作者:王成
北京大學法學院教授
個人信息立法涉及保護和利用兩個基本方面。由於技術和市場有足夠動力去利用個人信息,立法的主要任務應當是通過規範相關的利用行為來保護個人信息。個人信息在形式上被定位為民事利益,不僅對個人信息的保護沒有實質影響,反倒容易導致個人信息相對不重要的誤解。「個人信息權益」的措辭不符合我國立法傳統,在以往正式法律中沒有此類某種「人格利益」+「權益」的表述。個人信息保護法規範的是個人信息處理的「行為」而不是「活動」,旨在保護「信息主體」而非空泛的「個人」權利。個人信息保護法應當與《民法典》的規定相協調,堅持個人信息處理應遵循合法、正當、必要原則,處理未成年人個人信息須取得其監護人同意的年齡不應當限定為14周歲。個人信息保護法還應當增加關於個人信息處理安全原則和個人信息移轉權的規定,並對信息處理者出現停業、破產等情形後的個人信息保護規則作出規定。
《個人信息保護法(草案)》(以下簡稱為「草案」)於2020年10月向社會徵求意見,意味著《個人信息保護法》走上了快車道。草案在《民法典》基礎上,建構了我國個人信息保護的單行法律框架,具有重要意義。以下,結合草案規定,就個人信息保護立法中若干重要問題提出筆者的看法,供學界同仁批評,也供立法參考。
一、關於個人信息處理和保護的關係
個人信息規則制定涉及保護和利用兩個矛盾的方面,需要在二者之間尋找平衡。個人信息保護的意義,無需再討論。個人信息的利用,體現為個人信息的處理(《民法典》第1035條第2款、草案第4條第2款)。有合法正當的處理,也有不合法不正當的處理。個人信息保護和合法正當的處理,都具有積極意義。
個人信息的出現和產業化,是技術和市場的結果。技術和市場總是想法設法處理個人信息。各種新的處理會被不斷地發掘出來,處於主動的一方面;個人信息的保護則處於被動的一方面,總需要應對各種新的問題。道高一尺魔高一丈。處理個人信息的背後是技術和市場的動力,屬於魔的一面,法律無需去促進個人信息的利用。法律屬於道的一面,其主要任務應當通過對個人信息處理進行合法適當的規範,實現保護個人信息的目的。
保護和利用的關係涉及到草案的第1條和第2條。
草案第1條中列舉了四項立法目的,即「保護個人信息權益,規範個人信息處理活動,保障個人信息依法有序自由流動,促進個人信息合理利用」。這四項中的前兩項已經足以涵蓋個人信息保護和規範個人信息處理行為這兩個主要方面。按照草案第4條第2款的界定,「流動」和「利用」是包括在「處理」之中的,因此後兩項與第二項事實上是重複的。加之,流動和利用是技術和市場的行為,無需促進,技術和市場自然會有足夠動力去發展。個人信息權利「保護」(權益保護)和個人信息處理活動(行為自由)是個人信息保護法的主要矛盾。如果在「規範個人信息處理活動」後緊接著再強調個人信息的「自由流動」和「合理利用」,無疑造成了「一對三」的局面,即過度強調個人信息的利用和處理,破壞了保護和規範利用之間的均衡。「有序自由流動」的措辭也值得斟酌。從草案全文來看,並沒有體現「自由流動」的內容。凡流動皆需要有序,因此,「有序流動」和「自由流動」是矛盾的。「有序流動」和「合理利用」本身是個人信息處理活動獲得法律保護的基礎。
基於此,建議第1條修改為:「為了保護個人信息權益,規範個人信息處理活動,制定本法。」本條中還有兩個重要的概念:「個人信息權益」和「個人信息處理活動」,也建議修改,稍後會討論到。
草案第2條強調了個人信息受法律保護,建議同時增加對個人信息合法正當必要處理保護的規定。如前,個人信息的保護和合法正當處理都具有積極的方面,因此需要在二者之間尋找平衡。法律否定的是對個人信息不合法不正當的濫用和處理,法律肯定對個人信息進行合法正當必要的處理和利用。這兩方面建議在第2條中都加以體現。強調對合法正當必要處理的保護,也就在宣示對不合法、不正當、不必要處理的否定立場,同時呼應了《民法典》第1035條確定的「合法、正當、必要」原則。
基於此,建議草案第2條修改為兩款:「自然人的個人信息受法律保護,任何組織、個人不得侵害自然人的個人信息權益。」「合法、正當、必要的個人信息處理受法律保護。」
個人信息保護和利用的平衡,需要體現在具體規則裡。匿名化後的信息是否屬於個人信息、同意的撤回是否需要附條件等等,都是在權衡保護和利用的關係。
二、關於個人信息的定位
個人信息在私法上的定位爭論已久。現在看來,《民法總則》第111條的定位,構成了此後《民法典》的障礙。《民法典》第111條和人格權編第六章的規定,構成了草案定位的障礙。
草案將個人信息定位為「個人信息權益」,筆者認為,此種定位還有進一步考慮的必要。主要理由如下:
(一)民事權利和利益的區分
民事權利和利益的區分有兩種:實質上的區分和形式上的區分。
實質上的區分是《德國民法典》第823條、第826條以及臺灣地區「民法」第184條的區分。實質上區分,即不僅在形式上區分民事權利和利益,更重要的是,在侵權法中為侵害民事權利和侵害利益設定了不同的責任構成規範。對民事利益的保護門檻要比對民事權利的保護門檻更高。在侵權法基本範疇的意義上,侵害權利時,更加傾向於權利保護;相對而言,侵害利益時,更加傾向於行為自由。
