【条文主旨】
本条是关于个人信息保护国家义务的规定。
【条文理解】
一、个人信息保护为何是国家义务
在大数据时代,个人信息是个体在社会中标识自己,并与他人建立关联的必要工具。个人信息若被不当收集和使用,将严重危及个体由信息所组成的数据人格,进而贬损其人性尊严。正是基于上述共识,各国都已普遍展开对个人信息的严格保护。[1]而这也构成了国家的一种积极义务。国家之所以要担负起此种义务,主要基于以下原因:
第一,大数据时代个人信息权益更容易被侵犯。在大数据时代,个人信息的资源属性和商业价值显得愈发重要,大量互联网新兴产业将个人信息作为最重要的生产资料之一,收集、利用用户的个人信息成为许多企业的经营战略。但个人信息商业利用导致的大量个人信息的收集、处理、分享、利用必然与知情同意权、删除权等个人信息保护权利相抵触。专业的信息技术企业作为信息处理者,具有强大的信息、技术、诉讼优势,伴随资本、技术和数据等生产要素高度集中化,其无疑成为了时代“巨人”和强者,与之相对的信息主体则处于明显的弱势地位,双方力量明显失衡。[2]这些机构的信息处理行为往往伴随着监控、歧视、支配个人的风险,信息处理者可以通过挖掘信息形成特定的“人格画像”,从而对私人的决策进行隐形的控制与干预。而由于信息不对等、经济地位和诉讼能力不对等以及技术鸿沟等因素的存在,加之网络空间的特殊性和隐蔽性,信息主体较小数据时代更难发现个人信息被泄露,即使发觉泄露也很难搜集和提供证据。在这种情况下,将保护个人信息的期望完全寄托于信息主体与信息处理者处于平等地位下的对抗不太切合实际,外部监管和国家介入也因此变得必要。
第二,个人信息利用中的价值冲突需要国家来平衡。个人信息是一个多元价值的集合体,包含了信息主体的人格尊严和自由价值、商业价值和公共管理价值。个人信息的保护需求与信息处理者对个人信息的利用需求之间产生尖锐冲突:如果个人信息保护过于严格,将使大量信息沉淀而加剧信息孤岛效应,制约大数据产业发展。政府在公共管理、公共服务、公共安全等方面对个人信息的利用,更是直接服务于社会所有成员。而过度的商业利用甚至违法收集、使用个人信息,又会严重侵害信息主体的个人信息权益。因此,需要国家在个人权益与社会利益的保护中寻求良性动态平衡,使得个人信息的利用既能考虑信息主体的人格利益,同时也能兼顾信息处理者的商业利益和数字经济的发展前景。[3]
第三,个人信息与国家安全的关系日益紧密。个人信息虽然属于私人领域,但以动态的安全观衡量,仍然可能对国家安全造成重大影响。由于信息的关联性、数据的海量性、处理结果的不确定性等因素,某些特殊的个人信息或个人信息的集合在一定条件下可以转化为公共信息。主要包括来源于关键信息基础设施的重要个人信息、涉及特殊群体的重要个人信息、敏感个人信息(如个人生物特征与医疗健康信息,不仅关系到个人生命健康,还涉及国家基因安全)等。即使一般的个人信息,如果达到一定规模,也必然会反映国家的政治、经济、社会情况,存在泄露国家秘密的风险。[4]
二、个人信息保护制度的法律框架
国家需要建构个人信息处理的基本制度,设定个人与个人信息处理者之间的权利义务关系结构,确保个人实质性参与信息处理过程,对信息处理者形成制衡,以充分实现权益保障目标,这也是个人信息国家保护义务的制度性保障的应有之义。在《个人信息保护法》出台之前,我国针对个人信息保护的制度规定较为分散,见于法律、行政法规、部门规章、地方性法规、
司法解释、各类规范性文件等多层次、多领域的规范之中。
(一)民事法律制度规范
2009年12月26日颁布的《侵权责任法》规定了对隐私权的保护及网络侵权责任。2013年10月25日修正的《
消费者权益保护法》规定了消费者“享有个人信息依法得到保护的权利”,这是我国法律首次从民事权利角度对个人信息作出的规定。2014年6月23日通过的《信息网络侵害人身权益规定》第12条对利用网络公开他人个人信息行为的侵权责任认定加以规定。2017年3月15日发布的《民法总则》特别规定了个人信息的保护,该法第111条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”2021年1月1日《
民法典》实施后,取代《民法总则》相关规定的是《民法典》人格权编第六章专章规定的隐私权和个人信息保护,这成为我国立法别具特色的亮眼之处。2017年6月1日施行的《
网络安全法》第41条对个人信息的收集、存储、保管和使用进行了全面规范。
(二)刑事法律制度规范
2000年12月28日通过的《全国人民代表大会常务委员会关于维护互联网安全的决定》是我国以法律规范互联网的开端,该决定将信息安全视为互联网安全的重要内容,采取刑事制裁手段维护信息主体权利,其中第4条规定的“非法截获、篡改、删除他人电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密”可构成犯罪。2005年2月28日,全国人民代表大会常务委员会通过《
