前言
2021年8月20日第十三届全国人民代表大会常务委员会第三十次会议正式通过了《中国人民共和国个人信息保护法》(以下简称《个人信息保护法》),标志着我国在网络与信息法治领域迈入了一个新的历史阶段。《个人信息保护法》是互联网与大数据时代和普通民众关系最为密切的一部法律。尽管个人信息自古以来就客观存在,但是,其作为一种社会观念,真正受到人们重视则是在20世纪后半期随着计算机技术应用于信息处理领域之后才开始的,特别是随着互联网、大数据和人工智能等现代信息技术的广泛应用,个人信息得以以非常低的成本进行大规模处理、传输和分析,个人信息的价值通过数据挖掘和商业应用得以显现,个人数据成为发展数字经济的重要要素,与此同时,在个人信息利用领域也出现了许多乱象,个人信息的过度收集、非法获取、非法交易、泄露、滥用等现象屡禁不止,个人信息保护日益成为社会各界关注的社会问题。
《个人信息保护法》是我国在个人信息保护领域的基本法。在《个人信息保护法》颁布之前,我国已有一些法律、法规、规章、规范性文件和标准对个人信息保护问题予以规定。例如,在法律层面,有全国人大常委会《关于加强网络信息保护的决定》《网络安全法》《电子商务法》《消费者权益保护法》《民法典》《数据安全法》和《刑法》等;在行政法规层面,有《征信业管理条例》;在规章层面,有《电信和互联网用户个人信息保护规定》《儿童个人信息网络保护规定》;在规范性文件方面,有《常见类型移动互联网应用程序必要个人信息范围规定》;在标准层面,有《信息安全技术公共及商用服务信息系统个人信息保护指南》《信息安全技术 个人信息安全规范》等。但是,上述法律、法规、规范性文件和标准,或因其规定得过于抽象和宽泛而缺乏可操作性,或因其立法位阶较低而缺乏权威,或因其仅关注个人信息保护的某一方面而欠缺全面性。因此,社会各界一致呼吁立法机关制定一部全面、权威的《个人信息保护法》,作为个人信息保护领域的一般法。关于《个人信息保护法》在我国法律体系中的定位,在立法过程中曾存在一定的争议。最终正式颁布的《个人信息保护法》第1条开宗明义地明确规定:“根据宪法,制定本法。”基于此,可以认为,《个人信息保护法》系立法机关为了保护公民的基本权利而制定的法律,从而奠定了该部法律在个人信息保护领域的基本法地位。由于个人信息保护涉及各个行业和社会生活的方方面面,在《个人信息保护法》出台之后,仍可能会有许多相关的法律、法规、规章出台,用来规范某一特定领域的个人信息保护问题,因此,我国未来的个人信息保护法律制度体系应当以《个人信息保护法》为统领,由若干部相关法律、法规和规章共同组成。
《个人信息保护法》具有非常宽泛的适用范围。第一,从个人信息的定义来看,其既包括以电子方式记录的个人信息,亦包括以其他方式记录的个人信息,从而将传统以纸质方式或其他线下方式处理个人信息的活动纳入《个人信息保护法》的规制范围;不同于先前颁布的《网络安全法》《民法典》等法律将个人信息界定为可识别特别自然人身份的信息,《个人信息保护法》将个人信息界定为“与已识别或者可识别的自然人有关的各种信息”,从而实现了“从信息到特定人”和“从特定人到信息”过程的覆盖。值得注意的是,《个人信息保护法》有意区分了匿名化信息与去标识化信息,前者不属于个人信息,而后者仍在个人信息的涵盖范围内。第二,作为《个人信息保护法》规范对象的个人信息处理活动,覆盖了个人信息处理的全过程,包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。第三,作为《个人信息保护法》保护对象的个人信息权益,与我国《宪法》所规定的公民基本权利具有密切联系,因此,不能简单地理解为《民法典》规定的民事权益,实际上,《个人信息保护法》所赋予公民的个人信息权益的类型和内涵较《民法典》中的相关规定更为宽广和丰富。第四,作为《个人信息保护法》义务主体的个人信息处理者,立法者将其表述为“在个人信息处理活动中自主决定处理目的、处理方式的组织、个人”。这意味着,其不仅包括各类企业、事业单位、社会组织等主体,国家机关亦包括在内,国家机关的个人信息处理活动亦受《个人信息保护法》的规制。第五,《个人信息保护法》不仅适用于域内的个人信息处理活动,对于域外处理中国境内自然人个人信息的活动,如果其以向境内自然人提供产品或者服务为目的,或分析、评估境内自然人的行为,或具有法律、行政法规规定的其他情形的,亦具有域外适用效力。此外,《个人信息保护法》还以专门章节规定了个人信息跨境提供的规则。在我国国内法中明确规定其具有域外适用效力的法律尚不多见。《个人信息保护法》具有域外适用效力,与网络空间超越国界、对个人信息可以远程处理等因素具有密切关联,旨在为我国公民提供周延的保护。
《个人信息保护法》是一部具有明显的规制法色彩的法律。从《个人信息保护法》的结构来看,除总则以外,“个人信息处理规则”被置于各分章之首,位于个人权利和个人信息处理者的义务之前;从实质内容来看,“个人信息处理规则”一章处于核心地位,后面章节中的许多内容都是建立在第二章所规定的制度基础之上,或经常援引第二章中的相关内容。从第二章“个人信息处理规则”的具体规定来看,其较为详细地规定了个人信息的收集、存储、使用、提供、公开、自动化决策等处理规则。立法者以第二章的内容为基础通过第五章“个人信息处理者的义务”和第六章“履行个人信息保护职责的部门”的具体规定,建立起一套完整的关于个人信息处理的规制体系和监管体系。
《个人信息保护法》对个人信息处理规则的具体规定填补了先前相关立法中的不完善之处。例如,我国《民法典》虽然规定了与个人信息保护相关的民事权益,但是,许多法条都属于不完全法条,多处提到了不得违反“法律、行政法规的规定”或“法律、行政法规另有规定的除外”,而《个人信息保护法》中的具体规定恰好可以填补上述立法中的空白之处,也便于《个人信息保护法》与先前已颁布的相关法律之间的衔接。
就个人信息处理规则而言,《个人信息保护法》的一大亮点在于,其为个人信息处理者处理个人信息提供了多元的正当性途径。在《个人信息保护法》颁布之前,许多法律、法规,如《网络安全法》第41条,均将征得被收集者同意作为收集个人信息的必要前提条件。《个人信息保护法》第13条为个人信息处理者处理个人信息提供了七种合法途径,而“取得个人的同意”仅是其中之一。该规定较好地平衡了保护个人信息与促进个人信息合法利用,以及维护公共利益之间的关系。该法的另一个亮点在于其对于自动化决策作出了专门规定,从而有利于规制人工智能等新兴信息技术在个人信息处理领域的应用。第一,《个人信息保护法》从整体上要求个人信息处理者保证自动化决策的透明度和结果的公平、公正,并进一步特别要求,个人信息处理者不得对个人在交易价格等交易条件上实行不合理的差别待遇,旨在回应社会公众反映强烈的“大数据杀熟”的问题;第二,个人信息处理者利用个人信息进行自动化决策,应当事前进行风险评估,并予以记录;第三,立法有意区分了利用个人信息进行自动化的商业营销、信息推送行为与利用个人信息通过自动化决策方式做出对个人权益有重大影响的决定行为,并分别赋予受影响的个人以不同性质的权利。对于前者,立法者要求其同时提供不针对其个人特征的选项,或者向个人提供拒绝的方式,从而将决定权交给受影响的个人,其目的不仅在于保护个人信息,也有利于解决营销误导和“信息茧房”的问题;对于后者,立法者赋予个人请求个人信息处理者予以说明的权利和个人拒绝权,其目的在于增强算法的透明度、强调处理程序的正当性,并赋予受影响的个人以救济的权利。
我国《个人信息保护法》所建立的个人信息保护的监管体系,不同于欧盟集中统一的监管体系,而是基于中国现实情况而设计的具有中国特色的统分相结合的监管体系。依照该法第60条规定,国家网信部门负责统筹协调个人保护工作和相关监督管理工作,同时,国务院有关部门在各自法定职责范围内负责个人信息保护和监督管理工作。
《个人信息保护法》是一部彰显互联网时代权利保护的法律。从表面看,《个人信息保护法》保护的对象是个人信息,实质上,其保护的是个人信息背后的个人信息权益。在全国人大常委会对《个人信息保护法草案(三次审议稿)》进行审议时,全国人大宪法和法律委员会在关于《个人信息保护法草案》修改情况的汇报中提到:“我国宪法规定,国家尊重和保障人权,公民的人格尊严不受侵犯,公民的通信自由和通信秘密受法律保护。制定实施本法对于保障公民的人格尊严和其他权益具有重要意义。”[1]由此可以看出,《个人信息保护法》所保护的个人信息权益与宪法所规定的公民基本权利具有密切关系。《个人信息保护法》的方方面面都体现了对公民基本权利的尊重与保护,特别是该法以专门的章节对国家机关处理个人信息的规则作出了规定,明确宣布国家机关处理个人信息的活动适用《个人信息保护法》。
第一,《个人信息保护法》,对公民人格尊严的尊重,体现在其对个人信息权益采取严格保护的立法态度上,其要求个人信息处理者在处理个人信息时应当遵循比例原则,要求其具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。同时,对收集个人信息采取严格限制的政策,强调其应当限于实现处理目的的最小范围,禁止过度收集个人信息。在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需。
第二,在规定个人信息处理规则时,将“告知—同意”作为一项核心原则贯穿始终,赋予个人对其个人信息处理的决定权,立法明确要求:个人信息处理者在处理个人信息之前应当先行尽到充分告知的义务并取得个人同意,并且,允许个人撤回同意;重要事项发生变更的,应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。
第三,《个人信息保护法》赋予个人对其个人信息处理的多项具体权利,其包括:知情权;决定权;拒绝权;请求查阅和复制的权利;请求更正、补充的权利;请求删除的权利;请求解释、说明的权利等,从而给个人信息权益主体提供了周延的保护。
第四,《个人信息保护法》对人格独立、自由发展的维护,充分体现在对儿童(14岁以下的未成年人)个人信息的特殊保护方面。众所周知,儿童是互联网产品和服务的主要受众群体之一,而儿童时期是一个人人格发展的关键时期,为了防止儿童受到不良影响或侵害,《个人信息保护法》将儿童的个人信息作为敏感个人信息来对待,并要求个人信息处理者在处理此类个人信息时必须在事前进行风险评估。
第五,《个人信息保护法》对于利用个人信息进行自动化决策和信息推送的限制,对于保护公民的人格自由、维护人格尊严、保障公民的个人自主决定权、防止歧视亦有重要意义。
此外,立法还授权国家网信部门统筹协调有关部门针对人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准,有利于防范新技术、新应用给个人信息权益带来的损害风险。
《个人信息保护法》不仅是一部权利保护法,亦是一部权利救济法。由于个人信息一旦被个人信息处理者所收集,个人信息主体将在事实上失去对其个人信息的控制,诸如个人对个人信息的查阅、复制、更改、补充、删除等权利,都需要个人信息处理者予以配合。为了防止因个人信息处理者的不作为导致个人信息权利无法行使,《个人信息保护法》第50条第2款明确规定:个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。立法还进一步规定,当个人信息权益遭受损害时,个人可以请求个人信息处理者承担损害赔偿等侵权责任。关于个人信息处理者承担损害赔偿责任应当适用何种归责原则,在《民法典》中未有明确规定,在《个人信息保护法》的立法过程中亦存在相关争议,最终,正式通过的《个人信息保护法》采用了过错责任推定原则。关于损害赔偿数额的确定,鉴于举证责任的困难,立法者采取了弹性的处理方法,允许法院根据实际情况确定赔偿数额。《个人信息保护法》并非单纯的私法,而是融合了公法规范和私法规范。因此,其为个人信息权益主体提供的救济方式并没有局限于私法救济,还规定了公法救济方式,其要求履行个人信息保护职责的部门应当建立投诉、举报机制,接受并及时处理与个人信息保护有关的投诉、举报,为受侵害的个人信息权益主体提供快捷的救济。
《个人信息保护法》采取了分类规制的方法。如前所述,《个人信息保护法》的适用范围非常宽泛,社会生活纷繁复杂,采用“一刀切”的方法显然是不适合的,因此,立法者采取了分类规制的方法。首先,立法将个人信息区分为一般个人信息与敏感个人信息,并对后者采取了更为严格的保护措施。其次,立法对个人信息处理主体采取了分类规制。个人信息处理主体可以区分为国家机关和国家机关以外的主体。前者因履行法定职责处理个人信息而具有特殊性,因而,在个人信息处理规则方面被特殊对待,如其原则上不适用征得个人同意的规则。
对于国家机关以外的个人信息处理者,立法者在设定其法律义务时亦进行了区分对待。第一,对于自然人因个人或者家庭事务处理个人信息的,可豁免适用《个人信息保护法》。第二,对于小型个人信息处理者,《个人信息保护法》虽然未明确予以豁免适用,但是,考虑到小型企业的特点,以及《个人信息保护法》的实施有可能给小型企业带来的合规成本,立法授权国家网信部门统筹协调有关部门针对小型个人信息处理者制定专门的个人信息保护规则、标准。第三,要求个人信息处理者设置专门的个人信息保护负责人是该法的亮点之一,但是,立法并未要求所有的个人信息处理者均设置该岗位,仅要求处理个人信息达到国家网信部门规定数量的个人信息处理者应当设置。第四,对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,立法对其施加了额外的法律义务,如要求其成立主要由外部成员组成的独立机构对个人信息保护情况进行监督,并且,针对作为网络平台的属性,对于其制定相关的平台规则和实施平台强制措施也作出了针对性规定。
虽然《个人信息保护法》出台了,但是,个人信息保护的法律问题并未就此终结,我们仍然需要予以持续的关注:立法授权国家网信部门统筹协调有关部门制定个人信息保护具体规则、标准,对此,可拭目以待;《个人信息保护法》与《刑法》《民法典》《网络安全法》《数据安全法》等法律之间的相互衔接与协调,亦需要在《个人信息保护法》实施之后予以解决。最后,也是最为重要的是,对《个人信息保护法》的解释,将会在法律适用的过程中不断得以明确。
为了帮助公众准确地理解《个人信息保护法》,我们组织国内的资深专家、青年学者编写了这一部释义,希望能够对《个人信息保护法》的贯彻实施有所帮助。尽管参与编写的各位作者都认真负责,但是,由于时间匆忙、水平有限,难免有疏漏之处,敬请读者指正和谅解。最后,感谢中国法制出版社的高效工作,特别是韩璐玮、王紫晶、吕静云、贺鹏娟编辑的辛勤付出,才使得本书得以面世。
[1] 《全国人民代表大会宪法和法律委员会关于〈中华人民共和国个人信息保护法(草案)〉审议结果的报告》,载中国人大网,http://www.npc.gov.cn/npc/c30834/202108a528d76d41c44f33980eaffe0 e329ffe.shtml,2021年8月21日访问。