文禹衡,于 琳
(1.湘潭大學(xué)知識產(chǎn)權(quán)學(xué)院;2.湖南省高級人民法院-湘潭大學(xué) 大數(shù)據(jù)與智慧司法研究中心)
個人信息兼有人格屬性和財產(chǎn)屬性,具備社會價值和經(jīng)濟價值,是數(shù)字經(jīng)濟社會的重要資源,開發(fā)利用個人信息能夠促進我國信息化建設(shè)和數(shù)字經(jīng)濟發(fā)展,但不加限制的個人信息利用行為會導(dǎo)致個人信息濫用風(fēng)險。個人信息的開發(fā)利用需要劃定邊界,但并不意味著要隔斷個人信息流通和利用。《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)于2021年8月20日通過,是我國第一部體系化地保護個人信息的法律[1]。然而,個人信息保護立法持何種指導(dǎo)思想、法律框架是否建成、既往法律規(guī)則是否得到細化、個人信息的社會熱點問題是否得到有效回應(yīng),這些問題都需要在深入挖掘《個人信息保護法》文本信息的基礎(chǔ)上得出答案。
盡管國內(nèi)關(guān)于個人信息保護的研究呈多元化趨勢,但是關(guān)于個人信息保護法律文本的研究成果仍然不足。①特定主體的個人信息保護,例如讀者個人信息保護的民法分類分級[2]、刑法保護[3]和侵權(quán)救濟[4],以及兒童[5]、軍人[6]和電子商務(wù)消費者[7]等主體的個人信息保護等;②特定場景的個人信息保護,如高校[8]、國家檔案局[9]、數(shù)字圖書館個性化服務(wù)[10]、讀者在線服務(wù)[11]、政府?dāng)?shù)據(jù)開放[12]等場景中的個人信息保護;③域外的個人信息保護,如美德個人信息保護立法模式比較[13]、日韓個人信息保護制度比較[14]、歐盟個人信息保護法中當(dāng)事人同意的立法經(jīng)驗[15]等;④個人信息保護和利用的立法,如個人信息保護的立法路徑比較[16]、讀者個人信息再利用立法規(guī)制[17]等;⑤個人信息權(quán)利及其保護,如個人信息被遺忘權(quán)[18]、個人信息刪除權(quán)[19]、個人信息權(quán)利保護的困境與破解[20]等。
綜上所述,當(dāng)前我國僅有少部分研究成果通過解讀個人信息保護法草案呈現(xiàn)我國個人信息保護工作推進現(xiàn)狀[21],還沒有對《個人信息保護法》正式文本進行全面解構(gòu)的研究成果。鑒于此,本研究擬全面解構(gòu)我國《個人信息保護法》文本,呈現(xiàn)我國個人信息保護專門立法的框架和重點并揭示主要問題,繼而有針對性地提出個人信息法律保護的完善建議。
本文選取《個人信息保護法》(共八章,七十四條)為研究對象,其中第八章附則部分無實際意義,不納入樣本范圍。根據(jù)《個人信息保護法》的章節(jié)結(jié)構(gòu),按章節(jié)代號+法律條款順序號進行編號,大寫字母A到G分別對應(yīng)7個章,小寫字母a、b、c分別對應(yīng)章下設(shè)的節(jié)。具體內(nèi)容如下:第一章“總則”編號為A1—A12;第二章“個人信息處理規(guī)則”下設(shè)三節(jié),編號為Ba13—Ba27、Bb28—Bb32、Bc33—Bc37;第三章“個人信息跨境提供的規(guī)則”編號為C38—C43;第四章“個人在個人信息處理活動中的權(quán)利”編號為D44—D50;第五章“個人信息處理者的義務(wù)”編號為E51—E59;第六章“履行個人信息保護職責(zé)的部門”編號為F60—F65;第七章“法律責(zé)任”編號為G66—G71。
本文采用統(tǒng)計分析法和社會網(wǎng)絡(luò)分析法,對《個人信息保護法》文本展開體系化解讀。①將《個人信息保護法》轉(zhuǎn)存為TXT文本,采用Jieba庫對法律文本作分詞處理;②以法律術(shù)語為標準,對分詞結(jié)果進行人工篩選,剔除無實際分析價值的虛詞,保留有價值的實詞,完成法律文本清理工作,并利用Python進行文本詞頻統(tǒng)計;③按照宗旨與定位、個人信息處理的基本原則、個人信息處理規(guī)則、個人信息權(quán)利、個人信息處理者義務(wù)、部門與職責(zé)和法律責(zé)任,對詞頻結(jié)果進行分類統(tǒng)計;④分析核心詞的詞頻統(tǒng)計結(jié)果,深度挖掘法律文本信息;⑤利用Ucinet 6軟件對核心詞與法律條款之間的關(guān)系進行可視化呈現(xiàn),結(jié)合核心詞分布分析《個人信息保護法》的核心內(nèi)容,探尋個人信息保護立法的完善方向。
