个人信息保护法理解与适用
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人
上一章目录下一章

第二章 个人信息处理规则

◆ 本章概述

在进入网络信息时代之前,自然人的姓名、身份证号码、电话号码、家庭住址、肖像、声音、指纹、财产信息、病历资料等个人信息就已存在,并被政府、企业等主体所处理。民法、刑法等法律已经对自然人的这些个人信息给予了相应的保护。例如,通过姓名权、肖像权、隐私权等来保护自然人的姓名、肖像和隐私等个人信息不被他人非法使用、公开或以其他方式加以侵害。但是,在进入网络信息时代之后,基于以下原因,有必要通过专门的《个人信息保护法》对个人信息处理活动予以规范,从而明确个人信息处理的规则。

1.个人信息类型和范围的发展变化。现代网络信息社会之前,个人信息的类型相对较少且产生渠道有限。但是,随着网络信息等科学技术的高速发展,个人信息的范围越来越广,种类也越来越多。一方面,现代科技的发展产生了以往没有的新类型的个人信息,如电子邮箱、通信记录、网络交易信息、上网浏览痕迹、网络社交媒体留言、行踪轨迹、脸部特征信息等。此前,这些信息要么根本不存在,要么无法被收集和存储,现在,这些个人信息每天大量地产生并且很容易地被各种智能设备加以收集和保存。另一方面,除了传统的能够直接识别特定自然人的信息(如姓名、身份证号码、家庭地址、电话号码等)之外,现代信息社会中还出现了大量本身不足以识别特定自然人但与其他信息结合后就能识别出特定自然人的信息,如爱好、习惯、兴趣、性别、年龄、职业等。在这种情况下,仅仅依靠民法的隐私权、肖像权、姓名权等人格权制度,既难以充分保护自然人的人格尊严与人格自由,也无法预防由于个人信息的处理而对自然人人身财产权益产生的风险。故此,迫切需要基于现代网络信息科技的特点由《个人信息保护法》对个人信息处理进行全面的规范。

2.个人信息处理行为的发展变化。进入网络信息社会前,个人信息的处理方法较为简单,主要表现为收集的手段单一,分析与传播的能力较弱。这种情形下,人格权及侵权法规范可以满足个人信息保护的需要。例如,未经同意公开或披露自然人的私密信息(如病历资料等)的,构成对隐私权或名誉权的侵害;未经许可将他人的姓名、肖像等用于商业目的的行为,属于侵害姓名权、肖像权的侵权行为。但是,随着科技尤其是大数据与人工智能的发展,个人信息的处理方式发生了巨大的变化。一方面,个人信息处理行为的类型越来越多,现代网络信息技术已将现代社会生活高度数字化,cookie技术和各种传感器可以自动地收集与存储个人信息。个人信息被大规模、自动化地收集和存储变得越来越普遍,几乎无处不在、无时不在。另一方面,对个人信息的使用具有人们难以想象的无限可能性,只要新技术不断发展,就会产生各种前所未有的使用方法,这也导致了处理者不仅不愿意删除已经收集并存储的个人信息,[1]还渴求获取更多的个人信息。大数据与人工智能技术的发展使得对海量数据的分析与使用变得非常简单,个人信息被滥用的可能性极大地增加。例如,各种网络平台通过分析和利用海量的个人信息,对目标群体做人格画像,实施精准营销,甚至行为操纵,严重危害自然人的人格尊严,妨害人格的自由发展。欧盟《一般数据保护条例》的“导言部分”明确指出:“个人数据处理可能给自然人权利和自由带来不同程度的风险,这些处理可能带来客观的、物质的或者非物质的损害,尤其是:当处理可能导致歧视、身份盗窃或者欺诈、财产损失、名誉损害、个人数据丧失专业保密性、匿名化的未授权的撤销,或者其他显著的经济或者社会危害;当数据主体可能被剥夺权利和自由或者丧失对其个人数据的控制权;当个人数据的处理反映了种族、政治观点、哲学或宗教信仰、工会会员,以及基因数据的处理、与健康、性生活、刑事定罪或者抗辩,或相关安全措施的数据处理;当对个人进行精准评价,特别是对自然人的工作表现、经济状况、健康状况、个人偏好、兴趣、信誉、行为习惯、位置或行踪相关的分析和预测,而使用数据画像的;弱小的自然人的个人数据,尤其是儿童个人数据处理;处理活动涉及大范围的个人数据,并且影响大量的数据主体。”

3.个人信息处理主体日渐复杂。现代网络信息社会中的信息处理主体越来越复杂,个人信息处理活动也不限于单纯的作为平等主体的自然人、法人和非法人组织之间。由于个人信息的处理无论是对企业的经营活动还是政府的管理行为,都具有越来越重要的作用,因此处理个人信息的主体日渐增多,它们都具有处理个人信息的强烈渴求。虽然信息处理者与作为信息主体的自然人的法律地位是平等的,但双方在信息、技术、经济等方面的地位实际上完全不对等。面对强大的网络企业和国家机关实施个人信息处理行为时,个人难以依赖意思自治以及侵权责任的规则来维护自己的权益。例如,民法中的人格权制度虽然发展出了停止侵害、排除妨碍、消除危险等人格权请求权,但行使这些请求权是以人格权主体能够及时发现侵害人格权的行为为前提的。现代网络信息社会中,收集、使用个人信息的处理行为日益普遍,成为生产生活的重要组成部分,不可或缺。个人信息被谁处理及被如何处理,难以为信息主体所知悉或真正了解。从效率上说,势单力薄的个人对大量收集、存储和利用个人信息的大公司或政府机关以起诉的方式来保护个人信息很不现实。无论是人格权请求权还是侵权损害赔偿请求权,均难以满足全方位保护个人信息权益的需要。有必要通过专门的个人信息保护立法,对个人信息处理行为进行全方位的规范,以做到未雨绸缪,防患于未然。事实上,从《个人信息保护法》的发展源流来看,《个人信息保护法》制定之初,其主要立法宗旨就是要解决计算机处理个人信息所带来的巨大风险问题,处理好技术进步与个人权利保护之间的关系。[2]

