龙卫球:《个人信息保护法》的基本法定位与保护功能——基于新法体系形成及其展开的分析

选择字号:   本文共阅读 231 次 更新时间:2021-12-30 16:44:44

进入专题: 《个人信息保护法》  

龙卫球 (进入专栏)  
“去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程”。可见,《个人信息保护法》关于个人信息的概念界定,对《民法典》个人信息的定义做出了不可忽略的修补。

  

   由于《个人信息保护法》对个人信息的概念界定仅仅进行抽象说明而没有采取列举加概括的定义方式,此项修补一方面与《民法典》相比显得更为模糊;但另一方面,明确将匿名化处理后的信息排除在个人信息的保护范围外,对执行匿名化的个人信息处理者是极大的利好,鼓励了他们积极开发和应用符合要求的匿名化处理技术。《个人信息保护法》第4条第2款还重新界定了个人信息的处理范围,包括“个人信息的收集、存储、使用、加工、传输、提供、公开、删除等”,对比《民法典》第1035条第2款的界定,即“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等”,明显增加了对“删除”的列举,这就使得“删除”明确进入应当受到规范的个人信息处理活动的范围。

  

   (二)关于对自然人个人信息的权利的修补和增加

  

   《民法典》第1037条规定了自然人对其个人信息享有的相关权利,其中第1款规定了查阅或者复制的权利、针对错误信息提出异议并请求及时更正的权利;第2款规定了在信息处理者违法或违反约定处理个人信息情形下的请求删除的权利。对比而言,《个人信息保护法》规定的个人信息的权利范围有了明显的扩展。一方面,《个人信息保护法》通过第45条第1款和第2款(查阅权、复制权)、第46条第1款和第2款(从更正权发展为更正补充权)和第47条(删除权)的规定,确认《民法典》已经明确的有关个人信息的权利,并且做出了进一步完善;另一方面,还通过第44条增加规定了知情权、决定权、限制和拒绝他人处理权,通过第45条第3款增加了可携带权,通过第48条增加了请求解释权。《中华人民共和国个人信息保护法(草案)》(二次审议稿)[以下简称为《个人信息保护法(草案)》(二次审议稿)]还规定了对死者个人信息的保护,《中华人民共和国个人信息保护法(草案)》(三次审议稿)[以下简称为《个人信息保护法(草案)》(三次审议稿)]完善为自然人死后个人信息由其近亲属在一定范围获得保护,并尊重死者生前的安排。值得说明的是可携带权,《个人信息保护法(草案)》(三次审议稿)才对该项权利的增设做出决断,《关于〈个人信息保护法(草案)〉审议结果报告》第七项对确立可携带权的由来进行了详细说明。立法过程曲折的主要原因是学界和产业界对是否引入欧美国家的可携带权存在疑虑,其中反对观点认为如果引入会给我国个人信息处理者带来巨大负担,不利于产业发展。立法者最终决定引入数据可携带权,这对于维护数据市场的公平竞争具有积极意义。数据企业特别是头部企业任意进行数据封锁,阻断数据流通,甚至进行数据垄断,从反不当竞争和反垄断的角度看业已成为一种现实危害。国家市场监督管理总局于2021年8月17日发布了《禁止网络不正当竞争行为规定(公开征求意见稿)》,对互联网经营者利用技术手段影响用户选择,包括实施平台封禁、大数据杀熟、向用户频繁弹窗等新型网络不正当竞争行为进行了分类规制,以期增强《反不正当竞争法》的适用性。从司法实践来看,目前一些典型判决也确立了结合数据封锁来分析是否构成不正当竞争的观点。可携带权有利于破除这种封锁,所以极有必要对其进行规定。

  

