新书 | 龙卫球主编:《个人信息保护法释义》《数据安全法释义》
The following article is from 网络法前沿 Author cyberlaw网络法前沿
新书速递
主编:龙卫球
副主编:周学峰、赵精武
作者名单(按照拼音首字母排序):
崔馨元、韩富鹏、李游、刘建、裴炜、魏露露、徐实、赵计义、赵鑫、周瑞珏、周学峰、周子琪
龙卫球教授主编:
《数据安全法释义》序言
数据安全法的理论价值与实践内涵
2020年4月9日,中共中央、国务院首次出台关于要素市场化配置的文件《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》,指出土地、劳动力、资本、技术、数据五大生产要素的改革方向和相关体制机制的建设要求,数据由此成为最新一种广泛应用于社会生产经营活动的生产要素,这充分说明数字技术和数据已经从助力经济发展的工具转变为引领经济发展的关键要素。
在数字经济的时代浪潮之下,数据产业从计算领域发端,陆续延伸到科学、商业和政务领域,极大地变革了人类社会的产业结构和生活方式,但随着大数据时代的迭代更新,各类数据处理活动逐渐展现出“野蛮生长”的态势,政务数据、企业商业秘密和个人数据泄露时有发生,无序的数据跨境流动为国家主权安全埋下隐忧,部分企业、平台甚至利用数据侵害公民合法权益,为我国数据产业的可持续健康发展提出了现实挑战。
数据发展与数据安全相伴相成,不可偏废。全球范围内,数据应用的发展正从技术向治理逐渐迁移,数据治理将提供更具共识、更可操作、更加安全的制度方案和政策框架,以释放数据新动能,推动数字经济发展。但总的来看,目前在数据处理的分级分类管理、数据安全制度和安全义务、政务数据制度、法律责任等各方面,我国还尚未形成系统的社会治理规则,法律指引并不充分,制度建设还有待进一步细化,迫切需要在总体国家安全观的指导下,出台一部数据安全领域的基本法提供明确指引。
二
经过三次审议,2021年6月10日,十三届全国人大常委会第二十九次会议通过了《中华人民共和国数据安全法》(以下简称《数据安全法》),我国首部聚焦于数据安全的法律应运而生。
《数据安全法》作为我国在数据领域的基础性法律和国家安全领域的重要法律,为其它国家探索如何开展有效的数据治理、维护本国数据安全提供了中国方案,具有极强的实践意义和示范价值:
第一,《数据安全法》填补了数据安全立法的空白,完善了数据安全治理和保障国家安全的法律体系。在《数据安全法》之前,我国已经颁行了《中华人民共和国国家安全法》《中华人民共和国网络安全法》等促进国家安全治理能力的提升与现代化的立法成果,其中虽然也规定了涉及网络安全与数据安全的条文,但无法充分应对我国数字产业化和产业数字化带来的显著问题。
《数据安全法》旗帜鲜明地以“规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益”作为立法目的,重在维护数据处理活动中的国家主权、安全和发展利益,是在数据安全领域对总体国家安全观的深入贯彻,有效整合了分散的数据安全规定和政策标准,实现了数据安全的法制化,有利于不断发展和提升我国的数据安全治理能力。在《数据安全法》中,数据分类分级管理、数据安全审查、风险评估、监测预警和应急处置等基本制度得以确立,相关法律责任得以明确,从“规则之治”的层面强化数据安全领域制度建设。
第二,《数据安全法》主动回应实践中显现的新趋势、新问题、新挑战,兼具立法的完整性与开放性,兼采原则治理与规则治理的双重手段。从立法框架上看,《数据安全法》主要包括总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放和法律责任等六大部分,从总体看,数据安全法律规范的框架已基本完备,并与民法、刑法、行政法等部门法高度关联,体系上呈现高度的开放性。
