中國信通院楊婕:《個人信息保護法》正式出臺——中國走出第三條路
近年來,新一輪科技革命和產業變革蓬勃發展,數字化、網絡化、智能化加速推進,個人信息處理活動更為普遍。習近平總書記多次強調,要堅持網絡安全為人民、網絡安全靠人民,保障個人信息安全,維護公民在網絡空間的合法權益。個人信息保護已成為廣大人民群眾最關心最直接最現實的利益問題之一,社會各界對出臺專門的個人信息保護立法高度關注。為及時回應廣大人民群眾的呼聲,貫徹落實黨中央要求和部署,2021年8月20日,《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)經十三屆全國人大常委會第三十次會議通過并正式發布,將于2021年11月1日起施行。
與將個人信息作為公民基本人權加以保護,相對嚴格的“歐盟模式”以及積極利用個人信息,相對寬松的“美國模式”不同,我國《個人信息保護法》采取“寬嚴相濟”的立法模式,探索出了第三條個人信息保護路徑。在立法理念上,從“個人本位”進階到“社會本位”,展現出深遠的戰略思維。《個人信息保護法》從全局高度對各主體利益進行統籌安排和科學分配,在規則安排上既保護了個人信息權益,又拓展了個人信息處理者利用個人信息的合理空間,也回應了國家機關為履行法定職責或者法定義務處理個人信息的訴求,從而最大化實現社會利益。在保護路徑上,從單一賦權模式轉變為多元保護模式,回應了個人信息保護的復雜情形。數字經濟時代,個人與個人信息處理者之間的關系明顯不對等,將個人信息保護的期望單純寄托于處于弱勢地位的個人,通過行使自身權利的方式來達成是不切實際的。《個人信息保護法》采取多元化的保護路徑,既明確了個人在個人信息處理活動中的權利,又采取行政干預的方式,對涵蓋國家機關的個人信息處理者進行行為規制,明確個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除等處理環節的規則。從制度設計上來看,以“六化”全方位布局個人信息保護工作,具有鮮明的時代精神。《個人信息保護法》所體現的“六化”包括,立法實現產業發展與權益保護平衡化、以權義分層設置實現法律規則梯度化、以超前布局方式實現法律制度前瞻化、以統分結合路徑實現監管機構專責化、以多方共治機制實現保護手段多樣化以及以責任混溶方式實現法律責任復合化。
《個人信息保護法(草案)》(以下簡稱一審稿)以及《個人信息保護法(草案二次審議稿) 》(以下簡稱二審稿)備受關注。社會各界普遍認為,個人信息保護立法具有重要意義,一審稿和二審稿制度條款成熟,整體邏輯清晰,反映和回應了個人信息保護現實問題。《個人信息保護法》在二審稿的基礎上,充分吸納各方意見建議,進一步完善制度設計。
一、增加人力資源管理所必需作為個人信息處理的合法性基礎
一直以來,“同意”都是作為個人信息處理活動的重要前提。數字經濟時代,個人信息處理活動愈發復雜多樣。個人信息不僅具有個人性,還具有社會性和公共性,交織著人格利益、商業利益等復合式利益。為使各方利益均能夠得到充分主張和合理分配,有效實現個人信息權益保護和個人信息合理利用之間的動態平衡,一審稿和二審稿規定了除個人同意外,其他六項個人信息處理合法性基礎。具體包括,為訂立、履行合同所必需、履行法定職責或者法定義務所必需、突發公共衛生事件或者緊急情況下保護自然人生命健康和財產安全所必需、在合理范圍內處理已公開的個人信息、為公共利益在合理范圍內處理個人信息以及法律、行政法規規定的其他情形。
