《個人信息保護法草案》以專章、25條對個人信息處理規則作出了詳盡的規定。細化了民法典關於告知同意的規定,並以告知同意作為個人信息處理中的最基本規則;對處理者共同決定個人信息的處理、委托他人處理個人信息或向第三方提供處理的個人信息時的法律義務和責任作出了規定;在區分敏感個人信息與非敏感個人信息的基礎上,對敏感個人信息的處理采取更加嚴格的規則;對國家機關處理個人信息作出了特別的規定👰🏽♀️。
民法典在人格權編第六章對個人信息保護作出了規定🀄️,不僅界定了個人信息、區分私密信息與非私密信息,還對個人信息處理的涵義以及處理的原則與規則進行了規定🌭🤞。由於民法典是民商事領域的基本法👼🏽,其對個人信息保護的規定主要是確立大的原則方向🐆、規定最重大和最基本的問題。故此🧛🏽♂️,個人信息處理的基本規則還需要個人信息保護的專門立法加以規定,最高立法機關正在抓緊起草個人信息保護法𓀋。2020年10月舉行的十三屆全國人大常委會第二十二次會議對《個人信息保護法草案》(以下簡稱《草案》)進行了第一次審議,並在會後向社會公開征求意見。
《草案》采用專章(第2章)💜🧚🏽♂️、25條(占整個草案條文數量的比例超過三分之一)對個人信息處理規則作出了詳盡的規定🧘🏻♀️。其特點在於:首先👮🏼,細化了民法典關於告知同意的規定,並以告知同意作為個人信息處理中的最基本規則,從而更好地維護自然人對其個人信息的知情權和決定權。其次,對處理者共同決定個人信息的處理、委托他人處理個人信息或向第三方提供處理的個人信息時的法律義務和責任作出了規定♤;再次,在區分敏感個人信息與非敏感個人信息的基礎上,對敏感個人信息的處理采取更加嚴格的規則;最後🧑🏼🦱,對國家機關處理個人信息作出了特別的規定。
以告知同意
作為處理個人信息的基本規則
個人信息處理中的告知同意規則,是指任何組織或個人在處理個人信息時都應當對信息主體即其個人信息被處理的自然人進行告知並取得同意,除非法律另有規定🏆。
告知同意規則包含了告知規則與同意規則。二者緊密聯系📆,不可分割。沒有告知,自然人無法就其個人信息被處理作出同意與否的表示🍴🤵🏼♂️;即便告知了但不充分、不清晰,那麽即便自然人表示了同意🚇,該同意也並非是真實有效的同意🎬。反之,雖然告知了且充分、清晰,可是並未取得自然人的同意,對個人信息的處理也是非法的,構成對自然人個人信息權益的侵害👴🏼。告知同意的規則是世界各國個人信息保護立法中所普遍確立的一項基本規則,即便存在法律規定不適用該規則的情形(如基於公共利益、履行法定職責、維護自然人權益等),也不能據此就否定告知同意規則在個人信息處理中的原則性地位🧚🏼♂️,因為該規則是自然人對其個人信息自主決定權的體現,它奠定了個人信息處理的正當性與合法性的基礎。
《草案》在第二章第一節對告知同意規則作出了詳細的規定,如要求處理個人信息的同意應當建立在個人充分知情的前提下,自願、明確作出意思表示(第14條第1款);在個人信息的處理目的、處理方式和處理的個人信息種類發生變更時👏🏼🔎,應當重新取得個人同意(第14條第2款);基於個人同意而進行的個人信息處理活動,個人有權撤回其同意(第16條)👧;除非處理個人信息屬於提供產品或者服務所必需的,否則,個人信息處理者不得以個人不同意處理其個人信息或者撤回其對個人信息處理的同意為由,拒絕提供產品或者服務(第17條);明確個人信息處理者應當告知的具體事項(第18條)等。
