張繼紅

個(gè)人信息泄露事件頻發(fā)，海量個(gè)人信息被非法收集、濫用及買賣，如何有效保護(hù)個(gè)人信息，預(yù)防、遏制相關(guān)違法行為，追究違法者責(zé)任，成為民眾關(guān)注的焦點(diǎn)。為及時(shí)回應(yīng)個(gè)人信息保護(hù)領(lǐng)域的上述突出問題，2020年10月21日，個(gè)人信息保護(hù)法（草案）（簡(jiǎn)稱草案）由十三屆全國(guó)人大常委會(huì)第二十二次會(huì)議審議后公開征求意見。根據(jù)各方提出的意見，2021年4月草案二次審議稿作了部分調(diào)整和修改，再次公開征求意見。從內(nèi)容上看，草案系我國(guó)首次對(duì)個(gè)人信息進(jìn)行的專項(xiàng)立法，共八章73條，明確了個(gè)人信息保護(hù)所應(yīng)遵循的基本原則，個(gè)人信息處理者的行為規(guī)范、義務(wù)及法律責(zé)任，個(gè)人信息跨境提供規(guī)則、個(gè)人在信息處理活動(dòng)中的權(quán)利，履行個(gè)人信息保護(hù)職責(zé)的部門，建構(gòu)了政府、企業(yè)、行業(yè)組織、社會(huì)公眾等不同主體共同參與的個(gè)人信息保護(hù)體系。

第一，采用一般性規(guī)范與專門性規(guī)范相結(jié)合的方式，建構(gòu)有重點(diǎn)、分層次的個(gè)人信息保護(hù)體制

草案作為我國(guó)個(gè)人信息保護(hù)領(lǐng)域的基本法，需要對(duì)涉及的個(gè)人信息活動(dòng)進(jìn)行全景式規(guī)則設(shè)計(jì)。一方面，明確了個(gè)人信息處理的合法、正當(dāng)、目的明確、必要、公開透明、質(zhì)量及責(zé)任原則，為不同場(chǎng)景下個(gè)人信息的處理活動(dòng)提供基本指引;另一方面對(duì)于個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等全生命周期的處理行為進(jìn)行一般性規(guī)范，確立個(gè)人信息處理的合法性事由，明確了個(gè)人享有知情權(quán)、決定權(quán)、限制或拒絕權(quán)、查閱復(fù)制權(quán)、更正補(bǔ)充權(quán)、刪除權(quán)等基本信息權(quán)益及信息處理者負(fù)有安全保障、合規(guī)審計(jì)、風(fēng)險(xiǎn)評(píng)估、信息泄露補(bǔ)救等核心義務(wù)。

同時(shí)，考慮到敏感個(gè)人信息等特殊類別信息以及國(guó)家機(jī)關(guān)等特殊信息處理主體，專門制定了有別于一般規(guī)范的特殊處理規(guī)則。其中，對(duì)于敏感個(gè)人信息的處理?xiàng)l件更為嚴(yán)格，不僅必須具有“特定的目的和充分的必要性”，而且在同意的取得方式上，要求取得個(gè)人的單獨(dú)同意或者書面同意。相較而言，國(guó)家機(jī)關(guān)及法律法規(guī)授權(quán)的組織基于法定職責(zé)處理個(gè)人信息，鑒于其公益性、職權(quán)性的特點(diǎn)，在告知同意方面需作出一定的例外規(guī)定，如基于保密規(guī)定或告知同意將妨礙國(guó)家機(jī)關(guān)履行職責(zé)的情形，并要求其處理的個(gè)人信息應(yīng)境內(nèi)存儲(chǔ)以及進(jìn)行風(fēng)險(xiǎn)評(píng)估。草案還特別強(qiáng)調(diào)了國(guó)家機(jī)關(guān)處理個(gè)人信息“不得超出履行法定職責(zé)所必需的范圍和限度”，回應(yīng)了公眾對(duì)公權(quán)力機(jī)關(guān)過度獲取個(gè)人信息的擔(dān)憂。