此外,《数据安全法》也关注到了数据产业的创新性要求,一方面有原则型规定,引导市场竞争有序开展、行业主动积极自律,不过多干涉相应主体的自发行动,另一方面也有较为具体和细致的制度型规定,明确了数据管理者、运营者乃至于国家机关应当遵守的义务和责任,在形成制约机制的基础上为其建立健全数据安全治理体系、提升数据安全保障能力指明了合规方向。
第三,《数据安全法》贯彻了发展与安全并重的基本原则,统筹考虑了数据安全与发展的两大需求。数据价值的核心在于利用,如果一味地强调数据安全而忽视了数据的有效利用,既无益于真正落实维护数据安全的相关要求,更将打击我国数字经济发展和数据产业进步、削弱我国在日趋激烈的网络空间竞争中的核心竞争力。
《数据安全法》虽以“安全”为名,但在制度构建上坚持数据安全保障与数据开发利用相辅相成、互相促进,相应地提出了促进数据开发利用、弥合数字鸿沟、推进政务数据开放、培育数据交易市场等要求,在促进数据创新应用、激发数据要素价值上进一步加强了顶层设计,也能使得让广大人民群众在数字化发展中获得更多幸福感、安全感。
三
总的来看,伴随《数据安全法》的落地实施,我国数据安全法律体系将进一步完善,数据处理活动也将进一步规范,国家主权、安全和发展利益将得到有效维护。
未来,我国还将进一步制定相应配套法律法规和细分领域的更多单行立法,以应对全球数字化和一体化经济发展背景下的数据安全风险与挑战,促进《数据安全法》的有效性和可操作性不断提升,更充分地发挥数据要素的关键作用。
主编:龙卫球
副主编:周学峰、赵精武
作者名单(按照拼音首字母排序):
程喆、崔馨元、邓辉、丁金钰、杜丰贝、杜吾青、葛迎、韩富鹏、何傲翾、何波、侯晨亮、黄尹旭、金骑锋、雷震文、雷志富、李游、林北征、林洹民、刘欢、马宁、裴炜、沈达、田申、王琦、王旭、魏露露、谢琳、徐玖玖、徐实、严少敏、袁康、张浩然、张建悦、张玉涛、周瑞珏、周学峰、吴玄
龙卫球教授主编:
《个人信息保护法释义》序言
个人信息保护法的时代意义
2021年8月20日,十三届全国人大常委会第三十次会议正式通过了《中华人民共和国个人信息保护法》,标志着我国在网络与信息法治领域迈入了一个新的历史阶段。
《个人信息保护法》是互联网与大数据时代与普通民众关系最为密切的一部法律。尽管个人信息自古以来就客观存在,但是,其作为一种社会观念,真正受到人们重视则是在上世纪后半期随着计算机技术应用于信息处理领域之后才开始的,特别是随着互联网、大数据和人工智能等现代信息技术的广泛应用,个人信息得以非常低的成本进行大规模处理、传输和分析。个人信息的价值通过数据挖掘和商业应用而得以显现,个人数据成为发展数字经济的重要要素。
与此同时,在个人信息的利用领域也出现了许多乱象,个人信息的过度收集、非法获取、非法交易、泄露、滥用等现象屡禁不止,个人信息保护日益成为受到社会各界关注的社会问题。
2018年,全国人大常委会法制工作委员会会同中央网络安全和信息化委员会办公室,着手研究起草个人信息保护法草案,最终在2021年8月获得通过。
二
《个人信息保护法》是我国在个人信息保护领域的基本法。在《个人信息保护法》颁布之前,我国已有一些法律、法规、规章、规范性文件和标准对个人信息保护问题有所规定。例如,在法律层面,有《全国人大常委会关于加强网络信息保护的决定》、《网络安全法》、《电子商务法》、《消费者权益保护法》、《民法典》、《数据安全法》和《刑法》等;在行政法规层面,有《征信业管理条例》;在规章层面,有《电信和互联网用户个人信息保护规定》、《儿童个人信息网络保护规定》;在规范性文件方面,有《常见类型移动互联网应用程序必要个人信息范围规定》;在标准领域,有《信息安全技术公共及商用服务信息系统个人信息保护指南》、《个人信息安全规范》等。
但是,上述法律、法规、规范性文件和标准,或因其规定得过于抽象和宽泛而缺乏可操作性,或因其立法位阶较低而缺乏权威、或因其仅关注个人信息保护的某一方面而欠缺全面性。因此,社会各界一直呼吁立法机关制定一部全面、权威的《个人信息保护法》,作为个人信息保护领域的一般法。
