法治号
原标题:论个人信息保护与利用的平衡
清华大学法学院院长申卫星教授在10月10日举行的“数据治理与隐私保护”高端研讨会暨网络空间治理与数字经济法治(长三角)研究基地启动仪式上发表题为《论个人信息保护与利用的平衡》的主旨演讲。演讲内容如下:
个人信息保护法共计八章,七十四条。沿袭我国立法总分结构的传统,专设总则,分别规定了该法的立法目的和立法依据、调整范围、个人信息的界定、个人信息保护的基本原则、个人信息保护的多元共治与国际合作机制。分则分别规定了个人信息处理规则、个人信息跨境提供规则、个人在信息处理活动中的权利和个人信息处理者的义务,并明确了履行个人信息保护职责的部门,同时就个人信息处理者和个人信息履职部门及其人员的法律责任作出了严格规定。这些内容以及由此确立的诸多关于个人信息保护的制度,都是个人信息保护法的外在体系,如何正确理解这些制度将对我国未来的个人信息保护产生重要影响。
法律除了外在体系外,还有其内在体系,即贯穿于整部法律始终的法律原则、法律理念、法律价值和法律精神。就本法而言,其内在体系,也是理解所有法律制度的出发点和基本立场。某种意义上说,内在体系的掌握可能比对具体制度的了解更为重要。只有在内在体系的指引下,一个完善的法律体系才得以建立,法规范之间才能融会贯通,法律的稳定性和公正性才能得以实现。换言之,只有准确把握作为个人信息保护法立场和精神的内在体系,才能正确理解个人信息保护法所确立的诸多规则、制度、权利、义务、责任。而笔者认为个人信息保护与利用的平衡,是个人信息保护法的基本立场、理念、精神,是理解整部法律的内在体系和核心线索。
何以确立对个人信息保护与利用的平衡就是个人信息保护法的内在体系呢?推而广之地追问,我们何处找寻一部法律的内在体系?一部法律的内在体系绝非凭空构造,而是存于其立法目的、法律原则和法律制度之中。这里之所以提出以个人信息保护与利用的平衡是个人信息保护法的内在体系,是有其根据的。
一、个人信息保护与利用的平衡体现于该法的立法目的
个人信息保护法第一条开宗明义地规定:“为了保护个人信息权益,规范个人信息处理活动, 促进个人信息合理利用,根据宪法,制定本法。”这一规定既表明了该法的立法依据,同时指明了这部法律的立法目的,即通过规范个人信息处理活动,达致保护个人信息权益;同时促进个人信息的合理利用,也是该法的重要目的之一。
一般而言,法律的第一条都是规定立法目的和立法依据,因其过于抽象,往往为大家所忽略。但是,作为立法目的的第一条是理解任何一部法律的起点,至关重要。它贯彻于整部法律的起草,也是在立法中一系列法律制度的设计与取舍的重要依据。更应成为法律生效后理解、阐释具体法律制度的逻辑起点。
按照这样的定位,我们再来看个人信息保护法第一条,你会发现每一个表达都是那么有意义。同时,第一条也明白无误地传递了该部法律的基本立场:既要加强对个人信息的保护,又要促进个人信息合理利用。唯有准确把握这一立场,才能正确解释、适用整部法律。
立法者之所以确立了对个人信息保护与利用平衡的立场,乃是基于信息的本质。信息在早些时期的定义是由美国物理学家奈奎斯特(Nyquist)和哈特莱(Hartley)在20世纪20年代提出的。到了1948年,被称为“信息论之父”的香农在《通讯的数学理论》一文中提出:“信息是用来消除随机不确定性的东西”。这一定义被人们看作是信息的经典定义,并加以广泛引用。信息论中以熵来指称一个人在选择要传达的信息时的选择自由度。这一概念起源于物理和工程科学,但现在在科学的所有领域和许多非科学学科中发挥着普遍的作用。熵是对无序、混乱、不确定性或随机性等模糊概念的描述,它是由 Clausius在19世纪从热力学中引入的,也是Boltzmann理论不可分割的一部分。在热力学的背景下,熵是无序的度量。随着 Gibbs 的统计力学分析工作,这个概念的概率性质显得更加清晰。随着香农传播的数学理论的发展,熵在20世纪中叶得到了重大的复兴。在信息的概念中有一些模棱两可的地方,在香农的理论中,信息不是衡量一个人传达了什么,而是衡量一个人可以传达什么。
