个人信息保护法出台记:历十八载,执法“九龙治水”争议多年
“既然国家机关也被纳入监管范围,肯定需要一个独立的监管机构。”
“但是现在各个业务部门分头去管也不是完全行不通,应该尊重中国的实际现状。”
类似的讨论,多次出现在《中华人民共和国个人信息保护法》(下称“个保法”)的审议现场和专题研讨会上。经过不断打磨,App过度索权、人脸识别、大数据杀熟等切中社会“痛点”的条款,也被一点点地添加进最后的版本中。
8月20日,个保法获得十三届全国人大常委会第三十次会议表决通过,11月1日起施行。
从启动立法研究到表决通过,个保法走了18年——既经历过机构改革、立法资源制约的困顿,也曾因智能手机普及和“徐玉玉案”被加速推进。立法背后,是学界、实务界、立法机构的多方碰撞。
《中华人民共和国个人信息保护法》将于11月1日起施行。
这部刚出台的法律,早在18年前就启动了立法研究。
中国社会科学院法学研究所研究员周汉华回忆,2003年,中国尚处于传统互联网时代,还没进入移动互联网时代,智能手机都不太普遍,像大数据、云计算这样的基本概念更是“很少提”。
彼时,个人信息的泄露和滥用没有现在这么严重。不过,在课题组成员、社科院法学所研究员吕艳滨看来,当时已经能“预期到个人信息保护是一个很重要的问题”。
南都记者了解到,2001年,国家成立国家信息化领导小组,下设国务院信息化工作办公室(下简称“国信办”),主要负责推动国家的信息化相关立法。受国信办委托,由周汉华领衔的个人数据保护法研究课题组承担《个人数据保护法》比较研究课题并草拟专家建议稿。
周汉华一度乐观地以为,个保法出台“不会用太久时间”。
课题组历时两年,对国外的个人信息保护制度进行了调研。在综合参考了欧盟、美国、日本等比较有代表性的个人信息保护制度后,课题组于2005年形成了近八万字的《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》,共六章72条。同年呈送国信办的还有另一份专家意见稿——重庆大学法学院教授齐爱民起草的《中华人民共和国个人信息保护法示范法草案学者建议稿》。
按照国信办的立法规划,个保法本应紧随《电子签名法》《政府信息公开条例》出台。然而前两部法律顺利通过,个保法却迟迟不见动静。多名专家告诉南都记者,这在一定程度上受到2008年的政府机构改革的影响。
改革后,国信办的职责由新成立的工业和信息化部下属的信息化推进司和信息安全协调司承担。“两个司的推进力度显然不如一个部级单位,在个保法推动的力度上不如原来那么大。”周汉华解释。
在中国人民大学法学院教授张新宝看来,最关键的还是决策部门对个保法轻重缓急的认识。周汉华也提到过立法资源制约的问题。他说,当时重要的立法领域特别多、立法任务特别重,个保法没有排上更加重要的议事日程。
张新宝还对南都记者表示,个保法不像合同法,它一直在发展过程中。“互联网的发展日新月异,各种业态、应用层出不穷,公众、学者乃至决策部门对个人信息保护需要一个认识过程。而如何对其中的发展规律以各个方面的权利义务进行规范,需要去研究和探索。”
受到机构改革、立法资源制约等多重因素的影响,个保法的立法进程在2008年之后的数年间陷入停滞。
2010年之后,中国逐渐进入移动互联网时代。智能手机颠覆了整个互联网的生态,迅速地改变了互联网的格局。个人信息保护也面临比以前更多的挑战。
根据2011年中国青年报发起的一项1958人参与的在线调查,86.5%的受访者表示自己的个人信息曾遭泄露,49.8%的人抱怨信息遭泄露已严重影响自己的生活。由于对个人信息的保存、转让缺乏有效的规范,个人信息被随意篡改、滥用以及被非法转卖牟利的现象时有发生,随之而来的电信诈骗、垃圾短信令人不堪其扰。
而随着智能手机的普及, App过度获取权限、精准广告推送等问题也日益凸显。“只要你带着你的这个终端,那么你的所有信息实际上是实时地处于各种 App的分析和监控之下”,周汉华说,“这个是在移动互联网时代之前没有过的。”
为应对这一新局面,不少法律都写入了个人信息保护相关条款。
早在2009年,《刑法修正案(七)》就将泄露个人信息入罪;
