《个人信息保护法》姗姗来迟,但开启了一个时代的篇章。
2021年8月20日,《个人信息保护法》正式通过,并将于2021年11日1日正式施行。《个人信息保护法》的诞生,标志着我国网络数据法律体系中继《网络安全法》《数据安全法》之后,具有重要意义的一块拼图终于落定,具有划时代的意义。
(为全面解读《个人信息保护法》条文及影响,本公号将陆续推出系列文章与报告)
数字时代的《个人信息保护法》,是保障个人信息权益乃至宪法性权利的基本法。《个人信息保护法》第一条即开宗明义,为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。其中在立法依据中“根据宪法”这四个字,是在三审过程中加入的[1],这表明:我国将个人信息受保护的权利提升至更高高度,其来源于《宪法》:国家尊重和保障人权,公民的人格尊严不受侵犯,公民的通信自由和通信秘密受法律保护。
我国对于《个人信息保护法》的关注起始于2003年,当时的国务院信息化办公室正式部署了立法研究工作,2005年相关学者完成了《个人信息保护法(专家建议稿)》[2]。
同期,我国网络数据立法整体加快。以2012年《全国人大关于加强网络信息保护的决定》为开端,《网络安全法》(2016)、《电子商务法》(2017)陆续出台。除了专门的网络法外,传统法律的制定、修订工作,也给予网络空间前所未有的关注:《消费者权益保护法(修订)》(2013)、《刑法修正案》(九)(2015)、《民法总则》(2017)、《民法典《人格权编》(2020)都补充了个人信息保护相关条款。这些散落在各个法律中的条款一定程度上回应了公众的关切,但尚未全面建立起个人信息保护法律体系。
直至2018年9月,《个人信息保护法》正式纳入人大立法规划,在历经三年起草制定工作后,于2021年8月20日正式出台。自此,我国终于形成了以《网络安全法》《数据安全法》《个人信息保护法》三法为核心的网络法律体系,为数字时代的网络安全、数据安全、个人信息权益保护提供了基础制度保障。
从全球来看,对于个人信息保护问题的制度性回应,起源于19世纪六七十年代计算机的普及应用。当政府机构、大型跨国公司通过计算机大规模地处理公民个人信息时,传统法律中防御性的、事后救济性的“隐私权”已难以完全解决个人信息非法收集和利用问题。私法领域的“隐私权”逐步发展为公法领域的个人信息保护制度。即在未发生明确的隐私侵害后果之前,就通过行为规范方式,明确个人信息处理的方式,包括知情同意、最小化、目的特定、保障安全与可问责等。70年代,欧美发达国家率先完成个人信息保护立法,在这半个世纪以来,个人数据保护立法持续在全球铺开,目前已经有128个国家通过立法保护个人信息和隐私[3]。
如同数字化在全球依次展开,数据保护立法在不同国家呈现出不同的阶段性特点。相比而言,发展中国家整体起步较晚,当前正在迎头赶上。南非、巴西的个人信息保护法,均在2020年前后生效,印度于2016年启动个人信息保护立法,目前仍处于草案阶段。
同样,作为发展中国家,我国是在步入21世纪,伴随移动互联网快速发展,个人信息收集处理成为一个社会问题之后,立法开始加速规范。在今天,我国网民数量已接近十亿,在网络零售、社交网络、智慧城市、自动驾驶、产业互联网数字化应用五彩纷呈之际,《个人信息保护法》的出台,生逢其时,标志着与我国网络大国、数字大国相匹配的制度建设逐步走向成熟。
享受数字化技术便利的每位个体,也在为无所不在的数据处理感到深深不安。从移动互联网、物联网、无人驾驶、面部识别,到可穿戴设备、智能家居、医疗监测器械,数据驱动的创新背后,人们担忧物联网设备的秘密记录,无意中健康信息的暴露,超出消费者授权的个人数据共享、信用卡欺诈、数据杀熟、名誉损害。重建数字时代每位个体的信心与信任,是数字社会实现文明、民主,以人为本的终极之问。
