近期,《中華人民共和國個人信息保護法(草案)》(以下簡稱《草案》)經十三屆全國人大常委會第二十二次會議審議并向社會公布�����。我國個人信息保護法治方案最終浮出水面���。我國個人信息保護立法歷經了幾個階段����?《草案》對網絡領域有何影響��?
個人信息保護立法歷經三個階段
2020 年可被稱為我國個人信息保護立法的“元年”�����。但這并不意味著我國個人信息保護工作才剛剛啟動���,我國個人信息保護立法經歷了自下而上、從分散到統一的過程��,大致可以分為三個階段���。
01初識階段
早在 2012 年�����,國家層面就認識到個人信息保護的重要性���,全國人大常委會通過《關于加強網絡信息保護的決定》���,明確“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息”。
這是首次從法律層面確認個人信息保護的要求��,同時也確定“合法���、正當��、必要”的原則����,并一直在后續(xù)立法中得到延續(xù)和確認��。
2013 年�����,工業(yè)和信息化部出臺《電信和互聯網用戶個人信息保護管理規(guī)定》���,全面規(guī)定信息收集和使用規(guī)范���、安全保障措施���、監(jiān)督檢查等內容,其中將“用戶個人信息”界定為“電信業(yè)務經營者和互聯網信息服務提供者在提供服務的過程中收集的用戶姓名��、出生日期�����、身份證件號碼�、住址、電話號碼�、賬號和密碼等能夠單獨或者與其他信息結合識別用戶的信息以及用戶使用服務的時間、地點等信息”���。
這一定義以“識別說”為基礎���,從立法層面具體形成“個人信息”定義的雛形。后續(xù)頒布的《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)對“個人信息”的界定也很大程度上認可了這種定義的方式�����。
《關于加強網絡信息保護的決定》和《電信和互聯網用戶個人信息保護管理規(guī)定》的出臺����,為第一階段個人信息保護工作提供了有力的依據,推動我國個人信息保護工作啟動并進入法治軌道��。
02上升階段
2016 年����,全國人大常委會審議通過了《網絡安全法》。其中在“網絡信息安全”和“網絡運行安全”章節(jié)對個人信息保護問題作出比較全面的規(guī)定���。
《網絡安全法》一方面是我國首次以最高位階—— 以法律的形式規(guī)定了個人信息保護問題�;另一方面也根據技術�、應用發(fā)展的新情況進行了回應,對“告知 - 同意”的規(guī)則進行了固化和具體闡釋�����,明確了刪除權�、更正權等個人信息權益,也對跨境數據流動問題進行了規(guī)定�。
《網絡安全法》自2017 年 6月1日實施之后,為大量個人信息保護執(zhí)法工作提供了法律依據�����,有效形成對個人信息保護違法行為的法律威懾。
03統一階段
這一階段也就是我們正在進行的個人信息保護統一立法的階段��。通過個人信息保護法對個人信息保護的分散規(guī)定進行整合�����,對個人信息活動的規(guī)律進行抽象總結����。
這一階段并非孤立存在的,而是建立在前述兩個階段的基礎之上����,是對其的繼承和升華。
比如�����,從《草案》來看�����,個人信息保護監(jiān)管體制機制得以妥善安排,在尊重實踐情況的基礎上��,突出網信部門的統籌協調地位�,也明確了有關部門的監(jiān)督管理職責�����,確保了個人信息保護工作的穩(wěn)定期和可預期性�����;“個人信息”的定義得以進一步固化���,改變了《網絡安全法》等法律文件所采用的“定性 + 列舉”的模式�����,而是僅采取定性的方式��,不再單獨列舉�。
這在很大程度上給實踐留足了理解空間����。
