龙卫球:《个人信息保护法》的基本法定位与保护功能——基于新法体系形成及其展开的分析

选择字号:   本文共阅读 231 次 更新时间:2021-12-30 16:44:44

进入专题: 《个人信息保护法》  

龙卫球 (进入专栏)  
此外,个人信息处理发生重要变更,还应重新取得同意。第15条规定同意的撤回条件、方式和效果。第16条规定个人信息处理者不得以个人不同意或撤回同意为由,拒绝提供产品或服务,除非信息处理属于必需。这一条具有很大的现实意义,目前许多网络产品和服务的提供者为了收集个人信息,采取强制个人同意的办法,否则就不提供产品或服务,有了这一规定,就明确了这种行为的违法性。第17条规定同意要件中充分知情的具体要求,即个人信息处理者必须以显著方式、清晰易懂的语言真实、准确、完整地向个人告知本条列举的必要事项。《个人信息保护法(草案)》(三次审议稿)相比《个人信息保护法(草案)》(二次审议稿),添加了“真实、准确、完整”几个词,更加明确了其严格保护个人信息的立场,防止不充分知情的滥用。第18条规定告知(充分知情)的豁免,包括两种情形,即法律、行政法规规定不需要告知的情况和出现紧急情况(但消除后仍然要及时告知)。第19条规定了个人信息的保存期限,从有利于个人出发,应为实现处理目的所必要的最短时间。

  

   《个人信息保护法》第20条到第23条是关于共同处理、委托处理、因主体变更需要转移、向第三方提供处理的特殊行为规则。第20条规定了多人共同处理个人信息时的行为规则和责任承担,即内部可以约定如何处理,但对外不改变个人对其个人信息的权利,出现损害时,信息处理者应承担连带责任。第21条规定委托处理时的行为规则和相应责任。总体上,委托人仍然是个人信息处理者,应承担行为责任,受托人作为协助者承担相应行为的责任。具体而言,委托人对受委托人的信息处理活动进行监督;受托人依据合同处理个人信息;合同不生效、无效、被撤销或者终止,受托人则应当将个人信息返还个人信息处理者,或者予以删除,不得保留;受托人未经个人信息处理者授权,不得再转委托。第22条规定因合并、分立、解散、被宣告破产等需要转移个人信息时的行为规则。个人信息原则上允许转移,但应当告知个人,并由接收者继续履行个人信息处理者的义务。接收方变更原先处理事项,则需要取得重新同意。这一规定一方面注意与营业转让的合理需要相适应,另一方面也强调避免滥用加害情况的发生。第23条规定了向第三方提供处理的个人信息的一般规则,即采取告知加取得单独同意的严格要求。

  

   《个人信息保护法》第24条规定了个人信息处理者利用个人信息进行自动化决策时的特殊行为规则,针对处理者规定了正当公平使用的严格义务,并赋予个人信息应受保护的法律地位。这一条在立法中备受关注,该条立法规范基础究竟为何存在疑惑,立法者最终将之落到了个人应受公平实践对待的要求上。其一,保证决策透明和结果公平公正,《个人信息保护法(草案)》(三次审议稿)开始明确禁止价格歧视,《关于〈个人信息保护法(草案)〉审议结果报告》第二项说明了在涉及利用个人信息进行自动化决策时这种公平理念的权利义务化和行为规范化,“利用个人信息进行自动化决策,不得对个人在交易价格等交易条件上实行不合理的差别待遇”;其二,通过自动化决策向个人进行信息推送、商业营销,要求应当同时提供不针对其个人特征的选项,或者提供拒绝的方式;其三,个人信息处理者通过自动化决策作出对个人权益有重大影响的决定时,个人有权要求解释并有权拒绝仅通过自动化决策作出决定。

  

