2020 年10月,十三届全国人大常委会第二十二次会议对《中华人民共和国个人信息保护法(草案)》(以下简称《草案》)进行了第一次审议,并在会后向社会公开征求意见。《草案》有哪些亮点?有哪些地方需要进一步完善?
《草案》对个人信息保护的规则和制度作出严谨细致、科学完善的规定。其中,最值得肯定之处是关于个人信息权益的规定,一方面,明确规定了自然人的个人信息权益,并以保护个人信息权益作为首要立法目的;另一方面,还对个人信息权益的内容和实现机制以及侵害该权益的民事责任作出具体规定。
以保护个人信息权益为根本立法目的
任何法律的立法目的都是多元化的,个人信息保护法也不例外。作为个人信息保护领域的一项基本法律,个人信息保护法既要保护自然人对其个人信息的合法权益,也要维护人们合理利用个人信息的自由,从而实现二者的协调均衡。
过度、极端地保护个人信息,势必阻碍个人信息的自由流动,产生信息孤岛,扼杀网络科技和数字经济的发展,最终对自然人也是不利的;反之,为了发展网络科技和数字经济,罔顾自然人的合法权益,任由各种非法公开、买卖、使用个人信息的行为肆无忌惮地横行,给广大人民的生命财产安全造成损害,这样的发展也是不可持续的。
因此,《草案》第一条就明确规定了个人信息保护法的立法目的是“保护个人信息权益,规范个人信息处理活动,保障个人信息依法有序自由流动,促进个人信息合理利用”。
虽然立法目的是多元的,但仍有轻重主次之分,尤其是在多个立法目的发生冲突时,不可避免地要对优先实现的立法目的做出选择。这不仅贯彻在立法者对相关法律条文的起草当中,也落实在执法者和司法机关处理相关纠纷的过程中。
关于个人信息保护法的立法目的中的轻重主次,《草案》给出明确的回答。
一方面,《草案》第一条在明确立法目的时,将“保护个人信息权益”放在首位,而将“保障个人信息依法有序自由流动”等其他目的置于其后,这就表明“保护个人信息权益”是我国个人信息保护立法的首要目的。
另一方面,《草案》第二条明确规定:“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益”,这一规定并非简单重复或宣示,而是凸显出保护个人信息权益这一立法目的在整个《草案》中的优先地位。
结合当下的现实生活,各种非法收集、使用、公开甚至买卖个人信息的违法行为时有发生。例如,“徐玉玉因信息泄露而被骗学费引发急病发作死亡”以及“清华大学教师被电信诈骗 1700 多万元”等案件引发了舆论关注,这类违法行为对广大人民群众的人身权和财产权造成严重的损害和威胁。
由此可见,《草案》将个人信息权益保护作为首要立法目的是科学合理的,应当给予高度肯定。
中国特色社会主义法治建设的根本目的就是保障人民合法权益,从而不断满足人民日益增长的美好生活需求。党的十九大报告明确提出,要保护人民人身权、财产权、人格权。
无论是《中华人民共和国民法典》(以下简称《民法典》)《中华人民共和国网络安全法》《中华人民共和国电子商务法》等既有的法律,还是正在审议的个人信息保护法,它们对个人信息保护的规定,实质上都是要充分保护广大人民群众的人身权和财产权。
个人信息只是可以识别特定自然人的信息,保护个人信息本身不是目的,保护个人信息的实质是防止因为个人信息的非法处理而产生的对自然人的人格尊严、人身自由、生命权、健康权、财产权等民事权益而产生的危险、侵害以及实际造成的损害。至于个人信息处理者对于个人信息合理利用的需要,要么是为了实现其自身的经济利益,要么是行政管理职责的落实。
从权益的价值位阶上来看,广大人民群众的人格尊严、人身权的位阶显然要高于个人信息处理者的经济需要和管理需要。
《草案》以保护个人信息权益作为首要立法目的,不仅贯彻落实了《宪法》尊重人权、保护人格尊严的要求,彰显了对人格尊严和人格自由的尊重,使得个人信息保护的法律制度具备充分的正当性基础,同时,有助于个人信息保护法在实现自然人的个人信息权益与信息自由 ( 信息的流动、共享与合理利用 ) 这两个法律价值的权衡与协调,防止因主体缺位而造成个人信息保护立法沦落为利益相关方围绕着个人信息 ( 数据 ) 这一稀缺资源展开的争夺战,甚至使得法律规定成为一方打击另一方,进而限制竞争、维护信息垄断地位的手段,最终损害整体的社会福利。
个人信息权益的内容、实现机制与民事责任
为充分实现对自然人的个人信息权益的保护,并与《民法典》人格权编第六章“隐私权与个人信息保护”的规定相衔接,《草案》第四章对“个人在个人信息处理活动中的权利”作出详细规定。