立法宗旨與定位方面的核心詞在整部法律各個章節(jié)均有所涉及,從其保障個人信息權(quán)益并促進個人信息合理利用的立法宗旨中可見,其具有與《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱《網(wǎng)絡(luò)安全法》)、《中華人民共和國數(shù)據(jù)安全法》(以下簡稱《數(shù)據(jù)安全法》)等的公法性質(zhì)不同的公法與私法相結(jié)合的法律定位。
3.1.1 詞頻統(tǒng)計
從宗旨與定位核心詞的詞頻統(tǒng)計(見表1)可知,“個人信息處理者”作為《個人信息保護法》的規(guī)制對象,出現(xiàn)頻次最高,其次是“個人信息保護”“安全”“個人信息處理活動”,這表明個人信息保護主要通過規(guī)制個人信息處理者的個人信息處理活動來保障個人信息安全。其他詞語的詞頻較低,但法律文本表達具有凝練、簡潔的特點,能夠?qū)懭胝椒蓷l文中的詞語具有不可替代的重要意義和地位。以“憲法”一詞為例,其在整部法律文本中僅出現(xiàn)1次,且是在三審稿時新增,但“根據(jù)憲法,制定本法”為個人信息保護提供了立法依據(jù)。《中華人民共和國憲法》規(guī)定“國家尊重和保障人權(quán),公民的人格尊嚴不受侵犯,公民的通信自由和通信秘密受法律保護”[22]?!皯椃ā币辉~的增加將個人信息權(quán)益上升至基本人權(quán)的高度,提升了個人信息保護的法律位階。
表1 宗旨與定位核心詞的詞頻統(tǒng)計
3.1.2 關(guān)聯(lián)程度分析
筆者使用Ucinet6軟件的NetDraw功能繪制宗旨與定位核心詞以及單條法律條款的關(guān)系圖譜(見圖1),深度挖掘文本信息,揭示核心詞與法律條款之間的關(guān)聯(lián)程度。圖1為除去孤立點后的關(guān)系圖譜,核心詞以紅色圓形圖標表示,單條法律條款以藍色方形圖標表示,圖標越大,說明該節(jié)點充當(dāng)“中介”的次數(shù)越多,中介中心性越大,重要程度越高;核心詞與單條法律條款的連線越粗,說明二者關(guān)聯(lián)程度越大。
圖1 宗旨與定位核心詞與單條法律條款關(guān)系圖譜
就單條法律條款而言,宗旨與定位方面的法條圖標普遍偏小,說明其中介中心性低,法條與核心詞的關(guān)聯(lián)性不強。其中,A1的中介中心性相對較高,重點關(guān)注“憲法”“合理利用”“個人權(quán)益”“個人信息處理活動”等核心詞;其次是Ba13,關(guān)注的核心詞有“個人信息處理者”“安全”“自然人”“公共利益”,說明個人信息處理者只有以維護自然人合法權(quán)益或公共利益為目的處理個人信息時,才無須取得個人同意,其具備合法性的根本原因在于維護公共利益、私人合法權(quán)益不與個人信息保護法的立法宗旨相悖。就核心詞而言,“個人信息處理者”的中介中心性最高,說明其與各個法律條款之間的關(guān)聯(lián)程度最高。此外,關(guān)于個人信息處理者行為規(guī)制的條文占50%以上,說明《個人信息保護法》主要以規(guī)制個人信息處理者的個人信息處理活動來實現(xiàn)個人信息權(quán)益保護與個人信息合法利用平衡的宗旨。
目的限制原則貫穿個人信息處理活動全過程,是個人信息處理活動最核心的原則,是個人信息保護的基石。
3.2.1 詞頻統(tǒng)計
統(tǒng)計基本原則核心詞的詞頻(見表2)可知,“目的”在個人信息處理基本原則方面的核心詞中詞頻最高,隨后是“安全”“公開”“必要”“合法”“合理”。其他核心詞出現(xiàn)頻次雖少,卻極有必要,如“正當(dāng)”“誠信”“合法”“必要”均出自《中華人民共和國民法典》(以下簡稱《民法典》)[23],一并構(gòu)成個人信息保護的首要原則。任何個人信息處理行為都是基于目的而展開的活動,目的不正當(dāng)則行為不正當(dāng)。為協(xié)調(diào)保護與利用的關(guān)系,《個人信息保護法》對個人信息處理目的進行嚴格限制,所確立的基本原則絕大部分圍繞目的展開,“明確”“合理”“直接相關(guān)”“影響最小”“最小范圍”僅出現(xiàn)1次,但均為目的限制原則的具體要求。另外,“準確”“完整”是質(zhì)量保證原則的具體要求,“公開”“透明”是對個人信息處理者履行告知義務(wù)的方式要求。
