试论《个人信息安全规范》的法律效力
编者按:
随着国家标准《个人信息安全规范》(GB/T 35273-2017)的正式发布【国家标准《个人信息安全规范》全文】,社会各界对该标准的关注在逐渐升温。本公号将陆续邀请一些参与到该标准制定,或者在其工作中实际运用过该标准的朋友撰写文章,请他们和大家分享对该标准的看法,或者转载对该标准的评论文章。本文作者是中国人民大学未来法治研究院研究员许可。
《网络安全法》第15条规定:“国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。”作为这一条款落地的重头戏,国家标准《个人信息安全规范》(GB/T 35273-2017)一经发布,便引起了广泛关注。不过,与既有对《个人信息安全规范》内容的大量讨论不同,本文旨在解答一个更为前提性的问题:《个人信息安全规范》的法律性质为何,其是否具有以及具有何种法律效力?
一、《个人信息安全规范》不属于《立法法》中的正式法源
立法法所确立的正式法源包括宪法、法律、行政法规、地方性法规、自治条例、单行条例及规章、国务院部门规章和地方政府规章,在形式上并不包括国家标准。不仅如此,从制定程序、发布方式、调整对象、规范结构上看,国家标准也与上述正式法源大相径庭。总体而言,国家标准的制定和发布相对宽松、简单,调整对象更为单一、具体,尤其是规范结构并不包括执行主体和法律后果。因此,作为国家标准的《个人信息安全规范》并不属于我国正式的法律渊源。
二、《个人信息安全规范》与“规范性文件”类似
根据《标准化和有关领域的通用术语 第 1 部分: 基本术语》( GB/T3935.1- 1996) 以及《标准化法条文解释》第二条,所谓“标准”,即由主管机构批准,以特定形式发布,对一定范围的活动或其结果规定共同的和重复使用的规则、导则或特性的文件。关于其性质,1988年8月29日在第七届全国人民代表大会常务委员会第三次会议上,国家技术监督局局长徐志坚在《关于(中华人民共和国标准化法(草案))的说明》中,就特别指出:“标准本身具有严肃的法规性和统一性。标准是各项经济技术活动中有关方面共同遵守的准则和依据”。根据上述,国家标准在发布主体、内容和效力来源等三方面与表现为决定、命令、通知的行政机关“规范性文件”类似(如下图)。
就《个人信息安全规范》而言,其根据《标准化工作导则 第1部分:标准的结构和编写》(GB/T 1.1—2009)起草,由全国信息安全标准化技术委员会(SAC/TC260)归口,并由国家质量监督检验总局和国家标准化管理委员会发布,普遍适用于规范各类组织个人信息处理活动,也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。这里还必须说明的是:(1)《个人信息安全规范》(GB/T 35273-2017)中的“GB/T”是推荐性国家标准的汉语拼音缩写,说明其为“推荐性国家标准”,与“强制性国家标准”有所不同;(2)《个人信息安全规范》包含附录A“个人信息示例”、附录B“个人敏感信息判定”、附录C“保障个人信息主体选择同意权的方法”、附录D“隐私政策模板”等四个“资料性附录”,根据《标准化工作导则 第1部分:标准的结构和编写》第6.3.6和6.4.1条,资料性附录并非标准正文的附加或补充条款,其旨在帮助理解和使用标准,不包含规范性内容。因此,相关附录不具有《个人信息安全规范》正文同等的法律效力。
三、《个人信息安全规范》对企业的法律效力
如前所述,《个人信息安全规范》的法律效力源于《标准化法》《国家标准管理办法》。根据2017年11月4日修订通过,2018年1月1日实施的《标准化法》第2条和第11条,“推荐性国家标准”系满足基础通用、与强制性国家标准配套、对各有关行业起引领作用的一类标准,国家鼓励企业采用,而不强制采用。
不过,《个人信息安全规范》的非强制性,绝不意味着企业可以置之不理。事实上,它可以在如下多个层面上发挥效力:
因企业自愿遵守而产生约束力。根据《国务院办公厅关于印发国家标准化体系建设发展规划(2016-2020年)的通知》,国家标准体系建设遵循“强制性标准守底线、推荐性标准保基本、企业标准强质量”的原则。作为个人信息安全方面的基本通用规范,《个人信息安全规范》的遵守与否不但是国家是否给予政策优惠的标准,也将成为企业是否具有基本保障措施的试金石。在竞争压力和声誉机制下,企业将不得不自愿遵守。而根据原国家技术监督局《企业标准化管理办法》第17条第2款“推荐性标准,企业一经采用,应严格执行”之规定,一旦企业通过用户合同、隐私协议或其他类型的文件对《个人信息安全规范》作出承诺,则必须受其约束。
因行政决定中援引《个人信息安全规范》而产生约束力。(详见本文第四点)
因法院判决中援引《个人信息安全规范》而产生拘束力。(见本文第五点)
因法律、法规、规章、强制性标准援引《个人信息安全规范》而产生拘束力。根据《中华人民共和国标准化法条文解释》第14条,推荐性标准一旦纳入指令性法律文件,将具有相应的法律约束力。
四、《个人信息安全规范》对行政机关的法律效力
1.行政机关在《个人信息安全规范》所规范的范围内作出行政决定时,应当参照《个人信息安全规范》该效力包含两层含义。
一方面,行政机关“应当”参照《个人信息安全规范》,而非“可以”参照。这是因为:
(1)遵循行政机关下级服从上级原则和首长负责制原则,《个人信息安全规范》系由国务院部门制定的规范性文件,其地位也与国务院部门的地位相对应,对国务院标准化行政主管部门自身及国务院部委以下的行政机关将产生拘束力和强制力。
(2)作为国家推荐和倡导使用的标准,《个人信息安全规范》对行政相对人产生了积极影响,其可能会以此作为准则来安排自己的活动,指导自己的行为。如果行政机关不以公告的国家标准作为其行政的依据,将会损害行政相对人的信赖利益。
(3)包括《个人信息安全规范》在内的国家标准是《网络安全法》的有机组成部分。信息技术的日新月异,凸显了此前个人信息保护法律法规的滞后、杂乱且矛盾,而系统规定个人信息保护的《网络安全法》亦过于粗疏,亟待通过国家标准的形式予以说明、解释和具体化。为此,《网络安全法》第15条特别将国家标准纳入其中。
(4)行政机关将《个人信息安全规范》作为认定事实的标准并反复适用,保证了“相同情况相同处理”,确保了法律的平等适用和行政裁量权的自我拘束,有利于防止滥用裁量权和差别对待的现象,也有利于行政相对人利益的保护。
总之,如同规范性文件,《个人信息安全规范》一经实施就产生确定力和公信力,行政机关应当受其约束。
另一方面,行政机关在适用《个人信息安全规范》时,其方式应为“参照”,而非“依照”。这里的“参照”字面含义是“参考并仿造”,强调的是弱效度意义上的援引,即政府机关在行为时具有一定的自由裁量权,可以斟酌适用《个人信息安全规范》的部分或全部。特别是,当《个人信息安全规范》与法律、法规、规章、规范性文件相矛盾时,行政机关有权不予适用。
例如,在“山东百纳生物科技有限公司与中华人民共和国农业部不服药品管理没收处罚二审行政判决书”((2015)高行终字第2494号)中,北京市高级人民法院判定:农业部在《农业部办公厅关于开展农药产品质量专项监督抽查工作的通知》中对抽样做了规定,该规定与推荐性国家标准《商品农药采样方法》并不一致,农业部适用上述通知而非《商品农药采样方法》中的采样方法,不存在违反法定程序的问题。
2.行政机关不得直接依据《个人信息安全规范》作出行政处罚或强制
中共中央、国务院印发《法治政府建设实施纲要(2015-2020年)》明确规定:“规范性文件不得设定行政许可、行政处罚、行政强制等事项,不得减损公民、法人和其他组织合法权益或者增加其义务。”鉴于《个人信息安全规范》与规范性文件地位类似,行政机关同样不能仅以企业违反《个人信息安全规范》为由,作出行政处罚或行政强制的决定。
3.行政机关可以直接依据《个人信息安全规范》采取非正式监管措施