總的來說,《草案》這些規定都是值得肯定的,但是也有若幹需要完善之處。例如👮,《草案》第13條將取得個人的同意與其他不需要取得同意的例外相互並列規定為個人信息處理者可以處理個人信息的情形,顯然沒有凸顯告知同意規則作為原則的地位。該條第2項將“為訂立或者履行個人作為一方當事人的合同所必需”作為不需要取得同意的例外過於寬泛。這種規定會導致個人信息處理者皆可以此為由不取得個人的同意🧑🏽🎄👧。例如,網絡公司在向自然人提供網絡服務本身就是要訂立網絡服務合同🦟,依據該項,可以不經自然人的同意就處理其個人信息🧑🏻✈️。再如,《草案》第16條規定了個人有權撤回其同意📞,但是沒有進一步明確撤回同意不影響此前個人信息處理行為的合法性。
個人信息處理
涉及多個主體時的義務與責任
我國民法典借鑒歐盟《一般數據保護條例》的立法模式🤹🏽♀️,采用了“處理者”(Processor)來統稱實施個人信息處理活動的主體🧔🏽♀️🧑🦯➡️。然而,實踐中既存在多個主體共同決定個人信息處理的情形,也存在處理者委托他人處理個人信息或者向第三方提供其處理的個人信息等復雜的情形💢。這些時候🖖🏻,如何保護自然人的個人信息權益🌖?怎樣確定多個處理者之間💃🏿、委托人與受托人及第三方之間的權利義務關系?對此,民法典沒有規定。《草案》第21條至第24條作出了詳細的規定。
例如,第21條規定,兩個或者兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式的,應當約定各自的權利和義務。但是,該約定不影響個人向其中任何一個個人信息處理者要求行使本法規定的權利。個人信息處理者共同處理個人信息,侵害個人信息權益的🤙🏿,依法承擔連帶責任🚣🏿♀️。再如,《草案》第24條明確規定,個人信息處理者向第三方提供其處理的個人信息的,應當向自然人告知相關信息並取得單獨同意等。
《草案》的上述規定非常有必要,但需要進一步完善。例如👩🏼🏭,第21條第2款將共同處理個人信息而侵害個人信息權益的民事責任一律規定為連帶責任🩺,似有不妥🤺。因為,在個人信息處理者共同處理個人信息侵害個人信息權益的情形中⚽️,除非處理者存在共同故意,否則單純的共同處理行為👩🏻,不一定都產生連帶責任,而是很可能構成民法典第1168條至第1172條規定的各種情形🐥,可能承擔連帶責任,也可能承擔按份責任。再如,《草案》第22條對委托他人處理個人信息的問題作出了規定🥱。該條的問題在於:首先,在委托他人處理個人信息時🛂,應當明確要求委托方必須向個人披露受托方的身份和聯系方式🛒。其次🅿️🎂,應當更具體的規定委托方對受托方采取的監督義務🤦🏻♂️。《草案》第22條第1款僅僅說“對受托方的個人信息處理活動進行監督”,過於模糊。再次,在受托方非法處理個人信息或者侵害自然人的個人信息權益的時候,委托方與受托方的責任承擔問題應當明確為連帶責任💽,但是內部可以依據合同進行追償👱♀️。
敏感個人信息的處理規則
所謂敏感的個人信息主要是指那些涉及自然人人格尊嚴、人格自由或者其他重大權益的個人信息,這些個人信息倘若被非法處理,將會對所涉自然人的人格尊嚴、人格自由或者其他重大的人身權益、財產權益造成嚴重的威脅或損害。民法典只是將個人信息區分為私密信息與非私密信息🏄🏽,未規定敏感個人信息。《草案》對此作出了明確的規定,並在第2章第2節進行了具體規範。這一點值得肯定。例如,《草案》第29條第2款將敏感個人信息界定為“一旦泄露或者非法使用🧑🤝🧑🪑,可能導致個人受到歧視或者人身⏏️👷🏽♂️、財產安全受到嚴重危害的個人信息,包括種族、民族、宗教信仰👱🏻、個人生物特征🎩、醫療健康、金融賬戶、個人行蹤等信息”🎷。
