陈希

当前，随着互联网技术的应用普及，地方性法规出现了针对以生物识别信息为特征的新型个人信息保护的规定，面部特征信息处理的限制性规定在行业内部规范和地方性立法已有所体现。比如，2020年浙江省杭州市在全国率先启动了人脸识别禁止性条款的地方立法——《杭州市物业管理条例（修订草案）》，该条例明确禁止物业管理中强制进行人脸识别。2021年1月1日实施的《天津市社会信用条例》，规定了企事业单位、行业协会、商会禁止采集人脸、指纹、声音等生物识别信息。除此之外，2021年出现了专门的保护个人信息数据的地方立法尝试。广东省深圳市第六届人大常委会第四十六次会议首次审议了《深圳经济特区数据暂行条例（草案）》，该条例是国内数据领域第一部基础性、综合性立法，在个人数据保护、数据要素市场规则构建和公共数据的处理规范等方面均先行先试。
　　地方立法保护个人信息的探索具有积极意义。其一，对相关法律法规的落实和完善。个人信息保护法尚未出台，我国规制个人信息保护的法律较为分散，法律法规的规定也较为原则化。我国宪法规定的尊重保障人权、通信自由和通信秘密的权利等是个人信息立法保护的宪法依据。民法典第一千零三十四条规定，“自然人的个人信息受法律保护”，明确将个人信息应予保护。刑法也设有专门的打击个人信息犯罪的规定。2017年实施的《中华人民共和国网络安全法》也对个人信息的保护进行规定。而上述法律法规的规定中无法确定信息安全问题中的责任主体范围、受侵害后的具体救济途径、赔偿额度确定方法等细节问题，一旦信息泄露犯罪分子仍有可乘空间。在专门法律出台之前，地方立法可以将法律法规的规定在本地区进行细化落实，使法律保护的个人信息法益得以实现。
　　其二，地方法规可以补齐法律幅度以外的覆盖，解决个人信息保护难。现实生活中，一些企业、机构和个人，从商业利益等出发，随意收集、过度使用、非法买卖个人信息。被泄露的个人信息内容范围广，受侵害的主体多，对公民权益的保护却存在需要地方立法的进一步补齐的空间。目前由于技术问题，某些侵害信息安全的不法行为无法证明其不法后果，或者情节较轻，而行政处罚对此的规定尚不明确。个人信息保护领域存在从刑事法律角度上取证难、打击难的问题。此外，法律对泄露个人信息的处罚主要针对个人，对没尽到保护责任的单位还没有处罚措施。违法人员的违法成本与违法所得不成比例，而造成个人信息泄露问题加重。地方性个人信息保护条例或者个人信息保护技术标准等，尤其是针对互联网企业对其所持有的个人信息数据的处理规则对上述问题进行规定，补齐了法律法规。
　　其三，地方立法的有效尝试，为法律发展形成有效经验积累。比如，智慧政府大数据的应用逐步普及，政府信息公开的地方性法规中也涉及对个人信息的保护。贵州省贵阳市在全国范围内率先出台了《贵阳市政府数据共享开放条例》，全国首部省级层面政府数据共享开放地方性法规，条例强调个人隐私是数据共享的例外，同时明确使用清单制度分类处理信息数据，在地方立法中协调了公民隐私保护、政府数据开放与企业技术发展的关系。再如，在专业标准方面，一些地方亦在信息技术前沿方面作出了重要探索。上海市等地在2013年发布的《个人信息保护规范》形成了个人信息保护标准体系，为我国2017年国家标准《信息安全技术个人信息安全规范》（ＧＢ／Ｔ35273－2017）提供了有益的实践经验。并且早在2017年上海市人大代表就曾建议上海市出台专门的个人信息保护法规，地方科技创新企业与地方立法主体联系更加紧密，在立法推进信息保护领域中地方立法动态性更强。
　　未来我国各地方在进一步提高保护个人信息的立法水平上可以关注以下几个方面：
　　第一，注意地方立法边界，坚持法律保留，维护法治统一。网络时代的信息保护涉及理论和实践中对信息及信息权利概念的清晰界定，需要理清个人信息和公共信息的范畴，在此基础上才能做到对个人权利的有效保护。而地方立法范围需要严守法律保留原则，坚持以宪法及法律法规为依据，坚持以网络安全法及即将出台的个人信息保护法为立法依据。地方立法中要避免对个人信息不合理的限制和干预，与此同时也要积极促进信息流通，防止数据和信息的控制权被不法侵蚀。
　　第二，重视地方经验交流。各地均需要面对如何有效保护个人信息的共性问题，若某些地方通过立法取得了有效的经验，可以相互交流借鉴。比如，如何细化落实法律法规中保护个人信息的规定、如何在保护信息的同时为技术革新和发展预留必要的空间等问题上各地可以展开经验交流。除了立法需要互相借鉴，法规的落实同样需要互相借鉴，尤其在地方立法中如何统筹协调各个相关部门的职责关系、协调执法行动的有效做法等领域。
　　第三，重视网络企业主体的责任构建，明确信息保护参与主体的范围。立法中如何平衡个人、产业和社会公共利益的关系，也是有待解决的重点问题。地方立法中明确责任主体应成为重点，尤其各地对互联网企业主体保护个人信息的责任需要进一步细化，强化责任落实才能实现法规的生命力。目前的法律法规对个人信息保护主要基于知情同意原则，而在互联网企业大量掌握个人信息的情况下，只有有效的法规限制，才能避免事前告知流于形式，丰富责任主体内涵，保障企业在法律规则范围内合法有效地收集数据、使用数据。
　　我国地方立法保护个人信息的有关规定和地方性法规是对公民信息权利保护的客观需求的积极回应，是促进互联网时代信息合法有效流动的法规构建的先行先试，也为国家数据立法积累经验，进一步推动我国信息时代法治体系的建设进程。
(作者单位：山东社会科学院法学研究所)