许长帅:个人信息保护立法应划分行政监管边界
2月2日下午,中国互联网协会研究中心等联合主办的“网络产业与《个人信息安全规范》国家标准研讨会”在北京举行。中国信通院工业和信息化法律服务中心副主任许长帅在会上做了主题发言。他认为,虽然规范只是推荐性国家标准,但对于日常监管却有重要参考作用,可通过“转化”的方式,把规范融入到日常监管当中。此外,在后续的个人信息保护立法中,还应重点解决监管部门分工以及划分行政监管边界的问题。
近日,《个人信息安全规范》(以下简称“规范”)全文在国家标准全文公开系统上线。作为《中华人民共和国网络安全法》(以下简称“网安法”)的配套标准,规范从收集、保存、使用、共享、转让、公开披露等个人信息处理活动方面进行了详细规定。
“《个人信息安全规范》在网安法的框架内做了‘打开’,对实务有很好的指引作用,这一点是毋庸置疑的”,许长帅指出,网安法关于个人信息保护的规定条款较少,且多为原则性条款,而规范在此基础上给出了更加详细、明确的规则。此外,规范的出台符合产业发展的需要,也更靠近国际上通行的做法。“规范实施后积累的实践经验,将为后续的个人信息保护立法打下很好的基础”。
值得注意的是,规范属于推荐性国家标准,和强制性国家标准不同,不能作为执法的直接依据。对此,许长帅提出了一个对策,即通过“转化”的方式,把规范融入到日常监管当中。
许长帅表示,网安法中虽然给出了个人信息的定义并列举了其中一些,但对于没有被列举的信息中,还有哪些属于个人信息,尚无统一标准。规范作为有一定效力的国家标准,详细列举了个人信息、个人敏感信息的范围,完全可以融入网安法适用中。不过,尽管监管部门可以将规范当作执法指引,却不能成为执法依据。
同样的,执法部门后续制定规章和规范性文件的时候,可以参照规范所确定的规则,将相关制度融入到规章和规范性文件中,但不能将规范作为这些规章和规范性文件的立法依据。
对企业来说,规范在产业中的作用完全靠企业自主采用,就算企业不采用,也无需承担法律责任。但是,如果企业对外承诺或者宣称采用了规范而实际未采用,是否需要承担相应的法律责任?
许长帅认为,根据《标准化法》第27条“企业应当按照标准组织生产经营活动,其生产的产品、提供的服务应当符合企业公开标准的技术要求”和第36条“企业生产的产品、提供的服务不符合其公开标准的技术要求的,依法承担民事责任”,企业需要承担民事责任。
此外,许长帅还类比了《产品质量法》第26条“产品质量符合在产品或者其包装上注明采用的产品标准”,提出该法通过合格产品制度,要求产品对外宣示采用了哪个推荐性国家标准,如果实际上没有达到,执法部门可以进行处罚,即企业需承担行政责任。
相比之下,个人信息保护所属的服务领域就缺少类似规定。许长帅建议,未来个人信息保护立法应设计把个人信息保护推荐性国家标准转化为具有法律约束力的要求的制度。“如果没有做到,企业除了民事责任以外,还要承担行政法上的责任,这样可能更有利于企业的良好经营”,他说。
许长帅还指出了执法过程中可能出现的另一个问题。网安法第41条规定, 网络运营者收集、使用个人信息,应征得被收集者同意,并在第64条明确了相关罚则。规范也明确,收集个人信息应获得个人信息主体的授权同意,另外又列举了针对此条规定的例外情形。比如在与国家安全、国防安全直接相关的情形下,个人信息控制者收集、使用个人信息无需征得个人信息主体的授权同意。
“假如企业说我是在规范列举的例外情形下,没有告知就收集了用户的信息,而用户依据网安法第41条和第64条要求执法部门处罚企业,应该如何执法?”许长帅提出,现阶段国家法律和规范之间仍存在一定差异,可能需要通过立法解释等方式解决,将来个人信息保护立法也应吸收规范的例外规则或其他要求。
谈到后续的个人信息保护立法,许长帅认为,有两个需要注意的问题。
一个是监管部门的分工问题。网安法没有明确规定具体的执法部门和主管部门,而个人信息保护问题涉及各个行业和领域,很难一一对应,因此实践中形成了分散监管的模式。许长帅举了一个在淘宝平台售卖医疗器械的例子:既然客户有购买医疗器械的需求,就说明家里有人需要器械辅助,那就很可能也需要家政服务,于是卖家将收集到的客户信息出售给家政服务公司,一个利益链条就串起来了。
“这种情况下,既涉及受电信部门管理的互联网信息服务,又涉及受工商部门管理的网络交易,还涉及受食药监部门管理的医疗器械,被侵犯个人信息的客户找谁投诉、找谁解决呢?”许长帅指出,谁来监管的问题需要立法部门在个人信息保护立法时重点解决。国外大多采取统一的监管模式,对用户来说有很多的便利,但也必须综合考虑统一监管涉及的执法力量、执法负担以及执法能力等因素。
另一个是行政监管的边界问题。许长帅指出,个人信息保护是在服务过程中存在的,发生纠纷应该首先寻求司法解决。但实际情况却是大多数人会第一时间找行政部门投诉和举报,试图通过信访、依法履职、投诉等途径解决。
近两年,与网络有关的投诉、举报和依法履职申请案件急剧增加,行政复议和行政诉讼的案件更是呈几何级增长。许长帅认为,这导致了极大的行政资源浪费。“个人信息保护涉及的服务是市场行为,产生的问题应该在市场规律下走司法途径解决,不是说政府部门负责某一行业的个人信息保护,这个行业出现的所有纠纷都要通过行政手段解决,这已经被证明是做不到的,况且行政成本说到底还是摊到公众头上。”
因此,许长帅建议,个人信息保护立法要明确划分行政监管的边界,与后面的执法做一个预判或衔接。如果前期立法的规则设计处理好了,为行政监管划清界限,个人信息保护的大部分案件就可以通过司法途径解决,有效减少行政执法纠纷。
推荐阅读:
洪延青: 对《个人信息安全规范》比欧盟与美国更严格”观点的几点回应
微信ID:shenduxinwen