编者按
2021年8月20日,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)经十三届全国人大常委会第三十次会议通过,并将于2021年11月1日起正式施行
这部法律“进一步加强个人信息保护法制保障,维护网络空间良好生态,在实现好、维护好、发展好广大人民群众个人信息权益的同时促进信息数据依法合理有效利用,推动数字经济持续健康发展”(张新宝语),“标志着我国在个人信息保护领域的法律框架基本确立”(蒋红珍语),“向世界展示了数据跨境流动制度体系的中国方案”(张凌寒语)。
除了对立法意义的探讨,我刊更注重通过法学专家的多维度解读和思考,向社会提示该法的立法重点、内在脉络、与世界法潮的互动交融,同时着眼于未来的实践需求与可能动向,对进一步完善该法及其相关配套法律法规、改善完备该法的实施环境与执法境遇作出预测、提出应对思路。
《中国法律评论》2021年第5期专论栏目按照个人信息保护法的篇章结构组稿。张新宝教授的文章《个人信息处理的基本原则》集中分析研究了《个人信息保护法》所秉持的五项基本立法原则及其相互之间的关系,申卫星教授的文章《论个人信息保护与利用的平衡》从个人信息保护与利用的平衡入手解构了该法的基本立场、立法理念和精神的内在体系,读者可以把二文作为理解该法的总论。张凌寒副教授《个人信息跨境流动制度的三重维度》蒋红珍教授《〈个人信息保护法〉中的行政监管》程啸教授《侵害个人信息权益的侵权责任》,则分别从三个重要角度解读了该法的立法重点、难点及未来法律实施中可能遇到的问题与困境,并各自阐述了相关对策建议。相信这五位作者的科研积累和学术思考,对于即将展开的法律实施和司法实践有着较高的学术价值与理论意义。
申卫星
清华大学法学院教授
秉承法律区分外在体系与内在体系的思路,我们对《个人信息保护法》的解读,既要察其总分八章的外在体系,更要领会作为该法的基本立场、理念和精神的内在体系。本文主张个人信息保护与利用的平衡是其内在体系,它贯穿于《个人信息保护法》的立法目的、基本原则、基本制度中。唯有深刻理解对个人信息保护与利用的平衡,才能准确解读、适用这部法律。在充分尊重个人信息自我决定权的前提下,促进个人信息保护与利用的平衡,维护人的尊严,促进数字经济健康发展。
目次
一、个人信息保护与利用的平衡体现于该法的立法目的
二、个人信息保护与利用的平衡体现于该法的基本原则
三、个人信息保护与利用的平衡体现于该法的基本制度
(一)个人信息保护与利用的平衡点——知情同意制度
(二)个人信息保护和利用的平衡器——风险管理制度
四、结语
本文来源为《中国法律评论》2021年第5期专论(第28-36页),原文12000余字,为阅读方便,脚注从略。如需引用,可参阅原文。购刊请戳这里。
  • 本文为国家社会科学基金重大项目“互联网经济的法治保障研究”(18ZDA149)阶段性成果。
《个人信息保护法》历经三审,2021年8月20日顺利通过,成为我国信息社会构建和数字经济发展具有里程碑意义的基础性法律,标志着我国对于个人信息的保护进入新阶段。
《个人信息保护法》共计八章,七十四条。沿袭我国立法总分结构的传统,专章设总则,分别规定了该法的立法目的和立法依据、调整范围、个人信息的界定、个人信息保护的基本原则、个人信息保护的多元共治与国际合作机制。分则分别规定了个人信息处理规则、个人信息跨境提供规则、个人在信息处理活动中的权利和个人信息处理者的义务,并明确了履行个人信息保护职责的部门,同时就个人信息处理者和个人信息履职部门及其人员的法律责任作出了严格的规定。
这些内容以及由此确立的诸多关于个人信息保护的制度,都是《个人信息保护法》的外在体系,如何正确理解这些制度将对我国未来的个人信息保护产生重要影响。
法律除了外在体系,还有其内在体系,即贯穿于整部法律始终的法律原则、法律理念、法律价值和法律精神,也是理解所有法律制度的出发点和基本立场。某种意义上说,内在体系的掌握可能比对具体制度的了解更为重要。只有在内在体系的指引下,一个完善的法律体系才得以建立,法规范之间才能融会贯通,法律的稳定性和公正性才能得以实现。
换言之,只有准确把握作为《个人信息保护法》立场和精神的内在体系,才能正确理解《个人信息保护法》所确立的诸多规则、制度、权利、义务、责任。而笔者认为个人信息保护与利用的平衡,是《个人信息保护法》的基本立场、理念、精神,是理解整部法律的内在体系和核心线索。