表2 基本原則核心詞的詞頻統(tǒng)計
3.2.2 關(guān)聯(lián)程度分析
圖2為基本原則核心詞與單條法律條款的關(guān)系圖譜。從單條法律條款來看,A6的中介中心性最高,說明其與基本原則方面的核心詞關(guān)系最為緊密,A7、Ba17、Ba13、E51、E56、Bb28、A5、Ba27等依次排后??梢钥闯觯瑐€人信息處理基本原則方面的主題詞集中在《個人信息保護法》的第一、二、五章。從核心詞來看,“目的”的中介中心性最高,與A6、Ba23之間的關(guān)聯(lián)程度較高。其中,A6規(guī)制個人信息處理者的個人信息處理活動,B23規(guī)制個人信息處理者向第三方提供個人信息行為及第三方的個人信息處理行為??梢姡瑹o論是自己使用還是向第三方提供,個人信息處理者均受目的限制原則的約束。
圖2 基本原則核心詞與單條法律條款關(guān)系圖譜
在個人信息處理原則的指導(dǎo)下,《個人信息保護法》設(shè)專章規(guī)定個人信息處理規(guī)則,共30個法律條款,篇幅占比超過1/3[1],并在這一章下設(shè)三節(jié),依據(jù)個人信息對自然人的人身財產(chǎn)安全敏感程度設(shè)個人信息處理一般規(guī)則和敏感個人信息處理規(guī)則兩節(jié),同時考慮到國家不僅是個人信息處理行為的規(guī)制主體,也是最大的個人信息處理者,設(shè)專節(jié)規(guī)定國家機關(guān)處理個人信息的規(guī)則。此外,個人信息跨境提供事關(guān)國家安全,單設(shè)一章規(guī)定個人信息跨境提供的規(guī)則。
3.3.1 詞頻統(tǒng)計
統(tǒng)計個人信息處理規(guī)則核心詞的詞頻(見表3)可知,“處理目的”“告知”的詞頻最高,其次是“公開”“處理方式”“同意”。其他詞語詞頻雖低,但重要性不減。如,關(guān)于主體,出現(xiàn)了“國家機關(guān)”“不滿十四周歲未成年人”“關(guān)鍵信息基礎(chǔ)設(shè)施運營者”“監(jiān)護人”“父母”等特殊主體;關(guān)于同意,出現(xiàn)了“不同意”“單獨同意”“撤回同意”“重新取得個人同意”“書面同意”等多樣化同意方式?!案嬷薄巴狻惫餐瑯?gòu)成最基本的個人信息處理規(guī)則,告知后同意的目的就是信息的透明化,能夠讓當(dāng)事人真正評估其同意的影響,真正落實個人信息決定權(quán)[14]??傮w而言,個人信息處理規(guī)則以“告知同意”為核心,細分多元主體,細化同意規(guī)則,區(qū)別個人信息敏感程度,提出基于“處理目的”“處理方式”等的具體要求。
表3 個人信息處理規(guī)則核心詞的詞頻統(tǒng)計
3.3.2 關(guān)聯(lián)程度分析
圖3是個人信息處理規(guī)則核心詞與法條的關(guān)系圖譜。從單條法律條款來看,Ba13圖標最大,說明其中介中心性最高,與“必需”“同意”之間的關(guān)聯(lián)性較高。其次是E55、Ba17、C39,其中,C39與Ba23共同關(guān)注“單獨同意”“名稱或者姓名”“處理目的”“聯(lián)系方式”“處理方式”等核心詞,說明個人信息跨境提供是一種向其他個人信息處理者提供信息的處理行為,二者在告知義務(wù)要求上達成了內(nèi)部一致。整體來看,關(guān)于個人信息處理規(guī)則的內(nèi)容主要分布在《個人信息保護法》的第一、二、五章,揭示出原則與規(guī)則、規(guī)則與義務(wù)三者之間的緊密關(guān)系,即個人信息處理規(guī)則受原則指導(dǎo),規(guī)則也蘊含了個人信息處理者應(yīng)負擔(dān)的義務(wù)。
圖3 個人信息處理規(guī)則核心詞與單條法律條款關(guān)系圖譜
《個人信息保護法》細化了《民法典》《網(wǎng)絡(luò)安全法》等法律法規(guī)的既有權(quán)利內(nèi)容,并新增了個人信息可攜權(quán)、死者個人信息保護等內(nèi)容,初步形成了全面、系統(tǒng)的個人信息權(quán)利體系。
3.4.1 詞頻統(tǒng)計