《最高人民法院關於確定民事侵權精神損害賠償責任若干問題的解釋》(法釋〔2001〕7號)第1條也是在實質上區分民事權利和利益。侵害人格權利主張精神損害賠償,只需要一般構成要件;侵害合法利益(隱私及其他人格利益)主張精神損害賠償,則需要「違反社會公共利益、社會公德」。
形式上的區分,即只在形式上區分民事權利和利益,但這種區分並無實質意義。尤其是在侵權行為的構成上,並不區分侵害民事權利的構成和侵害利益的構成。《侵權責任法》、《民法總則》以及《民法典》都只是在形式上區分了民事權利和利益。實際上,《民法總則》之前,在全國人大及其常委會制定的法律中,並沒有具體的民事利益類型。如前,只有在法釋〔2001〕7號中出現過「隱私或者其他人格利益」的措辭,而這一定位並未體現在後來的《侵權責任法》中。
就《民法典》而言,儘管在總則編和人格權編區分了人格權利和利益,但是,在侵權責任編並沒有如德國民法典和我國臺灣地區民法那般就民事權利和利益規定不同的構成要件。《民法典》第1165條和第1166條作為一般條款,使用「民事權益」的措辭,使民事權利和利益在侵權責任編被等同對待。
(二)「個人信息權益」的表述不符合我國立法傳統
「個人信息權益」的概念,由「個人信息」加「權益」二部分構成。前半部分是某種具體人格利益,後半部分表示定位。在《民法典》上,有三處「其他合法權益」的表述(第2條、第31條、第34條),但是沒有這種「具體人格利益」加「權益」的表述。( 在《民法典》中「權益」一詞出現51次,其中29次「合法權益」,5次「財產權益」,7次「民事權益」,3次「人身權益」,1次「所有權人的權益」,1次「出資人權益」,2次「優先受償權益」,1次「其他人格權益」,1次「無過錯方權益」,1次「土地承包經營權中享有的權益」。)
「個人信息權益」的表述曾出現在《最高人民法院、國家發展和改革委員會關於為新時代加快完善社會主義市場經濟體制提供司法服務和保障的意見》(法發〔2020〕25號)中。其中第23條要求:「貫徹落實民法典人格權編關於人格利益保護的規定,完善對自然人生物性、社會性數據等個人信息權益的司法保障機制,把握好信息技術發展與個人信息保護的邊界,平衡好個人信息與公共利益的關係。」這裡的個人信息權益更像一個概括總結性的概念,而不是具體的實指人格權意義上的概念。
在一些規範性文件中,曾經出現過某種「具體人格利益」加「權益」的表述。
「生命權益」出現2次:《民政部辦公廳關於轉發中國兒童福利和收養中心開展「嬰兒安全島」試點工作方案的通知》(民辦函〔2013〕234號);《民政部、公安部、財政部、勞動和社會保障部、建設部、衛生部關於進一步做好城市流浪乞討人員中危重病人、精神病人救治工作的指導意見》(民發〔2006〕6號)。
「健康權益」出現多次:其中《全國人民代表大會教育科學文化衛生委員會關於第十二屆全國人民代表大會第五次會議主席團交付審議的代表提出的議案審議結果的報告》9次;行政法規層面,比如《國務院辦公廳關於推進醫療保障基金監管制度體系改革的指導意見》(國辦發〔2020〕20號)等23次;司法解釋6次;部門規章424次。
「榮譽權益」出現1次:最高人民法院指導案例99號「葛長生訴洪振快名譽權、榮譽權糾紛案」(2018年12月19日發布)。
「隱私權益」出現3次:《全國人民代表大會法律委員會關於第十一屆全國人民代表大會第二次會議主席團交付審議的代表提出的議案審議結果的報告》(2009年12月26日第十一屆全國人民代表大會常務委員會第十二次會議通過);《十一屆全國人大二次會議秘書處關於第十一屆全國人民代表大會第二次會議代表提出議案處理意見的報告》(2009年3月12日第十一屆全國人民代表大會第二次會議主席團第三次會議通過);《全國人大法律委員會關於第十屆全國人民代表大會第五次會議主席團交付審議的代表提出的議案審議結果的報告》(2007年12月29日第十屆全國人民代表大會常務委員會第三十一次會議通過)。(值得注意的是,這三個報告都形成於《侵權責任法》制定過程中,最後通過的《侵權責任法》將「隱私權益」變成了「隱私權」。這一情況不知道是否適用於《個人信息保護法》。)
除上述之外,在立法機關通過的正式法律中,並沒有此類某種「具體人格利益」加「權益」的表述。草案獨創這一概念,其正當性需要充分論證。
(三)「個人信息權益」概念與《民法典》上「個人信息」的措辭不一致
草案使用「個人信息權益」的概念如何與《民法典》銜接,是一重要問題。草案將個人信息定位為民事權益,應當是顧及到《民法典》上個人信息的定位。但是,《民法典》使用的概念就是「個人信息」(第111條、第1034條及以下)。草案作為單行法,即使不完全是民事單行法,關於個人信息的定位也不應該與《民法典》相衝突。草案使用「個人信息權益」,與《民法典》上「個人信息」是什麼關係?二者是一個意思還是兩個意思?如果是一個意思,為何不用相同的措辭?是兩個意思,二者的區分在哪裡?就其本身而言,究竟是指「權利+利益」還是「利益」?
