16中国电信业
CHINA TELECOMMUNICATIONS TRADE
2020年10月13日,广受中外关注的 《 个
正式提交十三届全国人大常委会第二十二次
会议首次审议,揭开我国个人信息立法进程
的新篇章,也是全球个人信息保护法治发展
的大事件。
就《草案》出台的时代背景而言,有着丰
富的国际国内蕴涵:一方面,随着数字经济的
蓬勃发展,世界各国日益重视个人信息的诸多
战略性价值,纷纷出台个人信息保护的专门立
法。从欧盟《一般数据保护条例》、美国《加
州消费者隐私保护法案》到日本、韩国、巴西、印度乃至阿联酋等国近期出台的法律文件,无
不透射出个人信息保护的重要战略意义,可以
说个人信息法律保护已经成为衡量一国法治文
明和法治水平的重要指针。
另一方面,当下我国正处于数字化转型
个人敏感信息加速发展的历史新阶段,在新技术新应用层
出不穷的生态语境下,个人信息的处理已经
成为社会进步和产业升级新的驱动力,而广
大民众对于加大个人信息保护力度也有着空前的关切和期待,可以说个人信息保护法的制定是保障公民个人信息权益、促进个人信息合理利用的必然举措。《草案》的立法创新与问题响应立法创新《草案》全文以总计8章70条的篇幅,在总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息
处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任以及附则等多个层面设计和建构个人信息保护的立法框架,在条文内容上反映了立法者吸收接轨国际立法、探索开创中国路径的制度努力,特别是在规范设计上呈现了众多亮点:第一,《草案》以“告知-同意”机制为核心逻辑建构覆盖个人信息处理全生命周《个人信息保护法(草案)》研析■ 吴沈括 张力威 ︱ 文
期的规则框架,强化保障自然人的控制能力,同时注重与其他重要利益包括国家安全以及公共利益等的平衡协调,例如针对各类不同的具体场景设定告知或者同意的例外规则。
尤其是《草案》从个人信息处理的一般规则到敏感个人信息处理的特殊规则,乃至个人信息跨境提供的单独规则设定,无不反映了立法者对于个人权益的着重保护,以及对于各利益相关方多样诉求的兼容权衡,并通过系统的个人权利内容以及个人信息处理者义务相关规定予以全面的细化落实,切实贯彻保护个人信息权益与促进个人信息合理利用的双重立法目的。
第二,《草案》通过明确规定履行个人信息保护职责的部门的权限分工进一步提升个人信息权益的保护水平。从国家网信部门、国务院有关部门到县级以上地方人民政府有关部门的职责内容与执法方式等细化规定都将有力推动个人信息处理活动监管机制的革新完善。
在职责内容上,《草案》明确赋予履行个 人信息保护职责的部门接受、处理与个人信息保护有关的投诉、举报以及调查、处理违法个人信息处理活动等执法权限,同时在执法方式上,《草案》明文规定履
行个人信息保护职责的部门可以采取 询问、调查、查阅、复制、现场调查以及查封、扣押等措施,两者共同保障个人信息处理活动的法治化、机制化监管。
第三,《草案》注重 发挥国家、社会、企业和个人等不同主体的协同作用,打造个人信息保护领域的多方共享共治模式。《草案》特别强调国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关行业组织和社会公众共同参与个人信息保护的良好环境,为个人信息依法有序自由流动奠定坚实的、可持续的生态基础。
问题响应
更进一步而言,《草案》也对当下我国民众的诸多现实关切做出了及时、有效的回应,提出了具有鲜明时代印记与中国特的规则安排:
其一,针对目前频发的个人信息泄露事件,《草案》明确规定个人信息处理者的义务规则,要求其立即采取补救措施,并且面向履行个人信息保护职责的部门和个人通知个人信息泄露的原因、已泄露的个人信息种类和可能造成的危害、已采取的补救措施以及个人可以采取的减轻危害的措施等重要事项。
其二,针对日益普遍的自动化决策应用,《草案》明确要求保证决策的透明度和处理结果的公平合理,并赋予个人相关的知情权和拒绝权,特别是在通过自动化决策方式进行商业营销或信息推送的应用场景中,有权同时获得不针对其个人特征的选项。
其三,针对广泛存在的已公开个人信息的利用问题,《草案》明确强调对该类信息的后续利用应当符合该个人信息被公开时的用途,超出与该用途相关的合理范围的,应当另行告知并取得同意。在个人信息被公开时的用途不明确的场景中,必须遵从合理、谨慎的处理原则,如果相关个人信息处理活动对个人有重大影响的,则应当依法向个人告知并取得其同意。