关于《个人信息保护法》在我国法律体系中的定位,在立法过程中曾存在一定的争议。最终正式颁布的《个人信息保护法》第一条开宗明义地明确规定:“依据宪法,制定本法。”基于此,可以认为,《个人信息保护法》系立法机关为了保护公民的基本权利而制定的法律,从而奠定了该部法律在个人信息保护领域的基本法的地位。
由于个人信息保护涉及各个行业和社会生活的方方面面,在《个人信息保护法》出台之后,仍可能会有许多相关的法律、法规、规章出台,用来规范某一特定领域的个人信息保护问题,因此,我国未来的个人信息保护法律制度体系应当以《个人信息保护法》为统领,由若干部相关法律、法规和规章共同组成。
三
《个人信息保护法》具有非常宽的适用范围。首先,从个人信息的定义来看,其既包括以电子方式记录的个人信息,亦包括以其他方式记录的个人信息,从而将传统的以纸质方式或其他线下方式处理个人信息的活动亦纳入到《个人信息保护法》的规制范围;
不同于先前颁布的《网络安全法》、《民法典》等法律将个人信息界定为可识别特别自然人身份的信息,《个人信息保护法》将个人信息界定为“与已识别或者可识别的自然人有关的各种信息”,从而实现了“从信息到特定人”和“从特定人到信息”过程的覆盖。
值得注意的是,《个人信息保护法》有意区分了匿名化信息与去标识化信息,前者不属于个人信息,而后者仍在个人信息的涵盖范围内。
其次,作为《个人信息保护法》规范对象的个人信息处理活动,覆盖了个人信息处理的全过程,包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
第三,作为《个人信息保护法》保护对象的个人信息权益,与我国《宪法》所规定的公民基本权利具有密切联系。因此,不能简单地理解为《民法典》规定的民事权益。实际上,《个人信息保护法》所赋予公民的个人信息权益的类型和内涵较《民法典》中的相关规定更为宽广和丰富。
第四,作为《个人信息保护法》义务主体的个人信息处理者,立法者将其表述为“在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。”这意味着,其不仅包括各类企业、事业单位、社会组织等主体,国家机关亦包括在内,国家机关的个人信息处理活动亦受《个人信息保护法》的规制。
第五,《个人信息保护法》不仅适用于域内的个人信息处理活动,对于域外处理中国境内自然人个人信息的活动,如果其以向境内自然人提供产品或者服务为目的,或分析、评估境内自然人的行为,或具有法律、行政法规规定的其他情形的,亦具有域外适用效力。此外,《个人信息保护法》还以专门章节规定了个人信息跨境提供的规则。在我国国内法中明确规定其具有域外适用效力的法律尚不多见。《个人信息保护法》具有域外适用效力,与网络空间超越国界、对个人信息可以远程处理等因素具有密切关联,旨在为我国公民提供周延的保护。
四
《个人信息保护法》是一部具有明显的规制法色彩的法律。从《个人信息保护法》的结构来看,除总则以外,“个人信息处理规则”被置于各分章之首,位于个人权利和个人信息处理者的义务之前;从实质内容来看,“个人信息处理规则”一章处于核心地位,后面章节中的许多内容都是建立在第二章所规定的制度基础之上,或经常援引第二章中的相关内容。从第二章“个人信息处理规则”的具体规定来看,其较为详细地规定了个人信息的收集、存储、使用、提供、公开、自动化决策等处理规则。立法者以第二章的内容为基础,通过第五章“个人信息处理者的义务”和第六章“履行个人信息保护职责的部门”的具体规定,建立起一套完整的关于个人信息处理的规制体系和监管体系。