刑法修正案(五)》,新增“窃取、收买、非法提供信用卡信息罪”。2009年2月28日,全国人民代表大会常务委员会通过《刑法修正案(七)》,新增“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”。2013年9月6日,最高人民法院、最高人民检察院发布《关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》,对通过网络散布捏造损害他人名誉的事实的行为、将信息网络上涉及他人的原始信息内容篡改为损害他人名誉的事实并加以散布的行为认定为“捏造事实诽谤他人”。2015年8月29日全国人民代表大会常务委员会通过的《刑法修正案(九)》规定:“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:(一)致使违法信息大量传播的;(二)致使用户信息泄露,造成严重后果的;(三)致使刑事案件证据灭失,情节严重的;(四)有其他严重情节的。单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。”
(三)行政法律制度规范
国务院2013年1月21日发布的《征信业管理条例》最为完善,对征信行业的个人信息采集进行了详细规定。工信部作为我国信息产业主管部门,也制定了许多规范性文件,其中以2013年7月16日发布的《电信和互联网用户个人信息保护规定》最具针对性,规定了电信业务经营者、互联网信息服务提供者的个人信息收集、使用规范和安全保障措施。2013年2月1日起,国家质量监督检验检疫总局、国家标准化管理委员会联合发布的《信息安全技术公共及商用服务信息系统个人信息保护指南》开始实施,这是我国首个个人信息保护国家标准。
(四)综合性专门法律制度规范
2012年12月28日,全国人民代表大会常务委员会通过《关于加强网络信息保护的决定》,其中第1条明确规定“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”,并遵从国际惯例规定了多项个人信息保护和利用的基本原则。2016年11月7日通过的《网络安全法》从法律层面为更加完善而系统化的个人信息保护立法奠定了良好的基础,并首次在法律层面上确立了一般意义上“个人信息”的概念,为个人信息保护的体系化制度建设提供了起点。2021年9月起正式施行的《
数据安全法》是我国数据保护领域的一般法、基础法,该法项下“数据”的内涵包含了个人信息与其他所有类型的信息。《个人信息保护法》则是我国首部独立的个人信息保护立法,翻开了我国个人信息保护法治事业的新篇章。《个人信息保护法》作为个人信息保护领域的基础性法律,其出台解决了个人信息层面
法律法规散乱不成体系的问题,厘清了个人信息、敏感个人信息、个人信息处理者、自动化决策、去标识化、匿名化的基本概念,从适用范围、个人信息处理的基本原则、个人信息及敏感个人信息处理规则、个人信息跨境传输规则、个人信息保护领域各参与主体的职责与权利以及法律责任等方面对个人信息保护进行了全面规定,建立起个人信息保护领域的基本制度体系。
(五)其他法律制度的特别规范
2019年8月,国家互联网信息办公室出台《儿童个人信息网络保护规定》,对未成年人采取高于普通人群个人信息保护标准作出专门规定。2020年10月17日新修订的《
未成年人保护法》第72条规定:“信息处理者通过网络处理未成年人个人信息的,应当遵循合法、正当和必要的原则。处理不满十四周岁未成年人个人信息的,应当征得未成年人的父母或者其他监护人同意,但法律、行政法规另有规定的除外。未成年人、父母或者其他监护人要求信息处理者更正、删除未成年人个人信息的,信息处理者应当及时采取措施予以更正、删除,但法律、行政法规另有规定的除外。”第73条规定:“网络服务提供者发现未成年人通过网络发布私密信息的,应当及时提示,并采取必要的保护措施。”此外,我国在《
旅游法》《
护照法》《
居民身份证法》《
档案法》等法律中也都有个人信息保护的规定。
三、个人信息保护制度的预防和惩治功能
(一)预防功能
国家保护义务的落实首先指向侵害防止义务,因此,需要通过构建预防机制来保障个人信息不受侵害。《个人信息保护法》在很多方面都体现了这种预防侵害的理念。比如,第54条明确规定,个人信息处理者应当定期对其个人信息处理活动遵守法律、行政法规的情况进行合规审计。这表明在未来对企业的合规审计将会成为常态,说明法律不仅着眼于事后对违法的个人信息处理活动进行处理,更重要的是注重构建事前的预防机制,从源头阻止个人信息被侵害的情形发生。实际上,不仅是此条规定,《个人信息保护法》整个第五章也详细列举了个人信息处理者所应采取的必要措施,包括对事前的风险评估和信息泄露后报告义务的规定。前者强调个人信息处理者在进行个人信息处理活动前应对“个人信息的处理目的、处理方式等是否合法、正当、必要;对个人权益的影响及安全风险;所采取的保护措施是否合法、有效并与风险程度相适应”等问题进行评估;后者则要求个人信息处理者在发现个人信息泄露时,除立即采取补救措施外,还须及时通知履行个人信息保护职责的部门和个人。这些规定,都体现了立法对于事前预防个人信息侵害发生的理念。当然,这种预防理念还体现于《个人信息保护法》第六章中对于相关行政机关行政监管职责的强化。