《草案》的敏感个人信息保护制度设计
我国《草案》的“敏感个人信息”采取描述与开放式列举的相结合的定义方式,包括但不限于种族、民族、宗教信仰等“可能导致个人受到歧视或者人身、财产安全受到
18中国电信业
CHINA TELECOMMUNICATIONS TRADE 严重危害的个人信息”。相较于欧盟GDPR 封闭式列举的“特殊类型个人数据”,《草案》还增添了“金融账户”“个人行踪”等特殊个人信息类别。相较之于欧盟法因各国之间的政治博弈和人权保护制度的历史所带来的沉冗背景,《草案》以定性的方式确立了个人敏感信息的概念内涵,其概念更具有开放性,并可面向未来的技术进一步修正。并且,敏感个人信息的采集需得到更高标准的当事人“单独同意”或“书面同意”,在行政法规规定的情形下,还可进一步要求个人信息处理者申请相应行政许可后,方得以处理此类个人信息。由此,《草案》实际上遵循了区分一般个人信息和敏感个人信息,并对后者加以强化保护的立法宗旨。
但相比之下,在《草案》第七章的法律责任中,违反应注意和遵守的个人信息或敏感个人信息的处理原则和保护义务而产生的个人信息处理者责任显得过于简练、概括,难以作为处罚的具体适用标准:其一,根据《草案》第62条规定,是否属于敏感个人信息这一类别并没有明示作为相应行政处罚的参照依据,其与一般个人信息在该条文中并未为立法者所区分,在实践中仍有赖于相应的行政规章进行完善; 其二,第62条作为行政处罚的依据,在可采用的处罚手段的定性与定量上也授予了行政机关较大的自由裁量权。
从而在法律责任配置层面,鉴于《草案》着重保护敏感个人信息的基本逻辑,可以考虑就侵害敏感个人信息的行为专门配置更高强度的处罚规则。
在尚无可参照的国内法文本时,作为前辈和先驱性立法的欧盟GDPR 立法的处罚制度的设计可以作为参考提供经验。从顶层设计出发,以GDPR 为基础的欧盟个人数据保护制度中的处罚机制由两种方式制定:第一种是罚金类行政处罚机制,由GDPR 第83条第四、五、六款直接加以规定;第二种是依据其83条第七款规定,授权各成员国“确定在什么情况下对在其境内设立的公共机构和实体进行行政处罚。”以及第84条,“成员国应制定适用于违反本条例的其他刑罚规则。”第一种行政处罚金的机制并不当然适用,根据GDPR 的立法意旨,应确保行政处罚的“有效、成比例和劝诫性”,因此处罚金系第58条规定的监管机构矫正性权力之后的补充措施(如未履行监管机构指令),或在情况严重的情况下对其的直接替代。并且,GDPR 通过第83条四、五、六款区分了在不同情形下,数据保护主管当局可以适用的最高罚
金额度:如果涉及对控制和处理者责任、认证机构责任和监管机构违法责任的处罚,最高可科以“一千万欧元的行政,如果是企业的话,最高可处相当于其上一年全球总营业额2%的金额的” 。如果涉及对同意机制、数据主体权利、数据转移规定、成员国法律责任、监管机构命令的违背所产生的责任,最高可科以“二千万欧元的行政,如果是集团的话,可以施加最高前一年全球总营业额4%的”。而在此,结合GDPR 第9条所设计的四款针对特殊类
别个人数据的加强保护策略——原则上禁止,
特别例外下准许(第9条第二款所列举十项
情形)——实现了对个人敏感信息的高层级特别保护。
在确定了具体的罚金层级之后,GDPR 第83条第二款规定了各国个人数据保护当局在做出具体行政处罚金额前,应充分考量的11项的具体参数,包括“为违法行为所影响的个人数据类型”。在具体的执法案例中,这一因素也经常得到适用:在GDPR正式实施后法国数据保护主管机构CNIL做出的一起处罚案例中,涉事公司Bouygue电信与Uber法国都主张因所泄露的个人信息并非敏感个人信息,主管机构应降低处罚额度,从轻科以罚金。该主张并未为CNIL所否认,但综合考虑数据泄露时长和数量,仍然维持了既有罚金水平。
结合我国立法展现出的对个人信息保护部门的职责、处罚措施的授权与管理创新,《草案》及后续制定法可在既有条文的基础上,进一步细化涉及个人隐私信息违法行为时可参照的处罚梯度,明确主管部门的相应权限。
GDPR授权各成员国自行设置对应处罚的机制,与《草案》第67条相似。我国对敏感个人信息的其他规制中,亦可体现出其与一般个人信息的差异。举例而言,可借鉴《法国刑法典》第226-19条 “除法律规
