第2章 《<个人信息保护法>立法与实践》:《个人信息保护法》基本法定位与保护功能——基于新法体系形成及其展开的分析[1]
一、导言:《个人信息保护法》作为数字化时代重要的现实立法
《个人信息保护法》2021年8月20日出台,顺应了我国数字化发展背景下关系每个人最直接、最现实利益的立法需要。个人信息保护是网络信息化时代开始凸显的一种新型的、基础性的重要个人利益。2020年10月13日提请首次审议时,《关于〈中华人民共和国个人信息保护法(草案)〉的说明》(以下简称《个保法草案说明》)就指出:“在信息化时代,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一……制定一部个人信息保护方面的专门法律,将广大人民群众的个人信息权益实现好、维护好、发展好,具有重要意义。”[2]可见,《个人信息保护法》是我国置身数字化时代不可或缺的一项基础性立法。
《个人信息保护法》在全部网络信息法律体系中占据最基础的位置,体现了网络信息领域法律的主要形成和发展基础。我国在《个人信息保护法》之前就制定了《网络安全法》《电子商务法》和《数据安全法》等,这些法律展示了网络信息空间不同的规范重点,但都没有成为网络信息领域法律的体系基础。《个人信息保护法》的出台填补了这个空白。虽然对网络信息空间的言论自由、网络安全、知识产权、电子商务等利益保护和规制也应是网络空间规范重点。[3]但从人本主义角度,由于个人信息保护的需要最为基础,所以仍以《个人信息保护法》为最重要、最必要。[4]
认识《个人信息保护法》的基础意义,必须紧贴数字化时代背景,把握其蕴含的最基本需求和根本矛盾。随着网络信息科技取得颠覆性发展,互联网从简单信息化阶段发展到复杂数字化阶段,世界进入了大数据时代。[5]早期互联网更多追求信息交互意义上的互联互通,当下互联网则追求基于移动手机、大数据、云计算、人工智能、物联网等新技术带来的数字资源化实践,演化出数字经济、数字社会和数字管理的繁荣前景。一方面,数据变得极其重要,数据资源晋升为新的战略资源,大数据战略上升为国家战略[6],我国当然也不例外。[7]另一方面,大数据战略驱动下的网络和数字创新和应用,也导致层出不穷的问题,其中显著问题之一就是数字化发展和个人信息保护日益陷入复杂的矛盾关系。数字化发展使得个人信息得以大量显现和形成,并因具有极高数据化价值而备受产业和管理青睐,但同时也伴生出对个人的大量的负面效应,特别是其中未经同意的处理和愈演愈烈的滥用导致个人受到相应的损害或风险。著名隐私和个人信息法专家丹尼尔·索罗夫(Daniel J.Solove)和保罗·斯瓦茨(Paul M.Schwartz)指出,“我们生活在一个由技术形塑和信息推动的世界,技术设备——如移动电话、视频和音频记录设备、计算机和互联网——已经彻底改变了我们捕捉世界信息和相互沟通的能力。信息是当今社会的生命线。我们的日常活动越来越多地涉及信息的传递和记录。政府于个人出生、婚姻、离婚、财产、法院诉讼、机动车辆、投票活动、犯罪违规、专业许可和其他活动有关的记录中收集了大量的个人信息。私营部门实体还积累了庞大的个人信息数据库,用于营销或准备信用记录……这些新技术,加上企业和政府越来越多地使用个人信息,对保护隐私提出了新的挑战。”[8]换言之,个人信息本身成为对个人来说越来越具有重大利益相关或者说重要影响的属性,进而导致全新的个人信息相关保护的根本需要。
在此背景下,重视个人信息保护问题,将个人信息保护立法确立为一种新型领域立法,并且系统性地加以制定,逐渐成为数字化时代法律新发展趋势。据不完全统计,从20世纪70年代开始至今,有关国际组织和欧盟等先后出台了个人信息保护领域的准则、指导原则和法规,全世界有140多个国家或地区出台了关于个人信息保护的法律。[9]其中,欧盟、日本的相关个人信息保护立法最受关注,影响较大。欧盟[10]和日本[11]制定了关于个人信息保护的综合基本立法。而我国更加追求一种水到渠成的效果。[12]一种颇具代表性的观点认为,尽管加强个人信息保护已经成为社会共识,但个人信息保护极具争议,其基本理论问题难以定论,因此应当保持立法上的谨慎。[13]此前,我国也存在对数字经济应当采取谨慎立法的呼声,希望以包容创新、渐进规范的做法,给予网络和数字创新必要窗口期。这种呼声反映到个人信息保护上,就是希望不要过于严格,而应当在充分甚至优先支持网络数字化快速繁荣的条件下处理个人信息保护的要求。[14]
此次《个人信息保护法》面世,意味着我国对于数字化背景下个人信息保护的要求、范围、方式等作出了重要的系统的立法决断。当然,此前针对现实突出的必须要解决的个人信息保护要求,不断通过适时修改或者制定相关法律,加以阶段性跟进,包括在刑民等基本法上,都作出了明显的努力。[15]但是新出台的《个人信息保护法》具有划时代的意义,其与此前阶段性的努力存在重要差异。即不再体现为只突出支持数字化创新发展,而是明确以“促进数字经济健康发展”为目标,要求“应当统筹个人信息保护与利用,通过立法建立权责明确、保护有效、利用规范的制度规则,在保障个人信息权益的基础上,促进信息数据依法合理有效利用”[16],因此作出了促进数字化创新发展和个人信息保护并重的重要跨越。那么,应当如何解读这部立法作出的重要跨越,或者说如何准确认识它的基本体系和主要制度呢?与过去比较,有哪些重要发展和变化?与其他国家比较又存在哪些重要的相同和不同呢?笔者拟从其定位、功能预设等角度对该法加以审视,旨在彰显其主要体系的基础所在,并借此体会法律体系及其功能正在发生急剧演化的震撼现实。
二、《个人信息保护法》的基本法定位及与《民法典》规定的关系
(一)作为与其他基本法具有并存地位的新型领域基本法
《个人信息保护法》在第1条开宗明义地宣示和规定了其基本宗旨和制定根据,“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法”。这一宣示明确了自身作为个人信息新型领域的专门法暨基本法的定位。
