第一条 【立法目的】
为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。
◆ 条文要旨
本条规定的是个人信息保护法的立法目的。
◆ 理解与适用
一、立法背景
(一)世界各国和地区的个人信息保护法的发展
随着网络信息技术的高速发展,现代社会已进入信息社会、网络时代,个人信息保护越来越受到世界各国或地区的高度重视。为了更好地保护个人数据或个人信息,各个国家或地区陆续颁布了数据保护法、个人信息保护法或数据隐私法等法律。自1970年德国黑森州颁布全世界第一部《数据保护法》 (Datenschutzgesetz)以来,截至2020年12月,在这50年的时间内,全世界232个国家或地区中,共有145个国家或地区颁布了数据保护法、个人信息保护法或数据隐私保护方面的法律,占比为63%。仅在2019年至2020年这一年内,颁布了数据隐私法的国家或地区的数量就从132个增加到145个,增长了10%。[1]
世界各国或地区数据保护与个人信息保护立法情况统计表[2]
在目前各国或地区已经颁布的个人信息保护立法中,影响最大的一部法律就是2018年5月25日起施行的欧盟《一般数据保护条例》(GDPR),该条例除导言部分的173个条文外,正文部分共分11章、99条,分别对适用范围、定义、数据处理的基本原则、数据主体的权利、数据控制者和处理者的义务与责任、跨境数据传输、独立监管机构、法律责任和处罚措施等作出了非常详细的规定。我国在起草《个人信息保护法》时,也充分吸收借鉴了《一般数据保护条例》中一些优秀的立法成果和经验。
(二)我国个人信息保护法的发展
我国早期对个人信息收集、利用和保护加以规范的法律是《刑法》。2005年第十届全国人大常委会第十四次会议通过的《刑法修正案(五)》增设了“窃取、收买、非法提供信用卡信息罪”(第177条之一第2款),这是我国法律上第一个关于侵害公民个人信息犯罪的法律规定。[3]2009年第十一届全国人大常委会第七次会议审议通过的《刑法修正案(七)》在《刑法》中新增第253条之一,首次将窃取或以其他方式非法获取公民个人信息、出售或非法提供公民个人信息的行为情节严重的规定为犯罪行为,从而纳入刑事打击的范围。[4]2015年通过的《刑法修正案(九)》对《刑法》第253条之一作了修改,明确规定:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
2012年颁布的《全国人民代表大会常务委员会关于加强网络信息保护的决定》首次对网络服务提供者和其他企业事业单位、国家机关及其工作人员在收集、使用、保管公民个人电子信息中应当遵循的原则、承担的义务及法律责任作出了较为具体的规定。该决定明确规定,任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。此外,该决定还要求:“网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。”“网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施。”
2017年6月1日起施行的《网络安全法》第4章“网络信息安全”对个人信息的收集、存储、保管和使用进行了更全面细致的规范。该法第41条明确规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。第42条明确规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。此外,该法第43条还规定了个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。同时,该法第76条第5项还对个人信息进行了界定,即“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。
2013年第十二届全国人大常委会第五次会议修订《消费者权益保护法》时,在原第14条中新增了消费者“享有个人信息依法得到保护的权利”,并在第50条就侵害该权利的民事责任作出了规定,这是我国法律首次从民事权利的角度对个人信息作出的规定。[5]2017年10月1日起施行的《民法总则》第111条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”[6]此外,《民法总则》第127条还规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”尽管就《民法总则》第111条是否规定了自然人个人信息权存在争议,但该条毕竟“从民事基本法的高度赋予了自然人个人信息保护的权利(权益),为个人信息保护在民法分则进一步细化规定提供了基础”[7],因此,具有十分重要的意义。
2018年颁布的《电子商务法》也就电子商务经营活动中的个人信息保护问题作出了规定。例如,针对随着大数据技术发展而出现的针对用户进行数据画像、精准营销的行为,为了更好地保护消费者的知情权和选择权,该法第18条第1款规定:“电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的,应当同时向该消费者提供不针对其个人特征的选项,尊重和平等保护消费者合法权益。”
2020年5月28日第十三届全国人民代表大会第三次会议通过了《民法典》。《民法总则》第111条被作为《民法典》第111条完全保留下来,不仅如此,《民法典》人格权编对个人信息保护作出了更详细的规定。一方面,在《民法典》人格权编的第6章“隐私权与个人信息保护”中,立法者使用六个条文(第1034条至1039条)对个人信息的概念和类型,个人信息保护与隐私权的关系,处理个人信息应当遵循的原则和符合的条件,自然人对其个人信息享有的查阅、抄录和复制的权利以及更正和删除的权利,侵害个人信息的免责事由,信息处理者的义务等,作了较为详细的规定;另一方面,《民法典》人格权编第1章“一般规定”和第5章“名誉权和荣誉权”中还就个人信息的合理使用(第999条),信用信息的处理的准用规则作出了规定(第1030条)。[8]
2020年10月17日第十三届全国人民代表大会常务委员会第二十二次会议修订的《未成年人保护法》专门增加了第5章“网络保护”,其中有两条就未成年人的个人信息保护作出了规定,即第72条规定,信息处理者通过网络处理未成年人个人信息的,应当遵循合法、正当和必要的原则。处理不满十四周岁未成年人个人信息的,应当征得未成年人的父母或者其他监护人同意,但法律、行政法规另有规定的除外。未成年人、父母或者其他监护人要求信息处理者更正、删除未成年人个人信息的,信息处理者应当及时采取措施予以更正、删除,但法律、行政法规另有规定的除外。第73条规定,网络服务提供者发现未成年人通过网络发布私密信息的,应当及时提示,并采取必要的保护措施。
(三)我国颁布《个人信息保护法》的意义
尽管我国《民法典》《刑法》《网络安全法》《电子商务法》等诸多法律分别从个人信息权益民法保护、侵害个人信息犯罪行为的刑事责任等角度对个人信息保护作出了相应的规定,但是,我国还需要颁布专门的《个人信息保护法》对个人信息进行全方位的、详尽的规范。这是因为,一方面,《个人信息保护法》是保护个人信息的专门性的法律,也是综合性的法律,它既不是作为《民法典》特别法的民事单行法,也不是单纯的行政管理法,而是针对个人信息保护的特点,综合运用强制性规范、禁止性法规以及行政责任、民事责任等多种法律责任对个人信息处理活动进行全方位规范的法律。另一方面,《个人信息保护法》是个人信息保护领域的基本法律,它是全面系统地保护个人信息权益与调整规范个人信息处理活动的法律,具体而言,其内容包括:其一,个人信息处理活动应当遵循的基本原则;其二,个人信息处理的规则以及个人信息跨境转移相关规则;其三,个人在个人信息处理中享有的权利以及信息处理者所负有的义务的规定;其四,个人信息保护机构即履行保护职责的部门及其应履行的职责;其五,违法处理个人信息的法律责任等。
2021年8月20日,第十三届全国人大常委会第三十次会议审议通过了《个人信息保护法》,它是我国第一部个人信息保护方面的专门法律。《个人信息保护法》的颁行将极大地加强我国个人信息保护的法制保障,从而在个人信息保护方面形成更加完备的制度、提供更有力的法律保障;《个人信息保护法》以严密的制度、严格的标准、严厉的责任规范个人信息处理活动,规定了完备的个人在个人信息处理活动中的权利,全方位落实各类组织、个人等个人信息处理者的义务与责任,有力地维护了网络空间良好生态,满足人民日益增长的美好生活需要;《个人信息保护法》科学地协调个人信息权益保护与个人信息合理利用的关系,建立了权责明确、保护有效、利用规范的个人信息处理规则,从而在保障个人信息权益的基础上,促进了包括个人信息在内的数据信息的自由安全的流动与合理有效的利用,推动了数字经济的健康发展。
二、立法目的
我国法律的一个典型特点就是在第一条开宗明义地对该法的立法目的作出规定,本法也不例外。明确立法目的,既有利于对该部法律中的规则和制度进行更深入透彻的理解,从而准确地适用相应的法律规范,也依据该立法目的制定相应的法规规章,从而贯彻落实法律的规定,还能够使法院在处理个人信息权益纠纷案件时依据该立法目的正确解释法律并在发现法律的漏洞时利用目的解释的方式填补该漏洞。在我国《个人信息保护法》的起草过程中,关于本法的立法目的有一个认识上的变化过程。《个人信息保护法草案(征求意见稿)》第1条曾规定:“为了规范个人信息处理活动,保护个人信息权益,保障个人信息依法有序自由流动,促进个人信息合理利用,制定本法。”《草案一审稿》则将之修改为“为了保护个人信息权益,规范个人信息处理活动,保障个人信息依法有序自由流动,促进个人信息合理利用,制定本法。”这就凸显了“保护个人信息权益”这一立法目的在我国《个人信息保护法》的立法目的中占据更重要的地位。此后,《草案二审稿》将《草案一审稿》中的“保障个人信息依法有序自由流动”的表述予以删除,这是因为,个人信息的有序自由流动就是为合理利用个人信息。依据《个人信息保护法》第1条,我国《个人信息保护法》有以下三大立法目的。
(一)保护个人信息权益
根据中国互联网络信息中心(CNNIC)发布的《第48次中国互联网络发展状况统计报告》,截至2021年6月,我国网民规模达10.11亿人,较2020年12月增长2175万人,互联网普及率达71.6%。互联网网站数量为422万个,国内市场上监测到的App(移动互联网应用)数量为302万个。[9]我国社会已经进入网络社会和信息时代,个人信息的收集、使用、存储等处理行为容易、普遍,极为广泛。虽然随着《网络安全法》《电子商务法》以及《民法典》等法律的陆续颁行,近年来我国个人信息保护的力度不断加大,但是,现实中一些组织或个人为了商业利益甚至牟取非法利益,随意收集、违法获取、过度使用、非法买卖个人信息的现象仍然十分严重,利用个人信息侵扰广大人民群众的生活安宁、损害人民群众的人身财产权益等违法犯罪问题依旧非常突出。如何有效地保护个人信息权益,已成为广大人民群众和社会各界最关心也是最直接、最现实的问题之一。第十三届全国人民代表大会组成以来,全国人大代表共有340人次提出39件相关议案、建议,全国政协委员共提出相关提案32件。党中央高度重视网络空间法治建设,对个人信息保护立法工作作出部署。习近平总书记多次强调,要坚持网络安全为人民、网络安全靠人民,保障个人信息安全,维护公民在网络空间的合法权益,对加强个人信息保护工作提出明确要求。[10]
所谓个人信息,就是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。任何信息如果不是与已识别或者可识别的自然人有关的信息,就不属于个人信息。对这些信息的处理也不适用《个人信息保护法》《民法典》《网络安全法》等法律关于个人信息保护的规定。只有与已识别或者可识别的自然人有关的信息,才属于个人信息,才需要通过个人信息保护制度加以规范。这是因为,只有对个人信息进行的处理活动如收集、存储、加工、使用、传输、提供、公开等,才会对自然人的人格尊严、人身自由等基本权利以及人身权益、财产权益造成危险或者损害。
大数据时代的个人信息处理方式发生了革命性变化。信息处理能力的突飞猛进,不仅使得海量的个人信息可以被政府机关、企事业单位等各种主体无时无刻、无所不在地加以收集、存储、加工,并且会以人们想不到的各种方法予以使用、传输、提供或公开。围绕着个人信息的各种处理行为也因此产生了侵害自然人的人格尊严、妨害人格自由以及损害人身财产权益的各种风险,并时常造成现实的损害后果。这些风险至少包括以下几类:其一,因个人信息被非法收集、买卖或使用而使加害人有机会对自然人既有的生命权、健康权、名誉权、隐私权等人格权益以及债权、物权、股权等财产权益实施侵害;其二,基于被合法收集的个人信息形成的大数据,通过算法等技术进行社会分选、歧视性对待,进而损害人格尊严的危险;其三,通过大数据和人工智能技术进行人格画像,将原本属于主体的自然人降格为客体并加以操控,损害人格自由等。[11]由此可见,围绕着个人信息所展开的是一个自然人需要通过对其个人信息的控制与保护来防止遭受人格歧视、人身财产权益免于危险或损害的利益需求,与处理者希望获取和利用个人信息达至各种目的(提高行政效率,追求商业利润等)的利益需求之间的斗争关系。
我国制定《个人信息保护法》正是及时回应广大人民群众的呼声和期待,落实党中央部署的必然要求。本法首要的立法目的就是要保护广大人民群众的个人信息权益。个人信息保护法,顾名思义,就是保护个人信息的法律,也就是保护个人信息权益的专门法律。个人信息权益是自然人针对个人信息享有的受到法律保护的权益。保护个人信息权益是我国《个人信息保护法》的重要立法目的,该法第1条就明确规定,为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。第2条再次明确“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益”。为了实现对个人信息权益的全面的、充分的保护,《个人信息保护法》作出了如下系统全面、科学细致的规定。
1.确立了个人信息处理活动应当遵循的基本原则,包括合法、正当、必要、诚信、目的限制、最小必要、质量、责任等原则。这些原则的根本目的就是要规范个人信息处理者的处理活动,保护个人信息权益。例如,依据第6条所确立的目的限制原则,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。无论什么样的个人信息,处理者出于何种处理目的,以何种方式实施个人信息处理活动,都应当遵循这些基本原则。不仅如此,调整规范个人信息处理活动的法规规章,也不能违反这些基本原则。
2.详细规定告知同意规则,明确了个人信息处理者处理个人信息前,必须以显著方式、清晰易懂的语言真实、准确、完整地向个人告知法律规定的事项,除非法律、行政法规规定应当保密或者不需要告知,或者告知将妨碍国家机关履行法定职责。如果个人信息处理者是基于个人同意而处理个人信息的,那么个人的同意必须是个人在充分知情的前提下自愿、明确地作出,个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务。
3.对于社会普遍关注的“大数据杀熟”“人脸识别”等问题,明确要求个人信息处理者保证自动化决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。如果通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的,除非取得个人单独同意。
4.界定了敏感个人信息并给予非常严格的保护。敏感个人信息,即一旦泄露或者非法使用,就容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。依据《个人信息保护法》的规定,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。同时,处理敏感个人信息应当取得个人的单独同意,处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。
5.专章规定了个人在个人信息处理活动中的权利。个人在个人信息处理活动中的权利属于手段性权利或救济性权利,规定这些权利的目的就是保护自然人的个人信息权益。《个人信息保护法》在《网络安全法》《民法典》的规定的基础上,立足于我国个人信息保护实践的要求,吸收借鉴比较法上的优秀成果,对个人在个人信息处理活动中的权利作出了系统全面的规定,规定了个人在个人信息处理活动中享有对个人信息处理的知情权与决定权、查阅复制权、可携带权、更正补充权、删除权、解释说明权等。此外,为了维护死者的近亲属的合法、正当利益,《个人信息保护法》还规定,自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。
6.对个人信息处理者的义务作出了集中、详细的规定,构建了完整的义务体系。这些义务包括:个人信息处理者采取措施确保个人信息处理活动合法并保护个人信息安全的义务;按照规定指定个人信息保护负责人的义务;定期进行合规审计的义务;对于高风险个人信息处理活动进行个人信息保护影响评估并对处理情况进行记录的义务;在发生或可能发生个人信息泄露等安全事件时立即采取补救措施并通知监管机构和个人的义务;提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者负有的“守门人义务”。
7.对于违法处理个人信息或者没有履行法律规定的个人信息保护义务的行为规定了严格的行政处罚,如对于违法行为情节严重的,没收违法所得,并处5000万元以下或者上一年度营业额5%以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照等。对直接负责的主管人员和其他直接责任人员处10万元以上100万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。再如,对于违反《个人信息保护法》规定的违法行为的,明确了依照有关法律、行政法规的规定记入信用档案,并予以公示。
8.规定了科学合理的民事责任制度以及民事公益诉讼。依据《个人信息保护法》的规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。侵害个人信息权益造成损害的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。在个人信息处理者违反《个人信息保护法》规定处理个人信息,侵害众多个人的权益时,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。
(二)规范个人信息处理活动
所谓个人信息处理,就是指个人信息的收集、存储、使用、加工、传输、提供、公开、删除等活动(《个人信息保护法》第4条第2款)。首先,《个人信息保护法》需要对个人信息处理行为进行全方位、动态性的规范,也就是说,无论是利用网络信息科技自动化处理个人信息,还是手工等非自动化处理个人信息;无论是个人信息的收集、存储,还是使用、加工抑或传输、提供、公开以及跨境提供;无论是出于生产经营等营利目的,还是出于行政管理、公共服务目的而进行个人信息处理,均应纳入《个人信息保护法》的调整范围。有观点认为,《个人信息保护法》不应调整所有的个人信息处理行为,而仅限于以识别分析为目的对个人信息的收集、控制、分享、分析和应用行为,因为只有这些行为才会对信息主体的权益有显著的影响,至于一般的个人信息使用行为留给其他法律或行业准则或社会习惯规范加以调整。[12]本书认为,该观点是不妥当的。个人信息处理行为的类型多种多样,从收集、存储,到使用、加工,再到传输、公开、共享等,这每一个环节都存在侵害自然人民事权益的风险,不能任意切割。例如,大量的个人信息尤其是敏感的个人信息被泄露或被非法买卖,无须利用高科技技术进行所谓的分析识别,也足以被违法犯罪分子用来实施诈骗、抢劫、杀人等犯罪活动。个人信息处理中的风险是多重的、难以预测的,不限于以识别分析为目的的处理行为。况且,个人信息处理本身具有易变性和发展性,现在不以识别分析为目的的处理行为不等于将来就不会进行识别分析,更不等于不会对个人信息权益产生危险。随着科技的发展,各种对个人信息的新型处理方法会不断产生,其中的风险往往难以预见,因此,将《个人信息保护法》调整的个人信息处理行为限定于以识别分析为目的的行为显然过于狭窄。
其次,《个人信息保护法》需要从内外两方面使用强行性规范来构建个人信息处理规则。从外部来说,《个人信息保护法》在区分不同的个人信息处理行为、不同种类的个人信息以及不同的个人信息处理者的基础上,明确处理者在各类个人信息处理行为中所负的义务(如告知、取得同意、安全保护、报告、监管等义务),同时,以法律责任保障其履行。特别是个人信息保护执法机关应当采取动态监督执法确保义务的履行和法律责任的落实,对于违反义务的信息处理者依法采取罚款、给予处分、记入信用档案、停业整顿、吊销许可、吊销营业执照等处罚措施,严重的追究刑事责任。从内部来说,《个人信息保护法》强制性要求信息处理者建立健全相应的管理制度和操作规程,对个人信息进行分类管理并采取加密等安全技术措施,制定个人信息安全事件的应急预案,公布个人信息保护负责人的联系方式等。同时,强化大型的网络平台对于利用其提供的网络服务处理个人信息的处理者进行相应的监管义务。
最后,《个人信息保护法》不仅调整公司企业等普通民事主体出于经营目的处理个人信息的行为,也调整国家机关基于公权力和履行公共管理职能处理个人信息的活动。随着信息社会的到来,数字经济的发展需要对个人信息进行合理利用,数字社会和数字政府的建设也需要对个人信息进行合理利用。个人信息等数据在提升和优化国家治理能力,提高政府行政服务和管理水平,提高决策的科学性和服务效率等方方面面,将发挥越来越重要的作用。我国《国民经济和社会发展第十四个五年规划和2035年远景目标纲要》明确提出要“迎接数字时代,激活数据要素潜能,推进网络强国建设,加快建设数字经济、数字社会、数字政府,以数字化转型整体驱动生产方式、生活方式和治理方式变革”。作为调整平等主体的自然人、法人和非法人组织之间的人身及财产关系的民法,无法对于国家机关处理个人信息的活动进行全方位的规范,这就要求《个人信息保护法》对此加以调整。国家机关即便是履行法定职责处理个人信息时,也应当严格依照法律、行政法规规定的权限和程序进行,受到包括《个人信息保护法》在内的法律的规范。唯其如此,方能更好地实现个人信息上的多元利益关系的协调。故此,《民法典》第1039条规定:“国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。”本法也在第2章“个人信息处理规则”中专节对国家机关处理个人信息作出了特别规定。
(三)促进个人信息合理利用
现代信息社会中,如果法律偏执一隅,过度保护个人信息权益,阻碍或妨害了个人信息的合理使用,也是不可取的。因为,这样将影响网络信息科技的发展和数字经济的繁荣,最终损害国家利益、公共利益以及社会的整体福利,对于个人也是不利的。几乎所有国家或地区在保护个人信息的法律规范中,都要关注民事权益保护与合理自由维护这一对价值的协调,既尊重和保护自然人的人格尊严等基本人权,也充分维护公共利益,保护言论与信息自由、商业活动的正常进行。例如,欧盟《一般数据保护条例》在导言部分明确了自然人在个人数据处理方面获得保护是一项基本权利,受到欧盟《基本权利宪章》第8条第1款和欧盟《运行条约》第16条第1款的保护。但同时又明确指出:“本条例致力于实现自由、安全、公平和经济联盟,致力于经济和社会进步,加强并聚集内部市场的经济,实现个人的幸福”,“保护个人数据的权利不是一项绝对权利,必须考虑其在社会中的作用并应当根据比例性原则与其他基本权利保持平衡。本条例尊重所有基本权利,并奉行欧盟《运行条约》基于欧盟《基本权利宪章》承认的自由和原则,尤其是在以下方面:个人和家庭生活、家庭和通信、个人数据保护、思想自由、意识和宗教、言论和信息自由、商业活动自由、获得有效救济和公正审判的权利、文化、宗教和语言多样性”。日本于2015年大幅度修订的《个人资料保护法》第1条就明确了“本法的立法目的在于,在高度信息通信社会的深化所带来的对个人信息的利用显著扩大的背景下,通过对个人信息之正当处理的基本理念、由政府制定基本方针及采取其他保护个人信息的措施等基本事项作出规定,明确国家和地方公共团体的职责等,并对个人信息处理者应遵守的义务等作出规定,从而重视个人信息的正当且有效利用在促进新兴产业的创造、实现充满活力的经济社会和富足的国民生活上的作用以及其他个人信息的作用,保护个人的权利或利益”。再如,2018年巴西《通用数据保护法》第2条规定:“个人数据保护的规则建立在如下基础上:I.尊重隐私;II.知情并自由决定;III.言论、信息、交流和意见的自由;IV.亲密言行、荣誉和声誉的不可侵犯;V.经济技术的开发与创新;VI.自由倡议、自由竞争和消费者保护;和VII.人权、自由发展人格、尊严和自然人行使公民身份。”我国台湾地区“个人资料保护法”第1条也指出,该法的立法目的在于“规范个人资料之搜集、处理及利用,以避免人格权受侵害,并促进个人数据之合理利用”。
在我国,党的十九大报告提出了建设网络强国、数字中国、智慧社会的任务要求。按照这一要求,应当统筹个人信息保护与利用,通过立法建立权责明确、保护有效、利用规范的制度规则,在保障个人信息权益的基础上,促进信息数据依法合理有效利用,推动数字经济持续健康发展。[13]我国《个人信息保护法》不仅以保护个人信息权益为目的,也高度关注个人信息的合理利用,尤其是注意个人信息权益与信息自由、言论自由以及商业活动之间关系的协调,“合理平衡保护个人信息与维护公共利益之间的关系”[14]。换言之,无论是《个人信息保护法》,还是《民法典》《网络安全法》等法律,都不仅是对自然人的个人信息权益的保护,也是对信息自由、言论自由和商业活动自由的保护。[15]例如,《个人信息保护法》第13条除了在第1款第1项明确规定处理个人信息需要告知并取得个人同意这一基本规则外,还在同条第1款第2项至第7项列举了不需要取得个人同意而合法处理个人信息的其他情形:为履行个人作为一方当事人的合同所必需的;为履行法定职责或者法定义务所必需的;为应对突发公共卫生事件或者在紧急情况下为保护自然人的生命健康和财产安全所必需;依法在合理的范围内处理已经公开的个人信息等。再如,《个人信息保护法》第35条规定,国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务,但是法律、行政法规规定应当保密或者告知将妨碍国家机关履行法定职责的除外。
三、我国的个人信息保护法律体系
《个人信息保护法》的颁布意味着我国个人信息保护的法律体系已经建成。在个人信息保护领域中,我国已经建成了一个由法律、行政法规、司法解释、部门规章以及相关文件和标准组成的有机体系。
(一)法律
在法律层面上,我国个人信息保护的最基本也最重要的法律规范就是《宪法》。我国《宪法》第33条第3款规定:“国家尊重和保障人权。”第38条规定:“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。”第40条规定:“中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。”这些规定是个人信息保护的基本法律依据。现代网络信息社会中,如果不能建立科学合理的个人信息保护法律制度,充分保护个人信息权益,就无法尊重和保障人权,维护人格尊严,保护公民的通信自由和通信秘密。正因如此,在《个人信息保护法》审议过程中,“有的常委委员和社会公众、专家提出,我国宪法规定,国家尊重和保障人权;公民的人格尊严不受侵犯;公民的通信自由和通信秘密受法律保护。制定实施本法对于保障公民的人格尊严和其他权益具有重要意义,建议在草案二次审议稿第一条中增加规定‘根据宪法’制定本法。宪法和法律委员会经研究,赞同上述意见,建议予以采纳”[16]。
我国《个人信息保护法》第1条在“制定本法”前增加“根据宪法”,不仅充分体现了《宪法》的最高法律效力,更强调了《宪法》是《个人信息保护法》的立法根据,《个人信息保护法》的规定必须体现《宪法》尊重和保障人格权、保护人格尊严的精神,落实《宪法》的要求,不得违背《宪法》。
除了《宪法》和《个人信息保护法》之外,我国个人信息保护重要的法律还包括《民法典》《数据安全法》《网络安全法》《电子商务法》《消费者权益保护法》《未成年人保护法》《刑法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《全国人民代表大会常务委员会关于维护互联网安全的决定》等。
(二)法规
法规层面上,与个人信息保护相关的行政法规主要包括:《互联网信息服务管理办法》《计算机信息系统安全保护条例》《征信业管理条例》《关键信息基础设施安全保护条例》等。地方性法规中关于个人信息保护的规定相对较少,主要是一些地方颁布的社会信用条例和数据条例,如《广东省社会信用条例》《天津市社会信用条例》《河南省社会信用条例》《深圳经济特区数据条例》等。
(三)司法解释
司法解释主要包括《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》等。2021年7月27日颁布的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》是我国首部对使用人脸识别技术处理个人信息相关民事案件的审理作出全面系统规范的司法解释。该司法解释的颁布对于充分保护当事人合法权益,科学规范个人信息处理活动,积极促进数字经济健康发展,具有极为重要的作用。
(四)规章
个人信息保护方面的部门规章主要是由工业和信息化部、国家互联网信息办公室、公安部等国家部委颁布的,主要包括:《儿童个人信息网络保护规定》《电信和互联网用户个人信息保护规定》《规范互联网信息服务市场秩序若干规定》《互联网新闻信息服务新技术新应用安全评估管理规定》《汽车数据安全管理若干规定(试行)》等。涉及个人信息保护的地方政府规章相对较少,主要有《北京市公共安全图像信息系统管理办法》 《陕西省公共安全图像信息系统管理办法》等。
(五)规范性文件
个人信息保护的规范性文件包括:《常见类型移动互联网应用程序必要个人信息范围规定》《App违法违规收集使用个人信息行为认定方法》《工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见》《互联网个人信息安全保护指南》《网络音视频信息服务管理规定》等。
(六)标准
这些标准主要是由国家市场监督管理总局、工业和信息化部、公安部、中国人民银行等部委发布的国家标准和行业标准,尤以推荐性国家标准(GB/T)居多。这些标准近年来不断增加,其中比较重要的如《信息安全技术 公共及商用服务信息系统个人信息保护指南》《信息安全技术 个人信息安全规范》《信息安全技术 移动智能终端个人信息保护技术要求》《信息安全技术 个人信息去标识化指南》《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》《网络安全标准实践指南—移动互联网应用程序(App)个人信息保护常见问题及处置指南》《网络安全标准实践指南—移动互联网应用程序(App)系统权限申请使用指南》《网络安全标准实践指南—移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》《移动终端权限申请目的说明实施指南》《个人金融信息保护技术规范》《电信和互联网服务用户个人信息保护定义及分类》等。
◆ 疑点与难点
《个人信息保护法》与《民法典》的关系问题
关于《个人信息保护法》与《民法典》关系问题的讨论,主要集中在如何看待《民法典》中关于个人信息保护的规定与《个人信息保护法》的相关规定的关系。我国《民法典》在多处对个人信息保护作出了规定:首先,在总则编第5章“民事权利”中,《民法典》第111条规定:“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”其次,《民法典》人格权编第6章“隐私权和个人信息保护”中采用六个条文(第1034—1039条)对个人信息的含义、处理的含义、私密信息与非私密信息的法律适用、个人信息的合理使用、个人信息权益的内容、信息处理者的义务以及国家机关处理个人信息时的保密义务等作出了详细规定。此外,《民法典》人格权编第5章“名誉权和荣誉权”中,就个人信用信息的保护还有一条专门的规定,即第1030条规定:“民事主体与征信机构等信用信息处理者之间的关系,适用本编有关个人信息保护的规定和其他法律、行政法规的有关规定。”最后,《民法典》物权编就不动产登记资料的保密和不得非法使用作出了规定(第219条);合同编就当事人订立合同知悉的其他应当保密的信息不得泄露或不正当使用以及因泄露或不正当使用的赔偿责任作出了规定(第501条);侵权责任编中规定了医疗机构及其医务人员应当对患者的隐私和个人信息负有保密义务,泄露或公开患者的隐私和个人信息或病历资料的,应当承担侵权责任(第1226条)。
既然《民法典》中对个人信息保护作出了上述规定,而《个人信息保护法》又是个人信息保护领域中最重要、最基本的一部法律,那么它们之间究竟是何种关系呢?对此,有不同的看法。第一种观点认为,就个人信息保护而言,《民法典》属于基本法,具有普通法的地位,其约束的义务主体“信息处理者”涵盖了所有的信息处理机构和个人,具有一般性。《个人信息保护法》作为全面规制个人信息处理的单行法,则具有特别法的属性,对《民法典》作出了大量的补充和例外性规定。二者之间的关系类似于《民法典》与《消费者权益保护法》的关系。[17]
第二种观点认为,《个人信息保护法》是保护个人信息的基本立法,任务是明确个人信息保护的基本原则和制度,明确实体规范与程序规范,然后再由相关单行立法根据不同行业领域的特点制定相应的规定,构成个人信息保护的完备法律体系。《个人信息保护法》的义务主体、调整范围、执行机制等均明显不同于民法典,不能将个人信息保护法视为民法特别法。只有违反《个人信息保护法》的行为造成权利人民事权益损害的,《民法典》才从民事责任追究方面进行衔接。尽管《个人信息保护法》与《民法典》存在一定的交叉,但两者的性质和任务存在根本不同,前者旨在保护新型权利的公法,后者旨在确立民事基本制度的私法,在法律体系中分别发挥不同的作用。[18]