由于信息乃是为了解决不确定性,因此,当一个人掌握了信息时,相较于其他不掌握该信息的人就具有了确定性。所以,信息的价值就在于他们的传播、共享,以消除不确定性。更进一层,信息在共享、传播的基础上,还可以进行信息的融合,从而产生超越时空、超越个体和局部的倍增效应。所以,我们进行个人信息立法,一方面要加强当下对个人信息利用乱象的规范、管治,以保护个人信息安全;另一方面,信息不同于隐私,对其保护不意味着像隐私一样不为人知晓,而是要尊重个人信息的自我决定权。以民法典第一千零三十四条第二款所列举的电话号码为例,很多人担心电话号码泄露会引发骚扰,从而认为这些是隐私。其实,手机号码从其设立之初的功能就是进行社会交往的需要,它不会像隐私一样要求被保护得严严实实的,恰恰相反,正是要通过作为个人信息的手机号码的分享,来促进社会交往。换言之,信息不是不可以利用的,只是要充分地尊重用户的知情同意权,对利用个人信息的去向尊重用户的获取权,要对其错误的信息予以更正乃至删除,这些都是为了保护自然人在个人信息方面的自我决定权,从而实现其在信息社会的人格尊严完整性。
概言之,法律对于个人信息和隐私保护的立场完全不同,个人信息保护法虽然称之为保护法,但对个人信息的保护并非如同对隐私的保护。隐私是要保护人的私密空间、私密活动、私密信息等私人生活的安宁不被破坏,强调维护隐私的“私密性”,个人信息的主要价值在于社会交往的可识别性,其功能定位于正常社会活动和社会交往的基础,个人信息在社会交往中发挥着个人与他人及社会的媒介作用。简单讲,信息不是为了保护而存于世间的,相反恰恰是为了利用。所以,个人信息保护法要在加强个人信息保护与促进个人信息利用之间进行平衡,这构成了个人信息保护法的基本立场和内在体系,是理解整部法律的核心线索。
二、个人信息保护与利用的平衡体现于该法的基本原则
在个人信息保护法第一章中确立个人信息处理的基本原则,这其中有强调个人信息权益重要地位,以强化对个人信息的保护的法律原则,如个人信息保护法第二条规定:“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益”;第十条规定,“任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动”。这两个条文是来自于2017年民法总则第一百一十一条,并为我国民法典第一百一十一条承继,这些条文可以说是确立了我国法上的个人信息权益神圣原则。这意味着个人信息权益受到法律的特别尊重和充分保护,任何组织、个人不得侵犯,非经正当的法律程序,国家不得限制或剥夺。
而更多的法条确立的个人信息处理原则,则是体现了个人信息保护与利用平衡的理念。其中,个人信息保护法第五条规定,处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。这样的规定看起来严格,但这并不意味着个人信息不能利用,且只有在严格保护的立场下才能促进个人信息依法有序健康长久的利用。换言之,个人信息保护法不是只规定如何保护个人信息,相反只要遵循个人信息处理的合法、正当、必要和诚信的原则,法律是鼓励对个人信息的合法利用的。这里的合法,指的是个人信息处理应当遵守法律的规定。正当原则是指处理行为的目的和手段应当具有正当性。目的正当要求个人信息处理者不得基于非法目的处理个人信息;手段正当要求个人信息处理者的处理行为须有利于其目的实现,且不得以违背诚实信用和公序良俗的方式实施。处理者必须保障个人的知情权,并提供必要的安全保障。必要性原则又称最小必要原则,指的是处理个人信息应当限制在实现目的所需的最少个人信息范围内。收集的个人信息的类型应与个人信息处理的目的有直接关联,即如果没有上述个人信息的参与,个人信息处理目的无法实现。诚实信用又被称为民法的“帝王条款”,个人信息保护法第五条规定了诚信原则,与民法典形成呼应。
同样,个人信息保护法第六条规定:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围。”这一规定,确立了我国个人信息处理的目的限定原则。法律在促进个人信息利用的同时,要求个人信息的处理不能泛化,以最小必要为限。这一原则着重显示了对个人信息处理手段与目的之间关联性的考察,是比例原则中的适当性与必要性原则的混合,同样体现了对个人信息利用和保护之间的平衡。