首先,该法通过基本宗旨的宣示,明确了自身是个人信息领域的专门法,即属于“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用”的法律。个人信息领域是否具有制定专门立法必要,过去对此存在争议。[17]网络立法早期,美国曾经出现所谓“马法之争”,以知名学者因斯布鲁克(Frank H.Easterbrook)为代表的一种观点认为,对网络领域像劳动法等那样进行专门立法毫无必要,无论调整对象还是调整手段都不具备成立独立法律部门的条件,而所谓网络法不过是将相关部门法的某些部分合起来的一种说法罢了。[18]这种观点遭到新兴领域学者反对,后者更有说服力地论证了网络法存在独立的必要和趋势。其认为,网络空间是正在快速成长起来的一个特殊法律调整空间,涌现出传统领域所不具有的法律规制问题,传统法律并不能调整,因此应该将网络法创设为一个新的有机的整体,所以网络法不可能是从宪法、民事诉讼法、合同法以及行政法等中剥离出来相关部分的简单混合。[19]随着互联网大数据背景下信息化、数字化的不断席卷,网络背景下个人信息保护等问题作为需要规制的新型问题越来越显示出足够迫切而重大的独立立法需求,这种争议声逐渐消失了。现在,各国已不再犹豫或吝惜去出台包括个人信息保护法在内的网络信息立法,需要考虑的已变成应该如何确保相关专门立法具有适时性和合理性等新问题。欧盟在2000年《基本权利宪章》专门设定第8条,赋予个人数据保护独立基本权利的品格,甚至为个人信息保护确立宪法上的直接依据[20],并在此基础上制定专门的2016年《一般数据保护条例》。我国2020年出台《民法典》,以追求合乎“时代性”为要求,在第四编人格权第六章创设个人信息保护,确立了有关个人信息保护的基本私法制度,但很快就发现依靠部门法调整存在不足,无论从调整对象还是从调整方法上都有必要对个人信息保护制定一部专门的更加系统的法律,为此又出台了《个人信息保护法》。可见,《个人信息保护法》是对自身作为一种新型领域的独立法律的积极回应。
其次,该条明确标示“根据宪法,制定本法”,是我国现行网络法律中唯一一部直接标示“根据宪法”制定的法律。此处“根据宪法”的表述,不仅是程序上也是实质意义上的,全国人民代表大会宪法和法律委员会为此在其最终审议结果报告中作出了说明,指出《个人信息保护法》直接依据宪法确立保障公民的人格尊严和其他权益的要求,即国家尊重和保障人权、公民的人格尊严不受侵犯、公民的通信自由和通信秘密受法律保护三项规定。[21]这表明,该法不仅是个人信息保护领域的基本法,也是整个网络信息法律体系的基本法,同时也成为与刑民基本法并存的基本法。立法过程中,存在与现行刑法、民法关系的讨论。有观点建议将之设计为《民法典》的单行法,作为《民法典》中有关个人信息保护基本私法制度的具体化法。[22]但相反观点认为,个人信息保护法是崭新的法律部门,作为正在兴起的网络信息法的核心组成部分,不能将《个人信息保护法》简单处理为《民法典》的下位法,个人信息保护与其可以作为人格权保护是两个不同的问题,否则等于“将传统的人格权理论和制度套用到个人信息保护领域,必然出现各种不适配问题”,“只有科学认识这两部法律的关系,才能使个人信息保护法针对信息时代个人信息保护所面临的现实问题,设计相应有针对性的制度,而不是被传统民事法律制度所束缚”。[23]《个人信息保护法》放弃了作为《民法典》下位单行法的定位,而是通过直接标示“根据宪法,制定本法”,将自身设定为具有与刑法、民法基本法同等地位的个人信息保护领域的基本法,同时也是全部网络信息法律体系的基本法。由此,《个人信息保护法》和刑民基本法成立一种并存交叉关系,而非隶属关系,其相互关系,不是通过一般法和特殊法的关系模式来确定,而是通过相互的转介条款来进行指引或衔接。
在这种意义上,《个人信息保护法》对现行法律体系无疑具有一种不可忽视的体系建构作用,形成了重要的体系发展。首先,意味着在数字化时代,既有的法律体系发展出一个新的独立部分,即个人信息保护法以及以之为基础的网络法律。在该新的独立法域,个人信息保护法居于最基础的地位,比《网络安全法》《电子商务法》《数据安全法》等其他网络法律具有更高地位,不仅是个人信息保护领域的基本法,也是整个网络信息法或者网络空间法的基本法。作为领域基本法,它与其他网络法律的关系,既有一般法与特殊法的关系,也有新法与旧法的关系,还存在上位法与下位法的关系。其次,意味着在数字化时代,个人信息保护法作为领域基本法,具有独立的基本地位,应该具有与民法、刑法基本法平等的法律地位,而不能被看成部门基本法的下位法。它虽然与刑法、民法基本法难免发生交叉规范关系,但是其作为独立的核心内容,即体现在《个人信息保护法》中的主要制度,却是源于自身领域的特殊规范需求,并且体现自身特殊的调整特点,有自己的独立范畴和逻辑诉求。
(二)作为新型领域基本法与《民法典》相关规定的体系关系
《个人信息保护法》对于《民法典》这样一部在我国当前法律体系中唯一被冠以“法典”之名的民事基本法,必须予以充分尊重。这不仅是法律之间必须遵循的基本协调所要求的,也是由《民法典》被明确赋予具有“固根本、稳预期、利长远的基础性法律”[24]的地位所决定的。事实上,《个人信息保护法》在起草过程中,能够与《民法典》进行协调的都自觉进行了协调。[25]但是又应该注意,《个人信息保护法》既然被设计为是“根据宪法”而制定的具有基本法地位的法律,那么就应该维护其具有的独立并存地位,在充分尊重民法典而进行协调的同时,必须明确这种充分尊重是有限度的,不得违背并存关系的基本要求。
首先,两部法律作为并存基本法,适用时在相同主题事项上应该保持体系融贯,彼此呼应。这种融贯基础不是依据一般法与特殊单行法的关系,而是从并存基础上对两部基本法所提出平等协调、相互补充的立法和适用关系。《民法典》对于个人信息保护作出了基本规定,可以将之定性为关于个人信息的基本民事制度,主要体现为第一编总则第五章“民事权利”的第111条、第127条和第四编人格权编第六章“隐私权和个人信息保护”的有关规定。《民法典》是从人格权益角度确立个人信息保护制度的,但在“个人信息保护”名义下,第六章第1034~1039条实际规范在内容上却包括关于个人信息的权利、个人信息处理者的义务以及相关处理行为规范、免责事由和国家机关等具有公共职能主体的特殊义务。从其体系整合角度而言,第六章相关基础规范没有特殊的,都要回溯人格权一般规定、民事权利一般规定加以补全,相关民事责任保护方式没有特殊规范的,则要衔接侵权责任编相关规定、民事责任一般规定。
其一,应注意《民法典》对于个人信息保护提出了将个人信息保护和数据保护并置的原则思路(第111条和第127条)。[26]这些在《个人信息保护法》并没有排除,在适用中应该成为个人信息保护的更高体系架构。第111条第一句话宣示个人信息受法律保护,第二句话对需要获得他人个人信息的任何组织或个人,就其活动设定了行为规范,可以从中解释出规定了个人信息获取者的三项行为义务,包括一项“应为”的作为义务(应当依法取得并确保信息安全)和两项“禁止”的不作为义务(不得非法收集、使用、加工、传输他人的个人信息;不得非法买卖、提供或者公开他人个人信息)。第127条与第111条并存,明确了数据与个人信息具有保护上的并置关系,规定“法律对数据、网络虚拟财产的保护有规定的,依照其规定”。在此,应关注立法部门在未来制定数据保护法的可能。