(二)惩治功能
对于侵害个人信息的违法行为加大惩处力度,是《个人信息保护法》彰显惩治功能的重要体现,相应的惩治措施和责任条款主要规定在本法第七章中。主要包括:
第一,依据违法程度轻重不同,规定了全面的行政处罚措施,包括警告、责令改正、没收违法所得、吊销营业执照、罚款等,既有助于处罚的合理精准匹配,又与我国现行的违法处罚方式相衔接。同时,针对一般违法和情节严重的违法进行了区分,符合法律责任与行为的危害程度比例相当的基本原则。
第二,规定了个人责任。对直接负责的主管人员或其他直接责任人员处以罚款,责任具体到个人,信用惩戒以及对担任企业董事、监事、高级管理人员和个人信息保护负责人的从业禁止等,更利于相关责任条款的贯彻落实。
第三,明确了侵权行为民事责任确定的具体方式,并考虑到个人信息领域个人举证存在举证困难,确立了推定过错的损害赔偿责任,即个人信息处理者若不能举证证明自己无过错的,则需承担损害赔偿责任。
第四,明确将个人信息侵权行为纳入可提起公益诉讼的范畴,加强了对侵犯个人信息行为的法律规制。
第五,明确了刑事责任的兜底功能。虽然对于刑事责任规定的内容不多,但第71条明确规定了刑事责任的兜底效能,即在民事责任、行政责任之外,行为人违法行为构成犯罪的,要承担刑事责任,即转致适用《刑法修正案(七)》《刑法修正案(九)》的相关规定。
四、个人信息保护的多元治理
国家虽然负有对个人信息进行保护的义务,但由于个人信息关系的主体多样性、利益多元性、价值多重性、保护工作复杂性,因此,不能仅仅依靠国家行政和司法的力量,还需要依靠行业组织、社会团体,特别是企事业单位和互联网机构等组织在资源、管理和技术方面的参与和配合,推进政府部门、行业协会、企业、个人多元参与信息安全治理工作。具体而言,包括以下几个方面:(1)由国家网信部门统筹个人信息保护监管工作,建立安全标准体系、组建信息交易市场、开展信息安全评估、培养信息安全人才等,对信息安全负主体责任。(2)建立个人信息保护社会服务体系,筹建行业协会、制定行业准则、建立奖惩机制、推广风险评估服务、开展信息保护认证、受理信息主体投诉。(3)由信息从业者建立信息风险内部控制制度、信息档案管理系统、信息分级授权管理体系、信息风险评估机制、信息安全事件应急处理机制、信息安全事件通知制度等。[5](4)加强宣传教育,提升公民个人信息保护意识。应当加强个人信息保护宣传和普及力度,让个人信息保护知识走进学校、走进社区、走进企业,覆盖全社会,快速提升我国公民的个人信息保护意识。[6]
【条文适用】
一、个人信息的公法保护与私法保护之争
在《个人信息保护法》起草过程中,出现过个人信息保护的重心究竟落脚于行政法保护还是民法保护的争论。这一争议又延伸出个人信息的保护模式以及政府与个人责任分配之争。[7]具体而言,争论点集中于两个方面:一是在权利基础上,私法上的“个人信息权利(益)”是否成立;二是在保护路径上,个人信息应通过私法保护还是公法保护抑或综合保护。[8]
随着《个人信息保护法》出台,第1条写明了本法的制定依据是《
宪法》(该依据是《个人信息保护法(草案三次审议稿)》才加入并最终成为正式内容写入法律),第11条写明了“国家建立健全个人信息保护制度”,第二章“个人信息处理规则”专节规定了“国家机关处理个人信息的特别规定”,第六章更细致地规定了“履行个人信息保护职责的部门”。这些规定与《个人信息保护法》中有关私人信息处理主体的规定相互并置,可以说确立了我国在个人信息保护领域公私协力、合作共治的基本格局,也彻底化解了此前有关个人信息保护的公私之争。
二、关于个人信息保护行政监管部门的职责分工问题
行政监管部门作为履行国家对个人信息保护义务的重要主体,在《个人信息保护法》第六章中对其职责有专门规定。根据第60条规定,在我国负责履行个人信息保护职责的主要部门为国家网信部门、国务院有关部门和县级以上地方人民政府有关部门。该规定与《网络安全法》《数据安全法》的相关规定基本一致。在《个人信息保护法》立法之初,曾有建立统一的执法机关专门管理个人信息保护工作的呼声。但出于国家机构编制改革以及各个部门的各自主管领域短期内恐难整合等诸多因素的考虑,最终仍然维持了《网络安全法》建立的管理体制。这一规定在相对集中的个人信息监管体系基础上,兼顾了各部门和各行业的差异。一般认为,“国务院有关部门”主要包括工业和信息化部、公安部、国家市场监督管理总局、中国人民银行等部门。不过,第60条规定并未涉及国家网信部门和国务院相关部门的监管职责划分,亦未明确中央部门与地方部门之间的监管体制,尚需在实践中进一步探索,并出台相关制度规范予以明确。
