其他
《个人信息保护法(草案)》的立法评析与完善思考
The following article is from 信息安全与通信保密杂志社 Author Cismag
《个人信息保护法(草案)》吸收了近年来个人信息保护的国际经验以及国内《网络安全法》《民法典》等立法、标准和实践经验,既与国际接轨,又不乏中国特色。现有草案存在部分场景坚持“同意为王”的治理模式、缺乏对个人信息处理者“合法利益”的保障、未区分“去标识化”个人信息与一般个人信息处理规则等问题。在体系定位方面,正在制定中的个人信息保护法与其他基本法之间的规范体系协调至关重要。在草案的修订完善方面,建议明确监管部门权责分工,避免多头监管;细化罚款标准,避免执法主体自由裁量幅度过大;敏感个人信息的界定应当纳入动态评估因素;自动化决策重大影响判定宜采用客观标准。
1 《个人信息保护法(草案)》的中国特色2 制度定位:保障个体权益兼顾数据要素市场培育3 体系定位:做好规范体系协调3.1 与《民法典》的协调3.2 与《网络安全法》《数据安全法》等的协调3.3 与《中华人民共和国刑法》的协调4 完善思考4.1 明确监管部门权责分工,避免多头监管4.2 细化罚款标准,避免执法主体自由裁量幅度过大4.3 敏感个人信息的界定应当纳入动态评估因素4.4 自动化决策重大影响判定宜采用客观标准5 结 论
00
引 言
2020年10月21日,《个人信息保护法(草案)》(以下简称草案)在中国人大网正式向社会公布并征求意见。继个人信息保护相关规定散布于《全国人民代表大会常务委员会关于加强网络信息保护的决定》《中华人民共和国刑法》《消费者权益保护法》《网络安全法》《民法典》等法律法规之后,我国即将迈入个人信息保护专门立法、统一规范的新时代。在全球数字经济迅猛发展,国际社会围绕数据控制力与主导权的博弈日趋激烈,国内加快培育数据要素市场的背景下,草案是具有中国特色个人信息保护思路的集中体现。草案对个人信息的处理规则、个人权利和处理者义务、跨境流动、监督管理、侵权救济、法律责任等作出了明确规定,为数字时代的个人信息权益保护、个人信息有序、自由流动确立了基本框架。
01
《个人信息保护法(草案)》的中国特色
近年来,在国外欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)掀起的全球个人信息保护立法浪潮盛行,国内个人信息非法采集、滥用、泄露等形势严峻的背景下, 我国不断强化对个人信息保护的监管与执法力度,并进行制度探索。
一方面,国家相关立法快速推进,《网络安全法》《民法典》相继出台,在基本法层面构建了个人信息保护的行政和民事基本规范。另一方面,部门规范、地方规范、标准规范等自下而上的制度探索全面展开。国家互联网信息办公室相继发布《数据安全管理办法(征求意见稿)》《个人信息出境安全评估办法(征求意见稿)》。地方层面围绕数据跨境、数据安全保障、数据开放、数据权等问题积极先试先行,典型如《天津市数据安全管理办法(暂行)》《贵州省大数据安全保障条例》《深圳经济特区数据条例(征求意见稿)》《中国(上海)自由贸易试验区临港新片区总体方案的通知》《海南自由贸易港建设总体方案》等。标准规范层面,国家标准《信息安全技术 个人信息安全规范》出台并实施, 充分发挥标准与行业的良性互动作用。
在个人信息保护执法层面,围绕个人信息非法采集和滥用、数据三性破坏等活动的数据安全专项治理行动空前有力。App违法违规收集使用个人信息专项治理行动全面展开,公安部、市场监管总局、工信部、网信办等部门充分发挥监管、主管职责开展个人信息保护专项行动。为保持对侵犯公民个人信息违法犯罪的高压严打态势,形成源头治理、综合治理、系统治理的工作格局,2020年4月,经中央领导批准,公安部与中央网信办牵头,建立打击危害公民个人信息和数据安全违法犯罪长效机制。
正是在这样的背景下,我国《个人信息保护法(草案)》出台。从现有规定来看,草案吸收了近年来个人信息保护的国际经验以及国内前期《网络安全法》《民法典》等立法、标准和实践经验,使得草案既与国际接轨,又不乏中国特色。尤其是与欧盟 GDPR 相比,草案在个人信息处理的合法性基础、信息主体权利、个人信息处理者义务的规范方面引入了欧盟GDPR 的理念和相关规定,但同时也具有鲜明的中国特色:
第一,以“个人信息处理者为中心”的监管思路。GDPR从概念上对数据控制者和数据处理者进行区分,并分别对其设置了个人信息保护义务。草案中的委托方、受托方基本对应于GDPR 中界定的数据控制者和数据处理者概念。但与GDPR对数据处理者同样设置个人信息保护义务的规定不同,草案将个人信息保护义务集中于“个人信息处理者”,明确个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全(第9条)。草案还设专章规定个人信息处理者义务(第5章)。根据草案第69条的规定,“个人信息处理者”是指自主决定处理目的、处理方式等个人信息处理事项的组织、个人。根据这一界定, 不能自主决定处理目的、处理方式的受托者并不属于“个人信息处理者”。从这一立法思路来看,所有的监管均围绕“个人信息处理者”为中心展开。
第二,数据本地存储和跨境提供问题。跨境数据流动已经成为时代发展的必然要求。但与此同时,其所带来的隐私保护问题、数据主权问题、国家安全问题使得各国在此问题上存在诸多分歧,不同主权国家法治传统与制度环境的差异导致跨境数据流动的规制冲突日益严重。据美国信息技术创新基金 2017 年 4 月统计, 除信息化水平较低的非洲外,绝大多数国家均已实施了不同程度的数据本地化政策。数据本地存储和跨境提供是《网络安全法》诸多制度设计中一直难以落地的关键问题之一。草案细化了个人信息本地化和跨境传输的要求,目前规定的部分内容突破了《网络安全法》第37条规定,本地存储的义务主体既包括国家机关、关键信息基础设施运营者,还包括处理个人信息达到规定数量的个人信息处理者。
02
制度定位:保障个体权益兼顾数据要素市场培育
个人数据作为大数据的重要基础资源,具有重大的商业价值和社会价值。在个人信息保护立法过程中,“不同于传统隐私权从个体出发为个体提供单一向度的权利保护,个人信息需要从保护和利用两个角度兼得的视角加以考量”。其是在中央将数据与土地、资本、劳动力、技术并列为五大生产要素的背景下,个人信息保护立法应当在关注个人信息人格属性保障的同时,兼顾其经济价值和社会价值的释放,为数据要素市场化建设提供制度支撑。从全球范围来看,无论是欧盟的 GDPR 还是美国《加州消费者隐私法》(California Consumer Privacy Act,CCPA)的规则设计,其在考虑对信息主体进行保护的同时,也将数字经济发展作为重要考量因素之一。这要求立法的制度建设需从增强用户(信息主体)信任和企业激励机制两个维度着手。
从草案目前版本来看,立法者已经注意到了这一点,并在部分制度建设中有意平衡个体权利保护和企业责任承担之间的关系。例如草案在“知情—同意”之外增加了“为订立或者履行个人作为一方当事人的合同所必需”等其他四项个人信息处理的合法性基础。在数据泄露通知方面,规定个人信息处理者采取措施能够有效避免信息泄露造成损害的,可以不通知个人,这大大降低了企业的通知成本。但草案仍存在以下问题亟待解决:
第一,部分场景仍坚持“同意为王”的治理模式。个人信息保护制度中的“知情—同意”框架偏向于通过信息主体自治以保护个人信息,这一路径选择对信息的合理流通和利用构成了严苛的限制,实践中也存在形式化问题。此外,过于严苛的“同意”规则会造成数据企业经营成本的增加,制约数据经济的发展。在此背景下,各国纷纷开始重新审视同意规则在个人数据保护中的实际效用,探索新时代语境下同意规则的合理性及适用问题。
从当前国际通行做法来看,增强信息主体对个人信息的控制力、重视对信息处理者的过程规制、强化事后问责都是可行路径。草案也在很大程度上秉承了这一监管理念。值得肯定的是,草案在个人信息处理的合法性基础方面,除了规定同意之外还增加了其他合法事由,这在一定程度上可缓解当前真正的同意难以实现,反而可能为个人信息处理者提供免责事由损害信息主体利益的情况。
但需要指出的是,草案在诸多场景下, 仍然实质上坚持用户“同意为王”的治理模式。例如个人信息处理者因合并、分立场景下,接收方变更原先的处理目的、处理方式的(草案第 23 条)、接收个人信息的第三方变更原先的处理目的、处理方式的(草案第24 条)、个人信息的公开(草案第26条)等。
第二,缺乏对个人信息处理者“合法利益”的保障。在数据要素化背景下,在不侵犯信息主体基本权利及自由的前提下,立法上承认个人信息处理者对其处理的个人信息享有合法利益,对于激励企业挖掘数据潜能具有重要意义, 也是《个人信息保护法(草案)》在保障个体权益的同时,为数据要素市场化建设提供的重要制度支撑。在个人信息处理者对个人信息处理投入大量的人力、物力、财力的现实情况下,信息处理者对此类衍生数据享有一定的合法利益具有立法上的正当性。这一点在国际立法上也有例可考,如欧盟 GDPR 将“数据控制者或第三方为追求合法利益目的而进行的必要数据处理”作为数据处理的合法基础之一。
第三,未区分“去标识化”个人信息与一般个人信息处理规则。当前“匿名化”“去标识化”在数据处理中广泛应用。草案对“匿名化”“去标识化”作出了明确界定,并规定匿名化的信息不再属于个人信息。但对于“去标识化”的法律效果并没有作出与一般个人信息处理规则不一样的规定。在实践中,“匿名化”往往难以实现,使得去标识化作为一种安全技术应用得更为广泛。“去标识化”个人信息在不借助额外信息的情况下无法识别特定自然人的特点决定了其与一般个人信息存在较大差别。立法对其处理规则未做特殊规定,忽视了二者之间的差异, 一方面可能会导致个人信息保护效果适得其反, 如已去标识的个人信息要求获得信息主体的同意意味着再次对信息主体进行识别。另一方面也难以对企业进行去标识化处理形成激励效应。
03
体系定位:做好规范体系协调
我国个人信息法律保护近年来发展迅速,早期个人信息保护领域《中华人民共和国刑法》先行,而民事、行政立法薄弱的问题得以缓解,尤其是随着《网络安全法》《民法典》的出台, 个人信息保护的民事、行政立法逐渐充实。在学术界,由于个人信息的特殊性质,个人信息保护近年来成为不同法律部门与理论研究的热点,也产生很多争议,包括个人信息保护的本质究竟是权利还是权益,个人信息的权益属性究竟是人格权还是财产权,《民法典》人格权编与个人信息保护法的关系,个人信息民法保护、行政法保护与刑法保护之间的关系等。个人信息保护法即将出台,该法如何与《民法典》《网络安全法》《中华人民共和国刑法》以及未来即将出台的《数据安全法》等立法进行有效衔接与协调,都是当前亟待解决的问题。
3.1 与《民法典》的协调
作为民事领域的基础性法律,《民法典》将个人信息保护问题纳入“人格权编”,并对个人信息处理规则、合理使用、责任承担等作出明确规定,为个人信息作为“人格利益”予以保护以及保护机制提供重要依据。作为一部以保护“个人信息权益”为重要目标的立法,如何与《民法典》进行规范性协调是个人信息保护法面临的一个核心问题。
草案诸多条款以《民法典》的规则为基础,例如个人信息共同处理者的连带责任就是以民事共同侵权理论为基础;个人信息处理委托方与受托方、转委托规则也以民事委托合同规则为基础;侵犯个人信息权益的赔偿标准是因人身权益受侵害遭受财产损失的赔偿标准,等等。与《数据安全法》《网络安全法》更加侧重国家安全与公共安全不同,草案更加侧重对个体个人信息权益的保障。例如草案确立的以个人“知情—同意”为核心的数据处理规则。专章规定的个人权利,对应的个人信息处理义务章节也是以保护个人信息权益为导向。草案还采用了《民法典》“个人信息处理”的概念,遵循了《民法典》确定的信息处理者管理思路。
从这一角度看,可以说,草案是以《民法典》所确立的个人信息民事权益为基础,从国家监管角度, 用公权力细化、落实个人信息民事合法权益的保障法。基于此,草案的许多规定还需要与《民法典》相协调。例如目前草案第15条规定的“以14岁为界”需要与《民法典》第 1035 条进一步协调。同时,“敏感信息”处理规则如何与《民法典》中的“私密信息”规定进行协调也是需要考虑的问题。此外,公开个人信息的处理规则也需要注意与《民法典》相关规定的有效衔接。
3.2 与《网络安全法》《数据安全法》等的协调
作为网络安全领域的综合性立法,2017年《网络安全法》将数据安全纳入网络安全范畴, 基于网络安全保障目的,为个人信息保护与数据安全的部分重要、核心制度奠定了基础。《网络安全法》施行已经三年有余,国际国内形势变化、新技术新应用发展都对数据安全和个人信息保护问题提出了非常迫切的法律要求。从国家顶层设计来看,《网络安全法》《数据安全法》,以及正在制定的个人信息保护法将是支撑国家网络安全保障工作的重要支柱。
当前,草案部分规定与《网络安全法》存在需要协调之处。例如草案第62条违反处理个人信息规则的行政处罚规定与《网络安全法》第64条网络运营者和网络产品服务提供者违反个人信息处理规定设定的行政处罚在处罚条件、罚款最高额度方面的规定皆不相同,二者发生竞合时如何适用?草案确立的数据本地化与跨境流动规则与《网络安全法》第37 条规定的不一致,未来将如何协调?草案第40条将关键信息基础设施运营者与处理个人信息达到国家网信部门规定数量的个人信息处理者并列,未来在关键信息基础设施的认定中,系统中的“个人信息”数量是否将成为认定关键信息基础设施的考量因素以及如何适用这一标准则需要与本条衔接协调。此外,还需做好个人信息安全评估、认证与其他网络安全检测、认证、评估之间的内容衔接,尽可能避免重复检测、认证和评估。
除个人权益保障之外,草案也注意到了个人信息处理对公共安全、国家安全乃至国际竞争的影响。如草案第10条禁止性规定,纳入了国家安全和公共安全的考量因素,第41条关于国际执法协助规定,第42条规定个人信息提供负面清单制度;基于公共安全和国家安全的考量,可以实施第43条对等原则。上述规定与《数据安全法(草案)》在规制思路上存在相似之处但也有所差异。与《数据安全法(草案)》第33条国际执法协助的规定相比,草案还增加了行政执法协助的规定,这些差异都需要在两部立法的制定过程中予以协调。
3.3 与《中华人民共和国刑法》的协调
大数据时代的到来,使得对个人数据的法律保护面临重大的冲击。无论是作为整体的法律体系还是作为部门法的刑法,都莫不如此。因此,无论是正在制定中的个人信息保护法还是已实施许久的刑法,在相应的规则制定或落实中都应当着眼于整个法律体系走向,置于整个立法体系的视野之中予以考虑。
