2020 年10月����,十三屆全國人大常委會第二十二次會議對《中華人民共和國個人信息保護(hù)法(草案)》(以下簡稱《草案》)進(jìn)行了第一次審議����,并在會后向社會公開征求意見?�!恫莅浮酚心男┝咙c(diǎn)�?有哪些地方需要進(jìn)一步完善?
《草案》對個人信息保護(hù)的規(guī)則和制度作出嚴(yán)謹(jǐn)細(xì)致���、科學(xué)完善的規(guī)定�����。其中���,最值得肯定之處是關(guān)于個人信息權(quán)益的規(guī)定,一方面�����,明確規(guī)定了自然人的個人信息權(quán)益,并以保護(hù)個人信息權(quán)益作為首要立法目的���;另一方面�,還對個人信息權(quán)益的內(nèi)容和實(shí)現(xiàn)機(jī)制以及侵害該權(quán)益的民事責(zé)任作出具體規(guī)定����。
以保護(hù)個人信息權(quán)益為根本立法目的
任何法律的立法目的都是多元化的,個人信息保護(hù)法也不例外���。作為個人信息保護(hù)領(lǐng)域的一項(xiàng)基本法律�,個人信息保護(hù)法既要保護(hù)自然人對其個人信息的合法權(quán)益���,也要維護(hù)人們合理利用個人信息的自由��,從而實(shí)現(xiàn)二者的協(xié)調(diào)均衡����。
過度�、極端地保護(hù)個人信息����,勢必阻礙個人信息的自由流動,產(chǎn)生信息孤島�,扼殺網(wǎng)絡(luò)科技和數(shù)字經(jīng)濟(jì)的發(fā)展�����,最終對自然人也是不利的�����;反之����,為了發(fā)展網(wǎng)絡(luò)科技和數(shù)字經(jīng)濟(jì)��,罔顧自然人的合法權(quán)益�����,任由各種非法公開���、買賣�����、使用個人信息的行為肆無忌憚地橫行�����,給廣大人民的生命財(cái)產(chǎn)安全造成損害��,這樣的發(fā)展也是不可持續(xù)的��。
因此����,《草案》第一條就明確規(guī)定了個人信息保護(hù)法的立法目的是“保護(hù)個人信息權(quán)益,規(guī)范個人信息處理活動�����,保障個人信息依法有序自由流動�����,促進(jìn)個人信息合理利用”��。
雖然立法目的是多元的��,但仍有輕重主次之分�,尤其是在多個立法目的發(fā)生沖突時�����,不可避免地要對優(yōu)先實(shí)現(xiàn)的立法目的做出選擇。這不僅貫徹在立法者對相關(guān)法律條文的起草當(dāng)中����,也落實(shí)在執(zhí)法者和司法機(jī)關(guān)處理相關(guān)糾紛的過程中。
關(guān)于個人信息保護(hù)法的立法目的中的輕重主次�����,《草案》給出明確的回答�。
一方面,《草案》第一條在明確立法目的時��,將“保護(hù)個人信息權(quán)益”放在首位���,而將“保障個人信息依法有序自由流動”等其他目的置于其后�����,這就表明“保護(hù)個人信息權(quán)益”是我國個人信息保護(hù)立法的首要目的����。
另一方面�,《草案》第二條明確規(guī)定:“自然人的個人信息受法律保護(hù)���,任何組織、個人不得侵害自然人的個人信息權(quán)益”����,這一規(guī)定并非簡單重復(fù)或宣示,而是凸顯出保護(hù)個人信息權(quán)益這一立法目的在整個《草案》中的優(yōu)先地位���。
結(jié)合當(dāng)下的現(xiàn)實(shí)生活��,各種非法收集�、使用����、公開甚至買賣個人信息的違法行為時有發(fā)生。例如�����,“徐玉玉因信息泄露而被騙學(xué)費(fèi)引發(fā)急病發(fā)作死亡”以及“清華大學(xué)教師被電信詐騙 1700 多萬元”等案件引發(fā)了輿論關(guān)注�����,這類違法行為對廣大人民群眾的人身權(quán)和財(cái)產(chǎn)權(quán)造成嚴(yán)重的損害和威脅�。
由此可見�,《草案》將個人信息權(quán)益保護(hù)作為首要立法目的是科學(xué)合理的���,應(yīng)當(dāng)給予高度肯定。