《个人信息保护法》对个人信息处理规则的具体规定填补了先前相关立法中的不完善之处。例如,我国《民法典》虽然规定了与个人信息保护相关的民事权益,但是,许多法条都属于不完全法条,多处提到了不得违反“法律、行政法规的规定”或“法律、行政法规”另有规定的除外,而《个人信息保护法》中的具体规定恰好可以填补上述立法中的空白之处,也便于《个人信息保护法》与先前已颁布的相关法律之间的衔接。
就个人信息处理规则而言,《个人信息保护法》的一大亮点在于,其为个人信息处理者处理个人信息提供了多元的正当性路径。在《个人信息保护法》颁布之前,许多法律、法规,例如《网络安全法》第四十一条,均将征得被收集者同意作为收集个人信息的必要前提条件。《个人信息保护法》第十三条为个人信息处理者处理个人信息提供了七种合法途径,而“取得个人同意”仅是其中之一。该规定较好地平衡了保护个人信息与促进个人信息合法利用、以及维护公共利益之间的关系。
该法的另一个亮点在于其对于自动化决策做出了专门规定,从而有利于规制人工智能等新兴信息技术在个人信息处理领域的应用。首先,《个人信息保护法》从整体上要求个人信息处理者保证自动化决策的透明度和结果的公平、公正,并进一步特别要求,个人信息处理者不得对个人在交易价格等交易条件上实行不合理的差别待遇,旨在回应社会公众反映强烈的“大数据杀熟”的问题;其次,个人信息处理者利用个人信息进行自动化决策,应当事前进行风险评估,并予以记录;第三,立法有意区分了利用个人信息进行自动化的商业营销、信息推送行为与利用个人信息通过自动化决策方式做出对个人权益有重大影响的决定行为,并分别赋予受影响的个人以不同性质的权利。对于前者,立法者要求其同时提供不针对其个人特征的选项,或者向个人提供拒绝的方式,从而将决定权交给受影响的个人,其目的不仅在于保护个人信息,也有利于解决营销误导和“信息茧房”的问题;对于后者,立法者赋予个人请求个人信息处理者予以说明的权利和个人拒绝权,其目的在于增强算法的透明度、强调处理程序的正当性,并赋予受影响的个人以救济的权利。
我国《个人信息保护法》所建立的个人信息保护的监管体系,既不同于欧盟的集中统一的监管体系,亦不同于美国分散的监管体系,而是基于中国现实情况而设计的具有中国特点的统分相结合的监管体系。依照该法第六十条规定,国家网信部门负责统筹协调个人保护工作和相关监督管理工作,同时,国务院有关部门在各自法定职责范围内负责个人信息保护和监督管理工作。
五
《个人信息保护法》是一部彰显互联网时代人权保护的法律。从表面看,《个人信息保护法》保护的对象是个人信息,实质上,其保护是个人信息背后的个人信息权益。
在全国人大常委会对《个人信息保护法(三次审议稿)》进行审议时,全国人大宪法和法律委员会在会关于《中华人民共和国个人信息保护法(草案)》修改情况的汇报中提到:“我国宪法规定,国家尊重和保障人权,公民的人格尊严不受侵犯,公民的通信自由和通信秘密受法律保护。制定实施本法对于保障公民的人格尊严和其他权益具有重要意义。”
由此可以看出,《个人信息保护法》所保护的个人信息权益与宪法所规定的公民基本权利具有密切关系。《个人信息保护法》的方方面面都体现了对人权和公民基本权利的尊重与保护,特别是该法以专门的章节对国家机关处理个人信息的规则做出了规定,明确宣布国家机关处理个人信息的活动适用《个人信息保护法》。
《个人信息保护法》对人权的维护,对公民人格尊严的尊重,首先体现在其对个人信息权益采取严格保护的立法态度上,其要求个人信息处理者在处理个人信息时应当遵循比例原则,要求其具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。同时,对收集个人信息采取严格限制的政策,强调其应当限于实现处理目的的最小范围,禁止过度收集个人信息。在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需。
