龙卫球:《个人信息保护法》的基本法定位与保护功能——基于新法体系形成及其展开的分析
龙卫球摘 要:《个人信息保护法》不仅奠定了我国个人信息保护的新法基础,而且也成为数字化背景下的一部基础性立法。要真正理解和实施好这部新法,必须准确把握其体系逻辑以及与其他基本法律的关系。从实证角度而论,可依据双重基础观来解读这部新法的体系形成基础与主要诉求。一个是将该法作为与刑民基本法具有并存交叉地位的领域基本法而设计的基础视角。由此入手可正确理解其作为新兴领域基本法的规范意义及与相关基本法特别是《民法典》的适用关系。另一个是为实现保护功能而预设的基础视角。数字化背景下兴起的个人信息保护问题具有前所未有的复杂性,不能简单通过既有部门法路径加以因应,需要建立更加复杂的超越自主管理的多元治理保护系统,尤其需要针对自主管理失灵进行体系改进和提升,包括加强和完善具体行为治理规范,在必要范围内引入有强度的积极管理和严厉的特殊法律责任等外部治理新机制。通过上述双重视角,才能够更加全面地认识这部新法的基础意义和独特作用,确保在该法的实施和解释中把握住其内核和精髓。
关键词:个人信息保护法;双重基础;基本法;保护功能;自主管理
一、导言:《个人信息保护法》作为数字化时代重要的现实立法
《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)于2021年8月20日颁布,贴合了我国数字化发展背景下每个人最直接最现实的利益保护需要。个人信息本身是网络信息化时代开始凸显的一种新型的颇具基础性的重要个人利益。早在2020年10月13日提请首次审议时,《关于〈中华人民共和国个人信息保护法(草案)〉的说明》(以下简称《关于〈个人信息保护法(草案)〉的说明》)就指出,“在信息化时代,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一”,“制定一部个人信息保护方面的专门法律,将广大人民群众的个人信息权益实现好、维护好、发展好,具有重要意义”。可见,《个人信息保护法》是我国置身数字化时代不可或缺的一项基础性立法。
《个人信息保护法》在整个网络信息法律体系中占据最基础的位置,个人信息保护在网络领域应优先受到关注,是网络信息领域法律形成和发展的重要体现。我国在《个人信息保护法》出台之前就制定了《网络安全法》《电子商务法》《数据安全法》等法律,这些法律体现了网络信息空间不同的规范重点,但都没有成为网络信息领域法律的体系基础,《个人信息保护法》的出台才填补了这个空白。虽然对网络信息空间的言论自由、网络安全、知识产权、电子商务等利益的保护和规制也应是网络空间的规范重点,但从人本主义角度出发,由于个人信息保护的需要最为基础,所以《个人信息保护法》是最重要、最必要的法律。
认识《个人信息保护法》的基础意义,必须紧贴数字化时代背景,把握其蕴含的最基本需求和根本矛盾。近十年来,随着网络信息科技的颠覆性发展,互联网从简单信息化阶段过渡到复杂数字化阶段,大数据成为了我们世界最主要的特点之一。早期互联网追求的是信息交互意义上的互联互通,当下互联网则更加追求基于移动手机、大数据、云计算、人工智能、物联网等新技术的数字资源化实践演化出的数字经济、数字社会和数字管理的繁荣前景。一方面,数据变得极其重要,世界大国开始围绕数据展开博弈,数据资源成为新的战略资源,大数据战略上升为国家战略,我国也不例外;另一方面,大数据战略驱动下的网络和数字的创新和应用,也衍生出层出不穷的问题,其中显著问题之一就是数字化发展和个人信息保护日益陷入复杂的矛盾关系。个人信息因数字化发展得以大量显现和形成,并因其具有极高数据化价值而备受产业和管理机构的青睐,但同时也伴生了大量的对个人的负面效应,特别是未经同意的个人信息处理和愈演愈烈的滥用行为对个人带来的损害或风险。著名隐私和个人信息法专家丹尼尔·索罗夫(Daniel J. Solove)和保罗·斯瓦茨(Paul M. Schwartz)指出,“我们生活在一个由技术形塑和信息推动的世界,技术设备——如移动电话、视频和音频记录设备、计算机和互联网——已经彻底改变了我们捕捉世界信息和相互沟通的能力。信息是当今社会的生命线。我们的日常活动越来越多地涉及信息的传递和记录。政府在与个人出生、婚姻、财产、法院诉讼、机动车辆、投票活动、犯罪违规、专业许可和其他活动中记录并收集了大量的个人信息。私营部门还建立了庞大的个人信息数据库,用于营销或准备信用记录……这些新技术,加上政府和企业越来越多地使用个人信息,对隐私保护提出了新的挑战。”换言之,个人信息对个人具有越来越重大的利益,个人信息也因此需要一种全新的保护。
在此背景下,重视个人信息保护,将个人信息保护立法确立为一种新型领域立法,并系统性地加以规定,逐渐成为数字化时代法律的新发展趋势。据不完全统计,从上世纪70年代至今,有关国际组织和欧盟等先后出台了关于个人信息保护的准则、指导原则和法规,全世界有140多个国家或地区出台了关于个人信息保护的法律。其中,欧盟、日本、美国的个人信息保护立法最受关注,影响较大。欧盟和日本呈现出制定个人信息保护综合基本法的趋势,而美国个人信息保护的立法发展虽然也非常显著,但是从制定法而言,美国联邦层面因受到自身立法体制影响,目前仍然是碎片化地推进,不过州法出现了制定综合基本法的趋势。与相关国家或地区相比,我国《个人信息保护法》似乎有些姗姗来迟。究其原因,不是我们忽视个人信息保护的重要性,而是我国更追求水到渠成的效果。正如全国人民代表大会宪法和法律委员会在《关于〈中华人民共和国个人信息保护法(草案)〉审议结果的报告》(以下简称《关于〈个人信息保护法(草案)〉审议结果报告》)中所言:“为加强个人信息保护,维护人民群众在网络空间的合法权益,并促进信息合理利用,制定本法是必要的,草案经过两次审议修改,已经比较成熟。”此前,我国也存在应对数字经济采取谨慎立法的呼声,希望以包容创新、渐进规范的做法,给予网络和数字创新必要的窗口期。一种颇具代表性的观点认为,尽管加强个人信息保护已经成为社会共识,但个人信息保护极具争议,其基本理论问题难以定论,因此应当保持立法上的谨慎。上述呼声反映到个人信息保护上,就是希望立法不要过于严格,而应当在充分甚至优先支持网络数字化快速繁荣的条件下处理个人信息保护的需求。
此次《个人信息保护法》的面世,意味着我国对数字化背景下个人信息保护的要求、范围、方式等做出了重要且系统的立法决断。当然,此前在对个人信息保护系统立法存在犹豫的情况下,我国仍针对现实突出的、亟待解决的个人信息保护问题不断适时修改或者制定相关法律,阶段性地跟进,在刑法、民法等基本法方面,都作出了相应的规定。刑事立法方面,2009年通过的《刑法修正案(七)》增加了第253条之一,规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪两
个罪名;2015年通过的《刑法修正案(九)》第17条对刑法第253条之一再次修改,取消了原来的两个罪名,确立了侵犯公民个人信息罪。民事立法方面,2020年5月28日出台的《民法典》,在第一编“总则”第111条明确规定个人信息受法律保护,同时在第四编“人格权”第六章专章规定“隐私权和个人信息保护”,确立了个人信息保护的基本私法制度。比较重要的涉及个人信息保护的专门立法,则包括2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》、2016年《网络安全法》、2018年《电子商务法》、2021年《数据安全法》等。
