與時俱進反映民聲的個人信息保護法（草案）

張繼紅

個人信息泄露事件頻發(fā)，海量個人信息被非法收集、濫用及買賣，如何有效保護個人信息，預防、遏制相關違法行為，追究違法者責任，成為民眾關注的焦點。為及時回應個人信息保護領域的上述突出問題，2020年10月21日，個人信息保護法（草案）（簡稱草案）由十三屆全國人大常委會第二十二次會議審議后公開征求意見。根據(jù)各方提出的意見，2021年4月草案二次審議稿作了部分調整和修改，再次公開征求意見。從內容上看，草案系我國首次對個人信息進行的專項立法，共八章73條，明確了個人信息保護所應遵循的基本原則，個人信息處理者的行為規(guī)范、義務及法律責任，個人信息跨境提供規(guī)則、個人在信息處理活動中的權利，履行個人信息保護職責的部門，建構了政府、企業(yè)、行業(yè)組織、社會公眾等不同主體共同參與的個人信息保護體系。

第一，采用一般性規(guī)范與專門性規(guī)范相結合的方式，建構有重點、分層次的個人信息保護體制

草案作為我國個人信息保護領域的基本法，需要對涉及的個人信息活動進行全景式規(guī)則設計。一方面，明確了個人信息處理的合法、正當、目的明確、必要、公開透明、質量及責任原則，為不同場景下個人信息的處理活動提供基本指引;另一方面對于個人信息的收集、存儲、使用、加工、傳輸、提供、公開等全生命周期的處理行為進行一般性規(guī)范，確立個人信息處理的合法性事由，明確了個人享有知情權、決定權、限制或拒絕權、查閱復制權、更正補充權、刪除權等基本信息權益及信息處理者負有安全保障、合規(guī)審計、風險評估、信息泄露補救等核心義務。

同時，考慮到敏感個人信息等特殊類別信息以及國家機關等特殊信息處理主體，專門制定了有別于一般規(guī)范的特殊處理規(guī)則。其中，對于敏感個人信息的處理條件更為嚴格，不僅必須具有“特定的目的和充分的必要性”，而且在同意的取得方式上，要求取得個人的單獨同意或者書面同意。相較而言，國家機關及法律法規(guī)授權的組織基于法定職責處理個人信息，鑒于其公益性、職權性的特點，在告知同意方面需作出一定的例外規(guī)定，如基于保密規(guī)定或告知同意將妨礙國家機關履行職責的情形，并要求其處理的個人信息應境內存儲以及進行風險評估。草案還特別強調了國家機關處理個人信息“不得超出履行法定職責所必需的范圍和限度”，回應了公眾對公權力機關過度獲取個人信息的擔憂。

在個人信息處理者的義務方面，草案二審稿第57條特別增加了“提供基礎性互聯(lián)網(wǎng)平臺服務、用戶數(shù)量巨大、業(yè)務類型復雜的個人信息處理者”的義務，即“應當成立主要由外部人員組成的獨立機構，對個人信息處理活動進行監(jiān)督;對嚴重違反法律、行政法規(guī)處理個人信息的平臺內的產(chǎn)品或服務提供者，停止提供服務;定期發(fā)布個人信息保護社會責任報告，接受社會監(jiān)督”。應該說，僅僅依賴有限的行政監(jiān)管資源對數(shù)量眾多的企業(yè)實施外部監(jiān)管難免掛一漏萬。從監(jiān)管的實效性考量，有必要對提供App操作系統(tǒng)、搭載第三方小程序平臺、提供應用程序下載服務的平臺等互聯(lián)網(wǎng)頭部企業(yè)施以更重的義務，畢竟上述企業(yè)擁有相應的技術、資源及能力對使用其所管理的通道、技術服務以及運營環(huán)境等其他個人信息處理者進行實時監(jiān)控。而且，互聯(lián)網(wǎng)頭部企業(yè)已經(jīng)成長為推動數(shù)字經(jīng)濟發(fā)展的重要力量，有義務回饋社會以維護其運作的外部環(huán)境，這就是其所應承擔的社會責任。