   关于个人信息保护的性质及其基础,一直存在争议。从比较法上看,不一而论。有观点从人格尊严与自由的角度出发,支持个人信息自决权理论。但也有学者兼从社会功能角度出发,认为个人信息的权利不是绝对的,而应该结合其社会功能来理解,这种观点支持个人信息相关权利的分叉和具体功能化,倾向兼顾人格价值和社会功能,从维护个人在数字化时代的必要人格尊严和自由以及维护公平实践等角度,综合设定和理解个人信息权利。目前后一种观点逐渐占据优势。在美国,2018年《加利福尼亚州消费者隐私保护法》和2021年的《弗吉尼亚州消费者数据保护法》甚至把个人信息权利的重心转移到了公平实践之上。在这种情况下,个人就个人信息应受保护的权益体现为在合理范围内不受干涉和应受公平利用对待的各种利益,既包括对相关处理活动的必要知情权、同意权或自主决定权等与尊严自由相关的一般人格利益,也包括应受公平和平等对待等的特殊人格利益,甚至还包括因个人信息的经济功能产生的财产化、可公开化的合理要求。

  

   (三)关于个人信息处理者义务的修补和增加

  

   《民法典》第1038条设定了个人信息处理者的一般私法义务,该条第1款规定了个人信息处理者的两项不作为义务,即禁止泄露或篡改的义务和禁止未经同意向他人非法提供的义务;第2款规定了两项作为义务,即应当采取必要措施确保个人信息安全的义务,以及在发生或者可能发生个人信息损害时应当及时采取补救措施并按规定告知和报告的义务。相比《民法典》这一规定,《个人信息保护法》关于个人信息处理者义务的规定,显然有了巨大的完善,具有相当范围的增量,既有私法义务规范,也有《民法典》未规定的管理义务规范,形成了一个更加复杂的与处理场景和安全风险密切结合的多组不同性质义务相配合的体系,体现出义务人自主管理和非自主管理的双重性。

  

   《个人信息保护法》第51条涉及的是私法义务规范,对《民法典》第1038条的规定进行了一定的扩充,但不仅仅是《民法典》第1038条的具体化、明确化。《个人信息保护法》第51条规定,个人信息处理者应当根据个人信息处理的具体情况,采取确定的六项措施来确保个人信息处理活动合法合规,并防止未经授权的访问和个人信息泄露、篡改、丢失。《个人信息保护法》第52条到58条都是关于管理义务的规定,是《民法典》所没有的,体现了《个人信息保护法》超出一般私法治理的综合治理的义务配置特点。《个人信息保护法》第52条规定,规模化的个人信息处理者具有设置个人信息保护负责人并进行报送备案的义务,这显然是一项旨在强化个人信息处理者自主管理的管理义务,不仅有利于保护个人信息权益,而且也兼具公共治理属性,防范规模数据的安全风险。第53条对符合本法规定的境外个人信息处理者设定了应在中国设立个人信息保护专门机构或指定代表并报送备案的义务。第54条规定,个人信息处理者对其个人信息处理活动具有定期进行合规审计的义务。第55条和第56条规定,对处理敏感个人信息、利用自动化决策、委托他人处理、向他人提供或公开、向境外提供等其他对个人权益有重大影响的个人信息处理活动,个人信息处理者具有事先进行影响评估和记录处理结果的义务。第57条规定,个人信息处理者在个人信息发生泄露或可能泄露时,具有补救和通知义务。第58条规定,重要互联网平台作为个人信息处理者,具有引入外部监管、正确制定平台规则、有效管控平台内违法违规产品和服务、定期发布社会责任报告和接受社会监督的加强内部管理和防范风险的义务。其中,关于重要互联网平台作为个人信息处理者的严格管理和防范义务,是《个人信息保护法(草案)》(二次审议稿)增加的,《个人信息保护法(草案)》(三次审议稿)进一步增加了应正确制定平台规则以更好明确平台产品和服务处理个人信息活动规范的管理义务。这是对现实中要求大互联网平台应当对个人信息保护承担更大责任的社会呼声的回应,也顺应了国际上平台治理规范的发展趋势,《关于〈个人信息保护法(草案)〉审议结果报告》第九项对此进行了详细说明。第59条规定,接受委托处理个人信息的受托人具有保障个人信息安全等协助义务。上述义务都是针对不具有公共职能的个人信息处理者设定的。政府机关等承担公共职能的机构及其工作人员则存在特殊性,《民法典》第1039条规定,其作为个人信息处理者时,应承担对隐私和个人信息的保密义务,以及禁止泄露或非法向他人提供的义务。