个人信息保护法还确立了个人信息处理的公开、透明原则,要求个人信息处理者要公开个人信息处理规则,明示处理的目的、方式和范围(第七条);维护个人信息完整尊严原则,个人信息保护法第八条要求,“处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响”;个人信息处理的安全保障原则,要求个人信息处理者应当对其个人信息处理活动负责, 并采取必要措施保障所处理的个人信息的安全(第九条)。这些原则的确立,不仅有利于对个人信息的保护,更为重要的是这些原则的贯彻和实施,为个人授权平台企业处理个人信息增强了信心和制度信赖,从而为数字经济的发展和个人共享信息价值打下了坚实的基础。
总之,对于上述个人信息处理的合法、正当、必要和诚信原则、目的限定原则、公开透明原则、个人信息完整原则、安全保障原则,唯有站在充分尊重个人信息自我决定权的前提下如何促进个人信息利用的角度来理解,才能够准确适用。
三、个人信息保护与利用的平衡体现于该法的基本制度
作为个人信息保护法的内在体系,对个人信息保护与利用平衡的基本价值是贯穿于这部法律始终的。
(一)个人信息保护与利用的平衡点——知情同意制度
知情同意(informed consent)有两个方面的要求,一是知情,即采集个人信息时应对其进行告知;二是在真正知情前提下进行的“同意”。所谓知情权(right to be informed),是指个人信息处理者在收集个人信息时应告知信息处理者的基本信息、处理的目的、储存时间等内容。信息主体的知情权是个人信息处理透明原则的基本要求,要求个人信息处理者以清晰、明确且易懂的方式,告知自然人有关个人信息处理的相关事项,尤其是有关个人信息处理目的、范围、方法、时限等重要内容。
根据欧盟《通用数据保护条例》(GDPR)透明性原则的要求,个人有权知道如何收集、使用或以其他方式处理哪些个人数据,以及了解有关处理的风险、保障措施和他们的权利。 其中,《通用数据保护条例》 第12条规定了控制者在提供透明信息和/或传达信息主体如何行使其权利方面的广泛全面义务。要求信息必须简洁、透明、易懂且易于访问,使用清晰明了的语言,必须以书面形式提供,包括在适当的情况下以电子形式提供。 根据《通用数据保护条例》第13条的规定,数据控制者应当提供的信息包括控制者的身份和联系方式、处理的目的和法律依据、数据控制者的合法利益、个人数据的最终接收者、存储期限、信息主体的权利等。 如果个人处理者违反上述规定,个人信息同意的有效性会受到影响。
我国民法典没有明确使用“知情权”“有权知悉”等术语,也没有出现与其他权能一样的“有权”表述,第一千零三十五条规定对处理个人信息的规定可以被认为是知情权的体现。第一千零三十五条规定处理个人信息应符合下列条件,其中包括“(二)公开处理信息的规则;(三)明示处理信息的目的、方式和范围”。这是处理个人信息公开透明原则的体现,要求处理个人信息时应当公开处理信息的规则,并明示处理信息的目的、方式和范围,被认为是确保信息主体享有知情权。只有让信息主体充分知悉和了解处理个人信息的规则、目的、方式和范围,了解个人信息被处理的后果和可能的影响,才可以保护信息主体的关于个人信息作出决定的自主性、真实性和合理性。民法典第一千零三十五条对于知情权的实现用了“公开”和“明示”两个动词,本文认为,“明示”的要求更为严格,“公开”强调的是公开行为本身,而“明示”则以被处理信息的主体知悉的结果。即只有自然人明确理解了信息处理的目的、方式和范围等重要内容,才能认为信息的处理者尽到了相应的义务。
个人信息保护法则明确了“信息主体的知情权”。第四十四条规定,个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。虽然在第四章“个人在个人信息处理活动中的权利”中对个人信息处理者应该公开的内容没有做进一步的明晰,但是在第一章总则第七条明确了“处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围”。第二章“个人信息处理规则”第十四条、第十七条等都可以理解为信息主体知情权的具体内容,包括信息处理中应当向个人告知的方式、形式、内容等,是落实确保信息主体知情权的重要保障。
