《個(gè)人信息保護(hù)法草案》以專章、25條對(duì)個(gè)人信息處理規(guī)則作出了詳盡的規(guī)定。細(xì)化了民法典關(guān)于告知同意的規(guī)定,并以告知同意作為個(gè)人信息處理中的最基本規(guī)則;對(duì)處理者共同決定個(gè)人信息的處理、委托他人處理個(gè)人信息或向第三方提供處理的個(gè)人信息時(shí)的法律義務(wù)和責(zé)任作出了規(guī)定;在區(qū)分敏感個(gè)人信息與非敏感個(gè)人信息的基礎(chǔ)上,對(duì)敏感個(gè)人信息的處理采取更加嚴(yán)格的規(guī)則;對(duì)國(guó)家機(jī)關(guān)處理個(gè)人信息作出了特別的規(guī)定。
民法典在人格權(quán)編第六章對(duì)個(gè)人信息保護(hù)作出了規(guī)定,不僅界定了個(gè)人信息、區(qū)分私密信息與非私密信息,還對(duì)個(gè)人信息處理的涵義以及處理的原則與規(guī)則進(jìn)行了規(guī)定。由于民法典是民商事領(lǐng)域的基本法,其對(duì)個(gè)人信息保護(hù)的規(guī)定主要是確立大的原則方向、規(guī)定最重大和最基本的問(wèn)題。故此,個(gè)人信息處理的基本規(guī)則還需要個(gè)人信息保護(hù)的專門立法加以規(guī)定,最高立法機(jī)關(guān)正在抓緊起草個(gè)人信息保護(hù)法。2020年10月舉行的十三屆全國(guó)人大常委會(huì)第二十二次會(huì)議對(duì)《個(gè)人信息保護(hù)法草案》(以下簡(jiǎn)稱《草案》)進(jìn)行了第一次審議,并在會(huì)后向社會(huì)公開(kāi)征求意見(jiàn)。
《草案》采用專章(第2章)、25條(占整個(gè)草案條文數(shù)量的比例超過(guò)三分之一)對(duì)個(gè)人信息處理規(guī)則作出了詳盡的規(guī)定。其特點(diǎn)在于:首先,細(xì)化了民法典關(guān)于告知同意的規(guī)定,并以告知同意作為個(gè)人信息處理中的最基本規(guī)則,從而更好地維護(hù)自然人對(duì)其個(gè)人信息的知情權(quán)和決定權(quán)。其次,對(duì)處理者共同決定個(gè)人信息的處理、委托他人處理個(gè)人信息或向第三方提供處理的個(gè)人信息時(shí)的法律義務(wù)和責(zé)任作出了規(guī)定;再次,在區(qū)分敏感個(gè)人信息與非敏感個(gè)人信息的基礎(chǔ)上,對(duì)敏感個(gè)人信息的處理采取更加嚴(yán)格的規(guī)則;最后,對(duì)國(guó)家機(jī)關(guān)處理個(gè)人信息作出了特別的規(guī)定。
以告知同意
作為處理個(gè)人信息的基本規(guī)則
個(gè)人信息處理中的告知同意規(guī)則,是指任何組織或個(gè)人在處理個(gè)人信息時(shí)都應(yīng)當(dāng)對(duì)信息主體即其個(gè)人信息被處理的自然人進(jìn)行告知并取得同意,除非法律另有規(guī)定。
告知同意規(guī)則包含了告知規(guī)則與同意規(guī)則。二者緊密聯(lián)系,不可分割。沒(méi)有告知,自然人無(wú)法就其個(gè)人信息被處理作出同意與否的表示;即便告知了但不充分、不清晰,那么即便自然人表示了同意,該同意也并非是真實(shí)有效的同意。反之,雖然告知了且充分、清晰,可是并未取得自然人的同意,對(duì)個(gè)人信息的處理也是非法的,構(gòu)成對(duì)自然人個(gè)人信息權(quán)益的侵害。告知同意的規(guī)則是世界各國(guó)個(gè)人信息保護(hù)立法中所普遍確立的一項(xiàng)基本規(guī)則,即便存在法律規(guī)定不適用該規(guī)則的情形(如基于公共利益、履行法定職責(zé)、維護(hù)自然人權(quán)益等),也不能據(jù)此就否定告知同意規(guī)則在個(gè)人信息處理中的原則性地位,因?yàn)樵撘?guī)則是自然人對(duì)其個(gè)人信息自主決定權(quán)的體現(xiàn),它奠定了個(gè)人信息處理的正當(dāng)性與合法性的基礎(chǔ)。
