《個(gè)人信息保護(hù)法（草案）》的立法評(píng)析與完善思考*

黃道麗，胡文華

（公安部第三研究所，上海 201204）

0 引 言

2020 年10 月21 日，《個(gè)人信息保護(hù)法（草案）》（以下簡(jiǎn)稱草案）在中國(guó)人大網(wǎng)正式向社會(huì)公布并征求意見(jiàn)。繼個(gè)人信息保護(hù)相關(guān)規(guī)定散布于《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《中華人民共和國(guó)刑法》《消費(fèi)者權(quán)益保護(hù)法》《網(wǎng)絡(luò)安全法》《民法典》等法律法規(guī)之后，我國(guó)即將邁入個(gè)人信息保護(hù)專(zhuān)門(mén)立法、統(tǒng)一規(guī)范的新時(shí)代。在全球數(shù)字經(jīng)濟(jì)迅猛發(fā)展，國(guó)際社會(huì)圍繞數(shù)據(jù)控制力與主導(dǎo)權(quán)的博弈日趨激烈，國(guó)內(nèi)加快培育數(shù)據(jù)要素市場(chǎng)的背景下，草案是具有中國(guó)特色個(gè)人信息保護(hù)思路的集中體現(xiàn)。草案對(duì)個(gè)人信息的處理規(guī)則、個(gè)人權(quán)利和處理者義務(wù)、跨境流動(dòng)、監(jiān)督管理、侵權(quán)救濟(jì)、法律責(zé)任等作出了明確規(guī)定，為數(shù)字時(shí)代的個(gè)人信息權(quán)益保護(hù)、個(gè)人信息有序、自由流動(dòng)確立了基本框架。

1 《個(gè)人信息保護(hù)法（草案）》的中國(guó)特色

近年來(lái)，在國(guó)外歐盟《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，GDPR） 掀起的全球個(gè)人信息保護(hù)立法浪潮盛行，國(guó)內(nèi)個(gè)人信息非法采集、濫用、泄露等形勢(shì)嚴(yán)峻的背景下，我國(guó)不斷強(qiáng)化對(duì)個(gè)人信息保護(hù)的監(jiān)管與執(zhí)法力度，并進(jìn)行制度探索。

一方面，國(guó)家相關(guān)立法快速推進(jìn)，《網(wǎng)絡(luò)安全法》《民法典》相繼出臺(tái)，在基本法層面構(gòu)建了個(gè)人信息保護(hù)的行政和民事基本規(guī)范。另一方面，部門(mén)規(guī)范、地方規(guī)范、標(biāo)準(zhǔn)規(guī)范等自下而上的制度探索全面展開(kāi)。國(guó)家互聯(lián)網(wǎng)信息辦公室相繼發(fā)布《數(shù)據(jù)安全管理辦法（征求意見(jiàn)稿）》《個(gè)人信息出境安全評(píng)估辦法（征求意見(jiàn)稿）》。地方層面圍繞數(shù)據(jù)跨境、數(shù)據(jù)安全保障、數(shù)據(jù)開(kāi)放、數(shù)據(jù)權(quán)等問(wèn)題積極先試先行，典型如《天津市數(shù)據(jù)安全管理辦法（暫行）》《貴州省大數(shù)據(jù)安全保障條例》《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例（征求意見(jiàn)稿）》《中國(guó)（上海）自由貿(mào)易試驗(yàn)區(qū)臨港新片區(qū)總體方案的通知》《海南自由貿(mào)易港建設(shè)總體方案》等[1]。標(biāo)準(zhǔn)規(guī)范層面，國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》出臺(tái)并實(shí)施，充分發(fā)揮標(biāo)準(zhǔn)與行業(yè)的良性互動(dòng)作用。