統(tǒng)計個人信息權(quán)利核心詞的詞頻(見表4)可知,“有權(quán)”的詞頻最高,表明法律賦予個人信息主體廣泛的權(quán)利,具體包括知情權(quán)、決定權(quán)、限制處理權(quán)、拒絕權(quán)、可攜權(quán)、更正權(quán)、補充權(quán)、刪除權(quán)、說明權(quán)。同時,法律要求個人信息處理者配合上述權(quán)利的行使,如負有“及時提供”“核實”等義務(wù)。另外,“死者的相關(guān)個人信息”“近親屬”等詞語體現(xiàn)了《個人信息保護法》對死者近親屬合法、正當(dāng)利益的維護。
表4 個人信息權(quán)利核心詞的詞頻統(tǒng)計
3.4.2關(guān)聯(lián)程度分析
圖4為個人信息權(quán)利核心詞與單條法律條款的關(guān)系圖譜。從單條法律條款來看,D45的中介中心性最強,說明它與個人信息權(quán)利方面的詞語關(guān)聯(lián)程度最高,關(guān)注的詞語有“查閱”“復(fù)制”“轉(zhuǎn)移”“及時提供”“有權(quán)”。其中,“轉(zhuǎn)移”出現(xiàn)在Ba22和D45兩個條文中,前者規(guī)定了個人信息處理者轉(zhuǎn)移個人信息需承擔(dān)告知義務(wù),后者為正式文本新增的一項權(quán)利,即個人信息可攜權(quán)。此外,D47與“刪除”的關(guān)聯(lián)程度最高,意味著刪除權(quán)的規(guī)定主要集中在該條。《個人信息保護法》在《民法典》的基礎(chǔ)上擴大了刪除權(quán)的適用范圍,為刪除個人信息提供充分保護,要求個人信息處理者承擔(dān)主動刪除義務(wù),在其未履行刪除義務(wù)時個人有權(quán)請求其刪除,并針對未滿法定保存期限和技術(shù)上難以刪除個人信息兩種特殊情形規(guī)定了處理方式。從核心詞來看,“有權(quán)”的圖標最大,與其相關(guān)聯(lián)的法條主要分布在第二章(B)和第四章(D)。第四章在《個人信息保護法》所占篇幅不多,但全面、完整的規(guī)定了個人信息主體權(quán)利以及權(quán)利行使的響應(yīng)機制。
圖4 個人信息權(quán)利核心詞與單條法律條款關(guān)系圖譜
《個人信息保護法》既規(guī)定了個人信息處理者有告知、安全保障、合規(guī)審計、安全評估、個人信息泄露通知等義務(wù),又規(guī)定了大型互聯(lián)網(wǎng)平臺指定個人信息保護負責(zé)人、平臺內(nèi)部管理、接受外部監(jiān)督等特殊義務(wù),形成事前事中事后全鏈條的個人信息安全風(fēng)險防范機制。
3.5.1 詞頻統(tǒng)計
統(tǒng)計個人信息處理者義務(wù)核心詞的詞頻(見表5)可知,“告知”“取得”的詞頻最高,說明告知義務(wù)是個人信息處理者在處理個人信息時應(yīng)當(dāng)履行的首要義務(wù)。為防止個人信息泄露,法律規(guī)定個人信息處理者分別從管理、技術(shù)、組織三個層面履行安全保障義務(wù)。其中,管理性安全措施的核心詞包括“內(nèi)部管理制度”“操作規(guī)程”“合規(guī)審計”“個人信息保護影響評估”等;技術(shù)性安全措施的核心詞包括“加密”“去標識化”“操作權(quán)限”“安全性技術(shù)措施”等;組織性安全措施的核心詞包括“個人信息安全事件應(yīng)急預(yù)案”“安全教育”“培訓(xùn)”等。
表5 個人信息處理者義務(wù)核心詞的詞頻統(tǒng)計
除了個人信息處理者的一般性義務(wù)外,《個人信息保護法》要求三類特殊的個人信息處理者建立個人信息保護責(zé)任人制度:處理個人信息達到“國家網(wǎng)信部門規(guī)定數(shù)量”的個人信息處理者,負有指定個人信息保護負責(zé)人的義務(wù);境外個人信息處理者負有在中國境內(nèi)設(shè)立專門機構(gòu)或者指定代表的義務(wù);提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者,負有成立主要由外部成員組成的獨立機構(gòu)的義務(wù)[1]。第三類個人信息處理者通常為大型互聯(lián)網(wǎng)企業(yè),其還要承擔(dān)建立“合規(guī)制度體系”、制定“平臺規(guī)則”、定期發(fā)布“社會責(zé)任報告”等特殊義務(wù)。此外,其在個人信息處理活動中扮演“守門人”角色,負有發(fā)現(xiàn)并阻止違法行為的義務(wù),屬于行政法上的“第三方義務(wù)”。