同時,《草案》也對一般個人信息和敏感個人信息進行了區(qū)分規(guī)定,對處理敏感個人信息規(guī)定了更高的要求���;“告知 - 同意”規(guī)則得到了極大的豐富和完善����,增加了“單獨同意”“書面同意”的特殊要求�����。此外���,對于國家機關�、跨境傳輸���、數據泄露���、信息保護負責人等問題也作出創(chuàng)新性的規(guī)定。
《草案》充分反映了對個人信息保護系統性規(guī)定的特點��。
《草案》對保護什么�����、怎么保護、誰來保護等問題進行了全面回應�����,明確了個人信息保護的適用范圍����、健全了個人信息的處理規(guī)則�����、完善了個人信息跨境提供的規(guī)則��、確定了個人信息處理活動中個人的權利和處理者義務�����、框定了履行個人信息保護職責的部門以及法律責任�����。其中�����,罰款數額頗受關注,最高可處以 5000萬元或者上一年度營業(yè)額 5% 以下的罰款�。
基本形成我國個人信息保護的制度要求
我國互聯網產業(yè)發(fā)展迅速,有效促進了數字經濟的興起和成熟���。數據作為關鍵生產要素���,對數字經濟具有積極促進作用。
反過來說��,數字經濟發(fā)展也積累了豐富的數據資源���,這種數據資源既是產業(yè)資源���,也是立法資源。
我國的產業(yè)模式�����、數據利用等在全世界范圍內具有優(yōu)勢地位����,這些豐富的實踐有助于立法視角下對社會關系的認識和提煉,進而形成科學合理的法律關系��。
實際上,身處數字化時代���,在享受數字化紅利的同時����,也意味著數據被收集�、使用(《草案》中“處理”所涵蓋的活動)的普遍性和常態(tài)性。
按照《民法典》對個人信息和隱私的區(qū)分���,個人信息保護并不是對隱私的保護。個人信息本身就具有公開性的屬性���,反映了特定自然人的社會身份��,是社會生活�、社會交往的載體和基礎��。個人信息主體對個人信息活動擔憂的最主要問題是數據濫用和數據泄露�。
對于數據濫用問題,《草案》的很多規(guī)定都予以回應���。
首先���,草案在《民法典》規(guī)定的知情同意����、查閱復制�����、刪除等權益的基礎上�,進一步增加了一些權益,包括知情權�、決定權、查詢權�、更正權、刪除權�、解釋權等。對于自然人在個人信息處理活動中應當被保護的權益��,從行政管理的角度進一步進行了明確和闡釋��。
其次�,草案規(guī)定了個人信息處理者的義務,要求個人信息處理者建立個人行使權利的申請受理和處理機制�����。同時要求個人信息處理者的合規(guī)管理和保障個人信息安全的義務,包括內部規(guī)范的建立���、安全技術措施的采用�����、專門負責人的監(jiān)督��、定期的合規(guī)審計���、高風險評估等要求。
最后�,明確了履行個人信息保護職責的部門的職責,包括宣傳教育指導監(jiān)督���、接受處理投訴舉報、調查處理違法活動等�����。其中���,明確宣傳教育指導監(jiān)督的職責是突出的亮點之一����。
從國外個人信息保護機構實踐來看,個人信息保護機構的指導作用十分充分�,比如歐盟層面的個人信息保護機構 —— 歐洲數據保護委員會(EDPB)以及歐盟成員國層面的個人信息保護機構——數據保護當局(DPA)的重要職能之一就是發(fā)布指南和接受咨詢。
這在很大程度上彌補了個人信息保護工作動態(tài)性的特點��,也是個人信息保護工作的必然要求�。
《草案》通過“指導”職責的確定,可以理解為在一定意義上賦予履行個人信息保護職責的部門對法律適用的解釋權�����,對于實踐中識別和規(guī)范數據濫用行為具有很強的操作性意義�。
對于數據泄露問題,《草案》在繼承現行立法的基礎上進行了很大完善����。
2012 年,全國人大常委會《關于加強網絡信息保護的決定》明確了發(fā)生數據泄露需要立即采取補救措施����。
2013 年,《電信和互聯網用戶個人信息保護管理規(guī)定》中進一步規(guī)定�,發(fā)生數據泄露時,需要采取補救措施,可能造成嚴重后果的�����,應當向有關電信管理機構報告�。
