近年来,为应对数字经济背景下个人信息保护的挑战,世界各国纷纷制定或修订立法,通过增加法律法规中关于个人信息保护的内容规定以强化个人信息保护力度。我国虽已形成了由法律、法规、规章以及规范性文件等组成的多层次、多领域、结构复杂的个人信息保护法律体系,但尚未形成系统化制度体系。笔者试着从国情出发,谈谈我国加快推动个人信息保护立法工作及相关制度设计。
我国个人信息保护立法现状
目前,我国已形成了由法律、法规、规章及规范性文件等组成的多层次、多领域、结构复杂的个人信息保护法律体系。笔者试着从立法模式、个人信息保护主要内容两方面进行分析、探讨。
从立法模式看,我国个人信息保护经历了从间接保护到直接保护的过程。早期,我国立法通过对“人格尊严”“个人隐私”“个人秘密”“保障信息安全”等实现了对个人信息的直接或间接保护,如《中华人民共和国治安管理处罚法》《中华人民共和国侵权责任法》《中华人民共和国居民身份证法》等都有涉及个人信息保护的相关条款。近年来,在法律规定中直接对“个人信息保护”进行规定的趋势日趋明显,《中华人民共和国网络安全法》将个人信息保护纳入网络安全保护的范畴,其第四章“网络信息安全”对个人信息保护问题作了专章规定。“个人信息保护法”也已正式列入全国人大常委会立法规划。
我国个人信息保护主要内容有哪些?根据现有立法来看,大致可以分为四点:一是明确个人信息的概念。当前立法中,我国对个人信息的界定多采用“概括+列举”模式,通过概括内涵及列举外延明确了个人信息保护的调整范围。如网络安全法将个人信息界定为,以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。二是规定个人收集使用要求。个人信息收集使用规则,主要指各方主体在个人信息保护原则下,收集和使用用户个人信息的具体要求。如网络安全法规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。三是赋予个人享有的部分数据权利。民法总则第111条确立了对个人信息的保护,其规定:“自然人的个人信息受法律保护”。此外,我国的部分条例规章中也规定了涉及个人享有的删除权、更正权、说明权等。例如,《征信业管理条例》规定,在不良信息保存期限内,信息主体可以对不良信息作出说明,征信机构应当予以记载。四是设计跨境数据流动制度。我国在网络安全法等立法中确立了跨境数据流动管理制度,规定关键信息基础设施的运营者收集、产生的个人数据和重要数据向境外提供进行安全评估。此外,我国还细化了行业数据跨境管理规定。例如,针对金融数据,立法规定在中国境内收集的个人金融信息的存储、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,不得向境外提供境内个人金融信息。
我国个人信息保护立法建议
首先,应进一步明确个人信息保护调整范围。权利保护并不是个人信息保护的唯一目的。立法必须平衡数据自由流动和个人权利保护。过度强调权利保护的个人信息保护法规,虽然能在一定程度上提升个人信息保护水平,用户对自身数据的控制权将大为提高,但在整体数字经济发展环境下,未必会形成良好的长期效果。数据是数字经济发展的基本要素,严苛的数据保护活动,会影响对数据挖掘和利用,产业和技术发展会受到限制。个人信息保护的制度设计应当同时符合产业发展和权利保护的需要。个人信息范围可宽可窄,具体保护规则可松可严。如果要兼顾数据自由流动和个人权利保护,逻辑上就应当对两个关键因素进行合理匹配,较宽的个人信息范围适用宽松的保护规则,较窄的个人信息范围适用严格的保护规则。
其次,要明确个人信息保护专门机构。当前,互联网与传统行业的不断融合,跨行业、跨领域的个人信息保护情况越来越多。但现有立法并未明确规定各行业主管部门在个人信息保护领域的管理边界,大量重复监管和监管真空的现象凸显。同时,分散的个人信息保护管理体制,使得公民在个人信息受到侵害后投诉举报常难以被受理或解决,救济难度大大增加。因此,建立完善保护层级更高、统筹和协调性更强的个人信息保护体制显得越来越迫切。一方面,个人信息保护工作事项涉及各行业各领域各类主体,事项众多、复杂程度高。另一方面,采用统筹协调加分行业监管的综合管理模式有利于加强个人信息保护。以美国为例,它通过美国联邦贸易委员会全面统领个人信息保护主要工作,由各行业部门负责相关工作,实现了在全球范围内水平较高、较为充分的个人信息保护。
再次,应细化有关个人信息保护规则。笔者建议,我国在“个人信息保护法”中,对个人信息保护进行更合理、精细的制度设计。一要进一步细化知情同意规则,明确规定向用户告知的信息应当准确、易于理解、易于获取,清晰说明各项业务功能及所收集个人信息类型、个人信息处理规则;明确同意的具体要求,即自愿的、具体的、明确的意思表示,不得通过默认勾选、概况同意方式获得用户授权。二要规定敏感个人信息的特殊保护规则。建议立法中对不同的个人信息进行分级分类保护,对敏感个人信息进行更严格的保护。例如,列举可收集、使用的敏感个人信息的具体情形,如个人明示同意、为公共事业需求等;存储敏感个人信息必须对其采取加密处理和技术安全保障;明确处理敏感个人信息的条件;明确敏感个人信息及时删除等。三要规定公开个人信息保护的具体规则。公开披露个人信息的主体可以是网络运营者公开公民的个人信息,也可以是国家机关出于国家安全或公共利益的考虑,将特定公民的个人信息向公众予以公开。笔者认为,这两种情况具有不同实践特征,应当予以区别设计。
(作者系中国信息通信研究院互联网法律研究中心主任)