《个人信息保护法(草案)》研析
■吴沈括张力威丨文
2020年10月13曰,广受中夕卜关注的《个 人信息保护法(草案)》(以下简称:《草案》) 正式提交+三届全国人大常委会第二+二次 会议首次审议,揭开我国个人信息立法进程 的新篇章,也是全球个人信息保护法治发展 的大事件。
就《草案》出台的时代背景而言,有着丰 富的国际国内蕴涵:一方面,随着数字经济的 蓬勃发展,世界各国日益重视个人信息的诸多 战略性价值,纷纷出台个人信息保护的专门立 法。从欧盟《一般数据保护条例》、美国《加 州消费者隐私保护法案》到曰本、韩国、巴西、 印度乃至阿联酋等国近期出台的法律文件,无 不透射出个人信息保护的重要战略意义,可以 说个人信息法律保护已经成为衡量一国法治文 明和法治水平的重要指针。
好看的言情小说完结的另一方面,当下我国正处于数字化转型 加速发展的历史新阶段,在新技术新应用层 出不穷的生态语境下,个人信息的处理已经 成为社会进步和产业升级新的驱动力,而广
大民众对于加大个人信息保护力度也有着空 前的关切和期待,可以说个人信息保护法的 制定是保障公民个人信息权益、促进个人信 息合理利用的必然举措。
伊犁美食1旱寒 1.昀莖去M 新与间輕啤座
立法创新
《草案》全文以总计8章70条的篇幅, 在总则、个人信息处理规则、个人信息跨境 提供的规则、个人在个人信息处理活动中的 权利、个人信息处理者的义务、履行个人信 息保护职责的部门、法律责任以及附则等多 个层面设计和建构个人信息保护的立法框架, 在条文内容上反映了立法者吸收接轨国际立 法、探索开创中国路径的制度努力,特别是 在规范设计上呈现了众多亮点:
第一,《草案》以“告知-同意”机制 为核心逻辑建构覆盖个人信息处理全生命周
16
中国电侑处
CHINA TELECOMMUNICATIONS
TRADE
期的规则框架,强化保障自然人的控制能力,同时注重与其他重要利益包括国家安全以及 公共利益等的平衡协调,例如针对各类不同 的具体场景设定告知或者同意的例外规则。
尤其是《草案》从个人信息处理的一般 规则到敏感个人信息处理的特殊规则,乃至 个人信息跨境提供的单独规则设定,无不反 映了立法者对于个人权益的着重保护,以及 对于各利益相关方多样诉求
的兼容权衡,并 通过系统的个人权利内容以及个人信息处理 者义务相关规定予以全面的细化落实,切实 贯彻保护个人信息权益与促进个人信息合理 利用的双重立法目的。
第二,《草案》通过明确规定履行个人 信息保护职责的部门的权限分工进一步提升 个人信息权益的保护水平。从国家网信部门、国务院有关部门到县级以上地方人民政府有 关部门的职责内容与执法方式等细化规定都 将有力推动个人信息处理活动监管机制的革 新完善。
在职责内容上,《草案》明确赋予履行 个人信息保护职责的部□接受、处理与个人 信息保护有关的投诉、举报以及调查、处理 违法个人信息处理活动等执法权限,同时在 执法方式上,《草案》明文规定履行个人信 息保护职责的部门可以采取询问、调查、查 阅、复制、现场调查以及查封、扣押等措施,两者共同保障个人信息处理活动的法治化、机制化监管。
第三,《草案》注重发挥国家、社会、企业和个人等不同主体的协同作用,打造个 人信息保护领域的多方共享共治模式。《草案》特别强调国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强 个人信息保护宣传教育,推动形成政府、企业、相关行业组织和社会公众共同参与个人信息 保护的良好环境,为个人信息依法有序自由流动奠定坚实的、可持续的生态基础。
问题响应
更进一步而言,《草案》也对当下我国
民众的诸多现实关切做出了及时、有效的回
应,提出了具有鲜明时代印记与中国特的
规则安排:qq怎么建
其一,针对目前频发的个人信息泄露事
件,《草案》明确规定个人信息处理者的义
务规则,要求其立即采取补救措施,并且面
向履行个人信息保护职责的部门和个人通知
个人信息泄露的原因、已泄露的个人信息种
类和可能造成的危害、已采取的补救措施以
及个人可以采取的减轻危害的措施等重要事
项。
其二,针对口益普遍的自动化决策应用,
《草案》明确要求保证决策的透明度和处理
结果的公平合理,并赋予个人相关的知情权
和拒绝权,特别是在通过自动化决策方式进
731行商业营销或信息推送的应用场景中,有权
同时获得不针对其个人特征的选项。
其三,针对广泛存在的已公开个人信息
的利用问题,《草案》明确强调对该类信息
的后续利用应当符合该个人信息被公开时的
用途,超出与该用途相关的合理范围的,应
当另行告知并取得同意。在个人信息被公开
时的用途不明确的场景中,必须遵从合理、
谨慎的处理原则,如果相关个人信息处理活
动对个人有重大影响的,则应当依法向个人
