龙卫球:《个人信息保护法》的基本法定位与保护功能——基于新法体系形成及其展开的分析

选择字号:   本文共阅读 231 次 更新时间:2021-12-30 16:44:44

进入专题: 《个人信息保护法》  

龙卫球 (进入专栏)  

  

   《个人信息保护法》作为保护法面世,源于个人信息处理时呈现的个人权益的微妙性和复杂性,正是这种权益的微妙性和复杂性导致了保护的微妙性和复杂性,体现为一种独特的系统保护机制,这不仅区别于部门法的单一机制,也区别于不同部门法机制的简单叠加。《个人信息保护法》作为保护法,以维护个人利益为立足点,这一点与民法类似,因为民法就是以保护个人利益为目的的法律。但是从保护法角度立法,重点不仅仅在于保护对象的微妙和复杂,也在于需要确立与这种保护要求相适应的规范手段和体系。这种复杂的规范机制和体系导致《个人信息保护法》与《民法典》之间存在巨大差异,从而使其不能作为民法典的下位单行法,而应具备领域基本法的独立价值。2020年出台的《民法典》为了体现时代性,彰显对新型领域的及时关注,努力将个人信息保护纳入进来,就个人信息保护设立相关私法制度。但是,立法者发现难以使用“个人信息权”的概念来统括民法上的个人信息保护。因而,在个人信息保护规范语境中采用了“自然人关于个人信息的权利+个人信息处理者的义务+处理行为规范”的复杂架构。即使这样,我们也不难发现,因受到民法规范体系和机制的限制,将个人信息纳入民法典进行保护并不能充分满足个人信息保护需要。如《关于〈个人信息保护法(草案)〉的说明》所言,《民法典》出台之后,我国社会各方面仍然“广泛呼吁出台专门的个人信息保护法”,以便“增强法律规范的系统性、针对性和可操作性,在个人信息保护方面形成更加完备的制度、提供更加有力的法律保障”。《个人信息保护法》的制定正是为了回应对更加完备、更加有效的个人信息保护规范体系的需求。

  

   (二)《个人信息保护法》作为保护法的体系展开

  

   由于受到传统民法观念或者简单自由主义观念的影响,早期信息隐私或个人信息保护提倡依靠个人信息主体自我管理的模式,希望通过明确设定私法意义的权利、义务和行为规范,引导权利、义务或行为主体自主自觉,进而达成个人信息保护的善治。这里的关键是鼓励个人信息权利主体积极行权和主张保护。首先,明确设定的相关权利,如知情权、同意权、查阅权、异议更正权、删除权、可携带权等,为个人提供可自主控制自己信息的个人信息权利体系。其次,针对个人信息处理者设定相应的私法保护义务和行为规范,希望借此形成一种约束。一方面鼓励义务人和行为人自觉,另一方面通过民事责任和行为否定效果来保障这种自觉。但事实证明这种模式是失灵的,相关权利义务乃至行为规则经常形同虚设,因为作为自主管理机制的关键主体即个人信息权利主体,除了面临认知困境(隐私政策的信息不对称),也面临着结构问题(规模问题、结合问题、评估损害问题等),往往处于一种无知无力的困局,因此很难达到法律设计的预期。

  

   《个人信息保护法》针对这一失灵加以重点改进,希望提供一个更加充分、更加有效的保护体系,其最终确立起来的保护规范体系体现了新型法律体系以保护为目的的鲜明特点和趋势。即自主管理和外部管理相协同、一般责任和特殊责任相配合的多元促进和保障的综合保护体系,体现为“自然人关于个人信息的权利+个人信息处理者的义务+处理行为规范+管理保护规范+特殊法律责任”的综合治理保护逻辑结构。一方面,以问题为导向,结合对个人信息保护自主管理的实践悖论的认知,对相关基本私法制度及其自主管理体系进行了极大完善,在私法结构上更加复杂化,且更加突出以建构行为规范为重心。如此,个人信息保护自主管理的“权利—义务—具体行为规范”的逻辑体系才更加完整。另一方面,以保护为目的引入个人信息保护的外部管理机制和特殊法律责任机制,通过针对性的管理和严厉的特殊责任重点防治这一领域个人信息处理者追求赢者通吃的现象。