新出台的《个人信息保护法》具有划时代的意义,其与此前阶段性的努力存在重要差异。《关于〈个人信息保护法(草案)〉的说明》第一部分“制定本法的必要性”第三点对此进行了充分说明。详言之,即不再只突出支持数字化创新发展,而是明确以“促进数字经济健康发展”为目标,要求“应当统筹个人信息保护与利用,通过立法建立权责明确、保护有效、利用规范的制度规则,在保障个人信息权益的基础上,促进信息数据依法合理有效利用”,实现了从促进数字化创新发展到个人信息保护与利用并重的重要跨越。那么,应当如何解读这部立法做出的重要跨越呢?或者说如何准确认识它的基本体系和主要制度呢?与过去比较,有哪些重要的发展和变化?与其他国家比较又存在哪些重要的相同和不同之处呢?就此可谓仁者见仁,智者见智。本文拟从《个人信息保护法》的定位、功能预设等角度对其加以审视,旨在彰显其主要体系的基础,并借此反映法律体系及其功能正在发生的急剧演化历程。
二、《个人信息保护法》的基本法定位及其与《民法典》的关系
(一)作为与其他基本法具有并存地位的新型领域基本法
《个人信息保护法》第1条开宗明义地规定了自己的基本宗旨和制定根据,“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法”。这一宣示明确将《个人信息保护法》定位为个人信息新型领域的专门法暨基本法。
首先,该法的基本宗旨明确了其是个人信息领域的专门法,即属于“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用”的法律。个人信息领域是否具有制定专门法的必要,过去并非没有争议。网络立法早期,美国曾经出现过所谓的“马法之争”,以知名学者因斯布鲁克(Frank H. Easterbrook)为代表的一种观点认为,对网络领域像劳动法那样进行专门立法毫无必要,无论是从调整对象还是调整手段上看,网络法都不具备成为独立法律部门的条件,所谓网络法不过是将相关部门法的某些部分合起来罢了。这种观点遭到了网络法领域学者的反对,后者更有力地论证了网络法单独立法的必要性。后种观点认为,网络空间是一个正在快速成长的特殊空间,涌现出许多传统领域所不具有但又经常出现的法律问题,传统法律并不能调整,因此应该将网络法创设为一个新的有机整体,而不能是宪法、民事诉讼法、合同法以及行政法等法律法规中的相关内容的简单混合。随着大数据背景下信息化、数字化的不断发展,个人信息保护等问题作为需要规制的新型问题显示出越来越迫切而重大的独立立法需求,上述争议才逐渐消失了。现在,各国已不再犹豫是否出台包括个人信息保护法在内的网络信息立法,需要考虑的已变成应该如何确保相关专门立法具有适时性和合理性等新问题。欧盟在2000年的《基本权利宪章》专门设定第8条,赋予个人数据保护具有独立基本权利的品格,甚至为个人信息保护确立了宪法上的直接依据,并在此基础上制定了专门的《欧盟一般数据保护条例》(以下简称GDPR)。美国联邦和州的法律实践则采取了积极解释宪法并将其作为个人信息保护基础的做法,主流观点和判例认为美国联邦宪法第四修正案体现的隐私权应当包括对个人信息的保护,可以将个人信息归入信息隐私的范畴。我国2020年出台的《民法典》,以追求合乎“时代性”为要求,在第四编“人格权”第六章创设“个人信息保护”,确立了有关个人信息保护的基本私法制度,但很快发现依靠部门法对个人信息保护进行调整存在巨大不足,无论是从调整对象还是调整方法上看,都有必要针对个人信息保护制定一部专门的更加系统的法律,为此我国又出台了《个人信息保护法》。可见,《个人信息保护法》是对个人信息保护这一新型领域独立立法需求的积极回应。
其次,该条明确规定“根据宪法,制定本法”,这是我国现行网络法律中唯一一部直接表明“根据宪法”制定的法律。此处“根据宪法”的表述,不仅具有程序意义,而且也具有实质意义。全国人民代表大会宪法和法律委员在《关于〈个人信息保护法(草案)〉审议结果报告》中做出了说明,指出个人信息保护法直接依据于《宪法》所确立的保障公民的人格尊严和其他权益的要求,即国家尊重和保障人权、公民的人格尊严不受侵犯、公民的通信自由和通信秘密受法律保护三项规定。这表明,该法不仅是个人信息保护领域的基本法,也是整个网络信息法律体系的基本法,同时也是与刑法、民法等基本法具有并存地位的基本法。在立法过程中,有过关于个人信息保护法与现行刑法、民法关系的讨论。有观点建议将之设计为民法典的单行法,作为《民法典》中有关个人信息保护基本私法制度的具体化法律。但相反的观点认为,个人信息保护法是崭新的法律部门,作为正在兴起的网络信息法的核心组成部分,不能将《个人信息保护法》简单地理解为《民法典》的下位法,个人信息保护与人格权保护是两个不同的问题,“将传统的人格权理论和制度套用到个人信息保护领域,必然出现各种不适配问题”,“只有科学认识这两部法律的关系,才能使个人信息保护法针对信息时代个人信息保护所面临的现实问题,设计相应有针对性的制度,而不是被传统民事法律制度所束缚”。《个人信息保护法》放弃了作为《民法典》下位单行法的定位,通过直接标示“根据宪法,制定本法”,将自身设定为与刑法、民法基本法具有同等地位的个人信息保护领域的基本法。由此,《个人信息保护法》和刑民基本法形成一种并存交叉关系,而非隶属关系。《个人信息保护法》与刑民基本法之间的相互关系,不能通过一般法和特殊法的模式来处理,而应通过相互的转介条款来进行指引或衔接。
在此意义上,《个人信息保护法》对现行法律体系具有一种不可忽视的新的体系建构作用,并形成了重要的体系发展。首先,这意味着在数字化时代,我们既有的法律体系发展出一个新的独立部分,即个人信息保护法以及以之为基础的网络法。在该独立法域,《个人信息保护法》居于最基础的地位,比《网络安全法》《电子商务法》《数据安全法》等其他网络法律具有更高的地位,其不仅仅是个人信息保护领域的基本法,也是整个网络信息法或者网络空间法的基本法。作为领域基本法,它与其他网络法律的关系,既有一般法与特殊法的关系,也有新法与旧法的关系,还存在上位法与下位法的关系。其次,这也意味着在数字化时代,个人信息保护法作为本领域基本法,具有独立地位,与刑民基本法具有平等的法律地位,不能被看成是这些基本法的下位法。它虽然与刑法、民法难免发生交叉关系,但是其作为独立法律的核心内容,即体现在《个人信息保护法》中的主要制度,却是根源于自身领域的特殊规范需求,体现着自身特殊的调整特点,有自己独立的范畴和逻辑诉求。
(二)作为新型领域基本法与《民法典》相关规定的体系关系
《民法典》作为我国当前法律体系中唯一一部冠以“法典”之名的民事基本法,《个人信息保护法》必须对其予以充分尊重。这不仅是法律之间必须保持基本协调之要求,也是由《民法典》“固根本、稳预期、利长远的基础性法律”地位所决定的。事实上,《个人信息保护法》在起草过程中,就已经与《民法典》的相关规定进行了一定程度的协调。但是又应当注意,《个人信息保护法》是“根据宪法”制定的具有基本法地位的法律,应当维护其独立地位,在充分尊重民法典而对相关规定进行协调的同时,也必须明确这种尊重是有限度的,不得违背并存关系的基本要求。
