本文来自微信公众号:财经E法(ID:CAIJINGELAW),作者:周辉(中国社会科学院法学研究所副研究员、中国社会科学院大学法学院副教授),编辑:朱弢,头图来自:视觉中国
11月1日起,《中华人民共和国个人信息保护法》(下称《个人信息保护法》)正式施行。这标志着个人的信息权益有了更系统的法治保障,个人信息处理活动有了更明确的法律指引,中国数字经济发展和治理自此迈入崭新阶段。
一、如何理解《个人信息保护法》出台
信息并非新的概念,个人信息保护也并非新的命题,与个人信息保护相关的法律规则此前更非空白,为什么当下还要出台一部《个人信息保护法》?
进入数字时代后,形势发生革命性变化。正如中共中央总书记习近平指出:“数字技术正以新理念、新业态、新模式全面融入人类经济、政治、文化、社会、生态文明建设各领域和全过程,给人类生产生活带来广泛而深刻的影响。”随着数字技术加速创新和数字经济蓬勃发展,个人信息处理的复杂性、普遍性日益增强,个人信息合理利用的经济社会价值和滥采滥用的侵权安全风险也同步凸显,传统社会法律规则亟待系统性更新。
在数字时代,保障好个人信息权益,需要降低维权成本、提高侵权违法成本,需要赋予相对弱势的个人更丰富的权利内容和更有力的救济机制,也需要监管部门发挥好行政执法主动性、专业性的优势。传统的民事规则主要调整的是平等民事主体间法律关系,无法有效、及时调整信息大规模、多样化、广互联利用过程中多主体间复杂的社会关系。
所以,需要补充特殊的民事责任规则、诉讼维权程序,也需要明确行政执法权限和强化行政处罚力度,对个人信息监管部门职责范围以及如何监管执法作出规定。更重要的是,各级国家机关和法律、法规授权的具有管理公共事务职能的组织,在履行法定公共职责的过程中,也存在诸多处理个人信息的情形。对于这些公主体的个人信息处理活动,也需要一并予以规范。
同时,对个人信息权益的保障,不应影响对个人信息的合理利用。个人信息虽然称之为个人的,但在信息的公共价值日益凸显的背景下,所有与个人相关的信息,不宜都专属于个人排他性支配。个人信息的保护不能绝对化,成为个人信息促进经济社会发展、提高数字经济国家竞争力的障碍。也正因如此,《民法典》没有像对隐私的保护那样,把个人信息整体明确为一项民事权利,仅申明自然人的个人信息受法律保护,保留了执法和司法裁量的余地,也留出了个人信息主体外的其他主体依法合理利用个人信息的空间。进一步地,就需要建立如何合理利用个人信息的法律规则,对个人信息的权益包括哪些内容、如何实现,个人信息处理者的义务包括哪些以及如何履行做出规定。
信息全球化是继商品全球化、资本全球化后的最新阶段。伴随数字经济跨境发展和平台经济跨境运营,个人信息的全球流动,给变局下的全球化带来新的机遇和挑战。在信息数据资源利用国际竞争日益加剧的背景下,信息产业与信息市场的优势国家,对个人信息的跨境规则有着明显分歧,个人信息保护存在成为新型贸易壁垒的态势。
因此,针对境外在个人信息保护方面对中国采取歧视性的禁止、限制或者其他类似措施的情况,应当提前布局应对。以欧盟为代表,域外个人信息保护立法在为我们提供立法经验教训的同时,也因其“长臂管辖”给中国个人信息处理主体带来冲击和影响;以跨国企业为代表,在业务开展过程中,存在个人信息跨境的显著需求。此外,境外司法或执法机构还可能调取存储于中国境内的个人信息,也会有境外的组织、个人从事损害中国公民个人信息权益、危害中国国家安全和公共利益的个人信息处理活动。因此,有必要从国际大势出发,积极回应当前国际竞争的需要,明确向境外提供个人信息的条件、程序和管理要求;依法约束境外司法或执法机构跨境调取行为,对等反制任何国家和地区在个人信息保护方面对中国采取的歧视性的禁止、限制或者其他类似措施。
《消费者权益保护法》的第二次修正和《民法典》《网络安全法》《电子商务法》的制定,都及时回应了个人信息保护实践中的部分热点难点问题。但是受限于立法目的和立法体例,它们都不可能系统地解决上述问题。正如《个人信息保护法(草案)》起草说明所指出的,“应当在现行法律基础上制定出台专门法律,增强法律规范的系统性、针对性和可操作性,在个人信息保护方面形成更加完备的制度、提供更加有力的法律保障。”
个人信息保护关乎人民群众安全感、获得感和幸福感,关乎数字经济规范健康持续发展,关乎国家安全和竞争新优势。总书记习近平多次强调,要坚持网络安全为人民、网络安全靠人民,保障个人信息安全,维护公民在网络空间的合法权益,对加强个人信息保护工作提出明确要求。
出台《个人信息保护法》,就是依据宪法,全面总结《民法典》《网络安全法》等法律制定和实施经验,深入研究信息时代个人信息处理基本规律,借鉴有关国家和地区成功的立法经验,形成一部适应新时代中国特色社会主义发展要求,全面调整不同主体个人信息处理活动的法律,充分发挥法治固根本、稳预期、利长远、促发展的规范、引导、教育、保障作用。