何以确立对个人信息保护与利用的平衡就是《个人信息保护法》的内在体系呢?推而广之地追问,我们何处找寻一部法律的内在体系?笔者以为,一部法律的内在体系绝非凭空构造,而是寓于其立法目的、法律原则和法律制度之中。
个人信息保护与利用的平衡体现于该法的立法目的
《个人信息保护法》第1条开宗明义地规定:“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。”这一规定既表明了该法的立法依据,同时指明了这部法律的立法目的,即通过规范个人信息处理活动,达致保护个人信息权益;同时促进个人信息的合理利用,也是该法的重要目的之一。
一般而言,法律的第一条都是规定立法目的和立法依据,因其过于抽象,往往为大家所忽略。但是,作为立法目的的第1条是理解任何一部法律的起点,至关重要。它贯彻于整部法律的起草,也是在立法中一系列法律制度的设计与取舍的重要依据。更应成为法律生效后理解、阐释具体法律制度的逻辑起点。
按照这样的定位,我们再来看《个人信息保护法》第1条,就会发现第1条明白无误地传递了该部法律的基本立场:既要加强对个人信息的保护,又要促进个人信息合理利用。唯有准确把握这一立场,才能正确解释、适用整部法律。
立法者之所以确立对个人信息保护与利用平衡的立场,乃是基于信息的本质。美国物理学家哈利·奈奎斯特(Harry Nyquist)和哈特莱(R. V. L. Hartley)在20世纪20年代提出了信息的早期定义。到了1948年,被称为“信息论之父”的克劳德·香农(Claude E. Shannon)在《通讯的数学理论》一文中提出:“信息是用来消除随机不确定性的东西。”
这一定义被人们看作信息的经典定义,并加以广泛引用。信息论中以熵来比喻一个人在选择要传达的信息时的选择自由度。这一概念起源于物理和工程科学,但现在在科学的所有领域和许多非科学学科中发挥着普遍的作用。熵是对无序、混乱、不确定性或随机性等模糊概念的描述,它是由鲁道夫·克劳修斯(Rudolph Clausius)19世纪在热力学中引入的,也是玻尔兹曼(Boltzmann)理论不可分割的一部分。在热力学的背景下,熵是无序的度量。随后,随着约瑟亚·吉布斯(Josiah W. Gibbs)的统计力学分析工作,这个概念的概率性质显得更加清晰。随着香农传播的数学理论的发展,熵在20世纪中叶得到了重大的复兴。
在信息的概念中有一些模棱两可的地方,在香农的理论中,信息不是衡量一个人传达了什么,而是衡量一个人可以传达什么。
由于信息乃是为了解决不确定性,因此,当一个人掌握了信息时,相较于其他不掌握该信息的人就具有了确定性。所以,信息的价值就在于他们的传播、共享,以消除不确定性。更进一层,信息在共享、传播的基础上,还可以进行信息的融合,从而产生超越时空、超越个体和局部的倍增效应。
所以,我们进行个人信息立法,一方面要加强当下对个人信息利用乱象的规范、管治,以保护个人信息安全;另一方面,信息不同于隐私,对其保护不意味着像隐私一样不为人知晓,而是要尊重个人信息的自我决定权。以《民法典》第1034条第2款所列举的电话号码为例,很多人担心电话号码泄露会引发骚扰,从而认为这些是隐私。
其实,手机号码从其设立之初的功能就是进行社会交往的,它不会像隐私一样要求被保护得严严实实的。恰恰相反,正是要通过作为个人信息的手机号码的分享,来促进社会交往。换言之,信息不是不可以利用的,只是要充分尊重用户的知情同意权,对利用个人信息的去向尊重用户的获取权,对其错误的信息予以更正乃至删除,这些都是为了保护自然人在个人信息方面的自我决定权,从而实现其在信息社会的人格尊严的完整性。
概言之,法律对于个人信息和隐私保护的立场完全不同,《个人信息保护法》虽然被称为保护法,但对个人信息的保护并非如同对隐私的保护。隐私是要保护人的私密空间、私密活动、私密信息等私人生活的安宁不被破坏,强调维护隐私的“私密性”;个人信息的主要价值在于社会交往的可识别性,其功能定位于正常社会活动和社会交往的基础,个人信息在社会交往中发挥着个人与他人及社会的媒介作用。简单地讲,信息不是为了保护而存于世间的,相反恰恰是为了利用。
所以,《个人信息保护法》要在加强个人信息保护与促进个人信息利用之间进行平衡,这构成了《个人信息保护法》的基本立场和内在体系,是理解整部法律的核心线索。
个人信息保护与利用的平衡体现于该法的基本原则
在《个人信息保护法》第一章中确立个人信息处理的基本原则,这其中有强调个人信息权益重要地位,以强化对个人信息的保护的法律原则。如《个人信息保护法》第2条规定:“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。”第10条规定:“任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。”
这两个条文来自2017年《民法总则》第111条,并为我国《民法典》第111条承继,这些条文确立了个人信息权益神圣原则。这意味着个人信息权益受到法律的特别尊重和充分保护,任何组织、个人不得侵犯,非经正当的法律程序,国家不得限制或剥夺。
而更多的法条确立的个人信息处理原则,则是体现了个人信息保护与利用平衡的理念。其中,《个人信息保护法》第5条规定,处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。这样严格的规定并不意味着个人信息不能利用,相反只有在严格保护的立场下才能促进个人信息依法有序健康长久的利用。
换言之,《个人信息保护法》不是只规定如何保护个人信息,只要遵循个人信息处理的合法、正当、必要和诚信原则,法律是鼓励对个人信息的合法利用的。这里的合法,指的是个人信息处理应当遵守法律的规定。正当原则是指处理行为的目的和手段应当具有正当性。目的正当要求个人信息处理者不得基于非法目的处理个人信息;手段正当要求个人信息处理者的处理行为须有利于其目的实现,且不得以违背诚实信用和公序良俗的方式实施。处理者必须保障个人的知情权,并提供必要的安全保障。
必要性原则又称最小必要原则,指的是处理个人信息应当限制在实现目的所需的最少个人信息范围内。收集的个人信息的类型应与个人信息处理的目的有直接关联,即如果没有上述个人信息的参与,个人信息处理目的无法实现。诚实信用原则又被称为民法的“帝王条款”,《个人信息保护法》规定诚信原则,与《民法典》形成呼应。
同样,《个人信息保护法》第6条规定:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”这一规定,确立了我国个人信息处理的目的限定原则。法律在促进个人信息利用的同时,要求个人信息的处理不能泛化,以最小必要为限。这一原则着重显示了对个人信息处理手段与目的之间关联性的考察,是比例原则中适当性与必要性原则的混合,同样体现了对个人信息利用和保护之间的平衡。
《个人信息保护法》还确立了个人信息处理的公开透明原则,要求个人信息处理者要公开个人信息处理规则,明示处理的目的、方式和范围(第7条);维护个人信息完整尊严原则,“处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响”(第8条);个人信息处理的安全保障原则,要求个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全(第9条)。
这些原则的确立,不仅有利于对个人信息的保护,更为重要的是这些原则的贯彻和实施,为个人授权平台企业处理个人信息增强了信心和制度信赖,从而为数字经济的发展和个人共享信息价值打下了坚实的基础。
总之,对于上述个人信息处理的合法、正当、必要和诚信原则、目的限定原则、公开透明原则、个人信息完整原则、安全保障原则,唯有站在充分尊重个人信息自我决定权的前提下,从如何促进个人信息利用的角度来理解,才能够准确适用。
个人信息保护与利用的平衡体现于该法的基本制度
作为《个人信息保护法》的内在体系,对个人信息保护与利用平衡的基本制度是贯穿于这部法律始终的。
(一)个人信息保护与利用的平衡点——知情同意制度
知情同意(informed consent)有两个方面的要求,一是知情,即采集个人信息时应对其进行告知;二是在真正知情前提下进行的“同意”。所谓知情权(right to be informed),是指个人信息处理者在收集个人信息时应告知信息处理者的基本信息、处理的目的、储存时间等内容。信息主体的知情权是个人信息处理透明原则的基本要求,要求个人信息处理者以清晰、明确且易懂的方式,告知信息主体有关个人信息处理的相关事项,尤其是有关个人信息处理的目的、范围、方法、时限等重要内容。
根据欧盟《通用数据保护条例》(GDPR)透明性原则的要求,个人有权知道如何收集、使用或以其他方式处理哪些个人数据,以及了解有关处理的风险、保障措施和他们的权利。其中,《通用数据保护条例》第12条规定了控制者在提供透明信息和/或传达信息主体如何行使其权利方面的广泛全面义务。要求信息必须简洁、透明、易懂且易于访问,使用清晰明了的语言,必须以书面形式提供,包括在适当的情况下以电子形式提供。
根据《通用数据保护条例》第13条的规定,数据控制者应当提供的信息包括控制者的身份和联系方式、处理的目的和法律依据、数据控制者的合法利益、个人数据的最终接收者、存储期限、信息主体的权利等。7如果个人信息处理者违反上述规定,个人信息同意的有效性会受到影响。
我国《民法典》没有明确使用“知情权”“有权知悉”等术语,也没有出现与其他权能一样的“有权”表述,第1035条对处理个人信息的规定可以被认为是知情权的体现。第1035条规定处理个人信息应符合下列条件,其中包括“(二)公开处理信息的规则;(三)明示处理信息的目的、方式和范围”。这是处理个人信息公开透明原则的体现,要求处理个人信息时应当公开处理信息的规则,并明示处理信息的目的、方式和范围,被认为是确保信息主体享有知情权。
只有让信息主体充分知悉和了解处理个人信息的规则、目的、方式和范围,了解个人信息被处理的后果和可能的影响,才可以保护信息主体关于个人信息作出决定的自主性、真实性和合理性。《民法典》第1035条对于知情权的实现用了“公开”和“明示”两个动词,本文认为,“明示”的要求更为严格,“公开”强调的是公开行为本身,而“明示”则要求信息主体充分知悉和理解,即只有信息主体明确理解了信息处理的目的、方式和范围等重要内容,才能认为信息处理者尽到了相应的义务。
《个人信息保护法》则明确了“信息主体的知情权”。第44条规定,个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。虽然在第四章“个人在个人信息处理活动中的权利”中对个人信息处理者应该公开的内容没有作进一步的明晰,但是在第一章总则第7条明确了“处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围”。第二章“个人信息处理规则”第14条、第17条等都可以理解为信息主体知情权的具体内容,包括信息处理中应当向个人告知的方式、形式、内容等,这是落实确保信息主体知情权的重要保障。
在充分知情的前提下,《民法典》第1035条第1项要求对个人信息的处理要征得自然人或其监护人的同意。《个人信息保护法》第13条第1款第1项,更是以“取得个人同意”作为个人信息处理正当性的首要合法性基础。同时,第14条明确规定,“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出”。这些规定,结合对个人信息利用的告知,确立了我国个人信息的知情同意权(能)。
就知情同意的“同意”一面,《个人信息保护法》确立了周密细致的个人信息同意制度。其中第14条还规定,“法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意”。其中,对于个人信息处理者向其他个人信息处理者提供所处理的个人信息(第23条)、处理敏感个人信息(第29条)、向境外提供个人信息(第39条)等,提出了更高的要求,须单独同意方可处理;处理未满14周岁未成年人个人信息的,应当取得监护人的同意等(第31条)。可以说,随着《个人信息保护法》的颁布和实施,我们建立了完整的个人信息保护知情同意制度。
在个人信息处理规则的制度设计上,《个人信息保护法》第13条一方面要求充分尊重个人的同意,体现了加强个人信息权益保护的一面;另一方面,作为个人信息同意的例外,《个人信息保护法》又于第13条第1款第(2)至第(6)项特别地规定了如下情形可以不需取得个人同意:
1.为订立、履行个人作为一方当事人的合同或者人力资源管理所必需。作为一种独立的合法性基础,合同或人力资源管理必需规则旨在避免因同意过于泛滥而破坏正常的私法交易秩序,具有重要意义。此时尽管其中也包含信息主体“同意”的意愿,但绝非严格的个人信息保护法意义上的同意,因此不适用同意能力(《个人信息保护法》第31条)、任意撤回(《个人信息保护法》第15条)、禁止捆绑(《个人信息保护法》第16条)等为个人信息同意而专门设立的规则,仅根据合同及相关事实或人力资源管理需要即发生合法处理个人信息的法律效果。
