二、数据保护立法现状
在现代社会治理中,将数据治理与个人信息保护放到更加重要的地位上已经成为国际社会的广泛共识。于我国而言,尽管聚焦个人信息保护的专门法律——《个人信息保护法》于2021年8月20日方正式通过,但与数据保护相关的条文早在多年以前便开始散见于法律、司法解释以及相关的部门规范性文件中,其具体的发展脉络梳理如下:
(一)非刑事法律、法规、规章层面
1.时间发展脉络
2012年3月15日,《规范互联网信息服务市场秩序若干规定》(工业和信息化部令第20号)正式施行,其明确规定,除法律、行政法规另有规定外“能够单独或者与其他信息结合识别用户的信息”的收集、使用、提供必须“经用户同意”。就此,“可识别性”成为认定个人信息的核心标准,个人信息保护的客体开始逐渐明晰。
2012年12月28日,《全国人民代表大会常务委员会关于加强网络信息保护的决定》正式发布生效,明确了国家对于网络信息安全的保护,强调了公民个人信息收集过程中的合法、正当、必要原则以及防止个人信息泄露的义务,国家越发重视对于个人的网络信息保护。
随后的两三年间,征信、工信、消费者保护等领域的立法都将个人信息保护纳入了相应的法律文本中,如《征信业管理条例》、《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号)、《消费者权益保护法》等。
2017年6月1日,《网络安全法》正式实施。作为我国网络和数据安全框架性的立法,它标志着我国网络安全保护相关的众多制度要求开始逐步建立。在安全等级保护方面,《网络安全等级保护条例(征求意见稿)》、《网络安全等级保护测评机构管理办法》(公信安〔2018〕765号)等规定相继发布或生效;在关键信息基础设施保护方面,《关键信息基础设施安全保护条例(征求意见稿)》发布;在数据出境方面,《个人信息和重要数据出境安全评估办法(修订稿)》《个人信息出境安全评估办法(征求意见稿)》(以下简称《个人信息出境办法(征求意见稿)》)等规定的制定,标志着数据跨境传输方面的制度要求逐渐完善。此外,国家网信办还于2019年5月28日发布了《数据安全管理办法(征求意见稿)》,以应对《数据安全法》出台前的数据安全保护问题。
伴随着《网络安全法》的施行和相关监管实践活动的开展,在积累了充分监管经验的前提下,更具针对性的数据立法开始大量发布。如2019年10月1日起施行的《儿童个人信息网络保护规定》(国家互联网信息办公室令第4号),对于儿童个人信息的保护采取了更加严格的手段,并基于儿童个人信息保护的特殊性对儿童个人信息保护进行了专门的规定。而针对一些App过度收集用户个人信息,隐私条款不完善等问题,国家网信办、工信部、公安部、国家市场监管总局四部委也于同年11月28日联合发布了《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)。该文件既为监管部门认定App违法违规收集使用个人信息行为提供了参考,也为App运营者自查自纠和网民社会监督提供了具体的实务指引。
2.地方立法情况
我国不同地区的网络条件及技术能力存在较大差异,不同地区数据保护情况可能存在区别。实践中,部分地方政府也尝试通过制定地方法规的方式对数据处理活动进行规范。
例如,天津市网信办发布的《天津市数据安全管理办法(暂行)》于2019年8月1日正式施行,开启了地方监管机关开展监管探索的尝试。此后,《重庆市政务数据资源管理暂行办法》《贵州省大数据安全保障条例》等地方规定也相继出台。可以预见的是,地方基于区域特点进行数据方面针对性立法的趋势仍将延续。
3.行业立法情况
随着新业务的出现和发展,数据保护亦在不同行业的立法中表现出专业化和精细化特征。
例如金融行业2011年5月1日发布的《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔2011〕17号),此后,《银行业金融机构数据治理指引》(银保监发〔2018〕22号)、《中国人民银行金融消费者权益保护实施办法》(中国人民银行令〔2020〕第5号)相继发布,对金融行业数据保护提出了具体的规范要求。
再如网约车行业和物流行业,《寄递服务用户个人信息安全管理规定》《网络预约出租汽车经营服务管理暂行办法(2019修正)》等行业立法相继发布,其中涉及大量旨在规制行业中数据收集和使用等的具体条文。
这类行业立法进一步充实了数据保护的相关规则体系,对具体行业的数据保护提供了更具针对性的规范要求。
(二)刑事层面
1.相关刑事法律
在立法层面,我国对数据和个人信息的保护存在着“刑法先行”的立法模式。
1997年修订的《刑法》规定了破坏计算机信息系统罪,侵入他人计算机删除、修改、增加数据信息的行为开始受到刑事处罚。
2009年2月28日,《刑法修正案(七)》正式施行,其增设了出售、非法提供公民个人信息罪,非法获取计算机信息系统数据、非法控制计算机信息系统罪等罪名。《刑法修正案(七)》不仅采用刑事手段规制金融机构等单位工作人员提供、获取、交易个人信息的行为,也首次将侵入非国有计算机仅获取数据的行为也纳入了刑事规制的范围之内,对于他人计算机信息的删改行为不再成为入罪的必须要件,《刑法》对数据保护的力度得以加强。
