石佳友
近期,立法機(jī)關(guān)公布了《個(gè)人信息保護(hù)法(草案)》,引起了廣泛的關(guān)注。草案具有諸多亮點(diǎn),呈現(xiàn)出較為鮮明的時(shí)代特色和問題意識(shí),在《網(wǎng)絡(luò)安全法》《民法典》等現(xiàn)行法的基礎(chǔ)上,增設(shè)了知情同意制度、敏感信息、自動(dòng)化處理、刪除權(quán)、公共場(chǎng)所的監(jiān)控設(shè)施等具有重要意義的新制度。
眾所周知,《民法典》在總則編(第111 條)和人格權(quán)編(第1034—1039 條)以多個(gè)條文對(duì)個(gè)人信息保護(hù)作出了重要規(guī)定,奠定了個(gè)人信息保護(hù)制度的規(guī)則框架;而《個(gè)人信息保護(hù)法》則是一部全面、系統(tǒng)規(guī)定個(gè)人信息保護(hù)的單行法。二者的關(guān)系是什么?有論者認(rèn)為,二者之間不是普通法與特別法的關(guān)系。原因在于,《民法典》僅能調(diào)整平等主體之間的個(gè)人信息處理活動(dòng);而《個(gè)人信息保護(hù)法》同時(shí)涉及私法關(guān)系(私法主體之間)與公法關(guān)系(國(guó)家機(jī)關(guān)處理個(gè)人信息);而另外,《個(gè)人信息保護(hù)法》還規(guī)范不平等的私法主體(如用戶與互聯(lián)網(wǎng)平臺(tái))之間的關(guān)系。因此,《個(gè)人信息保護(hù)法》是所謂的“領(lǐng)域法”,或者是調(diào)整事實(shí)上地位不平等的主體之間的“社會(huì)法”,而非《民法典》的下位法,亦非其特別法;否則,可能陷入所謂“民法霸權(quán)主義”的誤區(qū)。
就個(gè)人信息保護(hù)這一問題而言,《民法典》作為基本法,無疑具有普通法的地位,其約束的義務(wù)主體“信息處理者”涵蓋了所有的信息處理機(jī)構(gòu)和個(gè)人,突破了《網(wǎng)絡(luò)安全法》中所規(guī)制的義務(wù)主體(“網(wǎng)絡(luò)運(yùn)營(yíng)者”)的限制,具有一般性。而《個(gè)人信息保護(hù)法》作為全面規(guī)制個(gè)人信息處理的單行法,則具有特別法的屬性,對(duì)民法典作出了大量的補(bǔ)充和例外性規(guī)定。二者之間的關(guān)系類似于《民法典》與《消費(fèi)者權(quán)益保護(hù)法》的關(guān)系。在比較法上,民法典與單行法的關(guān)系通常被形象地描繪為太陽系的格局:民法典是“太陽”,而單行法則構(gòu)成圍繞“太陽”公轉(zhuǎn)的“行星”;“行星”根據(jù)“太陽”所投射的“光芒”來進(jìn)行解釋。典型的例子如《魁北克民法典》“序言”第2 款規(guī)定:“民法典由調(diào)整相關(guān)事項(xiàng)的規(guī)則的整體所組成,這些條文的文字、精神或?qū)ο笤谄渌{(diào)整事項(xiàng)的領(lǐng)域內(nèi),以明示或默式的方式確立了其‘共同法。在這些領(lǐng)域中,法典是其他單行法的基礎(chǔ),盡管單行法可以補(bǔ)充或者作出例外規(guī)定。”這就是說,民法典與單行法之間是普通法與特別法的關(guān)系,單行法可以對(duì)民法典作出補(bǔ)充或例外規(guī)定。在單行法有規(guī)定的情況下,單行法應(yīng)得到優(yōu)先適用;在單行法沒有規(guī)定的時(shí)候,則應(yīng)適用作為普通法的民法典。從這個(gè)意義上說,《個(gè)人信息保護(hù)法》屬于《民法典》的特別法,這并不意味著對(duì)《個(gè)人信息保護(hù)法》地位的貶低或者對(duì)其功效的抑制。