(以下简称GDPR)正式确定可携权,包括个人数据副本获取权以及个人数据移转权。具体是指,数据主体有权获取其提供给数据控制者的个人数据,所获取的个人数据应当是结构化的、通用的和机器可读的,且能够不受障碍地将这些数据传输给其他数据控制者,但并不涵盖数据处理者抓取数据主体行为形成的观测数据和各类衍生数据。
一直以来,社会各界普遍认为应当在《个人信息保护法》中设定可携权,增强个人对个人信息移转与再利用行为的把控。可携权的设立不但能够体现立法的前瞻性,还能够有效回应大型平台“数据垄断”现象。当前,具有先发市场地位的大型平台通过在市场早期积累的大量用户个人信息,逐步形成了不可撼动的行业地位。大型平台能够肆意调整隐私政策,迫使用户接受不公平的隐私政策。可携权的设立,强化了用户自主权,能够有效破除个人信息流通障碍,以用户权益为出发点,形成“用户主导型”个人信息跨平台流通,起到防止个人信息锁定、降低市场准入门槛以及增强平台之间竞争的效果。
此次《个人信息保护法》第四十五条对可携权仅作原则性规定,要求个人行使可携权时,需要符合国家网信部门规定的条件。为接下来进一步研究论证如何落实可携权,以及为国家网信部门制定配套性立法留足了空间。下一步,可以考虑从个人信息类型、处理方式、处理目的、平台规模以及对第三方权益影响等方面,对可携权进行限缩,防止普遍性的个人信息可携带义务,造成个人信息处理者不合理的合规成本。
三、将儿童个人信息纳入敏感个人信息范畴,升级保护要求
《个人信息保护法》将不满十四周岁未成年人的个人信息规定为敏感个人信息,并要求个人信息处理者对此制定专门的个人信息处理规则。一直以来,在保护对象的设置上,《未成年人保护法》《儿童个人信息网络保护规定》等立法均对不满十四周岁的未成年人个人信息进行特别保护。即《儿童个人信息网络保护规定》所指涉的“儿童”这一概念。之所以将保护年龄限定为不满十四周岁,是因为充分考虑了我国相关行业发展诉求和现状。一方面,十四周岁以下未成年人的身心发育尚不成熟,人生观、价值观、世界观等思想体系正处于形成之中,自我保护意识和能力较弱,个人信息一旦遭到不法者利用,可能导致极为严重的后果,需要立法给予特殊保护。另一方面,十四到十八周岁的未成年人虽然在认识能力和行为能力上与成年人存在一定差距,但是其生理和心理已趋于成熟,完全将十八周岁以下未成年人的个人信息全部纳入保护范围,可能增加网络运营者的负担。一审稿和二审稿也都将保护年龄设置为不满十四周岁的未成年人。
对儿童及监护人身份的识别是儿童个人信息保护的前提,也是一直以来的治理难题。个人信息处理者需要事先进行儿童身份的判断,会额外收集个人信息(比如用户年龄、与验证用户身份/监护人身份/监护人与儿童用户关系的相关证明材料),可能会引发过度收集儿童个人信息的问题。考虑到这一实践情形,《个人信息保护法》特别将儿童个人信息纳入敏感个人信息范畴,进行升级保护,可以有效杜绝个人信息处理者以身份识别为理由过度、超范围收集儿童个人信息的问题。因为,结合《个人信息保护法》对于敏感个人信息处理规则,处理儿童个人信息的,也应当具有特定的目的和充分的必要性,并采取严格保护措施。
四、进一步完善近亲属对于死者个人信息行使权利的要求
《个人信息保护法》第四十九条在二审稿的基础上,进一步完善对于死者个人信息的规定,明确自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。从全球视野来看,关于死者个人信息的保护存在“否定式”、“年限保护”以及“由亲属行使特定权利”三种立法模式。一是“否定式”立法模式,大多数国家都采取此种立法模式。例如,GDPR序言中明确指出,本法不适用于死者的个人信息。二是“年限保护”立法模式,以冰岛、意大利、加拿大为代表的少数国家对死者信息规定了具体保护年限,在一定年限内与生存者的个人信息同等保护。三是“由亲属行使特定权利”立法模式,一些国家规定死者近亲属有权行使特定的个人信息权能。例如,西班牙允许死者的继承人行使访问权、删除权、更正权;匈牙利允许死者生前指定的人或近亲属行使死者的个人信息主体权利。
我国《民法典》从人格权保护的角度,规定死者的姓名、肖像、名誉、荣誉、隐私、遗体等受到侵害的,其近亲属有权依法请求行为人承担民事责任。信息化社会,当自然人死亡、民事主体的资格消灭时,如何处理其遗留在互联网空间中的个人信息,已产生诸多纠纷。早在2012年,德国联邦法院便首次以判决的形式承认了父母有登录已去世女儿社交账户的权限。《个人信息保护法(二审稿)》对死者个人信息进行了保护,主要是从保护生者权益的角度,赋予死者近亲属主动性权利。二审稿规定自然人死亡的,个人在个人信息处理活动中的权利由其近亲属行使。但这一规定也引发了社会各界的广泛讨论和争议,一些专家认为,这会引起近亲属对于死者个人信息的过度干预,也可能违背死者的生前意愿。为此,《个人信息保护法》在二审稿的基础上对死者近亲属行使权利进行了三点限制:一是行使目的限制,必须是为了自身的合法、正当利益;二是权利类型限制,近亲属仅能行使第四章中规定的查阅、复制、更正、删除等权利;三是死者生前安排优先,以死者生前意愿为先。
五、规定不得通过自动化决策对个人在交易条件上实行不合理的差别待遇,有力回应“大数据杀熟”问题
《个人信息保护法》第二十四条在二审稿自动化决策条款上加入了对于“大数据杀熟”问题的规制,明确个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。“大数据杀熟”是近年来热议的问题。“大数据杀熟”,又称个性化定价,是指个人信息处理者通过分析消费者个人信息形成画像,利用算法对每个消费者的支付意愿进行精准评估和预测,预测消费者最高保留价格,并以此就同一商品或服务向不同消费者设置不同价格的行为。这种歧视性定价策略意味着个人信息处理者可以过度、无限制、不合理地剥夺消费者剩余,减损消费者权益。
此前,我国已从反垄断的制度框架下对歧视性定价问题进行了规范。《反垄断法》第十七条规定,禁止具有市场支配地位的经营者没有正当理由,对条件相同的交易相对人在交易价格等交易条件上实行差别待遇。考虑到个人信息处理活动的多样性、算法运行机制的不透明性以及决策结果的不确定性,《个人信息保护法》增加了“大数据杀熟”条款,进一步丰富了对歧视性定价问题的规制路径。按照《个人信息保护法》的规定,无论个人信息处理者是否具有市场支配地位,只要个人信息处理者利用个人信息进行自动化决策,对个人在交易价格等交易条件上实行不合理的差别待遇,就是法律所禁止的行为。可以看出,《个人信息保护法》所涉及的适用对象全面,辐射范围广泛,有助于彻底解决“大数据杀熟”问题。
六、规制移动应用程序(App)滥用个人信息现象,解决人民群众关心的热点问题
以移动互联网为代表的现代信息技术日新月异,不断推动各类应用程序蓬勃发展,App在架数量和用户规模持续扩大(截至2020年底,我国国内市场上监测到的App数量为345万款),已经成为个人信息保护的关键领域。但相比其他领域,移动互联网有创新能力强、迭代周期短、形态变化多样等特征,小程序、快应用、H5页面等新应用形态不断出现,SDK、加固壳等新对象不断增加,麦克风窃听、通信录窃取、相册非授权读写等新问题不断曝出。
行业持续快速发展带来了监管问题和监管对象的动态性变化。自2019年开始,中央网信办、工业和信息化部、公安部和国家市场监管总局在全国范围内组织开展App违法违规收集使用个人信息专项治理工作,加大个人信息保护力度。随后,工信部等部委充分利用技术检测优势,开展App用户权益保护测评工作,各类主体积极配合整改,取得积极成效。为从法律层面规制App滥用个人信息现象,《个人信息保护法》增加了对于App个人信息保护的专门性规定。其中,第六十一条将“组织对应用程序等个人信息保护情况进行测评,并公布测评结果”新设为履行个人信息保护职责的部门的职责;第六十六条将“对违法处理个人信息的应用程序,责令暂停或者终止提供服务”增加为履行个人信息保护职责的部门对违法主体可采取的处罚手段。
七、对大型和小型个人信息处理者进行区分,体现差异化和匹配性的制度设计
不同规模的个人信息处理者,在处理个人信息的技术水平、风险和模式上存在差异,因此制度设计需要“因人而异”。强化对于大型个人信息处理者的监管,配置与其控制力和影响力相适应的个人信息保护特别义务,已基本形成共识。2020年12月,欧盟委员会公布了《数字市场法案》,提出了数字守门人的概念,被认定为守门人的平台应承担一系列额外的具体义务。我国《个人信息保护法(二审稿)》也强化了大型个人信息处理者的个人信息保护义务,创设性规定了中国版的数字守门人条款,明确提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当承担额外的个人信息保护义务,包括成立主要由外部成员组成的独立机构,对于平台内的违法主体停止提供服务,定期发布个人信息保护社会责任报告。《个人信息保护法》第五十八条进一步完善了守门人条款。一是将提供基础性互联网平台修改为提供重要互联网平台服务;二是在第一项中补充了按照国家规定建立健全个人信息保护合规制度体系的义务;三是单独增加了一项守门人义务,即遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务。
然而,对于小型个人信息处理者,考虑到其技术水平、风险等级与大型个人信息处理者之间的巨大差异,是否应进行部分义务的豁免,全球范围内还处于探索阶段,少数国家对此作出了规定。例如,GDPR明确要求考虑微型、小型以及中型经济主体的特定需求,但还未出台具有实践指导性的文件;美国在《加州消费者隐私法》(CCPA)中明确,规制对象仅涵盖收入超过2500万美元的企业,以及销售大量个人信息的数据经纪人,直接将中小型企业排除在调整范围之外;印度《个人数据保护法(草案)》及澳大利亚《隐私法》中对小型企业作出界定,并直接豁免其部分个人信息保护义务。我国《个人信息保护法》同样回应了小型个人信息处理者问题,第六十二条明确由国家网信部门针对小型个人信息处理者制定专门个人信息保护规则、标准的规定。这一规定留出了针对小型个人信息处理者的立法空间,下一步国家网信部门可以在降低要求、责任豁免等方面对小型个人信息处理者作出专门规则设计。
作者简介
杨婕 中国信息通信研究院互联网法律研究中心高级研究员,个人信息保护立法研究团队负责人,主要从事个人信息保护、人工智能伦理法律以及数据治理等互联网领域立法研究。
附件:《个人信息保护法(草案)》《个人信息保护法(草案二次审议稿)》以及《个人信息保护法》修改对照表(点击“阅读原文”下载)
校 审 | 陈 力、珊 珊、凌 霄
编 辑 | 璀 璨
推荐阅读