《個人信息保護法》:構筑新時代個人信息權益保護的安全防護網
《中華人民共和國個人信息保護法》即將于2021年11月1日起正式施行,這標志著我國個人信息保護立法體系進入新的階段。個人信息保護的相關制度在《網絡安全法》就已經有了專章規定,其后的《民法典》人格權編和《數據安全法》也先后規定了涉及個人信息的具體保護制度。相較于前述立法活動,《個人信息保護法》的出臺為個人信息權益保護、信息處理者的義務以及主管機關的職權范圍提供了全面的、體系化的法律依據。個人面對非法收集和處理個人信息的侵權行為能夠獲得更具體、更多樣的救濟方式,權利保障范圍涵蓋個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除等多個環節以及敏感個人信息處理、個人信息跨境提供等特定場景。個人信息權益得到切實有效的制度保障,也為信息產業明確了經營行為的合法性邊界,與《國家安全法》《網絡安全法》《民法典》和《數據安全法》等法律法規共同構建起個人信息保護的法治堤壩。
一、個人信息處理活動的基本原則框架:合法、正當、必要與誠信
《個人信息保護法》的出臺可謂是順應人民群眾最迫切的利益訴求。在數字經濟時代,個人與網絡信息服務提供者之間存在明顯的信息鴻溝,為了能夠獲得相應的信息服務使用權限,個人不得不“主動”提供自己的個人信息,但是卻無法真正知曉自己的個人信息究竟將如何被處理以及誰將擁有自己的個人信息。更有甚者,個人信息買賣已然成為完整的黑灰產業鏈條,個人的財產安全和人身安全受到嚴重威脅。為了充分保護個人信息權益,同時也是為了規范個人信息處理活動,促進信息產業發展,《個人信息保護法》順勢而為,明確了個人信息處理活動應當以合法、正當、必要和誠信作為基本原則,即任何類型和任何階段的個人信息處理行為均應當滿足這些原則性要求,即便現行立法沒有明確規定特定個人信息處理行為是否滿足法定義務,如若相關行為違背合法、正當、必要和誠信四項基本原則之一,也應當承擔相應的民事法律責任,情節嚴重的,應當承擔刑事責任。換言之,這四項基本原則構成了《個人信息保護法》的內容主線:第一,合法性原則要求個人信息處理行為應當滿足法律法規規定,這里的“法”并不單一局限于《個人信息保護法》,還包括《網絡安全法》《數據安全法》《民法典》《刑法》《關鍵信息基礎設施安全保護條例》等法律法規。第二,正當性原則要求個人信息處理行為應當符合立法宗旨和法律價值,不得以謀求自身利益而侵害其他個人的個人信息權益。在實踐中,部分APP運營者在用戶注冊階段以不顯著、不直接的方式向用戶展示個人信息處理的目的、范圍和方式等重要信息,這種行為顯然違背了正當性原則。第三,必要性原則要求個人信息的收集范圍和處理方式應當僅以實現相應的信息服務功能和業務目的為必要。該原則強有力地回應了當下社會對APP運營者肆意收集處理個人信息行為的擔憂和質疑,避免個人為獲取相應信息服務而被動提供個人信息的問題惡化。例如,地圖導航類APP運營者的個人信息收集范圍僅應當以地理位置信息為限,職業、工資、旅游偏好等其他與地圖導航功能無關的個人信息顯然不在“與處理目的直接相關”的范圍之內。第四,誠信原則強調個人信息處理者不得利用自身的優勢地位侵害個人信息權益。一方面,個人信息處理者應當誠實信用地按照約定的處理目的和范圍處理個人信息;另一方面,個人信息處理者不應當故意隱瞞、有意淡化事關個人信息權益的提示說明事項。
二、個人信息權益保護方式:權利與義務的一體化
在歐盟《通用數據保護條例》出臺之后,全球各國個人信息立法曾一度或多或少受到歐盟個人數據權利體系的理論影響,刪除權、更正權、查詢權等具體權利似乎成為個人信息保護領域的“制度范本”。我國《個人信息保護法》則立足于中國本土實踐,向全世界提供了全新的個人信息保護思路:重視個人信息權益的實質性保護,以權利與義務的一體化要求為導向。從《個人信息保護法》的第四章和第五章內容來看,個人在個人信息處理活動中享有查閱、復制、更正、補充、請求刪除個人信息等具體權利。并且,個人信息處理者也應當積極履行法定義務,確保個人權利能夠有效實現,倘若個人信息處理者設置各種不合理非必要的維權程序、客服流程等“維權門檻”,既違背了個人信息處理行為的基本原則,也構成了法定義務履行不充分。
個人在個人信息處理活動中行使權利有兩個前提條件:第一,個人對個人信息處理應當享有充分知情權和決定權。所謂的知情權是指個人有權知曉其個人信息的收集處理目的、范圍和方式,并且這種知情應當是以清晰易懂的顯著方式予以實現。換言之,如果個人信息處理者為避免承擔法律責任將所有個人信息處理事項事無巨細地向用戶直接展示,又或是以小號字體、密集文字排版等方式告知用戶個人信息處理活動,則顯然構成對個人信息知情權的實質侵害。第二,個人在實現知情權之后應當能夠獨立自主地決定是否提供個人信息以及決定個人信息的實際處理范圍和方式。在實踐中,部分用戶即便知曉個人信息處理的相關事項,但囿于使用特定信息服務的需要以及行業內格式合同的泛濫,用戶無力決定個人信息的具體處理方式。為了解決此類問題,《個人信息保護法》明確個人有權限制或限制對其個人信息處理。此外,決定權也有其例外情形。
三、充足的安全感:國家機關全方位保護個人信息
《個人信息保護法》提供的個人信息保護路徑并不局限權利與義務的一致性要求,還包括專門的國家機關履行個人信息保護職責,提供全方位的個人信息保護和救濟方式。《個人信息保護法》所提供的充足安全感既來自于國家機關處理個人信息的特別規定,也來源于國家機關履行職責的專門規定。一方面,《個人信息保護法》規定國家機關處理個人信息同樣應當遵守法律、行政法規規定的權限和程序。個人信息權益受到前所未有的重視,即便個人信息處理者是國家機關,其收集處理范圍和限度同樣不得超出履行法定職責之需要。并且,國家機關處理個人信息之前,應當依照規定,履行告知義務。另一方面,《個人信息保護法》明確規定了國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作。國務院有關部門依照本法和有關法律、行政法規的規定,在各自職責范圍內負責個人信息保護和監督管理工作。具體而言,除了日常熟知的個人信息保護宣傳教育,接受、處理與個人信息保護相關的投訴、舉報,調查、處理違法處理個人信息等活動之外,還包括個人信息保護評估、個人信息跨境傳輸安全評估、第三方安全認證體系、個人信息保護技術標準制定等具體領域的工作內容。此外,為了切實解決近期出現的“監控偷拍人臉識別”“大數據殺熟”等社會熱點問題,《個人信息保護法》還專門規定國家網信部門統籌協調有關部門依據本法推進人臉識別、人工智能等新技術、新應用領域個人信息保護規則、標準制定工作。
個人信息保護絕不能停留于紙面的權利宣誓與義務要求,更要重視之后法律實施過程中可能面臨的新問題和新挑戰,平衡個人信息權益與信息產業良性發展的雙重訴求,個人信息保護還需要有效統籌協調立法、執法和司法三個環節,要讓老百姓看得到、摸得著、感受得到真正的個人信息權益保護,推進個人信息保護工作的縱深化發展。
