自本世纪以来,以数据为新生产要素的数字经济蓬勃发展,数据的竞争已成为国际竞争的重要领域,《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》将数据与土地、资本、劳动力、技术并列为五大生产要素。个人信息数据是大数据的核心和基础,截至2021年6月,我国互联网用户已达10.11亿,互联网网站超过400万个、应用程序数量超过300万个,个人信息等数据的收集、使用更为广泛。虽然近年来我国个人信息保护力度不断加大,但一些企业、机构甚至个人,从商业利益等出发,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题仍然十分突出,个人信息保护已成为广大人民群众最关心的现实问题之一。这一问题也引起全国人大代表和政协委员的高度关注。根据统计,2018年3月至2020年10月,全国人大代表共有340人次提出39件相关议案、建议,全国政协委员共提出相关提案32件。
我国对于《个人信息保护法》的关注始于2003年。2001年国家信息化领导小组成立,下设国务院信息化工作办公室,主要负责推动国家的信息化相关立法,并于2003年开始部署《个人信息保护法》立法研究工作,2005年相关学者完成了《个人信息保护法(专家建议稿)》[3]。党的十八大以来,以2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》为开端,我国个人信息以及网络数据立法工作加快推进。在法律层面,《
网络安全法》(2016)、《
电子商务法》(2017)、《
密码法》(2020)、《
数据安全法》(2021)陆续出台;在《
刑法修正案(七)》(2009)、《
消费者权益保护法》(2013年修订)、《刑法修正案(九)》(2015)、《民法总则》(2017)、《
未成年人保护法》(2020年修订)、《
民法典》(2021)等法律的制定、修订过程中,立法机关对于个人信息保护问题也予以高度关注,均纳入了个人信息保护相关条款。
在行政法规、部门规章和标准规范层面,《电信和互联网用户个人信息保护规定》(2013)、《儿童个人信息网络保护规定》(2019)、《App违法违规收集使用个人信息行为认定方法》(2019)、《关键信息基础设施安全保护条例》(2021)、《常见类型移动互联网应用程序必要个人信息范围规定》(2021)、《国务院反垄断委员会关于平台经济领域的反垄断指南》(2021)、《常见类型移动互联网应用程序必要个人信息范围规定》(2021)等规定相继出台。
在
司法解释层面,最高人民法院、最高人民检察院先后出台了《最高人民法院关于审理政府信息公开行政案件若干问题的规定》(2011)、《信息网络侵害人身权益规定》(2014)、《侵犯公民个人信息刑事案件解释》(2017)、《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》(2019)等司法解释。尤其是2021年7月颁布的《使用人脸识别技术处理个人信息民事案件规定》,是我国首次对使用人脸识别技术处理个人信息相关民事案件审理作出专门司法解释,对于保护个人信息权益、规范个人信息处理活动具有重要意义。
总体而言,我国个人信息保护法律制度体系虽然逐步建立,但法律规范的系统性、针对性和可操作性仍需进一步加强,有必要在个人信息保护方面形成更加完备的制度、提供更加有力的法律保障。党的十九大报告提出了建设网络强国、数字中国、智慧社会的任务要求,习近平总书记强调:“要坚持网络安全为人民、网络安全靠人民,保障个人信息安全,维护公民在网络空间的合法权益。”对加强个人信息保护工作提出明确要求。为及时回应广大人民群众的呼声和期待,落实党中央部署要求,《个人信息保护法》于2018年9月正式纳入立法规划,历经三次审议及两次公开征求意见,2021年8月20日由第十三届全国人民代表大会常务委员会第三十次会议通过,2021年11月1日起施行。作为我国首部个人信息保护方面的专门法律,《个人信息保护法》解决了个人信息层面
法律法规散乱不成体系的问题,建立起个人信息保护领域的基本制度体系,有利于将广大人民群众网络空间合法权益维护好、保障好、发展好,使广大人民群众在数字经济发展中享受更多的获得感、幸福感、安全感,也有利于促进信息数据依法合理有效利用,推动数字经济持续健康发展。《个人信息保护法》的制定和实施,标志着我国个人信息保护法治事业翻开了新篇章,也是全球个人信息法治发展的重大里程碑。
二、立法目的