相較于二審稿,《個人信息保護法》第十三條增加“按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需”作為一種新的個人信息處理合法性基礎,但并未單獨成項。即,增加于十三條第一款第二項中,為訂立、履行個人作為一方當事人的合同所必需,或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需。由于人力資源管理涉及員工日常工作的方方面面,如果過度擴張“人力資源管理所必需”的適用場景,個人信息處理者可能利用此條,并憑借雇主優勢地位肆意收集、使用員工個人信息,侵害員工合法權益。為此,《個人信息保護法》僅將人力資源管理所必需的場景限縮于“按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理”這兩大場景之下。例如,個人信息處理者收集員工的銀行卡信息,以履行勞動合同中關于薪酬支付的約定。
二、新設個人信息可攜權,增強個人對個人信息移轉與再利用行為的控制
《個人信息保護法》第四十五條新設了個人信息可攜權,規定個人請求將個人信息轉移至其指定的個人信息處理者,符合國家網信部門規定條件的,個人信息處理者應當提供轉移的途徑。歐盟《通用數據保護條例》(以下簡稱GDPR)正式確定可攜權,包括個人數據副本獲取權以及個人數據移轉權。具體是指,數據主體有權獲取其提供給數據控制者的個人數據,所獲取的個人數據應當是結構化的、通用的和機器可讀的,且能夠不受障礙地將這些數據傳輸給其他數據控制者,但并不涵蓋數據處理者抓取數據主體行為形成的觀測數據和各類衍生數據。
一直以來,社會各界普遍認為應當在《個人信息保護法》中設定可攜權,增強個人對個人信息移轉與再利用行為的把控。可攜權的設立不但能夠體現立法的前瞻性,還能夠有效回應大型平臺“數據壟斷”現象。當前,具有先發市場地位的大型平臺通過在市場早期積累的大量用戶個人信息,逐步形成了不可撼動的行業地位。大型平臺能夠肆意調整隱私政策,迫使用戶接受不公平的隱私政策。可攜權的設立,強化了用戶自主權,能夠有效破除個人信息流通障礙,以用戶權益為出發點,形成“用戶主導型”個人信息跨平臺流通,起到防止個人信息鎖定、降低市場準入門檻以及增強平臺之間競爭的效果。
此次《個人信息保護法》第四十五條對可攜權僅作原則性規定,要求個人行使可攜權時,需要符合國家網信部門規定的條件。為接下來進一步研究論證如何落實可攜權,以及為國家網信部門制定配套性立法留足了空間。下一步,可以考慮從個人信息類型、處理方式、處理目的、平臺規模以及對第三方權益影響等方面,對可攜權進行限縮,防止普遍性的個人信息可攜帶義務,造成個人信息處理者不合理的合規成本。
三、將兒童個人信息納入敏感個人信息范疇,升級保護要求
《個人信息保護法》將不滿十四周歲未成年人的個人信息規定為敏感個人信息,并要求個人信息處理者對此制定專門的個人信息處理規則。一直以來,在保護對象的設置上,《未成年人保護法》《兒童個人信息網絡保護規定》等立法均對不滿十四周歲的未成年人個人信息進行特別保護。即《兒童個人信息網絡保護規定》所指涉的“兒童”這一概念。之所以將保護年齡限定為不滿十四周歲,是因為充分考慮了我國相關行業發展訴求和現狀。一方面,十四周歲以下未成年人的身心發育尚不成熟,人生觀、價值觀、世界觀等思想體系正處于形成之中,自我保護意識和能力較弱,個人信息一旦遭到不法者利用,可能導致極為嚴重的后果,需要立法給予特殊保護。另一方面,十四到十八周歲的未成年人雖然在認識能力和行為能力上與成年人存在一定差距,但是其生理和心理已趨于成熟,完全將十八周歲以下未成年人的個人信息全部納入保護范圍,可能增加網絡運營者的負擔。一審稿和二審稿也都將保護年齡設置為不滿十四周歲的未成年人。
對兒童及監護人身份的識別是兒童個人信息保護的前提,也是一直以來的治理難題。個人信息處理者需要事先進行兒童身份的判斷,會額外收集個人信息(比如用戶年齡、與驗證用戶身份/監護人身份/監護人與兒童用戶關系的相關證明材料),可能會引發過度收集兒童個人信息的問題。考慮到這一實踐情形,《個人信息保護法》特別將兒童個人信息納入敏感個人信息范疇,進行升級保護,可以有效杜絕個人信息處理者以身份識別為理由過度、超范圍收集兒童個人信息的問題。因為,結合《個人信息保護法》對于敏感個人信息處理規則,處理兒童個人信息的,也應當具有特定的目的和充分的必要性,并采取嚴格保護措施。