在充分知情的前提下,民法典第一千零三十五条第一项要求对个人信息的处理要征得自然人或其监护人的同意。个人信息保护法第十三条第一款第一项,更是以“取得个人同意”作为个人信息处理正当性的首要合法性基础。同时,第十四条明确规定,基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。这些规定,结合对个人信息利用的告知,确立了我国个人信息的知情同意权(能)。
就知情同意的“同意”一面,个人信息保护法确立了周密细致的个人信息同意制度。其中第十四条还规定,法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。其中,个人信息处理者向其他个人信息处理者提供所处理的个人信息(第二十三条)、处理敏感个人信息(第二十九条)、向境外提供个人信息(第三十九条)等,提出了更高的要求,须单独同意方可处理;处理未满十四周岁未成年人个人信息的,应当取得监护人的同意等(第三十一条)。可以说,随着个人信息保护法的颁布和实施,我们建立了完整的个人信息保护知情同意制度。
在个人信息处理规则的制度设计上,个人信息保护法第十三条一方面要求充分尊重个人的同意,体现了加强个人信息权益保护的一面;另一方面,作为个人信息同意的例外,个人信息保护法又于第十三条第一款第(二)至(七)项特别规定了如下情形可以不需取得个人同意:
1.为订立、履行个人作为一方当事人的合同或者人力资源管理所必需。作为一种独立的合法性基础,合同或人力资源管理必需规则旨在避免因同意过于泛滥而破坏正常的私法交易秩序,具有重要意义。此时尽管其中也包含信息主体“同意”的意愿,但绝非严格的个人信息保护法意义上的同意,因此不适用同意能力(个人信息保护法第三十一条)、任意撤回(个人信息保护法第十五条)、禁止捆绑(个人信息保护法第十六条)等为个人信息同意而专门设立的规则,仅根据合同及相关事实或人力资源管理需要即发生合法处理个人信息的法效果。
2.为履行法定职责或者法定义务所必需。这里包含两种情况,一是法律规定处理者对于处理行为负有义务,其不能拒绝处理个人信息;二是法定职责是指法律规定处理者负有特定公共任务。在这些情况下,个人信息处理者基于其法定职责和义务,无需征得同意就可以进行个人信息处理。
3.为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需。在突发公共卫生事件中,为了维护公众健康,需要及时进行公共卫生监测、预警、发布、处置和应急,这一过程离不开对个人信息的处理。“保护自然人的生命健康和财产安全所必需”大致可以和民法典第一千零三十六条相对应,但有以下几点不同:一是该项将保护对象由民法典第一千零三十六条中的“该自然人”拓展为了“信息主体+非信息主体”,换言之,为了保护非信息主体的其他自然人的生命财产安全也可以进行必要的处理行为;二是个人信息保护法将保护的利益的范围由民法典中的“该自然人合法利益”改为了自然人“生命健康和财产安全”,表述更加具体、明确;三是民法典没有规定为保护自然人合法利息而处理信息的限制条件,而个人信息保护法规定了只有处于紧急情况下才可以处理,这一转变体现了对个人信息处理和自然人生命健康和财产安全保护的利益权衡。
4.依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息。这一规则在民法典第一千零三十六条第二项即已出现,表述为“处理者合理处理该自然人自行公开的或者其他已经合法公开的信息不承担民事责任,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外”。个人信息保护法第十三条第五项应当与民法典第一千零三十六条第二项做相同理解,将自然人明确拒绝信息处理或者处理该信息侵害其重大利益作为例外情形,避免侵犯信息主体的人格尊严。
