周友军:个人信息保护法来了:为数据利用流通上把“锁” | 前沿
2021年8月20日,我国《个人信息保护法》正式审议通过,并将于同年11月1日起施行。这一立法是我国个人信息保护法治的新篇章。
一、我国《个人信息保护法》的主要内容
(一)《个人信息保护法》的适用范围
《个人信息保护法》第4条第1款对“个人信息”作出了界定,即以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。这就明确了法人或非法人组织的信息,不属于本法的适用范围。同时,《个人信息保护法》第4条第1款明确了个人信息不包括匿名化处理后的信息。而依据本法第73条的规定,“匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。”本法将匿名化的信息排除在“个人信息”的概念之外,其主要意义在于,有助于数据的利用与流通。本法第72条第1款强调,“自然人因个人或家庭事务处理个人信息的,不适用本法。”这一规定借鉴了比较法上的经验,避免社会公众的日常生活因为《个人信息保护法》的颁行而受到较大的影响。
(二)《个人信息保护法》的域外效力
《个人信息保护法》第2条第1款明确了,“在中华人民共和国境内处理自然人个人信息的活动,适用本法。”这一规定确立了本法地域效力的基本规则,体现了主权原则和属地原则。同时,《个人信息保护法》借鉴《欧盟通用数据保护条例》的经验,将其适用适当扩张到中华人民共和国的境外。不过,这一扩张也是适度的,按照本法第3条第2款的规定,本法的境外适用必须如下三项条件之一:一是以向境内自然人提供产品或者服务为目的;二是分析、评估境内自然人的行为;三是法律、行政法规规定的其他情形。这一境外适用规则有利于保护我国公民的信息权益,也使我国在国际交往中保有主动权。与此规定相配合,本法第53条强调,“本法第三条第二款规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。”这一规定就使得本法第3条第2款的规定能够真正贯彻落实,而不会成为具文。
(三)个人信息处理的基本原则
个人信息的处理,包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。《个人信息保护法》第一章“总则”部分确立了个人信息处理的基本原则,具体来说,主要包括合法原则、正当原则、必要原则(即处理个人信息限于实现目的的最小范围)、诚信原则、质量原则(即要避免个人信息不准确或不完整)、安全原则(即保障个人信息的安全)。个人信息处理的基本原则,对于保障信息主体的合法权益具有十分重要的作用,也具有很强的现实针对性。例如,实践中App过度收集个人信息,这就需要贯彻必要原则。再如,实践中徐玉玉事件、顾客住店信息泄露事件等,也都要求贯彻安全原则。这些基本原则被规定在“总则”一章,也说明整部《个人信息保护法》要贯彻这些基本原则的要求。
(四)个人信息处理的告知同意原则及其例外
个人信息处理的合法原则要求,个人信息处理原则上应当得到信息主体的同意,而且,必须是在信息主体被充分告知以后的自愿同意。所以,《个人信息保护法》就告知同意规则作出了详细的规定。首先,本法强调了信息处理者必须要充分告知,第17条规定,其告知的内容包括:个人信息处理者的名称或者姓名和联系方式;个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;个人行使本法规定权利的方式和程序;法律、行政法规规定应当告知的其他事项。而且,这些事项发生变更的,还应当将变更部分告知个人。例如,购物平台要收集、使用消费者的个人信息,就必须消费者处理个人信息的目的、方式,保存多长时间,消费者享有哪些权利等等。信息主体的同意原则上应当是自愿的、明确的同意。特殊情况下,法律、行政法规还可以规定,要取得个人信息主体的单独同意或书面同意。例如,就敏感个人信息的同意,本法就强调必须取得信息主体的单独同意。而且,如果个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意(第14条)。本法第15条还特别强调,基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。例如,具有导航功能的App,曾获得消费者授权,使用其位置信息,但是,应当提供便捷的方式允许消费者撤回其同意。本法第13条还规定了,在个人信息处理中告知同意规则的例外,具体来说包括如下六种情形:一是为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需。二是为履行法定职责或者法定义务所必需。例如,公安机关为了抓捕犯罪嫌疑人而处理其个人信息。三是为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需。例如,为了应对突发的新冠疫情而处理个人信息。四是为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息。例如,新闻媒体为了报道重要的新闻事件而在合理范围内收集事件当事人的个人信息。五是依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息。六是法律、行政法规规定的其他情形。
(五)敏感个人信息处理的特别规则
敏感个人信息是个人信息中的重要类型,需要受到特别的保护。《个人信息保护法》第28条第1款对“敏感个人信息”的内涵作出界定,即一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。同时,列举了主要的敏感个人信息,包括:生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹、不满十四周岁未成年人的个人信息。例如,人脸信息就属于生物识别信息,如果企业安装了人脸识别设备,就要将其作为敏感个人信息来对待。针对敏感个人信息,本法强调,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息(第28条第2款)。这就对敏感个人信息处理的目的提出了特别的要求,而且,要求处理此类信息要采取较之于一般个人信息更严格的保护措施。例如,网约车平台处理了消费者的行踪信息,就应当采取更严格的保护措施,避免信息泄露等。另外,本法要求,处理敏感个人信息原则上,应当取得个人的单独同意(第29条)。这就是说,不能采取一揽子同意等方式取得信息主体的同意。在例外情况下,法律、行政法规还可以规定处理敏感个人信息应当取得书面同意。为了贯彻《宪法》和《未成年人保护法》等确立的未成年人利益最大化原则,《个人信息保护法》将不满十四周岁的未成年人的信息作为敏感个人信息对待。与此相应,本法第31条第1款强调,处理不满十四周岁未成年人的个人信息,必须要征得其父母或者其他监护人的同意。这主要是考虑到不满十四周岁的未成年人,属于无民事行为能力人或者限制民事行为能力人,其对于个人信息处理的可能后果无法作出非常理性的判断,因此,需要引入其监护人的同意,以保护这些未成年人。
(六)国家机关处理个人信息的特别规则
在我国,国家机关为了履行法定职责,也要处理个人信息。例如,公安机关为了办理户籍登记就要处理大量公民的个人信息,包括个人敏感信息。本法专设一节对国家机关处理个人信息作出规定,这反映了本法要对国家机关的行为进行约束,同样适用本法关于个人信息处理者的规则,以强化对个人信息的保护。同时,本法也明确了,国家机关处理个人信息时的特别规则。本法特别强调,国家机关处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度(第34条)。例如,教育管理机关处理学生的个人信息,就应当限于其教育管理职责的范围之内,不能逾越其职权范围。国家机关处理个人信息,也要遵守本法确立的告知同意规则,除非有本法规定的告知同意的例外情形,或者告知将妨碍国家机关履行法定职责(第35条)。此外,本法特别强调,国家机关处理的个人信息应当在我国境内存储;确需向境外提供的,应当进行安全评估(第36条)。这就对国家机关处理的个人信息的存储和向境外流动作出了特别的规定。
(七)个人信息跨境流动的规则
在经济全球化的背景下,个人信息跨境流动日益频繁。为了保护我国个人信息主体的权益,也是为了保障国家安全,本法规定了比较严格的个人信息跨境流动规则。通常来说,向我国境外提供个人信息的,应当具备下列四项条件之一:一是依照本法第四十条的规定通过国家网信部门组织的安全评估;二是按照国家网信部门的规定经专业机构进行个人信息保护认证;三是按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;四是法律、行政法规或者国家网信部门规定的其他条件。这里的“标准合同”制度是一项很新颖的制度。另外,本法还强调,个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准(第38条)。这就是说,境外接收方必须要按照本法规定的标准来保护我国信息主体的权益。当然,本法也强调,国际条约和国际协定可以作出不同于本法的安排(第38条第2款)。本法还强调,在向境外提供个人信息时,必须取得信息主体的单独同意(第39条)。而且,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,确需向境外提供的,应当通过国家网信部门组织的安全评估(第40条)。这就对这两类主体作出了更严格的限制。在实践中,外国法院或行政机关有时会要求个人信息处理者提供我国信息主体的信息。例如,外国法院要求跨境电商平台提供消费者的个人信息。为了解决这一问题,本法第41条强调,我国主管机关根据有关法律和我国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经我国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于我国境内的个人信息。
(八)个人信息主体的权利
《个人信息保护法》第1条明确地使用了“个人信息权益”的概念,同时,本法第四章又详细规定了个人信息主体所享有的权利,包括:知情权、决定权、查阅权、复制权、可携带权、更正权、补充权、删除权。此次规定的可携带权,是借鉴《欧盟通用数据保护条例》的经验。依据本法第45条第2款的规定,“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。”这一规定是为了强化信息主体对其个人信息的控制权。此外,为了加强对死者个人信息的权利,本法第49条特别强调,“自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。”这一规定首先强调对死者意愿的尊重,如死者生前在遗嘱中或者在与网络平台的协议中约定了不得由近亲属查询的,则不得查询。同时,本条强调近亲属查询、复制等必须是为了近亲属自身的合法、正当的利益。例如,近亲属为了处理与继承相关的债务清偿问题,而需要查询死者生前的银行转账信息。而且,本条在适用中也应当考虑到死者隐私的保护。
(九)个人信息处理者的义务
个人信息处理者必须保障个人信息的安全,这是本法第9条所确立的安全原则的要求。本法第五章专门规定了个人信息处理者的义务,这对于保障个人信息权益具有重要意义。《个人信息保护法》特别重视个人信息处理者的制度建设,要求其完善制度以保证信息主体的权益。本法第55条要求采取如下措施以保障个人信息的安全,主要包括:制定内部管理制度和操作规程;对个人信息实行分类管理;采取相应的加密、去标识化等安全技术措施;合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;制定并组织实施个人信息安全事件应急预案。例如,企业为了考勤的需要,要求员工进行电子打卡,并掌握了员工的行踪信息,对此就要制定很严格的企业管理制度,避免员工行踪信息泄露。本法第55条明确了,个人信息处理者在特定情况下,应当进行事先的影响评估。这包括五种情形:一是处理敏感个人信息;二是利用个人信息进行自动化决策;三是委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;四是向境外提供个人信息;五是其他对个人权益有重大影响的个人信息处理活动。例如,某企业要处理他人的健康信息,因为属于敏感个人信息,就需要事先进行影响评估。在个人信息发生或者可能发生个人信息泄露、篡改、丢失的情况下,本法第57条要求,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。例如,酒店发生其顾客入住信息被黑客攻击的事件,酒店就应当立即采取措施,并通知监管机关和信息主体。此外,针对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,本法第58条还要求一些特殊的义务。例如,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。再如,对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务。这就对一些大型的互联网平台企业提出了更高的要求,这一规定具有明显的现实针对性。
(十)履行个人信息保护职责的部门
《个人信息保护法》第六章明确了,我国负责个人信息保护与监督管理工作的部门。总体上,本章的规定既尊重了既有的国家机关职责分工,又注重统筹协调。本法第60条明确了,国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。例如,教育部负责教育领域的个人信息保护和监督管理工作,同时,国家网信办负责统筹协调。同时,本法明确了,履行个人信息保护职责的部门其负有的职责,如接受、处理与个人信息保护有关的投诉、举报;调查、处理违法个人信息处理活动等(第61条)。同时,明确了,履行个人信息保护职责部门享有的职权。例如,调查与个人信息处理活动有关的情况。再如,实施现场检查,对涉嫌违法的个人信息处理活动进行调查(第63条)。这些职权的赋予,有助于履行个人信息保护职责的部门查清违法行为,保护个人信息权益。
(十一)违反个人信息保护义务的法律责任
我国《个人信息保护法》是比较严格的法律,这尤其体现在,违反本法规定要承担非常严格的行政责任。本法第66条第2款规定,有本法规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。同时,本条还强调对直接负责的人员的处罚,即对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。考虑到本条规定的责任很重,所以,限定了执法机关为“省级以上履行个人信息保护职责的部门”,以避免行政处罚权的滥用。就侵害个人信息的侵权责任,本法明确了其为过错推定责任。而且,受害人主张损害赔偿时,可以按照个人因此受到的损失或者个人信息处理者因此获得的利益确定(第69条)。法律之所以,要求个人信息处理者承担过错推定责任,是考虑到它们距离证据更近,而信息主体往往很难证明个人信息处理者的过错。此外,本法还增设了公益诉讼制度,以更好地保护信息主体的权益。本法明确了,个人信息处理者违反法律规定,侵害众多个人的信息权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼(第70条)。
二、我国《个人信息保护法》的重要意义
概括而言,《个人信息保护法》具有如下重要意义:
第一,确立个人信息保护的基本法。
随着现代科技的发展,尤其是社交网络、大数据、人脸识别、自动驾驶、人工智能等科技的发展,个人信息受到侵害的风险也日益增加,也需要强化对个人信息的保护。在《个人信息保护法》颁行之前,我国已经有一些法律对个人信息保护作出了回应。《网络安全法》、《电子商务法》、《未成年人保护法》、《消费者权益保护法》等法律,都从不同的侧面对个人信息保护作出了规定。《个人信息保护法》以领域法的面目出现,是包含了公法规范和私法规范的综合性法律和基础性法律。作为个人信息保护的基本法,本法确立了个人信息保护的基础性制度,提升了个人信息保护制度的系统性。
第二,保障数字经济的健康发展。
数据是信息社会的“石油”,数据是数字经济的生产要素。通过立法强化对个人信息的保护,在此基础上在推动数据的合理使用,这是数字经济健康发展的必然要求。《个人信息保护法》总结了我国的立法和实践经验,借鉴了域外的立法经验(如《欧盟通用数据保护条例》),强调在严格保护个人信息基础上,规范数据的利用与流通,为数字经济的发展奠定良好的制度基础。可以说,《个人信息保护法》也与《网络安全法》、《数据安全法》一起,形成我国数字经济法治的三驾马车,共同构建了数字经济的基础性法律制度。
第三,提供数据治理的中国方案。
放眼世界,各国都在探索数据治理的方案。欧盟、美国都在寻找适合其自身的制度方案。《欧盟通用数据保护条例》就比较注重个人信息权益的保护,而美国则比较注重数据的流动和利用。在全球的数字经济中,我国占有非常重要的地位。《个人信息保护法》结合我国实际,既注重个人信息的保护,也注重保护个人信息和促进数据流通之间的平衡,探索了数据治理的中国方案。