我国《个人信息保护法》明确了处理个人信息必须具有合法性理由。基于个人同意处理信息的,同意必须是在个人在充分知情的前提下自愿、明确作出。对于十四岁以下未成年人个人信息收集处理,身份特征等敏感信息的处理,规定了更为严格的法定条件。
疫情期间“健康码”的应用,依托数据资源汇聚、数字技术支撑,实现了动态精准化的数字治理,但在前期也存在着数据过度采集,数据处理不透明的问题,如“杭州健康变色码”,将公民完全异化为数据评估对象并给予工具性评价[4]。在一切皆可被数据测量,皆可以被数字评判的今天,我们尤须心存对人格尊严的敬畏,对人本身的关怀。因此,《个人信息保护法》并不止步于保障个体对个人信息的处分,而是以人为核心,以人为本位的数字社会的权利界碑。
我国《个人信息保护法》几乎与国际个人信息保护通用原则全面接轨。
在立法模式上,采取了全球主流的,综合性通用立法模式,适用于各行各业。特别是明确国家机关处理个人信息,同样适用《个人信息保护法》,具有重要意义。在智慧城市、数字治理建设背景下,政府成为最主要的数据处据机构,政府机关遵循《个人信息保护法》法律规范,在履行法定职责的范围内,依法依规处理个人信息,将在全社会起到身先示范效应,彰显了我国政府在数字时代遵循法治理念的决心。
在规范内容上,《个人信息保护法》确立的基本原则、数据处理合法性基础、个人信息的分类(包括敏感信息、匿名化信息、去标识化信息等类别),数据处理者的义务(包括数据泄露通知、个人隐私影响评估、文档化记录)与国际立法虽仍有细微差别,但仍具有较强的兼容性。
在跨境数据流动等场景中,《个人信息保护法》除了引入国际上一些较为成熟的做法,如标准合同机制外,还强调国家积极参与个人信息保护国际规则的制定,推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等的互认,显示了开放心态。
个人信息保护是数字时代各国面临的共通问题,所应对的法律机制有着天然的相似性,趋于一致的规则体系也有利于避免法律的碎片问题,有助于数字经济的全球化发展。
如何平衡好个人权益保护与促进数据利用的关系,始终是个人信息保护立法的核心命题。欧盟通用数据保护条例(GDPR)以“权利保护”而闻名于世,但也始终无法摆脱阻碍欧盟数字经济发展的质疑。
尽管法律机制有着共通性,但在探索数字时代个人信息保护以及更为广泛的数据治理政策框架的道路上,并没有万能的标准答案。欧盟GDPR、美国加州《隐私法》(CCPA&CPRA),也是依据本地区的政治、文化、产业发展基础,量身定制的制度方案。
中国自身的数字经济发展规模和基础,以及对未来发展的宏观愿景,都决定了在设计个人信息保护的中国方案时,有着基于自身国情的特殊考量。这体现在整体上与国际规则接轨的同时,在具体机制上仍然有细微的差别。包括:扩展了域外适用效力,但适度有限;建立了个人的权利体系,但对于仍有争议尚未看清的权利仍持谨慎态度,对我国社会公众关注的大数据画像、数据杀熟制定了专门条款;在跨境数据流动规则方面集中体现了作为发展中国家对于数据安全的优先考量。这些差异之处代表了发展中国家在数字经济议题时,对个人权利保护,数字创新发展和国家数据安全的综合平衡,也是中国在当前全球数字治理中的制度贡献。
[1] 个人信息保护法草案等15部法律案将提请本次人大常委会会议审议
[2] 周汉华,个人信息保护法(专家建议稿)及立法研究报告,法律出版社,2006年9月1日
[3] See: https://unctad.org/page/data-protection-and-privacy-legislation-worldwide, 最后访问日期:2021年8月17日。
[4] 王融《民法典人格权编》问世——“健康变色码”能停止异化么?腾讯研究院微信公众号,2020年5月31日