第三种观点认为,在个人信息的保护上,《个人信息保护法》旨在防范对人格和财产的抽象加害危险,构成人格利益和财产利益的前置保护性规范。个人信息保护法与民法尤其是侵权法对人格权的保护不相排斥,而是互相结合,二者遵行的是不同的评价机制:违反个人信息保护规则的行为未必侵害人格权,是否侵害人格权是一个需要结合个案具体情形,对冲突利益进行衡量后才能得出结论的问题;遵守个人信息保护法的个人信息处理行为也并不当然无害于他人的人格权。在人格保护上,违反个人信息保护规则的行为,未必构成对人格权的侵害,是否构成人格权侵害,仍必须根据人格权保护的一般规则进行判断;在财产保护上,个人信息保护法中的损害赔偿责任条款应解释为“违反保护他人法律的侵权行为”性质的请求权规范,属于特殊侵权责任规范,优先于民法中的一般侵权行为规则而适用;个人信息保护法中规定的信息主体的信息查询权,错误信息更正权、封存权和删除权等积极请求权,与旨在回复绝对权之完满状态的妨害排除请求权和妨害防止请求权在功能上互相补充,在适用上并非互相排斥,可由当事人同时主张。[19]
第四种观点认为,《个人信息保护法》是一部管制色彩与自治色彩交相辉映的法律,兼顾自治和管制的平衡,既不给予个人绝对的私人自治权(个人信息自决权),也并非完全采取行政法的路径成为一部行政管理法。因此,《个人信息保护法》中的民事规范应当作为民法的特别法来看待。但是,由于《个人信息保护法》并未区分公私主体的信息处理者,公权力机关处理个人信息的规范,明显不属于平等主体之间的规范。故此,《个人信息保护法》是一部综合性的法律,信息处理关系包含了公法调整和私法调整两个部分。[20]
应当说,上述观点都各有一定的道理。就自然人的个人信息权益的性质而言,虽然包含的范围比较广,不限于民事权益,还包括人格尊严和人身自由等宪法上的基本权利,但主要集中在民事权益尤其是人格权益。故此,不能将个人信息权益界定为公法权利或公法上的权利。《民法典》作为权利法、保护法,规范的核心就是民事权益,当然应当对个人信息权益作出规定并加以调整,正因如此,《民法典》总则编第5章在列举我国的民事权益体系时,才明确地对个人信息保护作出规定,同时,《民法典》又在人格权编中进行了更加具体细致的规定。《个人信息保护法》以保护自然人的个人信息权益作为首要立法目的,该法第1章“总则”以及第4章“个人在个人信息处理活动中的权利”中都详细地规定了自然人的个人信息权益的内容与类型。从个人信息权益的角度来说,《民法典》对个人信息保护法的规定与《个人信息保护法》的立法目的是相同的。同时,《民法典》中的很多规范也当然适用于个人信息保护,如关于侵害个人信息权益的民事责任,隐私权的保护与个人信息保护、监护人制度等。
当然,《民法典》与《个人信息保护法》也存在明显的区别:首先,侧重点不同。《民法典》是从民事权益的保护尤其是从侵害个人信息权益的侵权责任的角度对个人信息保护作出规定的。但是,《个人信息保护法》是通过对个人信息处理进行全方位、动态性、强制性的规范,以明确个人信息处理的规则,确立个人在个人信息处理中的权利,规定个人信息处理者的义务以及履行个人信息保护职责的部门,从而对个人信息权益作出更全面、更系统的保护,同时该法所规定的法律责任既有民事责任,也有行政责任。
其次,调整的对象不同。《民法典》调整的是“平等主体的自然人、法人和非法人组织之间的人身关系和财产关系”(第2条),但是,作为《个人信息保护法》调整的个人信息的处理,不限于平等主体之间,还包括国家机关以及法律、法规授权的具有公共事务管理职能的组织为了履行法定职责而处理个人信息的情形,此时,二者显然不是平等主体之间的关系,而是命令与服从的关系。不仅如此,在个人信息跨境转移的情形下,还涉及国家主权等国际法上的问题。故此,就个人信息处理规则而言,《个人信息保护法》有其独特的调整对象与调整方法。
最后,侵害个人信息权益的法律责任不同。《民法典》规定的侵害个人信息权益的法律责任就是民事责任,主要是侵权责任。具体而言,此种侵权责任的承担应当适用《民法典》第1165条第1款规定的过错责任原则,即要求加害行为、权益被侵害、损害以及过错等要件。但是,在《个人信息保护法》中,侵害个人在个人信息处理活动的权利并不当然都会产生民事责任,而是可能产生行政法律责任,如履行个人信息保护职责的部门对处理者进行处罚,例如,违反《个人信息保护法》第44条的规定,侵害个人对其个人信息的处理享有的知情权的行为可能表现为没有履行该法第18条规定的告知义务。如果该侵害知情权的行为造成个人的隐私权、名誉权等被侵害,则会产生侵权责任,否则单纯的侵害知情权的行为,可能只是引发《个人信息保护法》第66条的行政法律责任。此外,即便是侵害个人信息权益的侵权责任,《个人信息保护法》第69条的规定相对于《民法典》的规定也是特别法,应当优先适用。
总之,《个人信息保护法》是一部对个人信息保护进行全面规范的兼具公法与私法性质的综合性法律,其与《民法典》相辅相成,共同发挥保护个人信息权益,实现个人信息合理利用的目的。
◆ 相关规定
《宪法》第37条、第38条;《民法典》第109条、第990条;《数据安全法》第1条、第7条