会议综述(上)|《个人信息保护法草案》专家研讨会
2020年11月8日8:30-18:00,由清华大学法学院个人信息保护与数据权利研究中心主办、北京清律律师事务所协办的《个人信息保护法草案专家研讨会》在清华大学法学院法律图书馆大楼成功举行。来自中国人民大学、清华大学、中国政法大学、西南政法大学、华东政法大学、上海财经大学、北京外国语大学的高校学者,来自全国人大常委会法制工作委员会经济法室、中央网信办、最高人民法院、北京市第一中级人民法院、北京市海淀区人民法院、北京互联网法院、北京市西城区人民法院的专家,以及来自北京清律律师事务所、阿里巴巴、腾讯公司、字节跳动法律研究中心等单位的实务界人士,共三十余人参加了本次研讨会。现将根据速录稿整理的参会嘉宾的发言进行整理发布,以飨读者。
一、关于《个人信息保护法(草案)》的总体意见
1、《个人信息保护法》应当协调好保护个人信息权益、保障个人信息依法有序自由流动、促进个人信息合理利用等各方面立法价值之间的关系。清华大学法学院院长申卫星教授认为,《个人信息保护法》的规范目的是兼顾个人信息的安全和利用,因此在各个具体条文的设计中,应当始终围绕这一立法目的进行考虑。清华大学法学院副院长、个人信息保护与数据权利研究中心主任程啸教授认为,草案充分体现了对个人信息保护的高度重视,贯彻落实了《宪法》保护人格尊严的规定以及党的十九大报告保护人民人身权、财产权和人格权的要求,同时,也科学合理地协调了个人信息保护与信息自由、网络科技发展以及维护公共利益、国家利益等各方面的关系,在立足我国国情的基础上,也科学合理地吸收借鉴了欧盟《一般数据保护条例》等国外立法的优秀成果,整体上值得给予高度肯定。
2、《个人信息保护法》应当处理好与《民法典》以及《网络安全法》等已经颁布的涉及个人信息保护的法律法规之间的衔接,尤其是草案应当尽量采用与现有的法律法规相同的法律概念。第十三届全国人大宪法和法律委员会副主任委员、清华大学法学院周光权教授持不同意见,他认为,尽管民法理论通常使用“自然人”作为个人信息权益的权利主体,但是在刑法理论中却使用“个人”的表达方式,个人信息保护的概念也已经成为约定俗成的概念。对此,中国人民大学法学院石佳友教授认为,《民法典》采用“自然人”的概念,但草案整体上使用“个人”概念作为权利主体,两者所使用的法律概念不一致,建议统一。全国人大常委会法制工作委员会经济法室林一英副处长指出,如果将现在草案中的“个人”都替换为“自然人”,那么有一些条款的表述将难以符合中文的表达习惯,因此建议仍然保持现有的法律概念。
3、关于草案各章节的名称,周光权教授认为,第六章的标题“履行个人信息保护职责的部门”不太妥当,因为第四章和第五章分别规定了个人的权利与信息处理者的义务,而第六章规定法律责任,权利义务与责任之间规定“履行个人信息保护职责的部门”有所不妥,建议将第六章标题修改为“个人信息保护职责的履行”。程啸教授建议,将第三章的标题修改为“个人信息的跨境提供”。中国人民大学法学院熊丙万副教授认为,第二章各节的标题宜保持一致,建议统一修改为“规则”,即“一般规则”“敏感个人信息的处理规则”和“个人信息跨境提供的规则”。中国社会科学院法学研究所姚佳研究员认为,第四章标题目前是“个人在个人信息处理活动中的权利”,但是信息未必都在处理过程中,目前的表述不够全面;相较而言,第五章标题“个人信息处理者的义务”简明扼要,因此建议将第四章改为“个人的权利”。
4、对于各个章节的体系位置,石佳友教授认为,第三章“个人信息跨境提供的规则”的体系位置有待调整,即跨境提供应该放到草案第六章之后,因为跨境涉及到本地存储,保护充分性的认定以及司法协助等内容。申卫星教授也认为第三章的体系位置不妥,可以考虑将“个人信息跨境提供的规则”作为一种特殊的个人信息处理规则规定在草案第二章中;也可以考虑将其规定在草案第六章之后。《中国法学》杂志社编辑任彦女士提出,将“个人信息跨境提供的规则”放置在第三章的位置,使得“个人信息处理规则”与“个人在个人信息处理活动中的权利”间隔较远,不具有体系上的合理性;实际上,国家机关处理、个人敏感信息、跨境提供都属于处理规则,应当共同规定在草案第二章“个人信息处理规则”中。对此,林一英副处长表示,当下的立法逻辑是将处理规则予以集中整合,按照规则、权利义务、保护部门、法律责任的顺序进行排列。跨境提供的规则相对较多,基于篇章布局的考虑,故立法没有将其并入第二章处理规则。
二、关于《个人信息保护法(草案)》条文的具体意见
第一章 总 则
第一条 为了保护个人信息权益,规范个人信息处理活动,保障个人信息依法有序自由流动,促进个人信息合理利用,制定本法。
