专访周汉华:个人信息保护法未单设独立执法机构“有点遗憾”
人物简介:
周汉华,法律学者, 中国社会科学院法学研究所副所长。中国社会科学院研究生院教授、博士生导师。
曾起草《个人信息保护法(专家建议稿)》《国家信息网络专项立法规划2014-2020(建议)》,是最早开始个人信息保护立法研究的专家之一。
曾参与《 行政诉讼法》、《 行政复议法》、《国家赔偿法》等的立法咨询工作。
中国社会科学院法学研究所副所长周汉华
“要说有什么具体案例让我印象深刻,排第一的肯定就是徐玉玉案。个人信息保护相关的立法其实也都和徐玉玉案有关系。”中国社会科学院法学研究所副所长周汉华说。
周汉华近20年间持续研究和推动个人信息保护立法,是该领域的核心专家。早在2005年,他就领衔中国社会科学院法学研究所个人信息数据保护法研究课题组形成了最早的个人信息保护法专家意见稿之一。
在个人信息保护法出台之际,周汉华接受了南都记者的专访。他表示,个人信息保护法的立法借鉴了国际经验,也保留了自身特色。他同时强调,法律出台固然重要,但是这部法律如何真正落地,更是需要大家关注的问题。
南都:2003年你开始研究个人信息保护立法的时候,社会环境跟现在相比是不是差别挺大的?
周汉华:对。那个时候没进入移动互联网时代,所以有些基本概念那个时候很少提,比如大数据、云计算这些。我们还开玩笑说,云计算和物联网是“云里雾里”。不像现在,云计算已经成为一种核心竞争力了。
大概是2010年之后,我们进入一个高速的移动互联网时代,尤其智能手机改变了整个互联网的生态。所以当今保护个人信息面临的挑战要比03年传统互联网时代的时候更大。
无论是智能手机还是可穿戴设备,只要你带着这个终端,那么你的所有信息可能就实时地处于各种App的分析和监控之下。这种个人数据的用户画像能力、监控能力,远远超出移动互联网时代之前。
南都:你曾在论文里提到,互联网的出现使传统法制在许多方面不再适应社会发展的需要。就个人信息保护领域来说,互联网造成的冲击和挑战是什么?
周汉华:这个冲击很明显。在网络时代,信息的价值得到凸显,整个数字经济的核心都是建立在个人数据的处理和分析之上的。一方面,它为互联网用户提供超出预期的服务和体验,但是另一方面,互联网企业之所以能够提供超出预期的服务,是因为掌握了大量的用户信息。
一旦这些信息被滥用,轻的可能出现“大数据杀熟”这些现象,重的来说就会对消费者的人身权、财产权、人格权,甚至对国家的经济安全带来前所未有的挑战,这也是各国都面临的挑战。应该说,没有任何一个其他的挑战比这个挑战更大。
南都:这些年间发生了不少影响很大的社会事件。它们是不是也推动了个人信息保护的立法进程?
周汉华:是的。要是说有什么个人信息保护方面的具体案例让我印象深刻,排第一的肯定就是徐玉玉案。虽然这是坏事,但这个案件确实极大地推动了我们对个人信息保护的重视,相关的立法其实也都和徐玉玉案有关系。
周汉华:比如说三审稿才在第一条新增的“根据宪法”。这几个字有非常重大的意义。它表明个保法的立法依据是我国宪法规定的“公民的人格尊严与自由不受侵犯”,个保法也是个人信息保护领域的基本法。
也就是说,如果出现和其他个人信息保护相关法律规定冲突的情况,应该优先适用个保法。原来还有观点认为,个保法是民法的特别法,写上了根据宪法,其实就间接地回应了这个问题。
不过从适用的对象上来看,个保法和最初的建议稿没有实质性的差别。当年也是希望把政府机关和市场主体一并纳入规范的对象,现在其实还是坚持了这个原则。
南都:个保法审议过程中,哪些条款的争议比较大?
周汉华:比如死者个人信息权的问题。个保法能否按照民法典对死者人格权的保护方式来写?大家对这个有比较大的争议。应该说大部分的学者都认为个人信息权本质上是一项控制权,是一项积极的权利,死了之后应该是原则上就不能行使。
但积极保护死者的权利也是一个立法亮点。所以最后出台的版本做了一些条件限定。否则让生者来行使死者的权利,比如把微信号给复活了继续发微信,那还不把人给吓死了?