四、進一步完善近親屬對于死者個人信息行使權利的要求
《個人信息保護法》第四十九條在二審稿的基礎上,進一步完善對于死者個人信息的規定,明確自然人死亡的,其近親屬為了自身的合法、正當利益,可以對死者的相關個人信息行使本章規定的查閱、復制、更正、刪除等權利;死者生前另有安排的除外。從全球視野來看,關于死者個人信息的保護存在“否定式”、“年限保護”以及“由親屬行使特定權利”三種立法模式。一是“否定式”立法模式,大多數國家都采取此種立法模式。例如,GDPR序言中明確指出,本法不適用于死者的個人信息。二是“年限保護”立法模式,以冰島、意大利、加拿大為代表的少數國家對死者信息規定了具體保護年限,在一定年限內與生存者的個人信息同等保護。三是“由親屬行使特定權利”立法模式,一些國家規定死者近親屬有權行使特定的個人信息權能。例如,西班牙允許死者的繼承人行使訪問權、刪除權、更正權;匈牙利允許死者生前指定的人或近親屬行使死者的個人信息主體權利。
我國《民法典》從人格權保護的角度,規定死者的姓名、肖像、名譽、榮譽、隱私、遺體等受到侵害的,其近親屬有權依法請求行為人承擔民事責任。信息化社會,當自然人死亡、民事主體的資格消滅時,如何處理其遺留在互聯網空間中的個人信息,已產生諸多糾紛。早在2012年,德國聯邦法院便首次以判決的形式承認了父母有登錄已去世女兒社交賬戶的權限。《個人信息保護法(二審稿)》對死者個人信息進行了保護,主要是從保護生者權益的角度,賦予死者近親屬主動性權利。二審稿規定自然人死亡的,個人在個人信息處理活動中的權利由其近親屬行使。但這一規定也引發了社會各界的廣泛討論和爭議,一些專家認為,這會引起近親屬對于死者個人信息的過度干預,也可能違背死者的生前意愿。為此,《個人信息保護法》在二審稿的基礎上對死者近親屬行使權利進行了三點限制:一是行使目的限制,必須是為了自身的合法、正當利益;二是權利類型限制,近親屬僅能行使第四章中規定的查閱、復制、更正、刪除等權利;三是死者生前安排優先,以死者生前意愿為先。
五、規定不得通過自動化決策對個人在交易條件上實行不合理的差別待遇,有力回應“大數據殺熟”問題
《個人信息保護法》第二十四條在二審稿自動化決策條款上加入了對于“大數據殺熟”問題的規制,明確個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。“大數據殺熟”是近年來熱議的問題。“大數據殺熟”,又稱個性化定價,是指個人信息處理者通過分析消費者個人信息形成畫像,利用算法對每個消費者的支付意愿進行精準評估和預測,預測消費者最高保留價格,并以此就同一商品或服務向不同消費者設置不同價格的行為。這種歧視性定價策略意味著個人信息處理者可以過度、無限制、不合理地剝奪消費者剩余,減損消費者權益。
此前,我國已從反壟斷的制度框架下對歧視性定價問題進行了規范。《反壟斷法》第十七條規定,禁止具有市場支配地位的經營者沒有正當理由,對條件相同的交易相對人在交易價格等交易條件上實行差別待遇。考慮到個人信息處理活動的多樣性、算法運行機制的不透明性以及決策結果的不確定性,《個人信息保護法》增加了“大數據殺熟”條款,進一步豐富了對歧視性定價問題的規制路徑。按照《個人信息保護法》的規定,無論個人信息處理者是否具有市場支配地位,只要個人信息處理者利用個人信息進行自動化決策,對個人在交易價格等交易條件上實行不合理的差別待遇,就是法律所禁止的行為。可以看出,《個人信息保護法》所涉及的適用對象全面,輻射范圍廣泛,有助于徹底解決“大數據殺熟”問題。
六、規制移動應用程序(App)濫用個人信息現象,解決人民群眾關心的熱點問題
以移動互聯網為代表的現代信息技術日新月異,不斷推動各類應用程序蓬勃發展,App在架數量和用戶規模持續擴大(截至2020年底,我國國內市場上監測到的App數量為345萬款),已經成為個人信息保護的關鍵領域。但相比其他領域,移動互聯網有創新能力強、迭代周期短、形態變化多樣等特征,小程序、快應用、H5頁面等新應用形態不斷出現,SDK、加固殼等新對象不斷增加,麥克風竊聽、通信錄竊取、相冊非授權讀寫等新問題不斷曝出。
行業持續快速發展帶來了監管問題和監管對象的動態性變化。自2019年開始,中央網信辦、工業和信息化部、公安部和國家市場監管總局在全國范圍內組織開展App違法違規收集使用個人信息專項治理工作,加大個人信息保護力度。隨后,工信部等部委充分利用技術檢測優勢,開展App用戶權益保護測評工作,各類主體積極配合整改,取得積極成效。為從法律層面規制App濫用個人信息現象,《個人信息保護法》增加了對于App個人信息保護的專門性規定。其中,第六十一條將“組織對應用程序等個人信息保護情況進行測評,并公布測評結果”新設為履行個人信息保護職責的部門的職責;第六十六條將“對違法處理個人信息的應用程序,責令暫停或者終止提供服務”增加為履行個人信息保護職責的部門對違法主體可采取的處罰手段。
七、對大型和小型個人信息處理者進行區分,體現差異化和匹配性的制度設計
不同規模的個人信息處理者,在處理個人信息的技術水平、風險和模式上存在差異,因此制度設計需要“因人而異”。強化對于大型個人信息處理者的監管,配置與其控制力和影響力相適應的個人信息保護特別義務,已基本形成共識。2020年12月,歐盟委員會公布了《數字市場法案》,提出了數字守門人的概念,被認定為守門人的平臺應承擔一系列額外的具體義務。我國《個人信息保護法(二審稿)》也強化了大型個人信息處理者的個人信息保護義務,創設性規定了中國版的數字守門人條款,明確提供基礎性互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者,應當承擔額外的個人信息保護義務,包括成立主要由外部成員組成的獨立機構,對于平臺內的違法主體停止提供服務,定期發布個人信息保護社會責任報告。《個人信息保護法》第五十八條進一步完善了守門人條款。一是將提供基礎性互聯網平臺修改為提供重要互聯網平臺服務;二是在第一項中補充了按照國家規定建立健全個人信息保護合規制度體系的義務;三是單獨增加了一項守門人義務,即遵循公開、公平、公正的原則,制定平臺規則,明確平臺內產品或者服務提供者處理個人信息的規范和保護個人信息的義務。
然而,對于小型個人信息處理者,考慮到其技術水平、風險等級與大型個人信息處理者之間的巨大差異,是否應進行部分義務的豁免,全球范圍內還處于探索階段,少數國家對此作出了規定。例如,GDPR明確要求考慮微型、小型以及中型經濟主體的特定需求,但還未出臺具有實踐指導性的文件;美國在《加州消費者隱私法》(CCPA)中明確,規制對象僅涵蓋收入超過2500萬美元的企業,以及銷售大量個人信息的數據經紀人,直接將中小型企業排除在調整范圍之外;印度《個人數據保護法(草案)》及澳大利亞《隱私法》中對小型企業作出界定,并直接豁免其部分個人信息保護義務。我國《個人信息保護法》同樣回應了小型個人信息處理者問題,第六十二條明確由國家網信部門針對小型個人信息處理者制定專門個人信息保護規則、標準的規定。這一規定留出了針對小型個人信息處理者的立法空間,下一步國家網信部門可以在降低要求、責任豁免等方面對小型個人信息處理者作出專門規則設計。
楊婕 中國信息通信研究院互聯網法律研究中心高級研究員,個人信息保護立法研究團隊負責人,主要從事個人信息保護、人工智能倫理法律以及數據治理等互聯網領域立法研究。