本条对《个人信息保护法》的立法目的作出了规定。姚佳研究员认为,通过与域外相关法律法规的对比,可以发现草案第1条不仅强调对个人信息的保护,也兼顾对个人信息的合理利用,较好地平衡了自然人与信息产业之间的利益。任彦女士认为,第1条需要进一步明确本法是依据《民法典》等法律法规制定的。
第二条 自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。
本条是对个人信息受法律保护的原则性规定。一方面,中国人民大学未来法治研究院副院长丁晓东副教授建议可以将“任何组织、个人”改为“任何组织、个人和国家机关”。另一方面,北京市海淀区人民法院中关村法庭庭长陈昶屹法官认为,在明确自然人的个人信息受法律保护的基础上,应当增设禁止权利滥用的原则。对此,程啸教授认为,《民法典》第132条已经对禁止权利滥用的原则作出规定,在这里没有必要额外增设条款。
第三条 组织、个人在中华人民共和国境内处理自然人个人信息的活动,适用本法。
在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:
(一)以向境内自然人提供产品或者服务为目的;
(二)为分析、评估境内自然人的行为;
(三)法律、行政法规规定的其他情形。
本条对《个人信息保护法》的适用范围作出了规定。但本条规定可能存在以下问题:一方面,“组织、个人”的表述方式有所不妥。石佳友教授认为,《民法典》中规定的是“信息处理者”,尽管将个人纳入义务主体范围很重要,但措辞上是统一用信息处理者还是分解成组织、个人,尚有斟酌的余地。就此,林一英副处长指出,鉴于处理者的定义在后文中才被规定,所以未在此处提及。姚佳研究员认为,“组织、个人”的区分不同于《民法典》自然人、法人、非法人组织的三分法,而组织是否属于法律概念尚需确定。北京市第一中级人民法院民四庭负责人丁宇翔法官指出,司法实践中有不少个人侵害个人的信息的案件,例如,一些自然人专门从事收集身份证与肖像信息用于违法犯罪活动,因此当前草案规定“组织”和“个人”作为义务主体具有一定的合理性。
另一方面,字节跳动法律研究中心主任丁道勤先生认为,草案第3条第2款第1句的规定不当地限制了适用范围,建议补充“直接向境内自然人提供产品或者服务的”情况。腾讯研究院首席数据政策专家王融女士认为,相比于《网络安全法》第37条,草案第3条第2款在域外适用方面有所扩张,可以对我国公民的个人信息提供更全面的法律保障。但是,信息处理者容易面临双重管辖的问题,尤其是我国个人信息保护法的规定不同于域外其他国家的规定时,这一问题将更加突出。因此,建议在后面附则部分设置“如果在中华人民共和国境内处理的,但并不涉及境内自然人的,可以遵守当地法律法规”的除外条款。
程啸教授认为,依据本条第1款,只要是在我国境内处理自然人的个人信息的活动,无论处理者是否是我国公民或者依据我国法律设立的组织,也无论被处理个人信息的自然人是否是我国公民,都适用《个人信息保护法》的规定。依据第2款,如果是在我国境外处理我国境内自然人的个人信息,倘若有法定的三种情形之一的,也适用《个人信息保护法》的规定。这里需要考虑的一个问题是:如果依据我国法律设立的法人、非法人组织(即中国法人、中国非法人组织)或者我国公民在我国境外处理并非我国境内的自然人的个人信息,是否会适用《个人信息保护法》?欧盟《一般数据保护条例(GDPR)》第3条第1款的规定是“本条例适用于设立在欧盟的控制者或处理者对个人数据的处理,无论其处理行为是否在欧盟发生。”显然,GDPR该款遵循的是所谓的“设立原则(establishment principle)”,即依据处理者的设立地是否在欧盟来决定法律的适用。设立原则意味着通过稳定的安排来实施有效的、真实的活动。虽然在欧盟注册该实体是一个重要的判断标准,但并不限于此。即便只是在欧盟成员国设立银行账户、通讯邮箱或者代表,该机构在欧盟成员国内的人力和物力也被认为是稳定的安排,适用GDPR。我国《个人信息保护法》是否需要借鉴GDPR的上述规定,从而在管辖上实现对等,值得考虑。就文字表述而言,建议将本条第1款增加“任何”两字,即修改为“任何组织、个人在中华人民共和国境内处理自然人个人信息的活动,适用本法。”
此外,程啸教授认为,本草案第68条第1款规定:“自然人因个人或者家庭事务而处理个人信息的,不适用本法。”该款也是对《个人信息保护法》的调整范围的规定,其排除了个人事务以及家庭事务如社交活动等收集、使用个人信息的情形,此种情形可以交由《民法典》等民事法律加以调整,这种规定是正确的,值得肯定。但是,建议将第68条第1款也放在本条中加以规定,毕竟都是对本法调整范围的规定,统一规定比较合适。
第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。