4.个人信息承载多种需要协调的利益。现代信息社会中个人信息上呈现出多元化的利益格局,既有自然人对其个人信息加以掌控,以免人格尊严以及人身财产权益受到侵害或遭受损害的需要,也有营利法人通过处理个人信息推销商品或服务的营业自由的诉求,还包括保障言论自由,实现舆论监督,以及国家机关利用个人信息提升社会治理与行政管理能力、维护市场竞争秩序、保护消费者权益、维护公共安全、国家安全等公共利益和国家利益的需要。这种多元化的利益格局是民法、刑法、行政法、国际法等传统的法律部门单独无法完成的,故此,需要专门的《个人信息保护法》对个人信息处理行为加以规范,从而科学地协调这些多元化的利益。

正是基于上述原因,有必要制定专门的《个人信息保护法》,对个人信息处理加以更详细、具体的规范。欧盟《一般数据保护条例》专设第2章“原则”,对与个人数据处理相关的原则、处理的合法性、同意的要件、特殊类型的个人数据处理等作出了详细的规定(第5—11条)。此种立法模式对不少国家的个人信息保护立法产生了重要的影响。[3]我国《个人信息保护法》也采纳了该立法模式。从本章的章名“个人信息处理规则”可知,本章是对个人信息处理规则的集中规定,全章共分三节,分别是第1节“一般规定”、第2节“敏感个人信息的处理规则”以及第3节“国家机关处理个人信息的特别规定”,共采取了25个条文(占整部法律条文总量的三分之一)对个人信息处理规则作出了详尽的规定。本书认为,《个人信息保护法》第2章对个人信息处理规则作出系统、详细、全面的规定,具有以下重要意义:

首先,《个人信息保护法》需要对个人信息处理行为进行全方位、动态性的规范,无论是利用网络信息科技自动化处理个人信息,还是手工等非自动化处理个人信息;无论是个人信息的收集、存储,还是使用、加工抑或传输、提供、公开以及跨境提供;无论是出于生产经营等营利目的,还是出于行政管理、公共服务的目的而进行个人信息处理,均应纳入《个人信息保护法》的调整范围。有观点认为,《个人信息保护法》不应调整所有的个人信息处理行为,而仅限于以识别分析为目的对个人信息的收集、控制、分享、分析和应用行为,因为只有这些行为会对信息主体的权益有显著的影响,至于一般的个人信息适用行为留给其他法律或行业准则或社会习惯规范加以调整。[4]笔者不赞同此种观点。个人信息处理行为的类型多种多样,从收集、存储,到使用、加工,再到传输、公开、共享等,每一个环节都存在侵害自然人民事权益的风险,不能任意切割。例如,大量的个人信息尤其是敏感的个人信息被泄露或被非法买卖,无须利用高科技进行分析识别,也足以被违法犯罪分子用来实施诈骗、抢劫、杀人等犯罪活动。个人信息处理中的风险是多重的、难以预测的,不限于以识别分析为目的的处理行为。况且,个人信息处理本身具有易变性和发展性,现在不以识别分析为目的的处理行为不等于将来就不会进行识别分析,更不等于不会对个人信息权益产生危险。因此,将《个人信息保护法》调整的个人信息处理行为限定于以识别分析为目的的行为显然过于狭窄。

其次,《个人信息保护法》需要从内外两个方面以强行性规范来构建个人信息处理规则。从外部来说,《个人信息保护法》在区分不同的个人信息处理行为、不同种类的个人信息以及不同的个人信息处理者的基础上,明确处理者在各类个人信息处理行为中所负的义务(如告知、取得同意、安全保护、报告、监管等义务),同时,以法律责任保障其履行。特别是个人信息保护执法机关应当采取动态监督执法确保义务的履行和法律责任的落实,对于违反义务的信息处理者依法采取罚款、给予处分、记入信用档案、停业整顿、吊销许可、吊销营业执照等处罚措施,严重的将追究刑事责任。从内部来说,《个人信息保护法》强制性要求信息处理者建立健全相应的管理制度和操作规程,对个人信息进行分类管理并采取加密等安全技术措施,制订个人信息安全事件的应急预案,公布个人信息保护负责人的联系方式等。同时,强化大型的网络平台对于利用其提供的网络服务处理个人信息的处理者进行相应的监管义务。

最后,《个人信息保护法》不仅调整公司企业等普通民事主体出于经营目的处理个人信息的行为,也调整国家机关基于公权力和履行公共管理职能处理个人信息的活动。随着信息社会的到来,数字经济的发展需要对个人信息进行合理利用,数字社会和数字政府的建设也需要对个人信息进行合理利用。个人信息等数据在提升和优化国家治理能力、提高政府行政服务和管理水平、提高决策的科学性和服务效率等方方面面,将发挥越来越重要的作用。作为调整平等主体的自然人、法人和非法人组织之间的人身财产关系的民法,无法对国家机关处理个人信息的活动进行全方位的规范,这就要求《个人信息保护法》加以调整。国家机关即便是在履行法定职责处理个人信息时,也应当严格依照法律、行政法规规定的权限和程序进行,受包括《个人信息保护法》在内的法律的规范。唯其如此,方能更好地实现个人信息上的多元利益关系的协调。故此,《民法典》第1039条规定:“国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。”《个人信息保护法》也在本章专节对国家机关处理个人信息作出了规定。

上一章目录下一章