首先,作为并存的基本法,两部法律在适用于相同主题事项上时应该保持体系融贯。这种融贯的基础不是依据一般法与特殊单行法的关系,而是以二者之间的并存地位为基础,二者的立法与适用应平等协调、互为补充。《民法典》对个人信息保护作出了基本规定,我们可以将之定性为关于个人信息保护的基本民事制度,主要体现在第一编“总则”第五章“民事权利”的第111条、第127条和第四编“人格权”第六章“隐私权和个人信息保护”的有关规定。《民法典》原本计划从人格权益角度确立个人信息保护制度,但在“个人信息保护”名义下,第六章第1034条到1039条的规范内容却包括了关于个人信息的权利、个人信息处理者的义务以及相关处理行为规范、免责事由和国家机关等具有公共职能主体的特殊义务。从体系角度而言,《民法典》第六章相关基础规范没有特殊规定的,都要回溯到人格权和民事权利的一般规定加以补全,相关民事责任和保护方式没有特殊规范的,则要与侵权责任编相关规定和民事责任的一般规定相衔接。具体而言:
其一,应注意《民法典》提出了将个人信息保护和数据保护并置的原则思路(第111条和第127条)。这些在《个人信息保护法》中并没有被排除,在适用中也应该成为个人信息保护的更高体系架构。《民法典》第111条第一句话宣示个人信息受法律保护,第二句话对需要获取他人个人信息的任何组织或个人的活动设定了行为规范,可以将其解释为个人信息获取者的三项行为义务,包括一项“应为”的作为义务(应当依法取得并确保信息安全)和两项“禁止”的不作为义务(不得非法收集、使用、加工、传输他人的个人信息,不得非法买卖、提供或者公开他人个人信息)。《民法典》第127条与第111条并存而立,规定“法律对数据、网络虚拟财产的保护有规定的,依照其规定”,明确了数据与个人信息具有保护上的并置关系。立法部门在未来也有制定数据保护法的可能。
其二,应注意《民法典》区分规定了隐私权和个人信息保护。《民法典》第四编第六章明确将隐私权和个人信息保护区分开来。这种做法形式上与欧盟相似,而不同于美国将个人信息纳入隐私权的信息隐私范畴加以保护的做法。《民法典》第1032条确立隐私权及隐私范畴,第1034条则确立个人信息保护及个人信息范畴。这里,作为隐私权保护对象的隐私,指向的是私人生活安宁和相关私密领域,显然不仅仅是私密信息,其既有物理意义的身体隐私和社会意义的空间隐私,也有信息意义的隐私。而作为个人信息保护对象的个人信息,则被界定为可识别个人的各种信息。可以看到,两者既有明显的区分,同时也有交叉,在信息隐私领域,个人信息涵盖了信息隐私。也就是说,个人不愿为他人知晓的私密信息虽然应当划入隐私权的范畴,但同时也属于个人信息保护的对象。《民法典》第1034条第3款明确二者的法律适用关系是,将隐私权规定视为特殊规定,个人信息保护规定视为一般规定,没有特殊规定的,适用个人信息保护的规定。上述区分隐私权和个人信息以及处理二者交叉关系的规则当然也应该为《个人信息保护法》所尊重。
其三,《个人信息保护法》和《民法典》有意通过设计相关不完全规定或引介规定,连接相互体系,对接各自的规定。比如,《个人信息保护法》第69条规定,“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任”。除了将过错推定作为归责原则外,该条还通过指向侵权责任的方式使自己与《民法典》有关侵权责任的规定联系起来。《民法典》也有类似的规定,例如,第1037条第2款规定:“自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。”其中,“法律”当然也包括现在出台的《个人信息保护法》。另外,《个人信息保护法》不仅通过引介规定与《民法典》相关规定对接,也通过引介规定与刑法、治安管理处罚法或行政法对接。例如,《个人信息保护法》第71条直接将违法责任与《治安管理处罚法》和《刑法》对接起来。
其次,《个人信息保护法》与《民典法》作为并存基本法,在个人信息保护制度设计上存在明显差异,对此应当从维护《个人信息保护法》作为具有独立并存地位的基本法的角度来处理这些差异规定的适用问题,对差异规定应适用功能评价原则进行区分。鉴于《个人信息保护法》属于本领域新法,相较于《民法典》,如果属于修补的差异,应优先适用修补规定;如果不属于修补的差异,则互补适用。两部法律的差异,很大部分是由二者的功能差异决定的,笔者将在后文展开具体研究。《个人信息保护法》不仅在调整方法上具有综合立法的特点,而且在具体规则设计上也存在较为明显的功能差异面向。从调整方法上看,相比作为部门法的民法,个人信息保护法融合了多种不同性质的调整方法,其保护制度不只是民事的,而是多种面向的,包括行政的、刑事的甚至诉讼程序方面的保护制度,也包括涉外的保护规则。从功能差异来看,《个人信息保护法》的保护制度显然不是相关部门法规则的具体化和特殊化,而是基于自身复杂的特殊调整功能进行的新的体系规则建构。比如,针对个人信息处理者的义务,《个人信息保护法》除规定了私法义务外,还增加了管理义务;并涉及履行个人信息保护职责的部门规范(涉及部门分工、职责、管理、执法等管理规定),这实际上属于《个人信息保护法》为充分体现其管理保护功能的增强制度。这些都旨在建构个人信息保护的新机制,是《民法典》所没有的。对此,当然应从功能评价的角度加以适用,不能因为《民法典》没有规定就予以否定。
当然,有些差异可能与功能预设无关,而纯属于两部法律之间的体系矛盾。对此,原则上应该首先坚持并存协调的原则加以调和,如果确实存在难以调和的矛盾,则宜采取新法优于旧法的原则(而非特别法优于一般法或上位法优于下位法的规则)进行体系平衡。在此,《个人信息保护法》即为新法。
三、《个人信息保护法》对《民法典》个人信息保护私法制度的重要修补
立法者从《个人信息保护法》是与刑民基本法具有并存地位的领域基本法这一定位出发,结合现实需求,对《个人信息保护法》作出了两方面的建构:一方面,从领域法的全功能体系出发,建立了系统化的个人信息保护制度;另一方面,对《民法典》中个人信息保护的相关私法制度作出了更加完善的规定。如果发现《民法典》的规定存在不足应当修补的,就果断予以修补。具体而言,《个人信息保护法》无论是在个人信息等概念上,还是在相关权利和义务的规定上都对《民法典》的相关规定进行了重要的修补,而不只是简单细化和补充。这些修补不能被视为是对《民法典》的违反或抵触,而应该被视为是有效的合理的修改和完善。
(一)关于个人信息等概念的修补
《民法典》通过第1034条第2款阐释了个人信息的内涵,即“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等”。《个人信息保护法》第4条第1款也对“个人信息”进行了界定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”相较而言,后者不仅表述更加简洁,而且在范围上也有明显变化,明确排除了“匿名化处理后的信息”,也就是说匿名化处理后的信息不再属于个人信息的范畴,自然也就不再适用《个人信息保护法》。关于匿名化,《个人信息保护法》第73条第3项作了严格界定,“匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程”,与程度较低的第4项规定的“去标识化”相区别,
“去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程”。可见,《个人信息保护法》关于个人信息的概念界定,对《民法典》个人信息的定义做出了不可忽略的修补。
