中华人民共和国个人信息保护法释义
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人
上一章目录下一章

第一章 总则

【导读】

本章规定的是个人信息保护的基本法律制度。全章共12个条文,分别规定了个人信息保护的立法目的和依据(第1条)、适用范围(第2-3条)、基本概念(第4条)、基本原则(第5-10条),以及国家促进个人信息保护的政策导向(第11-12条)。总则部分的内容对全法具有统领作用,一方面搭建出我国个人信息保护制度的总体框架,另一方面也体现出我国网络空间治理的整体思路。根据全国人大常委会法制工作委员会的说明,《个人信息保护法》的制定不仅为个人信息提供法律保障,同时也承担着促进数字经济健康发展、维护网络空间良好生态的重要功能。这一点也在总则第1条中有所体现,即强调“保护—规范—促进合理利用”三个目的相统一。总体而言,本章有以下几个方面的事项需要特别注意。

首先,关于《个人信息保护法》的立法依据,本法首先表明“根据宪法,制定本法”,此前《网络安全法》《数据安全法》等网络空间治理的重要法律文件均未采用此种表述,反映出的是国家对于个人信息保护的高度重视,是从公民人格尊严受法律保护等宪法性权利推导而出,无论是权利赋予、义务设定还是管理设置,其依据直接源于宪法。从这个角度讲,《个人信息保护法》具有较高的法律位阶,不应将其简单视为已有网络信息立法的下位法。同时,也正是基于个人信息与人格权益的紧密关系,《个人信息保护法》仅适用于自然人的个人信息,这也与《民法典》对于个人信息保护相关权益的定性和保护思路相一致。由此引发一个相关的问题,即在网络信息法的整体框架下,是否以及如何保护非个人信息。可以注意到的是,《个人信息保护法》与《数据安全法》采用了“信息”与“数据”这样不同的概念表述,因此对于非个人信息并不能直接划归到后者的框架之中。但对“非个人信息”的界定具有其重要性,一方面,非个人信息可能承载着除重要的人格权益以外的其他重要权益,特别是对于市场经营活动和社会治理活动而言,非个人信息往往承担重要作用;另一方面,非个人信息对于厘清个人信息边界、避免个人信息保护过度扩张同样具有重要意义,特别是在个人信息概念本身具有较为宽泛的外延且非个人信息易于转化为个人信息的背景下,明确二者各自适用的范围和规则有助于更好地实现本法“促进个人信息合理利用”的目的。

其次,关于《个人信息保护法》的空间适用范围,本法在确认适用于境内信息处理行为的同时,在一定程度上扩展了本法的域外适用效力,即适用于以向境内自然人提供产品或者服务为目的,或者为分析、评估境内自然人的行为等发生在我国境外的个人信息处理活动。这一范围与当前世界主要国家或地区的个人信息保护立法探索相类似,一方面是对网络空间弱地域性和数据全球范围流动特征的重要回应,另一方面也构成我国参与个人信息保护国际规则制定,推动与其他国家、地区、国际组织之间个人信息保护规则、标准互认的重要基础。对于境外的数据处理行为,其规制难点主要在于具体运行机制之上,对此本法也采用了目前国际社会的常见做法,即要求境外处理者在我国境内设立专门机构或指定代表,来处理个人信息保护相关事务(第53条)。对于本法的空间适用范围的理解存在两方面的挑战。第一是关于“境内”的理解,特别是需要明确“处理行为”发生在境内的具体含义,需要看到其既可能指向物理空间的行为,也可能指向虚拟空间的行为,二者所遵循的逻辑与适用的判断标准并不相同。第二是关于“法律、行政法规规定的其他情形”的理解,这一兜底性条款在适用时,应当采用与本法立法目的相一致的逻辑,以保护我国公民或境内非公民自然人的个人信息合法权益。

再次,关于《个人信息保护法》的适用对象,本法针对的是个人信息处理者的信息处理行为,对此需要特别注意两点。第一,“处理行为”涵盖的范围较广,一个行为只要作用于个人信息即可能落入本法规定的范围之中,而是否造成个人信息的变动或产生后续影响则在所不论。换言之,即便是单纯的个人信息存储行为,亦可能构成对个人信息的不当干预,进而引发相应的法律责任。需要注意的是,本法着重关注了个人信息收集、使用、加工、传输、买卖、提供或公开行为的合法性(第10条)。这一规定主要沿用了《民法典》第111条的表述,但需要看到的是,《个人信息保护法》所涉及的信息处理行为并不限于上述几种,特别是在最终正式公布的文本中特别增加了“删除”这一行为(第4条第2款),反映出的是立法者对于个人信息处理全方位、全流程、全环节的保护思路。从这个角度讲,不应当认为第10条限缩了本法规制的行为范围。第二,本法并不区分信息控制者与信息处理者,而是统一采用了信息处理者的概念,这是本法与欧盟《一般数据保护条例》等域外规则的重要区别,其反映出的是对于行为本身而非行为目的的关注,即只要出现了信息处理行为,不论该行为基于何种目的、是否为自己之利益而实施,均承担本法规定的各项个人信息保护义务。同时,本法进一步加强了委托个人信息处理的规制(第21条)。从这个角度来看,受托处理个人信息的主体将受到两方面的规制:其一是仍然构成信息处理者,因此承担本法规定的各项个人信息保护义务;其二是作为受托者,其同时受到委托合同的限制,并需要接受作为委托方的数据处理者的监督。

最后,关于个人信息保护的原则,本法强调处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的并与处理目的直接相关,采取对个人权益影响最小的方式,限于实现处理目的的最小范围,公开处理规则,保证信息准确,采取安全保护措施等。上述原则自《网络安全法》颁布以来已经基本确立,本法更多的是对于既有原则的重申。上述原则的落实依赖于进一步的细化规则和标准,特别是对于“直接相关”、“最小范围”、保障个人信息安全的“必要措施”等关键概念予以明确,从而加强相关规则的可操作性。近年来,我国相继制定了一系列个人信息保护领域的司法解释、[1]行政法规或规章、[2]国家或行业标准[3]等,为明确个人信息处理行为的基本原则奠定了基础。

(撰稿人:裴炜)

上一章目录下一章