2016 年,《網絡安全法》又增加了數據泄露時向用戶報告的義務�。《草案》充分吸收了前述立法的有關要求�,對數據泄露通知進行了全面的規(guī)范,規(guī)定了需要報告的具體情形�����、對象等相關要求���。
不過仍然有一點值得研究和完善�,即《草案》在法律責任中僅對違反個人信息處理活動的行為規(guī)定了法律責任����,而數據泄露通知制度是一項獨立的法律制度���,并不當然可以被劃入《草案》所規(guī)定的“處理”的范圍�。
這就意味著對數據泄露不通知的情況缺乏明確的處罰性規(guī)定�。當然����,這一問題在《草案》進一步完善過程中可以很容易得到解決�����。
作為第一次進行審議的法律草案����,《草案》廣受好評和認可 —— 立法技術可圈可點,制度設計十分縝密�。有關爭議性問題可以通過條款呼應或者法律解釋學的方法得以闡明,《草案》將基本形成我國個人信息保護的制度要求���。
9月14日����,河北省石家莊市橋西區(qū)草場街小學的學生在觀看網絡安全知識展板�����。當天�����,2020年國家網絡安全宣傳周活動在全國范圍內展開。
將我國網絡領域引入新型法治時代
個人信息保護是一個復雜性問題���,在現有經驗的基礎上����,總是會有我們未發(fā)現或者未預測的可能性存在�����,法律應有的普適性���、穩(wěn)定性難免受到挑戰(zhàn)����。即便如歐盟《通用數據保護條例》(GDPR)一般冗長的法律規(guī)定���,仍然在實踐中受到各種爭議���。
但是,這一問題并非無解����。事實上,歐盟的個人信息保護機構自 GDPR 出臺以后��,不斷地對個人信息保護的爭議問題通過指南的方式予以釋明�����,同時技術�����、產業(yè)的發(fā)展也不斷豐富各方對個人信息保護的認識和理解���,從而反射到對個人信息保護法律條文的實踐解釋��,形成比較妥善的法治效果�。
2019 年��,法國個人信息監(jiān)管機構 —— 法國國家信息與自由委員會(CNIL)依據 GDPR 對谷歌處以 5000 萬歐元罰款����,其中一條執(zhí)法理由是因為用戶需要點擊多于 4 次才能訪問到隱私條款。CNIL 認為這違反 GDPR所規(guī)定的隱私條款應當“易于訪問”的要求�����。
實際上,GDPR 已經對個人信息保護問題進行了非常詳細的規(guī)定�,然而受立法技術和立法語言的限制,對于隱私條款也只能作出“易于訪問”的規(guī)定�,而不可能要求隱私條款的點擊次數不能超過 4 次。這一標準只能通過執(zhí)法實踐才有可能得以確定�����。
司法領域憑借能夠對個案進行綜合����、深入和具體研究的優(yōu)勢,可以通過司法裁判案例來對法律規(guī)則形成司法判斷��。
今年�����,北京互聯網法院和杭州互聯網法院在“微信讀書案”和“抖音侵犯個人信息案”中����,都對法律適用問題進行了深入的分析和明確的司法取舍,對個人隱私和個人信息區(qū)分的立法設計����,作出更為清晰的法治視角的判斷��。
由此可見,《草案》的面世�����,不僅意味著 2020 年是個人信息保護立法的“元年”����,而且隨著社會各界對《草案》廣泛、深入的討論和厘清�,很有可能引導我們以新的觀察視角來看待法治建設。
法治的全部不是只有立法��,行政指導���、執(zhí)法實踐�����、司法裁量都是對立法進行動態(tài)����、持續(xù)補充的重要法治力量,甚至可以在廣義上將其理解為立法活動的組成部分���。
通過新的視角���,我們就能夠以更高維度認識立法的本質和規(guī)律,并進一步思考如何通過綜合的法治資源來實現立法的科學性�����、合理性�����。從這個角度來說��,《草案》也許在更高意義上將我國網絡領域引入新型法治時代�����。
(來源: 網絡傳播雜志)