  

   (三)完善自主管理体系与作为重点的个人信息处理行为规范机制

  

   《个人信息保护法》注重完善个人信息自主管理体系,首先体现为对相关权利、义务、具体行为规范做出更加合理的配置,其次体现为对自主管理的失灵做出必要修补。比如,对一些权利义务的条件或行使规则作出了更加细化的规定,对一些易于滥用或规避的方面明确规定了不得滥用或规避的情形,等等。相比《民法典》,《个人信息保护法》对个人信息的相关权利、义务和行为规范的规定所做的修补是体系化、细节化的。

  

   《个人信息保护法》修补和完善的重点之一,就是设置了一套严密的个人信息处理行为规范。对于个人信息处理,尽管个人信息权利义务设定本身很重要,但在规范路径的精准施策方面却存在不足,“规范个人信息处理活动”最重要的是对处理行为的规制,通过具体行为规制,可以更好解决个人信息保护中各种矛盾关系。目前各国个人信息保护的规范体系共同特点都是在“个人信息保护”的框架下突出强调对个人信息处理者的行为进行规范的重要性,而不是依赖相关个人信息的权利义务设定。我国《个人信息保护法》也不例外。按照第1条揭示,《个人信息保护法》保护功能的实现途径是“规范个人信息处理活动”。显然,重点落在对处理活动的规范。当然,这种规范设计有两个额外要求:其一,应该是积极的,即同时“促进个人信息合理利用”,这意味着规范个人信息活动,不能因噎废食,而应同时符合数字化社会的发展需要,保持必要的数据流动、共享,促进数字经济发展;其二,这种规范设计最终需要服务于保护“个人信息权益”这一根本目的。总体而言《,个人信息保护法》通过“行为原则+行为规则”的模式,融贯相关权利义务规定,在“一般个人信息”“敏感个人信息”“国家机关作为个人信息处理者”三项区分的基础上,建立了一个极其繁复的处理行为规范体系。

  

   《个人信息保护法》保护功能的发挥,重点应落在对行为规范体系的执行和监督。行为规范体系既是个人信息处理者的具体行为指引,也是当事人和管理者据以判断处理活动是否合法合规的具体标准。个人信息处理行为的合法合规,首先体现为是对具体行为规范的遵循。传统人格权,比如生命权、身体权、健康权等,虽然也随着医疗等社会体系的发展,在保护上已经比较复杂,但是尚无重点设计具体行为规范的必要,通过确定基本人格权范畴以及他人不得干涉的绝对义务,通常就可以发挥规范保护的效果。此后,随着名誉权、姓名权、肖像权、隐私权(美国把姓名和肖像也纳入隐私权保护范畴,视为可公开权化中的信息隐私)等逐渐发展,情况就变得有些不同,这些权利本身的边界存在模糊性,难以通过确定权利和规定他人不得干涉的绝对义务达到规范保护效果。因此,有必要引入一些行为规范,使原有规范具有更加精确的指引性,但通常体现为一些禁止行为规范,此外也可以规定减免责任的行为情形,这在一定程度上是平衡保护思想的体现。但是,到个人信息保护出现和发展起来,情况就不一样了,由于个人信息保护体现的相关权利和义务具有明显的模糊性和多样分叉的特点,依靠传统的权利义务规范模式显然难以起到精确规范和指引的效果,因此,有必要突出对个人信息处理行为的规范,以实现法律保护的明确和具体,从而体现出由权利义务规范向行为规范迁移的显著变化。

  

   (四)《个人信息保护法》外部治理保护体系及其积极管理和特殊法律责任机制

  

   《个人信息保护法》反思了在复杂的数字化背景下,个人信息保护仅仅依靠自我管理模式的重要不足。现实中,个人信息处理者具有极强的逐利需求,同时又处于数字权力和信息不对称的绝对优势地位,容易因巨大利益诱惑而背离保护的要求。所以,除了对相关自主管理规则做完善之外,还应从切实保障个人信息保护有效性的角度,建立更加合理、科学和合乎实际的治理保护体系。其中,重点引入外部治理保护体系,通过外部加压,打造个人信息保护的坚固防护网,主要机制包括确立积极管理制度和特殊法律责任。其中“积极管理”制度主要体现在第六章“履行个人信息保护职责的部门”,“特殊法律责任”制度则体现在第七章“法律责任”。

  

   首先,引入强有力的积极管理制度。对个人信息保护是否应当以及如何引入外部的积极管理制度,理论上存在对家长式规范可行性的疑虑。我们注意到,即使是奉行自由经济的欧盟,也在这方面果断采取赞成的立场,GDPR确立有强度的积极管理制度,建立专门监管机构,赋予强大的管理权、执法权和问责权,形成了一种通过积极管理而达成个人信息保护的治理示范。我国立法过程中对于是否应当引入这一模式也争议不大,有争议的是强度问题,诸如应该在自主管理和外部管理之间保持怎样的平衡?如何更好配合?授予谁来管理?赋予多大管理职权以及哪些职权?采取何种措施保障管理职权落在实处?这些方面的决断取决于很多条件和因素,既有数字化特定发展阶段个人信息治理的规律性因素,也有国情习惯因素。《个人信息保护法》第六章“履行个人信息保护职责的部门”,立足中国管理体制及其发展的实际特点,吸收欧盟和有关国家专门化监管的经验,在合理化的基础上构建了一套专门化的明显体现外部强力的管理保护制度,其呈现出以下三个方面的内容特点:

  

   一是确立统筹协调与分工负责的多元管理体系。我国并未建立新的个人信息保护专门管理机构,而是采取对现有管理主体赋权的管理方式。《个人信息保护法》第60条规定了管理主体及其地位,其中第1款规定中央层面由国家网信部门负责统筹协调,国务院其他有关部门依法分工负责,第2款规定地方政府有关部门的职责由国家有关规定确定。

  

   二是确立了以防治为重点的积极管理模式。主要体现为赋予保护部门包括防治职权在内的强管理职责,从预防的角度布局管理保护。《个人信息保护法》第61条规定了管理主体的一般职责,适用于所有管理主体,共五项,包括开展宣传教育、指导监督,接受处理投诉举报,调查处理违法活动,法律、行政法规规定的其他职责等。《个人信息保护法(草案)》(三次审议稿)才开始增加其中第三项重要职责,即“组织对应用程序等个人信息保护情况进行测评,并公布测评结果”,这是为了回应现实生活中应用程序滥用权限侵害个人信息的乱象而提出的一项职责。近年来,包括国家互联网信息办公室、工业和信息化部、公安部、市场监督管理总局等在内的有关部门,针对应用程序违法违规大量收集个人信息的情况,多次组织对APP侵害用户权益行为的专项治理行动,特别是对网络平台上的各种应用程序进行测试检查,发挥了较好的预防和治理效果,对于保护个人信息起到明显效果。《个人信息保护法》出台前,治理APP运营者违法违规收集使用个人信息,重点依据《网络安全法》《关于印发〈App违法违规收集使用个人信息行为认定方法〉的通知》(国信办秘字[2019]191号)、《关于印发〈常见类型移动互联网应用程序必要个人信息范围规定〉的通知》(国信办秘字[2021]14号)、《App违法违规收集使用个人信息自评估指南》(App专项治理工作组2019年3月编制)等相关法律和规定,但是由于管理授权不够清晰,其适用存在合法性疑虑。《个人信息保护法》明确了管理部门可以依据第61条对APP实施监管,在此条规定下,管理部门实施了监管APP的行为不用担心合法性问题,反之如果不实施监管倒要担心是否构成不作为。

  

《个人信息保护法》第62条规定了专属于国家网信部门的五项职责,为其开展相关工作提供了法律依据。这些工作兼具统筹协调的功能,但同时更是其具体职责,包括制定个人信息保护的具体规则、标准,制定针对特殊方面的个人信息保护规则、标准,(点击此处阅读下一页)

进入 龙卫球 的专栏     进入专题: 《个人信息保护法》  

本文责编:陈冬冬
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 民商法学
本文链接:http://www.aisixiang.com/data/130618.html
文章来源:《现代法学》2021年第5期

0 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2022 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号-1 京公网安备11010602120014号.
工业和信息化部备案管理系统