3.5.2 關(guān)聯(lián)程度分析
圖5為個人信息處理者義務(wù)方面的核心詞與單條法律條款之間的關(guān)系圖譜。從單個法律條款來看,E52的圖標最大,說明其中介中心性最強,其與核心詞“個人信息保護負責(zé)人”的關(guān)聯(lián)程度最高。其次是E58,說明個人信息處理能力與個人信息處理者要承擔(dān)的個人信息保護責(zé)任成正比,個人信息處理能力越強,個人信息保護責(zé)任越大。從核心詞來看,“監(jiān)督”的圖標最大,其次是“告知”。整體來看,個人信息處理者義務(wù)相關(guān)詞語除了集中于《個人信息保護法》第五章外,還存在于第二章及第四章中。
圖5 個人信息處理者義務(wù)核心詞與單條法律條款關(guān)系圖譜
國家網(wǎng)信部門在個人信息保護工作中具有舉足輕重的作用,《個人信息保護法》建立了完備的個人信息保護工作機制,重點強調(diào)國家網(wǎng)信部門的統(tǒng)籌協(xié)調(diào)職能,以及國務(wù)院有關(guān)部門、縣級以上地方政府有關(guān)部門的個人信息保護和監(jiān)督管理工作,構(gòu)建了一套以網(wǎng)信部門為中心的個人信息保護監(jiān)督管理體系。
3.6.1 詞頻統(tǒng)計
統(tǒng)計個人信息保護相關(guān)部門及其職責(zé)核心詞的詞頻(見表6)可知,“國家網(wǎng)信部門”的詞頻最高,說明其在個人信息保護工作中的重要地位和作用。個人信息保護法賦予國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)職能,明確了個人信息保護的履職部門及其具體職責(zé),規(guī)定了在執(zhí)法過程中可采取的合法措施,建立了約談制度并規(guī)定了合規(guī)審計要求,重點完善了個人信息保護投訴、舉報工作機制。
表6 部門與職責(zé)核心詞的詞頻統(tǒng)計
3.6.2 關(guān)聯(lián)程度分析
圖6為部門與職責(zé)核心詞與法條的關(guān)系圖譜。從單條法律條款來看,F(xiàn)61的圖標最大,其中介中心性最強,與部門與職責(zé)方面的核心詞關(guān)聯(lián)程度最高。該條規(guī)定了個人信息保護部門的職責(zé),側(cè)重“個人信息保護宣傳教育”“投訴”“舉報”“測評”等。從核心詞來看,“調(diào)查”的圖標最大,其次是“國家網(wǎng)信部門”,其與C38、C40連線最粗,說明個人信息的跨境提供由國家網(wǎng)信部門嚴格把關(guān)。整體來看,個人信息保護相關(guān)部門與職責(zé)方面的規(guī)定集中分布于第六章。一般情況下,對于正常的個人信息處理活動,行政機關(guān)應(yīng)當(dāng)恪守法定職權(quán),不得擅加干預(yù),但跨境提供個人信息事關(guān)國家安全、公共安全、個人信息及隱私安全,需要由國家網(wǎng)信部門介入保障個人信息跨境提供的安全。
圖6 部門與職責(zé)核心詞與單條法律條款關(guān)系圖譜
《個人信息保護法》設(shè)置以民事、行政、刑事責(zé)任為內(nèi)容的法律責(zé)任體系,針對違法個人信息處理行為加大處罰力度,并新增了限制從業(yè)的處罰條款[1]。此外,引入了個人信息保護公益訴訟制度,在個人信息侵權(quán)損害中確立過錯推定原則,從根本上降低了公民的維權(quán)難度。需要說明的是,法律責(zé)任方面的核心詞特點與其他方面的核心詞不同,核心詞詞頻低,與整個法律文本的其他法條關(guān)聯(lián)性不強,這也與法律責(zé)任本身具有獨立性、專業(yè)性特征有關(guān)。
3.7.1 詞頻統(tǒng)計