5.为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息。本项列举事项与民法典第一千零二十五条对名誉权的限制一致,均为新闻报道和舆论监督。适用条件有二,一是处理目的必须是为了公共利益,二是处理行为要在合理范围内。其中,“在合理范围内”以事前利益权衡为必要。处理者应当事先谨慎而有效地进行评估。这种评估不是概括评价,而是要根据具体情况具体分析,评估结果应当公开透明,可以为利益相关者所获得。
以上这些情形,何以不需要取得同意?因为这些例外情形,可能是基于信息主体的先前行为,也可能是基于紧急情况下为了保护信息主体的权益,更多的是出于公共利益的需要,保障国家机关履职或者保护舆论监督。究其根本,在于为了这些特定情形有对个人信息利用的需求和正当。在比例原则的基础上,通过对个人信息权益受损程度、所保护的利益的重要性进行利益权衡,从而实现个人利益与公共利益、信息主体利益与信息处理者利益、非信息主体与信息主体利益的平衡。上述对个人信息利用合法性基础多元化的立法,就充分反映了个人信息保护与利用的平衡。
个人信息保护法第十五条规定:“基于个人同意而进行的个人信息处理活动,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。”这一规则又被称为“个人信息同意任意撤回”(Freie Widerrufbarkeit der Einwilligung),体现了对知情同意原则的贯彻。理由在于:信息主体在同意个人信息处理时,可能并不清楚这一决定对自己的个人信息保密性将带来怎样的后果。随着数据分析工具的发展,人们越来越难以预测数据将在怎样的范围和程度上揭露其人格特征。随着时间的推移,人们的个人信息保护偏好完全可能发生转变。如果不允许信息主体撤回其同意的话,将会造成对个人信息自决权和知情同意原则的侵蚀。 因此,必须对个人信息同意撤回权加以规定,以便纠正信息主体在个人信息这一意思表示形成过程中的不自由。
(二)个人信息保护和利用的平衡器——风险管理制度
现代社会已然进入了一个风险社会, 对风险的管控必须采取科学的态度,即对风险预测、风险交流、风险评估、风险控制等一系列科学的风险管理措施。德国社会学家乌尔里希·贝克认为,当今社会的风险已经不再是个人的风险,而是全球性、系统性的现象。所谓风险,指的是系统处理现代化引发的危险和不安全感的方式,它是与现代化的威胁力量以及现代化引致的怀疑的全球化相关的一些后果。 在贝克看来,工业社会和现代社会分别对应第一现代性和第二现代性。工业社会通过风险的增长和对风险的经济开发,系统地滋生了自己的困境。现代性本来强调的是对不确定性的理性控制,但理性的发展却造成了更多的不确定性。发达的工业社会从自身产生的风险中得到“滋养”,并因而创造了社会风险地位和政治潜能,这种潜能唤起了对现代化基础的质疑。 由此,人类面临着威胁其生存的由社会所制造的风险。我们身处其中的社会充斥着组织化不负责任的态度,尤其是,风险的制造者以风险牺牲品为代价来保护自己的利益。 美国社会学家查尔斯·培罗总结道:“高度发达的现代文明创造了前人难以企及的成就,却掩盖了社会潜在的巨大风险;而被认为是“社会决定因素和根本动力”的科学技术,正在成为最大的风险源。” 对于风险社会的治理,贝克主张,要“再造政治”以应对风险。在他看来,再造政治包括五个方面的内容:首先,人们必须告别这样的错误观念,即行政机构和专家能够准确地了解对每个人来说什么是正确的和有益的。要破除专门知识的垄断。第二,团体参与的范围不能由专家来定,必须根据社会的相关标准开放,实现管辖权的开放。第三,所以参与者必须意识到,决策不是已经制定好的,从外部作出的。要实现决策结构的开放。第四,专家和决策者之间的闭门协商必须传达到或转化为多种能动者之间的公开对话。第五,整个过程的规范必须达成一致,实现自我立法和自我约束。 前文已述及信息不同于隐私,其主要功能在于共享、交流,以消除不确定性。而现代社会之所以称之为信息社会,就是建立在信息的利用上。所以,在现代风险中加强对个人信息的保护,并非要绝对消除风险,而是要基于数字经济发展的实际和人格尊严保护的需要,科学管控好风险,以此实现个人信息保护与利用的平衡。
