讲座回放|中国《个人信息保护法》的架构与体系

★ 讲 座 分 段 简 述 ★

I.个人信息保护的历史发展

许可副教授：

II.《个人信息保护法》的内在架构

许可副教授：

《个人信息保护法》的结构在初审与二读并没有发生改变，基本脉络遵循以下理论架构：参与全球数据治理, “境内”管理与“跨境管辖”兼顾, 效仿欧盟GDPR规定; “私主体”与“公权力机关”统一管理, 国家机关同样接受监管; “公法”与“私法”性兼备, 注重权利与救济，同时强调义务与监管。

值得注意的是，《个人信息保护法》第十三条是本法的法眼，详列个人信息合理利用正当化处理的情形。一旦采取了个人信息正当化处理基础，后续将不再需要另外取得个人的同意。

III.《个人信息保护法》的外部体系

许可副教授：

许可副教授认为，《个人信息保护法》由宪法对人格尊严的保护所衍生, 对《网络安全法》中的笼统规定详细诠释。《个人信息保护法》与《民法典》属一般法与特别法的关系, 而与《数据安全法》同时适用，属于底层法(数据)与上层法(信息)的关系。

IV.展望未来立法工作

方禹先生：

个人信息保护推进立法, 其中一个重要的原因在于, 已经被损害的个人信息应当给予救济性的保护, 且普遍对可能产生的个人信息侵害事件存在不安情绪。方禹先生认为，当下学界讨论引入资料可携带权(right to data portability)，资料可携带权是将个人信息从一数据控制者携带到另一数据控制者的权利，符合数字经济发展需求，而其权利基础与查询权、复制权相辅相成。立法工作下一步应当考量纳入资料可携带权。方禹先生评价, 个人信息保护中, 独立统一的监管机构将起到重要作用, 而传统的监管逻辑可能无法个人信息保护动态性、变化性所带来的挑战。

精选Q&A

问题1：

• 在未来执法的力度以及执法能力如何？执法的行政资源是否匮乏？

方禹先生: 立法规定的严格程度基本法赢了未来执法的力度。

许可副教授：中央层面执法较为活跃, 集中于较为容易判断的问题, 例如收集处理活动是否合规。地方层面市场监管局有零星的执法行为, 地方公安局亦有侵犯个人信息罪的调查行动。

深入底层的问题, 如个人信息使用是否滥用或符合目的, 尚未触及。个人信息保护法的执法行为有待观望。与反垄断执法机构相同, 个人信息保护执法的人力资源, 技术能力还有待建设。立法高严格, 与执法柔性措施相结合是可行的执法路径。

问题2：

• 《个人信息保护法》规定，约谈是一种执法措施，这在国内不同领域的执法都很少见，如何规定背后原因是什么？何种情况适用约谈？

许可副教授: 监管机构采用约谈手段, 受制于两个因素: (1) 执法的成本与能力; (2) 程序法对执法机构举证的要求非常严格。

问题3：

• 据报道, 蚂蚁集团整改中, 可能会将数据转移到合资企业中, 国有股东可以监管数据使用。根据个人信息保护法具体规定, 分立、合并的情况下, 理论上需要得到用户授权, 而根据13条第三款, 为履行法定职责无需授权。企业是否可以依据13条绕开获得用户授权的义务?

许可副教授: 第13条规定免于同意, 但不涉及免于告知。用户仍然保留一定的拒绝权等相关权利, 企业也不能因此完全免除其义务。第23条规定的分立、合并情况，实际指的是事后机制, 即用户在分立、合并后可opt-out. 

问题4：

• 个人信息保护法(二审稿)中没有对行政决定不满后复议或是诉讼的规定，实践中如何申诉？

方禹先生: 按照行政复议法、行政处罚法，具体行政行为以及可以审查的抽象行政行为，均可以按照两法的框架救济。

问题4：

• 国内互联网企业在隐私政策中的实践多为在资产转让、收购、兼并的过程中，会向用户告知，但会要求用户继续受隐私政策的约束。只有当使用个人信息目的改变时才会重新取得同意。在这个过程中opt-out是合规必要的措施吗？信息保护法(二审稿)中没有对行政决定不满后复议或是诉讼的规定，实践中如何申诉？

许可副教授: 资产转让与主体并购情况不同。如个人信息被放入资产包中进行转让, 事实上已经构成向第三方提供, 不涉及opt-out机制, 而应当要求事前同意(opt-in)。而企业主体架构变更，包括合并、分立、破产，公司组织变更则适用于opt-out机制。

讲座综述：董雨琪