《草案》在第二章第一節(jié)對(duì)告知同意規(guī)則作出了詳細(xì)的規(guī)定,如要求處理個(gè)人信息的同意應(yīng)當(dāng)建立在個(gè)人充分知情的前提下,自愿、明確作出意思表示(第14條第1款);在個(gè)人信息的處理目的、處理方式和處理的個(gè)人信息種類發(fā)生變更時(shí),應(yīng)當(dāng)重新取得個(gè)人同意(第14條第2款);基于個(gè)人同意而進(jìn)行的個(gè)人信息處理活動(dòng),個(gè)人有權(quán)撤回其同意(第16條);除非處理個(gè)人信息屬于提供產(chǎn)品或者服務(wù)所必需的,否則,個(gè)人信息處理者不得以個(gè)人不同意處理其個(gè)人信息或者撤回其對(duì)個(gè)人信息處理的同意為由,拒絕提供產(chǎn)品或者服務(wù)(第17條);明確個(gè)人信息處理者應(yīng)當(dāng)告知的具體事項(xiàng)(第18條)等。
總的來(lái)說(shuō),《草案》這些規(guī)定都是值得肯定的,但是也有若干需要完善之處。例如,《草案》第13條將取得個(gè)人的同意與其他不需要取得同意的例外相互并列規(guī)定為個(gè)人信息處理者可以處理個(gè)人信息的情形,顯然沒(méi)有凸顯告知同意規(guī)則作為原則的地位。該條第2項(xiàng)將“為訂立或者履行個(gè)人作為一方當(dāng)事人的合同所必需”作為不需要取得同意的例外過(guò)于寬泛。這種規(guī)定會(huì)導(dǎo)致個(gè)人信息處理者皆可以此為由不取得個(gè)人的同意。例如,網(wǎng)絡(luò)公司在向自然人提供網(wǎng)絡(luò)服務(wù)本身就是要訂立網(wǎng)絡(luò)服務(wù)合同,依據(jù)該項(xiàng),可以不經(jīng)自然人的同意就處理其個(gè)人信息。再如,《草案》第16條規(guī)定了個(gè)人有權(quán)撤回其同意,但是沒(méi)有進(jìn)一步明確撤回同意不影響此前個(gè)人信息處理行為的合法性。
個(gè)人信息處理
涉及多個(gè)主體時(shí)的義務(wù)與責(zé)任
我國(guó)民法典借鑒歐盟《一般數(shù)據(jù)保護(hù)條例》的立法模式,采用了“處理者” (Processor)來(lái)統(tǒng)稱實(shí)施個(gè)人信息處理活動(dòng)的主體。然而,實(shí)踐中既存在多個(gè)主體共同決定個(gè)人信息處理的情形,也存在處理者委托他人處理個(gè)人信息或者向第三方提供其處理的個(gè)人信息等復(fù)雜的情形。這些時(shí)候,如何保護(hù)自然人的個(gè)人信息權(quán)益?怎樣確定多個(gè)處理者之間、委托人與受托人及第三方之間的權(quán)利義務(wù)關(guān)系?對(duì)此,民法典沒(méi)有規(guī)定。《草案》第21條至第24條作出了詳細(xì)的規(guī)定。
例如,第21條規(guī)定,兩個(gè)或者兩個(gè)以上的個(gè)人信息處理者共同決定個(gè)人信息的處理目的和處理方式的,應(yīng)當(dāng)約定各自的權(quán)利和義務(wù)。但是,該約定不影響個(gè)人向其中任何一個(gè)個(gè)人信息處理者要求行使本法規(guī)定的權(quán)利。個(gè)人信息處理者共同處理個(gè)人信息,侵害個(gè)人信息權(quán)益的,依法承擔(dān)連帶責(zé)任。再如,《草案》第24條明確規(guī)定,個(gè)人信息處理者向第三方提供其處理的個(gè)人信息的,應(yīng)當(dāng)向自然人告知相關(guān)信息并取得單獨(dú)同意等。
《草案》的上述規(guī)定非常有必要,但需要進(jìn)一步完善。例如,第21條第2款將共同處理個(gè)人信息而侵害個(gè)人信息權(quán)益的民事責(zé)任一律規(guī)定為連帶責(zé)任,似有不妥。因?yàn)椋趥€(gè)人信息處理者共同處理個(gè)人信息侵害個(gè)人信息權(quán)益的情形中,除非處理者存在共同故意,否則單純的共同處理行為,不一定都產(chǎn)生連帶責(zé)任,而是很可能構(gòu)成民法典第1168條至第1172條規(guī)定的各種情形,可能承擔(dān)連帶責(zé)任,也可能承擔(dān)按份責(zé)任。再如,《草案》第22條對(duì)委托他人處理個(gè)人信息的問(wèn)題作出了規(guī)定。該條的問(wèn)題在于:首先,在委托他人處理個(gè)人信息時(shí),應(yīng)當(dāng)明確要求委托方必須向個(gè)人披露受托方的身份和聯(lián)系方式。其次,應(yīng)當(dāng)更具體的規(guī)定委托方對(duì)受托方采取的監(jiān)督義務(wù)。《草案》第22條第1款僅僅說(shuō)“對(duì)受托方的個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督”,過(guò)于模糊。再次,在受托方非法處理個(gè)人信息或者侵害自然人的個(gè)人信息權(quán)益的時(shí)候,委托方與受托方的責(zé)任承擔(dān)問(wèn)題應(yīng)當(dāng)明確為連帶責(zé)任,但是內(nèi)部可以依據(jù)合同進(jìn)行追償。
敏感個(gè)人信息的處理規(guī)則
所謂敏感的個(gè)人信息主要是指那些涉及自然人人格尊嚴(yán)、人格自由或者其他重大權(quán)益的個(gè)人信息,這些個(gè)人信息倘若被非法處理,將會(huì)對(duì)所涉自然人的人格尊嚴(yán)、人格自由或者其他重大的人身權(quán)益、財(cái)產(chǎn)權(quán)益造成嚴(yán)重的威脅或損害。民法典只是將個(gè)人信息區(qū)分為私密信息與非私密信息,未規(guī)定敏感個(gè)人信息。《草案》對(duì)此作出了明確的規(guī)定,并在第2章第2節(jié)進(jìn)行了具體規(guī)范。這一點(diǎn)值得肯定。例如,《草案》第29條第2款將敏感個(gè)人信息界定為“一旦泄露或者非法使用,可能導(dǎo)致個(gè)人受到歧視或者人身、財(cái)產(chǎn)安全受到嚴(yán)重危害的個(gè)人信息,包括種族、民族、宗教信仰、個(gè)人生物特征、醫(yī)療健康、金融賬戶、個(gè)人行蹤等信息”。
區(qū)分敏感與非敏感個(gè)人信息的根本原因就在于處理規(guī)則上的差異。首先,為了更好地保護(hù)敏感的個(gè)人信息,對(duì)于敏感的個(gè)人信息的處理不僅要取得自然人的同意而且這種同意必須是明示的、單獨(dú)的同意,不能是默示的或者概括的同意。但是,非敏感的個(gè)人信息無(wú)需如此嚴(yán)格。其次,個(gè)人信息處理者對(duì)于敏感的個(gè)人信息負(fù)有更高的注意義務(wù),否則,就會(huì)出現(xiàn)因?yàn)樘幚碚叩陌踩雷o(hù)措施不足而造成敏感的個(gè)人信息泄露,對(duì)自然人會(huì)造成很大的損害或風(fēng)險(xiǎn)。
《草案》關(guān)于敏感個(gè)人信息處理規(guī)則的規(guī)定,還有必要加以修改完善。具體而言,對(duì)于敏感的個(gè)人信息的處理應(yīng)當(dāng)有更嚴(yán)格的要求,這種嚴(yán)格不僅體現(xiàn)在對(duì)基于個(gè)人同意而處理敏感的個(gè)人信息的問(wèn)題上,還應(yīng)當(dāng)體現(xiàn)在非經(jīng)個(gè)人同意而處理敏感的個(gè)人信息的情形應(yīng)當(dāng)嚴(yán)格加以限制。首先,只有法律才能規(guī)定例外,即法律才能規(guī)定不經(jīng)個(gè)人同意就處理敏感的個(gè)人信息,因?yàn)檫@涉及到基本民事制度,與自然人的重大民事權(quán)益密切相關(guān),不能把口子放得太開(kāi)。從民法典第1033條對(duì)私密信息的保護(hù)上也可以看出此點(diǎn)。其次,《草案》第13條的規(guī)定不能適用于敏感的個(gè)人信息,否則,敏感的個(gè)人信息在處理規(guī)則上基本上與非敏感的個(gè)人信息沒(méi)有什么差別。
國(guó)家機(jī)關(guān)處理個(gè)人信息的特別規(guī)定