二、如何处理个人信息
与《民法典》《数据安全法》保持一致,《个人信息保护法》规定了个人信息“处理”这一法律概念,将其作为个人信息收集、存储、使用、加工、传输、提供、公开、删除等活动的统称。实施《个人信息保护法》的关键,就在于按照其规定的个人信息处理基本原则,规范个人信息处理活动。
第一,坚持合法正当诚信原则。处理个人信息应当遵循合法、正当、诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。利用个人信息进行自动化决策,应当保证决策结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
第二,坚持处理必要原则。《个人信息保护法》对个人信息的收集范围、处理方式、保存期限等作了严格限制。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。处理个人信息应当采取对个人权益影响最小的方式。除非处理个人信息属于提供产品或者服务所必需,个人信息处理者不得以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由,拒绝提供产品或者服务。除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需。对于敏感个人信息,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理。
第三,坚持目的特定原则。处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关。个人信息的处理目的发生变更的,应当重新取得个人同意。受托人应当按照约定处理个人信息,不得超出约定的处理目的处理个人信息。因合并、分立、解散、被宣告破产等原因需要接收个人信息的接收方,变更原先的处理目的的,应当依照重新取得个人同意。在公共场所安装图像采集、个人身份识别设备,所收集的个人信息,除非取得个人单独同意,只能用于维护公共安全的目的,不得用于其他目的。处理目的已实现、无法实现或者为实现处理目的不再必要的,个人信息处理者应当主动删除个人信息。
第四,坚持知情同意原则。知情同意是个人信息处理活动中最普遍的合法性基础。除非包括该法在内的法律、行政法规有特殊规定,处理个人信息应当取得个人的同意。包括地方性法规、部门规章和地方政府规章在内的其他立法,不能创设例外。基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。个人信息处理者向其他个人信息处理者提供其处理的个人信息、公开其处理的个人信息、处理敏感个人信息、向境外提供个人信息的,还应当取得个人的单独同意。
第五,坚持个体参与原则。个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明。
第六,坚持保证质量原则。处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。
第七,坚持公开透明原则。处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知法定事项;通过制定个人信息处理规则的方式告知必要事项的,处理规则应当公开,并且便于查阅和保存。个人信息处理者应当公开个人信息保护负责人的联系方式。个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度;处理敏感个人信息的,除非法律另有规定,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;向境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项。
第八,坚持安全保障原则。个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全;根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取相应的保护措施。接受委托处理个人信息的受托人,应当按照规定,采取必要措施保障所处理的个人信息的安全。
三、不合规会承担哪些法律责任
《个人信息保护法》既对个人信息处理各环节作了全流程规范,也对个人信息处理不合规可能承担的民事、行政和刑事责任作了综合性规定。
个人信息处理者如果不规范处理活动,产生侵权后果,就要依法承担民事责任。《个人信息保护法》充分考虑个人信息权益主体在维权过程中相对弱势的地位,确立了过错推定责任规则。处理个人信息如果侵害个人信息权益,并造成损害,除非个人信息处理者能够证明自己没有过错,否则就要承担损害赔偿等侵权责任。
当然,个人信息权益主体仍负有证明存在侵害行为,并因此产生损害的责任。只是当完成这一证明责任后,个人信息权益主体就不必再去证明个人信息处理者存在过错。不过,个人信息处理者只要违反了上述基本原则,就很难证明自己没有过错。此外,针对个人信息处理者违反本法规定处理个人信息,侵害众多个人权益的情况,为了降低维权成本,《个人信息保护法》进一步规定了公益诉讼制度,规定人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。
如果违法处理个人信息,或未履行个人信息保护义务,履行个人信息保护职责的部门还可以根据情节,对个人信息处理者采取包括巨额罚款在内的行政处罚。罚款金额最高可以达5000万元人民币,或者个人信息处理者上一年度营业额的5%。为了让个人信息处理者相关责任人切实承担责任,《个人信息保护法》也对其设定了法律责任。违法情节严重的,对直接负责的主管人员和其他直接责任人员,可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。如果个人信息处理者是国家机关,存在不履行该法规定的个人信息保护义务的,由该国家机关上级机关或者履行个人信息保护职责的部门责令改正;对直接负责的主管人员和其他直接责任人员,也依法给予处分。
个人信息处理活动违反该法规定,如果构成违反治安管理行为的,公安机关还可以依据《治安管理处罚法》给予个人信息处理者治安管理处罚。例如,散布涉及个人隐私的个人信息,可处5日以下拘留或者500元以下罚款;情节较重的,处5日以上10日以下拘留,可以并处500元以下罚款。
个人信息处理活动违法程度足以构成犯罪的,依法追究个人信息处理者的刑事责任。例如,根据《刑法》和相关司法解释的规定,出售或者提供行踪轨迹信息,被他人用于犯罪的;知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的,都可处三年以下有期徒刑或者拘役,并处或者单处罚金。
四、走向更规范的新时代
法律的生命在于实施,法律的权威也在于实施。《个人信息保护法》的施行,只是开启了数字中国法治的一扇大门。个人信息权益能否真正得到保障、个人信息利用效能可否更好发挥,需要所有个人信息处理者切实落实《个人信息保护法》的管理要求。
原则之下,更需细化规则。《个人信息保护法》尽管是综合且全面的,但毕竟不能涵盖所有的个人信息处理细节。无论是履行个人信息保护职责的部门依法履职,还是个人信息处理者依法合规,都需要更加具体的规则甚至标准指引。更何况《个人信息保护法》本身就将许多规则的具体设计,授予了以国家网信部门为代表的监管机构。
例如,专业机构如何进行个人信息保护认证?按照怎样的标准合同,可以通过与境外接收方订立合同,向境外提供个人信息?在何种条件下,个人可以请求将个人信息转移至其指定的个人信息处理者,要求个人信息处理者为此提供转移的途径?对于监管部门而言,这既是权力,更是责任。如果这些配套规定不能及时出台,《个人信息保护法》的实施效果显然将受到影响。
法律之外,也需技术。个人信息处理活动是高度技术性的,法律规则能否得到遵循也离不开技术的评估、审计、验证和检查。《个人信息保护法》也充分考虑到技术治理的必要性和重要性。一方面注重明确技术措施要求:个人信息处理者应当根据比例原则,采取加密、去标识化等技术措施保障所处理的个人信息的安全;把所采取的安全保护措施是否合法、有效并与风险程度相适应,明确为个人信息保护影响评估的法定内容。另一方面,也鼓励应用有利于保护个人信息的先进技术:如果应用匿名化技术,使得个人信息经过处理无法识别特定自然人且不能复原,就可以豁免该法针对个人信息处理的各项要求。更规范的个人信息处理,也离不开包括隐私计算、量子加密等安全技术的发展和应用。
未来已来。我们已经进入数字社会,《个人信息保护法》带来的影响必然也是广泛而深远的。个人信息处理的整体规范化、合规化将是一个系统的工程,需要政府、产业和社会投入相当大的人力、物力、技术资源。信息的处理已经技术化,监管与合规唯有辅以相当的技术能力,才能“魔高一尺道高一丈”,实现个人信息处理的真实、持续规范。可以预见,《个人信息保护法》的实施也会带来新的经济增长点。把握个人信息处理规范的时代机遇,无论合规科技,还是监管科技,都会迎来、也应该去开拓它们的“蓝海”。
本文来自微信公众号:财经E法(ID:CAIJINGELAW),作者:周辉