統(tǒng)計法律責(zé)任核心詞的詞頻(見表7)可知,法律責(zé)任方面的核心詞雖然詞頻不高,但種類多樣。相對而言,“責(zé)令”的詞頻最高,共出現(xiàn)5次,“刑事責(zé)任”“連帶責(zé)任”等核心詞均出現(xiàn)1次,說明違法個人信息處理的法律責(zé)任以行政責(zé)任為主。其中,具體包括“警告”等聲譽罰、“責(zé)令停業(yè)整頓”和“責(zé)令暫?!毕嚓P(guān)業(yè)務(wù)等能力罰、“罰款”和“沒收違法所得”等財產(chǎn)罰。此外,既有單位罰,也有個人罰。對于違法單位,《個人信息保護法》借鑒歐盟《通用數(shù)據(jù)保護條例》的巨額行政罰款制度[24]。相較于《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》對違法處理個人信息行為的處罰則有上限的規(guī)定,《個人信息保護法》大力提高個人信息處理活動的違法成本。對于單位,規(guī)定了處以五千萬或者上一年度營業(yè)額百分之五的罰款上限;對于違法個人,罰款上限為一百萬?!秱€人信息保護法》規(guī)定了個人信息保護負責(zé)人制度,對“直接負責(zé)的主管人員和其他直接責(zé)任人員”的處罰具有明確的人員指向。雖然實行雙罰制,但《個人信息保護法》依舊有所側(cè)重,個人對個人信息法益、經(jīng)濟利益、社會利益甚至國家利益造成的損害、影響畢竟有限,能夠造成重大損失的往往是商業(yè)行為,因此《個人信息保護法》的重點懲治不在個人。
表7 法律責(zé)任核心詞的詞頻統(tǒng)計
3.7.2 關(guān)聯(lián)程度分析
圖7為法律責(zé)任核心詞與單條法律條款的關(guān)系圖譜。從單條法律條款來看,G66圖標最大,說明其中介中心性最強,作為“橋梁”連接法律責(zé)任方面的核心詞的能力也最強,與“責(zé)令”“改正”“罰款”的關(guān)聯(lián)程度最高。該條款基本囊括了違法個人信息處理者所要承擔(dān)的行政責(zé)任,并且在正式文本中繼續(xù)加大處罰力度,新增了限制從業(yè)的處罰方式。從核心詞來看,法律責(zé)任方面各個核心詞的圖標普遍偏小,說明法律責(zé)任方面的核心詞中介中心性不強,與其他法條關(guān)聯(lián)性低,說明其獨立性、專業(yè)性較強,每個分散的核心詞組背后都代表了單一制度設(shè)計。如,“過錯”“不能證明”“侵權(quán)責(zé)任”等核心詞代表了個人信息侵權(quán)舉證適用過錯推定原則,個人信息處理者如果不能證明自己沒有過錯,則應(yīng)當(dāng)承擔(dān)損害賠償責(zé)任,實質(zhì)緩解了被侵權(quán)人舉證困境、降低了維權(quán)難度?!氨姸鄠€人”“訴訟”“人民檢察院”等核心詞代表了個人信息保護公益訴訟制度的確立,個人信息侵權(quán)通常表現(xiàn)為大規(guī)模輕微型侵害。對于單個受害人而言,由于損害輕微,所以維權(quán)意愿低,且成功的概率低、難度大,而人民檢察院、消費者組織或者網(wǎng)信部門確定的組織相較于個人而言,維權(quán)成功的可能性更高。
圖7 法律責(zé)任核心詞與單條法律條款關(guān)系圖譜
《個人信息保護法》對公民普遍關(guān)注的個人信息熱點問題作出立法回應(yīng),但原則性條款居多,立法的模糊化會給司法實踐帶來諸多不確定性。
4.1.1 拒絕提供產(chǎn)品或服務(wù)的合法情形寬泛
《個人信息保護法》第十六條規(guī)定:“個人信息處理者不得以個人不同意處理其信息或者撤回同意為由,拒絕提供產(chǎn)品或者服務(wù);處理個人信息屬于提供產(chǎn)品或者服務(wù)所必需的除外”[1]。該條是針對移動應(yīng)用軟件存在用戶不同意個人信息保護及隱私政策就拒絕提供產(chǎn)品或服務(wù)的現(xiàn)象作出的禁止性規(guī)定,條款的后半部分規(guī)定了拒絕提供產(chǎn)品或服務(wù)的合法情形,即只有在用戶不同意提供產(chǎn)品或服務(wù)所必需的個人信息的情況下,個人信息處理者拒絕提供其產(chǎn)品或服務(wù)才是合法的。該條款本可以使用戶在不同意平臺處理個人信息的情況下依舊能夠使用互聯(lián)網(wǎng)產(chǎn)品或服務(wù)的權(quán)利在很大程度上得到維護,但“必需”一詞使規(guī)避作用擴張,權(quán)利保護功能受限,日后很可能成為個人信息處理者肆意拒絕提供產(chǎn)品或服務(wù)的責(zé)任規(guī)避條款。
4.1.2 自動化決策規(guī)制條款過于原則
《個人信息保護法》第二十四條是為規(guī)制由自動化決策引發(fā)的大數(shù)據(jù)殺熟、信息繭房等問題而制定的專門條款[1]。第一款要求個人信息處理者保證算法自動化決策的透明度及結(jié)果的公平、公正,但“保證”一詞主觀性過強,透明度沒有一個明確、客觀的程度標準會使個人信息處理者的義務(wù)履行達不到預(yù)期效果。此外,第一款還禁止在交易中對消費者實行不合理的差別待遇,而差別待遇是否合理缺乏判斷標準。第三款規(guī)定:“通過自動化決策方式作出對個人權(quán)益有重大影響的決定,個人有權(quán)要求個人信息處理者予以說明,并有權(quán)拒絕個人信息處理者僅通過自動化決策的方式作出決定”[1]。該條款賦予個人信息主體算法解釋權(quán),但“對個人權(quán)益有重大影響”依舊是一個比較原則性的立法表述,個人權(quán)益受損達到何種程度屬于“重大”尚未明確。
4.1.3 個人信息可攜權(quán)缺乏可操作性
《個人信息保護法》第四十五條規(guī)定:“個人請求將個人信息轉(zhuǎn)移至其指定的個人信息處理者,符合國家網(wǎng)信部門規(guī)定條件的,個人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑”[1]。根據(jù)該條款,個人信息主體可以將提供給一個平臺的個人信息轉(zhuǎn)移至另一平臺,實現(xiàn)個人信息的跨平臺流轉(zhuǎn),個人信息可攜權(quán)的增設(shè)具有打破數(shù)據(jù)壟斷、促進數(shù)據(jù)自由流通的積極意義。然而,個人信息可攜權(quán)在《個人信息保護法》中還僅僅是個人信息主體的一項請求權(quán),并且條文僅規(guī)定“符合國家網(wǎng)信部門規(guī)定條件的,個人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的路徑”[1],個人信息可攜權(quán)的權(quán)利客體、權(quán)利行使條件、權(quán)利行使方式、個人信息處理者的協(xié)助義務(wù)等內(nèi)容都尚未明確。個人信息可攜權(quán)涉及個人信息主體、個人信息處理者、新的個人信息接受者等多元主體,規(guī)定不明會造成多元主體間的價值沖突。
4.2.1《中華人民共和國民法典》與《中華人民共和國個人信息保護法》的關(guān)系定位不清
《民法典》初步規(guī)定了個人信息的定義、處理原則、處理條件、免責(zé)事由、個人信息主體權(quán)利、個人信息處理者的信息安全保障義務(wù)、國家機關(guān)工作人員的保密義務(wù)等與個人信息保護有關(guān)的內(nèi)容,基本確立了個人信息保護的基本民事制度[23]。《個人信息保護法》在此基礎(chǔ)上更系統(tǒng)、全面地構(gòu)建了完整的個人信息保護制度。然而,自《個人信息保護法》出臺以來,有關(guān)其與《民法典》的關(guān)系問題一直存在爭議,有學(xué)者主張二者是特別法與一般法的關(guān)系,也有學(xué)者認為《個人信息保護法》是兼具公法與私法性質(zhì)的綜合性法律,與私法性質(zhì)的《民法典》并非一般法與特別法的關(guān)系?!睹穹ǖ洹放c《個人信息保護法》在有關(guān)個人信息的定義、分類等方面存在差異,面對同一問題不同規(guī)定的情況,二者關(guān)系定位不清會導(dǎo)致條文適用的選擇困難。
4.2.2 個人信息保護相關(guān)法律規(guī)定更新不及時
雖然保護個人信息的專門性法律剛剛出臺,但《中華人民共和國刑法》《民法典》《中華人民共和國電子商務(wù)法》《中華人民共和國消費者權(quán)益保護法》等部門法已經(jīng)在各自的規(guī)范調(diào)整范圍內(nèi)規(guī)定了個人信息保護的相關(guān)內(nèi)容。大數(shù)據(jù)、云計算、人工智能等新一代信息技術(shù)不斷涌現(xiàn),現(xiàn)有的個人信息保護制度更新不及時,將無法適應(yīng)數(shù)字經(jīng)濟社會的發(fā)展。我國公民個人信息的法律保護一直采取“先刑后民”的立法路徑,《刑法修正案(七)》首次增設(shè)有關(guān)公民個人信息的相關(guān)罪名后,個人信息的相關(guān)法律保護才逐漸齊備。侵犯公民個人信息罪是典型的個人信息刑法保護路徑,由于理論供給的先天不足,該罪一直飽受爭議,隨著《民法典》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》的出臺,侵犯公民個人信息罪在公民個人信息范圍等方面的規(guī)定已經(jīng)與上述法律格格不入,法律規(guī)定內(nèi)部缺乏一致性使法秩序的統(tǒng)一很難實現(xiàn)。