2015年施行的《刑法修正案(九)》则修改了《刑法》第253条之一,放宽了犯罪主体的限制,提升了法定最高刑的刑期,并规定对于在履行职责或者提供服务过程中获得的公民个人信息,非法出售或提供的行为,可以从重处罚。修改后,“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”被整合为“侵犯公民个人信息罪”。同时,《刑法修正案(九)》也增设了非法侵入计算机信息系统罪、破坏计算机信息系统罪等罪名的单位犯罪规定。
2.相关司法解释
最高人民法院、最高人民检察院和公安部出台了一系列同数据保护相关的司法解释,以指导相关司法案件的侦查、检察和审判。
2013年4月23日,《最高人民法院、最高人民检察院、公安部关于依法惩处侵害公民个人信息犯罪活动的通知》(公通字〔2013〕12号)要求坚决打击侵害公民个人信息犯罪活动。该通知明确规定侵害公民信息犯罪的定罪量刑应当综合考量非法出售、提供、获取个人信息的次数、数量、手段和牟利数额等因素,与此同时,该文件对于具有可识别性的个人信息进行了较为细致的列举,如姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历等。
2014年10月10日,《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(法释〔2014〕11号)正式施行,全方位地确定了利用信息网络侵害个人信息案件的审理流程与审判要点。2021年1月1日,修订后的《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》正式生效,进一步完善了相关审判流程和审判要点。
2017年6月1日,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号,以下简称《侵犯公民个人信息刑事案件解释》)正式施行。该司法解释对侵犯公民个人信息罪的构成要件、量刑标准和具体法律适用问题进行了系统性的规定。
其后两年内,《最高人民检察院检察机关办理侵犯公民个人信息案件指引》(高检发侦监字〔2018〕13号)和《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》(法释〔2019〕15号,以下简称《网络犯罪解释》)对于侵犯公民个人信息案件的具体构成要件,明确了更为细致的证据审查要求和更加清晰的定罪量刑标准。
(三)国家标准、指南层面
我国数据相关立法的一个鲜明特征便在于,通过大量的国家标准、指南为企业开展数据合规安排提供参考。国家标准在制定程序上相对更为灵活,更贴近不断发展变化的数据活动的实践需要。
2013年2月1日,《信息安全技术 公共及商用服务信息系统个人信息保护指南》(GB/Z 28828-2012)正式实施。这是我国关于个人信息保护的首个国家标准,该文件确立了信息处理的基本原则(目的明确原则、最少够用原则、公开告知原则等),明确将个人信息区分为个人敏感信息和一般个人信息,并区别规制。
2017年12月29日,全国信息安全标准化技术委员会(以下简称信安标委)发布了《信息安全技术 个人信息安全规范》(GB/T 35273-2017,以下简称《个人信息安全规范(2017)》)。该标准系我国个人信息保护领域最重要、影响最为广泛的国家标准,其对于个人信息的相关名词进行了系统化、专业化的定义,并对于个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为进行了规制。其后,根据实践中个人信息收集、使用的变化及《个人信息安全规范(2017)》在实施过程中出现的问题,信安标委分别于2019年2月1日、6月25日及10月22日发布了《信息安全技术 个人信息安全规范 (草案)》(以下简称《个人信息安全规范(草案)》)和两次征求意见稿,不断根据监管实践中发现的用户画像、个人生物识别信息收集等相关新问题对规范的内容进行调整,并于2020年3月7日发布了《信息安全技术 个人信息安全规范》(GBT 25273-2020,以下简称《个人信息安全规范》)正式稿。
在《网络安全法》确立的具体制度方面,许多制度框架亦是通过国家标准来搭建和完善的。例如,在网络安全等级保护方面,《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)、《信息安全技术 网络安全等级保护实施指南》(GB/T 25058-2019)、《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)等多部国家标准均已实施,以全力推动我国网络安全等级保护制度从“等保1.0”向“等保2.0”时代演进。再如,在《网络安全法》和《个人信息安全规范》搭建的一系列收集、使用个人信息制度的基础上,《信息安全技术 个人信息去标识化指南》(GB/T 37964-2019,以下简称《个人信息去标识化指南》)、《信息安全技术 大数据安全管理指南》(GB/T 37973-2019,以下简称《大数据安全管理指南》)、《信息安全技术 个人信息安全影响评估指南》(GB/T 39335-2020,以下简称《个人信息安全影响评估指南》)等配套国家标准也相继生效或发布,为数据安全和个人信息保护提供了更加详细和具体的指引。
(四)数据保护相关法律、法规、规章、规范性文件及国家标准汇总
当前我国数据保护相关的重要法律、法规、规章、规范性文件及国家标准参见下表:
续表
续表
续表
续表
续表