根据《个人信息安全规范》第1条第2款后段,《个人信息安全规范》适用于主管监管部门对个人信息处理活动的监督和管理。所以,尽管其不能直接用于行政处罚或行政强制,但行政机关仍可以《个人信息安全规范》为基础,采取警示约谈、行政检查、劝导示范、行政指导、行政奖励等非强制性手段。在2018年初“支付宝年度账单事件”中,国家网信办迅速约谈了支付宝和蚂蚁金服,并依据《个人信息安全规范》作出了通报,要求其切实采取有效措施,防止类似事件再次发生。
五、《个人信息安全规范》对法院的法律效力
1.法院不得直接依据《个人信息安全规范》作出判决
根据《最高人民法院关于裁判文书引用法律、法规等规范性法律文件的规定》第2条,法院在裁判文书中可引用的规范性法律文件限于:法律及法律解释、行政法规、地方性法规、自治条例或者单行条例、司法解释,并不包括规范性文件或国家标准。根据《行政诉讼法》第63条第3款:“人民法院审理行政案件,参照规章。”考虑到国家标准的法律位阶在规章之下,因此,法院在判决主文中既不能直接引用、也无需参照《个人信息安全规范》。
2.法院可以援引《个人信息安全规范》作为裁判说理依据
根据《最高人民法院关于裁判文书引用法律、法规等规范性法律文件的规定》第6条,法院根据审理案件的需要,经审查认定《个人信息安全规范》在相关案件中合法有效,可以将其作为裁判说理的依据。
十八届四中全会《中共中央关于全面推进依法治国若干重大问题的决定》要求“加强法律文书释法说理”,《人民法院第四个五年改革纲要(2014-2018)》亦针对“推进裁判文书说理改革”进行了具体部署。司法“说理”旨在以道理服人,这里的道理并不限于法律规范之法理,还应包括纠纷的事理、社会的情理和科学的学理。作为一种特殊的准则和尺度,国家标准通常具有技术性、科学性、合理性及可实践性,而这正是其权威性和说服力的来源。在司法实践中,引用推荐性国家标准的案件屡见不鲜。例如,在“郸城县中英文学校诉被告宿迁宝乐文体玩具有限公司产品质量损害赔偿纠纷案”((2009)郸民初字第10045号)中,法院引用《中华人民共和国国家标准》(GB/T3328-1997)“家具(床类)主要尺寸”的要求,认定双层床产品质量存在缺陷。在“程浩与南京悦家超市有限公司、南京悦家超市有限公司长虹店产品责任纠纷案”( (2013)宁民终字第2393号),法院引用《中华人民共和国国家标准GB/T-19630-2005》,明确了有机产品的范围。
就《个人信息安全规范》的具体运用而言,是否遵守《个人信息安全规范》可以构成判断当事人是否履行法定义务以及是否存在过错的重要判断标准。
(1)在刑事诉讼和行政诉讼中,鉴于《刑法》《网络安全法》对于网络运营者的安全管理义务规定不明,在某种程度上,《个人信息安全规范》可视为相关法律义务的具体化。《个人信息安全规范》的执行情况,能够成为当事人是否构成“拒不履行信息网络安全管理罪”或承担相关行政责任的要件事实。
(2)在民事诉讼中,网络运营者的过错问题是关键性争点。作为行业内的基本通用标准,《个人信息安全规范》建立了一个负责任的“理性人”(reasonable person)在相同情境中“行为模式”,可以成为法院判断过错存在的客观标准。当然,考虑到国家标准的实质内涵、设置宗旨、制定依据等并不能完全承载私法上安全价值的需求,遵守《个人信息安全规范》仅仅构成当事人的相对抗辩,其仍可以被其他事实推翻。
六、结论
经过初步梳理,《个人信息安全规范》的法律效力如下:
《个人信息安全规范》对于企业无强制力,但可因企业自愿遵守而产生约束力。
行政机关在《个人信息安全规范》所规范的范围内作出行政决定时,应当参照《个人信息安全规范》,并由此对企业产生约束力。
行政机关不得直接依据《个人信息安全规范》作出行政处罚或强制,但行政机关可以直接依据《个人信息安全规范》采取非正式监管措施,并由此对企业产生约束力。
法院不得直接依据《个人信息安全规范》作出判决,但可以援引《个人信息安全规范》作为裁判说理依据,并由此对企业产生约束力。
《个人信息安全规范》一旦被法律、法规、规章、强制性标准援引,便可在相应规范中产生与之同等的法律效力。
本公号此前发布的对《个人信息安全规范》的评论文章如下: