酝酿多年的《中华人民共和国个人信息保护法》终于在2021年8月20日出台,作为“百年未有之大变局”的制度回应,个人信息保护法外引域外立法智慧,内接本土实务经验,熔“个人信息权益”的私权保护与“个人信息处理”的公法监管于一炉,统合私主体和公权力机关的义务与责任,兼顾个人信息保护与利用,奠定了我国网络社会和数字经济的法律之基。为了充分理解个人信息保护法的内涵,我们不妨从世界维度与中国维度着眼,以展现其深远意义。
顺应世界潮流
个人信息保护的立法可追溯至德国黑森州1970年《资料保护法》。此后,瑞士(1973)、法国(1978)、挪威(1978)、芬兰(1978)、冰岛(1978)、奥地利(1978)、冰岛(1981)、爱尔兰(1988)、葡萄牙(1991)、比利时(1992)等国的个人信息保护法亦景从云集。在大西洋彼岸,1973年美国发布“公平信息实践准则”报告,确立了处理个人信息处理的五项原则:(1)禁止所有秘密的个人信息档案保存系统;(2)确保个人了解其被收集的档案信息是什么,以及信息如何被使用;(3)确保个人能够阻止未经同意而将其信息用于个人授权使用之外的目的,或者将其信息提供给他人,用作个人授权之外的目的;(4)确保个人能够改正或修改关于个人可识别信息的档案;(5)确保任何组织在计划使用信息档案中的个人信息都必须是可靠的,并且必须采取预防措施防止滥用。在“公平信息实践准则”所奠定的个人信息保护基本框架之上,美国《消费者网上隐私法》《儿童网上隐私保护法》《电子通讯隐私法案》《金融服务现代化法》(GLB)《健康保险流通与责任法》(HIPAA)《公平信用报告法》相继出台。
进入21世纪,在数字化浪潮的推动下,个人信息保护的立法陡然加速。2000到2010年,共有40个国家颁布了个人信息保护法,是前10年的两倍,而2010年到2019年,又新增了62部个人信息保护法,比以往任何10年都要多。延续这一趋势,截至2029年将会有超过200个国家或地区拥有个人信息保护法。
我国个人信息保护法正是此历史进程中的重要一环。回顾过往,世界个人信息保护法迄今已经历了三代。第一代以经合组织1980年《关于隐私保护与个人数据跨境流通指引》和1981年欧洲理事会《有关个人数据自动化处理之个人保护公约》为起点。第二代以欧盟1995年《个人数据保护指令》为代表,其在第一代原则的基础上加入了包括“数据最少够用”“删除”“敏感信息”“独立的个人信息保护机构”等要素。第三代即为2018年生效的欧盟《通用数据保护条例》(GDPR)。与第二代相比,GDPR大大拓展了信息主体权利,并确立了一系列新的保护制度。我国个人信息保护法采取“拿来主义、兼容并包”的方法,会通各国立法,借鉴世界第三代个人信息保护法的先进制度,铸就熨帖我国国情的规则设计。这主要体现在:
其一,在体例结构上,将私营部门处理个人信息和国家机关处理个人信息一体规制,除明确例外规则外,确保遵循个人信息保护的同一标准。基于此,个人信息保护法两线作战,即直面企业超采、滥用用户个人信息的痼疾,又防范行政部门违法违规处理个人信息的问题,最大限度地保护个人信息权益。其二,在管辖范围上,个人信息保护法统筹境内和境外,赋予必要的域外适用效力,以充分保护我国境内个人的权益。其三,在“个人信息”认定上,采取“关联说”,将“与已识别或者可识别的自然人有关的各种信息”均囊括在内。其四,在个人信息权益上,不仅赋予个人查询权、更正权、删除权、自动化决策的解释权和拒绝权以及有条件的可携带权等“具体权利”,而且从中升华为“个人对其个人信息处理的知情权、决定权,限制或者拒绝他人对其个人信息进行处理”的“抽象权利”,由此形成法定性和开放性兼备的个人信息权益体系。其五,在个人信息跨境上,采取安全评估、保护认证、标准合同等多元化的出境条件。其六,在大型平台监管上,对“重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”苛以“看门人”义务,完善个人信息治理。
贡献中国智慧
我国个人信息保护法决不只是回应世界潮流之举,事实上,它也是我国法律体系自我完善、自我发展的必然结果。从2018年9月个人信息保护法被纳入“十三届全国人大常委会立法规划”,位列“条件比较成熟、任期内拟提请审议”的69部法律草案之中,到如今个人信息保护法正式颁行,看起来不过历时三载,但追根溯源,距离2012年《全国人大常委会关于加强网络信息保护的决定》已有10年,距离2003年国务院信息化办公室部署个人信息保护法立法研究工作已有18年。在近20年的进程中,我国个人信息保护规范日渐丰茂,网络安全法、新修订的消费者权益保护法、电子商务法、刑法修正案九、民法典等对个人信息保护作出了相应规定,及时回应了国家、社会、个人对个人信息保护的关切。然而,这种分散式的立法,也面临着体系性和操作性欠缺、权利救济和监管措施不足的困境,正因如此,一部统一的个人信息保护法正当其时。
任何法律都是特定时空下社会生活和国家秩序的规则,个人信息保护法概莫能外。我国个人信息保护法以现实问题为导向,以法律体系为根基,统筹既有法律法规,体察民众诉求和时代需求,将之挖掘、提炼、表达为具体可感、周密详实的法律规则,以维护网络良好生态,促进数字经济发展。我国个人信息保护法的中国智慧和中国方案包括但不限于:
其一,在法律渊源上,将个人信息保护上溯至宪法,经由宪法第33条第三款“国家尊重和保障人权”、第38条“中华人民共和国公民的人格尊严不受侵犯”、第40条“中华人民共和国公民的通信自由和通信秘密受法律的保护”,宣誓、夯实、提升了个人信息权益的法律位阶。其二,在立法目的上,将“保护个人信息权益”和“促进个人信息合理利用”作为并行的规范目标,秉持“执其两端,用其中于民”的理念,满足人们对美好生活的向往。为此,个人信息保护法拓展了民法典“知情同意+免责事由”的规则设计,采取了包括个人同意、订立和履行合同、履行法定职责和法定义务、人力资源管理、突发公共卫生事件应对、公开信息处理、新闻报道、舆论监督等多元正当性基础。其三,在规范主体上,将“个人信息处理者”作为主要义务人,将“接受委托处理个人信息的受托人”作为辅助人,承担一定范围内的个人信息安全保障义务。其四,在保护程度上,对于未成年人的个人信息、特定身份、行踪轨迹、生物识别等信息予以更高力度的保护。其五,在适用场景上,对于“差别化定价”“个性化推送”“公共场所图像采集识别”等社会反映强烈的问题,予以专门规制;开展公开或向第三方提供个人信息、处理敏感个人信息、个人信息出境等高风险处理活动的,应当取得个人的“单独同意”。其六,在监管体制上,个人信息保护法采取了“规则制定权相对集中,执法权相对分散”的架构,由国家网信部门统筹协调有关部门制定个人信息保护具体规则、标准,国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。
“十年辛苦不寻常”,我国个人信息保护法是过往世界经验和中国智慧的结晶。但同时,“徒法不足以自行”,在立法大功告成之后,个人信息保护法还有待司法和执法的后续接力,才能真正落地生根,最终成为护持个人权益、激励稳健发展、连接国家命运的数字时代基本法。从出台到实施,个人信息保护法依然任重而道远。(作者:许可,对外经济贸易大学数字经济与法律创新研究中心执行主任)