其二,应注意《民法典》区分规定了隐私权和个人信息保护,第四编第六章明确将隐私权和个人信息保护区分开来。这种作法形式上与欧盟相似。《民法典》第1032条确立隐私权及隐私范畴。第1034条则确立个人信息保护及个人信息范畴。作为隐私权保护对象的隐私,指向的是私人生活安宁和相关私密领域,显然不仅是信息私密,既有物理意义的身体隐私,也有社会意义的空间隐私,还有信息意义的隐私,而作为个人信息保护对象的个人信息,则被界定为可识别个人的各种信息。可以看到,两者的区分是明显的,但也有交叉,即在信息隐私领域,个人信息概念涵盖了信息隐私,也就是说个人不愿为他人知晓的私密信息虽然应当划入隐私权保护,但同时也落在个人信息保护的对象范畴。《民法典》为此在第1034条第3款明确相互的法律适用关系是,将隐私权规定视为特殊规定,个人信息保护规定视为一般规定,特殊规定没有规定的,可以适用个人信息保护规定。上述区分隐私权和个人信息保护以及处理二者相互交叉领域关系的规则当然也应该为《个人信息保护法》所尊重。
其三,《个人信息保护法》和《民法典》之间还有意通过相关设计不完全规定或引介规定,打通体系,对接相互的规定。《个人信息保护法》第69条规定,“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任”。该条除了提出过错推定归责的特殊要求之外,也从指向侵权责任的角度,与《民法典》有关侵权责任的规定联系起来。[27]《民法典》也有类似的规定,如第1037条第2款规定:“自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。”其中,“法律”当然也包括《个人信息保护法》。
其次,这两部法律作为并存基本法,在个人信息保护制度设计上也存在明显的差异,对此应当从维护个人信息保护法作为具有独立并存地位的领域基本法角度处理这些差异规定的适用关系。对差异规定应区分情况,适用功能评价原则。鉴于《个人信息保护法》属于领域新法,与《民法典》相比,其发生修补的,应适用修补优先,如果不属于修补的差异,则适用互补。两部法律的差异,很大部分是由功能差异形成的,后面相关部分将具体展开研究。《个人信息保护法》的功能差异使其不仅在调整方法上具有综合立法的特点,而且具体调整规则设计存在较为明显的功能差异面向。从调整方法来看,相比作为部门法的民法,需要融合多种不同性质的调整方法,其相关保护制度不只是民事的,而是多种保护面向的,还包括行政的、刑事的甚至诉讼程序方面的保护制度,也包括涉外的保护规则。从功能差异来看,《个人信息保护法》的相关保护制度显然不可能是相关部门法规则的简单具体化和特殊化,而是基于自身复杂的特殊调整功能要求的新体系规则建构。比如,《个人信息保护法》规定个人信息处理者的义务,除了私法义务还增加了管理义务;规定履行个人信息保护职责的部门的规定(涉及部门分工、职责、管理、执法等管理规定),实际为增设了体现管理保护功能的增强制度。这些都是旨在加强个人信息保护的新机制,是《民法典》所没有的。对此,当然应当从功能评价的角度加以适用,不能因为《民法典》没有规定就作出否定。
当然,有些差异可能与功能预设无关,而纯属于两部法律之间的体系矛盾。这种情况,原则上应该坚持先用并存协调的原则加以调和,如果确实存在难以调和的矛盾,则宜采取新法优于旧法的原则(而非特别法优于一般法的规则,也不是上位法优于下位法的规则)来作体系平衡。在此,《个人信息保护法》即为新法。
三、《个人信息保护法》对《民法典》个人信息保护私法制度的重要修补
《个人信息保护法》坚持自己作为具有并存地位的领域基本法的定位,从现实合理需要出发,不仅从自身作为领域法的全功能体系出发建立了系统化的个人信息保护制度,而且对于其中相关私法制度,也从实际合理的需求出发,作出更加完善规定。只要经过科学民主的论证和讨论,发现《民法典》规定存在不足应当修补的,就果断予以修补。具体而言,《个人信息保护法》无论在关于个人信息的概念上,还是在相关权利和义务等规定上都对《民法典》的相关规定做出了重要的修补,而不只是简单细化和补充。这些修补不能视为对《民法典》的违反或抵触,而应该是有效的、合理的修改、完善。
(一)关于个人信息等概念的修补
《民法典》通过第1034条第2款,将个人信息界定为,“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等”。《个人信息保护法》第4条第1款也对“个人信息”予以界定,“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。比较起来,后者不仅表述更加简洁,而且也有范围上的明显变化,明确排除了“匿名化处理后的信息”,也就是说匿名化处理后的信息不再纳入个人信息的范畴,自然也就不适用个人信息保护。可见,《个人信息保护法》关于个人信息的概念界定,对《民法典》定义做出了不可忽略的修补。此项修补由于仅采取抽象而没有采取列举加概括的定义方式,显得更加模糊;但是明确排除匿名化处理后的信息,对于执行匿名化的个人信息处理者来说,是极大的利好,鼓励了它们积极开发和应用符合要求的匿名化处理技术。[28]《个人信息保护法》第4条第2款还重新界定了个人信息的处理范围,包括“个人信息的收集、存储、使用、加工、传输、提供、公开、删除等”,对比《民法典》第1035条第2款的界定,即“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等”,明显增加了对删除的列举,这就使得“删除”明确进入应当受到规范的个人信息处理活动的范围。
(二)关于自然人对个人信息的权利的修补和增加
《民法典》第1037条规定了自然人对其个人信息的相关权利,其中第1款规定了查阅或者复制的权利、针对错误提出异议并请求及时更正的权利;第2款规定了存在违法或违反约定的处理情形下的请求删除的权利。对比起来,《个人信息保护法》规定的个人信息权利的范围,出现了明显的扩展。一方面,通过第45条(查阅权、复制权)、第46条第1款和第2款(从更正权发展为更正补充权)和第47条(删除权),继续确认《民法典》已经明确的上述有关个人信息的权利,但作出了进一步完善;另一方面,还通过第44条增加规定了知情权、决定权、限制和拒绝他人处理权,通过第45条第3款增加了可携带权,通过第48条增加请求解释权。第二次草案稿开始,还规定了对死者个人信息的保护,第三次草案稿完善为自然人个人信息死后由其近亲属在一定范围获得保护,并尊重死者生前的安排。[29]值得说明的是可携带权,实际到了最终审议阶段才对该项权利的增设作出决断。[30]立法过程存在较大犹豫,主要原因是学界和产业界对是否引入可携带权存在疑虑,反对观点认为如果引入会给我国个人信息处理者带来巨大负担,不利于产业发展。[31]立法者最终决定引入数据可携带权,对于维护数据条件下的公平竞争具有积极意义。数据企业特别是头部企业任意进行数据封锁,阻断数据流通,甚至进行数据垄断,从反不正当竞争和垄断的角度看,业已成为一种现实危害[32],而可携带权有利于破除这种封锁,所以规定其极有必要。[33]