(四)使用「個人信息權益」會帶來不好的社會觀感
《民法典》總則編第五章規定了大量的人格權利,單單個人信息是「個人信息權益」,給社會的印象是個人信息遠不如那些具體民事權利重要。按照這種相對不重要的邏輯,為何諸多具體民事權利都沒有制定單獨的規範,偏偏要給相對不重要的個人信息利益單獨制定保護規範呢?單獨制定《個人信息保護法》的正當性也會受到質疑。
(五)立法者似乎並不排斥個人信息的權利定位
《全國人民代表大會法律委員會關於<中華人民共和國民法總則(草案)>修改情況的匯報》(2016年10月31日)中,使用的是「個人信息權利」:「個人信息權利是公民在現代信息社會中享有的重要權利,明確對個人信息的保護對於保護公民的人格尊嚴,使公民免受非法侵擾,維護正常的社會秩序具有現實意義。」
《關於<中華人民共和國個人信息保護法(草案)>的說明》(2020年10月13日)中也提到:「在編纂民法典中,將個人信息受法律保護作為一項重要民事權利作出規定」。
草案不妨捅破這層《民法典》沒有捅破的窗戶紙,直接使用「個人信息權」,讓個人信息堂堂正正地成為一種具體的人格權利。
三、關於個人信息保護法的規範對象
法律的規範對象包括主體和客體。草案第3條規定:「組織、個人在中華人民共和國境內處理自然人個人信息的活動,適用本法。」
(一)主體
法律上的主體無非就是組織和個人,但是組織、個人並非作為法律主體的屬性描述。在《民法典》上,組織、個人就是法人、非法人組織和自然人(《民法典》第2條)。這種定位不限於《民法典》,其他以《民法典》為基礎的法律都應當遵循此種界定。建議草案也採用法人、非法人組織、自然人的稱謂。
即使採用法人、非法人組織、自然人的表述,第三條表述本身也無需主語。即沒有主語也不會影響其意義表達。建議刪去「組織、個人」。
此外,草案在提到個人信息主體的時候,使用的是「個人」一詞。《民法典》人格權編第六章中使用的「自然人」一詞(比如,第1034條、第1036條等)。相對而言,「自然人」比「個人」更要妥當。為了與《民法典》保持統一,建議將「個人」改為「自然人」。
使用「個人」描述信息主體,在措辭造成很多困擾。比如,草案第三條本身使用的就是「自然人個人信息」的表述。如果主體使用「個人」,「自然人個人信息」應該相應改為「個人個人信息」,這種措辭明顯不通。第13條各項中同時出現了「個人」和「自然人」兩個表述,尤其是第4項「自然人」的表述,顯得頗為突兀。第14條前段規定:「處理個人信息的同意,應當由個人在充分知情的前提下,自願、明確作出意思表示。」此處的個人似乎也有些不順。其他多處地方都有此種情況。
《歐盟一般數據保護條例》(GDPR)使用的是「信息主體(the data subject)」的概念。《信息安全技術個人信息安全規範(GB/T35273—2020)》使用的是「個人信息主體(personal information subject)」。如果拋開照顧《民法典》既有規定的考慮,筆者認為,最妥當的是借鑑上述做法,將「個人」和「自然人」都改成「信息主體」。
(二)客體
草案將規範客體定位為個人信息處理者的「活動」。在既有法律中,也有使用「活動」的例子,比如,《保險法》《證券投資基金法》第1條中,均使用「活動」一詞。但是,更多法律使用的是「行為」,比如《公司法》、《證券法》、《行政訴訟法》、《行政處罰法》、《行政強制法》、《行政複議法》、《銀行業監督管理法》和《稅收徵收管理法》等。也有「活動」和「行為」混用的情況。比如,《民法典》中出現「活動」45次、「行為」289次。
草案第4條第2款規定:「個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等活動。」與本條呼應的《民法典》第1035條第2款的規定:「個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。」兩相比較,《民法典》第1035條第2款中沒有「活動」一詞。尤其需要值得注意的是,隨後的第1036條規定:「處理個人信息,有下列情形之一的,行為人不承擔民事責任。」
可見,《民法典》人格權編第六章關於個人信息的規定,其規範對象是「行為」而非「活動」。由於第1035條沒有出現「活動」一詞,使得第1036條順理成章出現「行為人」一詞。而草案第4條第2款使用了「活動」一詞,按同樣邏輯對應的只能是「活動人」。事實上,草案第七章中,使用的又都是「行為」一詞。比如草案第62條第2款「有前款規定的違法行為」、第63條「有本法規定的違法行為的」、第67條有「違反本法規定,構成違反治安管理行為的」等。這些「違法行為」所指向的就是前面用「活動」描述的各種情形。
就「活動」與「行為」二者而言,「活動」的社會生活事實描述意味較重,通常泛指系列行為而不指向某個具體的動作;而「行為」更加重視與人們意志相關的、具備法律意義的動作。因此,草案使用「行為」更合適。為了用詞規範統一考慮,建議將第1條、第4條等條文中的「活動」統一改為「行為」。
四、關於個人信息處理的目的、方式和原則
(一)個人信息處理的目的、方式
草案第5條、第6條分別規定了個人信息處理的方式和目的。第5條規定「處理個人信息應當採用合法、正當的方式」;第6條規定「處理個人信息應當具有明確、合理的目的」。
筆者認為,應當先有目的、再有方式,因此,建議先規定目的,再規定方式。其次,正如第10條前段所規定的:「任何組織、個人不得違反法律、行政法規的規定處理個人信息」,目的和方式都首先應當強調合法。再次,目的應當強調合法、正當、明確、必要。不能基於非法、不正當目的處理個人信息,同時處理目的應當明確,處理個人信息應當限於實現處理目的的最小範圍,不得進行與處理目的無關的個人信息處理。最後,方式應當強調合法、合理、正當。不得用欺詐、誤導的方式處理個人信息。
(二)敏感個人信息處理的目的
草案第29條第1款規定:「個人信息處理者具有特定的目的和充分的必要性,方可處理敏感個人信息。」此處規定又涉及到個人信息的處理目的。本條目的應當意在強調:敏感信息的處理目的,限制應當更嚴格。但是,特定性和充分必要性,是從處理者角度說的,處理目的首先還是需要符合法律規定和信息主體的利益,因此,處理敏感信息,首先更應當合法、正當,其次才是目的特定和充分的必要性。合法、正當也是《民法典》第1035條確定的個人信息處理的原則。
基於此,建議第29條第1款修改為:「處理敏感個人信息的目的必須合法、正當、特定,且具有充分的必要性。」
(三)個人信息處理的原則
一部法律的原則,是整部法律的主基調,應當規定在法律開始。建議將草案基本原則的位置往前提。
草案第7條規定:「處理個人信息應當遵循公開、透明的原則,明示個人信息處理規則。」整個草案中僅本條中規定了處理個人信息應當遵循的原則,足見其重要意義。第5條儘管提到了誠信原則,但是其指稱對象是「處理個人信息應當採用合法、公正的方式」。可見,從文義上明確規定為原則的,只有第7條。既然是原則,應當在整部法律中都要體現。但是公開、透明如何體現?是要求信息處理者的算法公開透明,還是要告知和徵得同意?如果要求算法公開透明,可以想像很難實現。(參見左為民:《關於法律人工智慧在中國運用前景的若干思考》,載《清華法學》2018年第2期;陳姿含:《人工智慧算法中的法律主體性危機》,載《法律科學( 西北政法大學學報)》2019年第4期;李飛:《人工智慧與司法的裁判及解釋》,載《法律科學》2018年第5期;高奇琦、張鵬:《論人工智慧對未來法律的多方位挑戰》,載《華東科技大學學報》2018年第1期。張凌寒:《算法權力的興起、異化及法律規制》,載《法商研究》2019年第4期。)
如果公開、透明原則體現的就是第7條後段的「明示個人信息處理規則」的話,不妨直接規定明示個人信息處理的規則是否更好。另外,明示個人信息處理規則,是否就是應當直接告知相關信息主體信息處理規則?如果是這樣的話,建議在徵得同意時,增加明確告知信息主體信息處理規則的內容。
需要注意的是,《民法典》第1035條第1款規定:「處理個人信息的,應當遵循合法、正當、必要原則,不得過度處理」。草案應當遵循這一原則。可以在草案第5條、第6條處理目的和方式之前,對第1035條規定的原則加以規定。草案第10條可以看作合法原則;另外,處理個人信息時,信息的安全是非常重要的。因此建議結合草案第9條的規定,將安全作為本法的原則。同時將第10條和第9條的規定移到第5條、第6條之前。
五、關於信息主體的同意
告知-同意是草案確立的信息處理的核心規則。(參見:《關於<中華人民共和國個人信息保護法(草案)>的說明》(2020年10月13日)。)
結合草案,有幾個問題值得討論。
(一)14周歲限制的合理性質疑
草案第15條規定:「個人信息處理者知道或者應當知道其處理的個人信息為不滿14周歲未成年人個人信息的,應當取得其監護人的同意。」
草案確定的14周歲,其來源大概是《信息安全技術個人信息安全規範》(GB/T 35273—2017)。其中5.5規定:收集年滿14的未成年人的個人信息前,應徵得未成年人或其監護人的明示同意;不滿14周歲的,應徵得其監護人的明示同意。
之後的《兒童個人信息網絡保護規定》(國家網際網路信息辦公室令第4號,2019年8月22日發布)第2條規定:「本規定所稱兒童,是指不滿14周歲的未成年人。」第9條規定:「網絡運營者收集、使用、轉移、披露兒童個人信息的,應當以顯著、清晰的方式告知兒童監護人,並應當徵得兒童監護人的同意。」
這一立場影響到了2020年10月17日修訂的《未成年人保護法》,其第72條第2款後段規定,「處理不滿14周歲未成年人個人信息的,應當徵得未成年人的父母或者其他監護人同意,但法律、行政法規另有規定的除外。」
可見,我國似乎有形成以14周歲劃定是否需要監護人同意的趨勢。但是,按照1998年《兒童權利公約》的界定,所有18周歲以下的未成年人都是「兒童」。《兒童權利公約》第1條規定:「為本公約之目的,兒童係指18歲以下的任何人,除非對其適用之法律規定成年年齡低於18歲。」《民法典》第17條規定:「18周歲以上的自然人為成年人。不滿18周歲的自然人為未成年人。」第18條第1款規定:「成年人為完全民事行為能力人,可以獨立實施民事法律行為。」《民法典》規定18歲成年,與公約規定是一致的。為18周歲以下的未成年人設置監護制度,目的之一是為了防止其心智不成熟而使自己利益受到傷害。
「14周歲」的法律意義更多體現在刑事法律中:其一,14周歲是責任能力有無的劃分標準。14周歲以下的,無刑事責任能力(《刑法》第17條);其二,14周歲是婦女和幼女的區分標準(《刑法》第236條第2款「姦淫幼女罪」、第359條第2款「引誘幼女賣淫罪」);其三,14周歲是涉及兒童(不滿14周歲的未成年人)類犯罪和其他犯罪的區分標準。比如「拐騙兒童罪」(《刑法》第262條)、「組織兒童乞討罪」(《刑法》第262條之一)。
GDPR第8條確定未成年人同意能力的年齡標準是16周歲,同時規定「各成員國可以以法律形式為實現前述目的設定更低的年齡界限,但是不得低於13周歲。」
筆者認為,雖然同意與行為能力不能完全掛鈎,將同意分為積極利用和消極防禦也非常有啟發性,(參見陸青:《個人信息保護中「同意」規則的規範構造》,載《武漢大學學報(哲學社會科學版)》2019年第5期。)但是,究竟應當將多少歲確定為需要監護人同意的年齡,未必是邏輯推演問題,而應當需要實踐經驗來支持。
不精確的經驗表明,14周歲到18周歲的未成年人,正是開始不斷接觸未知世界的年齡,看似懂了很多,但是在判斷能力上難謂成熟,自信有餘、謹慎不足;同時易衝動,易受到他人的蠱惑。由於接觸未知世界的範圍越來越廣,這個年齡階段的未成年人可能更容易受到傷害。同意個人信息處理,屬於可能產生重要影響的事項,非常有必要由監護人把關。基於上述考慮,筆者建議將第15條規定與《民法典》的規定統一起來,去掉14周歲的限制。
(二)關於撤回同意
草案第16條規定:「基於個人同意而進行的個人信息處理活動,個人有權撤回其同意。」本條措辭似乎不符合一般表述習慣,容易引起誤解。建議直接表述為:「信息主體有權撤回其同意」。GDPR第7條第3款規定,信息主體有權隨時撤回其同意。同意的撤回不影響撤回前基於同意作出的信息處理的合法性。撤回同意應與作出同意同樣容易便利。
借鑑這一規定,建議草案增加撤回前處理行為效力的規定。如果同意採用了書面等特殊方式,撤回也應當採取同樣的方式,目的是為慎重、也為保存證據避免糾紛。當初是監護人作出的同意,如果撤回時信息主體仍未成年,撤回仍然應當由其監護人作出。未成年時由監護人作出的同意,信息主體成年後,可以撤回當初的同意。
至於信息主體是否可以隨時撤回其同意。有觀點認為,應區分侵權和合同兩種不同語境加以分析。若對個人信息的同意並不直接涉及合同交易領域,而僅消極表達對他人行為違法性的排除,除非涉及公共利益等特殊情形,原則上可以隨時撤回;而在合同領域,若同意他人處理個人信息是交易內容的組成部分,尤其是僅與個人信息的財產價值相關而並不直接影響當事人的人格發展,應當對當事人撤回或撤銷同意加以限制,對作為合同相對人的數據處理者,應賦予主張損害賠償的權利。(參見陸青:《個人信息保護中「同意」規則的規範構造》,載《武漢大學學報(哲學社會科學版)》2019年第5期。)
這一觀點有啟發意義。撤回是否需要附條件,是在權衡保護和利用的關係。能否隨時撤回也和信息本身的敏感性有關。如果涉及極其敏感的個人信息,即使在合同領域,隨時撤回也未必就完全不可以。就像租賃合同中,承租人一般情況下當然不能隨意解除合同。但是租賃物危及承租人的安全或者健康的,即使承租人訂立合同時明知該租賃物質量不合格,承租人仍然可以隨時解除合同(《民法典》第731條)。
六、關於信息主體的告知義務
告知義務是信息主體的主要義務。
(一)關於告知的及時性
第19條第2款規定:「緊急情況下為保護自然人的生命健康和財產安全無法及時向個人告知的,個人信息處理者應當在緊急情況消除後予以告知。」
本條在處理緊急情況與告知之間的關係。出現緊急情況時,客觀上不允許,可以暫時不告知,但是緊急情況消除後,就應當及時告知。因此,建議增加及時告知的內容,即最後一句修改為:「個人信息處理者應當在緊急情況消除後及時進行告知。」
(二)關於委託處理個人信息的告知
草案第22條規定了個人信息的委託處理。委託處理不僅涉及到委託人和受託人之間的關係,也會涉及到被處理信息的信息主體的利益。因此,在依據第13條第1項因同意而處理個人信息以及第2項因履行合同而處理個人信息的,應當將委託情況告知信息主體,並徵得其同意。
建議第22條增加一款「委託處理個人信息的,應當將委託事項告知信息主體,並徵得其同意。」
(三)關於敏感個人信息的告知
草案第31條規定:「個人信息處理者處理敏感個人信息的,除本法第18條規定的事項外,還應當向個人告知處理敏感個人信息的必要性以及對個人的影響。」從上述敏感個人信息處理目的的合法、正當、特定和必要角度考慮,告知時僅僅告知必要性和對個人的影響還是不夠的。應當將處理個人敏感信息的法律依據、正當性、特定目的一併告知。同時,本條主語可以略去。對信息主體的影響,應當強調可能產生的負面影響。
綜上,第31條建議修改為:「處理敏感個人信息時,除本法第18條規定的事項外,還應當向信息主體告知處理敏感個人信息的法律依據、正當性、特定目的、必要性以及對信息主體可能產生的負面影響。」
七、關於信息的準確、更新與匿名化
(一)關於信息的準確與更新
草案第8條規定:「為實現處理目的,所處理的個人信息應當準確,並及時更新。」
信息處理的理想狀態,的確是處理及時更新的準確信息。但是,基於信息來源多種多樣,信息處理的情況多種多樣,信息處理隨時都在進行,要想做到準確並及時更新,不是件容易的事情。在大數據的概念下,什麼是準確的信息?什麼人來判斷信息是否準確?如何理解及時更新?尤其是,在經信息主體同意而處理信息的情況下,根據草案第14條第2款的規定,及時更新信息是否需要重新獲得信息主體的同意?信息主體會在多大程度上同意自己的信息被信息處理者及時更新?
基於上述種種不確定性,建議將本條刪除。
(二)關於信息的匿名化
草案第4條規定:「個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息, 不包括匿名化處理後的信息。」這種立場與《網絡安全法》第76條第5項、《民法典》第1034條第2款關於個人信息的界定不同。後二者都沒有將匿名化處理後的信息排除在個人信息之外。信息匿名化是一個理想狀態:信息被充分處理的同時無需擔心信息主體的權益受到侵害。但是,這一理想是建立在匿名化不可逆的前提之下。信息匿名化不可能是一勞永逸的。至少從理論上來說,存在匿名化的技術,就可能存在被反轉的技術。因此,希望經由匿名化實現信息處理和信息保護同時兼顧的理想狀態,恐怕只是一個理想。
(一個非常著名的重新識別的實驗是針對視頻供應商Netflix的用戶資料庫進行的。這一資料庫包括了大約500000用戶對超過18000部電影的超過1億份1-5的評級,公司根據其內部的隱私政策在進行匿名化處理後公開了這一資料庫,其將除了評級和日期之外的全部用戶識別信息移除,研究者們分析了這一資料庫的幾何特性(geometric properties)。這一匿名化處理通過輕微提高或降低評級來進行幹擾。然而,實驗發現,通過8部電影的評級和誤差允許14天的評分日期作為標準,99%的用戶可以被識別;如果降低標準(通過兩部電影的評級和3天的誤差),68%的用戶可以被識別。Narayanan, A., &Shmatikov, V.(2008, May). Robust de-anonymization of large sparse datasets. In Security and Privacy, 2008. SP 2008. IEEE Symposium on (pp.111-125). IEEE.轉引自石丹:《歐盟數據保護工作組關於匿名化技術的意見》,載《網際網路法律通訊》2016年第3期。)
《網絡安全法》第42條第1款、《民法典》第1038條第1款都是僅將匿名化後的信息作為未經同意不得向他人提供信息的例外。草案第4條從界定上排除對匿名化後個人信息的保護,使得匿名化後的個人信息完全脫離《個人信息保護法》等法律的規範,意味著個人信息保護範圍的重大變化,有釜底抽薪之效果。
草案第69條第4項規定:「匿名化,是指個人信息經過處理無法識別特定自然人且不能復原的過程。」依此界定,匿名化後的個人信息,從技術上是無法復原的。換言之,只有從技術上無法復原的信息才叫做匿名化的信息。
草案第24條第2款又規定:「個人信息處理者向第三方提供匿名化信息的,第三方不得利用技術等手段重新識別個人身份。」依此規定,匿名化後的信息,還是可以利用技術手段復原的,只不過法律限制復原。此處的匿名化信息與第69條關於匿名化的界定是不一致的。
第69條第4項與第24條第2款的規定應當統一起來。考慮到技術在不斷發展進步,此時在技術上不能復原的個人信息,隨著技術發展,彼時就可能變得可以復原。因此,不能復原,從技術上說只能是暫時性的。從法律上不能復原、禁止復原,則可以是永久性的,但是存在著違反的可能,一旦違反,造成損失即可能是無法挽回的。現有的案例和研究表明,建立完全匿名的數據集的同時又希望實現其預期的目的十分困難。(石丹:《歐盟數據保護工作組關於匿名化技術的意見》,載《網際網路法律通訊》2016年第3期。)
鑑於此種考慮,應當將第69條第4項的不能復原限定為法律上不能復原、禁止復原。建議將第69條第4項修改為:「匿名化,是指個人信息經過處理無法識別特定自然人且禁止復原的過程。」
建議將草案第4條對個人信息的界定中對「匿名化處理後的信息」的排除刪去。匿名化處理後的信息,從技術發展來說,很可能隨時變得可以復原。法律上禁止復原的信息,依然應當算作個人信息。不應當將匿名化排除在個人信息保護之外作為原則。如果某些情況下數據的確可以確保不可逆,或者即使被再識別後,對信息主體的危害依然可控,則可以作為例外,進行列舉性規定。(參見張建文、高悅:《我國個人信息匿名化的法律標準與規則重塑》,載《河北法學》2020 年第1期。)
八、關於國家機關對個人信息的處理
(一)國家機關處理個人信息適用法律的強調
草案第33條規定:「國家機關處理個人信息的活動適用本法;本節有特別規定的,適用本節規定。」草案第3條已經規定:「在中華人民共和國境內處理個人信息,適用本法。」國家機關處理個人信息自然也要適用本法,因此本條有冗餘之嫌。作為強調,可以在本條中重複規定前半段。但是,本節有特定規定的,自然適用本節,這也是應有之義。
故此,本條後半段實屬多餘。否則,其他地方都需要加以類似規定。比如,第二章第二節規定的是敏感個人信息的處理規則,那就需要在本節中首先規定:敏感個人信息處理,適用本節規定。第三章規定的是個人信息跨境提供的規則,那就需要在第三章的開始就規定:個人信息跨境提供,適用本章規定。既然在第二章第二節及第三章中沒有做特別規定,第33條中也沒有必要規定。
(二)國家機關向境外提供個人信息的合法性和告知義務
草案第37條規定:「國家機關處理的個人信息應當在中華人民共和國境內存儲;確需向境外提供的,應當進行風險評估。風險評估可以要求有關部門提供支持與協助。」本條規定國家機關向境外提供個人信息時需要進行風險評估,實屬必要。但是,國家機關需要依法行政,向境外提供個人信息,首先需要有合法依據。其次,依據草案第35條的規定,國家機關處理個人信息,也需要徵得信息主體的同意。基於此,向境外提供個人信息時,還需要告知信息主體其信息被向境外提供的合法依據、必要性,被提供到境外信息的種類、內容、範圍,可能帶來的負面影響,並徵得個人信息主體的同意,除非法律規定可以無需徵得同意。
綜上,建議第37條規定修改為:「國家機關處理的個人信息應當在中華人民共和國境內存儲;依法需要向境外提供的,應當進行風險評估。」
「國家機關應當將法律根據、必要性和信息的種類、內容、範圍和可能帶來的負面影響告知信息主體,並徵得其同意。依法不需要告知或者同意的,不在此限。」
九、關於刪除權及其例外
刪除權是信息主體的重要權利。草案第47條第1款詳細規定了需要刪除的情形。值得注意的是,草案第2款規定了刪除權的例外。
草案第47條第2款規定:「法律、行政法規規定的保存期限未屆滿,或者刪除個人信息從技術上難以實現的,個人信息處理者應當停止處理個人信息。」此處「應當停止處理個人信息」的含義如何理解?尤其是「處理」該怎麼樣理解?
第47條規定的是個人信息處理者主動或者根據信息主體的請求刪除個人信息。第1款規定的是應當刪除個人信息的情形。相應地,第2款似乎應該規定不應當刪除個人信息的情形。因此,「應當停止處理個人信息」是否是「可以不刪除個人信息」的意思?如果是可以不刪除個人信息,那麼不刪除個人信息的條件就是:「法律、行政法規規定的保存期限未屆滿,或者刪除個人信息從技術上難以實現的」。但是,這兩個條件都有討論的餘地。
首先,法律、行政法規規定的保存期限未屆滿。第47條第1款第1項規定:「約定的保存期限已屆滿或者處理目的已實現」時,應當刪除個人信息。如果約定的保存期限與法律、行政法規規定的保存期限不一致時,該適用第1款第1項還是適用第2款?還有,法律、行政法規規定的保存期限未屆滿是否可以對抗第1款的所有情況?筆者認為,個人信息之所以能夠由信息主體同意而處理,則意味著約定要優先於法定,包括約定的保存期限應當優先於法定的保存期限,除非法律有強制性規定,否則約定就沒有任何意義了。
因此,第1款所規定的各種情形:即「(一)約定的保存期限已屆滿或者處理目的已實現;(二)個人信息處理者停止提供產品或者服務;(三)個人撤回同意;(四)個人信息處理者違反法律、行政法規或者違反約定處理個人信息;(五)法律、行政法規規定的其他情形」出現時,即使法律、行政法規規定的保存期限沒有屆滿,但是有刪除需要時,除非存在法律強制性規定,信息處理者仍應當予以刪除。
其次,刪除個人信息從技術上難以實現的。從技術上難以刪除個人信息,是否就可以不刪除?從邏輯上說,技術上難以刪除,客觀上是無法刪除了。但是,這樣的規定很可能變成信息處理者的藉口,以技術的名義對抗要求其刪除的主張。另外,此時技術上不能刪除,彼時就可能變得可以刪除;張三技術不能,李四技術則可能。因此,刪除個人信息從技術上難以刪除,必須要明確規定,並有相應措施加以制約。信息處理者技術上不能刪除,應當解釋為所有人的現有技術都無法刪除,這種無法刪除是可以被監督的。在無法刪除個人信息時,信息處理者應當妥當保存,確保個人信息的安全。當技術發展使得刪除變為可能時,信息處理者應當及時刪除。
綜合理解本條兩款的規定,第47條第2款中「停止處理個人信息」應該是指停止除存儲之外的收集、使用、加工、傳輸、提供、公開等其他信息處理行為。
可以將此處修改為:「刪除個人信息從技術上難以實現的,應當採取措施妥當保存個人信息,避免給信息主體造成損害,造成損害的,應當予以賠償。技術發展使刪除可以實現時,信息處理者應當及時刪除。」
十、關於個人信息風險評估與報告備案
(一)關於個人信息風險評估
草案第54條規定:「個人信息處理者應當對下列個人信息處理活動在事前進行風險評估,並對處理情況進行記錄」。
對個人信息處理行為進行風險評估是非常必要和重要的。本條的內容值得贊同。此外,本條第2款規定:「風險評估報告和處理情況記錄應當至少保存三年。」筆者認為,風險評估報告和處理情況記錄至少保存三年的時間太短。目前的技術使得數據存儲時間可以無限延長,因此,風險評估報告和處理情況記錄無需設置保存期限,應當永久保存。
還有,任何評估報告都只是針對既有的材料和情況進行的,因此,材料和情況隨著時間推移發生變化後,評估報告的結論就可能不再適用。一個風險評估報告無限有效,是不符合實際情況的。對於處理一般信息,第53條都要求進行定期審計,第54條規定的是處理敏感信息,要求應當比一般信息更為嚴格。基於此,建議為風險評估報告設定有效期。比如,風險評估報告的時效性為一定期限。同時可以規定,如果情況發生重大變化,應當及時進行新的風險評估。
(二)向境外傳輸個人信息需要報告備案
草案第51條規定了處理個人信息達到國家網信部門規定數量的個人信息處理者指定個人信息保護負責人並向有關機關報備的義務。
處理信息達到一定數量,意味著其處理能力和潛在造成損害的能力也大大增加。本條規定值得贊同。另外,處理信息達到規定數量,如果向境外傳輸個人信息,也應當就向境外傳輸個人信息的事項單獨向有關部門報備。
因此,建議在本條中增加以下內容:「處理個人信息達到國家網信部門規定數量的個人信息處理者向境外傳輸個人信息的,應當向履行個人信息保護職責的部門報告,並根據第54條的規定進行事前風險評估。」
(三)關於資料更新的義務
草案第51條和第52條分別規定了個人信息處理者的資料報送義務:「個人信息處理者應當公開個人信息保護負責人的姓名、聯繫方式等,並報送履行個人信息保護職責的部門。」「並將有關機構的名稱或者代表的姓名、聯繫方式等報送履行個人信息保護職責的部門。」
鑑於負責人或者代表的人選及其聯繫方式等總是處於變動之中,因此,應當規定個人信息處理者的資料更新義務。
建議在第51條、第52條中分別增加以下內容:「有關負責人或者代表的資料發生變動時,應當將變動情況及時報送履行個人信息保護職責的部門。」
十一、關於信息主體行使權利的申請受理和處理機制
草案第49條規定:「個人信息處理者應當建立個人行使權利的申請受理和處理機制。拒絕個人行使權利的請求的,應當說明理由。」
既然處理個人信息需要徵得信息主體同意,信息主體又可以撤回其同意,建立信息主體行使權利的申請受理和處理機制就非常必要。有幾點建議:
第一,本條規定有些概括簡單,建議規定更加具體,以增加操作性,避免信息處理者利用規定的概括簡單,為信息主體行使權利設置不合理的障礙。
可以借鑑網絡用戶向網絡服務提供者主張權利的情況。
《侵權責任法》第36條規定了被侵權人可以通過通知向網絡服務提供者主張權利。《最高人民法院關於審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》(法釋〔2014〕11號)第5條規定,通知應當包括:(一)通知人的姓名(名稱)和聯繫方式;(二)要求採取必要措施的網絡地址或者足以準確定位侵權內容的相關信息;(三)通知人要求刪除相關信息的理由。
儘管有上述如此詳細的規定,在司法實務中曾經發生過如何構成有效通知的爭議。被侵權人向網絡服務提供者通過律師提交了通知。網絡服務提供者要求進一步提供被侵權人的身份證複印件,被侵權人則認為身份證複印件屬於個人隱私信息,不屬於法律要求提供的資料。雙方因此產生爭議。
《民法典》第1195條、第1196條進一步細化了通知和轉送的過程和條件。其中第1195條後段規定:通知應當包括構成侵權的初步證據及權利人的真實身份信息。如何理解「權利人的真實身份信息」?民法典沒有進一步規定。
相對於《民法典》而言,《個人信息保護法》的規定應當更加具體可操作。建議本條規定明確信息主體行使權利的方式和程序。
第二,本條後段規定,「拒絕個人行使權利的請求的,應當說明理由」。這是否意味著,只要說明理由,就可以拒絕信息主體行使權利的請求?這一結論恐怕難以成立。為避免這一結論,應當對信息處理者拒絕信息主體行使權利設置更嚴格的限制。同時應當規定,無正當理由拒絕信息主體行使權利,給信息主體造成損害的,應當承擔責任。
基於此,此處表述建議修改為:「有合法正當理由時,信息處理者可以拒絕信息主體行使權利的請求;無合法正當理由,不得拒絕信息主體行使權利。給信息主體造成損害的,信息處理者應當承擔責任。」
十二、關於個人信息洩露後的補救措施
草案第55條規定了個人信息洩露後如何採取補救措施。有幾點問題值得討論。
(一)區分個人信息洩露的報告和通知
本條第1款將「履行個人信息保護職責的部門和個人」並列,都是用「通知」一詞。建議將「履行個人信息保護職責的部門」和「個人」分開,前者為「報告」,後者為「通知」,同時將「個人」改為信息主體。
(二)增加個人信息洩露報告和通知的時間要求
個人信息洩露後,瞬間就可能造成損害,而且,僅僅有信息處理者採取補救措施往往是不夠的。需要有關部門和受到影響的信息主體同時立即採取補救措施。比如,信息被洩露的信息主體,需要立即採取修改相關密碼,掛失等等措施。因此,報告和通知的時效性非常重要。只有在接到報告和通知後,有關部門和個人才可能採取相應的措施,最大限度避免損害的發生。草案中只規定信息處理者「應當立即採取補救措施」,而在通知部分沒有關於通知時間的要求,在實施中可能會發生爭議。
綜合上述內容,建議修改後的第1款相應內容為:「個人信息處理者發現個人信息洩露的,應當立即採取補救措施,並應當立即報告履行個人信息保護職責的部門,同時立即通知有關信息主體。」
(三)關於個人信息洩露報告和通知的內容
草案第55條關於報告和通知的內容,第1項是「個人信息洩露的原因」,同時沒有要求報告和通知「洩露的個人信息內容」。有關部門和信息主體首先關心的應當是到底洩露了什麼,會造成什麼危害,然後才是造成洩露的原因。
因此,第55條第1款第1項規定的報告和通知的內容,首先應當是所洩露的個人信息的內容和種類,然後才是危害和原因,因此第1項和第2項建議修改為:「(一)洩露的個人信息的內容、種類;(二)個人信息洩露可能造成的危害和洩露的原因」。
(四)關於個人信息處理者的選擇通知
草案第55條第2款規定:「個人信息處理者採取措施能夠有效避免信息洩露造成損害的,個人信息處理者可以不通知個人。」
此處規定建議刪除,理由如下:
首先,信息主體是與其個人信息關係最密切的人,也是最可能受到個人信息影響的利害關係人。因此,在個人信息被洩露後,即使不通知有關部門,也需要通知有關信息主體。其二,如果將是否通知的權利交給信息處理者,按照人之本性,則非常有可能導致應該通知而不通知的情況,至少會產生巨大爭議。其三,信息一旦洩露,是否造成損害,不是信息處理者能夠決定的、也不是其採取措施就能夠完全避免的。其四,信息一旦洩露,有些損害可能是在很短時間就造成,有些損害也可能需要很長時間才能夠顯現出來。信息處理者的判斷不應當作為是否需要通知的根據。
綜上,一旦發生個人信息洩露,信息處理者就應當立即通知信息主體,並且立即向有關部門報告。第55條第2款規定建議刪除。
十三、建議在草案中增加的內容
(一)增加關於個人信息處理安全原則的規定
關於個人信息處理安全原則的立法建議。安全是信息保護和利用的前提,作為原則,其理不證自明。
(二)增加關於個人信息移轉權的規定
移轉權是信息主體的重要權利,建議在草案中加以規定。
按照《攜號轉網服務管理規定》(工信部信管〔2019〕242號)第2條的規定,攜號轉網是指在同一本地網範圍內,蜂窩移動通信用戶(不含物聯網用戶)變更籤約的基礎電信業務經營者而用戶號碼保持不變的一項服務。據此,在網絡服務商發生變更的情況下,用戶原行動電話(手機號碼)以及相關的個人信息可以移轉到新的網絡服務商數據儲存器或雲端設備中。這就是一種移轉權。信息從舊手機移轉到新手機,微博、微信、抖音等等都會涉及到個人信息移轉的問題。建議草案中增加移轉權的規定。
(三)增加關於個人信息處理者出現停業、破產等情形時個人信息保護規則的規定
個人信息處理者停業、破產等情形出現時,如何保障其處理的個人信息的安全和移轉?
除國家機關外,信息處理者是市場主體。根據市場規律,市場主體就有生生滅滅。當信息主體者停業、破產等情形出現時,其處理的個人信息的安全如何保障,就會成為重要問題。
草案第47條第1款第2項規定,個人信息處理者停止提供產品或者服務,應當主動或者應信息主體的要求,刪除個人信息。此處規定的停止提供產品或者服務,既包括主體存續而業務停止,也包括主體不再存續而業務停止。當主體存續而業務停止時,由於主體依然存在,其自身依然有動力和能力處理後續問題,監管部門也可以找到監管對象。當主體不再存續而業務停止時,信息處理者自身已經沒有能力和動力處理後續問題了。信息處理者處理的個人信息如何刪除、由何人繼續接手等,都是問題。此時,監管部門將會面臨更大的壓力,信息主體的信息也面臨巨大風險。故而,建議草案對此問題進行專條規定。(數字法治研究院特稿來源:中國法律評論)
編輯:楚予、專題統籌:秦前松