中國特色社會主義法治建設(shè)的根本目的就是保障人民合法權(quán)益���,從而不斷滿足人民日益增長的美好生活需求��。黨的十九大報(bào)告明確提出���,要保護(hù)人民人身權(quán)、財(cái)產(chǎn)權(quán)����、人格權(quán)。
無論是《中華人民共和國民法典》(以下簡稱《民法典》)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國電子商務(wù)法》等既有的法律���,還是正在審議的個人信息保護(hù)法�����,它們對個人信息保護(hù)的規(guī)定�,實(shí)質(zhì)上都是要充分保護(hù)廣大人民群眾的人身權(quán)和財(cái)產(chǎn)權(quán)�����。
個人信息只是可以識別特定自然人的信息,保護(hù)個人信息本身不是目的�,保護(hù)個人信息的實(shí)質(zhì)是防止因?yàn)閭€人信息的非法處理而產(chǎn)生的對自然人的人格尊嚴(yán)、人身自由�、生命權(quán)、健康權(quán)����、財(cái)產(chǎn)權(quán)等民事權(quán)益而產(chǎn)生的危險(xiǎn)、侵害以及實(shí)際造成的損害���。至于個人信息處理者對于個人信息合理利用的需要�����,要么是為了實(shí)現(xiàn)其自身的經(jīng)濟(jì)利益�����,要么是行政管理職責(zé)的落實(shí)�����。
從權(quán)益的價值位階上來看�����,廣大人民群眾的人格尊嚴(yán)����、人身權(quán)的位階顯然要高于個人信息處理者的經(jīng)濟(jì)需要和管理需要�����。
《草案》以保護(hù)個人信息權(quán)益作為首要立法目的��,不僅貫徹落實(shí)了《憲法》尊重人權(quán)��、保護(hù)人格尊嚴(yán)的要求�����,彰顯了對人格尊嚴(yán)和人格自由的尊重�,使得個人信息保護(hù)的法律制度具備充分的正當(dāng)性基礎(chǔ),同時�,有助于個人信息保護(hù)法在實(shí)現(xiàn)自然人的個人信息權(quán)益與信息自由 ( 信息的流動、共享與合理利用 ) 這兩個法律價值的權(quán)衡與協(xié)調(diào)��,防止因主體缺位而造成個人信息保護(hù)立法淪落為利益相關(guān)方圍繞著個人信息 ( 數(shù)據(jù) ) 這一稀缺資源展開的爭奪戰(zhàn)�,甚至使得法律規(guī)定成為一方打擊另一方����,進(jìn)而限制競爭���、維護(hù)信息壟斷地位的手段�����,最終損害整體的社會福利���。
個人信息權(quán)益的內(nèi)容、實(shí)現(xiàn)機(jī)制與民事責(zé)任
為充分實(shí)現(xiàn)對自然人的個人信息權(quán)益的保護(hù)��,并與《民法典》人格權(quán)編第六章“隱私權(quán)與個人信息保護(hù)”的規(guī)定相銜接����,《草案》第四章對“個人在個人信息處理活動中的權(quán)利”作出詳細(xì)規(guī)定。
該章節(jié)明確了個人信息處理活動中個人的各項(xiàng)權(quán)利�,包括知情權(quán)、決定權(quán)��、查詢權(quán)����、更正權(quán)����、刪除權(quán)等��,并要求個人信息處理者建立個人行使權(quán)利的申請受理和處理機(jī)制�。《草案》對個人信息權(quán)益的規(guī)定有以下幾大亮點(diǎn)���。
1、賦予自然人對其個人信息處理的知情權(quán)和決定權(quán)
《草案》第四十四條明確了“個人對其個人信息的處理享有知情權(quán)�、決定權(quán),有權(quán)限制或者拒絕他人對其個人信息進(jìn)行處理�����;法律�、行政法規(guī)另有規(guī)定的除外”。有學(xué)者提出���,這一規(guī)定類似德國民法中的“信息的自決權(quán)(Rechtauf Informationelle Selbstbestimung)”�。
通過賦予自然人對其個人信息處理的知情權(quán)和決定權(quán)��,才使得個人在面對某種可能性的時候享有作出或者決定的自由,并依照此種決定而行為��。
現(xiàn)代社會是信息社會�、大數(shù)據(jù)時代,基于專業(yè)知識��、信息不對稱���、經(jīng)濟(jì)上的弱勢地位等原因�����,自然人無法有效掌握自身的信息�����,也不知道自己的何種信息被何人處理���,而且即便知道也往往難以理解并加以控制。
因此��,為了實(shí)現(xiàn)對個人信息權(quán)益的有效保護(hù)��,使得自然人具有真正的選擇自由的可能�����,就必須賦予自然人對個人信息的知情權(quán)和決定權(quán)。
也正是因?yàn)橘x予其這些權(quán)利���,個人信息處理者在沒有對自然人進(jìn)行充分的告知并取得自然人的同意時����,不能處理其個人信息���。
除非法律��、行政法規(guī)另有規(guī)定��,個人信息處理者才有義務(wù),對其個人信息處理規(guī)則向自然人進(jìn)行解釋說明���,自然人也才據(jù)此享有查閱���、復(fù)制其個人信息的權(quán)利,并在個人信息不準(zhǔn)確���、不完整時�����,有權(quán)要求個人信息處理者進(jìn)行更正�����、補(bǔ)充����,并且在符合規(guī)定的條件時有權(quán)要個人信息處理者刪除其個人信息。
因此�����,《草案》第四十四條關(guān)于個人對其個人信息的知情權(quán)和決定權(quán)�,真正為個人信息權(quán)益的其他權(quán)能奠定了基礎(chǔ)。從這一點(diǎn)上說�����,《草案》的規(guī)定較之于《民法典》關(guān)于個人信息保護(hù)的規(guī)定更加科學(xué)合理��。
2�����、規(guī)定了自然人行使刪除權(quán)的具體情形
《民法典》第1037 條第二款規(guī)定:“自然人發(fā)現(xiàn)信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定處理其個人信息的�,有權(quán)請求信息處理者及時刪除?��!边@屬于比較原則性的規(guī)定��,具體何種情形下����,自然人可以請求個人信息處理者及時刪除個人信息���,并不明確��。
《草案》對此作出細(xì)化規(guī)定��,第四十七條不僅規(guī)定了個人可以請求刪除的情形��,還明確規(guī)定了個人信息處理者應(yīng)當(dāng)主動刪除的情形,具體包括:(一)約定的保存期限已屆滿或者處理目的已實(shí)現(xiàn)���;(二)個人信息處理者停止提供產(chǎn)品或者服務(wù)����;(三)個人撤回同意;(四)個人信息處理者違反法律���、行政法規(guī)或者違反約定處理個人信息�����;(五)法律�、行政法規(guī)規(guī)定的其他情形���。
3�����、為個人信息權(quán)益的實(shí)現(xiàn)提供了程序保障
權(quán)利與義務(wù)相對應(yīng)�����,沒有義務(wù)人的積極作為義務(wù)或者消極不作為義務(wù)的配合���,權(quán)利可能無法實(shí)現(xiàn)或難以保護(hù)。
賦予自然人以各種個人信息權(quán)益�����,如果不能明確義務(wù)人的義務(wù),并為權(quán)利的實(shí)現(xiàn)提供程序保障的話�,那么相關(guān)規(guī)定即使再完善,也只是“紙面上的權(quán)利”�。
在面對個人信息處理者尤其是大型互聯(lián)網(wǎng)企業(yè)以及國家機(jī)關(guān)時,自然人的個人信息權(quán)益如何行使是非?����,F(xiàn)實(shí)的問題�����。例如��,當(dāng)需要請求刪除個人信息時�,自然人應(yīng)當(dāng)聯(lián)系誰、通過何種程序�、提供哪些資料等程序規(guī)則不明確,就難以實(shí)現(xiàn)刪除權(quán)�����。
有鑒于此����,《草案》第四十九條規(guī)定:“個人信息處理者應(yīng)當(dāng)建立個人行使權(quán)利的申請受理和處理機(jī)制。拒絕個人行使權(quán)利的請求的��,應(yīng)當(dāng)說明理由��?����!?/p>
這就意味著�,個人信息處理者負(fù)有建立保障自然人行使個人信息權(quán)益的程序機(jī)制的義務(wù)并且受該程序機(jī)制的約束,在拒絕個人行使權(quán)利時�����,也應(yīng)當(dāng)說明理由��。
4��、規(guī)定了侵害個人信息權(quán)益的民事責(zé)任
沒有法律責(zé)任的法律條文就如同沒有牙齒的老虎��,法律責(zé)任中刑事責(zé)任����、行政責(zé)任固然重要,但民事責(zé)任也不可或缺�。
通過明確侵害個人信息權(quán)益的民事責(zé)任����,可以充分調(diào)動廣大自然人保護(hù)個人信息的積極性���,鼓勵人們就侵害個人信息的行為提起民事賠償訴訟��,包括由法律規(guī)定的國家機(jī)關(guān)就大規(guī)模侵害個人信息的行為提起公益訴訟����,從而將個人信息權(quán)益的保護(hù)落到實(shí)處���。
《草案》對此作出了有針對性的規(guī)定�����。
一方面�����,《草案》第六十五條規(guī)定:“因個人信息處理活動侵害個人信息權(quán)益的�,按照個人因此受到的損失或者個人信息處理者因此獲得的利益承擔(dān)賠償責(zé)任�����;個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的,由人民法院根據(jù)實(shí)際情況確定賠償數(shù)額�。個人信息處理者能夠證明自己沒有過錯的�����,可以減輕或者免除責(zé)任����。”
該條明確了侵害個人信息權(quán)益的歸責(zé)原則為過錯推定責(zé)任�����,同時明確了侵害個人信息的損害賠償?shù)拇_定方法��。
另一方面����,《草案》還規(guī)定了侵害個人信息權(quán)益的公益訴訟,即第六十六條規(guī)定:“個人信息處理者違反本法規(guī)定處理個人信息 , 侵害眾多個人的權(quán)益的�����,人民檢察院、履行個人信息保護(hù)職責(zé)的部門和國家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟����。”這一規(guī)定有利于解決大規(guī)模侵害個人信息時單個自然人因經(jīng)濟(jì)力量�����、專業(yè)知識等原因而面臨的維權(quán)困境���。
對《草案》關(guān)于個人信息權(quán)益規(guī)定的完善建議
《草案》對個人信息權(quán)益的規(guī)定具有很多值得肯定的地方��,但仍有需要進(jìn)一步完善之處���,具體闡述如下。
01《草案》第四章“個人在個人信息處理活動中的權(quán)利”的順序不妥��,建議放在第一章“總則”之后作為第二章�,即調(diào)整到現(xiàn)在的第三章“個人信息處理規(guī)則”之前。
這是因?yàn)?,正是由于法律明確承認(rèn)了自然人的個人信息權(quán)益,才要對個人信息處理者的行為進(jìn)行規(guī)范���,施加各種法律義務(wù)如告知同意等給那些信息處理者�����。例如�����,《草案》第四十四條承認(rèn)的自然人對其個人信息享有的決定權(quán)�����,有權(quán)拒絕他人對其個人信息的處理����。
故此���,只有遵循告知同意規(guī)則才能免除信息處理者處理個人信息的行為的違法行為��,這種信息處理才是合法的����。
故此���,應(yīng)當(dāng)先規(guī)定個人對其個人信息的權(quán)利�����,再規(guī)定個人信息處理的規(guī)則���。這也符合立法上先規(guī)定權(quán)利���,再規(guī)定義務(wù),最后規(guī)定法律責(zé)任的立法體例�。
從比較法來看,如歐盟《一般數(shù)據(jù)保護(hù)條例》(GDPR)也是在第三章規(guī)定數(shù)據(jù)主體的權(quán)利��,即緊接著第二章基本原則之后就作出規(guī)定�����,之后再規(guī)定數(shù)據(jù)處理的規(guī)則等內(nèi)容�。
02《草案》第四十六條是對自然人的更正和補(bǔ)充個人信息的權(quán)利的規(guī)定。但需要進(jìn)一步明確����,如果個人信息處理者不及時更正、補(bǔ)充的����,應(yīng)當(dāng)承擔(dān)相應(yīng)的法律責(zé)任�����。
因此�����,建議將該條第二款修改為“自然人請求更正���、補(bǔ)充其個人信息的,個人信息處理者應(yīng)當(dāng)對其個人信息予以核實(shí)����,并及時更正�����、補(bǔ)充��;未及時更正�、補(bǔ)充,造成損害的����,依法承擔(dān)民事責(zé)任”�����。