如前所述,《個人信息保護法》對個人信息保護方面的社會熱點問題作出了積極回應(yīng),但相關(guān)規(guī)定還不夠細致完善,需作出精細化調(diào)整。以個人信息可攜權(quán)為例,《信息安全技術(shù)個人信息安全規(guī)范》[25]第8.6條規(guī)定了個人信息主體獲取個人信息副本的權(quán)利以及技術(shù)可行前提下的個人信息直接轉(zhuǎn)移權(quán),該條規(guī)定的個人信息可攜權(quán)有以下要點:①根據(jù)個人信息主體的請求;②轉(zhuǎn)移個人信息并非個人信息處理者義務(wù);③個人信息轉(zhuǎn)移以技術(shù)可行為前提;④個人信息主體需指定特定第三方;⑤權(quán)利客體包括個人基本資料、個人身份信息、個人健康生理信息、個人教育工作信息。該條基本上明確了個人信息轉(zhuǎn)移權(quán)的具體內(nèi)容,但仍存在權(quán)利行使限制性條款、數(shù)據(jù)格式標準、權(quán)利行使基礎(chǔ)缺失問題。歐盟《一般數(shù)據(jù)保護條例》第二十條專門規(guī)定數(shù)據(jù)可攜權(quán),第一款明確了數(shù)據(jù)提供的格式要求,即“有組織的,通用的和機器可讀的格式”,第三和第四款規(guī)定了權(quán)利行使限制,即“不適用于為執(zhí)行公共利益任務(wù)或者行使數(shù)據(jù)控制者被授權(quán)的職務(wù)權(quán)限所必要的數(shù)據(jù)處理”“不應(yīng)對其他人的權(quán)利及自由造成負面影響”[24]?!秱€人信息保護法》宜在現(xiàn)有規(guī)定基礎(chǔ)上借鑒《一般數(shù)據(jù)保護條例》中關(guān)于數(shù)據(jù)可攜權(quán)的規(guī)定,進一步完善個人信息可攜權(quán)的具體權(quán)利內(nèi)容、適用范圍、權(quán)利行使限制、數(shù)據(jù)傳輸格式要求。
《個人信息保護法》的出臺標志著我國個人信息保護法律體系的初步建成,但其中大部分規(guī)定都不具備可操作性,需要通過后續(xù)的立法活動繼續(xù)補充與細化。因此,應(yīng)當(dāng)圍繞《個人信息保護法》加快出臺具有可操作性的配套法規(guī),為執(zhí)法活動提供指導(dǎo)依據(jù),形成完備的個人信息保護法律體系。具體而言,應(yīng)加緊制定《個人信息保護法實施條例》,發(fā)揮國家網(wǎng)信部門的統(tǒng)籌協(xié)調(diào)職能?!秱€人信息保護法》第六十二條規(guī)定,國家網(wǎng)信部門一方面要推進有關(guān)部門依法制定個人信息保護具體規(guī)則、標準;另一方面針對小型個人信息處理者處理敏感個人信息以及人臉識別、人工智能等新技術(shù)、新應(yīng)用,制定專門的個人信息保護規(guī)則、標準[1]。個人信息保護相關(guān)工作部門應(yīng)當(dāng)在國家網(wǎng)信部門的統(tǒng)籌協(xié)調(diào)下,加快推進具體規(guī)則、標準的制定工作,確保個人信息保護制度落地實施。各地應(yīng)以《個人信息保護法》為依據(jù),結(jié)合本地實際情況,加緊出臺個人信息保護地方性法規(guī),制定具有可操作性的規(guī)范性文件,對上位法規(guī)定作出進一步的細化與補充。此外,除了新法規(guī)的制定,現(xiàn)有的個人信息保護法律規(guī)定也應(yīng)以《個人信息保護法》為參照及時更新,以確保個人信息保護法律秩序的統(tǒng)一。
個人信息的法律保護是一個持續(xù)且動態(tài)的過程,《個人信息保護法》的出臺僅是開端。個人信息保護法律體系已建立但未健全,舊的個人信息保護法律制度亟待更新,新的個人信息保護配套法規(guī)亟待出臺。個人信息保護的法律任務(wù)依舊任重道遠,后續(xù)需要繼續(xù)對個人信息保護規(guī)則進行精細化調(diào)整。