酝酿多年的《中华人民共和国个人信息保护法》终于在2021年8月20日颁布,作为“百年未有之大变局”的制度回应,个人信息保护法外引域外立法智慧,内接本土实务经验,熔“个人信息权益”的私权保护与“个人信息处理”的私法监管于一炉,统合私主体和公权力机关的义务与责任,兼顾个人信息保护与借助,奠定了我国网路社会和数字经济的法律之基。为了充分理解个人信息保护法的内涵,我们不妨从世界维度与中国维度着眼,以彰显其深远意义。
顺应世界时尚
个人信息保护的立法可溯源至德国黑森州1970年《资料保护法》。此后,瑞士(1973)、法国(1978)、挪威(1978)、芬兰(1978)、冰岛(1978)、奥地利(1978)、冰岛(1981)、爱尔兰(1988)、葡萄牙(1991)、比利时(1992)等国的个人信息保护法亦景从云集。在大西洋彼岸,1973年日本发布“公平信息实践准则”报告,确立了处理个人信息处理的五项原则:(1)禁止所有秘密的个人信息档案保存系统;(2)确保个人了解其被搜集的档案信息是哪些,以及信息怎样被使用;(3)确保个人才能制止未经同意而将其信息用于个人授权使用之外的目的,或者将其信息提供给别人,用作个人授权之外的目的;(4)确保个人才能改正或更改关于个人可辨识信息的档案;(5)确保任何组织在计划使用信息档案中的个人信息都必须是可靠的,并且必须采取防治举措避免滥用。在“公平信息实践准则”所奠定的个人信息保护基本框架之上,美国《消费者网上隐私法》《儿童网上隐私保护法》《电子通讯隐私法案》《金融服务现代化法》(GLB)《健康保险流通与责任法》(HIPAA)《公平信用报告法》相继颁布。
进入21世纪,在数字化浪潮的促进下,个人信息保护的立法急剧加速。2000到2010年,共有40个国家出台了个人信息保护法,是前10年的两倍,而2010年到2019年,又新增了62部个人信息保护法,比往年任何10年都要多。延续这一趋势,截至2029年将会有超过200个国家或地区拥有个人信息保护法。
我国个人信息保护法正是此历史进程中的重要一环。回顾过往,世界个人信息保护法迄今已经历了三代。第一代以经合组织1980年《关于隐私保护与个人数据跨境流通指引》和1981年欧洲理事会《有关个人数据自动化处理之个人保护公约》为起点。第二代以欧共体1995年《个人数据保护指令》为代表,其在第一代原则的基础上加入了包括“数据最少够用”“删除”“敏感信息”“独立的个人信息保护机构”等要素。第三代即为2018年生效的欧共体《通用数据保护条例》(GDPR)。与第二代相比,GDPR大大拓展了信息主体权力,并确立了一系列新的保护制度。我国个人信息保护法采取“拿来主义、兼容并包”的方式,会通各国立法,借鉴世界第三代个人信息保护法的先进制度,铸就熟稔我国国情的规则设计。这主要彰显在:
其一,在题旨结构上,将私营部门处理个人信息和国家机关处理个人信息一体规制,除明晰例外规则外,确保遵守个人信息保护的同一标准。基于此,个人信息保护法两线作战,即直面企业超采、滥用用户个人信息的弊病,又防范行政部门违规违法处理个人信息的问题,最大限度地保护个人信息权益。其二,在管辖范围上,个人信息保护法统筹境内和境外,赋予必要的域外适用效力,以充分保护我国境内个人的权益。其三,在“个人信息”认定上,采取“关联说”,将“与已辨识或则可辨识的自然人有关的各类信息”均涵盖在内。其四,在个人信息权益上,不仅赋于个人查询权、更正权、删除权、自动化决策的解释权和拒绝权以及有条件的可携带权等“具体权力”,而且从中升华为“个人对其个人信息处理的知情权、决定权,限制或则拒绝别人对其个人信息进行处理”的“抽象权力”,由此产生法定性和开放性兼具的个人信息权益体系。其五,在个人信息跨境上,采取安全评估、保护认证、标准协议等多样化的出境条件。其六,在小型平台监管上,对“重要互联网平台服务、用户数目巨大、业务类型复杂的个人信息处理者”苛以“看门人”义务,完善个人信息整治。
