营业额5%最高处罚由哪级机关监管?权威专家热议个保法草案
“千呼万唤始出来”的个人信息保护法草案终于揭开“神秘面纱”。
草案出台后如何臻于完善,是公众更为关心的话题。10月28日,中国人民大学法学院与未来法治研究院举办了关于《个人信息保护法(草案)》(下称“草案”)的研讨会,来自全国人大法工委、中央网信办、各大高校以及企业的专家学者围绕草案内容进行了探讨。
对于这部首次面世的一审草案,与会的大部分专家学者给予了较高的评价。在清华大学法学院教授、副院长程啸看来,草案的最大亮点在于规定了个人信息权益,“这是民法典也未作出明确规定的一个东西。”
个人信息保护权益应该如何解读?到底由谁来保护个人信息?行政监管体系的规定是否完善?掌握数字经济发展命脉的互联网企业们又关心哪些问题?隐私护卫队带你一一梳理。
文|李慧琪 白小皛编辑|石莹
如何理解个人信息保护权益?
早在民法典出台前,专家学者就一直在是否应当确立 “个人信息权”的问题上存在争议。当时有民法学者提出,只有在民法典中将个人信息确立为一种权利,才能为特别法,比如个人信息保护法,提供一个上位法的依据。
据了解,明年1月开始实施的民法典沿袭了《民法总则》的规定,没有对个人信息加“权”字,规定自然人的个人信息受法律保护。刚刚出台的草案第一条明确,“为了保护好个人信息权益”。
是“权利”还是“权益”?一字之差背后,体现了怎样的立法逻辑?
北京大学法学院教授、法治与发展研究院执行院长王锡锌表示,从欧盟整个个人信息保护立法历史来看,比如最早1950年签署的《欧洲人权公约》就提到了“个人信息受保护权(right to personal data protection)”,而不是个人信息权。不管是随后1995年欧盟颁布的《数据保护指令》还是2018年面世的《通用数据保护条例》(GDPR),都将个人信息受保护权转换成了一种宪法上国家对个人信息的保护义务。
他进一步解释,实现这个概念转变之后,国际上又延伸出国家的消极保护义务和积极保护义务。其中,消极保护义务基本上是指宪法规定的隐私权,而积极保护义务是指国家必须通过各种方式来保护个人信息。
草案第四章的标题为“个人在个人信息处理活动中的权利”,王锡锌认为这是草案中非常有中国特色的地方。他提到,这个表述说明,个人是在个人信息处理过程中被赋予了一些权利,而不是单独的个人信息权利,这是一个场景化的定义。
程啸也赞同上述观点,他认为,因为国家对个人信息有保护的义务,所以会对个人产生反射性的利益,但不代表,自然人享有民法上完全对应的权利义务。另外一方面,自然人的个人信息权利直接指向个人信息处理者。
他总结道,个人信息权益既包括个人享有因国家保护产生的反射性利益,也包括民法上个人针对个人信息处理者所享有的这种权利。
因为兼收了公法和私法的保护框架,谈及个人信息保护法的立法定位,王锡锌认为,它超越了部门法的思路,既有民法的保护途径,也有刑法、行政法的规制途径,是一个领域法。
建议将撤回同意和删除权分开
对于个人在个人信息处理活动中的权利,程啸提到,草案第44条规定的知情权和决定权也是民法典没有提到的。
知情权和决定权是指个人有权限制或者拒绝他人对其个人信息进行处理,法律、行政法规另有规定的除外。程啸认为,现代社会自然人对个人信息的掌控力很弱,所以法律才要赋予自然人这样的权利;而且,如果没有这样的权利,查询、复制、删除等权利也会成为“无源之水、无本之木”。
对于草案的进一步修改,他建议第49条规定“拒绝个人行使权利的请求的,应当说明理由”,应该在“理由”前加上“正当”两个字。他说,“这样当纠纷发生的时候,法院才可以结合理由是否正当来进行裁判。”
此外,程啸还提到在侵害个人信息权益的民事责任的规定中,应当体现敏感的与非敏感的个人信息的区分,对于侵害敏感的个人信息的侵权责任应当适用危险责任即无过错责任。
草案第16条规定,基于个人同意而进行的个人信息处理活动,个人有权撤回其同意。此外,草案第47条还规定,当个人撤回同意后,个人信息处理者应当主动或者根据个人的请求,删除个人信息。
北京外国语大学法学院副教授万方认为,这几条连在一起就可以理解为,个人撤回同意后,个人信息处理者就应该删除所有储存的信息。但她提出,应该将同意撤回和删除分开。
具体而言,她认为,如果用户一撤回同意就把之前的数据全部删除,对企业而言会有非常重的成本;从用户角度考虑,已经撤回同意的用户可能也会反悔。
所以,她建议将撤回权和删除权分开,这样的话,可以实现一种关于个人信息层级性保护的效果。用户可以自己决定什么时候撤回同意,但这个撤回仅仅是向未来发生效力,不是撤回当下就一定要删除。如果用户想删除,可以再行使删除权。
处罚的地域、层级管辖如何解决?
此次草案的一大焦点问题在于处罚规定,罚款额度向“史上最严格”的数据保护条例——欧盟《通用数据保护条例》(GDPR)靠拢。
草案第62条规定,违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的,情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款。
“对于罚款量的问题,我觉得大家可能更担心的是由哪一级的机关监管”,王锡锌表示。草案第56条规定,县级以上地方人民政府有关部门就有个人信息保护和监督管理职责。
他认为,传统上的行政监管体制的确都是层级化的,但是对于网络信息的监管,它的层级化和地域性的确跟传统是完全不一样的。所以,对于个人信息保护监管的层级管辖、地域管辖问题,可能是将来监管的一个核心问题。王锡锌建议将这部分规定再做细化。
了解一线执法情况的中国人民公安大学法学院副教授苏宇也持同样的观点,他说,“高额罚款背后其实有巨大的利益,哪个额度的罚款大概需要哪个地域层级来处理,对于实践操作来说非常关键。”
他建议可以再跟一部实施条例,“如果没有提前设计管辖规则,包括级别管辖、地域管辖,那么,这么一种处罚规则在实践中可能会出现比较复杂的问题,后续再解决就比较困难了。”苏宇表示。
此外,对于草案第27条在公共场所安装图像采集个人身份识别设备的规定,苏宇认为应该增加两条规定,第一是需要对高度私密场所做出一个专门性的规定,比如说卫生间、母婴室等;第二是需要有一个法律授权,以便后续通过行政立法或制定标准等方式对人脸识别设备的使用和人脸信息的处理建立严格的要求。
企业关心哪些问题?
刘明也对多头监管问题深有感触。他提出,在目前重新设立一个独立机关并不现实的情况下,可以考虑赋予例如网信办对其他部门执法活动的监督权,这样一定程度上可以统一不同部门的执法标准,也能够让企业有明确的依据。