本条对个人信息与个人信息的范围进行了界定。但本条所规定的个人信息定义与《民法典》第1034条和《网络安全法》第67条第5项的规定不尽一致。王融女士认为,不管是从法律体系的一致性考虑,还是从界定的合理性出发,都建议草案的定义与《民法典》个人信息的定义保持一致,理由有二:首先,两部法律的衔接十分紧密,而《民法典》刚刚出台,为了维护法律稳定性,个人信息的定义不宜做太多变化。其次,关于个人信息界定的两个标准——“识别说”和“关联说”并不矛盾,核心仍是“识别说”,“关联说”也只进行描述,所以应沿用《民法典》中“能够直接或间接识别特定的自然人的身份信息”的表述。即使草案不采取《民法典》的表述,也应该在“自然人有关”改为“自然人身份有关”。北京互联网法院颜君法官认为,草案不同于《网络安全法》第76条,直接将匿名化信息排除在外,这种做法是否合理有待商榷。北京互联网法院孙铭溪法官则认为,需要对“匿名化”进行相对明确的解释。
北京清律律师事务所主任熊定中律师认为,第4条第1款仅规定“匿名化”的信息不属于个人信息,但是没有进一步规定“去标识化”的信息是否属于个人信息,也没有对后者的处理规则单独加以规定。但实际上,“去标识化”的信息价值应该与匿名化的信息以及经过知情同意而收集的信息类似。例如,在对个人信息进行去标识化处理后,不管企业的最终目的是广告营销还是信息推广,都只是为了投放至特定设备及设备号后所对应的特定人,至于该设备使用者的真实身份无关紧要,并不存在侵犯其个人权利的可能性,因此对这些情形下的个人信息处理应当予以特别规定。
程啸教授认为,首先,本条第1款是对个人信息的界定,从该款的界定来看,其与欧盟《一般数据保护条例(GDPR)》第4条第1款对个人数据的界定非常相似,依据GDPR第4条第1款之规定:“‘个人数据’是指一个被识别或可识别的自然人(‘数据主体’)的任何信息。一个可识别的自然人是指,通过姓名、身份证号码、位置数据、在线身份识别码这类标识,或通过针对该自然人的一个或多个身体、生理、遗传、心理、经济、文化或社会身份等要素,能够直接或间接地被识别。”然而,《民法典》第1034条第2款规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”这样一来,从表面上看,本条第1款与《民法典》在对个人信息的界定上就产生了一定的差异,即个人信息究竟是指可以直接或者间接地用于识别自然人的各种信息,还是指一个已经被识别或者可被识别的自然人相关的各种信息?后者的范围似乎大于前者。前者侧重在信息本身的用途,即是否可以直接识别或间接识别特定的自然人,而后者还包括已被识别或者可能被识别的自然人的其他信息,即便该信息本身不能指向特定的自然人。
其次,本条第1款将“匿名化处理后的信息”排除在个人信息之外,是否妥当值得考虑。依据本法第69条第4项,匿名化是指个人信息经处理无法识别特定自然人且不能复原的过程,匿名化的信息也就是指“经过加工无法识别特定个人且不能复原的”信息。匿名化的信息是否绝对不能复原,本身就是一个问题,况且,我国现行的《网络安全法》《民法典》也都没有将匿名化的信息排除在个人信息之外,只是规定向第三方提供匿名化的信息时可以不经自然人的同意,可是对于这些匿名化的信息,处理者依然必须履行个人信息保护的法律义务,如不得泄露、非法买卖等。正因如此,GDPR序言部分第28条明确指出:“对个人数据采用匿名化措施可以减少数据主体面临的风险并有助于控制者和处理者履行数据保护义务。在本条例中明确提出‘匿名化’不是为了排除任何其他的数据保护方法。”故此,为防止发生误解,使人们误以为匿名化处理的信息不适用《个人信息保护法》的规定,建议删除本条第1款最后一句。
针对本条第2款的规定,程啸教授建议在个人信息处理行为的列举中增加“删除”的情形,从而与本法中对自然人的删除权的规定保持衔接,即将本款修改为:“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等活动。”丁宇翔法官也认为,未经信息主体同意删除个人信息,是对个人信息权益的一种侵犯,因此,个人信息的处理应当包括物理删除个人信息的行为。上海财经大学法学院副院长胡凌副教授认为“创设”个人信息,即从无到有地创设一项新的个人信息,也应该属于个人信息处理活动的一种情形。
第五条 处理个人信息应当采用合法、正当的方式,遵循诚信原则,不得通过欺诈、误导等方式处理个人信息。
