您现在的位置:广州政法网 > 政法要闻

人民法院报:全面认识个人信息保护 科学立法确保良法善治

来源:人民法院报
发稿时间:2020年12月02日

个人信息保护问题具有诸多固有特性,关乎个人尊严自由、关乎经济社会发展、关乎国家主权安全。为此,我们应当全面深入地认识个人信息,统筹考虑个人信息保护与个人信息利用,科学立法,确保良法善治,推动数字经济持续健康发展。

经第十三届全国人大常委会第二十二次会议初次审议后,《中华人民共和国个人信息保护法(草案)》(以下简称《个人信息保护法(草案)》)于2020年10月21日在全国人大网上全文公布,并公开征求意见。个人信息保护问题具有诸多固有特性,关乎个人尊严自由、关乎经济社会发展、关乎国家主权安全。为此,我们应当全面深入地认识个人信息,统筹考虑个人信息保护与个人信息利用,科学立法,确保良法善治,推动数字经济持续健康发展。

要认识到个人信息的多样性。国际上有关个人信息的法律概念主要有“个人数据”“个人信息”“隐私”等三种表述。概念的不同主要是源于不同的法律传统和使用习惯,实质上并不影响法律的内容。提到个人信息,人们最先想到、最容易想到的就是传统民法上的“隐私”,甚至会将二者等同对待。其实个人信息的范围非常广,远远大于民法上能够作为自然人隐私的那些私密信息。在互联网环境下,随着个人网络行为的发生,个人信息不断产生并且不断发生变化。个人信息,顾名思义就是与特定个人有关的信息。虽然目前一般都将个人信息界定为任何已识别或者能够识别特定个人的信息,但直接识别还是间接识别,单一信息识别还是聚合信息识别,这些问题实际上使得“个人信息”与“非个人信息”之间并不是非此即彼的关系。要认识到个人信息的多样性和不确定性,无论怎么定义“个人信息”,我们都难以周延地界定个人信息的内涵,也难以精准地概括个人信息的外延。

要认识到个人信息的多属性。对于那些能够直接识别特定个人的信息,例如姓名、肖像等,这些信息彰显该特定个人的鲜明人格特性,属于民法上人格权的客体。对于那些个人不愿意让他人知晓的私密信息,虽不能够直接识别特定个人,但关系到个人尊严和社会评价,因此法律也提供人格权保护。随着社会发展,传统人格权客体开始衍生出经济价值,在特定情况下也具有了财产属性,能够成为民法上财产权的客体。同时,随着信息产业的不断发展和互联网技术的广泛应用,一些与个人有关但是又不具有人格属性的个人信息更是大量产生。当前,数据已经成为数字经济发展中的重要生产要素,也是一些互联网企业的核心资产。个人信息是作为生产要素的数据的主要来源,开始作为生产要素、经济资源被广泛应用。尤其在开放互联、移动智能的环境中,个人信息的应用范围更加广泛、应用方式更加多样,经专业数据挖掘后产生了更大的经济效益和社会效益。因此,要认识到个人信息具有多属性。

要认识到个人信息保护的历史性。个人信息保护问题,是随着信息产业的不断发展和互联网技术的广泛应用而出现的。美国、欧洲的现代信息技术起步早、发展快、应用广,开始逐步形成难以纳入传统隐私权保护范围的一些个人信息,并且这些个人信息有时被用于最初用途以外的其他用途。为规制滥用个人信息行为,欧美国家最先想到的就是其比较发达的隐私权保护制度。因此,一些法律文件把隐私权保护与个人信息保护并列或混用,例如经济合作与发展组织的《隐私保护与个人数据跨境流动准则》、欧盟的《保护个人享有的与个人数据处理有关的权利以及个人数据自由流动的指令》都同时规定隐私保护和个人信息保护。但是,欧洲议会和欧洲理事会于2016年4月通过《通用数据保护条例》,就不再提及隐私保护,而是注重数据控制者和处理者的权利义务,以促进相关数据自由流动。目前,世界上很多国家都对个人信息保护进行了单独立法,个人信息保护与隐私权保护完成了比较彻底的分离与切割。

要认识到个人信息保护的独立性。个人信息保护从制度上与隐私权保护分离开来,成为一项独立于隐私权保护的法律制度,这是人们对个人信息保护认识的深入和升华。需要特别指出,个人信息保护不仅独立于隐私权保护,也独立于民法,个人信息保护不再是民事法律体系中的一项制度,个人信息保护法也并不是民法的特别法。个人信息保护的独立性的另一面,就是个人信息保护制度的系统性、协同性。这就需要民法、刑法、行政法等多个部门法分工协作,立足各自本位,遵从各自规律,发挥各自功能,合力实现法律制度的有效供给。

在全面推进依法治国的工作格局中,科学立法是前提条件。习近平总书记在前不久刚刚召开的中央全面依法治国工作会议上也明确要求,要“以良法善治保障新业态新模式健康发展”。因此,在全面认识个人信息保护的基础上,要科学立法,构建良法体系,以良法促进新业态发展、以善治保障新模式健康。

要明确个人信息保护法的立法目的。个人信息保护制度已经从与隐私权保护制度交织交错、并列混用的状态中脱离出来,成为一项独立的法律制度。个人信息保护制度也因此具有自己独立的立法目的。个人信息保护立法,虽冠有“保护”个人信息之名,实则并非仅为保护个人信息。个人信息保护作为一项独立的法律制度,其立法目的,从消极方面来说,就是要防止个人信息的滥用,从积极方面来说,就是要促进个人信息的自由流通,但是最终还是为了实现个人信息的有效利用。因此,设计具体规则时要紧紧围绕个人信息保护的上述法律目的,确保作为手段的具体规则务必服务于、服从于法律目的的实现。

要注意个人信息保护法的体系定位。个人信息保护作为一项独立法律制度,需要民法、刑法、行政法等多个部门法在各自体系框架内供给相应的制度和规则。当前,民法典、消费者权益保护法、电子商务法、刑法、网络安全法、行政法(包括行政法规和部门规章)等都已经有相关规定,尤其民法典对个人信息保护作了比较系统的规定,正在起草中的数据安全法也有相关规定。个人信息保护法作为一部单独的、专门的立法,要注意其在现有法律框架中的体系定位,要注意其兼具公法与私法融合的特殊性质,要注意制度设计与其他部门法相关制度的衔接,要注意规则设计与其他部门法现有规则的协调,确保一致、避免冲突。

要合理配置个人信息保护法的权责体系。计算机、互联网的普遍应用极大地增强了人们获取信息的能力,同时个人信息的电子化(数据化)极大地方便了人们利用信息。在这种情况下,只要个人信息处理人员具有足够的想象力和创造力,就可以对个人信息进行各种各样的组合、拆解、加工。由此可见,计算机、互联网的普遍应用只是引发个人信息保护问题的客观条件,个人信息被滥用才是主观条件。因此,要围绕预防个人信息被滥用及其事后救济,对个人信息保护法的权责体系进行合理配置。例如,个人信息权益配置重在预防滥用及损失赔偿,而不是作为一种权利的积极行使;个人信息处理程序不应过于复杂,要注意控制个人信息处理者的成本,否则将影响个人信息的自由流动和合理利用;滥用个人信息作为一种民事侵权行为,应当采取过错原则,但鉴于个人信息滥用的复杂性、专业性,可以适用过错推定。

要构建高效的个人信息保护行政执法机制。个人信息的范围广、种类多,不断产生并且不断变化。在大数据时代,各种各样的个人信息通常是交织聚合的,个人信息处理者也往往是综合运用各种各样的个人信息进行数据挖掘,实现数据价值的。因此个人信息的不同处理环节可能涉及不同种类的个人信息,甚至同一处理环节也可能涉及不同种类的个人信息。我国《个人信息保护法(草案)》笼统规定国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。笔者认为,这样一来,个人信息保护法的行政执法部门分散、人员分散,容易造成执法效率不高、执法标准不统一、执法协调难度大、企业合规成本高等问题。因此,笔者建议构建专门高效的个人信息保护行政执法机制,就域外实践来看,专门机构、专门人员、统一执法也是通行模式。