■ 四川省委党校 彭洪毅
我国《个人信息保护法》已于2021年11月1日开始施行。该法设定的个人信息权益,是数字化时代公民一项新型的基本权利,具有与前数据时代法律权利不同的法律属性,也与每个个人生活、企业业务及内部管理、政府部门职责密切相关。无论是个人还是企业、政府部门都有必要对其有一定的了解。
一、个人信息权益是《个人信息保护法》设定的一项新型权利
互联网时代,个人信息数据化存在方式,导致法律权利的数字化属性。个人信息的数字特性以及涉及个人、信息处理者、国家管理机构三方关系,决定了个人信息权与传统的法律权利不同,具有浓厚的互联网时代特征,是一种新型的权利。具体表现在其法律属性及其内涵两个方面。
个人信息权是一种兼具公法与私法性质的权利。就其公法性质而言,一方面个人信息权益具有宪法性权益性质。《个人信息保护法》第一条规定该法的制定根据是宪法,明确宣示了个人信息权的宪法性权益性质。具体而言,宪法第33条规定“国家尊重和保障人权”;宪法第38条规定“公民的人格尊严不受侵害”;宪法第40条规定“个人通信自由和通信秘密”等宪法规范都是《个人信息保护法》制定依据。2021年9月9日国务院新闻办公室发布的《国家人权行动计划(2021-2025)》在公民权利和政治权利部分,把个人信息权排在公民生命权、人身权利之后,凸显出个人信息权这一数据时代新型权益的宪法性特征及其重要性。另一方面,个人信息权益又具有行政法权益的性质。从《个人信息保护法》关于个人信息处理合法根据的立法模式分析,是比较典型的授权性行政法规范立法模式。即除该法第13条第1款第1项告知并取得个人的同意之外,其他不需取得个人同意的个人信息处理活动必须符合该法第13条第1款第2项至第7项之规定。不符合前述两类规定的任何个人信息处理即属违法,显示出对互联网时代公私二种权力的制约,体现了法无授权即为不法的行政法基本原理。从数据分类看,互联网社会海量的公共数据的主要处理者及运用者是大型国有企业事业网络平台、政府机构。对公民个人信息的收集、处理及利用活动,不可避免行使行政权,因此个人信息权益又表现出行政法性质权利特征。而对个人信息权的私法性质而言,《个人信息保护法》始终以“告知-同意”为核心构建个人信息的处理规则,并对告知-同意规则作出详细规定,在《民法典》基础之上,完善了对个人信息处理的实际操作规则,充分体现个人意思自治的民法私法原则。
个人信息权益作为一种新型的权益,还表现在个人信息权益内含两个层次的具体权利:一是个人信息权益包涵了人格尊严、人身财产安全、个人通信自由和通信秘密等权利;二是由于个人信息的数据性、流动性、公共性等特点,《个人信息保护法》规定了个人同意、知情、查阅、复制、转移、更正、补充、删除、请求解释说明等一系列具体权利,个人可以通过对这些具体权利的行使来实现对其人格尊严、人身财产安全、个人通信自由和通信秘密等权利的保护。
二、《个人信息保护法》对个人信息权益加强保护的举措
相对于《民法典》对个人信息保护与利用并重的立场,《个人信息保护》更加重视对个人信息的保护。具体而言,表现在以下几个方面:
一是加大并细化了对个人信息处理者的义务。从《个人信息保护法》立法体例上分析,该法总共八章,除第八章附则,第四章规定了个人在信息处理活动各项权利之外,第二章个人信息处理规则、第三章个人信息跨境提供的规则都是要求在个人信息处理活动中,信息处理者应该遵守的规范,实际上也可以理解为其应遵守的义务。第六章履行个人信息保护职责的部门从本质上也是对国家机关职责的要求,以及第七章法律责任,这两章广义上也可理解为义务。第一章总则实际除少数条款外,其他规定实际可以理解为处理个人信息的原则性要求,实际上也属于广义的义务范畴。第五章个人信息处理者的义务,则主要是从信息处理者内部管理、风险的事前、事中、事后管控加以规定。所以《个人信息保护法》就是一部对包括国家机关在内的个人信息处理者在个人信息处理活动中所涉及方方面面的规范,本质上是一部义务性规范为主的法律。
二是通过法律适用空间管辖和保护管辖的规定,扩大了个人信息保护的空间范围,实现对个人信息权益的最大范围保护。《个人信息保护法》第3条规定该法适用于我国境内,我国境内无论是国家机关、各种企业事业单位、非法人组织包括自然人实施个人信息处理活动结合,都必须遵守该法。此规定结合第41条“非经我国主管机关批准,不得向外国司法机构或者执法机构提供存储与境内的个人信息”规定,体现了国际法上的主权管辖原则。对于在我国境外处理我国境内自然人个人信息的活动,该法第3条规定了如果是“以向境内自然人提供产品或者服务为目的或分析、评估境内自然人的行为”,也适用该法。此规定结合第42条“境外组织、个人从事侵害我国公民个人信息权益或者危害我国国家安全、公共利益的个人信息处理活动,予以相应制裁”,体现了国际法上的属人保护原则。并对对于向境外跨境提供个人信息的,规定限制条件:告知境外接受方相关信息并取得个人单独同意。通过相关安全评估以及保护认证以及其他条件,同时,要求境内提供方应该采取境外接收方处理个人信息活动达到该法规定的保护标准。