定的情况外,未经当事人明确同意,直接或间接暴露个人种族、民族,或政治、哲学或宗教观点,或工会成员身份,或其健康信息、性取向、性别认同的个人数据以信息化手段存储的行为,应处以五年有期徒刑及30万欧元”等规定,使得侵害敏感个人信息的违法行为更易入罪,从而加强对敏感个人信息的保护,以及《个人信息保护法》与我国其他部门法的衔接配合,避免责任配置失真影响立法效果、架空强化敏感个人信息保护的立法宗旨。
《草案》的个人信息权益司法救济制度
现有《草案》第61条与66条设置了个人或组织向行政主管部门投诉、检举违法处理个人信息活动的行政救济,以及可由人民检察院、相关个人信息保护部门、国家网信部门确定的组织提起的侵害众多个人权益情形下的司法诉讼。结合既有的个人信息权侵权责任之诉,《草案》构建了较为完善的公民信息权益综合保障机制。
然而,相较之于个人信息侵害行为本身的技术性特征,以及自力救济下公民个体有限的证据处理和收集能力与有限的个人精力,《草案》下的司法救济制度仍稍显保守。首先,从条文含义出发,两种救济渠道都排除了在行政机关不作为的情况下,具有资质的组织提起行政诉讼的可能性,而在当前行政机关的行政处罚为主要权益保护路径的《草案》构建中,这一缺失为个人信息保护的司法救济渠道留下一片空白。与此同时,行政诉讼专业性较强,当事人个体在传统“民不告官”的意识惯性下,也不容易提起相关
诉讼。因而在这一问题上并没有彻底落实《草案》发挥国家、社会、企业和个人等不同主体的协同作用的特。
以域外法经验来看,GDPR第77-80条规定了数据主体具有的三种救济权利:向监管机构直接提起申诉的权利、向法院提出针对 监管机构具体行政行为的诉讼权利和直接针对个人数据控制者或者数据处理者提起的诉讼。其中,前两种途径解决的是数据主体基于数据监管机构对个人数据保护权限产生的救济。二者直接面向数据监管机构,数据主体、其委托的机构、组织或协会,及认为侵害已对一定数据主体造成损害的机构、组织或协会,他们可以直接向监管机构提出申
诉,或者在监管机构越权、不作为的情况下,获得针对监管机构的司法救济权。而最后一种途径则是典型的司法救济,在实践中,与既有各成员国的司法诉讼制度相结合。由此,既保障了行政执法领域的充分救济,也确保了司法救济的路径畅通。
其次,我国《草案》规定的公益诉讼中,可代为提起各项司法诉讼的组织类别也具有一定的保守性。根据条文,作为社会机构的组织只有在国家网信部门的确定下方可提起诉讼。结合我国环境保护法领域的已有实践,网信部们认可的组织必然要求其以信息保护作为组织章程,或以其为组织活动中心。然而现有各国个人信息保护的执法实践表明,个人信息保护不仅仅是信息保护的问题,还会涉及其他领域纠纷:如消费者权益保护、
劳动关系下的信息保护问题等。消费者保护协会、公司企业工会组织、行业联盟(法人组织)、妇女联合会等组织未必不能够承担起相应的职责。借此,也能进一步体现出《草案》联合国家与社会、政商公私部门之间的通力合作,最大程度激活我国特个人信息保护体系的制度活力。
最后《草案》还应明确,在公共机构或社会团体代为提起的诉讼中,诉讼所涉及的标的究竟为数个同类个体权利,还是抽象的公共利益(集体利益),抑或两者兼有。这将直接影响该诉讼的定性与司法救济的效果。举例而言,如果是同类个体权利的集中诉讼(如意大利保护“同类个体权利”的集团诉讼),那么这一诉讼模式将接近于欧美的集团诉讼,在此模式下具体当事人不服判决提起上诉应遵循何种程序,具体当事人如何判断其个体权利是否系属相同的权利等问题需要《草案》及后续立法进行更加深度的制度设计与建构。以进一步体现出我国立法在吸取时代经验与中国个人信息保护实践的先进性特征。
《中华人民共和国个人信息保护法(草案)》的出台,直接彰显着我国的个人信息权益保护与个人信息使用治理将进入新的阶段。现有《草案》结合既有的国际治理经验,契合中国当下个人信息权益问题的特点、难点,以开放性和实事求是的态度构建了我国个人信息治理的基本制度和基本逻辑。但只要是“草案”,就必然不可能臻至完美,部分法律文本由于其概括性、模糊性,使得立法宗旨未能完全在其制度设计中落实。为了满足新时代下国家的治理需求、社会的发展需要和人民的信任期待,应进一步完善《草案》文本,协调不同部门法制度之间的协调配合,造福整个社会。
吴沈括为北京师范大学法学院副教授、博导、中国互联网协会研究中心秘书长,
张力威为法国斯特拉斯堡大学法学院硕士研究生。
本文是国家社会科学基金项目(批准号:15CFX035)的阶段性成果。
20中国电信业
CHINA TELECOMMUNICATIONS TRADE
发布评论