《个人信息保护法》的制定,需要平衡好个人信息保护与保障国家发展利益、促进数字经济发展、维护公共安全等方面的关系,其立法兼具多重目的。本法第1条开宗明义,明确了《个人信息保护法》的立法目的主要有三个方面的内容:一是保护个人信息权益;二是规范个人信息处理活动;三是促进个人信息合理利用。明确立法目的,有利于人民群众深入理解法律、司法机关准确适用法律。本法的立法目的在立法过程中根据各方面意见也有所调整,在草案一审稿中曾将“保障个人信息依法有序自由流动”作为立法目的,部分委员和社会公众建议删除“自由”二字,立法机关在二审稿中将该句整体删除,我们认为这一调整是合理的。第一,从立法本位看,个人信息自由流动与本法权益保护的立法定位存在一定程度的冲突,将信息自由流动作为立法目的,可能导致社会公众在法律实施过程中对立法目的的误解,不利于凸显权益保护的法律定位。第二,信息的自由流动问题,涉及个人与个人信息处理者以及个人信息处理者之间的利益平衡,也涉及信息监管、国家安全和信息主权等问题。本法中不乏对个人信息流动作出限制的条文,例如本法第三章专门就个人信息跨境流动进行规制,将信息自由流动作为立法目的与相关规范并不完全一致。第三,信息的流动属于信息利用的一部分,本法将对个人信息的合理利用作为立法目的,已足以涵盖保障信息有序自由流动的目的。总体而言,我们认为这一调整凸显了《个人信息保护法》权益保护的立法定位,也可以避免法律实施过程中的争议和误解,体现出立法机关审慎的立法态度和高超的立法技巧。
(一)保护个人信息权益
对人民群众个人信息权益的保护是《个人信息保护法》最重要的立法目的。所谓个人信息,根据本法第3条规定,是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息包括但不限于自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息保护制度起源于20世纪70年代的欧洲,提出这一概念的原因是对国家滥用和泄露个人信息的担忧,此后逐渐从公法领域向私法领域扩展,直到现在成为具有社会普遍适用性的制度。个人信息权益是在信息时代中涌现的新型人格权益,从时代需求来看,此种权益的产生主要是法律为了应对互联网的发展以及电子信息技术、数据技术、计算机技术、人工智能技术等尖端科技发展所带来的负面影响,以及大数据的发展对个人信息的收集与分析处理引发的各种问题。因此,法律对个人信息权益的规范面临着更为多元化的利益冲突,相对于隐私而言,个人信息仍然属于一种崭新的权益类型。
在信息社会,个人信息收集、存储、加工、使用、传输、提供、公开、删除等信息处理活动,对自然人的人格尊严、人身自由等基本权利以及人身权益、财产权益会产生较大的影响。例如,因个人信息非法收集、买卖或使用而使加害人有机会对自然人既有的生命权、健康权、名誉权、隐私权等人格权以及债权、物权等财产权利实施侵害;基于被合法收集的个人信息形成的大数据,通过算法等技术进行社会分选、歧视性对待,进而损害人格尊严;通过大数据和人工智能技术进行人格画像,将原本属于主体的自然人降格为客体并加以操控,损害人格自由等。[6]本法第1条牢牢把握保护人民群众个人信息权益的立法定位,第2条进一步明确自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。在此基础上,《个人信息保护法》厘清了个人信息、敏感个人信息、个人信息处理者、自动化决策、去标识化、匿名化的基本概念,从适用范围、个人信息处理的基本原则、个人信息及敏感个人信息处理规则、个人信息跨境传输规则、个人信息保护领域各参与主体的职责与权力以及法律责任等方面对个人信息保护进行了全面规定,坚持和贯彻了以人民为中心的法治理念,聚焦个人信息保护领域的突出问题和人民群众的重大关切,是中国个人信息权益保护的里程碑。
(二)规范个人信息处理活动
《个人信息保护法》的制定也是规范个人信息处理活动、维护网络空间良好生态的现实需要。个人信息处理活动,根据本法第4条第2款的规定,主要包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。随着我国信息化与经济社会持续深度融合,网络已成为生产生活的新空间、经济发展的新引擎、交流合作的新纽带,信息技术在促进经济发展、给人民提供更多物质生活和文化生活方面发挥着举足轻重的作用。但是,在信息收集环节和后续的信息加工、管理、应用等环节出现的过度收集、不当收集、信息滥用等问题,不仅损害人民群众的切身利益,而且危害交易安全,扰乱市场竞争,破坏网络空间秩序。网络空间是亿万民众共同的家园,个人信息处理活动必须在法治轨道上运行。《个人信息保护法》针对信息收集、利用等方面存在的问题进行规范,建立了覆盖个人信息收集、存储、使用、加工、传输、提供、公开、删除等全过程的个人信息处理规制体系和监管体系,尤其是对企业、机构等个人信息处理者的法律义务作出了集中、详细的规定,构建了完整的义务体系。这些义务包括:个人信息处理者采取措施确保个人信息处理活动合法并保护个人信息安全的义务;按照规定指定个人信息保护负责人的义务;定期进行合规审计的义务;对于高风险个人信息处理活动进行个人信息保护影响评估并对处理情况进行记录的义务;在发生或可能发生个人信息泄露等安全事件时立即采取补救措施并通知监管机构和个人的义务;提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者负有的“守门人义务”。[7]同时,也规定了违法处理个人信息或者没有履行法律规定的个人信息保护义务的法律责任。《个人信息保护法》的这些规定,有利于维护网络空间良好生态,让信息生态在法治框架内良性健康发展。
(三)促进个人信息合理利用
平衡好个人权益保护与促进数据利用的关系,始终是个人信息保护立法的核心命题。随着数字经济的蓬勃发展,在新技术性应用层出不穷的信息生态下,个人信息处理已经成为社会进步和产业升级的新的驱动力,而广大民众对个人信息保护力度也有空前的关切和期待。如果从制度安排上过度鼓励共享,可能对个人隐私、个人信息等人格权保护带来冲击;而如果过度保护个人信息、数据权利,严格限制共享,也会对共享形成障碍,不利于发挥个人信息和数据的经济效用。如何妥当协调和处理二者之间的关系,是各国法律制度所面临的共同难题。[8]几乎所有国家或地区在保护个人信息的法律规范中,都要关注民事权益保护与合理自由维护这一对价值的协调,既尊重和保护自然人的人格尊严等基本人权,也充分维护公共利益,保护言论与信息自由、商业活动的正常进行。[9]《民法典》和《个人信息保护法》等法律在保护个人信息权益的同时,也高度关注自然人个人信息权益与信息自由、商业活动之间关系的协调,“合理平衡保护个人信息与维护公共利益之间的关系”。《个人信息保护法》从个人信息处理的一般规则到特殊规则,以及对个人信息跨境提供的单独规则的设定,都体现了立法机关对于多方利益诉求的平衡,以及对于促进个人信息合理利用规则的立法目的的贯彻。需要指出的是,在“保护个人信息权益”和“个人信息合理利用”之间,“保护个人信息权益”是首要的立法目的,本条将信息权益保护置于合理利用之先,也体现了立法者在多元立法目的之间的价值权衡,
三、立法依据
立法目的和立法依据,既相互区别又紧密相关,前者是立法追求的价值目标,后者是制定法律的直接依据。立法目的是一部法律的灵魂,为立法活动指明方向和提供理论依据,对于确定法律的原则、设计法律条文、处理解决不同意见等具有重要的指导意义;立法依据则是一部法律的正当性前提,为立法本身提供合法性依据,同时明确其在国家法律体系中的地位。本条规定“根据宪法”系草案三审稿中增加,在草案二审稿征求意见阶段,有意见认为“我国宪法规定,国家尊重和保障人权;公民的人格尊严不受侵犯;公民的通信自由和通信秘密受法律保护。制订实施本法对于保障公民的人格尊严和其他权益具有重要意义”,建议增加规定“根据宪法”,制订本法。全国人大宪法和法律委员会经研究采纳了这一意见。
我国宪法是国家的根本法,是中国特色社会主义法律体系的统帅、核心和基础,是一切立法活动的根据。一切法律、行政法规和地方性法规都不得同宪法相抵触。“根据宪法,制定本法”,有两层含义:一是本法的制定根据来源于宪法;二是本法的规定不得同宪法相抵触。现行《宪法》第二章第33条第3款规定“国家尊重和保障人权”,第38条规定“公民的人格尊严不受侵犯”,第40条规定“公民的通信自由和通信秘密受法律的保护”。《个人信息保护法》是关于个人信息保护的兼具公法与私法属性的基本法律,起源于宪法,承接自民法。落实宪法对个人信息权益保护的要求是本法的立法依据和基础,其所保护的个人信息权益源于人格尊严、人格权利,与公民的宪法权利具有密切关系,在权利位阶上具有重要地位,它的制定和实施体现了国家对公民基本权利的尊重和保护。
四、历次草案调整
草案一审稿中本条规定的内容为:“为了保护个人信息权益,规范个人信息处理活动,保障个人信息依法有序自由流动,促进个人信息合理利用,制定本法。”二审稿接受有关建议,删除“保障个人信息依法有序自由流动”,调整为“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,制定本法”。三审稿中根据有关建议增加“根据宪法”,调整为“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法”。此后未作修改。
【条文适用】
本条规定《个人信息保护法》的立法目的,立法目的是法律所追求的价值目标的体现。从法律适用上讲,本条作为立法目的及依据条款,与原则条款等一样,本身并不具有直接适用性,不得单独援引为裁判依据,但可以与其他具体规范结合,构成系统解释、目的解释的规范基础。当对《个人信息保护法》规定的具体事项在适用上存在分歧,根据条文的字面含义无法确定有关内容的原意时,就可以将其置于《个人信息保护法》的整体框架之中,并以本条规定的立法目的及依据作为指导思想,从而进行更加综合全面地考量。
一、《个人信息保护法》与《民法典》的关系
关于《个人信息保护法》与《民法典》的关系及适用问题,我国《民法典》多处对个人信息保护作出了规定,例如《民法典》第111条、第1030条、第1034条至第1039条、第1226条等。有观点认为,《民法典》与《个人信息保护法》二者之间的关系类似于《民法典》与《消费者权益保护法》的关系。《民法典》作为基本法具有普通法的地位,其约束的义务主体“信息处理者”涵盖了所有的信息处理机构和个人,具有一般性。而《个人信息保护法》作为全面系统规定个人信息处理制度的单行法,可以对《民法典》的一般性规定进行变通和突破,尤其对行政监管、信息跨境流动等《民法典》没有规定或不适合规定的内容增设规定。有观点认为,《个人信息保护法》是旨在防范对人格和财产的抽象加害,构成人格利益和财产利益保护的前置规范,个人信息保护法与民法尤其是侵权法对人格权的保护不相排斥,而是互相结合。也有观点认为,《民法典》所指的个人信息是单一自然人的信息,《个人信息保护法》保护的对象主要针对不特定多数人团组信息。把《个人信息保护法》理解为《民法典》的下位法或者细则立法偏离了立法宗旨。还有观点认为,《个人信息保护法》是一部综合性的法律,包含了公法调整和私法调整两个部分,其中的民事规范应当作为民法的特别法看待。
总体而言,《民法典》与《个人信息保护法》保护个人信息权益的立法目的是一致的,二者相辅相成但各有侧重。在保护的范围上,《民法典》从民事权益保护的角度对个人信息保护问题作出规定;《个人信息保护法》则通过对个人信息处理的全面规范,实现对个人信息权益的全方位保护。在调整的对象上,《民法典》调整的是平等主体的自然人、法人、非法人组织的人身关系和财产关系;《个人信息保护法》调整对象不限于平等主体之间,还包括国家机关以及有关组织与个人信息处理者之间的关系。在法律责任上,《民法典》仅规定了侵害个人信息权益的民事责任,主要是侵权责任;《个人信息保护法》对于侵害个人信息权益的行为,也可能产生行政责任。当然,即便在侵权责任范围内,《个人信息保护法》作为特别法,如与《民法典》规定不一致的,也应当优先适用。
二、个人信息处理适用的法律规则
个人信息处理过程中涉及多方主体,多个环节,主要包括三个层次的关系:一是个人与信息处理者之间;二是不同信息处理者之间;三是个人、信息处理者与公共部门之间。由于个人信息权益并不是排他性、绝对性的权利,与数据处理场景紧密联系,也难以界定绝对意义上的隐私信息或敏感信息。因此,判断信息或数据权益归属时应当结合信息处理者身份、处理目的、信息处理技术及其他具体事实情节进行判断。
第一,个人与个人信息处理者之间的关系适用个人信息保护相关规则。个人在享受数字服务便利的同时需要维护个人信息权益,而信息处理者希望以最小成本收集更多的信息以获取可能的经济利益,二者之间存在一定冲突,此时应适用个人信息保护规则平衡双方权益。一是除法定许可情形外,应遵循知情同意原则,在个人充分知情前提下,自愿、明确授权处理者获取和使用个人信息。二是遵循合法、正当、必要和诚信原则,信息收集应限于实现处理目的的最小范围,不得过度收集和使用。三是遵循公开、透明原则,信息处理者应当公开处理信息的规则,明示处理的目的、方式和范围,避免因授权场景不清晰导致误判。
第二,不同信息处理者之间适用不同的法律规则。在不同场景下适用不同的法律规则以确定权益归属,如果处理者对数据编排具有独创性,可能形成著作权;如果对数据的开发形成不为外界知悉且能带来特定商业价值的模式,则可能形成商业秘密,可以适用知识产权法律规则保护其权利;对于形成独特价值、带有明显的财产权益属性的数据,处理者可以通过与其他主体签订合同,对数据使用方式、范围、期限等内容进行约定,适用合同法相关规则。此外,不同处理者对数据的竞争可能适用竞争法规则维护正常市场秩序,涉及
反不正当竞争法、
反垄断法相关规定。
第三,国家机关处理个人信息的特别规定。国家机关处理个人信息的主要目的是提供公共服务或维护公共利益。尤其是在公共卫生事件等特定情形下要保障相关部门顺畅、快速地获取个人信息或数据,如适用平等民事主体之间的“告知并同意”原则可操作性不强,影响社会公共利益的实现。因此在国家机关处理个人信息过程中,应以保证公共部门正常履职为侧重点,并在此基础上明确合适的个人信息告知方式,对处理权限、信息存储等作出规定,在增加国家机关处理个人信息的透明度的同时,保障国家机关依法履职。