在個(gè)人信息處理者的義務(wù)方面，草案二審稿第57條特別增加了“提供基礎(chǔ)性互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者”的義務(wù)，即“應(yīng)當(dāng)成立主要由外部人員組成的獨(dú)立機(jī)構(gòu)，對(duì)個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督;對(duì)嚴(yán)重違反法律、行政法規(guī)處理個(gè)人信息的平臺(tái)內(nèi)的產(chǎn)品或服務(wù)提供者，停止提供服務(wù);定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告，接受社會(huì)監(jiān)督”。應(yīng)該說，僅僅依賴有限的行政監(jiān)管資源對(duì)數(shù)量眾多的企業(yè)實(shí)施外部監(jiān)管難免掛一漏萬。從監(jiān)管的實(shí)效性考量，有必要對(duì)提供App操作系統(tǒng)、搭載第三方小程序平臺(tái)、提供應(yīng)用程序下載服務(wù)的平臺(tái)等互聯(lián)網(wǎng)頭部企業(yè)施以更重的義務(wù)，畢竟上述企業(yè)擁有相應(yīng)的技術(shù)、資源及能力對(duì)使用其所管理的通道、技術(shù)服務(wù)以及運(yùn)營(yíng)環(huán)境等其他個(gè)人信息處理者進(jìn)行實(shí)時(shí)監(jiān)控。而且，互聯(lián)網(wǎng)頭部企業(yè)已經(jīng)成長(zhǎng)為推動(dòng)數(shù)字經(jīng)濟(jì)發(fā)展的重要力量，有義務(wù)回饋社會(huì)以維護(hù)其運(yùn)作的外部環(huán)境，這就是其所應(yīng)承擔(dān)的社會(huì)責(zé)任。

第二，對(duì)新技術(shù)應(yīng)用帶來的新風(fēng)險(xiǎn)及時(shí)進(jìn)行法律規(guī)制，預(yù)防技術(shù)濫用、引導(dǎo)科技向善

在大數(shù)據(jù)、云計(jì)算、人工智能等技術(shù)廣泛應(yīng)用于個(gè)人信息處理活動(dòng)的新形勢(shì)下，個(gè)人信息可以被快速、便捷地采集、存儲(chǔ)、搜索及傳遞，轟炸式精準(zhǔn)營(yíng)銷、算法勞工、無感化人臉識(shí)別、大數(shù)據(jù)殺熟等事件頻發(fā)，對(duì)個(gè)人信息保護(hù)提出了新的問題。為此，如何引導(dǎo)科技向善、對(duì)技術(shù)濫用進(jìn)行預(yù)防性控制就是草案不可推卸的責(zé)任和使命。草案第25條第2款規(guī)定，通過自動(dòng)化決策方式進(jìn)行商業(yè)營(yíng)銷、信息推送，應(yīng)當(dāng)同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng)，或者向個(gè)人提供拒絕的方式。草案第27條規(guī)定，在公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備，應(yīng)當(dāng)為維護(hù)公共安全所必需，遵守國(guó)家有關(guān)規(guī)定，并設(shè)置顯著的提示標(biāo)識(shí)。這里，特別強(qiáng)調(diào)了“所收集的個(gè)人圖像、個(gè)人身份特征信息只能用于維護(hù)公共安全的目的”，以防止人臉識(shí)別等身份識(shí)別技術(shù)的濫用。同時(shí)，草案還要求國(guó)家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門，針對(duì)人臉識(shí)別、人工智能等新技術(shù)、新應(yīng)用，制定專門的個(gè)人信息保護(hù)規(guī)則、標(biāo)準(zhǔn)。也就是說，以專項(xiàng)規(guī)定的形式對(duì)新技術(shù)可能對(duì)個(gè)人信息保護(hù)帶來的負(fù)面影響進(jìn)行相應(yīng)的法律規(guī)制，以防止科技異化或吞噬個(gè)人隱私及信息安全。

第三，建立個(gè)人信息跨境提供規(guī)則，在保障安全的基礎(chǔ)上促進(jìn)個(gè)人信息的有序流動(dòng)

草案第38條規(guī)定了基于業(yè)務(wù)需要，確需向境外提供個(gè)人信息的條件：（1）依法通過國(guó)家網(wǎng)信部門組織的安全評(píng)估;（2）按照國(guó)家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證;（3）按照國(guó)家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)，并監(jiān)督其個(gè)人信息處理活動(dòng)達(dá)到法定的保護(hù)標(biāo)準(zhǔn);（4）法律、行政法規(guī)或者國(guó)家網(wǎng)信部門規(guī)定的其他條件。對(duì)于個(gè)人信息處理者的告知義務(wù)也作了較為詳細(xì)的規(guī)定，要求取得個(gè)人的單獨(dú)同意。同時(shí)，第40條規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者、處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者，應(yīng)當(dāng)本地化存儲(chǔ)。應(yīng)該說，草案并未采用歐盟的“充分性保護(hù)原則”對(duì)個(gè)人信息出境苛以更高的要求和標(biāo)準(zhǔn)，而是在規(guī)范個(gè)人信息處理者信息出境義務(wù)的基礎(chǔ)上，綜合運(yùn)用監(jiān)管機(jī)構(gòu)安全評(píng)估、第三方認(rèn)證以及雙方協(xié)議等多元化治理方式，促進(jìn)個(gè)人信息的有序跨境流動(dòng)。