2011年7月工信部发布的《互联网信息服务管理规定(征求意见稿)》则明确规定,未经用户同意,互联网信息服务提供者不得收集与用户相关、能够单独或者与其他信息结合识别用户身份的信息;
《电信和互联网用户个人信息保护规定》则进一步从收集、使用、保护等方面对电信业务经营者、互联网信息服务提供者做出明确要求。
不过,相对于分散式立法,对个人信息保护单独立法似乎是更主流的声音。“到了一几年的时候,学界应该都是比较有共识的,只有极个别的老师不主张作为一个单独的立法。”张新宝对南都记者表示。
2014年,中央网络安全和信息化领导小组(后更名为“中央网络安全和信息化委员会办公室”,下称“中央网信办”)宣告成立,中共中央总书记、国家主席、中央军委主席习近平担任组长。
受中央网络安全和信息化领导小组委托,周汉华牵头设计了《国家信息网络专项立法计划(2014~2020)(建议)》,其中就包括网络安全法和个人信息保护法等七部法律和行政法规。
停滞了五年之久的个人信息保护立法工作得以重启。张新宝也在这一年承接了一个国家社科基金的重大项目,其中一项就是草拟个保法专家建议稿。他和中国信息通信研究院安全研究所数据安全研究部研究员葛鑫撰写的《个人信息保护法(专家建议稿)》于2019年10月正式发布。
“中央网信办在推动立法的力度上非常大。”周汉华说。他指出,这七部法律的推进都非常快,个保法从第一次审议到通过也非常顺,“推进力量和08年之后那五年不可同日而语。”
2016年8月,一起个人信息泄露导致的恶性案件进一步加速了立法进程。山东女大学生徐玉玉被诈骗电话骗走上大学的费用后,心脏骤停离世。
谈及对推动立法影响最大的社会事件,周汉华和张新宝不约而同地提到了上述案件。“虽然是一件坏事,但是它极大地推动了我们对个人信息保护的重视。相关的立法其实和徐玉玉案都有关系。”周汉华说。
社会乱象严峻,公众意识提升,监管部门重视,个保法提上议程顺理成章。2018年9月,个保法被列入十三届全国人大常委会立法规划。相关的部门规章、标准规范也纷纷出台,填补国内个人信息保护在具体实践标准上的空白。
部门规章方面,有《儿童个人信息网络保护规定》《App违法违规收集使用个人信息行为认定方法》等;标准规范方面,有《信息安全技术 个人信息安全规范》《互联网个人信息安全保护指南》等。中央网信办、工信部、公安部、市场监管总局四部门还曾联合开展“App违法违规收集使用个人信息专项治理”。
去年“两会”之前,全国人大常委会法工委相关负责人介绍,已形成个人信息保护法草案稿,将根据各方面意见进一步完善后,按照全国人大常委会立法工作的安排,争取及早将法律草案提请全国人大常委会审议。
两大争议,多方碰撞
从2020年10月到今年8月,个保法草案前后经历了三次全国人大常委会审议。学界、企业和立法机构代表因为各自立场不同,发生了不少条款上的碰撞。
在个保法草案审议过程中,有观点认为,应对死者的个人信息做出相应规定。此后,二审稿新增规定,自然人死亡的,个人在个人信息处理活动中的权利由近亲属行使。这项规定一出即引发热烈讨论。
在今年5月的一场个保法研讨会上,有学界核心专家直言,上述条款“引发的不光是理论上的冲突。现在有许多人在想,如果快死了,最后挣扎着要干的一件事就是把所有的个人信息统统删掉。要不然你的近亲属就要代你行使,那不得了。”
“应该说大部分学者其实认为个人信息权本质上是一项控制权,一项积极的权利,所以死了之后原则上不能行使。”周汉华也推测,“可能最后会做一些限定,积极保护死者的权利也被当成一个立法亮点。”
结合多方意见,个保法第四十九条最终改为,自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。类似的碰撞还有很多。比如是否应成立统一独立的个人信息保护监管机构。
一直以来,中国个人信息保护领域的行政执法体系呈“九龙治水”之势——网信办、市监总局、工信部、公安部以及教育、医疗、卫生、金融等相关领域的管理部门都负有监管责任。
一位熟悉个人信息保护立法的学者曾在去年11月的一场个人信息保护法研讨会上提到,个人信息领域的相关管理部门“都在竞争监管范围”。