在個(gè)人信息保護(hù)執(zhí)法層面，圍繞個(gè)人信息非法采集和濫用、數(shù)據(jù)三性破壞等活動(dòng)的數(shù)據(jù)安全專(zhuān)項(xiàng)治理行動(dòng)空前有力。App 違法違規(guī)收集使用個(gè)人信息專(zhuān)項(xiàng)治理行動(dòng)全面展開(kāi)，公安部、市場(chǎng)監(jiān)管總局、工信部、網(wǎng)信辦等部門(mén)充分發(fā)揮監(jiān)管、主管職責(zé)開(kāi)展個(gè)人信息保護(hù)專(zhuān)項(xiàng)行動(dòng)。為保持對(duì)侵犯公民個(gè)人信息違法犯罪的高壓嚴(yán)打態(tài)勢(shì)，形成源頭治理、綜合治理、系統(tǒng)治理的工作格局，2020 年4 月，經(jīng)中央領(lǐng)導(dǎo)批準(zhǔn)，公安部與中央網(wǎng)信辦牽頭，建立打擊危害公民個(gè)人信息和數(shù)據(jù)安全違法犯罪長(zhǎng)效機(jī)制。

正是在這樣的背景下，我國(guó)《個(gè)人信息保護(hù)法（草案）》出臺(tái)。從現(xiàn)有規(guī)定來(lái)看，草案吸收了近年來(lái)個(gè)人信息保護(hù)的國(guó)際經(jīng)驗(yàn)以及國(guó)內(nèi)前期《網(wǎng)絡(luò)安全法》《民法典》等立法、標(biāo)準(zhǔn)和實(shí)踐經(jīng)驗(yàn)，使得草案既與國(guó)際接軌，又不乏中國(guó)特色。尤其是與歐盟GDPR 相比，草案在個(gè)人信息處理的合法性基礎(chǔ)、信息主體權(quán)利、個(gè)人信息處理者義務(wù)的規(guī)范方面引入了歐盟GDPR 的理念和相關(guān)規(guī)定，但同時(shí)也具有鮮明的中國(guó)特色：

第一，以“個(gè)人信息處理者為中心”的監(jiān)管思路。GDPR 從概念上對(duì)數(shù)據(jù)控制者和數(shù)據(jù)處理者進(jìn)行區(qū)分，并分別對(duì)其設(shè)置了個(gè)人信息保護(hù)義務(wù)。草案中的委托方、受托方基本對(duì)應(yīng)于GDPR 中界定的數(shù)據(jù)控制者和數(shù)據(jù)處理者概念。但與GDPR 對(duì)數(shù)據(jù)處理者同樣設(shè)置個(gè)人信息保護(hù)義務(wù)的規(guī)定不同，草案將個(gè)人信息保護(hù)義務(wù)集中于“個(gè)人信息處理者”，明確個(gè)人信息處理者應(yīng)當(dāng)對(duì)其個(gè)人信息處理活動(dòng)負(fù)責(zé), 并采取必要措施保障所處理的個(gè)人信息的安全（第9 條）。草案還設(shè)專(zhuān)章規(guī)定個(gè)人信息處理者義務(wù)（第5章）。根據(jù)草案第69 條的規(guī)定，“個(gè)人信息處理者”是指自主決定處理目的、處理方式等個(gè)人信息處理事項(xiàng)的組織、個(gè)人。根據(jù)這一界定，不能自主決定處理目的、處理方式的受托者并不屬于“個(gè)人信息處理者”。從這一立法思路來(lái)看，所有的監(jiān)管均圍繞“個(gè)人信息處理者”為中心展開(kāi)。

第二，數(shù)據(jù)本地存儲(chǔ)和跨境提供問(wèn)題?？缇硵?shù)據(jù)流動(dòng)已經(jīng)成為時(shí)代發(fā)展的必然要求。但與此同時(shí)，其所帶來(lái)的隱私保護(hù)問(wèn)題、數(shù)據(jù)主權(quán)問(wèn)題、國(guó)家安全問(wèn)題使得各國(guó)在此問(wèn)題上存在諸多分歧，不同主權(quán)國(guó)家法治傳統(tǒng)與制度環(huán)境的差異導(dǎo)致跨境數(shù)據(jù)流動(dòng)的規(guī)制沖突日益嚴(yán)重。據(jù)美國(guó)信息技術(shù)創(chuàng)新基金2017 年4 月統(tǒng)計(jì)，除信息化水平較低的非洲外，絕大多數(shù)國(guó)家均已實(shí)施了不同程度的數(shù)據(jù)本地化政策[2]。數(shù)據(jù)本地存儲(chǔ)和跨境提供是《網(wǎng)絡(luò)安全法》諸多制度設(shè)計(jì)中一直難以落地的關(guān)鍵問(wèn)題之一。草案細(xì)化了個(gè)人信息本地化和跨境傳輸?shù)囊?，目前?guī)定的部分內(nèi)容突破了《網(wǎng)絡(luò)安全法》第37 條規(guī)定，本地存儲(chǔ)的義務(wù)主體既包括國(guó)家機(jī)關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者，還包括處理個(gè)人信息達(dá)到規(guī)定數(shù)量的個(gè)人信息處理者。