03《草案》第四十八條應(yīng)當(dāng)明確個人信息處理者不僅要對個人信息處理規(guī)則進(jìn)行解釋說明�,還應(yīng)當(dāng)對自然人行使權(quán)利的申請受理和處理機(jī)制等進(jìn)行解釋說明����。
故此,建議將本條與第四十九條的順序進(jìn)行調(diào)整��,并將本條修改為“自然人有權(quán)要求個人信息處理者對其個人信息處理規(guī)則�����、行使權(quán)利的申請受理和處理機(jī)制等進(jìn)行解釋說明”���。
04《草案》第四十八條應(yīng)當(dāng)明確個人信息處理者不僅要對個人信息處理規(guī)則進(jìn)行解釋說明�����,還應(yīng)當(dāng)對自然人行使權(quán)利的申請受理和處理機(jī)制等進(jìn)行解釋說明�。
故此�,建議將本條與第四十九條的順序進(jìn)行調(diào)整,并將本條修改為“自然人有權(quán)要求個人信息處理者對其個人信息處理規(guī)則�����、行使權(quán)利的申請受理和處理機(jī)制等進(jìn)行解釋說明”。
05《草案》第四十九條第二句規(guī)定“拒絕個人行使權(quán)利的請求的��,應(yīng)當(dāng)說明理由”�。問題是,個人處理者必須是在有正當(dāng)理由的情形下才可以拒絕個人行使權(quán)利的請求�����,否則隨便找個理由就可以加以拒絕����,則個人信息權(quán)益就形同虛設(shè)。
故此��,建議在該條增加一款“個人信息處理者無正當(dāng)理由拒絕個人行使權(quán)利的����,應(yīng)當(dāng)依法承擔(dān)停止侵害���、排除妨礙����、消除危險(xiǎn)、賠償損失等民事責(zé)任”��。
06《草案》第六十五條是對侵害個人信息權(quán)益的民事責(zé)任尤其是民事賠償責(zé)任的規(guī)定�����。這一規(guī)定非常重要�,但將侵害個人信息權(quán)益的損害賠償責(zé)任的歸責(zé)原則和賠償方法放在一起規(guī)定,不太妥當(dāng)�����,建議將該條分為兩款分別規(guī)定����。
同時,應(yīng)明確自然人有權(quán)要求個人信息處理者停止侵害����、排除妨礙、消除危險(xiǎn)��。此外�����,對于所有的侵害個人信息權(quán)益的民事賠償責(zé)任都采取過錯推定責(zé)任并不妥當(dāng),也不符合對個人信息分級分類保護(hù)的需要���。
07在《草案》區(qū)分敏感的和非敏感的個人信息的基礎(chǔ)上��,建議應(yīng)當(dāng)確定不同的歸責(zé)原則���,對于侵害敏感的個人信息權(quán)益的賠償責(zé)任,采取危險(xiǎn)責(zé)任即無過錯責(zé)任����,而對于侵害非敏感的個人信息的賠償責(zé)任,可以采取過錯推定責(zé)任��。
因?yàn)槊舾械膫€人信息的處理更嚴(yán)格�����,對于處理者的要求更高�,而敏感的個人信息的處理活動從性質(zhì)上說也屬于一種危險(xiǎn)活動�����,即很容易對自然人的人身財(cái)產(chǎn)和人格尊嚴(yán)造成損害��,故此,應(yīng)當(dāng)適用無過錯責(zé)任���。
具體而言�,建議將本條修改為如下兩款:
第一款修改為:“個人信息處理活動危及自然人的人身�����、財(cái)產(chǎn)安全的�����,自然人有權(quán)請求個人信息處理者停止侵害��、排除妨礙���、消除危險(xiǎn)����;造成損害的���,個人信息處理者應(yīng)當(dāng)承擔(dān)賠償責(zé)任��;處理非敏感的個人信息的個人信息處理者能夠證明自己沒有過錯的����,可以減輕或者免除責(zé)任?�!?/p>
第二款修改為:“侵害自然人個人信息權(quán)益造成自然人損害的����,按照被侵權(quán)人因此受到的損失或者個人信息處理者因此獲得的利益賠償;自然人因此受到的損失以及個人信息處理者因此獲得的利益難以確定的�����,由人民法院根據(jù)實(shí)際情況確定賠償數(shù)額���?!?/p>
(來源: 網(wǎng)絡(luò)傳播雜志)