  

   (四)关于个人信息处理者对个人信息处理规则的修补

  

   《民法典》对个人信息保护的设计,突出了“权利—义务—行为规范”的三层私法保护体系,也就是说,在规定权利、义务的同时,还设定了个人信息处理者从事处理活动的行为规范。这种设计的复杂性已经不同于传统人格权或者其他绝对权的保护模式。《民法典》第1035条属于积极规范,规定了处理行为的原则和条件等。其中,原则为“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理”。条件有四:除法律法规有例外规定,应征得该自然人或者其监护人同意;公开处理信息的规则;明示处理信息的目的、方式和范围;不违反法律、行政法规的规定和双方的约定。《民法典》第1036条属于消极规范,规定了行为免责事项,即在三种情况下个人信息处理者可以不承担民事责任:在自然人或者其监护人同意范围内合理实施的行为;合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;为维护公共利益或者该自然人合法权益,合理实施的其他行为。

  

   对《民法典》的个人信息处理行为规则,《个人信息保护法》基于自身更加系统的设计优势,做出了细化发展,也进行了明显的修补。《个人信息保护法》注意原则与规则的区分,第一章“总则”规定了有关个人信息处理的原则,即通过第5条到第10条宣示了个人信息处理的六项原则。第5条为遵循合法、正当、必要、诚信原则,第6条为遵循目的限制和影响最小化原则(处理个人信息应符合明确、合理目的,需与信息处理的目的直接相关并采取对个人权益影响最小的方式),第7条为遵循公开、透明原则(公开处理规则以及明示处理的目的、方式和范围),第8条为保障个人信息质量原则(处理个人信息应当保障个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响),第9条为处理者应对活动负责和采取必要措施保障安全的原则,第10条为禁止从事违法和危害国家安全、公共利益的个人信息处理活动的原则。上述原则应该通过“原则+规则”的解释架构,一并融入第二章“个人信息处理规则”加以适用。第二章不仅区分了《民法典》没有注意区分的一般信息和敏感信息,对处理个人信息的活动建立了双层行为标准,而且还关注了《民法典》虽做出了义务配置,但在行为规范上却失之考虑的国家机关,增加了其处理个人信息时的相应行为规范要求。相关行为规则,具体可作如下理解。

  

   首先,关于个人信息处理者对一般个人信息的处理行为规范,《个人信息保护法》第二章第一节“一般规定”作出了全面规定。第13条设定了可以处理他人个人信息的七种情形,除这七种情形外不得处理他人的个人信息。这七种情形实际暗含了处理个人信息需以同意为条件,但是比《民法典》的规定更加具体,除了第1项为取得他人同意,其他六项均反向列举了不需要同意的具体情形,包括:为订立、履行个人作为一方当事人的合同或人力资源管理所必需;为履行法定职责或者法定义务所必需;为应对突发公共卫生事件或者紧急情况下为保护自然人的生命健康和财产安全所必需;合理范围处理个人自行公开或已经合法公开的信息,为公共利益实施新闻报道、舆论监督等在合理范围处理个人信息;法律、行政法规规定的其他情形。

  

《个人信息保护法》第14条到第17条是对同意的具体要件、撤回、效力、知情告知要求与豁免等的规定,这些在《民法典》上鲜有涉及,因此是重要的细化和完善。第14条规定了基于个人同意处理个人信息的情形,即须以充分知情和明确作出为基本要求,必要时,法律、行政法规可以规定单独同意或书面同意。(点击此处阅读下一页)

进入 龙卫球 的专栏     进入专题: 《个人信息保护法》  

本文责编:陈冬冬
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 民商法学
本文链接:http://www.aisixiang.com/data/130618.html
文章来源:《现代法学》2021年第5期

0 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2022 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号-1 京公网安备11010602120014号.
工业和信息化部备案管理系统