这种“竞争”投射到企业身上,就变成需要同时满足多个部门不同的合规要求。“有时候各个部门的一些标准不是那么的统一和透明,导致企业疲于应付监管,而不是真正做好隐私保护。所以我们希望个保法出台之后相关的评测标准和流程能更加统一。”上述不愿具名的企业法务对南都记者表示。
他观察到,围绕单设统一独立监管机构的讨论有两种声音:一种是国家机关也被纳入监管范围,肯定需要一个独立的监管机构;另一种声音认为,现在各个业务部门分头去管也不是完全行不通,应该尊重中国的实际现状。
周汉华是设立统一独立监管机构的拥趸者,但个保法最终没有采取这一做法,仅规定由国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。这让他感到“有点遗憾”。
“这一次立法当中我们反复呼吁,建议增加独立的机构,但是最后没能实现。我们说如果设立不了独立的机构,哪怕设一个部委管理的国家局也可以,结果这个建议也没实现。”周汉华说。
据了解,这在一定程度上跟本届政府严控机构编制有关。国务院总理李克强曾在2013年“约法三章”,其中就包括了在本届政府任期内“财政供养人员只减不增”,“所以现在要增设新的机构难度非常大。”周汉华说。
不过,张新宝和上述企业法务都指出,个保法中确立了网信办是一个比较明确的主导地位,被赋予的权力更多了。
对于推动成立统一独立监管机构,周汉华没有放弃。他坦言,反正事情“都是一步一步来的”,法律出台之后可能还有机会,“再争取呗。”
借鉴国际经验,保留自身特色
网络时代,如何规范个人信息处理活动,同时让个人信息更好地为经济社会发展赋能增效,是各国面临的共同问题。据不完全统计,目前已经有130多个国家和地区制定了个人信息保护相关的专门法律。
多位专家告诉南都记者,中国的个人信息保护立法起步不算早,但进度在国际上看并不算慢。在个保法的立法和相关制度建设上,中国充分借鉴了国际经验,也保留了自身特色。
周汉华举例称,不同于国际上对于敏感个人信息处理的通用做法,个保法把行踪轨迹、金融账户和不满14周岁未成年人的个人信息都归入了敏感个人信息。“这个就体现了我们的特点。”
此外,虽然没有设立统一独立的监管机构,但是个保法明确了网信部门和相关部门的多主体执法架构。周汉华进一步指出,法律责任部分,个保法借鉴欧盟《通用数据保护条例》(GDPR),规定最高罚款为上一年度营业额的5%。对于此类罚款的执法部门,个保法将其限定为省级以上部门。“到底哪些部门可以,我们到实践当中再来逐步明确,这也和国际不一样。”
张新宝也关注到,对于互联网应用这几年发展带来的一些比较突出的新问题,个保法也做了规定。比如关于人脸识别的条文,以及关于个人信息自动化决策的两个条文,“是欧盟 GDPR里面没有单独规定的”。
上述不愿具名的法务所在企业有海外业务,他尤其关注个保法与海外法律的衔接。据他观察,个保法吸收了很多欧盟GDPR的管理要求,但一些特定的条款比如敏感个人信息处理、共享第三方数据时的单独同意“甚至可能比欧洲还要严一些”。
尽管个保法对企业,尤其是大型互联网企业提出了较高要求,但周汉华认为,像十几年前对欧盟立法“嗤之以鼻”,觉得会阻碍互联网发展,甚至反对制定个保法的企业不会再有了。
“有些企业已经越来越认识到,能够很好地保护用户个人信息本身就是核心竞争力。”他说,“有些大型企业,这些年已经从个人信息保护里面尝到甜头了,保护个人信息反而变成了他们的一种发展模式或者说产品输出。”
上述企业法务还关注到了个保法的一些创新之处。他坦言,个保法把监管部门也纳入监管范围超出了他的预期。“可能是因为我们的政府还是希望欧洲有一天能够认可我们的数据保护水平,然后把我们纳入充分信任的范围之内。”另一个亮点在于立法技巧--个保法针对某些国家可能出现的差异性对待措施,如数据跨境的限制,增加了必要的反制措施。
张新宝认为,通过加强网络法制建设来保护个人信息,规范处理后再合理利用,“我觉得正当其时。”他同时指出,未来个保法落地还需要很多配套细则。比如什么样的企业属于头部企业?提起公益诉讼的社会组织,它的目录和认定标准是什么?“这些问题都可能需要将来网信办做出规定。”
“徒法不足以自行。相较于立法,法律实施后能够落地,并且真正地改变人们的观念,有效地遏制各种违法现象,这是更大的挑战。”周汉华说。