區分敏感與非敏感個人信息的根本原因就在於處理規則上的差異。首先👨👦👦,為了更好地保護敏感的個人信息,對於敏感的個人信息的處理不僅要取得自然人的同意而且這種同意必須是明示的、單獨的同意🕵🏿,不能是默示的或者概括的同意。但是,非敏感的個人信息無需如此嚴格。其次,個人信息處理者對於敏感的個人信息負有更高的註意義務🪮🕺🏿,否則,就會出現因為處理者的安全防護措施不足而造成敏感的個人信息泄露,對自然人會造成很大的損害或風險。
《草案》關於敏感個人信息處理規則的規定,還有必要加以修改完善。具體而言,對於敏感的個人信息的處理應當有更嚴格的要求,這種嚴格不僅體現在對基於個人同意而處理敏感的個人信息的問題上,還應當體現在非經個人同意而處理敏感的個人信息的情形應當嚴格加以限製🗂。首先🤘🏽,只有法律才能規定例外,即法律才能規定不經個人同意就處理敏感的個人信息👨🏻⚕️,因為這涉及到基本民事製度,與自然人的重大民事權益密切相關🦸♂️,不能把口子放得太開。從民法典第1033條對私密信息的保護上也可以看出此點🥃。其次,《草案》第13條的規定不能適用於敏感的個人信息6️⃣,否則,敏感的個人信息在處理規則上基本上與非敏感的個人信息沒有什麽差別。
國家機關處理個人信息的特別規定
在個人信息的處理中,區分作為民事主體的信息業者和國家機關非常重要,因為二者處理個人信息活動的性質、負有的義務、對個人信息的利用😽、相應的法律責任等方面存在很大的差別。
例如🗝,國家機關處理個人信息往往是因為要履行法定的職責,具有強製性🤵🏽♂️。但是,網絡企業等信息業者是因為從事經營等民事活動而處理個人信息,是為了私人利益💲,不具有強製性,自然人有權拒絕提供。再如🧑🏿🏭,國家機關因為沒有履行個人信息安全保護義務等違法行為而產生的賠償責任,屬於國家賠償責任,但是私人企業的賠償責任屬於民事賠償責任。因此,在個人信息保護法中專門對國家機關處理個人信息作出規定是有必要的。事實上,民法典第1039條之所以專門規定:“國家機關、承擔行政職能的法定機構及其工作人員對於履行職責過程中知悉的自然人的隱私和個人信息🤽🏽♂️,應當予以保密,不得泄露或者向他人非法提供🧑🏽💼。”也正是考慮到了這一區別。
《草案》在第2章第3節對國家機關處理個人信息作出了特別規定,是極有必要的。不過👘,在完善該節規定時🚵🏿,需要註意三點:其一,防止國家機關任意以履行法定職責為由規避告知同意規則而處理個人信息👳🏽♂️。《草案》第35條除了“法律👃🏽、行政法規規定應當保密”外,又增加了“告知、取得同意將妨礙國家機關履行法定職責”的除外情形⌛️。如此一來,很可能導致國家機關濫用該權利而侵害自然人的個人信息權益。其二,對國家機關共享個人信息的行為進行規範🛌🏽。為了便民利民,防止出現信息孤島,國家機關之間信息共享(互相推送信息或開放端口等)情形較為普遍,此時如何保護個人信息👨🏽✈️?一旦發生損害如何承擔責任等👼🏼,《草案》應當予以關註🧖🏽。其三,國家機關工作對個人信息的安全保護義務的履行與監督問題👨🏿🦲🏘。對於國家機關外的個人信息處理者的違法行為,履行個人信息保護職責的部門進行執法是很容易的。然而📹,當國家機關不履行個人信息保護義務時🎻,履行個人信息保護職責的部門則可能根本無法或難以執法🧑,這一點從《草案》第64條只是規定了責令改正或對有關人員的處分等並不有力的措施上也可以看出端倪🕺🏿。故此📇,有必要從法律責任的規定上強化國家機關對個人信息的安全保護義務。
(作者為意昂体育平台法學院副院長、教授)
意昂体育服務號
意昂体育訂閱號