由于《个人信息保护法》对个人信息的概念界定仅仅进行抽象说明而没有采取列举加概括的定义方式,此项修补一方面与《民法典》相比显得更为模糊;但另一方面,明确将匿名化处理后的信息排除在个人信息的保护范围外,对执行匿名化的个人信息处理者是极大的利好,鼓励了他们积极开发和应用符合要求的匿名化处理技术。《个人信息保护法》第4条第2款还重新界定了个人信息的处理范围,包括“个人信息的收集、存储、使用、加工、传输、提供、公开、删除等”,对比《民法典》第1035条第2款的界定,即“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等”,明显增加了对“删除”的列举,这就使得“删除”明确进入应当受到规范的个人信息处理活动的范围。
(二)关于对自然人个人信息的权利的修补和增加
《民法典》第1037条规定了自然人对其个人信息享有的相关权利,其中第1款规定了查阅或者复制的权利、针对错误信息提出异议并请求及时更正的权利;第2款规定了在信息处理者违法或违反约定处理个人信息情形下的请求删除的权利。对比而言,《个人信息保护法》规定的个人信息的权利范围有了明显的扩展。一方面,《个人信息保护法》通过第45条第1款和第2款(查阅权、复制权)、第46条第1款和第2款(从更正权发展为更正补充权)和第47条(删除权)的规定,确认《民法典》已经明确的有关个人信息的权利,并且做出了进一步完善;另一方面,还通过第44条增加规定了知情权、决定权、限制和拒绝他人处理权,通过第45条第3款增加了可携带权,通过第48条增加了请求解释权。《中华人民共和国个人信息保护法(草案)》(二次审议稿)[以下简称为《个人信息保护法(草案)》(二次审议稿)]还规定了对死者个人信息的保护,《中华人民共和国个人信息保护法(草案)》(三次审议稿)[以下简称为《个人信息保护法(草案)》(三次审议稿)]完善为自然人死后个人信息由其近亲属在一定范围获得保护,并尊重死者生前的安排。值得说明的是可携带权,《个人信息保护法(草案)》(三次审议稿)才对该项权利的增设做出决断,《关于〈个人信息保护法(草案)〉审议结果报告》第七项对确立可携带权的由来进行了详细说明。立法过程曲折的主要原因是学界和产业界对是否引入欧美国家的可携带权存在疑虑,其中反对观点认为如果引入会给我国个人信息处理者带来巨大负担,不利于产业发展。立法者最终决定引入数据可携带权,这对于维护数据市场的公平竞争具有积极意义。数据企业特别是头部企业任意进行数据封锁,阻断数据流通,甚至进行数据垄断,从反不当竞争和反垄断的角度看业已成为一种现实危害。国家市场监督管理总局于2021年8月17日发布了《禁止网络不正当竞争行为规定(公开征求意见稿)》,对互联网经营者利用技术手段影响用户选择,包括实施平台封禁、大数据杀熟、向用户频繁弹窗等新型网络不正当竞争行为进行了分类规制,以期增强《反不正当竞争法》的适用性。从司法实践来看,目前一些典型判决也确立了结合数据封锁来分析是否构成不正当竞争的观点。可携带权有利于破除这种封锁,所以极有必要对其进行规定。
关于个人信息保护的性质及其基础,一直存在争议。从比较法上看,不一而论。有观点从人格尊严与自由的角度出发,支持个人信息自决权理论。但也有学者兼从社会功能角度出发,认为个人信息的权利不是绝对的,而应该结合其社会功能来理解,这种观点支持个人信息相关权利的分叉和具体功能化,倾向兼顾人格价值和社会功能,从维护个人在数字化时代的必要人格尊严和自由以及维护公平实践等角度,综合设定和理解个人信息权利。目前后一种观点逐渐占据优势。在美国,2018年《加利福尼亚州消费者隐私保护法》和2021年的《弗吉尼亚州消费者数据保护法》甚至把个人信息权利的重心转移到了公平实践之上。在这种情况下,个人就个人信息应受保护的权益体现为在合理范围内不受干涉和应受公平利用对待的各种利益,既包括对相关处理活动的必要知情权、同意权或自主决定权等与尊严自由相关的一般人格利益,也包括应受公平和平等对待等的特殊人格利益,甚至还包括因个人信息的经济功能产生的财产化、可公开化的合理要求。
(三)关于个人信息处理者义务的修补和增加
《民法典》第1038条设定了个人信息处理者的一般私法义务,该条第1款规定了个人信息处理者的两项不作为义务,即禁止泄露或篡改的义务和禁止未经同意向他人非法提供的义务;第2款规定了两项作为义务,即应当采取必要措施确保个人信息安全的义务,以及在发生或者可能发生个人信息损害时应当及时采取补救措施并按规定告知和报告的义务。相比《民法典》这一规定,《个人信息保护法》关于个人信息处理者义务的规定,显然有了巨大的完善,具有相当范围的增量,既有私法义务规范,也有《民法典》未规定的管理义务规范,形成了一个更加复杂的与处理场景和安全风险密切结合的多组不同性质义务相配合的体系,体现出义务人自主管理和非自主管理的双重性。
《个人信息保护法》第51条涉及的是私法义务规范,对《民法典》第1038条的规定进行了一定的扩充,但不仅仅是《民法典》第1038条的具体化、明确化。《个人信息保护法》第51条规定,个人信息处理者应当根据个人信息处理的具体情况,采取确定的六项措施来确保个人信息处理活动合法合规,并防止未经授权的访问和个人信息泄露、篡改、丢失。《个人信息保护法》第52条到58条都是关于管理义务的规定,是《民法典》所没有的,体现了《个人信息保护法》超出一般私法治理的综合治理的义务配置特点。《个人信息保护法》第52条规定,规模化的个人信息处理者具有设置个人信息保护负责人并进行报送备案的义务,这显然是一项旨在强化个人信息处理者自主管理的管理义务,不仅有利于保护个人信息权益,而且也兼具公共治理属性,防范规模数据的安全风险。第53条对符合本法规定的境外个人信息处理者设定了应在中国设立个人信息保护专门机构或指定代表并报送备案的义务。第54条规定,个人信息处理者对其个人信息处理活动具有定期进行合规审计的义务。第55条和第56条规定,对处理敏感个人信息、利用自动化决策、委托他人处理、向他人提供或公开、向境外提供等其他对个人权益有重大影响的个人信息处理活动,个人信息处理者具有事先进行影响评估和记录处理结果的义务。第57条规定,个人信息处理者在个人信息发生泄露或可能泄露时,具有补救和通知义务。第58条规定,重要互联网平台作为个人信息处理者,具有引入外部监管、正确制定平台规则、有效管控平台内违法违规产品和服务、定期发布社会责任报告和接受社会监督的加强内部管理和防范风险的义务。其中,关于重要互联网平台作为个人信息处理者的严格管理和防范义务,是《个人信息保护法(草案)》(二次审议稿)增加的,《个人信息保护法(草案)》(三次审议稿)进一步增加了应正确制定平台规则以更好明确平台产品和服务处理个人信息活动规范的管理义务。这是对现实中要求大互联网平台应当对个人信息保护承担更大责任的社会呼声的回应,也顺应了国际上平台治理规范的发展趋势,《关于〈个人信息保护法(草案)〉审议结果报告》第九项对此进行了详细说明。第59条规定,接受委托处理个人信息的受托人具有保障个人信息安全等协助义务。上述义务都是针对不具有公共职能的个人信息处理者设定的。政府机关等承担公共职能的机构及其工作人员则存在特殊性,《民法典》第1039条规定,其作为个人信息处理者时,应承担对隐私和个人信息的保密义务,以及禁止泄露或非法向他人提供的义务。
(四)关于个人信息处理者对个人信息处理规则的修补