告知并取得其同意。
《整》白鴻耐人_塑丨歷勒
我国《草案》的“敏感个人信息”采取
描述与开放式列举的相结合的定义方式,包
括但不限于种族、民族、宗教信仰等“可能
导致个人受到歧视或者人身、财产安全受到
中■电個业17
严重危害的个人信息”。相较于欧盟GDPR 封闭式列举的“特殊类型个人数据”,《草案》还增添了 “金
融账户”“个人行踪”等特殊 个人信息类别。相较之于欧盟法因各国之间 的政治博弈和人权保护制度的历史所带来的 沉冗背景,《草案》以定性的方式确立了个 人敏感信息的概念内涵,其概念更具有开放 性,并可面向未来的技术进一步修正。并且,敏感个人信息的采集需得到更高标准的当事 人“单独同意”或“书面同意”,在行政法 规规定的情形下,还可进一步要求个人信息 处理者申请相应行政许可后,方得以处理此 类个人信息。由此,《草案》实际上遵循了 区分一般个人信息和敏感个人信息,并对后 者加以强化保护的立法宗旨。
但相比之下,在《草案》第七章的法律 责任中,违反应注意和遵守的个人信息或敏 感个人信息的处理原则和保护义务而产生的 个人信息处理者责任显得过于简练、概括,难以作为处罚的具体适用标准:其一,根据《草 案》第62条规定,是否属于敏感个人信息这 一类别并没有明示作为相应行政处罚的参照 依据,其与一般个人信息在该条文中并未为 立法者所区分,在实践中仍有赖于相应的行 政规章进行完善;其二,第62条作为行政处 罚的依据,在可采用的处罚手段的定性与定 量上也授予了行政机关较大的自由裁量权。
从而在法律责任配置层面,鉴于《草案》着重保护敏感个人信息的基本逻辑,可以考 虑就侵害敏感个人信息的行为专门配置更高 强度的处罚规则。
在尚无可参照的国内法文本时,作为前辈 和先驱性立法的欧盟G D PR立法的处罚制度 的设计可以作
为参考雛经验。从廳设计出发,以GDPR为基础的欧盟个人数据保护制度 中的处罚机制由两种方式制定:第一种是罚金 类行政处罚机制,由GDPR第83条第四、五、六款直接加以规定;第二种是依据其83条第 七款规定,授权各成员国“确定在什么情况下 对在其境内设立的公共机构和实体进行行政处 罚。”以及第84条,“成员国应制定适用于 违反本条例的其他刑罚规则。”
第一种行政处罚金的机制并不当然适用,根据G D PR的立法意旨,应确保行政处罚的 “有效、成比例和劝诫性”,因此处罚金系 第58条规定的监管机构矫正性权力之后的 补充措施(如未履行监管机构指令),或在 情况严重的情况下对其的直接替代。并且,G D P R通过第83条四、五、六款区分了在 不同情形下,数据保护主管当局可以适用的 最高罚金额度:如果涉及对控制和处理者责 任、认证机构责任和监管机构违法责任的处 罚,最高可科以“一千万欧元的行政,如果是企业的话,最高可处相当于其上一年 全球总营业额2%的金额的”。如果涉 及对同意机制、数据主体权利、数据转移规 定、成员国法律责任、监管机构命令的违背 所产生的责任,最高可科以“二千万欧元的 行政,如果是集团的话,可以施加最高 前一年全球总营业额4%的”。而在此,结合G D P R第9条所设计的四款针对特殊类 别个人数据的加强保护策略一原则上禁止,
18
中国电信处
特别例外下准许(第9条第二款所列举+项情形)—实现了对个人敏感信息的高层级 特别保护。
在确定了具体的罚金层级之后,GDPR 第83条第二款规定了各国个人数据保护当局 在做出具体行政处罚金额前,应充分考量的 11项的具体参数,包括“为违法行为所影响 的个人数据类型”。在具体的执法案例中,这一因素也经常得到适用:在G D PR正式实 施后法国数据保护主管机构C N IL做出的一 起处罚案例中,涉事公司B o u y g u e电信与 U b er法国都主张因所泄露的个人信息并非敏 感个人信息,主管机构应降低处罚额度,从 轻科以罚金。该主张并未为CNIL所否认,但 综合考虑数据泄露时长和数量,仍然维持了 既有罚金水平。
结合我国立法展现出的对个人信息保护 部门的职责、处罚措施的授权与管理创新,《草案》及后续制定法可在既有条文的基础 上,进一步细化涉及个人隐私信息违法行为 时可参照的处罚梯度,明确主管部门的相应 权限。
G D PR授权各成员国自行设置对应处罚 的机制,与《草案》第67条相似。我国对敏 感个人信息的其他规制中,亦可体现出其与一 般个人信息的差异。举例而言,可借鉴《法国 刑法典》第226-19条“除法律规定的情况外,未经当事人明确同意,直接或间接暴露个人种 族、民族,或政治、哲学或宗教观点,或工会 成员身份,或其健康信息、性取向、性别认同 的个人数据以信息化手段存储的行为’应处