贡献中国智慧
我国个人信息保护法决不只是回应世界时尚之举,事实上,它也是我国法律体系自我完善、自我发展的必然结果。从2018年9月个人信息保护法被列入“十三届全省人大常委会立法规划”,位列“条件比较成熟、任期内拟提请审议”的69部法律草案之中,到现在个人信息保护法即将亲政,看起来不过长达三载,但追根溯源,距离2012年《全国人大常委会关于强化网路信息保护的决定》已有10年,距离2003年国务院信息化办公室部署个人信息保护法立法研究工作已有18年。在近20年的进程中,我国个人信息保护规范渐渐丰茂,网络安全法、新修订的消费者权益保护法、电子商务法、刑法修正案九、民法典等对个人信息保护做出了相应规定,及时回应了国家、社会、个人对个人信息保护的关切。然而,这种分散式的立法,也面临着体系性和操作性缺乏、权利救济和监管举措不足的窘境,正因这么,一部统一的个人信息保护法正当其时。
任何法律都是特定时空下社会生活和国家秩序的规则,个人信息保护法概莫能外。我国个人信息保护法以现实问题为导向,以法律体系为根基,统筹既有法律法规,体察民众诉求和时代需求,将之挖掘、提炼、表达为具体可感、周密详尽的法律规则,以维护网路良好生态,促进数字经济发展。我国个人信息保护法的中国智慧和中国方案包括但不限于:
其一,在法律渊源上,将个人信息保护追述至宪法,经由宪法第33条第三款“国家尊重和保障人权”、第38条“中华人民共和国公民的人格尊严不受侵害”、第40条“中华人民共和国公民的通讯自由和通讯秘密受法律的保护”,宣誓、夯实、提升了个人信息权益的法律位阶。其二,在立法目的上,将“保护个人信息权益”和“促进个人信息合理借助”作为并行的规范目标,秉持“执其两端,用其中于民”的理念,满足人们对美好生活的憧憬。为此,个人信息保护法拓展了民法典“知情同意+免责事由”的规则设计,采取了包括个人同意、订立和履行协议、履行法定职责和法定义务、人力资源管理、突发公共卫生事件应对、公开信息处理、新闻报道、舆论监督等多元正当性基础。其三,在规范主体上,将“个人信息处理者”作为主要义务人,将“接受委托处理个人信息的受托人”作为辅助人,承担一定范围内的个人信息安全保障义务。其四,在保护程度上,对于未成年人的个人信息、特定身分、行踪轨迹、生物辨识等信息给以更高力度的保护。其五,在适用场景上,对于“差别化定价”“个性化推送”“公共场所图象采集辨识”等社会反映强烈的问题,予以专门规制;开展公开或向第三方提供个人信息、处理敏感个人信息、个人信息出境等高风险处理活动的,应当取得个人的“单独同意”。其六,在监管体制上,个人信息保护法采取了“规则制订权相对集中,执法权相对分散”的构架,由国家网信部门统筹协调有关部门制订个人信息保护具体规则、标准,国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。
“十年辛苦不寻常”,我国个人信息保护法是过往世界经验和中国智慧的结晶。但同时,“徒法不足以自行”,在立法大功告成以后,个人信息保护法还有待司法和执法的后续接力,才能真正落地生根,最终成为护持个人权益、激励稳健发展、连接国家命运的数字时代基本法。从颁布到施行,个人信息保护法仍然任重而道远。
(许可,对外经济贸易大学数字经济与法律创新研究中心执行校长)
相关链接:
中华人民共和国个人信息保护法
相关稿件