“守门人”条款也有争议。这一条对大型互联网平台提出了要求,比如成立主要由外部成员组成的独立机构进行监督;对严重违反法律、行政法规处理个人信息的平台内的产品或服务提供者,停止提供服务;定期发布个人信息保护社会责任报告等等。
去年以来,反垄断、防止资本无序扩张成为一条非常明显的主线,加强对互联网平台的治理已经成为全球共识。这种情况下,个保法加入守门人条款是有它的必然性的。
但是怎么来把它制定得更好?我的观点很明确,就是尽早启动制定平台法,专门来规范平台的行为。国际上这个方面的动作也是非常快的,像欧盟的《数字市场法》,美国也有学者提出制定平台法。我觉得守门人条款更多的是一种宣誓性意义,在实践当中能起多大作用,还要拭目以待。
南都:个保法主要规范的是个人信息处理者,所有互联网企业都被包括在内。在立法过程中,有没有来自互联网企业的阻力?
周汉华:我们在03年、05年建议制定个人信息保护法的时候,确实有些企业反对。当时欧盟已经出台了《个人数据保护指令》,有些企业专家对欧盟的做法嗤之以鼻,说“你看现在就欧盟在干这个事儿,最后欧盟的企业都发展不了。”觉得我们也不应该制定个人信息保护法。
但是现在很多企业已经越来越认识到,在网络环境下能够很好地保护用户的个人信息,本身就是核心竞争力,能宣传你的市场品牌,增加你的信誉。而且有些大型企业已经从个人信息保护里边尝到甜头了,甚至把它作为一种产品输出。所以我现在没有感受到企业的阻力了。
不全按国际经验,自身特色也明显
南都:国内外的个人信息保护立法现状如何?
周汉华:在个人信息保护立法上,国际上比我们走得更快。现在已经有130多个国家或国际组织都制定了个人信息保护相关的专门法律,有的还设立了统一权威的个人信息保护执法机构。
所以国际上对个人信息保护的认识,应该说一直是非常明确的、高度一致的,执法力度也是非常大的,这也是我们立法当中借鉴国际经验的一个方面。网络时代怎么规范个人信息处理活动,怎么同时又让个人信息更好地为经济社会发展赋能增效,这是各国面临的共同问题。
所以在个保法的立法和相关制度建设上,国际上有很多类似的地方值得借鉴。比如美国的《加州消费者隐私法案》,明显受到了欧盟《通用数据保护条例》(GDPR)的影响。所以国际经验肯定是有共通性的,这也是未来国际上构筑一个共同的法律体系的基础。当然,我们不可能全都按照国际经验来,根据国情和发展阶段,我们自己的特色也很明显。
南都:“我们自己的特色”体现在哪些条款里?
周汉华:比如说对敏感信息的界定,我们是把行踪信息、金融信息、14岁以下未成年人的个人信息都归入敏感个人信息。另外对于合规审计,我们专门规定从事高风险的个人信息处理活动,我们要进行影响评估。
另外还有法律责任部分。虽然说最高罚款可达上一年度营业额的5%这一点借鉴了GDPR,但没有特别明确执行处罚权的主体,只说是省级以上的部门。省级以上这么多部门,到底是哪个部门?我们到实践当中再来逐步明确,这点也和国际做法不一样。因为有时候我们的立法会写得原则一点,实施之后再出台司法解释进一步完善。
还有履行个人信息保护职能的机构。现在国际上更多的是设立统一机构,但个保法规定的是网信部门与相关部门。当然这个在立法中有不同意见,我们也建议要设立统一的执法机构,但是最后没有被采纳,那就按照我们自己的特点,对吧?
未能单设统一执法机构“有点遗憾”
南都:个人信息保护执法“九龙治水”的现象一直存在。像你刚刚提到建议单设统一独立机构的问题,这几年业界的呼声也很高。个保法出台之后,你还会继续推动吗?
周汉华:这一次立法当中我们反复呼吁,希望增加独立的监管机构,但是最后没能实现。我们说哪怕设一个部委管理的国家局也可以,结果这个建议也没实现。
背后原因比较复杂。第一个就是我们的立法一般不和机构挂钩,政府机构的职能配置问题主要由三定方案来解决。再一个就是这几年中央的“严控机构”,克强总理还专门宣布了本届政府编制只减不增,所以现在要增设新的机构难度非常大。
应该说是有一点遗憾,但是事情都是一步一步来的,法律出来之后没准儿还可以推动,再争取呗。
南都:研究个人信息保护近20年,现在法律终于出台,你是什么心情?
周汉华:作为一个研究个人信息保护法这么多年的人,其实更多的是一种不确定。
其实个保法出台了,大家现在都挺高兴的。徒法不足以自行,如果大家在执法上没有共同的努力,可能法律实施的效果并不理想,这在一些领域法中也不是罕见的现象。法律出台固然重要,但是这部法律怎么能够真正落地,这更是需要大家关注的问题。