■張化冰

2021 年11 月1 日，《中華人民共和國個(gè)人信息保護(hù)法》（以下簡稱個(gè)人信息保護(hù)法）正式施行，標(biāo)志著我國的個(gè)人信息保護(hù)進(jìn)入了一個(gè)新的發(fā)展階段。自2003 年開始，我國就加緊對個(gè)人信息保護(hù)的立法研究工作，本部法律的出臺也歷經(jīng)了十多年的醞釀?wù)撟C。

這是我國首部專門針對個(gè)人信息保護(hù)的系統(tǒng)性、綜合性法律，有以下幾個(gè)總體特征：第一，這是一部處理自然人個(gè)人信息的法律；第二，這是一部針對電子或者其他方式記錄的與自然人有關(guān)的專門法；第三，該法將對個(gè)人信息處理者包括媒體尤其是互聯(lián)網(wǎng)平臺產(chǎn)生重要影響。

“權(quán)利—義務(wù)”為核心的立法準(zhǔn)則

全球信息的自由流動(dòng)是在互聯(lián)網(wǎng)迅速發(fā)展的上世紀(jì)90 年代末開始的，個(gè)人隱私權(quán)的問題也隨之浮出水面。美國個(gè)人隱私研究專家馬克·羅滕伯格早就說過，“隱私之于下個(gè)世紀(jì)的信息經(jīng)濟(jì)，如同消費(fèi)者權(quán)益保護(hù)和環(huán)境問題之于20 世紀(jì)的工業(yè)社會?！雹?/p>

互聯(lián)網(wǎng)帶來的個(gè)人信息保護(hù)問題是全球性的，早在1995 年10 月，歐盟議會代表所有成員國通過了《歐盟個(gè)人數(shù)據(jù)保護(hù)指令》，第一條即闡明了其目的是“為了保護(hù)自然人的基本權(quán)利和自由，尤其與個(gè)人數(shù)據(jù)處理相關(guān)的隱私權(quán)”。②2018年5月25日歐盟正式施行的《通用數(shù)據(jù)保護(hù)條例》（GDPR），被認(rèn)為是最嚴(yán)格也最受到關(guān)注的有關(guān)信息保護(hù)的法律。

我國作為互聯(lián)網(wǎng)第一大國，近年來一直致力于從法律上推進(jìn)個(gè)人信息保護(hù)，如2017 年6月1日實(shí)施的網(wǎng)絡(luò)安全法，其中有11 個(gè)條款作出個(gè)人信息保護(hù)的規(guī)定，并于2020年頒布了《信息安全技術(shù)個(gè)人信息安全規(guī)范》，2021年1月1日實(shí)施的民法典中專設(shè)“隱私權(quán)和個(gè)人信息保護(hù)”一章，都對個(gè)人信息保護(hù)作了規(guī)定。

個(gè)人信息保護(hù)法從個(gè)人信息收集、處理的主客體方面作了全面規(guī)定，比如互聯(lián)網(wǎng)企業(yè)、國家機(jī)關(guān)、個(gè)人信息提供者、未成年人等，同時(shí)該法確立了我國個(gè)人信息保護(hù)的基本原則，即“權(quán)利—義務(wù)”為核心的個(gè)人信息處理規(guī)則，一方面是指互聯(lián)網(wǎng)企業(yè)在使用了收集個(gè)人信息的權(quán)利后，應(yīng)承擔(dān)個(gè)人信息保護(hù)的義務(wù)；另一方面是指個(gè)人信息的保護(hù)也要在個(gè)人權(quán)利和公共利益間取得平衡。例如，根據(jù)其第13 條第1 款第4項(xiàng)、第5 項(xiàng)規(guī)定，為應(yīng)對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需，或者為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等行為，信息處理者可以不需取得個(gè)人同意處理個(gè)人信息。又如，根據(jù)其第26 條規(guī)定，基于維護(hù)公共安全的目的，可以在公共場所安裝圖像采集、個(gè)人身份識別設(shè)備。

“敏感個(gè)人信息”概念的確立

個(gè)人信息保護(hù)法中“敏感個(gè)人信息”成為一個(gè)關(guān)鍵詞?！懊舾袀€(gè)人信息”是指生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，尤其需要注意的是，基于對未成年人的保護(hù)考慮，14周歲以下未成年人信息被界定為“敏感個(gè)人信息”，對其進(jìn)行更為嚴(yán)格的保護(hù)。個(gè)人信息保護(hù)法第31 條第2 款規(guī)定，個(gè)人信息處理者處理不滿14周歲未成年人個(gè)人信息的，應(yīng)當(dāng)制定專門的個(gè)人信息處理規(guī)則。

根據(jù)第49 次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》，截至2021 年12 月，我國網(wǎng)民規(guī)模為10.32 億，而我國19 歲以下網(wǎng)民數(shù)量達(dá)到17.6%，即1.82 億人；10 歲以下網(wǎng)民數(shù)量占比4.3%，達(dá)到4438萬人。未成年人越來越成為我國網(wǎng)民的重要組成部分。

近年來，由于短視頻信息平臺的影響力加大，未成年人用戶與日俱增，同時(shí)不斷出現(xiàn)侵犯未成年人隱私甚至引發(fā)猥褻兒童等犯罪行為的案例。由于短視頻平臺是一種新生事物，如何在法律層面進(jìn)行規(guī)制還是一個(gè)新課題，同時(shí)互聯(lián)網(wǎng)企業(yè)如何界定內(nèi)容是否侵犯隱私權(quán)、如何進(jìn)行自我過濾和自我審查等都是問題。比如有的短視頻App上傳推送大量未成年人生活的內(nèi)容，其中難免包括侵犯隱私權(quán)的部分；有的短視頻App則專門違法違規(guī)收集、使用未成年人信息，甚至專門針對未成年人進(jìn)行犯罪等。

此類亂象已引起政府有關(guān)部門高度重視，比如2020 年，根據(jù)檢察機(jī)關(guān)工作建議，北京市網(wǎng)信辦制定了《關(guān)于開展未成年人信息安全保護(hù)專項(xiàng)整治的工作方案》，對屬地重點(diǎn)直播和短視頻平臺逐一梳理，落實(shí)網(wǎng)站主體責(zé)任。2021 年6 月1 日實(shí)施的新修訂的未成年人保護(hù)法專門增加了網(wǎng)絡(luò)專章，明確網(wǎng)絡(luò)平臺應(yīng)該保護(hù)未成年人的信息安全，防止其利益受損。

個(gè)人信息保護(hù)法中“敏感個(gè)人信息”概念的確立不僅加強(qiáng)了對未成年人的保護(hù)，還從執(zhí)行層面對個(gè)人信息保護(hù)予以了規(guī)定，比如第48 條規(guī)定“個(gè)人有權(quán)要求個(gè)人信息處理者對其個(gè)人信息處理規(guī)則進(jìn)行解釋說明”；第50 條規(guī)定“個(gè)人信息處理者應(yīng)當(dāng)建立便捷的個(gè)人行使權(quán)利的申請受理和處理機(jī)制”。這是對互聯(lián)網(wǎng)環(huán)境下一直處于弱勢的網(wǎng)民個(gè)人信息保護(hù)的直接介入和保護(hù)。

企業(yè)個(gè)人信息保護(hù)機(jī)制的完善

個(gè)人信息保護(hù)法明確了互聯(lián)網(wǎng)企業(yè)保護(hù)個(gè)人信息的責(zé)任，第51 條明確規(guī)定應(yīng)當(dāng)根據(jù)個(gè)人信息的處理目的、處理方式、個(gè)人信息的種類以及對個(gè)人權(quán)益的影響、可能存在的安全風(fēng)險(xiǎn)等，采取措施確保個(gè)人信息處理活動(dòng)符合法律、行政法規(guī)的規(guī)定，并防止未經(jīng)授權(quán)的訪問以及個(gè)人信息泄露、篡改、丟失。