三是通过纵横两个维度拓宽对个人信息的保护范围。从横向看,《个人信息保护法》对个人信息的界定采取“相关说”。较《民法典》对个人信息定义的“识别说”,其在范围上更为宽泛。从纵向看《个人信息保护法》规范了个人信息处理活动的全过程,在《民法典》列举的个人信息收集、存储、使用、加工、传输、提供、公开等处理方式的基础上,《个人信息保护法》第4条新增了“删除”这一处理个人信息的行为类型。
四是适应互联网时代场景化要求,对个人信息分层分类,根据不同情形予以针对性保护。该法第26条规定,对于公共场所的个人信息处理活动,如图像采集、身份识别设备等,限定于公共安全维护目的,且要求设置显著的提示标识,充分表达对人格尊严的保护。该法第28条-32条专节规定了敏感个人信息的处理规则。详细列举生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息等敏感个人信息,要求在具有相应的特定目的、充分必要、严格保护措施条件满足,并严格遵守告知义务,取得个人或为成年人监护人同意情况下,才能对处理敏感个人信息。
三、《个人信息保护法》对侵害个人信息权益的法律责任体系的完善
相对于之前对个人信息保护的分散性立法,《个人信息保护法》通过对个人信息处理活动的规范,可以从前端杜绝大数据杀熟、用户画像、定制化推送等诸多不法行为,具有底层逻辑上釜底抽薪的功能,最大程度体现法律的预防功能。因此该法对个人信息权益的保护是一种基础性、体系性保护。不仅从民法、行政法、刑事法实体法规定侵害个人信息权益的责任,而且也从程序法角度强化了个人信息权益保护的各种具体措施。
《个人信息保护法》强化对个人信息权益实体责任规定:一是构建了全方位的实体法责任体系。该法规定了民事责任、行政责任与刑事相结合法律责任体系,全方位规范个人信息处理行为。从民事责任角度看表现为:一方面规定了两个以上个人信息处理者共同侵害个人信息权益时的连带责任。该法第20条规定处理个人信息者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。并且信息处理者之间事先就共同处理事项关于各自权利和义务的约定,不影响受害个人向其中任何一个个人信息处理者行使个人信息权益之各项具体权利。二是确立了个人信息损害赔偿责任。对于损害个人信息的行为,是否及如何给予侵权赔偿,之前理论界及实务界一直存有分歧。《个人信息保护法》第69条明确了获利返还规则可以适用于侵害个人信息的情形,完善了《民法典》的相关规定。
从程序法角度,《个人信息保护法》增加了对个人信息权益保护的救济手段。一是赋予受害人直接起诉的权利。该法第50条规定在个人信息处理者拒绝个人行使权利的请求时,个人可以依法向人民法院提起诉讼。这样就有助于威慑信息处理者的不作为以及防止损害的加大。二是明确规定侵害个人信息权益的过错推定责任。该法第69条规定了采取过错推定的证明责任分配原则,从而有利于减轻个人受害人的举证负担,加重信息处理者的举证义务,有助于实现对受害人提供有效的保护。三是确定了侵害个人信息的公益诉讼制度。该法引入公益诉讼制度,是对个人信息侵权救济方式的重大创新。侵害个人信息的案件一般社会影响面广,单独的受害人尽管人数众多,但资源、能力有限,寻求法律救济存在诸多实际操作困难。在这种情形下,确立公益诉讼制度是一种极佳的制度安排,可以充分保障受到损害的个人信息权益得到合理的补偿。
互联网时代个人信息权益作为公民个人的一种新型基本权利,我国《个人信息保护法》更多地是从信息处理者所应当遵守的个人信息处理活动规范、承担的风险管控义务角度展开整部法律的条文内容。这种立法方式与互联网数字生态、算法主导的数据时代特征有重要关联。同一组个人数据信息开发维度的无限性及因此导致的各种利用可能,算法技术规则主观意图难以确定,都加大了个人信息利用给社会带来的风险,也给个人信息的合理利用提高了难度。因此,通过严格细化信息处理者在处理个人信息活动中的规范操作,强化其内部管控个人信息处理活动风险制度安排的义务极有必要。对于企事业单位等各类个人信息处理者而言,《个人信息保护法》这种立法方式也给其个人信息处理活动及其风险管控指明了路径,即企业应该加强自身关于个人信息处理活动及内部管控制度的合规建设,从源头上尽量杜绝不必要的各种风险。