关于个人信息保护权利的性质及其基础,一直存在疑虑。从比较法上看,有从人格尊严与自由角度来说的,这种观点支持了所谓个人信息自决权的理论。[34]但也有兼从社会功能角度来说的,认为关于个人信息的权利不是绝对的,而应该结合社会功能来理解。[35]这种观点支持个人信息相关权利的分叉和具体功能化。[36]目前后一种观点逐渐占据优势,倾向于兼顾人格价值和社会功能,从维护个人在数字化时代的人格必要尊严和自由以及维护公平实践[37]等不同角度,结合起来设定和理解关于个人信息的权利。2018年《加利福尼亚州消费者隐私保护法》和2021年的《弗吉尼亚州消费者数据保护法》,甚至把重心转移到了公平实践之上。在这种情况下,个人就个人信息处理应受保护的权益,就体现为在合理范围内不受干涉和应受公平利用对待的各种利益,既有对于相关处理活动的必要知情权、同意或自主决定权等与尊严自由相关的一般人格利益,也有应受公平和平等对待等特殊人格利益,甚至还因个人信息的经济功能产生了财产化、可公开化的合理要求。[38]
(三)关于个人信息处理者的义务的修补和增加
《民法典》在第1038条设定了个人信息处理者的一般私法义务,第1款规定个人信息处理者两项不作为义务,即禁止泄露或篡改的义务和禁止未经同意向他人非法提供的义务;第2款规定两项作为义务,即应当采取必要措施确保个人信息安全的义务,以及应当在发生或者可能发生个人信息损害时采取及时补救措施并按规定告知和报告的义务。相比《民法典》这一规定,《个人信息保护法》关于个人信息处理的义务,显然作出了巨大的完善,具有相当范围的增量,既有私法义务规范,更有《民法典》所未有的管理义务规范,形成了一个更加复杂的与处理场景和安全风险密切结合的多组不同性质义务配合的体系,体现出义务人自主管理和非自主管理的双重性。第51条涉及的是私法义务规范,对比《民法典》第1038条规定,进行了一定的扩充,而不仅是具体化、明确化。规定个人信息处理者应当根据个人信息处理的具体情况,采取确定的六项措施来确保个人信息处理活动合法合规,并防止未经授权的访问和个人信息泄露、篡改、丢失。第52~58条,则都是关于管理义务的规定,是《民法典》所没有的,体现了《个人信息保护法》超出一般私法治理的综合治理的义务配置特点,第52条规定,规模化的个人信息处理者具有设置个人信息保护负责人并进行报送备案的义务,显然这是一项以强化自主管理为特点的管理义务,不仅有利于保护个人信息权益,也兼具公共治理属性,避免规模数据的安全风险。第53条对符合本法适用的境外个人信息处理者,设定应在中国设立个人信息保护专门机构或指定代表并报送备案的义务。第54条规定,个人信息处理者对其个人信息处理活动具有定期合规审计义务。第55条和第56条规定,个人信息处理者对处理敏感个人信息、利用自动化决策、委托他人处理、向他人提供或公开、向境外提供以及其他对个人权益有重大影响的个人信息处理活动,具有事先作影响评估和记录处理情况的义务。第57条规定,个人信息处理者在个人信息发生泄露或可能泄露时,具有补救和通知义务。第58条规定,重要互联网平台作为个人信息处理者,具有特殊的引入外部监管、正确制定平台规则、有效管控平台内违法违规产品和服务、定期发布社会责任报告和接受社会监督的更加严格的加强内部管理和防范风险的义务。其中,对于重要互联网平台作为个人信息处理者的严格管理和防范义务,是第二次草案稿开始增加的,《个人信息保护法》增加了应正确制定平台规则以更好明确平台产品和服务处理个人信息活动规范的管理义务。这是对于现实中各大互联网平台应当承担更大责任加强保护个人信息的社会呼声的回应,也顺应了国际平台治理规范的新发展趋势。[39]第59条规定,对接受委托处理个人信息的受托人,具有保障个人信息安全等协助义务。上述义务都是对于非基于公共职能的个人信息处理者设定的。政府机关等承担公共职能的机构及其工作人员则存在特殊性,《民法典》第1039条规定,其作为个人信息处理者应承担对隐私和个人信息的保密义务,以及禁止泄露或非法向他人提供的义务。
(四)关于个人信息处理者对于个人信息处理规则的修补
《民法典》对于个人信息保护的设计,突出了“权利—义务—行为规范”的三层基本私法保护体系设计,也就是说在规定权利、义务的同时,还设定了个人信息处理者从事处理活动的行为规范。这种设计的复杂性已经不同于传统人格权或者其他绝对权的一般规定模式,构成了一种明显的反差。包括第1035条、第1036条两个行为规范条款。第1035条属于积极规范,规定了处理行为的原则和条件等要求。其中,原则为“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理”;条件有四:应征得该自然人或者其监护人同意,除非法律法规有例外规定;公开处理信息的规则;明示处理信息的目的、方式和范围;不违反法律、行政法规的规定和双方的约定。第1036条属于消极规范,规定了行为免责事项,在三种情况下可以不承担民事责任。即在自然人或者其监护人同意范围内合理实施的行为;合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;为维护公共利益或者该自然人合法权益,合理实施的其他行为。
《个人信息保护法》对于《民法典》上述个人信息处理行为规则,基于自身更加系统的设计优势,作出了细化发展,也作出了明显的修补。《个人信息保护法》注意原则与规则的区分,第一章总则规定了有关个人信息处理的原则。即通过第5~10条,宣示了关于个人信息处理的六项原则。第5条为遵循合法、正当、必要、诚信的原则,第6条为遵循目的限制和影响最小化原则(符合明确、合理的目的,并与之直接相关以及采取对个人权益影响最小的方式),第7条为遵循公开、透明原则(公开处理规则以及明示处理的目的、方式和范围),第8条为保障个人信息质量的原则(“处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响”)[40],第9条为处理者应对活动负责和采取必要措施保障安全的原则,第10条为禁止从事违法和危害国家安全、公共利益的个人信息处理活动的原则。这些原则,应该通过“原则+规则”的解释架构,一并融入第二章个人信息处理规则加以适用。第二章“个人信息处理规则”,不仅区分《民法典》所没有注意区分的一般信息和敏感信息,对处理个人信息的活动建立了双层行为标准,而且还从特殊主体角度关注了《民法典》上虽然作出了义务配置但在行为规范却有失考虑的国家机关,增补规定其处理个人信息时的相应行为规范要求。相关行为规则,具体可以做以下展开理解。
首先,关于个人信息处理者对一般个人信息的处理行为规范。第二章第一节“一般规定”作出全面规定。第13条设定了可以处理他人个人信息的七种情形,否则不得处理他人的个人信息。这七种情形,实际蕴含了处理个人信息需以同意为条件的原则,但是比《民法典》的规定更加具体,除了第1项为取得他人同意,其他六项反向列举了不需要同意的具体情形,包括:为订立、履行个人作为一方当事人的合同或人力资源管理所必需[41],为履行法定职责所必需,为应对突发公共卫生事件或者紧急情况下为保护自然人的生命健康和财产安全所必需,合理范围处理个人自行公开或已经合法公开的信息,为公共利益实施新闻报道、舆论监督等在合理范围内处理个人信息[42],以及法律、行政法规规定的其他情形。
第14~17条,是对于同意的具体要件、撤回、效力、知情告知要求与豁免等的规定,这些在《民法典》上鲜有涉及,因此是重要的细化和完善。第14条规定了基于个人同意的情形(第13条第1项)取得同意的要件。明确为,须以充分知情和明确作出为基本要求;必要时,法律行政法规可以规定单独同意或书面同意;此外,个人信息处理发生重要变更,还应重新取得同意。第15条规定同意的撤回条件、方式和效力。第16条规定个人信息处理者不得以个人不同意或撤回同意为由,拒绝提供产品或服务,除非信息属于必需。这一条具有很强的现实性,很多所谓免费网络产品和服务的提供者为了收集他人个人信息,采取强制个人同意的办法,否则就不提供产品或服务。有了这一条,就明确了这种行为的违法性。第17条规定同意要件中的达到充分知情的具体要求,即为个人信息处理者必须以显著方式、清晰易懂的语言真实、准确、完整地向个人告知本条列举的必要事项。《个人信息保护法》相比第二次草案稿,添加了“真实、准确、完整”几个字,更加明确保护个人的严格立场,防止不充分知情的滥用。第18条规定告知(充分知情)的豁免,包括两种情形,即法律行政法规规定不需要告知的情况和出现紧急时的情况(但消除后仍然要及时告知)。第19条规定了个人信息保存期限。从有利于个人出发,应为实现处理目的所必要的最短时间。
第20~23条是关于共同处理、委托处理、因主体变更需要转移、向第三方提供处理的特殊行为规则。第20条规定多人共同处理时的行为规则和加重责任。即内部可以约定如何处理,但对外不改变个人信息的权利,出现损害应承担连带责任。第21条规定委托处理时的行为规则和相应责任。总体上,委托人仍然是个人信息处理者,承担行为责任,受托人作为协助者承担相应行为责任。具体而言,委托人依据合同授权处理,并承担监督;受托人依据合同处理;合同不生效、无效、被撤销或者终止,则应当将个人信息返还个人信息处理者,或者予以删除,不得保留;未经个人信息处理者授权,不得再转托。第22条规定因合并、分立、解散、被宣告破产等需要转移个人信息的行为规则。原则上允许转移,但应当告知个人,并由接收者继续履行义务。接收方变更原先的处理重要事项的,则需要取得重新同意。这一规定适应了营业转让的合理需要,避免了发生滥用加害个人信息的情况。第23条规定向第三方提供处理的个人信息的一般规则,即采取告知加取得单独同意的严格要求。
第24条规定了个人信息处理者利用自动化决策时的特殊行为规则,对于处理者规定了应当正当公平使用的严格义务,并赋予个人相应受保护的法律地位。这一条在立法中备受关注,对立法规范基础究竟为何存在疑惑,最终立法者将之落到了个人应受公平实践对待的要求上。第一,要求保证决策透明和结果公平公正,《个人信息保护法》明确作出禁止价格歧视的要求[43];第二,通过自动化决策向个人进行信息推送、商业营销,要求应当同时提供不针对其个人特征的选项,或者提供拒绝的方式;第三,个人信息处理者自动化决策涉及对个人权益影响的决定时,个人有权要求解释并有权拒绝仅通过自动化决策作出决定。对比《一般数据保护条例》的相关规则,后者是放在“数据画像”语境意义上来看待对个人数据进行自动化处理(见第4条关于“数据画像”的定义[44])的一种行为要求,放在第三章“数据主体权利”第四节“反对权和自动化决策”之下,与个人信息主体的反对权联系在一起,体现反对权的运用。在此语境下,第22条对“自动化决策,包括数据画像”予以具体化规定,明确数据主体原则上不受不利于自己的自动化决策限制、数据控制者可运用时应当保护数据主体的权利、自由和合法利益等规则。这里,欧盟规则通过反对权综合了权利、自由和合法利益来评价基于个人信息自动化决策行为规则的适用基础。其中,所谓合法利益,自然也应该包括应受公平对待的利益。[45]
第25条规定个人信息处理者禁止公开的行为规则,除非取得个人单独同意,否则不得公开个人信息。第26条对现实中最受关注的在公共场所安装图像采集、个人身份识别设备的个人信息处理行为建立了基本准则,采取了限制立场。第一,应当为维护公共安全所必需;第二,遵守国家有关规定,并设置显著的提示标志;第三,收集的信息只能用于维护公共安全目的,不得他用,此项仅可以通过个人单独同意改变。第27条规定对已经公开的个人信息处理的行为规则。原则上,允许在合理范围处理自愿公开和合法公开的个人信息;但有两个例外,个人明确拒绝的除外,此外处理对个人权益有重大影响的也应当取得个人同意。
其次,关于个人信息处理者对敏感个人信息的处理行为规范。第二章第二节“敏感个人信息的处理规则”专门就敏感个人信息的处理作出更严格的行为规范。个人信息处理者处理敏感个人信息,先要遵循本节规范,本节没有规定的回归一般规定和相关原则。第28条第1款界定了何谓敏感个人信息,即“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息”。该条采取列举加抽象的规定模式。抽象上的界定,是指一旦泄露或非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。这里强调的是“容易”两个字。列举上的界定,《个人信息保护法》和两次草案审议稿不完全一致,最终综合讨论意见,列举的有生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。《个人信息保护法》还特别加上了“不满十四周岁未成年人的个人信息”,将之归入敏感个人信息,旨在回应关于强化保护未成年人个人信息的社会呼声。[46]第28条第2款规定了敏感个人信息处理的两个特殊前提:一是具有特定的目的和充分的必要性;二是《个人信息保护法》新增加的一项要求,即采取严格保护措施。否则,不得处理敏感个人信息。第29条规定敏感个人信息处理须遵循严格同意条件,而不是一般个人信息的同意条件。这种严格同意体现为“应当取得个人的单独同意”,如果法律、行政法规规定应当取得书面同意的,还要取得书面同意。第30条规定处理敏感个人信息,除了存在法律法规等规定保密等不需要告知的情形,原则上还应履行告知的要求。告知内容,包括处理必要性和对个人权益的影响等。第31条规定处理不满十四周岁未成年人的个人信息的特殊规则。即应当取得未成年人的父母或其他监护人的同意;该条第2款还要求个人信息处理者应当制定专门处理规则。第32条规定法律行政法规对敏感个人信息处理有特殊限制的,还应取得相关许可或遵循限制规定。