《民法典》对个人信息保护的设计,突出了“权利—义务—行为规范”的三层私法保护体系,也就是说,在规定权利、义务的同时,还设定了个人信息处理者从事处理活动的行为规范。这种设计的复杂性已经不同于传统人格权或者其他绝对权的保护模式。《民法典》第1035条属于积极规范,规定了处理行为的原则和条件等。其中,原则为“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理”。条件有四:除法律法规有例外规定,应征得该自然人或者其监护人同意;公开处理信息的规则;明示处理信息的目的、方式和范围;不违反法律、行政法规的规定和双方的约定。《民法典》第1036条属于消极规范,规定了行为免责事项,即在三种情况下个人信息处理者可以不承担民事责任:在自然人或者其监护人同意范围内合理实施的行为;合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;为维护公共利益或者该自然人合法权益,合理实施的其他行为。
对《民法典》的个人信息处理行为规则,《个人信息保护法》基于自身更加系统的设计优势,做出了细化发展,也进行了明显的修补。《个人信息保护法》注意原则与规则的区分,第一章“总则”规定了有关个人信息处理的原则,即通过第5条到第10条宣示了个人信息处理的六项原则。第5条为遵循合法、正当、必要、诚信原则,第6条为遵循目的限制和影响最小化原则(处理个人信息应符合明确、合理目的,需与信息处理的目的直接相关并采取对个人权益影响最小的方式),第7条为遵循公开、透明原则(公开处理规则以及明示处理的目的、方式和范围),第8条为保障个人信息质量原则(处理个人信息应当保障个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响),第9条为处理者应对活动负责和采取必要措施保障安全的原则,第10条为禁止从事违法和危害国家安全、公共利益的个人信息处理活动的原则。上述原则应该通过“原则+规则”的解释架构,一并融入第二章“个人信息处理规则”加以适用。第二章不仅区分了《民法典》没有注意区分的一般信息和敏感信息,对处理个人信息的活动建立了双层行为标准,而且还关注了《民法典》虽做出了义务配置,但在行为规范上却失之考虑的国家机关,增加了其处理个人信息时的相应行为规范要求。相关行为规则,具体可作如下理解。
首先,关于个人信息处理者对一般个人信息的处理行为规范,《个人信息保护法》第二章第一节“一般规定”作出了全面规定。第13条设定了可以处理他人个人信息的七种情形,除这七种情形外不得处理他人的个人信息。这七种情形实际暗含了处理个人信息需以同意为条件,但是比《民法典》的规定更加具体,除了第1项为取得他人同意,其他六项均反向列举了不需要同意的具体情形,包括:为订立、履行个人作为一方当事人的合同或人力资源管理所必需;为履行法定职责或者法定义务所必需;为应对突发公共卫生事件或者紧急情况下为保护自然人的生命健康和财产安全所必需;合理范围处理个人自行公开或已经合法公开的信息,为公共利益实施新闻报道、舆论监督等在合理范围处理个人信息;法律、行政法规规定的其他情形。
《个人信息保护法》第14条到第17条是对同意的具体要件、撤回、效力、知情告知要求与豁免等的规定,这些在《民法典》上鲜有涉及,因此是重要的细化和完善。第14条规定了基于个人同意处理个人信息的情形,即须以充分知情和明确作出为基本要求,必要时,法律、行政法规可以规定单独同意或书面同意。
此外,个人信息处理发生重要变更,还应重新取得同意。第15条规定同意的撤回条件、方式和效果。第16条规定个人信息处理者不得以个人不同意或撤回同意为由,拒绝提供产品或服务,除非信息处理属于必需。这一条具有很大的现实意义,目前许多网络产品和服务的提供者为了收集个人信息,采取强制个人同意的办法,否则就不提供产品或服务,有了这一规定,就明确了这种行为的违法性。第17条规定同意要件中充分知情的具体要求,即个人信息处理者必须以显著方式、清晰易懂的语言真实、准确、完整地向个人告知本条列举的必要事项。《个人信息保护法(草案)》(三次审议稿)相比《个人信息保护法(草案)》(二次审议稿),添加了“真实、准确、完整”几个词,更加明确了其严格保护个人信息的立场,防止不充分知情的滥用。第18条规定告知(充分知情)的豁免,包括两种情形,即法律、行政法规规定不需要告知的情况和出现紧急情况(但消除后仍然要及时告知)。第19条规定了个人信息的保存期限,从有利于个人出发,应为实现处理目的所必要的最短时间。
《个人信息保护法》第20条到第23条是关于共同处理、委托处理、因主体变更需要转移、向第三方提供处理的特殊行为规则。第20条规定了多人共同处理个人信息时的行为规则和责任承担,即内部可以约定如何处理,但对外不改变个人对其个人信息的权利,出现损害时,信息处理者应承担连带责任。第21条规定委托处理时的行为规则和相应责任。总体上,委托人仍然是个人信息处理者,应承担行为责任,受托人作为协助者承担相应行为的责任。具体而言,委托人对受委托人的信息处理活动进行监督;受托人依据合同处理个人信息;合同不生效、无效、被撤销或者终止,受托人则应当将个人信息返还个人信息处理者,或者予以删除,不得保留;受托人未经个人信息处理者授权,不得再转委托。第22条规定因合并、分立、解散、被宣告破产等需要转移个人信息时的行为规则。个人信息原则上允许转移,但应当告知个人,并由接收者继续履行个人信息处理者的义务。接收方变更原先处理事项,则需要取得重新同意。这一规定一方面注意与营业转让的合理需要相适应,另一方面也强调避免滥用加害情况的发生。第23条规定了向第三方提供处理的个人信息的一般规则,即采取告知加取得单独同意的严格要求。
《个人信息保护法》第24条规定了个人信息处理者利用个人信息进行自动化决策时的特殊行为规则,针对处理者规定了正当公平使用的严格义务,并赋予个人信息应受保护的法律地位。这一条在立法中备受关注,该条立法规范基础究竟为何存在疑惑,立法者最终将之落到了个人应受公平实践对待的要求上。其一,保证决策透明和结果公平公正,《个人信息保护法(草案)》(三次审议稿)开始明确禁止价格歧视,《关于〈个人信息保护法(草案)〉审议结果报告》第二项说明了在涉及利用个人信息进行自动化决策时这种公平理念的权利义务化和行为规范化,“利用个人信息进行自动化决策,不得对个人在交易价格等交易条件上实行不合理的差别待遇”;其二,通过自动化决策向个人进行信息推送、商业营销,要求应当同时提供不针对其个人特征的选项,或者提供拒绝的方式;其三,个人信息处理者通过自动化决策作出对个人权益有重大影响的决定时,个人有权要求解释并有权拒绝仅通过自动化决策作出决定。
对比GDPR,后者是在“数据画像”语境意义下看待对个人数据进行自动化处理的行为要求,将其放在第三章“数据主体权利”项下的第四节“反对权和自动化决策”之下,与个人信息主体的反对权联系在一起,体现反对权的运用。GDPR第4条之(4)规定:“‘数据画像’是指对个人数据进行任何自动化处理,包括利用个人数据评估与自然人有关的特定方面,特别是针对与自然人的工作表现、经济状况、健康状况、个人偏好、兴趣、信誉、行为习惯、位置或行踪相关的分析和预测。”在此语境下,GDPR第22条对“自动化决策,包括数据画像”予以具体化规定,明确规定了数据主体原则上不受不利于自己的自动化决策限制,数据控制者运用时应当保护数据主体的权利、自由和合法利益等规则。GDPR通过反对权,综合了权利、自由和合法利益等因素,对以个人信息自动化决策为基础的行为规则的适用基础进行了评价。其中,所谓合法利益,自然也包括应受公平对待的利益。