   对比GDPR,后者是在“数据画像”语境意义下看待对个人数据进行自动化处理的行为要求,将其放在第三章“数据主体权利”项下的第四节“反对权和自动化决策”之下,与个人信息主体的反对权联系在一起,体现反对权的运用。GDPR第4条之(4)规定:“‘数据画像’是指对个人数据进行任何自动化处理,包括利用个人数据评估与自然人有关的特定方面,特别是针对与自然人的工作表现、经济状况、健康状况、个人偏好、兴趣、信誉、行为习惯、位置或行踪相关的分析和预测。”在此语境下,GDPR第22条对“自动化决策,包括数据画像”予以具体化规定,明确规定了数据主体原则上不受不利于自己的自动化决策限制,数据控制者运用时应当保护数据主体的权利、自由和合法利益等规则。GDPR通过反对权,综合了权利、自由和合法利益等因素,对以个人信息自动化决策为基础的行为规则的适用基础进行了评价。其中,所谓合法利益,自然也包括应受公平对待的利益。

  

   《个人信息保护法》第25条规定了个人信息处理者禁止公开的行为规则,除非取得个人单独同意,否则不得公开其处理的个人信息。第26条对在公共场所安装图像采集、个人身份识别设备的个人信息处理行为建立基本准则,采取了限制立场:首先,应当为维护公共安全所必需;其次,应遵守国家有关规定,并设置显著的提示标志;最后,收集的信息只能用于维护公共安全目的,不得他用,此项仅可以通过个人单独同意改变。第27条规定了对已经公开的个人信息进行处理的行为规则。原则上允许在合理范围处理自愿公开和合法公开的个人信息,但有两个例外,即个人明确拒绝和处理对个人权益有重大影响的已公开的个人信息。

  

   其次,关于个人信息处理者对敏感个人信息的处理行为规范。《个人信息保护法》第二章第二节“敏感个人信息”专门就此作出严格的行为规范。个人信息处理者处理敏感个人信息,先要遵循本节规范,本节没有规定的则适用一般规定和相关原则。第28条第1款界定了何为敏感个人信息,即“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息”。该条采取列举加抽象的规定模式。抽象上的界定,是指一旦泄露或非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害,这里强调的是“容易”两个字。列举上的界定,《个人信息保护法(草案)》(三次审议稿)和前面几稿不完全一致,最终综合讨论意见,列举了生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。《个人信息保护法(草案)》(三次审议稿)还特别将“不满十四周岁未成年人的个人信息”归入敏感个人信息,旨在回应关于强化保护未成年人个人信息的社会呼声,《关于〈个人信息保护法(草案)〉审议结果报告》第五项对此做出了相关说明。第28条第2款规定了处理敏感个人信息的两个特殊前提:一是具有特定的目的和充分的必要性;二是《个人信息保护法(草案)》(三次审议稿)新增的一项要求,即采取严格保护措施。否则,不得处理敏感个人信息。第29条规定敏感个人信息处理须遵循严格同意条件,而不是一般个人信息的同意条件。这种严格同意体现为“应当取得个人的单独同意”,“如果法律、行政法规规定应当取得书面同意,还要取得书面同意”。第30条规定处理敏感个人信息,除了存在法律法规等规定应当保密等不需要告知的情形外,原则上还应履行告知的义务,告知内容包括处理的必要性和对个人权益的影响等。第31条规定了处理不满十四周岁未成年人的个人信息的特殊规则,即应当取得未成年人的父母或其他监护人的同意,该条第2款还要求个人信息处理者应当制定专门的处理规则。第32条规定法律、行政法规对敏感个人信息处理有特殊限制的,还应取得相关许可或遵循限制规定。

  

   最后,关于国家机关作为个人信息处理者的行为规范。《个人信息保护法》第二章第三节是关于“国家机关作为个人信息处理者的特别规定”。《民法典》第1039条规定了国家机关等作为个人信息处理者应承担的义务,但未具体规定其行为规范,《个人信息保护法》对此作出了完善。第34条规定了国家机关处理个人信息应受法定职责限制,这一规定是《民法典》所没有的,从而为国家机关能否从事个人信息处理活动以及在什么范围从事限定了前提、范围和程序。国家机关为履行法定职责处理个人信息,必须依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围限度。第35条规定国家机关还应当履行告知义务,但此项要求可因法律、行政法规的保密规定而排除,或者因告知会导致履职妨碍而排除。第36条规定国家机关对其掌握的个人信息应为国内存储的要求,如确需向境外提供,则应做安全评估。第37条规定本节关于国家机关的特殊规定也适用于法律法规授权的具有管理公共事务职能的组织为履职处理个人信息的活动。