2.为履行法定职责或者法定义务所必需。这里包含两种情况,一是法律规定处理者对于处理行为负有义务,其不能拒绝处理个人信息;二是法定职责是指法律规定处理者负有特定公共任务。在这些情况下,个人信息处理者基于其法定职责和义务,无须征得同意就可以进行个人信息处理。
3. 为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需。在突发公共卫生事件中,为了维护公众健康,需要及时进行公共卫生监测、预警、发布、处置和应急,这一过程离不开对个人信息的处理。“保护自然人的生命健康和财产安全所必需”大致可以和《民法典》第1036条相对应,但有以下几点不同:
一是该项将保护对象由《民法典》第1036条中的“该自然人”拓展为“信息主体+非信息主体”。换言之,为了保护非信息主体的其他自然人的生命财产安全也可以进行必要的处理行为;二是《个人信息保护法》将保护的利益范围由《民法典》中的“该自然人合法利益”改为自然人“生命健康和财产安全”,表述更加具体、明确;三是《民法典》没有规定为保护自然人合法利益而处理信息的限制条件,而《个人信息保护法》规定只有处于紧急情况下才可以处理,这一转变体现了对个人信息处理和自然人生命健康和财产安全保护的利益权衡。
4.依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息。这一规则在《民法典》第1036条第2项即已出现,表述为处理者合理处理该自然人自行公开的或者其他已经合法公开的信息不承担民事责任,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外。《个人信息保护法》第13条第5项应当与《民法典》第1036条第2项做相同理解,将自然人明确拒绝信息处理或者处理该信息侵害其重大利益作为例外情形,避免侵犯信息主体的人格尊严。
5.为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息。本项列举事项与《民法典》第1025条对名誉权的限制一致,均为新闻报道和舆论监督。适用条件有二,一是处理目的必须是为了公共利益,二是处理行为要在合理范围内。其中,“在合理范围内”以事前利益权衡为必要。处理者应当事先谨慎而有效地进行评估。这种评估不是概括评价,而是要根据具体情况具体分析,评估结果应当公开透明,可以为利益相关者所获得。
以上这些情形,何以不需要取得同意?因为这些例外情形,可能是基于信息主体的先前行为,也可能是基于紧急情况下为了保护信息主体的权益,更多的是出于公共利益的需要,保障国家机关履职或者保护舆论监督。究其根本,在于这些特定情形有对个人信息利用的需求和正当理由。在比例原则的基础上,通过对个人信息权益受损程度、所保护的利益的重要性进行利益权衡,从而实现个人利益与公共利益、信息主体利益与信息处理者利益、非信息主体利益与信息主体利益的平衡。上述对个人信息利用合法性基础多元化的立法,充分反映了个人信息保护与利用的平衡。
《个人信息保护法》第15条规定:“基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。”这一规则又被称为“个人信息同意任意撤回”(Freie Widerrufbarkeit der Einwilligung),体现了对知情同意原则的贯彻。
理由在于:信息主体在同意个人信息处理时,可能并不清楚这一决定对自己将带来怎样的后果。随着数据分析工具的发展,人们越来越难以预测数据将在怎样的范围和程度上揭露其人格特征。随着时间的推移,人们的个人信息保护偏好完全可能发生转变。如果不允许信息主体撤回其同意的话,将会造成对个人信息自决权和知情同意原则的侵蚀。
(二)个人信息保护和利用的平衡器——风险管理制度
现代社会已然进入了一个风险社会,对风险的管控必须采取科学的态度,即对风险预测、风险交流、风险评估、风险控制等要有一系列科学的风险管理措施。德国社会学家乌尔里希·贝克(Ulrich Beck)认为,当今社会的风险已经不再是个人的风险,而是全球性、系统性的现象。所谓风险,指的是系统处理现代化引发的危险和不安全感的方式,它是与现代化的威胁力量以及现代化引致的怀疑的全球化相关的一些后果。
在贝克看来,工业社会和现代社会分别对应第一现代性和第二现代性。工业社会通过风险的增长和对风险的经济开发,系统地滋生了自己的困境。现代性本来强调的是对不确定性的理性控制,但理性的发展却反而滋生与促成了更多的不确定性。前文已述及信息不同于隐私,其主要功能在于共享、交流,以消除不确定性。而现代社会之所以称为信息社会,就是建立在信息的利用上。所以,在现代风险中加强对个人信息的保护,并非要绝对消除风险,而是要基于数字经济发展的实际和人格尊严保护的需要,科学管控好风险,以此实现个人信息保护与利用的平衡。
基于个人信息保护与利用的平衡理念下的风险管理,首要措施就是分类分级管理。因为,不同等级不同类别的风险如都采取同一标准进行管控,必然会造成要么标准过严而致成本过高,从而阻碍信息的利用;要么标准过低,无法有效地管控风险。《个人信息保护法》的立法者很好地运用了分类分级管理的风险管理制度设计,具体表现如下:
1.将作为保护客体的个人信息进行分类,区分为一般信息与敏感信息。所谓敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满14周岁未成年人的个人信息。对于此类信息,《个人信息保护法》要求只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理(第28条第2款)。且与一般个人信息处理采取概括同意不同,对于个人敏感信息的处理应当取得个人的单独同意;如果法律、行政法规规定处理敏感个人信息应当取得书面同意的,要从其规定。
2.将个人信息权利主体进行分类,区分未成年人与成年人。未成年人心智发育尚不成熟,对于个人信息的采集和处理,极易因其“个人同意能力”不足,而侵害其利益。《个人信息保护法》明确将未成年人的个人信息列为敏感信息,以加强保护。同时,明确要求对于未满14岁未成年人个人信息进行处理时,应当征得未成年人父母或者其他监护人的同意,同时要专门制定针对此类未成年人的个人信息处理规则。显然,这样严格的措施,不必推广到成年人。
3.将个人信息处理的义务主体进行分类,区分重要平台与一般平台。《个人信息保护法》第58条将提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,界定为重要平台企业。它们要负有比一般平台更多的义务,包括:(1)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;(2)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;(3)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;(4)定期发布个人信息保护社会责任报告,接受社会监督。
这些义务的设置是基于大型平台企业的公众性和影响力,其已绝非单纯的市场主体。对于互联网平台企业进行分类规制,在《个人信息保护法》一审稿中并没有出现,是学者的努力,才在二审稿中出现,并在三审稿中优化。张新宝教授曾明确指出,在互联网技术不断迭代发展的过程中,所形成的对互联网生态具有极强控制力和影响力的大型在线企业,成长为有能力管控特定网络空间的个人信息收集和处理行为的“守门人”。给此等企业设置与其能力相适应的特别个人信息保护义务以区别于一般个人信息处理者的个人信息保护义务,既具有法理基础和经济上的合理性,也符合互联网治理的世界潮流,能够更有效地保护自然人的个人信息。显然,这样高标准的义务没有必要也没有可能赋予所有的平台企业,那样会使得小企业不堪重负而退出竞争,反而不利于个人信息保护和利用的多样化。
4.个人信息风险管理的自律和他律。对风险的管理一直存在一种误区,就是风险是因为管理而消除的,甚至可能会有一种幻觉就是管理得越严格,风险越小。真正的科学的风险管理,不能完全依靠政府的监管,尚需依靠建立在他律和自律基础上的多元共治。
他律机制在《个人信息保护法》中得到充分的体现,除了第六章规定的履行个人信息保护职责的部门可以采取的种种政府监管措施以外,还有如下他律机制:
一是个人信息审计制度,《个人信息保护法》第54条规定,个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。二是个人信息评估制度。《个人信息保护法》第55条规定,凡是处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息或者向境外提供个人信息以及其他对个人权益有重大影响的个人信息处理活动,个人信息处理者都应当事前进行个人信息保护影响评估。
评估的内容包括:(1)个人信息的处理目的、处理方式等是否合法、正当、必要;(2)对个人权益的影响及安全风险;(3)所采取的保护措施是否合法、有效并与风险程度相适应(第56条)。通过这些第三方的审计和评估制度,形成对个人信息处理者的他律,同时市场也会随着审计和评估结果的公布,发挥“用脚投票”的作用。
重要平台企业的守门人义务也会发挥他律的作用,分散政府监管的压力。正如学者指出的那样,移动互联网生态个人信息保护的实际情况决定了现有的监管思路——“一个一个去评估”和“一个一个去整改”,并不适应目前海量移动APP收集、使用个人信息的客观情况,更有效的监管路径应该是控制一般移动APP技术和运营环境的“守门人”。通过对移动互联网生态中的“守门人”施加额外的义务,就能够对移动APP收集、使用个人信息的行为产生“卡脖子”效应,起到事半功倍的效果。
他律机制还包括公益诉讼,由于在实践中个人信息受害者分散,个人维权成本高,举证能力有限,个人提起诉讼维权的情况相对较少,而公益诉讼制度能够有效弥补这一不足。《个人信息保护法》第70条规定,个人信息处理者违反本法规定处理个人信息,侵害众多个人权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。相信随着《个人信息保护法》的实施,一系列的公益诉讼会为个人信息的保护和健康利用创造良好的社会环境。
自律机制包括严格的法律责任设定。根据《个人信息保护法》第69条第1款的规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。采取过错推定的责任形态,有利于增强个人信息处理者的责任心。同时,法律考虑了平台企业的优势地位,将举证责任倒置分配。也同样是基于这样的考虑,在用户难以证明自己的损失时,赔偿采取按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。
自律机制还体现在行政处罚上。《个人信息保护法》第66条第2款规定,对违法进行个人信息处理且情节严重者,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处5000万元以下或者上一年度营业额5%以下罚款。这样的高额罚款可以对进行个人信息处理的平台企业产生威慑,强化法律的行为引导的教育功能,通过自律来加强对个人信息的保护,促进个人信息的合法利用。
此外,根据《个人信息保护法》第11条的规定,国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。据此,我们期待可以形成个人信息保护的多元共治局面。
结语
《个人信息保护法》的颁布和施行是我国个人信息保护历程中的一件大事,表明我国保护个人信息权益、规范个人信息处理活动、促进个人信息合理利用的决心。大数据时代,信息处理活动在给人们生活带来极大便利的同时,也给个人信息保护带来了风险。理论界与实务界应当及时梳理、关注、研究新情况、新趋势,努力达成共识,推动《个人信息保护法》的贯彻落实,促进个人信息保护与利用的平衡,在维护人之尊严的同时,促进数字经济健康发展。
《中国法律评论》
2021年第5期(总第41期)
《中国法律评论》
基 本 信 息
定价:408.00元
出版:法律出版社
期刊号:CN10-1210/D
出版时间:2022年
册数:全年6册装
点击上图即可购买
2022年《中国法律评论》(全六册)
点击阅读原文,即可购刊包邮~
中国法律评论
我刊由中华人民共和国司法部主管、法律出版社有限公司主办。国家A类学术期刊,中文社科引文索引(CSSCI)来源期刊,人大复印报刊资料重要转载来源期刊。我刊秉持“思想之库府,策略之机枢”之理念,立足于大中华,聚焦中国社会的法治问题,检视法治缺失与冲突,阐释法律思想,弘扬法律精神,凝聚法律智慧,研拟治理策略,为建设法治中国服务,为提升法治效能服务,为繁荣法学服务。
《中国法律评论》唯一投稿邮箱:
[email protected]
中法评微信公众号投稿邮箱:
[email protected]
刊号:CN10-1210/D.
订刊电话:010-83938198
订刊传真:010-83938216
继续阅读
阅读原文