首页 > 观点 > 正文

评论丨《个人信息保护法(草案)》是一次重要突破

2020-10-24 17:44:47  21世纪经济报道 21财经APP 谢远扬

被全社会寄予厚望的《个人信息保护法(草案)》终于在千呼万唤之下,露出了自己的庐山真面目。相比既有的那些个人信息保护规范而言,《草案》的规定更加具体、逻辑上更加全面和完善,超越了公法和私法的简单划分,从各个方面系统化的规定了保护个人信息的各种规范制度。可以说是自《民法总则》首次规定个人信息应当受到法律保护之后,我国个人信息保护制度的又一次重大突破。如果本法能够顺利通过并实施,那么我国个人信息保护制度从此就摆脱了零敲碎打、各自为战的局面,有了统一的,体系化的规定。除此之外,相对于之前的法律制度,尤其是《民法典》中关于个人信息保护的相关制度,《草案》的内容有其非常鲜明的特点。 

首先,与《民法典》的规定一以贯之的,《草案》仍然坚持了对个人信息处理的“告知—同意”原则,即对个人信息的处理行为,原则上都应当以当事人本人的知情同意为前提。但是和《民法典》不同的是,《草案》并不将当事人同意作为唯一的信息处理合法性基础,而将其与其他五项合法性基础并列。可以说,这是对《民法典》立法模式的重大改变,在立法思路上就跳出了单纯的“信息自决”和 “告知—同意”的路径,认可了处理个人信息合法性基础的多样性,也为在保护个人信息的基础上促进对个人信息的物尽其用,加速信息的流转创造了条件。这种立法模式,可以说是继受自欧盟的《一般数据保护规定》,但在具体适用时,如何对其他合法性基础内涵的理解以及实务中的具体如何操作,仍然需要通过理论和实务界的不断完善和补充。 

其次,和《民法典》对所有个人信息一视同仁的立法模式不同,《草案》明确区分了普通的个人信息和“敏感个人信息”,后者是指“一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重威胁的个人信息”。并且对“敏感个人信息”的处理设置了更为严格的规定,必须取得当事人的特别同意。对个人信息进行分类保护,符合法理,因为个人信息范围广大,对于所有信息给予同等保护显然不符合实际。对于特别重要的个人信息,显然应当给予特别的保护。但是《草案》中有关敏感个人信息的定义还是比较宽泛的,并且由于《草案》对敏感个人信息的处理规范特别严格,因此在实践中是否会出现,对敏感个人信息的扩大解释,导致这种分类保护的模式被架空,是需要在具体的司法实践中特别注意的。 

第三,除了平等主体间的个人信息处理关系,《草案》还直接规制国家机关处理个人信息的基本规范。现代国家机关为履行职权不可避免的会涉及对个人信息的处理,但是这和私人之间处理个人信息的性质不同,是一种国家公权力管理职能的体现,是公法关系在个人信息保护问题上的延伸。所以在这种意义上,《草案》并非单纯的公法或者私法,而是具有了复合性的社会法属性。和传统的界限明确的公私法,如刑法和民法相比,这种复合性质的法律,以解决某一个具体社会问题为目标,集中规定了相关的所有法律制度,在法律适用层面,相比之前严格区分的立法方式,具有针对性,有利于社会民众知法、懂法,为广大民众主动维护自己的权益打下基础。 

第四,《草案》规定了个人信息的跨境流动问题,扩大了法律的适用范围。在全球化时代,个人信息的跨境流动已经成为了互联网的常态,传统的以国籍、国界作为法律适用的边界已经无法满足新的社会需求,因此《草案》确立了以处理行为发生地、信息主体所在地以及处理行为是否针对境内自然人,这三者为依据的适用标准。并且规定,如果外国主体的行为损害我国公民个人信息权益、国家利益的,或者外国对我国采取歧视性限制措施的,我国相关部门都有权采取相应的措施。这就为在全球范围内,保护我国公民的个人信息利益,提供相应的法律基础。 第五,明确了负有保护个人信息职责的相关部门。个人信息保护绝不是私人自己的事务。因为当事人之间的地位不平等,即便法律有所规定,但私人很难在事实上保护自己的权益。所以为了保护信息主体的利益,必须要有力第三方的介入,以实现双方地位的平衡。对此《草案》提出了“网信部门统筹协调+有关部门各自监管”的模式,区别于以欧盟为代表的跨行业统一监管模式和以美国为代表的行业主管监管模式。《草案》的规定模式比较贴近我国传统的行业主管部门专门监管模式,应是立法者平衡两种模式利弊后的结果,比较符合我国行政机关设置和职能划分的传统,也有利于各行业主管部门尽快推动提高本行业个人信息保护水平。至于这种监管模式能否发挥其制度目的,还要在之后的法律实践中拭目以待了。 

最后,在责任方面,《草案》针对个人信息处理的特殊情况,也特别规定了相应的法律责任。最重要的是,针对违反个人信息保护规定的行为,规定了高额罚金,对企业罚款最高可至人民币5000万元或上一年度营业额5%、对个人罚款最高可至人民币100万元的巨额罚款,以及企业关停、证照吊销的严厉后果。很明显,立法者希望通过严格责任的方式,从反面震慑侵害个人信息权益的行为。除此之外,对于实际的损害赔偿问题,《草案》也采用了所获利益的衡量方式,即损害赔偿的具体数额,可以根据侵权人因为侵权行为所获得的收益来确定,以保证侵权人不会因为侵权行为而获得利益。当然,在具体的法律适用中,如何认定高额罚款的“情节严重”,以及如何具体确定侵权人的“所得利益”,以及作为减轻或免除责任的理由,信息处理者如何能够证明自己尽到注意义务,没有过错,也需要通过理论分析和司法实践来进一步加以确定。 

《个人信息保护法(草案)》可谓是近年以来对个人信息保护制度学术研究的集大成,其修改了许多《民法典》中的不足制度,并且根据我国的具体情况,也制定了许多之前法律制度中没有的规范。但相关的法律规范能否实现其制度目的,还要留待司法系统和相关政府部门的具体实施了。

(作者系中国政法大学讲师)