该章节明确了个人信息处理活动中个人的各项权利,包括知情权、决定权、查询权、更正权、删除权等,并要求个人信息处理者建立个人行使权利的申请受理和处理机制。《草案》对个人信息权益的规定有以下几大亮点。
1、赋予自然人对其个人信息处理的知情权和决定权
《草案》第四十四条明确了“个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外”。有学者提出,这一规定类似德国民法中的“信息的自决权(Rechtauf Informationelle Selbstbestimung)”。
通过赋予自然人对其个人信息处理的知情权和决定权,才使得个人在面对某种可能性的时候享有作出或者决定的自由,并依照此种决定而行为。
现代社会是信息社会、大数据时代,基于专业知识、信息不对称、经济上的弱势地位等原因,自然人无法有效掌握自身的信息,也不知道自己的何种信息被何人处理,而且即便知道也往往难以理解并加以控制。
因此,为了实现对个人信息权益的有效保护,使得自然人具有真正的选择自由的可能,就必须赋予自然人对个人信息的知情权和决定权。
也正是因为赋予其这些权利,个人信息处理者在没有对自然人进行充分的告知并取得自然人的同意时,不能处理其个人信息。
除非法律、行政法规另有规定,个人信息处理者才有义务,对其个人信息处理规则向自然人进行解释说明,自然人也才据此享有查阅、复制其个人信息的权利,并在个人信息不准确、不完整时,有权要求个人信息处理者进行更正、补充,并且在符合规定的条件时有权要个人信息处理者删除其个人信息。
因此,《草案》第四十四条关于个人对其个人信息的知情权和决定权,真正为个人信息权益的其他权能奠定了基础。从这一点上说,《草案》的规定较之于《民法典》关于个人信息保护的规定更加科学合理。
2、规定了自然人行使删除权的具体情形
《民法典》第1037 条第二款规定:“自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。”这属于比较原则性的规定,具体何种情形下,自然人可以请求个人信息处理者及时删除个人信息,并不明确。
《草案》对此作出细化规定,第四十七条不仅规定了个人可以请求删除的情形,还明确规定了个人信息处理者应当主动删除的情形,具体包括:(一)约定的保存期限已届满或者处理目的已实现;(二)个人信息处理者停止提供产品或者服务;(三)个人撤回同意;(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;(五)法律、行政法规规定的其他情形。
3、为个人信息权益的实现提供了程序保障
权利与义务相对应,没有义务人的积极作为义务或者消极不作为义务的配合,权利可能无法实现或难以保护。
赋予自然人以各种个人信息权益,如果不能明确义务人的义务,并为权利的实现提供程序保障的话,那么相关规定即使再完善,也只是“纸面上的权利”。
在面对个人信息处理者尤其是大型互联网企业以及国家机关时,自然人的个人信息权益如何行使是非常现实的问题。例如,当需要请求删除个人信息时,自然人应当联系谁、通过何种程序、提供哪些资料等程序规则不明确,就难以实现删除权。
有鉴于此,《草案》第四十九条规定:“个人信息处理者应当建立个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。”
这就意味着,个人信息处理者负有建立保障自然人行使个人信息权益的程序机制的义务并且受该程序机制的约束,在拒绝个人行使权利时,也应当说明理由。
4、规定了侵害个人信息权益的民事责任
没有法律责任的法律条文就如同没有牙齿的老虎,法律责任中刑事责任、行政责任固然重要,但民事责任也不可或缺。
通过明确侵害个人信息权益的民事责任,可以充分调动广大自然人保护个人信息的积极性,鼓励人们就侵害个人信息的行为提起民事赔偿诉讼,包括由法律规定的国家机关就大规模侵害个人信息的行为提起公益诉讼,从而将个人信息权益的保护落到实处。
《草案》对此作出了有针对性的规定。
一方面,《草案》第六十五条规定:“因个人信息处理活动侵害个人信息权益的,按照个人因此受到的损失或者个人信息处理者因此获得的利益承担赔偿责任;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,由人民法院根据实际情况确定赔偿数额。个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任。”
该条明确了侵害个人信息权益的归责原则为过错推定责任,同时明确了侵害个人信息的损害赔偿的确定方法。