作為全面系統(tǒng)規(guī)定個(gè)人信息處理制度的單行法,《個(gè)人信息保護(hù)法》可以對(duì)《民法典》作出補(bǔ)充和例外規(guī)定,對(duì)《民法典》的一般性規(guī)定進(jìn)行變通和突破,尤其對(duì)行政監(jiān)管、信息跨境流動(dòng)等民法典沒有規(guī)定或不適合規(guī)定的內(nèi)容增設(shè)規(guī)定。但是,《個(gè)人信息保護(hù)法》不能違背《民法典》所確立的基本原則,例如,《民法典》中關(guān)于個(gè)人信息(第1034 條)及個(gè)人信息處理的定義(第1035 條第2 款)、合法正當(dāng)必要等處理原則(第1035 條第2 款)、免責(zé)事由(第1036 條)、侵權(quán)責(zé)任等。
個(gè)人信息的權(quán)利主體。關(guān)于個(gè)人信息的權(quán)利主體,《民法典》中的措辭是“自然人”;而《個(gè)人信息保護(hù)法(草案)》采取的措辭則是“個(gè)人”,譬如該草案第四章標(biāo)題為“個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利”。從所指對(duì)象來說,二者并無差別,在措辭上似宜保持一致。
個(gè)人信息的類型?!睹穹ǖ洹返?034 條區(qū)分了一般個(gè)人信息與私密信息。但《個(gè)人信息保護(hù)法(草案)》并未采納這一區(qū)分,草案第29—32 條則采納了“敏感信息”這一比較法上通行的概念;二者有明顯差異。相比較而言,“敏感信息”的概念內(nèi)涵比較明確具體(如種族、政治與宗教信仰、生物識(shí)別信息、健康信息、性取向等);而“私密信息”在邊界上則較為模糊,可涵蓋所有未公開的個(gè)人信息,包括在特定范圍內(nèi)(如家庭成員、朋友間)分享的所有信息。從客體范圍的確定性角度來看,《個(gè)人信息保護(hù)法(草案)》的做法似更可取。
個(gè)人信息的處理原則?!睹穹ǖ洹返?035 條規(guī)定了合法、正當(dāng)、必要原則。而《個(gè)人信息保護(hù)法(草案)》第5 條的措辭則是“處理個(gè)人信息應(yīng)當(dāng)采用合法、正當(dāng)?shù)姆绞健保瑢⒑戏ㄕ?dāng)上升為原則;草案第6 條規(guī)定了處理應(yīng)限于實(shí)現(xiàn)處理目的的最小范圍,這正是必要性原則的邏輯后果,但未明確規(guī)定此原則,因此建議明文規(guī)定“必要性”原則。
關(guān)于公開信息的處理?!睹穹ǖ洹返?036 條第2 款規(guī)定,合理處理該自然人自行公開的或者其他已經(jīng)合法公開的信息,不承擔(dān)民事責(zé)任,但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外。這里,“處理該信息侵害其重大利益的除外”,是指如果處理該信息可能侵害權(quán)利人的重大利益;對(duì)于這樣的例外情形,即便權(quán)利人同意,處理者也不得進(jìn)行處理?!秱€(gè)人信息保護(hù)法(草案)》第28 條規(guī)定了處理公開信息的告知同意制度,包括利用已公開的個(gè)人信息從事對(duì)個(gè)人有重大影響的活動(dòng)。根據(jù)該條,如果權(quán)利人同意,即便對(duì)其有重大影響處理者亦可處理。此點(diǎn)需與《民法典》的前述規(guī)定保持一致。
信息安全義務(wù)?!睹穹ǖ洹返?038 條規(guī)定信息處理者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施,確保其收集、存儲(chǔ)的個(gè)人信息安全,防止信息泄露、篡改、丟失。《個(gè)人信息保護(hù)法(草案)》第50 條規(guī)定了處理者負(fù)有防止未經(jīng)授權(quán)的訪問以及個(gè)人信息泄漏或者被竊取、篡改、刪除等義務(wù)。建議明確設(shè)定信息處理者的安全保障義務(wù),這對(duì)于要求互聯(lián)網(wǎng)平臺(tái)采取必要的安全措施尤為重要;這也是當(dāng)前個(gè)人信息被侵害的“重災(zāi)區(qū)”。
獲利返還規(guī)則。如前所述,《個(gè)人信息保護(hù)法(草案)》第65 條借鑒《民法典》第1182 條引入了獲利返還規(guī)則,但在最后增加了一句:“個(gè)人信息處理者能夠證明自己沒有過錯(cuò)的,可以減輕或者免除責(zé)任?!边@句規(guī)定過錯(cuò)要件,似采取過錯(cuò)推定責(zé)任。但是,學(xué)界對(duì)侵害個(gè)人信息責(zé)任的歸責(zé)原則存有爭(zhēng)議,如采取過錯(cuò)推定責(zé)任,可能會(huì)與《民法典》第995 條人格權(quán)請(qǐng)求權(quán)條款發(fā)生沖突(不以過錯(cuò)為要件)。例如,在信息處理者違反安全義務(wù)導(dǎo)致信息泄露的情況下,無論其是否有過錯(cuò),均應(yīng)采取相應(yīng)的補(bǔ)救措施。因此,建議刪除本句,或者將其“責(zé)任”限定為“損害賠償責(zé)任”,而不包含人格權(quán)請(qǐng)求權(quán)(如消除危險(xiǎn))。
《個(gè)人信息保護(hù)法(草案)》的重大亮點(diǎn)之一,是詳細(xì)規(guī)定了信息主體的各項(xiàng)權(quán)利。從《民法典》強(qiáng)調(diào)個(gè)人信息權(quán)益保護(hù)的立法精神出發(fā),針對(duì)實(shí)踐中一些較為突出的問題,草案在以下方面仍可繼續(xù)完善和改進(jìn)。
知情同意權(quán)?!秱€(gè)人信息保護(hù)法(草案)》第17 條規(guī)定,個(gè)人信息處理者不得以個(gè)人不同意處理其個(gè)人信息或者撤回其對(duì)個(gè)人信息處理的同意為由,拒絕提供產(chǎn)品或者服務(wù);處理個(gè)人信息屬于提供產(chǎn)品或者服務(wù)所必需的除外。就此而言,可參考中國(guó)人民銀行2020 年9月發(fā)布的《金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》第29 條,其中明確規(guī)定金融機(jī)構(gòu)“不得變相強(qiáng)制收集消費(fèi)者金融信息”。因此,針對(duì)大量的APP 存在變相強(qiáng)制消費(fèi)者被迫同意處理其個(gè)人信息的情況,草案可增加規(guī)定“信息處理者不得變相強(qiáng)制個(gè)人作出同意”,確保個(gè)人知情同意權(quán)的真正落實(shí)。
委托處理?!秱€(gè)人信息保護(hù)法(草案)》第22 條規(guī)定:“個(gè)人信息處理者委托處理個(gè)人信息的,應(yīng)當(dāng)與受托方約定委托處理的目的、處理方式、個(gè)人信息的種類、保護(hù)措施以及雙方的權(quán)利和義務(wù)等,并對(duì)受托方的個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督”。但本條僅規(guī)定了委托方與受托方之間的外包處理約定問題,而未規(guī)定信息主體對(duì)委托處理活動(dòng)的同意和控制權(quán)。就此而言,值得參考的是,《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(2020 年版)第9.1 條a項(xiàng)規(guī)定:“個(gè)人信息控制者作出委托行為,不應(yīng)超出已征得個(gè)人信息主體授權(quán)同意的范圍?!币虼?,建議《個(gè)人信息保護(hù)法(草案)》在本條增加規(guī)定:“委托處理個(gè)人信息的,不應(yīng)超出個(gè)人授權(quán)同意的范圍。”
自動(dòng)化處理?!秱€(gè)人信息保護(hù)法(草案)》第25 條針對(duì)實(shí)踐中大量應(yīng)用的自動(dòng)化處理作出了規(guī)定,具有重大意義。根據(jù)該條第1 款,利用個(gè)人信息進(jìn)行自動(dòng)化決策應(yīng)當(dāng)保證決策的透明度和處理結(jié)果的公平合理。個(gè)人認(rèn)為自動(dòng)化決策對(duì)其權(quán)益造成重大影響的,有權(quán)要求個(gè)人信息處理者予以說明,并有權(quán)拒絕個(gè)人信息處理者僅通過自動(dòng)化決策的方式作出決定。這是對(duì)第7 條“公開透明原則”的具體應(yīng)用。第25 條第2 款對(duì)網(wǎng)絡(luò)畫像作出了規(guī)定:通過自動(dòng)化決策方式進(jìn)行商業(yè)營(yíng)銷、信息推送;應(yīng)當(dāng)同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng);這里顯然是賦予消費(fèi)者以同意權(quán)和選擇權(quán)。從這一精神出發(fā),第一,參考?xì)W盟《一般數(shù)據(jù)保護(hù)條例》(簡(jiǎn)稱“GDPR”)第22條“數(shù)據(jù)控制者應(yīng)當(dāng)采取適當(dāng)措施保障數(shù)據(jù)主體的權(quán)利、自由、正當(dāng)利益,以及數(shù)據(jù)主體對(duì)控制者進(jìn)行人工干預(yù),以便表達(dá)其觀點(diǎn)和對(duì)決策進(jìn)行異議的基本權(quán)利”,建議草案在第25 條第1 款增加個(gè)人有權(quán)要求處理者進(jìn)行人工處理(人工干預(yù)和復(fù)核)的權(quán)利。因?yàn)槿缃翊罅康氖酆罂头际遣捎萌斯ぶ悄芎蜋C(jī)器人自動(dòng)應(yīng)答模式,消費(fèi)者無法獲得人工復(fù)審的權(quán)利,這在本質(zhì)上是經(jīng)營(yíng)者逃避責(zé)任的方式,立法應(yīng)當(dāng)進(jìn)行規(guī)制。
敏感信息?!秱€(gè)人信息保護(hù)法(草案)》規(guī)定敏感信息是其重大創(chuàng)新,這也是立法文件中第一次引入了敏感信息這一重要范疇。草案第29 條第2 款規(guī)定:“敏感個(gè)人信息是一旦泄露或者非法使用,可能導(dǎo)致個(gè)人受到歧視或者人身、財(cái)產(chǎn)安全受到嚴(yán)重危害的個(gè)人信息,包括種族、民族、宗教信仰、個(gè)人生物特征、醫(yī)療健康、金融賬戶、個(gè)人行蹤等信息?!北究钜?guī)定特別指明了敏感信息的特殊重要性:一旦泄露或者非法使用,可能導(dǎo)致個(gè)人受到歧視或者人身財(cái)產(chǎn)安全受到嚴(yán)重危害,即嚴(yán)重影響個(gè)人的基本權(quán)利。因此,法律對(duì)敏感信息的處理必須設(shè)定特殊的要求。
從這個(gè)角度來看,草案第29 條第1 款規(guī)定仍有值得完善的地方。該款規(guī)定:“個(gè)人信息處理者具有特定的目的和充分的必要性,方可處理敏感個(gè)人信息?!贝颂帯熬哂刑囟ǖ哪康暮统浞值谋匾浴保朕o過于寬泛,建議在“具有”之前增加“基于維護(hù)公共利益或個(gè)人的重大利益”。以GDPR 第 9 條為參考,盡管該條第1 款亦使用了“特定目的(specific purposes)”的措辭,但該語詞是指基于個(gè)人的重大利益或者在健康、勞動(dòng)、社會(huì)保險(xiǎn)等領(lǐng)域的公共利益等。這從隨后其他幾項(xiàng)條款的措辭也可以看出:對(duì)信息數(shù)據(jù)主體的基本權(quán)利和利益是必要的;非營(yíng)利機(jī)構(gòu)的正當(dāng)性活動(dòng)中所進(jìn)行的處理;處理是為了實(shí)現(xiàn)公共利益所必要的;科學(xué)或歷史研究目的或統(tǒng)計(jì)目的是必要的并采取了合理的保護(hù)措施等。
此外,GDPR 第35 條第1 款規(guī)定,當(dāng)某種類型的處理——特別是適用新技術(shù)進(jìn)行的處理——很可能會(huì)對(duì)自然人的權(quán)利與自由帶來高風(fēng)險(xiǎn)時(shí),在考慮了處理的性質(zhì)、范圍、語境與目的后,控制者應(yīng)當(dāng)在處理之前評(píng)估處理行為對(duì)個(gè)人數(shù)據(jù)保護(hù)的影響。而《個(gè)人信息保護(hù)法(草案)》第54 條第1 款也規(guī)定了處理敏感信息必須進(jìn)行事前的風(fēng)險(xiǎn)評(píng)估制度;第2 款規(guī)定了風(fēng)險(xiǎn)評(píng)估的內(nèi)容。預(yù)計(jì)風(fēng)險(xiǎn)評(píng)估的具體機(jī)制將交由有關(guān)主管部門以規(guī)章形式加以規(guī)定,但從增加法律的可預(yù)期性和透明度角度出發(fā),本款宜增加規(guī)定風(fēng)險(xiǎn)評(píng)估的原則、評(píng)估效力等基本問題。
刪除權(quán)。《民法典》第1035 條規(guī)定,處理個(gè)人信息的,應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則。而《個(gè)人信息保護(hù)法(草案)》第47 條規(guī)定:“有下列情形之一的,個(gè)人信息處理者應(yīng)當(dāng)主動(dòng)或者根據(jù)個(gè)人的請(qǐng)求,刪除個(gè)人信息:約定的保存期限已屆滿或者處理目的已實(shí)現(xiàn)?!睔W盟GDPR 第17 條刪除權(quán)的規(guī)定中,(a)項(xiàng)是個(gè)人信息對(duì)于實(shí)現(xiàn)其被收集或處理的相關(guān)目的不再“必要(necessary)”。因此,從與《民法典》協(xié)調(diào)一致的角度、強(qiáng)調(diào)必要性原則出發(fā),建議將“處理目的已實(shí)現(xiàn)”改為“個(gè)人信息對(duì)其處理目的而言已無必要”。
信息泄漏時(shí)的通知義務(wù)?!秱€(gè)人信息保護(hù)法(草案)》第55 條第2 款規(guī)定:“個(gè)人信息處理者采取措施能夠有效避免信息泄漏造成損害,個(gè)人信息處理者可以不通知個(gè)人。”此處是對(duì)信息處理者通知義務(wù)的豁免,但是,為防止信息處理者自己作出安全判斷以規(guī)避通知個(gè)人的義務(wù),建議增加規(guī)定“經(jīng)履行個(gè)人信息保護(hù)職責(zé)的部門評(píng)估”,而非任由處理者自行作出判斷。
增加攜帶權(quán)。以GDPR 第20 條為例,所謂攜帶權(quán)是指信息主體有權(quán)無障礙地將信息從其提供給的控制者那里傳輸給另一個(gè)控制者。就此而言,值得注意的是,中國(guó)人民銀行2019 年《金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法(征求意見稿)》第36 條曾規(guī)定:“鼓勵(lì)金融機(jī)構(gòu)在技術(shù)可行的前提下,基于金融消費(fèi)者的請(qǐng)求,將其金融信息轉(zhuǎn)移至金融消費(fèi)者指定的其他金融機(jī)構(gòu)。”這是關(guān)于信息攜帶權(quán)的倡導(dǎo)性規(guī)定,攜帶權(quán)有助于打破信息的壟斷,促進(jìn)信息的自由流通,同時(shí)將強(qiáng)化信息主體對(duì)信息的控制與利用;當(dāng)然,攜帶權(quán)會(huì)給信息處理者帶來相應(yīng)的義務(wù)和成本,因此現(xiàn)階段仍然存在爭(zhēng)議。從長(zhǎng)遠(yuǎn)來看,為鼓勵(lì)信息的流通,《個(gè)人信息保護(hù)法》可仿效前述倡導(dǎo)性規(guī)定,以倡導(dǎo)性規(guī)范的軟性方式,對(duì)攜帶權(quán)作出前瞻性的指引式規(guī)定。而此類軟法性和指引式規(guī)范的設(shè)置,也是治理現(xiàn)代化的重要表征。
人臉識(shí)別問題?!秱€(gè)人信息保護(hù)法(草案)》體現(xiàn)出充分的問題意識(shí)和實(shí)踐特色,其第27 條對(duì)公共場(chǎng)所的視頻監(jiān)控作出了規(guī)定,對(duì)于保護(hù)公民的隱私和個(gè)人信息具有重要意義。根據(jù)該條,在公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備,應(yīng)當(dāng)為維護(hù)公共安全所必需,遵守國(guó)家有關(guān)規(guī)定,并設(shè)置顯著的提示標(biāo)識(shí)。所收集的個(gè)人圖像、個(gè)人身份特征信息只能用于維護(hù)公共安全的目的,不得公開或者向他人提供。鑒于人臉識(shí)別在當(dāng)前成為社會(huì)關(guān)注的焦點(diǎn),本條可參照比較法經(jīng)驗(yàn)進(jìn)行進(jìn)一步完善。出于對(duì)隱私的保護(hù),國(guó)外的立法對(duì)于公共場(chǎng)所的攝像頭安裝都有嚴(yán)格限制,譬如,比利時(shí)2007 年通過的全球第一部“攝像頭法”——《關(guān)于安裝和使用監(jiān)控?cái)z像設(shè)備的法律》)規(guī)定,安裝公共場(chǎng)所的固定或者移動(dòng)攝像頭,都必須基于“預(yù)防、確定和調(diào)查違法行為”;另外,該法第8 條第1 款規(guī)定:“具有存儲(chǔ)和自動(dòng)識(shí)別功能的監(jiān)控設(shè)備,只能用于車牌的自動(dòng)識(shí)別,此類設(shè)備的使用必須尊重保護(hù)隱私的有關(guān)規(guī)定。”在我國(guó),已出現(xiàn)人臉識(shí)別技術(shù)濫用問題,一些商業(yè)機(jī)構(gòu)甚至小區(qū)物業(yè)在并無必要性的情況下,強(qiáng)制用戶進(jìn)行人臉識(shí)別,對(duì)其生物識(shí)別信息和隱私構(gòu)成嚴(yán)重的威脅,也構(gòu)成對(duì)業(yè)主財(cái)產(chǎn)所有權(quán)行使的不當(dāng)限制。從這個(gè)角度出發(fā),草案前引第27 條中“公共安全”的措辭過于原則和寬泛,不足以應(yīng)對(duì)人臉識(shí)別的濫用,建議在“為維護(hù)公共安全所必需”之前增加規(guī)定:“基于預(yù)防、調(diào)查違法、犯罪行為等目的”,防止物業(yè)管理企業(yè)對(duì)業(yè)主任意設(shè)置人臉識(shí)別要求;另外,除強(qiáng)調(diào)信息只能用于維護(hù)公共安全的目的之外,建議還增加規(guī)定:“應(yīng)當(dāng)依法保護(hù)個(gè)人的隱私權(quán)等合法權(quán)益?!?/p>
【注:本文系國(guó)家社科基金重大課題“健全以公平為原則的產(chǎn)權(quán)保護(hù)制度研究”(項(xiàng)目編號(hào):20ZDA049)的階段性成果】
① IT Governance Privacy Team, EU General Data ProtectionRegulation (GDPR): An Implementation and Compliance Guide, 2ndEdition, IT Governance Publishing, 2017.
責(zé)編/ 銀冰瑤 美編/ 楊玲玲