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称两高解释)将“未经被收集者同意,将合法收集的公民个人信息向他人提供的”认定为“违反国家有关规定,提供公民个人信息”的行为。随着草案在同意之外增加了其他几项合法处理的事由,上述提供行为是否必然属于非法提供还需根据具体情况来进行判定。虽然草案第24条对个人信息处理者向第三方提供行为仍然坚持同意规则,并要求单独同意。但该条本身与第13条合法性基础的规定存在逻辑上不能自洽的问题。
此外,两高解释对行踪轨迹信息、通信内容、征信信息与财产信息这四类信息的定罪情节作出了不同于一般个人信息的从严要求,但没有对生物数据等更为敏感的个人信息给予更高程度的刑法保护。这一点如何与草案规定的包括“种族、民族、宗教信仰、个人生物特征”等在内的敏感个人信息保护规则进行协调也需要通盘考虑。
04
完善思考
4.1 明确监管部门权责分工,避免多头监管
草案第56条明确国家网信部门负责个人信息保护工作的统筹协调,同时规定,国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。其规定未能解决网络安全保护、数据安全治理领域长期存在的监管体制机制问题,建议进一步明确各监管部门之间的权责分工和界限,避免立法施行后因权力范围重叠出现管理和执法尺度不一,影响个人信息保护监管执法的实际效能。
4.2 细化罚款标准,避免执法主体自由裁量幅度过大
草案第62条规定了个人信息违法处理的法律责任,其处罚规则借鉴了欧盟GDPR的监管思路。为惩治个人信息违法处理乱象,加强法律惩治力度,增加违法成本的做法值得肯定。但现有规定在最高额五千万元以下或者上一年度营业额百分之五以下罚款的幅度内,未能确立相对明确、细化的罚款等级标准,给予监管部门自由裁量空间过大,可能会带来执法上的诸多问题。
4.3 敏感个人信息的界定应当纳入动态评估因素
将“敏感个人信息”予以特殊保护是当前国际通行做法,如何设计敏感个人信息的处理规则以平衡个人信息保护与利用的关系是立法亟须解决的问题。草案第二章第二节专门规定“敏感个人信息的处理规则”,第 29 条界定了敏感个人信息的内涵与外延。事实上,个人敏感信息的判定基于风险评估,在不同的场景、不同的行业、不同的适用条件下很难统一作立法上的区分。
正如西米蒂斯(Simitis)教授所言:“所有数据信息的评估都必须建立在充分考虑其使用背景的基础上。数据控制者的特定利益、数据的潜在接受者、收集数据的目的、收集数据的条件以及可能对数据主体产生的影响等整个数据处理过程中的因素要综合起来进行考察,以此确定相关信息的敏感程度。”因此, 敏感个人信息的界定应当是一个动态评估的过程,建议采用“列举+动态评估”规则。此外,个人敏感信息的界定与适用还需考虑与《民法典》《网络安全法》《中华人民共和国刑法》及其司法解释中的相关概念之间的协调,实现民法、行政法与刑法在个人信息保护上的一体化衔接。
4.4 自动化决策重大影响判定宜采用客观标准
草案第25条明确了利用个人信息进行自动化决策的要求,强调自动化决策的透明度和处理结果的公平合理,并规定了个人的救济途径。当前,自动化决策技术广泛应用于商业经营及社会治理中具有巨大的经济价值和社会价值。与此同时也对人的主体性、公平性等带来挑战。鉴于自动化决策中也会涉及个人信息的利用, 立法确需在自动化决策应用中平衡个体权益、商业利益和社会公共利益。基于此,草案第25条自动化决策是否会“对个人权益造成重大影响”的判定宜采用客观标准,而不宜采用当前条款中类似“个人认为”的主观标准。
05
结 论
引用本文:黄道丽,胡文华.《个人信息保护法(草案)》的立法评析与完善思考[J].信息安全与通信保密,2021(2):2-9.
选自《信息安全与通信保密》2021年第2期(为便于排版,已省去原文参考文献)