第四，明確個(gè)人信息保護(hù)的監(jiān)管主體及其權(quán)限和職責(zé)，以保障執(zhí)法工作落地見效

從世界范圍內(nèi)來看，個(gè)人信息保護(hù)監(jiān)管設(shè)置有兩種方式：一是以歐盟為代表的統(tǒng)一監(jiān)管模式，即設(shè)立專門的信息保護(hù)機(jī)構(gòu)，對(duì)包括公營(yíng)機(jī)構(gòu)及私營(yíng)機(jī)構(gòu)在內(nèi)的全部領(lǐng)域?qū)嵤┘斜O(jiān)管。二是不設(shè)立專門的信息監(jiān)管機(jī)構(gòu)，由各職能部門根據(jù)其權(quán)限開展監(jiān)管活動(dòng)，個(gè)人信息保護(hù)僅為其監(jiān)管職責(zé)的一部分，以美國(guó)最為典型。草案采用第二種模式，“國(guó)務(wù)院有關(guān)部門依照法律、行政法規(guī)規(guī)定，在各自職責(zé)范圍內(nèi)負(fù)責(zé)個(gè)人信息保護(hù)和監(jiān)管工作”。同時(shí)，二審稿中特別突出了“國(guó)家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)個(gè)人信息保護(hù)工作和相關(guān)監(jiān)督管理工作”，并積極推進(jìn)包括制定個(gè)人信息保護(hù)具體規(guī)則、標(biāo)準(zhǔn)、支持研究電子身份認(rèn)證技術(shù)等工作。為了切實(shí)保障其履行監(jiān)管職責(zé)，草案賦予了監(jiān)管部門詢問、查閱復(fù)制、現(xiàn)場(chǎng)檢查以及查封、扣押等監(jiān)管措施。同時(shí)，對(duì)于個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件的，可以對(duì)個(gè)人信息處理者的法定代表人或者主要負(fù)責(zé)人進(jìn)行約談，或者要求其委托專業(yè)機(jī)構(gòu)對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)。

第五，優(yōu)化個(gè)人信息權(quán)益受損的民事救濟(jì)路徑，正式引入“過錯(cuò)推定”的歸責(zé)原則

由于個(gè)人信息權(quán)尚未明確為具體人格權(quán)，我國(guó)民法典僅確認(rèn)了“自然人的個(gè)人信息受法律保護(hù)”，目前尚缺乏個(gè)人信息民事救濟(jì)的專門性規(guī)定。實(shí)踐中，一旦發(fā)現(xiàn)權(quán)益受損，個(gè)人往往訴諸于隱私權(quán)、名譽(yù)權(quán)、一般人格權(quán)等訴由。從判決結(jié)果來看，由于個(gè)體與掌握技術(shù)、資源等企業(yè)相比實(shí)力懸殊過大，而且個(gè)人信息通常由信息處理者控制，原告往往無法直接證明被告如何獲得其個(gè)人信息;即便能夠證明侵權(quán)行為是被告所為，也會(huì)困囿于嚴(yán)格的侵權(quán)責(zé)任構(gòu)成要件限制以及“誰主張、誰舉證”的要求，個(gè)人信息受損后的賠償請(qǐng)求難以實(shí)現(xiàn)。鑒于此，草案二審稿第68條第1款規(guī)定，“個(gè)人信息處理者不能證明自己沒過錯(cuò)的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任”，引入“過錯(cuò)推定責(zé)任”，由個(gè)人信息處理者承擔(dān)相應(yīng)的舉證責(zé)任，將在很大程度上提升個(gè)人維權(quán)的實(shí)效，根本性改變目前司法實(shí)踐中普遍存在的舉證難、賠償?shù)汀⒊杀靖叩葐栴}。

（作者系上海政法學(xué)院教授，現(xiàn)掛職上海市人大財(cái)經(jīng)委任處長(zhǎng)）