《个人信息保护法》第25条规定了个人信息处理者禁止公开的行为规则,除非取得个人单独同意,否则不得公开其处理的个人信息。第26条对在公共场所安装图像采集、个人身份识别设备的个人信息处理行为建立基本准则,采取了限制立场:首先,应当为维护公共安全所必需;其次,应遵守国家有关规定,并设置显著的提示标志;最后,收集的信息只能用于维护公共安全目的,不得他用,此项仅可以通过个人单独同意改变。第27条规定了对已经公开的个人信息进行处理的行为规则。原则上允许在合理范围处理自愿公开和合法公开的个人信息,但有两个例外,即个人明确拒绝和处理对个人权益有重大影响的已公开的个人信息。
其次,关于个人信息处理者对敏感个人信息的处理行为规范。《个人信息保护法》第二章第二节“敏感个人信息”专门就此作出严格的行为规范。个人信息处理者处理敏感个人信息,先要遵循本节规范,本节没有规定的则适用一般规定和相关原则。第28条第1款界定了何为敏感个人信息,即“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息”。该条采取列举加抽象的规定模式。抽象上的界定,是指一旦泄露或非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害,这里强调的是“容易”两个字。列举上的界定,《个人信息保护法(草案)》(三次审议稿)和前面几稿不完全一致,最终综合讨论意见,列举了生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。《个人信息保护法(草案)》(三次审议稿)还特别将“不满十四周岁未成年人的个人信息”归入敏感个人信息,旨在回应关于强化保护未成年人个人信息的社会呼声,《关于〈个人信息保护法(草案)〉审议结果报告》第五项对此做出了相关说明。第28条第2款规定了处理敏感个人信息的两个特殊前提:一是具有特定的目的和充分的必要性;二是《个人信息保护法(草案)》(三次审议稿)新增的一项要求,即采取严格保护措施。否则,不得处理敏感个人信息。第29条规定敏感个人信息处理须遵循严格同意条件,而不是一般个人信息的同意条件。这种严格同意体现为“应当取得个人的单独同意”,“如果法律、行政法规规定应当取得书面同意,还要取得书面同意”。第30条规定处理敏感个人信息,除了存在法律法规等规定应当保密等不需要告知的情形外,原则上还应履行告知的义务,告知内容包括处理的必要性和对个人权益的影响等。第31条规定了处理不满十四周岁未成年人的个人信息的特殊规则,即应当取得未成年人的父母或其他监护人的同意,该条第2款还要求个人信息处理者应当制定专门的处理规则。第32条规定法律、行政法规对敏感个人信息处理有特殊限制的,还应取得相关许可或遵循限制规定。
最后,关于国家机关作为个人信息处理者的行为规范。《个人信息保护法》第二章第三节是关于“国家机关作为个人信息处理者的特别规定”。《民法典》第1039条规定了国家机关等作为个人信息处理者应承担的义务,但未具体规定其行为规范,《个人信息保护法》对此作出了完善。第34条规定了国家机关处理个人信息应受法定职责限制,这一规定是《民法典》所没有的,从而为国家机关能否从事个人信息处理活动以及在什么范围从事限定了前提、范围和程序。国家机关为履行法定职责处理个人信息,必须依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围限度。第35条规定国家机关还应当履行告知义务,但此项要求可因法律、行政法规的保密规定而排除,或者因告知会导致履职妨碍而排除。第36条规定国家机关对其掌握的个人信息应为国内存储的要求,如确需向境外提供,则应做安全评估。第37条规定本节关于国家机关的特殊规定也适用于法律法规授权的具有管理公共事务职能的组织为履职处理个人信息的活动。
四、《个人信息保护法》的保护功能预设及其综合治理保护体系
(一)《个人信息保护法》的保护功能预设及其背景
目前各国的个人信息规范体系的一个突出的共同特点是在“保护法”的功能取向下展开其内部体系,无一例外冠以“保护”之名,我国也不例外。《个人信息保护法》明确宣示以个人信息保护为功能预设。该法第1条是对立法宗旨的宣示,即“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用”,明确把“保护”放在首位。也就是说,这部法律的根本定性是保护法,重在保护“个人信息权益”。相较于“保护”,“规范”和“促进”则是手段和方法,是以“保护”这一基本功能为前提的“规范”和“促进”。《个人信息保护法》第2条明确宣示自然人的个人信息具有受法律保护的地位,即“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益”,继续强化了该法作为保护法的设计理念和基本追求。
《个人信息保护法》第2条也显示本法的保护对象是“个人信息权益”。不过,这一表述与传统民事权利概念相比,具有模糊性。“个人信息权益”其实是指称存在于“个人信息受法律保护”语境中的法益,欧盟GDPR甚至称之为个人信息保护权。在《民法总则》的制定和《民法典》编纂过程中,有观点建议使用“个人信息权”的表述。但无论是《民法总则》《民法典》还是现在的《个人信息保护法》都没有使用“个人信息权”概念,而是采取了“个人信息保护”的框架表述。这是因为,个人因个人信息处理而涉及到的个人相关利益,反映到法律上比较复杂,不宜简单表述为“个人信息权”。“个人信息受保护的权利与其他人格权在考量因素上有所不同,个人信息的保护要恰当平衡信息的利益与数据共享利用之间的关系。”我们注意到,欧盟虽然在基本权利的高度上看待个人信息保护,但同样也没有确立“个人数据权”这样的简单概念。首先,GDPR序言的第(1)项宣称,“自然人在个人数据处理过程中获得保护是一项基本权利”,这一表述其实呼应了《欧盟基本权利宪章》第8条第1款和《欧盟运行条约》第16条第1款关于个人信息保护的表述,即“人人均有权就其个人数据获得保护的权利”。其次,该法序言第(4)项明确指出,个人数据的处理应服务于人类,保护个人数据的权利不是绝对权利,需要综合考虑其社会功能并依据比例原则与其他基本权利保持平衡。也就是说,尽管个人信息保护是必要的,但也不能简单将其认定为是个人信息权,或者说是绝对的个人信息权利。个人信息保护不仅涉及个人法益确定的微妙性,还涉及个人利益与其他基本权利以及社会功能的平衡问题。美国虽然将个人信息保护视为隐私权的一部分,并通过“信息隐私”(Information Privacy)概念将其纳入,但也是在原本就多样化的隐私权概念基础上进行谨慎而有区别的保护。“信息隐私”与以美国宪法第四修正案和普通法实践为依据而获得保护的隐私有所区别,后者诸如有形隐私(比如身体隐私、空间隐私)、财产隐私以及决定隐私。“信息隐私”作为一个更加微妙的动态领域,必须对其进行差异化对待,进而使其可以归入广义“信息法”(Information Law)的范畴,成为一个更加需要平衡“私人与公共”(the Private and the Public)关系的复杂领域。
《个人信息保护法》作为保护法面世,源于个人信息处理时呈现的个人权益的微妙性和复杂性,正是这种权益的微妙性和复杂性导致了保护的微妙性和复杂性,体现为一种独特的系统保护机制,这不仅区别于部门法的单一机制,也区别于不同部门法机制的简单叠加。《个人信息保护法》作为保护法,以维护个人利益为立足点,这一点与民法类似,因为民法就是以保护个人利益为目的的法律。但是从保护法角度立法,重点不仅仅在于保护对象的微妙和复杂,也在于需要确立与这种保护要求相适应的规范手段和体系。这种复杂的规范机制和体系导致《个人信息保护法》与《民法典》之间存在巨大差异,从而使其不能作为民法典的下位单行法,而应具备领域基本法的独立价值。2020年出台的《民法典》为了体现时代性,彰显对新型领域的及时关注,努力将个人信息保护纳入进来,就个人信息保护设立相关私法制度。但是,立法者发现难以使用“个人信息权”的概念来统括民法上的个人信息保护。因而,在个人信息保护规范语境中采用了“自然人关于个人信息的权利+个人信息处理者的义务+处理行为规范”的复杂架构。即使这样,我们也不难发现,因受到民法规范体系和机制的限制,将个人信息纳入民法典进行保护并不能充分满足个人信息保护需要。如《关于〈个人信息保护法(草案)〉的说明》所言,《民法典》出台之后,我国社会各方面仍然“广泛呼吁出台专门的个人信息保护法”,以便“增强法律规范的系统性、针对性和可操作性,在个人信息保护方面形成更加完备的制度、提供更加有力的法律保障”。《个人信息保护法》的制定正是为了回应对更加完备、更加有效的个人信息保护规范体系的需求。
(二)《个人信息保护法》作为保护法的体系展开
由于受到传统民法观念或者简单自由主义观念的影响,早期信息隐私或个人信息保护提倡依靠个人信息主体自我管理的模式,希望通过明确设定私法意义的权利、义务和行为规范,引导权利、义务或行为主体自主自觉,进而达成个人信息保护的善治。这里的关键是鼓励个人信息权利主体积极行权和主张保护。首先,明确设定的相关权利,如知情权、同意权、查阅权、异议更正权、删除权、可携带权等,为个人提供可自主控制自己信息的个人信息权利体系。其次,针对个人信息处理者设定相应的私法保护义务和行为规范,希望借此形成一种约束。一方面鼓励义务人和行为人自觉,另一方面通过民事责任和行为否定效果来保障这种自觉。但事实证明这种模式是失灵的,相关权利义务乃至行为规则经常形同虚设,因为作为自主管理机制的关键主体即个人信息权利主体,除了面临认知困境(隐私政策的信息不对称),也面临着结构问题(规模问题、结合问题、评估损害问题等),往往处于一种无知无力的困局,因此很难达到法律设计的预期。
《个人信息保护法》针对这一失灵加以重点改进,希望提供一个更加充分、更加有效的保护体系,其最终确立起来的保护规范体系体现了新型法律体系以保护为目的的鲜明特点和趋势。即自主管理和外部管理相协同、一般责任和特殊责任相配合的多元促进和保障的综合保护体系,体现为“自然人关于个人信息的权利+个人信息处理者的义务+处理行为规范+管理保护规范+特殊法律责任”的综合治理保护逻辑结构。一方面,以问题为导向,结合对个人信息保护自主管理的实践悖论的认知,对相关基本私法制度及其自主管理体系进行了极大完善,在私法结构上更加复杂化,且更加突出以建构行为规范为重心。如此,个人信息保护自主管理的“权利—义务—具体行为规范”的逻辑体系才更加完整。另一方面,以保护为目的引入个人信息保护的外部管理机制和特殊法律责任机制,通过针对性的管理和严厉的特殊责任重点防治这一领域个人信息处理者追求赢者通吃的现象。
(三)完善自主管理体系与作为重点的个人信息处理行为规范机制
《个人信息保护法》注重完善个人信息自主管理体系,首先体现为对相关权利、义务、具体行为规范做出更加合理的配置,其次体现为对自主管理的失灵做出必要修补。比如,对一些权利义务的条件或行使规则作出了更加细化的规定,对一些易于滥用或规避的方面明确规定了不得滥用或规避的情形,等等。相比《民法典》,《个人信息保护法》对个人信息的相关权利、义务和行为规范的规定所做的修补是体系化、细节化的。
《个人信息保护法》修补和完善的重点之一,就是设置了一套严密的个人信息处理行为规范。对于个人信息处理,尽管个人信息权利义务设定本身很重要,但在规范路径的精准施策方面却存在不足,“规范个人信息处理活动”最重要的是对处理行为的规制,通过具体行为规制,可以更好解决个人信息保护中各种矛盾关系。目前各国个人信息保护的规范体系共同特点都是在“个人信息保护”的框架下突出强调对个人信息处理者的行为进行规范的重要性,而不是依赖相关个人信息的权利义务设定。我国《个人信息保护法》也不例外。按照第1条揭示,《个人信息保护法》保护功能的实现途径是“规范个人信息处理活动”。显然,重点落在对处理活动的规范。当然,这种规范设计有两个额外要求:其一,应该是积极的,即同时“促进个人信息合理利用”,这意味着规范个人信息活动,不能因噎废食,而应同时符合数字化社会的发展需要,保持必要的数据流动、共享,促进数字经济发展;其二,这种规范设计最终需要服务于保护“个人信息权益”这一根本目的。总体而言《,个人信息保护法》通过“行为原则+行为规则”的模式,融贯相关权利义务规定,在“一般个人信息”“敏感个人信息”“国家机关作为个人信息处理者”三项区分的基础上,建立了一个极其繁复的处理行为规范体系。
《个人信息保护法》保护功能的发挥,重点应落在对行为规范体系的执行和监督。行为规范体系既是个人信息处理者的具体行为指引,也是当事人和管理者据以判断处理活动是否合法合规的具体标准。个人信息处理行为的合法合规,首先体现为是对具体行为规范的遵循。传统人格权,比如生命权、身体权、健康权等,虽然也随着医疗等社会体系的发展,在保护上已经比较复杂,但是尚无重点设计具体行为规范的必要,通过确定基本人格权范畴以及他人不得干涉的绝对义务,通常就可以发挥规范保护的效果。此后,随着名誉权、姓名权、肖像权、隐私权(美国把姓名和肖像也纳入隐私权保护范畴,视为可公开权化中的信息隐私)等逐渐发展,情况就变得有些不同,这些权利本身的边界存在模糊性,难以通过确定权利和规定他人不得干涉的绝对义务达到规范保护效果。因此,有必要引入一些行为规范,使原有规范具有更加精确的指引性,但通常体现为一些禁止行为规范,此外也可以规定减免责任的行为情形,这在一定程度上是平衡保护思想的体现。但是,到个人信息保护出现和发展起来,情况就不一样了,由于个人信息保护体现的相关权利和义务具有明显的模糊性和多样分叉的特点,依靠传统的权利义务规范模式显然难以起到精确规范和指引的效果,因此,有必要突出对个人信息处理行为的规范,以实现法律保护的明确和具体,从而体现出由权利义务规范向行为规范迁移的显著变化。
(四)《个人信息保护法》外部治理保护体系及其积极管理和特殊法律责任机制
《个人信息保护法》反思了在复杂的数字化背景下,个人信息保护仅仅依靠自我管理模式的重要不足。现实中,个人信息处理者具有极强的逐利需求,同时又处于数字权力和信息不对称的绝对优势地位,容易因巨大利益诱惑而背离保护的要求。所以,除了对相关自主管理规则做完善之外,还应从切实保障个人信息保护有效性的角度,建立更加合理、科学和合乎实际的治理保护体系。其中,重点引入外部治理保护体系,通过外部加压,打造个人信息保护的坚固防护网,主要机制包括确立积极管理制度和特殊法律责任。其中“积极管理”制度主要体现在第六章“履行个人信息保护职责的部门”,“特殊法律责任”制度则体现在第七章“法律责任”。
首先,引入强有力的积极管理制度。对个人信息保护是否应当以及如何引入外部的积极管理制度,理论上存在对家长式规范可行性的疑虑。我们注意到,即使是奉行自由经济的欧盟,也在这方面果断采取赞成的立场,GDPR确立有强度的积极管理制度,建立专门监管机构,赋予强大的管理权、执法权和问责权,形成了一种通过积极管理而达成个人信息保护的治理示范。我国立法过程中对于是否应当引入这一模式也争议不大,有争议的是强度问题,诸如应该在自主管理和外部管理之间保持怎样的平衡?如何更好配合?授予谁来管理?赋予多大管理职权以及哪些职权?采取何种措施保障管理职权落在实处?这些方面的决断取决于很多条件和因素,既有数字化特定发展阶段个人信息治理的规律性因素,也有国情习惯因素。《个人信息保护法》第六章“履行个人信息保护职责的部门”,立足中国管理体制及其发展的实际特点,吸收欧盟和有关国家专门化监管的经验,在合理化的基础上构建了一套专门化的明显体现外部强力的管理保护制度,其呈现出以下三个方面的内容特点:
一是确立统筹协调与分工负责的多元管理体系。我国并未建立新的个人信息保护专门管理机构,而是采取对现有管理主体赋权的管理方式。《个人信息保护法》第60条规定了管理主体及其地位,其中第1款规定中央层面由国家网信部门负责统筹协调,国务院其他有关部门依法分工负责,第2款规定地方政府有关部门的职责由国家有关规定确定。
二是确立了以防治为重点的积极管理模式。主要体现为赋予保护部门包括防治职权在内的强管理职责,从预防的角度布局管理保护。《个人信息保护法》第61条规定了管理主体的一般职责,适用于所有管理主体,共五项,包括开展宣传教育、指导监督,接受处理投诉举报,调查处理违法活动,法律、行政法规规定的其他职责等。《个人信息保护法(草案)》(三次审议稿)才开始增加其中第三项重要职责,即“组织对应用程序等个人信息保护情况进行测评,并公布测评结果”,这是为了回应现实生活中应用程序滥用权限侵害个人信息的乱象而提出的一项职责。近年来,包括国家互联网信息办公室、工业和信息化部、公安部、市场监督管理总局等在内的有关部门,针对应用程序违法违规大量收集个人信息的情况,多次组织对APP侵害用户权益行为的专项治理行动,特别是对网络平台上的各种应用程序进行测试检查,发挥了较好的预防和治理效果,对于保护个人信息起到明显效果。《个人信息保护法》出台前,治理APP运营者违法违规收集使用个人信息,重点依据《网络安全法》《关于印发〈App违法违规收集使用个人信息行为认定方法〉的通知》(国信办秘字[2019]191号)、《关于印发〈常见类型移动互联网应用程序必要个人信息范围规定〉的通知》(国信办秘字[2021]14号)、《App违法违规收集使用个人信息自评估指南》(App专项治理工作组2019年3月编制)等相关法律和规定,但是由于管理授权不够清晰,其适用存在合法性疑虑。《个人信息保护法》明确了管理部门可以依据第61条对APP实施监管,在此条规定下,管理部门实施了监管APP的行为不用担心合法性问题,反之如果不实施监管倒要担心是否构成不作为。
《个人信息保护法》第62条规定了专属于国家网信部门的五项职责,为其开展相关工作提供了法律依据。这些工作兼具统筹协调的功能,但同时更是其具体职责,包括制定个人信息保护的具体规则、标准,制定针对特殊方面的个人信息保护规则、标准,
推进网络身份认证公共服务建设,推进个人信息保护社会化服务体系建设等。《个人信息保护法(草案)》(三次审议稿)增加了第5项“完善个人信息保护的投诉举报工作机制”,这项职权对于网信部门及时发现问题提供了重要的信息途径,属于信息监管的前提机制。当然也要注意投诉举报的滥用,尤其要避免基于恶意竞争和报复的投诉举报问题。
三是赋予一定范围的调查权和处置权,相当于准司法权或执法权。法律在一些专业性很强、存在重要利益需要保护的领域,为了增强管理或监管的效率和权威,最大程度保证保护的可能性和及时性,往往会给管理部门配置必要调查和处置权,使其在特定范围内可以采取一些类似司法机关才可以采取的措施,《个人信息保护法》也不例外。第63条规定,履行个人信息保护职责的部门在履行职责时可采取的措施有四项:询问和调查情况;查阅、复制资料;实施现场检查;检查、查封或扣押设备物品。而且当事人应当协助,不得拒绝阻挠。第64条还规定了约谈和合规审计以及移送犯罪嫌疑人等特殊处置的权力,但限于履行职责中发现存在较大风险或发生安全事故的情形。
其次,确立严厉的特殊法律责任制度。《个人信息保护法》第七章“法律责任”从保护治理的角度,针对个人信息保护规定了严格的特殊法律责任。其中有三个值得注意的地方:一是出现许多新的行政处罚形式;二是高昂的罚款数额前所未有,这也是国际趋势,但相比之下,仍低于欧美的数额规定;三是对违法进行信息处理的有关负责人员也施加了责任。
其中,《个人信息保护法》第66条最为重要,规定了违反本法的特殊行政责任。即只要违反本法规定处理个人信息或者处理个人信息未按照规定采取必要安全措施的,就可能产生特殊行政责任。这是一种新型治理式的行政责任,体现出与传统行政责任不同的特点,突破了传统责任原理,具有严厉性或加重惩罚性。第66条区分一般情况和严重情况,一般情况,由履行保护责任部门责令改正,给予警告,没收违法所得。《个人信息保护法(草案)》(三次审议稿)针对性地增加了“对违法处理个人信息的应用程序,责令暂停或者终止提供服务”;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。严重情况是指情节严重的情形,由省级以上履行保护职责的部门责令改正、没收违法所得,并处五千万元以下或上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
《个人信息保护法》第67条建立违法信用档案记录制度。第68条规定国家机关不履行本法规定的个人信息保护义务的特殊行政责任,包括责令改正和予以行政处分。此外,还规定了与刑法相关责任的关系。第69条规定个人信息处理者对个人信息造成损害的,以过错推定作为承担侵权责任的基础,并明确损害赔偿责任的标准,即按照个人所受损失或个人信息处理者获得利益确定,难以确定的则根据实际情况确定赔偿数额。第70条规定公益诉讼。第71条规定与治安管理责任和刑事责任对接。
五、结论:把握《个人信息保护法》体系理解和适用的双重基础
《个人信息保护法》作为领域新法体现了立法上的一种“创新”,这种“创新”的必要性在于勇敢地迎接个人信息保护的现实挑战,满足了当下“数字人格”安身立命的需求。个人信息保护问题是新时代的产物,个人信息本身并非当然是个人利益,只有当网络信息社会发展到一定阶段之后,当个人信息收集、利用和各种处理活动的发展和蔓延导致个人卷入其中,个人信息逐渐成为个人利益的牵引抑或载体,此时才产生了与个人信息处理相关的个人利益保护要求。然而这种保护要求,与以往相比,呈现了不同的问题,与现今法律体系既有的保护要求相比,可谓差异显著。个人信息保护,体现了个人利益保护的微妙性和复杂性,因而保护制度的设计也需要作出与之相适应的创新。这种创新极为不易,对此需要努力认识、发现、把握和形塑,才可能收入法律行囊。
新时代的新法里藏着独特的密码,《个人信息保护法》当然不会例外。初始打量,我们可能感觉其体系似乎有点凌乱,与刑法、民法、行政法等任何单一部门法的体系都极为不同。但是只要用心体会,便能发现这些貌似凌乱的规范部落之间其实存在某种紧密联系。本文所做的正是这种体系解码的努力。通过上述分析,我们注意到《个人信息保护法》确立在双重基础之上。一个是其作为基本法的定位,它作为领域基本法及与民法、刑法等基本法并立的法律,对法律体系做出了重要的扩展。在新时代的法律系统中,居于新发展的体系位置,与传统法律体系形成互为补充、守护相望的关系。另一个则是它的功能预设,它立足于个人信息保护利益的复杂性,同时基于超越自我管理局限的需要,以个人信息保护为基本功能设定,追求一种更加有效而全面的保护策略,构建了一套自主管理和外部治理互为配合的综合保护规范体系。这两大基础构成了《个人信息保护法》全部体系和内容建构的双核,成为理解《个人信息保护法》的重要前提。总之,只有认识了双重基础,才能够真正领略《个人信息保护法》作为领域新法的基本价值和体系特点,其未来实施也必定会在这两个方面的融合中获得圆满。