再论《个人信息保护法》的六大关系

发布: | 发布时间:2020-10-26,星期一 | 阅读:12

对外经济贸易大学数字经济与法律创新研究中心执行主任 许可 为FT中文网撰稿

2018年9月,《个人信息保护法》被纳入“十三届全国人大常委会立法规划”,位列“条件比较成熟、任期内拟提请审议”的69部法律草案之中。两年后的金秋,《个人信息保护法(草案)》如期公布。屈指算来,距离2012年《全国人大常委会关于加强网络信息保护的决定》已有8年,距离2003年国务院信息化办公室部署个人信息保护法立法研究工作已有17年。我想,无论是立法者,还是参与其间的学者,亦或是关注个人信息保护的普罗大众,如今都可称夙愿得尝。不过,草案出台只是第一步,正所谓“行百里者半九十”,如何使之臻于完善,依然任重道远。两年前,就在《个人信息保护法》列入立法计划不久,我梳理了《个人信息保护法》的六大关系(见“《个人信息保护法》前瞻:六大关系待解”一文),值此立法关口,不妨仍以此为线索,对草案再加检视。

个人和企业的关系

在世界数字化转型的背景下,个人“数据人格”和企业“数据资产”的重要意义与日俱增。两年来,个人信息的边界不断向生物识别信息、基因信息的拓展,数据作为关键生产要素业已被中央文件所确认,如何平衡个人信息保护和大数据利用之间的关系,由此成为《个人信息保护法》的首要定位问题。对此,草案第一条开宗明义,将“保护个人信息权益、促进个人信息合理利用”作为二元并置的立法目标。在条款设计上,草案两边发力,一方面在《民法典》的基础上,赋予个人一系列新型权利,尤其是“基于同意撤回的删除权”(第16条、第47条第3项)和“针对自动化决策的说明权和拒绝权”(第25条);另一方面,草案拓展了个人信息合理使用的范围,细化了公共利益例外的情形(公共卫生事件、履行法定义务、法定职责、新闻报道),并将“为订立或者履行个人作为一方当事人的合同所必需”纳入正当事由。更重要的是,草案根本上改变了《民法典》下“个人同意+特定免责”的个人信息使用模式,转向融知情同意在内的“多元合理事由模式”,以实现承载于个人信息之上的多元价值。

个人和国家的关系

作为一项发轫于德国人口普查案的法律制度,个人信息保护一开始就和国家机关的权力与责任密不可分。在2020年新冠疫情中,健康码成为流动性治理和科技抗疫的关键助力,但它对个人信息的共享、汇聚和自动化处理,亦引发了诸多争议。在后疫情时代,公共空间的人脸识别、打破边界的政府数据共享与开放,连同智慧城市的加速,都要求《个人信息保护法》为国家机关处理个人信息打造制度之笼。草案不负众望,不但明确国家机关应承担与企业同等的数据处理义务(第33条),而且还应遵守第二章第三节的特别规定。为规范政府权力,草案从程序与实体加以限制,前者要求除保密或妨碍国家机关履行法定职责,国家机关均应履行告知程序并取得同意;后者要求个人信息处理不得超出履行法定职责所必需的范围和限度。针对公众关注的人脸识别问题,草案第27条将“维护公共安全所必需”作为安装设备和个人信息处理的唯一正当性事由,值得赞许。

权利法和管理法的关系

建立在《网络安全法》第四章“网络信息安全”和《民法典•人格权编》第六章“隐私权和个人信息保护”之上的《个人信息保护法》,横跨公法私法,兼具行政规制和权利保障双重色彩。正因如此,草案既以个人信息生命周期为流程明确监管规则(第二章),又以“权利—义务”结构编经织纬;既鲜明彰显主体在个人信息处理活动中的权利(第四章),又借鉴“风险管理”的思路,有的放矢地采取安全评估(第40条)、风险评估(第37条、第54条)等风险管理措施;既对违法规定处理个人信息的处理者设定高额罚款(五千万元以下或者上 一年度营业额百分之五以下),又采取举证责任倒置、公益诉讼的途径为民众大开私力救济之门(第65、66条)。当然,如何妥当配置公法规则和私法规则,形成区分而协同的法律效果,仍有待进一步探索。