最后,关于国家机关处理个人信息处理者的处理行为规范。即第二章第三节“国家机关处理个人信息的特别规定”。《民法典》第1039条规定了国家机关等作为个人信息处理者承担的义务,但未具体规定行为规范。《个人信息保护法》对此作出了完善。第34条规定了国家机关处理活动受法定职责限制的要求。这一规定是《民法典》所没有的,从而为国家机关能否从事处理活动以及在什么范围从事活动限定了前提、范围和程序。国家机关为履行法定职责处理个人信息,必须有所依据,应当依照法律、行政法规规定的权限、程序进行,并不得超出履行法定职责所必需的范围和限度。第35条规定国家机关还应当履行告知义务的要求。但此项要求可因法律行政法规具有保密规定而排除,或者因告知会导致履职妨碍而排除。第36条规定国家机关对其掌握的个人信息应为境内存储的要求,如确需向境外提供,则应做安全评估。第37条规定本节国家机关的特殊规定也适用于法律法规授权的具有管理公共事务职能的组织为履职处理个人信息的活动。
四、《个人信息保护法》的保护功能预设及其综合治理保护体系
(一)《个人信息保护法》保护功能预设及其背景
各国目前对于个人信息的规范体系,一个突出的共同特点就是都是在“保护法”的功能取向下展开其内部体系,无一例外冠以“保护”之名,我国也不例外。《个人信息保护法》明确宣示以个人信息保护为功能预设。该法第1条关于立法宗旨的宣示,即“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用”,明确把“保护”放在首位。也就是说,这部法律的根本定性是保护法,重在保护“个人信息权益”。相比较“保护”,后面的“规范”和“促进”是手段和方法,是以保护为基本功能前提下的规范和促进。《个人信息保护法》在第2条明确宣示自然人对于个人信息具有受法律保护的地位,即“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益”,继续强化了本法作为保护法的设计要求和基本追求。
然而,第2条也显示出作为本法保护对象的是所谓“个人信息权益”,与传统民事权利概念比较起来,表述上具有模糊性。理解上,它是存在于“个人信息受法律保护”语境中的法益,《一般数据保护条例》等甚至称之为个人信息保护权。在《民法总则》的制定和《民法典》的编纂过程中,有观点建议使用“个人信息权”作为相关表述。[47]但无论是《民法总则》《民法典》还是现在的《个人信息保护法》都没有使用个人信息权概念而是采取了“个人信息保护”的框架表述。这是因为,个人对于因个人信息处理活动而涉及的个人相关利益,反映到法律保护上比较复杂,不适合简单表述为“个人信息权”的架构。“个人信息受保护的权利与其他人格权在考量因素上有所不同,个人信息的保护要恰当平衡信息的利益与数据共享利用之间的关系”。[48]欧盟虽然在基本权利的高度看待个人信息保护要求,但是同样也没有确立个人数据权这样的简单概念。首先,在序言第1项宣称,“自然人在个人数据处理过程中获得保护是一项基本权利”,这一表述其实呼应了《欧盟基本权利宪章》第8条第1款和《欧盟运行条约》第16条第1款关于个人信息的保护表述,即“人人均有权就其个人数据获得保护的权利”。其次,在序言第3项还明确指出,个人数据的处理应服务于人类,保护个人数据的权利不是绝对权利,需要结合考虑其社会功能并依据比例原则与其他基本权利保持平衡。也就是说,尽管个人信息保护是必要的,但不能简单定义为个人信息权保护,或者说绝对的个人信息权利保护。个人信息保护存在个人法益确定的微妙性,而且还存在个人利益与其他基本权利以及社会功能的平衡问题。美国虽然将个人信息保护视为隐私权一部分,通过发展“信息隐私”(Information Privacy)概念将其纳入,但也是在原本就多样化的隐私权概念实践基础上进行谨慎而有区别的保护实践,与依据宪法第四修正案和通过普通法实践在更早就获得保护的有形隐私(如身体隐私、空间隐私)、财产隐私和决定因素等形成有所区别,作为一个更加微妙的动态领域而作出必要差异化对待,实际上也可以归入广义“信息法”(Information Law)的一部分,成为一个更加需要“私人与公共”(the Private and the Public)关系平衡的复杂领域。[49]
《个人信息保护法》作为保护法面世,源于个人信息处理时呈现的个人权益具有微妙性和复杂性,又导致了保护的微妙性和复杂性,体现为一种独特的系统保护机制要求,不仅因此区别于部门法的单一机制,也区别于不同部门法机制的简单叠加。《个人信息保护法》作为保护法,立足点也在于维护个人利益,这一点很容易与民法联系起来,因为民法就是以保护个人利益为目的的法律。但是从保护法角度立法,重点不仅在于保护对象的微妙和复杂,也在于需要确立与这种保护要求适应的极其复杂的规范手段和体系。这种复杂规范机制和体系的设计,导致《个人信息保护法》与《民法典》之间存在巨大差异,从而不能成为《民法典》的下位单行法,而具备了领域基本法的独立价值。2020年出台的《民法典》为了体现时代性,彰显对于新型领域个人利益的及时关注,将个人信息保护纳入进来,就个人信息活动涉及的个人利益保护要求设立相关基本私法制度。但是,立法者发现难以使用个人信息权的概念来简单统括个人信息保护在民法上所体现的要求,而是在个人信息处理保护规范语境采用了“自然人关于个人信息的权利+个人信息处理者的义务+处理行为规范”的复杂架构。即使是这样,不难发现,这种纳入民法典的努力因受限于民法的规范体系和机制,并不能充分满足个人信息保护需要。为此,《民法典》出台之后,我国社会各方面仍然“广泛呼吁出台专门的个人信息保护法”,以便“增强法律规范的系统性、针对性和可操作性,在个人信息保护方面形成更加完备的制度、提供更加有力的法律保障”。[50]《个人信息保护法》的制定正是为了回应这种对更加完备、有效的个人信息保护规范体系的要求。
(二)《个人信息保护法》作为保护法的体系展开
早期信息隐私或个人信息保护实践,由于受到传统民法观念或者简单自由主义观念的影响,提倡依靠个人信息主体自我管理模式,希望通过在明确设定私法意义上的权利、义务和行为规范的条件下,引导权利、义务或行为主体自主自觉,进而达成个人信息保护的善治。其关键是鼓励个人信息权利主体积极行权和主张保护。首先,明确设定的相关权利,包括知情权、同意权、查阅权、异议更正权、删除权、可携带权等,为个人提供达成可自主控制自己信息的相关权利。其次,也设定了个人信息处理者相应的私法保护义务和行为规范,希望借此形成一种约束。一方面鼓励义务人和行为人自觉,另一方面通过民事责任和行为否定效果来保障这种自觉。[51]但是事实证明这种模式是失灵的,相关权利义务乃至行为规则经常形同虚设,因为作为自主管理机制的关键主体即个人信息权利主体,除了面临认知困境(隐私政策的信息不对称),也面临着结构问题(规模问题、结合问题、评估损害问题等)[52],往往处于一种无知无力的困局,因此很难符合法律设计的预期。
《个人信息保护法》针对这一失灵加以重点改进,希望提供一个更加充分、更加有效的保护体系。其最终确立起来的保护规范体系,体现了一种以保护目的的新型法律体系的鲜明特点和趋势。即自主管理和外部管理协同、一般责任和特殊责任配合的多元促进和保障的综合保护体系,体现为“自然人关于个人信息的权利+个人信息处理者的义务+处理行为规范+管理保护规范+特殊法律责任”的综合治理保护的一般逻辑结构。一方面,以问题为导向,结合对个人信息保护自主管理实践悖论的认知,对相关基本私法制度及其支持的自主管理体系进行了有效化的极大完善,在私法结构上更加复杂化,且更加突出以建构行为规范为重心。这样,个人信息保护自主管理的“权利—义务—具体行为规范”的逻辑体系就更加完整了。另一方面,以保护为目的,引入个人信息保护的外部管理机制和特殊法律责任机制,有针对性的管理和严厉的特殊责任双管齐下,重点防治这一领域个人信息处理者追求赢者通吃。
(三)完善自主管理体系与作为重点的个人信息处理行为规范机制
《个人信息保护法》注重完善个人信息自主管理体系,首先体现为对于相关权利义务行为规范作出更加合理配置,其次也体现为对于如何能够尽量减少或避免自主管理的失灵作出必要修补。比如,对一些权利义务的条件或行使作出了更加细化的指引,对一些易于滥用或规避的方面明确规定了不得滥用或规避的情形,等等。相比《民法典》,《个人信息保护法》对于个人信息的相关权利、义务和行为规范的规定,所做的修补是体系化、细节化的。
《个人信息保护法》修补和完善的重点之一,就是设置了一套严密的个人信息处理行为规范。这种思路意识到,对于个人信息处理活动,尽管个人信息权利义务设定本身很重要,但就对规范路径的精准施策来说却存在不足。“规范个人信息处理活动”最重要的是对于处理行为的规制,通过此种具体行为规制,可以更好地触及个人信息保护中各种矛盾关系的落脚点。目前各国对于个人信息保护的规范体系,共同的特点是在“个人信息保护”的框架下突出强调对个人信息处理者行为进行规范的重要性,而不是简单依赖相关个人信息的权利义务的设定。我国《个人信息保护法》也不例外。按照第1条解释,《个人信息保护法》保护功能的实现途径,是“规范个人信息处理活动”。显然,重点要落在对处理活动的规范上。当然,这种规范设计有两个额外要求:其一,应该是积极的,即同时“促进个人信息合理利用”,这意味着规范个人信息活动,不能因噎废食,而应同时符合数字化社会的发展需要,保持必要的数据流动、共享,促进数字经济发展。其二,这种规范设计,最终需要服务于保护“个人信息权益”的根本目的。总体上而言,《个人信息保护法》通过“行为原则+行为规则”的规定模式,融贯相关权利义务规定,在“一般个人信息”“敏感个人信息”“国家机关作为个人信息处理者”三项区分基础上,建立了一个极其繁复的处理行为规范体系。
《个人信息保护法》自主保护功能的发挥,重点就落在对这一行为规范体系的具体执行和监督上。这一行为规范体系,既是个人信息处理者的具体行为指引,也是当事人和管理者据以清晰判断处理活动是否合法合规的具体标准。个人信息处理行为的合法合规,首先体现为对具体行为规范的遵循。传统人格权,如生命权、身体权、健康权等,随着医疗、精神病院等社会体系的发展,在保护上已经有些复杂,但是尚无以设计具体行为规范为重点的必要,通过确认基本人格权范畴以及对应的他人不得干涉的绝对义务,通常就可以发挥规范保护的效果。此后当名誉权、姓名权、肖像权、隐私权等逐渐发展起来,情况就变得有些不同,这些权利本身的边界存在模糊性,难以通过简单确认权利和规定他人不得干涉的绝对义务就达成规范保护效果,有必要引入一些行为规范,从而具有更加精确的规范性和指引性,通常体现为一些禁止方面的行为规范,此外也可能规定减免责任的行为情形,其中夹杂着一定范围平衡保护思想。但是,对于行为规范依旧没有达到如此重要的地步。到了个人信息保护出现和发展起来,情况更不一样了,由于个人信息保护体现的相关权利和义务设计具有明显的模糊性和多样分叉的特点,依靠传统的权利义务规定的规范模式显然难以起到精确规范和指引的效果,有必要突出对个人信息处理行为的规范,以此表达法律保护的明确和具体性,从而体现出由权利义务规范向行为规范重心迁移的显著变化。
(四)《个人信息保护法》外部治理保护体系及其积极管理和特殊法律责任机制
《个人信息保护法》反思了在复杂数字化背景下,个人信息保护仅依靠自我管理模式的重要不足,对于个人信息保护不是简单从自主管理中就可以实现。现实中,个人信息处理者具有极其旺盛的逐利需求,同时又往往处于数字权利和信息不对称的绝对优势地位,容易因巨大利益诱惑而背离保护要求。所以,除了对相关自主管理本身进行完善之外,还应从切实保障个人信息保护有效性的角度,建立更加合理、科学和合乎实际的全面治理保护体系。其中,重点为引入外部治理保护体系,通过外部加压,打造个人信息保护的坚固防护网。主要机制包括确立积极管理和特殊法律责任。其中“积极管理”制度主要体现在第六章“履行个人信息保护职责的部门”,特殊法律责任制度则体现在第七章“法律责任”。
首先,引入有强度的积极管理制度。对个人信息保护是否应当以及如何引入外部积极管理这个问题,理论上存在对于家长式规范可行性的疑虑。即使是奉行自由经济的欧盟,也在这方面果断采取赞成的立场,《一般数据保护条例》确立有强度的积极管理,建立专门监管机构,赋予强大的管理权、执法权和问责权,形成了一种通过积极管理而达成个人信息更好保护的治理示范。我国立法过程对于应当引入本身也争议不大,有争议的是强度问题,即应该在自主管理和外部管理之间保持怎样的平衡,如何更好配合,授予谁来管理,赋予多大管理职权以及哪些职权,采取何种措施保障管理职权落在实处,等等。这些方面的决断取决于很多条件和因素,既有数字化特定发展阶段对于治理的规律性要求,也有国情习惯要求。《个人信息保护法》在第六章“履行个人信息保护职责的部门”,立足中国管理体制及其发展的实际特点,吸收欧盟和有关国家专门化监管的经验,在合理化的基础上构建起一套专门化的明显体现外部强力的管理保护制度,呈现出三个方面的内容特点。
一是确立了统筹协调与分工负责的多元管理体系。我国并不建立新的个人信息保护专门管理机构,而是采取对现有管理主体赋权管理方式。第60条规定了管理主体及其地位。其中第1款规定中央层面,国家网信部门负责统筹协调,国务院其他有关部门则依法分工负责;第2款规定地方政府有关部门职责则由国家有关规定确定。
二是确立了以防治为重点的积极管理模式。主要体现为赋予保护部门包括防治职权在内的强管理职责,从有效预防和避免的角度布局管理保护。第61条规定了管理主体的一般职责,适用于所有管理主体,共五项。包括开展宣传教育、指导监督,接受处理投诉举报,调查处理违法活动,法律、行政法规规定的其他职责等,《个人信息保护法》还增加了一项重要职责,“组织对应用程序等个人信息保护情况进行测评,并公布测评结果”。这是为了回应现实中滥用应用程序侵害个人信息的乱象而提出的一项职责。近年来,网信办、工信部、公安部、市场监管总局等在内的有关部门,针对大量个人信息违法违规来自应用程序的情况,多次组织对App侵害用户权益的专项治理行动,特别是对各个平台上设置的各种应用程序进行测试检查,发挥了较好的预防和及时治理的作用,对于保护个人信息起到明显效果。[53]但是苦于管理授权不够清晰,底气不足。[54]这次立法明确了管理部门可以依据此项权力监管App,做了不担心滥权,没有做反而是不作为。第62条规定了专属于国家网信部门的五项职责,为其开展相关工作提供了法律依据。这些工作兼具统筹协调的功能,但同时更是具体职责。包括制定个人信息保护的具体规则、标准,制定针对特殊方面的个人信息保护规则、标准,推进网络身份认证公共服务,推进个人信息保护社会化服务体系建设等。《个人信息保护法》增加了第5项,“完善个人信息保护投诉、举报工作机制”。[55]这项职权为网信部门及时发现保护问题提供了重要的信息途径,属于信息监管的前提机制。当然也要注意投诉举报滥用,尤其要避免基于恶意竞争和报复而滥用的问题。
三是赋予一定范围的调查权和处置权,相当于准司法权或执法权。法律在一些专业性很强、存在重要利益需要保护的领域,为了增强管理或监管的效率和权威,最大限度保证保护的可能和及时性,往往会给管理部门配置必要调查和处置权,使其在特定范围内可以采取一些类似司法机关才可以采取的措施。《个人信息保护法》也不例外。第63条规定,履行个人信息保护职责的部门在履行职责中可采取的措施,一共有四项,包括询问和调查情况,查阅、复制资料,实施现场检查,检查设备物品和查封或扣押等;当事人应当协助不得拒绝阻挠。第64条还规定了约谈和合规审计以及移送犯罪嫌疑人[56]等特殊处置的权力,限于履行职责中发现较大风险或发生安全事件的情形。
其次,确立严厉的特殊法律责任制度。《个人信息保护法》第七章“法律责任”,从保护治理的角度,专门针对个人信息保护规定了前所未有的严格的特殊法律责任,为违反本法相关义务、行为规范和管理规范等的特殊责任。其中有三个值得注意的地方,一是出现许多新的行政处罚形式;二是罚款数额前所未有的高,这也是国际趋势;三是对违法信息处理中的有关负责人员也施加责任。
第66条最为重要,规定了违反本法的特殊行政责任。即只要违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要安全措施的,就可能产生特殊行政责任。这是一种新型治理式的行政责任,体现出与传统行政责任不同的特点,突破了传统责任原理,具有严厉性或加重惩罚性。区分一般情况和严重情况:一般情况,由履行保护责任部门责令改正,给予警告,没收违法所得。《个人信息保护法》针对性地增加了“对违法处理个人信息的应用程序,责令暂停或者提供服务”;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。情节严重的,由省级以上履行保护职责的部门责令改正,没收违法所得,并处五千万元以下或上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。[57]
第67条建立违法信用档案记录制度。第68条规定国家机关不履行本法规定的个人信息保护义务的特殊行政责任,包括责令改正和予以行政处分。此外,还规定了与刑法民法相关责任的关系。第69条规定个人信息处理者对个人信息加害,以推定过错作为承担侵权责任的基础;并明确确定损害赔偿责任的标准,即所受损失或获得利益,难以取得的则根据实际情况确定;第71条规定同时应与治安管理责任和刑事责任对接。
五、结论:把握《个人信息保护法》体系理解和适用的双重基础
《个人信息保护法》作为领域新法体现了立法上的一种“冒险”,这种“冒险”的必要性在于必须勇敢地去迎接个人信息保护现实挑战,满足当下“数字人格”安身立命的需求。个人信息保护问题是新时代的产物。个人信息本身并非当然是个人利益,只有当人类进入网络信息社会到一定阶段之后,当个人信息收集、利用和各种处理活动获得发展和蔓延,导致个人卷入其中,个人信息逐渐成为个人利益的牵引抑或载体,此时才出现了与个人信息处理相关的个人利益保护要求。然而这种保护要求,又具有以往所不具有的问题,与现今法律体系既有权利的保护要求比较,可谓差异显著,体现了前所未有的相关个人利益保护的微妙性和复杂性,因而在保护制度设计要求上也应作出与之相适应的创新。这种创新极为不易,对之需要努力认识、发现、把握和形塑,进而才可能收入法律行囊。
新时代的新法里面藏着独特的密码,《个人信息保护法》当然不会例外。初始打量,可能感觉似乎其体系有点凌乱,与刑法、民法、行政法等任何单一部门法的体系都极为不同。但是只要用心体会,便可能发现这些貌似凌乱的规范之间其实存在某种紧密联系。本文所作的正是这种体系解码的努力。通过上述分析,我们注意到《个人信息保护法》确立在双重基础之上。一个是其作为基本法的定位。它作为领域基本法及与民刑等基本法并立的定位,对于法律体系作出重要扩展,新时代总的法律系统中,居于新发展的体系位置,与传统法律体系形成互为补充、守护相望的关系。另一个则是它的功能预设。它立足个人信息保护利益的复杂性,同时基于超越自我管理局限的需要,通过以个人信息保护为基本功能设定,追求一种更加有效而全面的保护策略,进而形成一套自主管理和外部威压互为配合的综合保护规范体系。这两大基础构建了《个人信息保护法》全部体系和内容建构的双核,成为其不可割裂的理解前提。总之,只有立足双重基础,才能够真正领略《个人信息保护法》作为领域新法的基本价值和体系方法论,其未来实施也必定会在这两个方面的融合中获得圆满。