另一方面,《草案》还规定了侵害个人信息权益的公益诉讼,即第六十六条规定:“个人信息处理者违反本法规定处理个人信息 , 侵害众多个人的权益的,人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织可以依法向人民法院提起诉讼。”这一规定有利于解决大规模侵害个人信息时单个自然人因经济力量、专业知识等原因而面临的维权困境。
对《草案》关于个人信息权益规定的完善建议
《草案》对个人信息权益的规定具有很多值得肯定的地方,但仍有需要进一步完善之处,具体阐述如下。
01《草案》第四章“个人在个人信息处理活动中的权利”的顺序不妥,建议放在第一章“总则”之后作为第二章,即调整到现在的第三章“个人信息处理规则”之前。
这是因为,正是由于法律明确承认了自然人的个人信息权益,才要对个人信息处理者的行为进行规范,施加各种法律义务如告知同意等给那些信息处理者。例如,《草案》第四十四条承认的自然人对其个人信息享有的决定权,有权拒绝他人对其个人信息的处理。
故此,只有遵循告知同意规则才能免除信息处理者处理个人信息的行为的违法行为,这种信息处理才是合法的。
故此,应当先规定个人对其个人信息的权利,再规定个人信息处理的规则。这也符合立法上先规定权利,再规定义务,最后规定法律责任的立法体例。
从比较法来看,如欧盟《一般数据保护条例》(GDPR)也是在第三章规定数据主体的权利,即紧接着第二章基本原则之后就作出规定,之后再规定数据处理的规则等内容。
02《草案》第四十六条是对自然人的更正和补充个人信息的权利的规定。但需要进一步明确,如果个人信息处理者不及时更正、补充的,应当承担相应的法律责任。
因此,建议将该条第二款修改为“自然人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充;未及时更正、补充,造成损害的,依法承担民事责任”。
03《草案》第四十八条应当明确个人信息处理者不仅要对个人信息处理规则进行解释说明,还应当对自然人行使权利的申请受理和处理机制等进行解释说明。
故此,建议将本条与第四十九条的顺序进行调整,并将本条修改为“自然人有权要求个人信息处理者对其个人信息处理规则、行使权利的申请受理和处理机制等进行解释说明”。
04《草案》第四十八条应当明确个人信息处理者不仅要对个人信息处理规则进行解释说明,还应当对自然人行使权利的申请受理和处理机制等进行解释说明。
故此,建议将本条与第四十九条的顺序进行调整,并将本条修改为“自然人有权要求个人信息处理者对其个人信息处理规则、行使权利的申请受理和处理机制等进行解释说明”。
05《草案》第四十九条第二句规定“拒绝个人行使权利的请求的,应当说明理由”。问题是,个人处理者必须是在有正当理由的情形下才可以拒绝个人行使权利的请求,否则随便找个理由就可以加以拒绝,则个人信息权益就形同虚设。
故此,建议在该条增加一款“个人信息处理者无正当理由拒绝个人行使权利的,应当依法承担停止侵害、排除妨碍、消除危险、赔偿损失等民事责任”。
06《草案》第六十五条是对侵害个人信息权益的民事责任尤其是民事赔偿责任的规定。这一规定非常重要,但将侵害个人信息权益的损害赔偿责任的归责原则和赔偿方法放在一起规定,不太妥当,建议将该条分为两款分别规定。
同时,应明确自然人有权要求个人信息处理者停止侵害、排除妨碍、消除危险。此外,对于所有的侵害个人信息权益的民事赔偿责任都采取过错推定责任并不妥当,也不符合对个人信息分级分类保护的需要。
07在《草案》区分敏感的和非敏感的个人信息的基础上,建议应当确定不同的归责原则,对于侵害敏感的个人信息权益的赔偿责任,采取危险责任即无过错责任,而对于侵害非敏感的个人信息的赔偿责任,可以采取过错推定责任。
因为敏感的个人信息的处理更严格,对于处理者的要求更高,而敏感的个人信息的处理活动从性质上说也属于一种危险活动,即很容易对自然人的人身财产和人格尊严造成损害,故此,应当适用无过错责任。
具体而言,建议将本条修改为如下两款:
第一款修改为:“个人信息处理活动危及自然人的人身、财产安全的,自然人有权请求个人信息处理者停止侵害、排除妨碍、消除危险;造成损害的,个人信息处理者应当承担赔偿责任;处理非敏感的个人信息的个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任。”
第二款修改为:“侵害自然人个人信息权益造成自然人损害的,按照被侵权人因此受到的损失或者个人信息处理者因此获得的利益赔偿;自然人因此受到的损失以及个人信息处理者因此获得的利益难以确定的,由人民法院根据实际情况确定赔偿数额。”
(来源: 网络传播杂志)