在极高的呼声与期待中,个人信息保护法离最终出台又迈进了一步。5月25日,全国人大常委会工作报告透露,下一步将制定多部法律,其中就包括备受关注的个人信息保护法。
2020年全国“两会”召开前夕,全国人大常委会法工委方面发布消息称,个人信息保护法正在研究起草中,目前草案稿已经形成。“两会”期间,多位代表和委员就个人信息保护提出建议,希望加快相关立法。
在数据法律研究者何渊的印象中,早在2003年,制定个人信息保护法的建议就已经出现。但在过去十多年里,中国针对个人信息保护的条款分散于多部法律法规和规范性文件中,包括《网络安全法》《消费者权益保护法》《刑法修正案九》等等。
中国政法大学传播法研究中心副主任朱巍对《财经》记者表示,目前涉及到个人信息保护的规定,包括法律法规和各种文件在内,约有超过150部,迫切需要一部法律进行统一。
不断被呼唤的一部综合性法律,即将揭开其神秘面纱。
有法学专家指出,个人信息保护法将最终确定“个人信息”这一关键概念的内涵和外延,理顺各个信息主体之间的关系,尤其是个人与企业之间的关系。这部法律将覆盖对个人信息的收集、存储、使用、共享、跨境传输等多个方面。
立法:各方积极推进
近年来,个人信息泄露事件频现,引发了公众广泛关注。新冠肺炎疫情期间,个人信息泄露问题不时见诸媒体。
过去十多年间,中国虽未出台针对个人信息保护的专门性立法,但涉及到个人信息保护的法律法规、标准类规范类文件事实上在不断被推出。
5月28日,十三届全国人大三次会议表决通过了《民法典》,该法将于2021年1月1日施行。此前公布的《民法典(草案)》在人格权编中明确了自然人的个人信息受法律保护,并将自然人的“电子邮箱地址”和“行踪信息”纳入个人信息的范围。
回顾个人信息保护法的立法进程,一个重要的节点出现在2018年。2018年9月,个人信息保护法和数据安全法被列入十三届全国人大常委会立法规划第一类项目。
此后,与个人信息保护相关的法律法规及各类文件密集发布、更新——2019年4月19日,《互联网个人信息安全保护指南》发布;2019年4月20日,《民法典》人格权编草案(二审稿)提请全国人大常委会审议;2019年5月28日,《数据安全管理办法》公开征求意见;2019年6月13日,《个人信息出境安全评估办法》公开征求意见;2019年10月1日,《儿童个人信息网络保护规定》施行;2020年1月20日,《信息安全技术个人信息告知同意指南》公开征求意见;2020年3月6日,新版《信息安全技术个人信息安全规范》发布;2020年3月30日,《移动互联网App个人信息安全防范指引》公开征求意见……
2019年3月,在个人信息保护法被列入十三届全国人大常委会立法规划一类项目半年之际,北京大学法学院教授张平曾对《财经》记者表示,“目前各方都在积极推进立法。”
在上海交大数据法律研究中心执行主任何渊看来,个人信息保护法的制定有几个重要背景:数据产业飞速发展,当“数据成为石油”,矛盾开始集中迸发,个人信息权利的保护与数据流通使用的平衡问题亟待解决;欧盟《通用数据保护条例》(GDPR)和美国的《加利福尼亚州消费者隐私法案》(CCPA)的颁布给了国内立法以启迪和影响;数据黑市猖獗,个人信息泄露事件频发,公众面临的隐私侵害需要有明确的法律解决途径;此外,头部互联网企业在积极开展跨国业务和国内稳定长远发展的需求驱动下,内部有很大的合规压力和动力,需要法律给以明确指引。
个人信息保护法将结束当前立法分散、无专门法律保护个人信息的历史。
展望:既要保护又要依法使用
个人信息保护法将解决哪些问题?回应哪些共同期待?
何渊称,“这是一部承载了很高期待值的法律。草案公布后必将引起极大关注,甚至包括一定的争议。”
北京师范大学网络法治国际中心执行主任吴沈括认为,整体来说,个人信息保护法需要回应和解决的主要问题包括:政府数据处理活动的制度设计、企业商业化利用个人信息的制度设计、个人信息的跨境传输、个人生物信息的处理规则以及其他新技术、新应用的风险应对。
对“个人信息”的界定可以被视为这一切的出发点。《网络安全法》《民法典》对此都有论述。
何渊认为,整体的界定框架不会再出现较大变化,但是个人信息具体包括哪些内容,在实务中的争议仍然会持续。
就界定问题,朱巍表示,立法应当重点明确个人信息与大数据的界限,回应大数据的性质问题。
吴沈括则对《财经》记者表示,个人信息的法律界定及其内涵外延是个人信息保护法的逻辑起点,将反映法律对于个人信息所涉及的个人利益、公共利益、产业利益之间的动态平衡的把握,反映法律对于前述三者权重的价值判断。
事实上,这背后的深层次问题是法学界讨论良久的数据确权问题:数据持有者享有怎样的权利?如何保护?只是,这些问题至今仍无定论。
吴沈括就此分析称,在现有的技术环境下,如果把个人信息的核心要素认定为身份识别(包括直接识别和间接识别),那么在目前的数据挖掘水平下,可以说几乎所有的信息都可能构成个人信息,这对于数据要素的流动和价值潜力的发掘会造成非常大的影响,因此需要立法作出进一步的研判和权衡。
何渊指出,从立法的底层逻辑来看,个人信息保护法要理顺的是信息主体、信息处理者和信息控制者之间的权利义务关系,立法应当覆盖控制、收集、使用、共享、(跨境)传输等环节,即覆盖个人信息从产生到被处理的全生命周期。而对于信息主体权利义务关系的梳理中,最关键的两大主体无疑是个人和企业。
朱巍也提出,平台责任是个人信息保护法应当明确的内容之一。
值得注意的是,何渊认为,在个人信息保护法未来的立法过程中,甚至在今后的司法裁判中,主要的博弈点都会是与个人信息相关的权利保护与数据流通使用间的平衡问题。“被遗忘权”、“数据可携带权”等权利类型是否应当被肯定、应当如何定义,仍未能在公开讨论中取得共识。但可以确定的一点是,这些权利的设定对企业来说意味着巨大的合规成本,甚至是业务模式的挑战。
北京大学法学院副院长薛军进一步指出,对权利保护的“厚度”是个人信息保护法制定中的一个重要问题。诸如前述“被遗忘权”“数据可携带权”等讨论颇多的权利类型,背后是对个人权利保护、技术实现的可能性、企业合规成本、产业自由发展空间的平衡问题,需谨慎选择。
执法:如何让法律有“牙齿”
震慑违法行为,必须让法律有“牙齿”。个人信息保护法对于该领域执法机构和处罚机制的设计将决定这部法律在现实中的最终效果。
在何渊看来,当前针对个人信息保护的罚则体系可以概括为“要么去坐牢,要么就没事”。这是该领域违法行为多发的一个重要原因——违法成本低,诱惑大,很多涉案者选择铤而走险。另一方面,对于企业来说,当前的罚款金额规定没有足够的震慑力。
《网络安全法》将罚款数额设定在违法所得的一倍以上十倍以下,没有违法所得的,罚款上限为一百万元。
该法第六十四条第一款规定,网络运营者、网络产品或者服务的提供者违反该法第二十二条第三款、第四十一条至第四十三条的规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
观照欧美,则完全是另一番景象。2019年,Facebook因个人信息保护问题被美国联邦贸易委员会(FTC)处以50亿美元的巨额罚款。2016年,剑桥分析(Cambridge Analytica)借助Facebook平台上的一款应用,收集了约8700万Facebook用户的个人信息。以这些数据为基础,剑桥分析被指利用精准推送影响了当年美国大选。美国联邦贸易委员会针对Facebook的调查和罚单由此而来。
相较于国外大型互联网企业因个人信息泄露指控最高被罚数十亿美元的严厉程度,中国一些处罚案例中的罚款数额对于发展迅速的企业来说被指“不痛不痒”,无从体现法律的震慑力。
一个典型案例是,2018年,某知名互联网平台曾被通报在个人信息保护方面存在违法行为,管理部门根据《消费者权益保护法》,对该平台在个人信息保护方面的违法行为给予警告,并处罚款5万元。
而更多在个人信息保护方面暴露出问题的企业,监管部门对其行政处罚仍停留在责令改正、警告层面。
曾有法学界人士对《财经》记者表示,已颁布的个人信息保护方面的法律规定很多,但是也暴露出不少问题。当个人信息因企业或机构的泄露、过度收集和滥用而受到伤害时,有哪些可能的规制手段?
通常而言,刑事规制往往指向大案要案,民事诉讼经济成本、时间成本高昂,各界更多地将此类一般案件的规制焦点放在了行政监管上。
张平指出,遗憾的是,当前的行政执法还比较薄弱。主要问题在于:规范不统一,多个部门均有不同程度的执法权但未能有效协调,抽查性执法,缺乏常态化监管。
对此,薛军建议,立法应确定专门机构来负责个人信息保护领域的行政执法,建立常态化的监管机制。明确执法机构,才能保证法律后续的执行。
此外,张平也表示,现在谈到个人信息保护大多聚焦于企业,对收集信息的公共机构如何监管的讨论较少。“公共部门,包括一些事业单位也在大量收集公民的个人信息,但是缺乏监管,公众无法得知其隐私保护政策,无从得知其是否能保证这些信息的安全。”
全国政协委员、高锋集团董事局主席吴杰庄建议,在立法、执法过程中根据个人信息的敏感度不同而进行区别对待,对于敏感个人信息(诸如身份证信息、人脸信息等)严格保护,对于一般个人信息的收集、使用、存储的严格程度可以与敏感个人信息有所区别。