其次,在规定个人信息处理规则时,将“告知—同意”作为一项核心原则贯穿始终,赋予个人对其个人信息处理的决定权,立法明确要求:个人信息处理者在处理个人信息之前应当先行尽到充分告知的义务并取得个人同意,并且,允许个人撤回同意;重要事项发生变更的,应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。
第三,《个人信息保护法》赋予个人对其个人信息处理的多项具体权利,其包括:知情权;决定权;拒绝权;请求查阅和复制的权利;请求更正、补充的权利;请求删除的权利;请求解释、说明的权利等,从而给个人信息权益主体提供了周延的保护。
第四,《个人信息保护法》对人格独立、自由发展的维护,充分体现在立法对儿童(十四岁以下的未成年人)个人信息的特殊保护方面。众所周知,儿童是互联网产品和服务的主要受众群体之一,而儿童时期是一个人的人格发展的关键时期,为了防止儿童受到不良影响或侵害,《个人信息保护法》将儿童的个人信息作为敏感个人信息来对待,并要求个人信息处理者在处理此类个人信息时必须在事前进行风险评估。
第五,《个人信息保护法》对于利用个人信息进行自动化决策和信息推送的限制,对于保护公民的人格自由、维护人格尊严、保障公民的个人自主决定权、防止歧视亦有着重要意义。
此外,立法还授权国家网信部门统筹协调有关部门针对人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准,有利于防范新技术、新应用给个人信息权益带来的损害风险。
《个人信息保护法》不仅是一部权利保护法,亦是一部权利救济法。由于个人信息一旦被个人信息处理者所收集,个人信息主体将在事实上失去对其个人信息的控制,诸如个人对个人信息的查阅、复制、更改、补充、删除等权利,都需要个人信息处理者予以配合。为了防止因个人信息处理者的不作为导致个人信息权利无法行使,《个人信息保护法》第五十条第二款明确规定:个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。立法还进一步规定,当个人信息权益遭受损害时,个人可以请求个人信息处理者承担损害赔偿等侵权责任。关于个人信息处理者承担损害赔偿责任应当适用何种归责原则,在《民法典》中未有明确规定,在《个人信息保护法》的立法过程中亦存在相关争议,最终,正式通过的《个人信息保护法》采用了过错责任推定责任原则。关于损害赔偿数额的确定,鉴于举证责任的困难,立法者采取了弹性的处理方法,允许法院根据实际情况确定赔偿数额。《个人信息保护法》并非单纯的私法,而是融合了公法规范和私法规范,因此,其为个人信息权益主体提供的救济方式并没有局限于私法救济,还规定了公法救济方式,其要求履行个人信息保护职责的部门应当建立投诉、举报机制,接受并及时处理与个人信息保护有关的投诉、举报,为受侵害的个人信息权益主体提供快捷的救济。
六
《个人信息保护法》不仅是一部权利保护法,亦是一部权利救济法。由于个人信息一旦被个人信息处理者所收集,个人信息主体将在事实上失去对其个人信息的控制,诸如个人对个人信息的查阅、复制、更改、补充、删除等权利,都需要个人信息处理者予以配合。
为了防止因个人信息处理者的不作为导致个人信息权利无法行使,《个人信息保护法》第五十条第二款明确规定:个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。立法还进一步规定,当个人信息权益遭受损害时,个人可以请求个人信息处理者承担损害赔偿等侵权责任。关于个人信息处理者承担损害赔偿责任应当适用何种归责原则,在《民法典》中未有明确规定,在《个人信息保护法》的立法过程中亦存在相关争议,最终,正式通过的《个人信息保护法》采用了过错责任推定责任原则。关于损害赔偿数额的确定,鉴于举证责任的困难,立法者采取了弹性的处理方法,允许法院根据实际情况确定赔偿数额。
《个人信息保护法》并非单纯的私法,而是融合了公法规范和私法规范。因此,其为个人信息权益主体提供的救济方式并没有局限于私法救济,还规定了公法救济方式,其要求履行个人信息保护职责的部门应当建立投诉、举报机制,接受并及时处理与个人信息保护有关的投诉、举报,为受侵害的个人信息权益主体提供快捷的救济。
七
《个人信息保护法》采取了分类规制的方法。如前所述,《个人信息保护法》的适用范围非常宽,社会生活纷繁复杂,采用“一刀切”的方法显然是不适合的,因此,立法者采取了分类规制的方法。首先,立法将个人信息区分为一般个人信息与敏感个人信息,并对后者采取了更为严格的保护措施。其次,立法对个人信息处理主体采取了分类规制。个人信息处理主体可以区分为国家机关和国家机关以外的主体。前者因履行法定职责处理个人信息而具有特殊性,因而,在个人信息处理规则方面被特殊对待,例如,其原则上不适用征得个人同意的规则。
对于国家机关以外的个人信息处理者,立法者在设定其法律义务时亦进行了区分对待。首先,对于自然人因个人或者家庭事务处理个人信息的,可豁免适用《个人信息保护法》。其次,对于小型个人信息处理者,《个人信息保护法》虽然未明确予以豁免适用,但是,考虑到小型企业的特点,以及《个人信息保护法》的实施有可能给小型企业带来的合规成本,立法授权国家网信部门统筹协调有关部门针对小型个人信息处理者制定专门的个人信息保护规则、标准。第三,要求个人信息处理者设置专门的个人信息保护负责人是该法的亮点之一,但是,立法并未要求所有的个人信息者均设置该岗位,仅要求处理个人信息达到国家网信部门规定数量的个人信息处理者应当设置。第四,对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,立法对其施加了额外的法律义务,例如,要求其成立主要由外部成员组成的独立机构对个人信息保护情况进行监督,并且,针对作为网络平台的属性,对于其制定相关的平台规则和实施平台强制措施也做出了针对性规定。
八
虽然《个人信息保护法》出台了,但是,个人信息保护的法律问题并未就此终结,我们仍然需要予以持续的关注:立法授权国家网信部门统筹协调有关部门制定个人信息保护具体规则、标准,对此可拭目以待;《个人信息保护法》与《刑法》、《民法典》、《网络安全法》、《数据安全法》等法律之间的相互衔接与协调,亦需要在《个人信息保护法》实施之后予以解决。最后,也是最为重要的是,对《个人信息保护法》的解释,将会在法律适用的过程中不断得以明确。
为了帮助公众准确地理解《个人信息保护法》,我们组织国内的青年才俊编写了这一部释义,希望能够对《个人信息保护法》的贯彻实施有所帮助。尽管参与编写的各个作者都认真负责,但是,由于时间匆忙、水平有限,难免有疏漏之处,敬请读者指正和谅解。最后,感谢中国法制出版社的高效工作,特别是韩璐玮、王紫晶编辑的辛勤付出,才使得本书得以面世。
主编简介
龙卫球
北京航空航天大学法学院院长、教授、博士生导师,教育部长江学者特聘教授,工信部北航工业和信息化法治战略与管理重点实验室主任、网信办北航网络空间国际治理基地主任、中国科协/北航科技组织和公共政策研究院执行院长、中国网络与信息法研究会副会长。
周学峰
北京航空航天大学法学院教授、博士生导师,商法与网络法研究中心主任,北航工业和信息化法治研究院常务副院长,工信部北航工业和信息化法治战略与管理重点实验室常务副主任,网信办北航网络空间国际治理基地常务副主任,中国保险法研究会副秘书长,中国网络与信息法研究会理事。
赵精武
北京航空航天大学法学院助理教授、中国法学会保险法学研究会理事、工业和信息化法治战略与管理重点实验室办公室主任、网络空间国际治理研究基地办公室主任、华东政法大学数字法治研究院研究员、湖南省高级人民法院—湘潭大学大数据与智慧司法研究中心研究员。
相关阅读 ·
2.新书|韩旭至:《人工智能的法律回应:从权利法理到致害责任》
商品书目 ·
微信号 : DigitalLaw_ECUPL
探寻数字法治逻辑
展望数字正义图景
数字法治战略合作伙伴:理财魔方
北京市竞天公诚律师事务所上海分所