2 制度定位：保障個(gè)體權(quán)益兼顧數(shù)據(jù)要素市場(chǎng)培育

個(gè)人數(shù)據(jù)作為大數(shù)據(jù)的重要基礎(chǔ)資源，具有重大的商業(yè)價(jià)值和社會(huì)價(jià)值。在個(gè)人信息保護(hù)立法過(guò)程中，“不同于傳統(tǒng)隱私權(quán)從個(gè)體出發(fā)為個(gè)體提供單一向度的權(quán)利保護(hù)，個(gè)人信息需要從保護(hù)和利用兩個(gè)角度兼得的視角加以考量”[3]。其是在中央將數(shù)據(jù)與土地、資本、勞動(dòng)力、技術(shù)并列為五大生產(chǎn)要素的背景下，個(gè)人信息保護(hù)立法應(yīng)當(dāng)在關(guān)注個(gè)人信息人格屬性保障的同時(shí)，兼顧其經(jīng)濟(jì)價(jià)值和社會(huì)價(jià)值的釋放，為數(shù)據(jù)要素市場(chǎng)化建設(shè)提供制度支撐。從全球范圍來(lái)看，無(wú)論是歐盟的GDPR 還是美國(guó)《加州消費(fèi)者隱私法》（California Consumer Privacy Act，CCPA）的規(guī)則設(shè)計(jì)，其在考慮對(duì)信息主體進(jìn)行保護(hù)的同時(shí)，也將數(shù)字經(jīng)濟(jì)發(fā)展作為重要考量因素之一。這要求立法的制度建設(shè)需從增強(qiáng)用戶（信息主體）信任和企業(yè)激勵(lì)機(jī)制兩個(gè)維度著手。

從草案目前版本來(lái)看，立法者已經(jīng)注意到了這一點(diǎn)，并在部分制度建設(shè)中有意平衡個(gè)體權(quán)利保護(hù)和企業(yè)責(zé)任承擔(dān)之間的關(guān)系。例如草案在“知情—同意”之外增加了“為訂立或者履行個(gè)人作為一方當(dāng)事人的合同所必需”等其他四項(xiàng)個(gè)人信息處理的合法性基礎(chǔ)。在數(shù)據(jù)泄露通知方面，規(guī)定個(gè)人信息處理者采取措施能夠有效避免信息泄露造成損害的，可以不通知個(gè)人，這大大降低了企業(yè)的通知成本。但草案仍存在以下問(wèn)題亟待解決：

第一，部分場(chǎng)景仍堅(jiān)持“同意為王”的治理模式。個(gè)人信息保護(hù)制度中的“知情—同意”框架偏向于通過(guò)信息主體自治以保護(hù)個(gè)人信息，這一路徑選擇對(duì)信息的合理流通和利用構(gòu)成了嚴(yán)苛的限制，實(shí)踐中也存在形式化問(wèn)題[4]。此外，過(guò)于嚴(yán)苛的“同意”規(guī)則會(huì)造成數(shù)據(jù)企業(yè)經(jīng)營(yíng)成本的增加，制約數(shù)據(jù)經(jīng)濟(jì)的發(fā)展。在此背景下，各國(guó)紛紛開(kāi)始重新審視同意規(guī)則在個(gè)人數(shù)據(jù)保護(hù)中的實(shí)際效用，探索新時(shí)代語(yǔ)境下同意規(guī)則的合理性及適用問(wèn)題[5]。從當(dāng)前國(guó)際通行做法來(lái)看，增強(qiáng)信息主體對(duì)個(gè)人信息的控制力、重視對(duì)信息處理者的過(guò)程規(guī)制、強(qiáng)化事后問(wèn)責(zé)都是可行路徑。草案也在很大程度上秉承了這一監(jiān)管理念。值得肯定的是，草案在個(gè)人信息處理的合法性基礎(chǔ)方面，除了規(guī)定同意之外還增加了其他合法事由，這在一定程度上可緩解當(dāng)前真正的同意難以實(shí)現(xiàn)，反而可能為個(gè)人信息處理者提供免責(zé)事由損害信息主體利益的情況。但需要指出的是，草案在諸多場(chǎng)景下，仍然實(shí)質(zhì)上堅(jiān)持用戶“同意為王”的治理模式。例如個(gè)人信息處理者因合并、分立場(chǎng)景下，接收方變更原先的處理目的、處理方式的（草案第23 條）、接收個(gè)人信息的第三方變更原先的處理目的、處理方式的（草案第24 條）、個(gè)人信息的公開(kāi)（草案第26 條）等。