從傳統(tǒng)媒體時(shí)代進(jìn)入互聯(lián)網(wǎng)時(shí)代后，不僅信息把關(guān)人缺失，互聯(lián)網(wǎng)企業(yè)也不再以傳統(tǒng)媒體具有的媒體道德、自律約束自己，人人成為傳播者的時(shí)代讓海量內(nèi)容不斷上傳，把關(guān)人、新聞職業(yè)道德、媒介素養(yǎng)等均處在一個(gè)相對混亂、無序的時(shí)期。個(gè)人信息保護(hù)法第58 條要求，互聯(lián)網(wǎng)企業(yè)要建立健全個(gè)人信息保護(hù)合規(guī)制度體系，成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督；明確平臺內(nèi)產(chǎn)品或者服務(wù)提供者處理個(gè)人信息的規(guī)范和保護(hù)個(gè)人信息的義務(wù)；定期發(fā)布個(gè)人信息保護(hù)社會責(zé)任報(bào)告，接受社會監(jiān)督，并定期對從業(yè)人員進(jìn)行安全教育和培訓(xùn)等。

事實(shí)上，政府相關(guān)部門近年來一直高度重視個(gè)人信息保護(hù)問題，通過各種立法、行政命令督促互聯(lián)網(wǎng)企業(yè)負(fù)起個(gè)人信息保護(hù)的義務(wù)。比如2021年9月實(shí)施的數(shù)據(jù)安全法，要求網(wǎng)絡(luò)運(yùn)營者“應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個(gè)人信息安全，防止信息泄露、毀損、丟失”。

與個(gè)人信息保護(hù)法相比，其他法律的立法對象并非以個(gè)人尤其是網(wǎng)民為主，因而該法對未來互聯(lián)網(wǎng)企業(yè)中的個(gè)人信息保護(hù)機(jī)制的建立具有重要的推動(dòng)作用。其第52條明確指出，“互聯(lián)網(wǎng)企業(yè)應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人，負(fù)責(zé)對個(gè)人信息處理活動(dòng)以及采取的保護(hù)措施等進(jìn)行監(jiān)督”“個(gè)人信息處理者應(yīng)當(dāng)公開個(gè)人信息保護(hù)負(fù)責(zé)人的聯(lián)系方式，并將個(gè)人信息保護(hù)負(fù)責(zé)人的姓名、聯(lián)系方式等報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門”。這是非常具象化、具有可操作性的個(gè)人信息保護(hù)法律舉措。

當(dāng)然，我們也要看到個(gè)人信息保護(hù)法實(shí)施后在落地、執(zhí)行過程中可能出現(xiàn)的一些問題，比如如何區(qū)分普通個(gè)人信息處理者和提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者，個(gè)人對互聯(lián)網(wǎng)企業(yè)行使權(quán)利的申請受理和處理機(jī)制如何有效建立，社會如何更好地監(jiān)督互聯(lián)網(wǎng)企業(yè)的個(gè)人信息保護(hù)工作，等等。

個(gè)人信息保護(hù)是一個(gè)任重而道遠(yuǎn)的歷程，這對所有接入互聯(lián)網(wǎng)的國家都是如此，個(gè)人信息保護(hù)法的實(shí)施是這個(gè)歷程中非常重要的一步。最終個(gè)人信息保護(hù)還是要納入社會治理的框架中來，要由政府、企業(yè)、個(gè)人和第三方機(jī)構(gòu)聯(lián)合完成，尤其是在法律已將個(gè)人信息保護(hù)納入考核企業(yè)社會責(zé)任并需要定期發(fā)布報(bào)告的情況下，如何建立個(gè)人、企業(yè)和政府之間的高效、良好的互動(dòng)和合作關(guān)系，是未來個(gè)人信息保護(hù)的發(fā)展方向，個(gè)人信息保護(hù)法無疑為此奠定了堅(jiān)實(shí)的基礎(chǔ)。

注釋：

①［美］理查德·斯皮內(nèi)洛：《鐵籠，還是烏托邦——網(wǎng)絡(luò)空間的道德與法律》，李倫等譯，北京大學(xué)出版社2007年版，第133-134頁。

②同①，第154頁。