分散监管和集中监管的关系

个人信息保护究竟是由独立的监管机关负责,还是维持目前中央网信办、工信部、公安部、市场监管总局以及其他行业监管部门“九龙共治”的局面?放眼全球,在欧盟《一般数据保护条例》(GDPR)的影响下,个人信息的集中监管已成为世界主流,今年初,美国纽约州参议员Kristen Gillibrand亦提交一份《数据保护法案(Data Protection Act)》,要求建立一个全新的独立联邦机构——数据保护局。之所以如此,实因只有坚持个人信息保护机构的独立性和全局视野,才能有效防止和排除其他组织的干预,进而履行法定的监管职能。正如健康码所凸显的,最有可能侵犯公民权益往往就是国家机关,在权利不足以制约权力之时,个人信息保护机构亟待发挥独立第三方的“权力制衡”功能,监督其他行政机关依法行政。不仅如此,当前技术快速迭代、商业场景日新月异、国际形势波诡云谲,个人信息流动早已超越行业边界和地域边界,传统行业监管和地域监管不免捉襟见肘,为此,个人信息保护机构亟待立足于“专家机构”(expert body)进行功能监管,方可应对如此错综复杂的局面。

遗憾的是,草案并未确立集中监管机构,仍然延续“国家网信部门统筹、国务院部门依职权监管”的思路,错失制度变革良机。在后续修改中,一个折中方案可能是由国家网信部门统一行使个人信息保护规则和标准的制定权,并与其他部门分享执法权,从而实现制度统一和精细执法的双赢。

《个人信息保护法》和其他法律的关系

《个人信息保护法》既是《民法典》《网络安全法》的特别法,又是个人信息保护领域的一般法。就“特别法”而言,如何与既有法律的衔接成为关键问题,其中,尤以作为市民社会基本法的《民法典》为重。显而易见,草案和《民法典》的个人信息规则存在颇多差异。例如,草案第4条在《民法典》第1034条“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”之上,增加“有关的”三字,形成“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”的表述。这个改动看似细微,实质上却是采取“个人信息识别说”还是“个人信息关联说”的路线之争,不可不查。再如,《民法典》将“私密个人信息”作为个人信息之特殊类型,适用隐私权的保护,草案则使用“敏感个人信息”概念,两者究竟关系如何?破费思量。倘若立法者不能给出明确解释,可以预见未来的司法、执法必将面临无穷困扰。就“一般法”而言,《个人信息保护法》一方面要整合、修改和补充原有的法律规范,消除其矛盾和混乱,另一方面亦要摒弃一刀切的个人信息保护思维,在评估个人信息风险以及规制成本收益的基础上,针对不同主体、不同事项、不同行业制定因地制宜的特别规范和标准,满足多层次的社会需求,从而在个人信息保护与数据利用之间达至动态平衡。

《个人信息保护法》和国际规则的关系

两年来,从美国COULD ACT到WTO谈判和美加墨贸易协定,从欧洲法院宣告欧美隐私盾协议无效到美国以TikTok个人信息保护不力为由发布禁令,由欧盟GDPR开启的个人信息全球博弈如火如荼。如何统筹国内国外两个大局,是《个人信息保护法》必须直面的问题。草案中的域外因素主要体现为如下四种场景:一是在中国境外处理境内自然人个人信息(第3条第2款);二是信息处理者向境外提供个人信息(第38、39、40、42条);三是因司法协助或行政执法协助的个人信息出境(第41条);四是针对境外国家或地区的贸易对等措施(第43条)。总体而言,草案借鉴吸收了GDPR相应规则,包括但不限于第3条“地域范围”中域外管辖权、第46条“受到适当保障的数据传输”以及第48条“未经欧盟法律授权的数据传输或披露”制度。尽管有上述规定,草案在涉外事项上依然审慎和有节制的。这不但体现为个人信息出境的多元化途径,而且体现为数据本地化的克制,还体现在将《数据安全法(草案)》下境外执法机构调取数据封禁规则的缩限上。需要提醒的是,草案第40条将个人信息达到一定数量作为本地存储的前提,可能忽略了个人信息“质”的一面。恰如美国最担忧TikTok收集公职人员信息,印度最担心TikTok收集士兵信息所揭示的,个人信息主体的身份敏感性可能居于信息数量之上。因此,不妨将重要个人信息概念转为“重要数据”,交由《数据安全法》处理,从而保证《个人信息保护法》规范目的的纯粹性。

2010年至2019年,全球共有62个国家颁布了新的个人信息保护法,这一数量比以往任何十年都要多,将于明年出台的中国《个人信息保护法》亦是这一历史潮流的重要一环。我们期待着历经十年打磨的《个人信息保护法》既回应我国实践难点,又兼顾数字社会发展大势,既汲取国外先进的立法经验,又能结合中国经验进行创造性转化,最终找到蕴含中国价值的中国道路,正所谓“面壁十年图破壁,邃密群科济世穷”。

(本文仅代表作者本人观点,责编:闫曼)


来源:FT中文网


 

版权声明

文章编辑: ( 点击名字查看他发布的更多文章 )
文章标题:再论《个人信息保护法》的六大关系
文章链接:http://www.ccdigs.com/118646.html

分类: 多向思维, 时事评论.
标签: , ,

发表评论