第二，對新技術應用帶來的新風險及時進行法律規(guī)制，預防技術濫用、引導科技向善

在大數(shù)據(jù)、云計算、人工智能等技術廣泛應用于個人信息處理活動的新形勢下，個人信息可以被快速、便捷地采集、存儲、搜索及傳遞，轟炸式精準營銷、算法勞工、無感化人臉識別、大數(shù)據(jù)殺熟等事件頻發(fā)，對個人信息保護提出了新的問題。為此，如何引導科技向善、對技術濫用進行預防性控制就是草案不可推卸的責任和使命。草案第25條第2款規(guī)定，通過自動化決策方式進行商業(yè)營銷、信息推送，應當同時提供不針對其個人特征的選項，或者向個人提供拒絕的方式。草案第27條規(guī)定，在公共場所安裝圖像采集、個人身份識別設備，應當為維護公共安全所必需，遵守國家有關規(guī)定，并設置顯著的提示標識。這里，特別強調了“所收集的個人圖像、個人身份特征信息只能用于維護公共安全的目的”，以防止人臉識別等身份識別技術的濫用。同時，草案還要求國家網(wǎng)信部門統(tǒng)籌協(xié)調有關部門，針對人臉識別、人工智能等新技術、新應用，制定專門的個人信息保護規(guī)則、標準。也就是說，以專項規(guī)定的形式對新技術可能對個人信息保護帶來的負面影響進行相應的法律規(guī)制，以防止科技異化或吞噬個人隱私及信息安全。

第三，建立個人信息跨境提供規(guī)則，在保障安全的基礎上促進個人信息的有序流動

草案第38條規(guī)定了基于業(yè)務需要，確需向境外提供個人信息的條件：（1）依法通過國家網(wǎng)信部門組織的安全評估;（2）按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構進行個人信息保護認證;（3）按照國家網(wǎng)信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務，并監(jiān)督其個人信息處理活動達到法定的保護標準;（4）法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件。對于個人信息處理者的告知義務也作了較為詳細的規(guī)定，要求取得個人的單獨同意。同時，第40條規(guī)定關鍵信息基礎設施運營者、處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者，應當本地化存儲。應該說，草案并未采用歐盟的“充分性保護原則”對個人信息出境苛以更高的要求和標準，而是在規(guī)范個人信息處理者信息出境義務的基礎上，綜合運用監(jiān)管機構安全評估、第三方認證以及雙方協(xié)議等多元化治理方式，促進個人信息的有序跨境流動。

第四，明確個人信息保護的監(jiān)管主體及其權限和職責，以保障執(zhí)法工作落地見效

從世界范圍內來看，個人信息保護監(jiān)管設置有兩種方式：一是以歐盟為代表的統(tǒng)一監(jiān)管模式，即設立專門的信息保護機構，對包括公營機構及私營機構在內的全部領域實施集中監(jiān)管。二是不設立專門的信息監(jiān)管機構，由各職能部門根據(jù)其權限開展監(jiān)管活動，個人信息保護僅為其監(jiān)管職責的一部分，以美國最為典型。草案采用第二種模式，“國務院有關部門依照法律、行政法規(guī)規(guī)定，在各自職責范圍內負責個人信息保護和監(jiān)管工作”。同時，二審稿中特別突出了“國家網(wǎng)信部門負責統(tǒng)籌協(xié)調個人信息保護工作和相關監(jiān)督管理工作”，并積極推進包括制定個人信息保護具體規(guī)則、標準、支持研究電子身份認證技術等工作。為了切實保障其履行監(jiān)管職責，草案賦予了監(jiān)管部門詢問、查閱復制、現(xiàn)場檢查以及查封、扣押等監(jiān)管措施。同時，對于個人信息處理活動存在較大風險或者發(fā)生個人信息安全事件的，可以對個人信息處理者的法定代表人或者主要負責人進行約談，或者要求其委托專業(yè)機構對其個人信息處理活動進行合規(guī)審計。

第五，優(yōu)化個人信息權益受損的民事救濟路徑，正式引入“過錯推定”的歸責原則

由于個人信息權尚未明確為具體人格權，我國民法典僅確認了“自然人的個人信息受法律保護”，目前尚缺乏個人信息民事救濟的專門性規(guī)定。實踐中，一旦發(fā)現(xiàn)權益受損，個人往往訴諸于隱私權、名譽權、一般人格權等訴由。從判決結果來看，由于個體與掌握技術、資源等企業(yè)相比實力懸殊過大，而且個人信息通常由信息處理者控制，原告往往無法直接證明被告如何獲得其個人信息;即便能夠證明侵權行為是被告所為，也會困囿于嚴格的侵權責任構成要件限制以及“誰主張、誰舉證”的要求，個人信息受損后的賠償請求難以實現(xiàn)。鑒于此，草案二審稿第68條第1款規(guī)定，“個人信息處理者不能證明自己沒過錯的，應當承擔損害賠償?shù)惹謾嘭熑巍?，引入“過錯推定責任”，由個人信息處理者承擔相應的舉證責任，將在很大程度上提升個人維權的實效，根本性改變目前司法實踐中普遍存在的舉證難、賠償?shù)汀⒊杀靖叩葐栴}。

（作者系上海政法學院教授，現(xiàn)掛職上海市人大財經(jīng)委任處長）