基于个人信息保护与利用的平衡理念下的风险管理,首要措施就是分类分级管理。因为,不同等级不同类别的风险如都采取同一标准进行管控,必然会造成要么标准过严而致成本过高,从而阻碍信息的利用;要么标准过低,无法有效地管控风险。个人信息保护法的立法者很好地运用了分类分级管理的风险管理制度设计。具体表现如下:
1.将作为保护客体的个人信息进行分类,区分为一般信息与敏感信息。所谓敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。对于此类信息个人信息保护法要求只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息(第二十八条第二款)。且与一般个人信息不同,要求对于个人敏感信息的处理应当取得个人的单独同意;如果法律、行政法规规定处理敏感个人信息应当取得书面同意的,要从其规定。但是这样严格的标准,如果推广所有个人信息的保护的话,不仅阻碍信息的利用,而且对于个人而言也会不胜其烦,所以立法者采取了分类管理的模式:一般个人信息的处理采取概括同意,而涉及敏感信息的处理则必须单独同意。
2.将个人信息权利主体进行分类,区分儿童与成年人。儿童处于心智发育中,对于个人信息的采集和处理,极易因其“个人同意能力”不足, 而侵害其利益,或者做出影响其健康成长的决策。个人信息保护法明确将未成年人的个人信息列为敏感信息,以加强保护。同时,明确要求对于未满十四岁未成年人个人信息进行处理时,应当征得未成年人父母或者其他监护人的同意,同时要专门制定针对此类未成年人的个人信息处理规则。显然,这样严格的措施,不能推广到成年人,既无必要,也会影响个人信息的利用。
3.将个人信息处理的义务主体进行分类,区分重要平台与一般平台。个人信息保护法第五十八条将提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,界定为重要平台企业,也称互联网头部企业或者守门人,它们要负有比一般平台更多的义务,包括:(一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;(二)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;(三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;(四)定期发布个人信息保护社会责任报告,接受社会监督。这些义务的设置是基于大型平台企业的公众性和影响力,已绝非单纯的市场主体。对于互联网平台企业进行分类规制,在个人信息保护法一审稿中并没有出现,是学者的努力,才在二审稿中出现,并在三审稿中优化。张新宝教授曾明确指出,在互联网技术不断迭代发展的过程中所形成的对互联网生态具有极强控制力和影响力的大型在线企业,成长为有能力管控特定网络空间个人信息收集和处理行为的“守门人”。给此等企业设置与其能力相适应的特别个人信息保护义务以区别于一般个人信息处理者的个人信息保护义务,既具有法理基础和经济上的合理性,也符合互联网治理的世界潮流,能够更有效地保护自然人的个人信息。 显然,这样高标准的义务没有必要也没有可能赋予所有的平台企业,那样会使得小企业不堪重负而退出竞争,反而不利于个人信息保护和利用的多样化。
4.个人信息风险管理的自律和他律。对风险的管理一直存在一种误区,就是风险是因为管理而消除的,甚至可能会有一种幻觉就是管理得约严格,风险越小。真正的科学的风险管理,不能完全依靠政府的监管,而是建立在他律和自律基础上的多元共治。
