本刊记者 高妍蕊
10月13日,备受关注的个人信息保护法草案首次提请十三届全国人大常委会第二十二次会议审议,这意味着,个人信息保护法离最终出台又迈进了一步。
随着信息化与经济社会持续深入融合,个人信息的收集、使用更为广泛。生活中,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题十分突出。
在信息化时代,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。我们需要怎样的一部个人信息保护法?个人信息保护法应如何回应时代关切? 有哪些热议的焦点问题?对此, 《中国发展观察》杂志记者采访了相关专家。
千呼万唤,时代所需
日前,一则“清华大学教授拒绝小区人脸识别门禁”的新闻引发网络热议,再一次掀起了人们对于个人信息保护的呼声,制定一部个人信息保护方面的专门性法律是民众的期待。
个人信息保护法的制定经历了相对较长的周期,可谓“千呼万唤始出来”。据悉,早在2003年, 制定个人信息保护法的建议就已经出现。但在过去近二十年里,中国针对个人信息保护的条款散见于多部法律法规和规范性文件中,包括《网络安全法》《消费者权益保护法》《刑法修正案(九)》《民法典》等等。据相关学者称,目前涉及个人信息保护的规定,包括法律法规和各种文件在内,约有150 部。个人信息保护迫切需要一部法律进行统一。
回顾个人信息保护法的立法进程,2018年9月,个人信息保护法和数据安全法被列入全国人大一类立法计划,这是个人信息保护提上专门立法日程的重要节点。此后, 与个人信息保护相关的法律法规及各类文件密集发布、更新:2019 年4月19日,《互联网个人信息安全保护指南》发布;2019年4月20 日,《民法典》人格权编草案(二审稿)提请全国人大常委会审议; 2019年5月28日,《数据安全管理办法》公开征求意见;2019年6月13日,《个人信息出境安全评估办法》公开征求意见;2019年10月1 日,《儿童个人信息网络保护规定》施行;2020年1月20日,《信息安全技术个人信息告知同意指南》公开征求意见;2020年3月6 日,新修订的《信息安全技术个人信息安全规范》发布;2020年3月30日,《移动互联网App个人信息安全防范指引》公开征求意见……
虽然我国个人信息保护法律制度已逐步建立,但仍难以适应信息化快速发展的现实情况。制定个人信息保护法,将进一步增强法律规范的系统性、针对性和可操作性,在个人信息保护方面形成更加完备的制度、提供更加有力的法律保障。
全国人大常委会法工委发言人臧铁伟表示,个人信息保护立法坚持从我国实际出发,深入总结网络安全法等法律、法规、标准的实施经验,并充分借鉴有关国际组织和国家、地区的个人信息保护相关准则、指导原则和法规,建立健全适应我国个人信息保护需要的法律制度。
对于个人信息保护法的定位, 中国社会科学院大学互联网法治研究中心执行主任刘晓春说,“个人信息保护法不见得是把所有的个人信息相关的内容都包罗万象,相对于《民法典》而言,它更多的是侧重于民法之外的多元保护机制,它要跟《民法典》有一个衔接,提供行政保护和其他多元保护的基础。”
保障个人知情权和确定权
何为个人信息?如何界定个人信息?个人信息保护法草案明确,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。
《民法典》中对个人信息进行了具体列举,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
但在实务中对于个人信息具体包括哪些内容,仍然会存在不同程度的争议。对于个人信息的界定, 有学者认为,立法应当重点明确个人信息与大数据的界限,回应大数据的性质问题。
北京师范大学网络法治国际中心执行主任吴沈括表示,个人信息的法律界定及其内涵外延是个人信息保护法的逻辑起点,将反映法律对于个人信息所涉及的个人利益、公共利益、产业利益之间的动态平衡的把握,反映法律对于前述三者权重的价值判断。
草案中还确立了以“告知—同意”为核心的个人信息处理规则, 即:处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。这意味着既要充分保障相关个人主体的知情权也要保障其对信息的自主决定权,从而双重保障个人信息安全。
此外,此次草案还设专节对处理敏感个人信息作出严格限制,只有在具有特定目的和充分必要性的情形下,方可处理敏感个人信息, 并且应当取得个人单独同意或者书面同意。敏感个人信息包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。通过建立敏感个人信息处理规则,草案对于线上金融交易个人信息安全问题等给予特别关注。
解决难题,回应社会关切
我们需要一部什么样的个人信息保护法?个人信息保护法将解决哪些问题?回应哪些共同期待?
在中国政法大学民商经济法学院副教授、中国法学会民法学研究会理事兼副秘书长王雷看来, 个人信息保护法应做到“两个探索、两个区分和四个细化”。“两个探索”即:探索个人信息和数据、个人信息和隐私之间的边界及互动转化关系;探索侵害个人信息案件中的行政公益诉讼和民事公益诉讼空间。“两个区分”即:应该对个人信息的类型做更具体划分,区分敏感个人信息和非敏感个人信息、区分私密信息和非私密信息,分别规定其保护程度和调整规则。“四个细化”即:将个人信息之上的权利梳理清晰,细化对个人信息处理活动中个人的各项权利。细化《民法典》第1035条所规定的处理个人信息应遵循的合法、正当、必要原则。界定处理个人信息时的同意规则和明确同意规则,以细化告知同意制度。细化对于个人信息保护中各种利益的权衡,为信息产业划定合理边界。
刘晓春认为,个人信息保护法首先应当解决个人信息保护里面的一些基础的问题,比如基本概念的问题,基本的数据处理的规范框架等等,对于这些问题的规定应当比《民法典》更加细致、更加全面,当然也包括我国的一些特色和制度创新。实际上,因为个人信息涉及数字经济的数据问题, 所以个人信息保护法的规则设计或者创新,实际上都会对产业、经济和社会的发展产生非常深刻的影响,这种影响可能不仅仅是在法条意义上的,还会对整个商业模式、经济发展趋势等方面都会产生相应的影响。
王雷表示,个人信息保护法还可以探索、细化侵害个人信息案件中的行政公益诉讼和民事公益诉讼空间。例如,买新房本是喜事,可却因为个人信息被泄露遭遇广告推销,电话不断。检察机关可以通过检察建议督促市场监督管理机关依据《消费者权益保护法》等相关规定对侵害买房人个人信息的房地产开发公司、装修装饰公司依法进行处理,保护消费者的合法权益不受侵犯,维护社会公共利益。
一部法律的良好运行和实施关键在于执法和落地措施。很多时候个人信息权益在受到侵害时权利人往往手足无措甚至无可奈何, 如何缓解个人信息权益人举证难的问题?初步证据是采取过错推定还是举证责任倒置?王雷认为,在互联网和大数据时代,个人信息的使用价值凸显,对个人信息的侵害也愈发严重,个人信息被泄露后所衍生的“徐玉玉案”等类似网络诈骗、电信诈骗案件频发。大量个人信息在采集时可能是合法的,但被采集后,信息收集人应该采取安全保障措施防止个人信息泄露、毁损、篡改或者丢失,以确保信息的安全。如医院产科在为孕妇建档或者接生前后采集孕产妇或者新生儿个人信息,这本身是合法的,但如果没有采取安全保障措施,可能造成所采集个人信息泄露,很多母婴产品或者服务的经营者会反复向孕产妇或其家人推销相应产品或者服务,这会给受害人带来很大的侵扰。与信息收集人的安全保障义务相适应,对信息收集人应采取过错推定责任原则,个人信息权人授权其独家收集的信息一旦被泄露,应该由信息收集人举证证明自己已经对所收集的个人信息采取合理的安全保障措施,否则就需要对相关个人信息被泄露承担法律责任,这也符合举证责任分配的证据规则。
平衡好个人保护与公共安全和经济发展的关系
当今时代,刷一刷脸、刷一下身份证,一个人的全部信息便一目了然。随着大数据、人脸识别等生物信息技术的广泛应用,科技在为人们生活和社会治理提供极大便利的同时,也出现了一些风险问题引起争议。
尤其在今年突如其来的新冠疫情面前,大数据在疫情防控中发挥了重要作用。但同时也出现了一些个人信息的无序传播,一些患者、密切接触者和外地返乡人员的姓名、公民身份号码、居住地址、联系方式等信息被非法传播的现象,对个人和疫情防控工作也造成了一些负面影响。
如何平衡好保护个人信息和维护公共安全的关系,是个人信息保护法立法的一个重要考量。“个人信息保护立法,既要考虑个人日常生活中面临的问题,比如小程序、App、网页使用时个人信息的泄露等,同时还要考虑今后新的技术发展带来的知情同意方式的变化。” 全国人大常委会委员、全国人大宪法和法律委员会副主任委员周光权特别强调。
因此,草案中一大亮点是,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需, 遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供。
另外,通过“告知—同意”规则,进一步保护个人信息安全, 防止个人信息的泄露、处理、滥用等。如果草案获得通过,很多App、小程序过度收集个人敏感、隐私信息,甚至强制、捆绑式信息收集方法都可能成为违法行为,很多信息推送、广告推销将成为过去式。
刘晓春说,“可以观察到个人信息保护法案实际上采取的是一个比较严格的个人权利保护机制,那么对于数字产业如何回应或作出调整,会不会导致整个个性化推荐行业的一些实质性调整,对于这方面产生的一些成本是有争议的。另外,在整个立法过程当中,对于监管机构的设置、政府对于个人信息使用的相应规则的建构及一些罚则的条款也在进一步探讨中。”
实际上,个人信息保护法面临的并不是一个“选边站”的问题: 选择“权利保护”,抑或选择“数据流动和数字经济的发展”。其实我们面临的是一个“平衡”的问题,即在同时选择两者的基础上, 处理好天平两端的平衡关系问题。
刘晓春表示,这部立法的立场是非常鲜明的,就是要加强对于个人信息的保护,也使得个人信息泄露、滥用等一系列问题,得到一个更加周全的治理框架基础。另外, 如何落地还需要在各个领域、各个部门、各个行业进一步细化,比如内化成企业合规的机制,具体化到行政部门的政策以及相应司法部门的个案审查、司法落地措施等。
她进一步建议,希望这部法律能够构建出一些原则性的清晰条款和清楚的规制框架,在这个基础上,也给具体规则的发展和应用留出一些创新的空间,特别是对于未来产业的发展前瞻性地给出一些空间。平衡好个人信息保护与数字经济发展的关系,在充分保护个人信息安全的同时,对于产业的发展有一个预判, 在一个动态过程中去实现多赢。