本条对处理个人信息应当遵循的原则作出规定。石佳友教授认为,《民法典》第1036条和《网络安全法》第41条中都明确规定了“合法、正当、必要原则”,但目前草案只是规定在处理个人信息时应当采用“合法、正当的方式”,这等于不当地弱化了合法、正当、必要原则的地位。程啸教授指出,本条明确了个人信息处理中应当遵循合法、正当以及诚信原则,非常好!但是,建议将“不得通过欺诈、误导等方式处理个人信息”,修改为“不得通过欺骗、误导、胁迫等行为处理个人信息”。这是因为:首先,本条第1句使用了“合法、正当的方式”,实际上是指遵循合法、正当的原则,故此,第2句就不建议再使用“方式”的表述;其次,增加胁迫的表述也与本法第17条的规定相对应,即“个人信息处理者不得以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由,拒绝提供产品或者服务”。因为这种拒绝提供产品或者服务的做法,也是一种对自然人的胁迫行为,违反了合法、正当以及诚信原则。
第六条 处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的的最小范围,不得进行与处理目的无关的个人信息处理。
本条对处理个人信息的目的作出了规定。对于处理信息需具有“明确、合理的目的”的规定,北京外国语大学法学院院长助理万方副教授认为:第一,《个人信息安全规范》要求处理信息时需满足目的明确原则,即“具有合法、正当、必要、明确的个人信息处理目的”,第6条的规定与《个人信息安全规范》的要求之间是否存在对应和衔接的关系,以及如何进行协调,需要进一步的研究。第二,处理目的应该进行细化,可以适当参考美国个人信息保护的场景理论。因为在同一个场景下,为关联目的所做的重复性告知可能对个人用户而言是一种骚扰。任彦女士建议将目的固定化,要求信息处理时需明确主要目的。孙铭溪法官对此表示赞成,认为目的的限定直接关系到“最小范围”的框定。
对于处理个人信息“应当限于处理目的的最小范围”的规定,石佳友教授和陈昶屹法官都认为,最小范围只是必要性的一个逻辑后果,不能由此推导出个人信息的处理应当遵循必要性原则,建议将必要性明确设定为处理原则。程啸教授认为,建议将本条修改为“处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的的必要与最小的范围,不得进行与处理目的无关的或者过度的个人信息处理。”这样一来,通过“必要”与“最小”两个方面来限定处理的范围,同时也与《民法典》第1035条提出的“不得过度处理”的要求相协调。
第七条 处理个人信息应当遵循公开、透明的原则,明示个人信息处理规则。
第八条 为实现处理目的,所处理的个人信息应当准确,并及时更新。
本条对个人信息处理者保证信息准确与及时更新的义务作出了规定。丁道勤先生认为,个人信息的处理通常只需准确即可,但是第8条要求信息处理者及时更新个人信息并不合理,要求过高,应当予以适当降低。程啸教授认为,如果本条规定适用的主体是指个人信息处理者,则不建议将该条作为原则规定在《个人信息保护法》的总则当中,而是可以将之放在第4章或者第5章,从而明确个人信息处理者应当采取合理的措施确保处理的信息准确与更新及时。这是因为:一方面,个人信息处理者负有义务确保其处理的个人信息是否准确完整;另一方面,在相当多的情况下,个人信息的不准确并非信息处理者所致,而是个人信息主体自身或者其他原因所致。因此,不宜一般性地将确保个人信息准确与及时更新作为个人信息处理者的义务加以规定。
第九条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。
本条对个人信息处理者保障信息安全的义务作出了规定。万方副教授认为,个人信息处理的主体应根据处理流程予以进一步细化。因为在处理流程中,信息处理者可能扮演不同的身份,权利义务也应有所不同。西南政法大学郑志峰副教授则认为,应将“采取必要措施”进一步细化为“采取技术措施或者其他必要的保护措施”,因为《数据安全法》第25条和《民法典》第1038条都提到了技术措施,技术措施在实践中也非常重要。
第十条 任何组织、个人不得违反法律、行政法规的规定处理个人信息,不得从事危害国家安全、公共利益的个人信息处理活动。
第十一条 国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关行业组织、社会公众共同参与个人信息保护的良好环境。
第十二条 国家积极参与个人信息保护国际规则的制定,促进个人信息保护方面的国际交流与合作,推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等的互认。
审核|贾立娜
排版|秦佳明
投稿荐稿邮箱
“人工智能与网络法前沿”公众平台
唯一投稿荐稿邮箱:
THAICLaw@163.com
团队唯一微信号AICLaw
平台仅会通过上述渠道联系作者