以 五年有期徒刑及30万欧元”等规定,使 得侵害敏感个人信息的违法行为更易入罪,从 而加强对敏感个人信息的保护’以及《个人信 息保护法》与我国其他部门法的衔接配合,避 免责任配置失真影响立法效果、架空强化敏感 个人信息保护的立法宗旨。
现有《草案》第61条与66条设置了个
人或组织向行政主管部门投诉、检举违法处
理个人信息活动的行政救济,以及可由人民
检察院、相关个人信息保护部门、国家网信
部门确定的组织提起的侵害众多个人权益情
形下的司法诉讼。结合既有的个人信息权侵
权责任之诉,《草案》构建了较为完善的公
民信息权益综合保障机制。
然而,相较之于个人信息侵害行为本身
2020家长寄语大全简短的
的技术性特征,以及自力救济下公民个体有
限的证据处理和收集能力与有限的个人精力,
《草案》下的司法救济制度仍稍显保守。首先,
从条文含义出发,两种救济渠道都排除了在
感动话题作文行政机关不作为的情况下,具有资质的组织
提起行政诉讼的可能性,而在当前行政机关
的行政处罚为主要权益保护路径的《草案》
构建中,这一缺失为个人信息保护的司法救
济渠道留下一片空白。与此同时,行政诉讼
专业性较强,当事人个体在传统“民不告官”
的意识惯性下,也不容易提起相关诉讼。因
而在这一问题上并没有彻底落实《草案》发
挥国家、社会、企业和个人等不同主体的协
同作用的特。
以域外法经验来看,G D P R第77-80条
规定了数据主体具有的三种救济权利:向监
管机构直接提起申诉的权利、向法院提出针
对监管机构具体行政行为的诉讼权利和直接
针对个人数据控制者或者数据处理者提起的
诉讼。其中,前两种途径解决的是数据主体
基于数据监管机构对个人数据保护权限产生
的救济。二者直接面向数据监管机构,数据
主体、其委托的机构、组织或协会,及认为
侵害已对一定数据主体造成损害的机构、组
织或协会,他们可以直接向监管机构提出申
中E H电懷让
CH»NA TELECOMMUNICATIONS TRADE
19
诉,或者在监管机构越权、不作为的情况下,获得针对监管机构的司法救济权。而最后一 种途径则是典型的司法救济,在实践中,与 既有各成员国的司法诉讼制度相结合。由此,既保障了行政执法领域的充分救济,也确保 了司法救济的路径畅通。
其次,我国《草案》规定的公益诉讼中,可代为提起各项司法诉讼的组织类别也具有 一定的保守性。根据条文,作为社会机构的 组织只有在国家网信部门的确定下方可提起 诉讼。结合我国环境保护法领域的已有实践,网信部们认可的组织必然要求其以信息保护 作为组织章程,或以其为组织活动中心。然 而现有各国个人信息保护的执法实践表明,个人信息保护不仅仅是信息保护的问题,还 会涉及其他领域纠纷:如消费者权益保护、
劳动关系下的信息保护问题等。消费者保护 协会、公司企业工会组织、行业联盟(法人 组织)、妇女联合会等组织未必不能够承担 起相应的职责。借此,也能进一步体现出《草 案》联合国家与社会、政商公私部门之间的 通力合作,最大程度激活我国特个人信息 保护体系的制度活力。
最后《草案》还应明确,在公共机构或社会团体代为提起的诉讼中,诉讼所涉及 的标的究竟为数个同类个体权利,还是抽象 的公共利益(集体利益),抑或两者兼有。这将直接影响该诉讼的定性与司法救济的效 果。举例而言,如果是同类个体权利的集中 诉讼(如意大利保护“同类个体权利”的集 团诉讼),那么这一诉讼模式将接近于欧美 的集团诉讼,在此模式下具体当事人不服判 决提起上诉应遵循何种程序,具体当事人如 何判断其个体权利是否系属相同的权利等问 题需要《草案》及后续立法进行更加深度的 制度设计与建构。以进一步体现出我国立法 在吸取时代经验与中国个人信息保护实践的先进性特征。
《中华人民共和国个人信息保护法(草 案)》的出台,直接彰显着我国的个人信息 权益保护与个人信息使用治理将进入新的阶 段。现有《草案》结合既有的国际治理经验,契合中国当下个人信息权益问题的特点、难 点,以开放性和实事求是的态度构建了我国 个人信息治理的基本制度和基本逻辑。但只 要是“草案”,就必然不可能臻至完美,部 分法律文本由于其概括性、模糊性,使得立 法宗旨未能完全在其制度设计中落实。为了 满足新时代下国家的治理需求、社会的发展 需要和人民的信任期待,应进一步完善《草 案》文本,协调不同部门法制度之间的协调 配合,造福整个社会。SD
吴沈括为北京师范大学法学院副教授、博导、中国 互联网协会研究中心秘书长,
张力威为法国斯特拉斯堡大学法学院硕士研究生。
本文是国家社会科学基金项目(批准号:15CFX035)的阶段性成果。
中国电信业
CHINA TELECOMMUNICATIONS TRADE
20
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论