第二，缺乏對(duì)個(gè)人信息處理者“合法利益”的保障。在數(shù)據(jù)要素化背景下，在不侵犯信息主體基本權(quán)利及自由的前提下，立法上承認(rèn)個(gè)人信息處理者對(duì)其處理的個(gè)人信息享有合法利益，對(duì)于激勵(lì)企業(yè)挖掘數(shù)據(jù)潛能具有重要意義，也是《個(gè)人信息保護(hù)法（草案）》在保障個(gè)體權(quán)益的同時(shí)，為數(shù)據(jù)要素市場(chǎng)化建設(shè)提供的重要制度支撐。在個(gè)人信息處理者對(duì)個(gè)人信息處理投入大量的人力、物力、財(cái)力的現(xiàn)實(shí)情況下，信息處理者對(duì)此類(lèi)衍生數(shù)據(jù)享有一定的合法利益具有立法上的正當(dāng)性。這一點(diǎn)在國(guó)際立法上也有例可考，如歐盟GDPR 將“數(shù)據(jù)控制者或第三方為追求合法利益目的而進(jìn)行的必要數(shù)據(jù)處理”作為數(shù)據(jù)處理的合法基礎(chǔ)之一。

第三，未區(qū)分“去標(biāo)識(shí)化”個(gè)人信息與一般個(gè)人信息處理規(guī)則。當(dāng)前“匿名化”“去標(biāo)識(shí)化”在數(shù)據(jù)處理中廣泛應(yīng)用。草案對(duì)“匿名化”“去標(biāo)識(shí)化”作出了明確界定，并規(guī)定匿名化的信息不再屬于個(gè)人信息。但對(duì)于“去標(biāo)識(shí)化”的法律效果并沒(méi)有作出與一般個(gè)人信息處理規(guī)則不一樣的規(guī)定。在實(shí)踐中，“匿名化”往往難以實(shí)現(xiàn)，使得去標(biāo)識(shí)化作為一種安全技術(shù)應(yīng)用得更為廣泛?！叭?biāo)識(shí)化”個(gè)人信息在不借助額外信息的情況下無(wú)法識(shí)別特定自然人的特點(diǎn)決定了其與一般個(gè)人信息存在較大差別。立法對(duì)其處理規(guī)則未做特殊規(guī)定，忽視了二者之間的差異，一方面可能會(huì)導(dǎo)致個(gè)人信息保護(hù)效果適得其反，如已去標(biāo)識(shí)的個(gè)人信息要求獲得信息主體的同意意味著再次對(duì)信息主體進(jìn)行識(shí)別。另一方面也難以對(duì)企業(yè)進(jìn)行去標(biāo)識(shí)化處理形成激勵(lì)效應(yīng)。

3 體系定位：做好規(guī)范體系協(xié)調(diào)

我國(guó)個(gè)人信息法律保護(hù)近年來(lái)發(fā)展迅速，早期個(gè)人信息保護(hù)領(lǐng)域《中華人民共和國(guó)刑法》先行，而民事、行政立法薄弱的問(wèn)題得以緩解，尤其是隨著《網(wǎng)絡(luò)安全法》《民法典》的出臺(tái)，個(gè)人信息保護(hù)的民事、行政立法逐漸充實(shí)。在學(xué)術(shù)界，由于個(gè)人信息的特殊性質(zhì)，個(gè)人信息保護(hù)近年來(lái)成為不同法律部門(mén)與理論研究的熱點(diǎn)，也產(chǎn)生很多爭(zhēng)議，包括個(gè)人信息保護(hù)的本質(zhì)究竟是權(quán)利還是權(quán)益，個(gè)人信息的權(quán)益屬性究竟是人格權(quán)還是財(cái)產(chǎn)權(quán)，《民法典》人格權(quán)編與個(gè)人信息保護(hù)法的關(guān)系，個(gè)人信息民法保護(hù)、行政法保護(hù)與刑法保護(hù)之間的關(guān)系等[6]。個(gè)人信息保護(hù)法即將出臺(tái)，該法如何與《民法典》《網(wǎng)絡(luò)安全法》《中華人民共和國(guó)刑法》以及未來(lái)即將出臺(tái)的《數(shù)據(jù)安全法》等立法進(jìn)行有效銜接與協(xié)調(diào)，都是當(dāng)前亟待解決的問(wèn)題。

3.1 與《民法典》的協(xié)調(diào)

作為民事領(lǐng)域的基礎(chǔ)性法律，《民法典》將個(gè)人信息保護(hù)問(wèn)題納入“人格權(quán)編”，并對(duì)個(gè)人信息處理規(guī)則、合理使用、責(zé)任承擔(dān)等作出明確規(guī)定，為個(gè)人信息作為“人格利益”予以保護(hù)以及保護(hù)機(jī)制提供重要依據(jù)。作為一部以保護(hù)“個(gè)人信息權(quán)益”為重要目標(biāo)的立法，如何與《民法典》進(jìn)行規(guī)范性協(xié)調(diào)是個(gè)人信息保護(hù)法面臨的一個(gè)核心問(wèn)題。

草案諸多條款以《民法典》的規(guī)則為基礎(chǔ)，例如個(gè)人信息共同處理者的連帶責(zé)任就是以民事共同侵權(quán)理論為基礎(chǔ)；個(gè)人信息處理委托方與受托方、轉(zhuǎn)委托規(guī)則也以民事委托合同規(guī)則為基礎(chǔ)；侵犯?jìng)€(gè)人信息權(quán)益的賠償標(biāo)準(zhǔn)是因人身權(quán)益受侵害遭受財(cái)產(chǎn)損失的賠償標(biāo)準(zhǔn)，等等。與《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》更加側(cè)重國(guó)家安全與公共安全不同，草案更加側(cè)重對(duì)個(gè)體個(gè)人信息權(quán)益的保障。例如草案確立的以個(gè)人“知情—同意”為核心的數(shù)據(jù)處理規(guī)則。專(zhuān)章規(guī)定的個(gè)人權(quán)利，對(duì)應(yīng)的個(gè)人信息處理義務(wù)章節(jié)也是以保護(hù)個(gè)人信息權(quán)益為導(dǎo)向。草案還采用了《民法典》“個(gè)人信息處理”的概念，遵循了《民法典》確定的信息處理者管理思路。從這一角度看，可以說(shuō)，草案是以《民法典》所確立的個(gè)人信息民事權(quán)益為基礎(chǔ)，從國(guó)家監(jiān)管角度，用公權(quán)力細(xì)化、落實(shí)個(gè)人信息民事合法權(quán)益的保障法?；诖?，草案的許多規(guī)定還需要與《民法典》相協(xié)調(diào)。例如目前草案第15 條規(guī)定的“以14 歲為界”需要與《民法典》第1035 條進(jìn)一步協(xié)調(diào)。同時(shí)，“敏感信息”處理規(guī)則如何與《民法典》中的“私密信息”規(guī)定進(jìn)行協(xié)調(diào)也是需要考慮的問(wèn)題。此外，公開(kāi)個(gè)人信息的處理規(guī)則也需要注意與《民法典》相關(guān)規(guī)定的有效銜接。

3.2 與《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等的協(xié)調(diào)

作為網(wǎng)絡(luò)安全領(lǐng)域的綜合性立法，2017 年《網(wǎng)絡(luò)安全法》將數(shù)據(jù)安全納入網(wǎng)絡(luò)安全范疇，基于網(wǎng)絡(luò)安全保障目的，為個(gè)人信息保護(hù)與數(shù)據(jù)安全的部分重要、核心制度奠定了基礎(chǔ)?！毒W(wǎng)絡(luò)安全法》施行已經(jīng)三年有余，國(guó)際國(guó)內(nèi)形勢(shì)變化、新技術(shù)新應(yīng)用發(fā)展都對(duì)數(shù)據(jù)安全和個(gè)人信息保護(hù)問(wèn)題提出了非常迫切的法律要求。從國(guó)家頂層設(shè)計(jì)來(lái)看，《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》，以及正在制定的個(gè)人信息保護(hù)法將是支撐國(guó)家網(wǎng)絡(luò)安全保障工作的重要支柱。

當(dāng)前，草案部分規(guī)定與《網(wǎng)絡(luò)安全法》存在需要協(xié)調(diào)之處。例如草案第62 條違反處理個(gè)人信息規(guī)則的行政處罰規(guī)定與《網(wǎng)絡(luò)安全法》第64 條網(wǎng)絡(luò)運(yùn)營(yíng)者和網(wǎng)絡(luò)產(chǎn)品服務(wù)提供者違反個(gè)人信息處理規(guī)定設(shè)定的行政處罰在處罰條件、罰款最高額度方面的規(guī)定皆不相同，二者發(fā)生競(jìng)合時(shí)如何適用？草案確立的數(shù)據(jù)本地化與跨境流動(dòng)規(guī)則與《網(wǎng)絡(luò)安全法》第37條規(guī)定的不一致，未來(lái)將如何協(xié)調(diào)？草案第40 條將關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者與處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門(mén)規(guī)定數(shù)量的個(gè)人信息處理者并列，未來(lái)在關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定中，系統(tǒng)中的“個(gè)人信息”數(shù)量是否將成為認(rèn)定關(guān)鍵信息基礎(chǔ)設(shè)施的考量因素以及如何適用這一標(biāo)準(zhǔn)則需要與本條銜接協(xié)調(diào)。此外，還需做好個(gè)人信息安全評(píng)估、認(rèn)證與其他網(wǎng)絡(luò)安全檢測(cè)、認(rèn)證、評(píng)估之間的內(nèi)容銜接，盡可能避免重復(fù)檢測(cè)、認(rèn)證和評(píng)估。

除個(gè)人權(quán)益保障之外，草案也注意到了個(gè)人信息處理對(duì)公共安全、國(guó)家安全乃至國(guó)際競(jìng)爭(zhēng)的影響。如草案第10 條禁止性規(guī)定，納入了國(guó)家安全和公共安全的考量因素，第41 條關(guān)于國(guó)際執(zhí)法協(xié)助規(guī)定，第42 條規(guī)定個(gè)人信息提供負(fù)面清單制度；基于公共安全和國(guó)家安全的考量，可以實(shí)施第43 條對(duì)等原則。上述規(guī)定與《數(shù)據(jù)安全法（草案）》在規(guī)制思路上存在相似之處但也有所差異。與《數(shù)據(jù)安全法（草案）》第33 條國(guó)際執(zhí)法協(xié)助的規(guī)定相比，草案還增加了行政執(zhí)法協(xié)助的規(guī)定，這些差異都需要在兩部立法的制定過(guò)程中予以協(xié)調(diào)。

3.3 與《中華人民共和國(guó)刑法》的協(xié)調(diào)

大數(shù)據(jù)時(shí)代的到來(lái)，使得對(duì)個(gè)人數(shù)據(jù)的法律保護(hù)面臨重大的沖擊。無(wú)論是作為整體的法律體系還是作為部門(mén)法的刑法，都莫不如此[7]。因此，無(wú)論是正在制定中的個(gè)人信息保護(hù)法還是已實(shí)施許久的刑法，在相應(yīng)的規(guī)則制定或落實(shí)中都應(yīng)當(dāng)著眼于整個(gè)法律體系走向，置于整個(gè)立法體系的視野之中予以考慮?！蹲罡呷嗣穹ㄔ?、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》（以下簡(jiǎn)稱兩高解釋?zhuān)ⅰ拔唇?jīng)被收集者同意，將合法收集的公民個(gè)人信息向他人提供的”認(rèn)定為“違反國(guó)家有關(guān)規(guī)定，提供公民個(gè)人信息”的行為。隨著草案在同意之外增加了其他幾項(xiàng)合法處理的事由，上述提供行為是否必然屬于非法提供還需根據(jù)具體情況來(lái)進(jìn)行判定。雖然草案第24條對(duì)個(gè)人信息處理者向第三方提供行為仍然堅(jiān)持同意規(guī)則，并要求單獨(dú)同意。但該條本身與第13 條合法性基礎(chǔ)的規(guī)定存在邏輯上不能自洽的問(wèn)題。此外，兩高解釋對(duì)行蹤軌跡信息、通信內(nèi)容、征信信息與財(cái)產(chǎn)信息這四類(lèi)信息的定罪情節(jié)作出了不同于一般個(gè)人信息的從嚴(yán)要求，但沒(méi)有對(duì)生物數(shù)據(jù)等更為敏感的個(gè)人信息給予更高程度的刑法保護(hù)。這一點(diǎn)如何與草案規(guī)定的包括“種族、民族、宗教信仰、個(gè)人生物特征”等在內(nèi)的敏感個(gè)人信息保護(hù)規(guī)則進(jìn)行協(xié)調(diào)也需要通盤(pán)考慮。

4 完善思考

4.1 明確監(jiān)管部門(mén)權(quán)責(zé)分工，避免多頭監(jiān)管

草案第56 條明確國(guó)家網(wǎng)信部門(mén)負(fù)責(zé)個(gè)人信息保護(hù)工作的統(tǒng)籌協(xié)調(diào)，同時(shí)規(guī)定，國(guó)家網(wǎng)信部門(mén)和國(guó)務(wù)院有關(guān)部門(mén)在各自職責(zé)范圍內(nèi)負(fù)責(zé)個(gè)人信息保護(hù)和監(jiān)督管理工作。其規(guī)定未能解決網(wǎng)絡(luò)安全保護(hù)、數(shù)據(jù)安全治理領(lǐng)域長(zhǎng)期存在的監(jiān)管體制機(jī)制問(wèn)題，建議進(jìn)一步明確各監(jiān)管部門(mén)之間的權(quán)責(zé)分工和界限，避免立法施行后因權(quán)力范圍重疊出現(xiàn)管理和執(zhí)法尺度不一，影響個(gè)人信息保護(hù)監(jiān)管執(zhí)法的實(shí)際效能。

4.2 細(xì)化罰款標(biāo)準(zhǔn)，避免執(zhí)法主體自由裁量幅度過(guò)大

草案第62 條規(guī)定了個(gè)人信息違法處理的法律責(zé)任，其處罰規(guī)則借鑒了歐盟GDPR 的監(jiān)管思路。為懲治個(gè)人信息違法處理亂象，加強(qiáng)法律懲治力度，增加違法成本的做法值得肯定。但現(xiàn)有規(guī)定在最高額五千萬(wàn)元以下或者上一年度營(yíng)業(yè)額百分之五以下罰款的幅度內(nèi)，未能確立相對(duì)明確、細(xì)化的罰款等級(jí)標(biāo)準(zhǔn)，給予監(jiān)管部門(mén)自由裁量空間過(guò)大，可能會(huì)帶來(lái)執(zhí)法上的諸多問(wèn)題。

4.3 敏感個(gè)人信息的界定應(yīng)當(dāng)納入動(dòng)態(tài)評(píng)估因素

將“敏感個(gè)人信息”予以特殊保護(hù)是當(dāng)前國(guó)際通行做法，如何設(shè)計(jì)敏感個(gè)人信息的處理規(guī)則以平衡個(gè)人信息保護(hù)與利用的關(guān)系是立法亟須解決的問(wèn)題。草案第二章第二節(jié)專(zhuān)門(mén)規(guī)定“敏感個(gè)人信息的處理規(guī)則”，第29 條界定了敏感個(gè)人信息的內(nèi)涵與外延。事實(shí)上，個(gè)人敏感信息的判定基于風(fēng)險(xiǎn)評(píng)估，在不同的場(chǎng)景、不同的行業(yè)、不同的適用條件下很難統(tǒng)一作立法上的區(qū)分。正如西米蒂斯（Simitis）教授所言：“所有數(shù)據(jù)信息的評(píng)估都必須建立在充分考慮其使用背景的基礎(chǔ)上。數(shù)據(jù)控制者的特定利益、數(shù)據(jù)的潛在接受者、收集數(shù)據(jù)的目的、收集數(shù)據(jù)的條件以及可能對(duì)數(shù)據(jù)主體產(chǎn)生的影響等整個(gè)數(shù)據(jù)處理過(guò)程中的因素要綜合起來(lái)進(jìn)行考察，以此確定相關(guān)信息的敏感程度?！盵8]因此，敏感個(gè)人信息的界定應(yīng)當(dāng)是一個(gè)動(dòng)態(tài)評(píng)估的過(guò)程，建議采用“列舉+動(dòng)態(tài)評(píng)估”規(guī)則。此外，個(gè)人敏感信息的界定與適用還需考慮與《民法典》《網(wǎng)絡(luò)安全法》《中華人民共和國(guó)刑法》及其司法解釋中的相關(guān)概念之間的協(xié)調(diào)，實(shí)現(xiàn)民法、行政法與刑法在個(gè)人信息保護(hù)上的一體化銜接。

4.4 自動(dòng)化決策重大影響判定宜采用客觀標(biāo)準(zhǔn)

草案第25 條明確了利用個(gè)人信息進(jìn)行自動(dòng)化決策的要求，強(qiáng)調(diào)自動(dòng)化決策的透明度和處理結(jié)果的公平合理，并規(guī)定了個(gè)人的救濟(jì)途徑。當(dāng)前，自動(dòng)化決策技術(shù)廣泛應(yīng)用于商業(yè)經(jīng)營(yíng)及社會(huì)治理中具有巨大的經(jīng)濟(jì)價(jià)值和社會(huì)價(jià)值。與此同時(shí)也對(duì)人的主體性、公平性等帶來(lái)挑戰(zhàn)。鑒于自動(dòng)化決策中也會(huì)涉及個(gè)人信息的利用，立法確需在自動(dòng)化決策應(yīng)用中平衡個(gè)體權(quán)益、商業(yè)利益和社會(huì)公共利益?；诖耍莅傅?5條自動(dòng)化決策是否會(huì)“對(duì)個(gè)人權(quán)益造成重大影響”的判定宜采用客觀標(biāo)準(zhǔn)，而不宜采用當(dāng)前條款中類(lèi)似“個(gè)人認(rèn)為”的主觀標(biāo)準(zhǔn)。

5 結(jié) 論

自2012 年全國(guó)人大常委會(huì)通過(guò)《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》以來(lái)，我國(guó)無(wú)論數(shù)據(jù)產(chǎn)業(yè)還是數(shù)據(jù)規(guī)范都取得了突飛猛進(jìn)的發(fā)展。此次發(fā)布的《個(gè)人信息保護(hù)法（草案）》也在一定程度上體現(xiàn)了對(duì)近年來(lái)立法、執(zhí)法等經(jīng)驗(yàn)的總結(jié)，回應(yīng)了產(chǎn)業(yè)發(fā)展的現(xiàn)實(shí)需求。但仍可以注意到，目前的版本在數(shù)據(jù)處理合法性基礎(chǔ)、監(jiān)管機(jī)制設(shè)置、敏感數(shù)據(jù)保護(hù)等制度構(gòu)建上有待進(jìn)一步完善。在中央將數(shù)據(jù)作為生產(chǎn)要素的背景下，個(gè)人信息保護(hù)立法應(yīng)在關(guān)注個(gè)人信息人格屬性保障的同時(shí)，兼顧其經(jīng)濟(jì)價(jià)值和社會(huì)價(jià)值的釋放，為數(shù)據(jù)要素市場(chǎng)化建設(shè)提供制度支撐。在當(dāng)前已出臺(tái)《網(wǎng)絡(luò)安全法》《民法典》，未來(lái)還將出臺(tái)《數(shù)據(jù)安全法》的背景下，個(gè)人信息保護(hù)立法應(yīng)做好不同立法間的規(guī)范協(xié)調(diào)，推動(dòng)構(gòu)建個(gè)人信息保護(hù)刑事、行政、民事全方位法律保護(hù)體系。