在個(gè)人信息的處理中,區(qū)分作為民事主體的信息業(yè)者和國(guó)家機(jī)關(guān)非常重要,因?yàn)槎咛幚韨€(gè)人信息活動(dòng)的性質(zhì)、負(fù)有的義務(wù)、對(duì)個(gè)人信息的利用、相應(yīng)的法律責(zé)任等方面存在很大的差別。
例如,國(guó)家機(jī)關(guān)處理個(gè)人信息往往是因?yàn)橐男蟹ǘǖ穆氊?zé),具有強(qiáng)制性。但是,網(wǎng)絡(luò)企業(yè)等信息業(yè)者是因?yàn)閺氖陆?jīng)營(yíng)等民事活動(dòng)而處理個(gè)人信息,是為了私人利益,不具有強(qiáng)制性,自然人有權(quán)拒絕提供。再如,國(guó)家機(jī)關(guān)因?yàn)闆](méi)有履行個(gè)人信息安全保護(hù)義務(wù)等違法行為而產(chǎn)生的賠償責(zé)任,屬于國(guó)家賠償責(zé)任,但是私人企業(yè)的賠償責(zé)任屬于民事賠償責(zé)任。因此,在個(gè)人信息保護(hù)法中專門對(duì)國(guó)家機(jī)關(guān)處理個(gè)人信息作出規(guī)定是有必要的。事實(shí)上,民法典第1039條之所以專門規(guī)定:“國(guó)家機(jī)關(guān)、承擔(dān)行政職能的法定機(jī)構(gòu)及其工作人員對(duì)于履行職責(zé)過(guò)程中知悉的自然人的隱私和個(gè)人信息,應(yīng)當(dāng)予以保密,不得泄露或者向他人非法提供。”也正是考慮到了這一區(qū)別。
《草案》在第2章第3節(jié)對(duì)國(guó)家機(jī)關(guān)處理個(gè)人信息作出了特別規(guī)定,是極有必要的。不過(guò),在完善該節(jié)規(guī)定時(shí),需要注意三點(diǎn):其一,防止國(guó)家機(jī)關(guān)任意以履行法定職責(zé)為由規(guī)避告知同意規(guī)則而處理個(gè)人信息。《草案》第35條除了“法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密”外,又增加了“告知、取得同意將妨礙國(guó)家機(jī)關(guān)履行法定職責(zé)”的除外情形。如此一來(lái),很可能導(dǎo)致國(guó)家機(jī)關(guān)濫用該權(quán)利而侵害自然人的個(gè)人信息權(quán)益。其二,對(duì)國(guó)家機(jī)關(guān)共享個(gè)人信息的行為進(jìn)行規(guī)范。為了便民利民,防止出現(xiàn)信息孤島,國(guó)家機(jī)關(guān)之間信息共享(互相推送信息或開(kāi)放端口等)情形較為普遍,此時(shí)如何保護(hù)個(gè)人信息?一旦發(fā)生損害如何承擔(dān)責(zé)任等,《草案》應(yīng)當(dāng)予以關(guān)注。其三,國(guó)家機(jī)關(guān)工作對(duì)個(gè)人信息的安全保護(hù)義務(wù)的履行與監(jiān)督問(wèn)題。對(duì)于國(guó)家機(jī)關(guān)外的個(gè)人信息處理者的違法行為,履行個(gè)人信息保護(hù)職責(zé)的部門進(jìn)行執(zhí)法是很容易的。然而,當(dāng)國(guó)家機(jī)關(guān)不履行個(gè)人信息保護(hù)義務(wù)時(shí),履行個(gè)人信息保護(hù)職責(zé)的部門則可能根本無(wú)法或難以執(zhí)法,這一點(diǎn)從《草案》第64條只是規(guī)定了責(zé)令改正或?qū)τ嘘P(guān)人員的處分等并不有力的措施上也可以看出端倪。故此,有必要從法律責(zé)任的規(guī)定上強(qiáng)化國(guó)家機(jī)關(guān)對(duì)個(gè)人信息的安全保護(hù)義務(wù)。
(作者為清華大學(xué)法學(xué)院副院長(zhǎng)、教授)
猜你喜歡
微軟Bing市場(chǎng)份額不增反降, 
美聯(lián)儲(chǔ)激進(jìn)加息對(duì)A股和港股 
“賦能金融,共筑安全”知虎 
愛(ài)心人壽擬增資3億元:全部 
“AI四小龍”上市之路各不相 
良品鋪?zhàn)有∈诚蓴y手國(guó)際IP 
深圳坪山新能源車產(chǎn)業(yè)園一期 