  

   四、《个人信息保护法》的保护功能预设及其综合治理保护体系

  

   (一)《个人信息保护法》的保护功能预设及其背景

  

   目前各国的个人信息规范体系的一个突出的共同特点是在“保护法”的功能取向下展开其内部体系,无一例外冠以“保护”之名,我国也不例外。《个人信息保护法》明确宣示以个人信息保护为功能预设。该法第1条是对立法宗旨的宣示,即“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用”,明确把“保护”放在首位。也就是说,这部法律的根本定性是保护法,重在保护“个人信息权益”。相较于“保护”,“规范”和“促进”则是手段和方法,是以“保护”这一基本功能为前提的“规范”和“促进”。《个人信息保护法》第2条明确宣示自然人的个人信息具有受法律保护的地位,即“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益”,继续强化了该法作为保护法的设计理念和基本追求。

  

《个人信息保护法》第2条也显示本法的保护对象是“个人信息权益”。不过,这一表述与传统民事权利概念相比,具有模糊性。“个人信息权益”其实是指称存在于“个人信息受法律保护”语境中的法益,欧盟GDPR甚至称之为个人信息保护权。在《民法总则》的制定和《民法典》编纂过程中,有观点建议使用“个人信息权”的表述。但无论是《民法总则》《民法典》还是现在的《个人信息保护法》都没有使用“个人信息权”概念,而是采取了“个人信息保护”的框架表述。这是因为,个人因个人信息处理而涉及到的个人相关利益,反映到法律上比较复杂,不宜简单表述为“个人信息权”。“个人信息受保护的权利与其他人格权在考量因素上有所不同,个人信息的保护要恰当平衡信息的利益与数据共享利用之间的关系。”我们注意到,欧盟虽然在基本权利的高度上看待个人信息保护,但同样也没有确立“个人数据权”这样的简单概念。首先,GDPR序言的第(1)项宣称,“自然人在个人数据处理过程中获得保护是一项基本权利”,这一表述其实呼应了《欧盟基本权利宪章》第8条第1款和《欧盟运行条约》第16条第1款关于个人信息保护的表述,即“人人均有权就其个人数据获得保护的权利”。其次,该法序言第(4)项明确指出,个人数据的处理应服务于人类,保护个人数据的权利不是绝对权利,需要综合考虑其社会功能并依据比例原则与其他基本权利保持平衡。也就是说,尽管个人信息保护是必要的,但也不能简单将其认定为是个人信息权,或者说是绝对的个人信息权利。个人信息保护不仅涉及个人法益确定的微妙性,还涉及个人利益与其他基本权利以及社会功能的平衡问题。美国虽然将个人信息保护视为隐私权的一部分,并通过“信息隐私”(Information Privacy)概念将其纳入,但也是在原本就多样化的隐私权概念基础上进行谨慎而有区别的保护。“信息隐私”与以美国宪法第四修正案和普通法实践为依据而获得保护的隐私有所区别,后者诸如有形隐私(比如身体隐私、空间隐私)、财产隐私以及决定隐私。“信息隐私”作为一个更加微妙的动态领域,必须对其进行差异化对待,进而使其可以归入广义“信息法”(Information Law)的范畴,成为一个更加需要平衡“私人与公共”(the Private and the Public)关系的复杂领域。(点击此处阅读下一页)

进入 龙卫球 的专栏     进入专题: 《个人信息保护法》  

本文责编:陈冬冬
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 民商法学
本文链接:http://www.aisixiang.com/data/130618.html
文章来源:《现代法学》2021年第5期

0 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2022 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号-1 京公网安备11010602120014号.
工业和信息化部备案管理系统