他律机制在个人信息保护法中得到充分的体现,除了第六章规定的“履行个人信息保护职责的部门可以采取的种种政府监管措施以外,还有如下他律机制:一是个人信息审计制度,个人信息保护法第五十四条规定,个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计;二是个人信息评估制度。个人信息保护法第五十五条规定,凡是处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息或者向境外提供个人信息以及其他对个人权益有重大影响的个人信息处理活动,个人信息处理者都应当事前进行个人信息保护影响评估。评估的内容包括:(一)个人信息的处理目的、处理方式等是否合法、正当、必要;(二)对个人权益的影响及安全风险;(三)所采取的保护措施是否合法、有效并与风险程度相适应(第五十六条)通过这些第三方的审计和评估制度,形成对个人信息处理者的他律,同时市场也会随着审计和评估结果的公布,发布用脚投票的作用。
头部企业的“守门人”义务也会发挥他律的作用,分散政府监管的压力。正如学者指出的那样,移动互联网生态个人信息保护的实际情况决定了现有的监管思路——“一个一个去评估” 和“一个一个去整改”,并不适应目前海量移动APP收集、使用个人信息的客观情况。更有效的监管路径应该是控制着一般移动APP技术和运营环境的“守门人”。通过对移动互联网生态中的“守门人”施加额外的义务,就能够对移动APP收集、使用个人信息的行为产生“卡脖子”效应,起到事半功倍的效果。
他律机制还包括公益诉讼,由于实践中个人信息受害者分散、个人维权成本高、举证能力有限等因素,个人提起诉讼维权的情况相对较少,而公益诉讼制度能够有效弥补这一不足。个人信息保护法第七十条规定,个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。相信随着个人信息保护法的实施,一系列的公益诉讼会为个人信息的保护和健康利用创造良好的社会环境。
自律机制包括严格的法律责任设定,根据个人信息保护法第六十九条第一款的规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。采取过错推定的责任形态,有利于增强个人信息处理者的责任心。同时,考虑了平台企业的优势地位,将举证责任倒置分配。也同样是基于这样的考虑,在用户难以证明自己的损失时,采取按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。
自律机制还体现在行政处罚上,根据个人信息保护法第六十六条第二款对违法进行个人信息处理且情节严重者,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款。这样的高额罚款可以对进行个人信息处理的平台企业产生威慑,形成法律的行为引导的教育功能,通过自律来加强对个人信息的保护,促进个人信息的合法利用。
此外,根据个人信息保护法第十一条的规定,国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。据此,我们期待可以形成个人信息保护的多元共治局面。
5.个人在信息处理活动中的权利及其边界
个人信息保护法第四章规定了个人在信息处理活动中的诸多权利,例如个人信息处理的知情权、决定权、拒绝权、查阅权、复制权、迁移权、删除权等,甚至对死者信息权益的保护也在一定条件下做出了规定。但是,本着对个人信息保护与利用的平衡,为了防止其滥用权利,基于国家利益也可以对其查阅复制权进行限制, 基于死者利益保护或者生前的安排,也可以限制近亲属对死者个人信息的查阅、复制、更正、删除。
除此之外,个人信息保护法第五条所确立的诚信原则,不仅要求个人信息处理者不得误导、欺诈、胁迫等方式处理个人信息,同时也对个人行使信息权利做出了要求。个人要本着“爱人如己之心”和“己所不欲勿施于人”的精神,正确行使权利,不得滥用权利。
四、结语
个人信息保护法的颁布和实行是我国个人信息保护历程中的一件大事,标志着我国保护个人信息权益、规范个人信息处理活动、促进个人信息合理利用的决心。大数据时代,信息处理活动在给人们生活带来极大便利的同时,也给个人信息保护带来了风险。理论界与实务届应当及时梳理新情况、新趋势,努力达成共识,推动个人信息保护法的贯彻落实,促进个人信息保护与利用的平衡,在维护人之尊严的同时,促进数字经济健康发展。(申卫星)
编辑:邢国涵
审核: