2021年8月20日,十三届全国人大常委会第三十次会议表决通过《个人信息保护法》,该法于2021年11月1日起施行。《个人信息保护法》是我国第一部系统、全面保护个人信息的专门性法律。习近平总书记指出:“网信事业发展必须贯彻以人民为中心的发展思想,把增进人民福祉作为信息化发展的出发点和落脚点,让人民群众在信息化发展中有更多获得感、幸福感、安全感。”
一、个人信息保护法的亮点
(一)进一步扩张了个人信息的保护范围
《个人信息保护法》在与《民法典》等法律规定保持实质一致性的基础上,进一步扩张了个人信息的范围。与《网络安全法》第76条关于个人信息的规定相比,《民法典》第1034条不再采用《网络安全法》所规定的识别自然人个人身份的标准,
正因为如此,为了进一步强化对个人信息的保护,《个人信息保护法》在概念界定上进一步借鉴了欧盟《一般数据保护条例》的规定,在“识别说”的基础上,又加上了“关联说”的标准。《个人信息保护法》第4条规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”该法第73条进一步明确,所谓匿名化,“是指个人信息经过处理无法识别特定自然人且不能复原的过程”。由此可见,《个人信息保护法》在一定程度上扩张了个人信息的范围。在个人信息的界定标准方面,《个人信息保护法》之所以增加关联说标准,主要是因为,在互联网与大数据时代,很多信息不能直接识别个人姓名、地址或电话,但却给个人带来极大影响。
除在概念上扩张个人信息的内涵外,《个人信息保护法》还在如下方面扩张了个人信息的范围:一方面,在列举敏感个人信息时扩张了个人信息的范围。关于敏感个人信息,《个人信息保护法》第28条与《民法典》第1034条相比,增加了宗教信仰、特定身份、金融账户等个人信息类型,并且明确了不满14周岁未成年人的个人信息均属于敏感个人信息。另一方面,依据《个人信息保护法》第73条的规定,去标识化信息“是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人”的信息;匿名化信息“是指个人信息经过处理无法识别特定自然人且不能复原的”信息。该法将匿名化信息排除在个人信息之外,但仍然将去标识化信息认定为个人信息。因此综合而言,《个人信息保护法》对个人信息的范围进行了扩张和更为全面的规定。
还应当看到,《个人信息保护法》对死者个人信息的保护规则作出了规定,这也扩张了个人信息的保护范围。《个人信息保护法》第49条正面回应了大数据时代自然人死亡后在互联网遗留的一系列相关信息的处理问题,该条规定:“自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利。”该条具有几个重要亮点:一是完善了《民法典》的相关规定。因为在当前数字时代,自然人在网络上常常会有许多数字账号,其中通常会包含大量的个人信息、隐私以及涉及他人的信息。该条进一步完善了《民法典》第994条关于死者人格利益保护的规定,《民法典》第994条在列举死者人格利益时虽然采用了“等”这一兜底表述,但其是否包含个人信息,存在一定的争议。《个人信息保护法》对死者个人信息保护作出规定,丰富和完善了死者人格保护规则。二是新增了近亲属可以对死者相关个人信息行使查阅、复制、更正、删除等权利的规定。例如,为了继承死者的遗产,近亲属有必要查询死者的银行账户信息。三是尊重死者的生前安排。《个人信息保护法》第49条还规定:“死者生前另有安排的除外。”这一例外规定与民法中意思自治、遗嘱自由的理念是一致的。例如,死者生前通过遗嘱禁止他人查询、复制其微信信息,此时,应当尊重其意愿。同时,个人信息的处理本质上也是要保障个人的自主决定,因此,死者个人信息保护应当优先考虑死者生前的自我安排。
(二)全面规定了个人在信息处理中的权利
比较法上普遍认为,对个人信息保护的目的旨在保护个人对其个人信息的自决。在大陆法系国家,该权利最早起源于德国。1976年,德国学者Christoph Mallmann率先提出“个人信息自决权(das Recht auf informationelle Selbstbestimmung)”,认为个人信息对于个人人格的发展具有重大的意义,是个人自我表现(Selbstdarstellung)和与社会环境交流的媒介。因此,基于自决权,权利人应当享有对个人信息的知情同意等权利。
第一,《个人信息保护法》在《民法典》个人信息相关条文的基础上,细化了对查询权、复制权、更正权、删除权等权利的规定,帮助个体更好地对自己的信息权益进行自我管理以及风险预期和防范。
第二,增加了数据携带权的规定。依据《个人信息保护法》第45条第3款规定,“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径”。在实践中,数据携带主要是指用户在某个平台的数据移转至另一个平台,如将某个通讯公司中的通话信息移转至另一家公司。数据携带权在欧洲被首先提出,2012年,欧盟在《一般数据保护条例》草案中首次纳入了“用户数据可携权”,并于2016年发布的《一般数据保护条例》正式版本中将“用户数据可携权”单独列为第20条,予以规范。正如欧盟第29工作组所言,数据携带权赋予了个体以一种“整理的、普遍使用的和机器可读的”方式来获取与下载个人数据的权利,
《个人信息保护法》新增规定数据携带权具有重要意义。一是其强化了对用户信息自主决定权的保护。对数据的下载、携带、介入、复制等一系列过程,都是个人对其数据自主决定的组成部分。《个人信息保护法》新增规定数据携带权,目的在于实现个人对其数据的自主决定权,因此,其本质上也是用户自主决定权的重要内容。二是便利用户对数据的控制和利用。数据携带允许用户将其数据移转至其他平台,强化了用户对其数据的控制,
第三,细化了个人信息主体在算法与自动化决策中的相关权利。自动化决策的技术核心是算法应用。以往,算法更多是数学家或程序员所关注的对象,算法主要在数学运算或实验室的场景下发生作用。但在大数据与人工智能时代,算法开始在越来越多的应用场景中被用于决策或辅助决策。特别是当算法与个人信息结合,算法的黑箱属性或不透明性使得算法解释权等权利成为核心议题。
(三)强化了个人信息处理者的保护义务
个人信息权利的自主决定权能够得到尊重与实现,很大程度上依赖于信息处理者对此种权利的尊重以及依法履行保护义务。因此,《个人信息保护法》第五章专章规定,个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。《个人信息保护法》还对大型和小型个人信息处理者进行了区分,细化落实了个人信息处理者的保护义务。具体来说:
第一,细化了信息处理者合法处理个人信息的义务,确保个人信息的处理活动符合法律、行政法规的规定。依据《民法典》第111条的规定,个人信息处理活动应当依法进行,信息处理者不得非法处理个人信息,但何为合法处理个人信息,何为非法处理个人信息,该条并没有作出明确规定。《个人信息保护法》第51条具体列举了个人信息处理中应当采取的六项举措,只有切实采取这些举措,才能保障个人信息处理活动的合法性。
第二,规定了个人信息保护人制度。依据《个人信息保护法》第52条规定,处理个人信息达到国家网信部门规定数量的个人信息处理者,应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。
第三,建立了个人信息保护影响评估制度。依据《个人信息保护法》第55、56条,在处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息、向境外提供个人信息以及对个人权益有重大影响的个人信息处理活动中,应当进行个人信息保护影响评估。这一规定与欧盟《一般数据保护条例》所规定的“数据保护影响评估”(data protection impact assessment)具有一定的相似性。《一般数据保护条例》规定:“当某种类型的处理——特别是适用新技术进行的处理——很可能会对自然人的权利与自由带来高风险时,在考虑了处理的性质、范围、语境与目的后,控制者应当在处理之前评估计划的处理进程对个人数据保护的影响”。
第四,规定了提供重要互联网平台服务信息处理者的特殊保护义务。大型网络平台与超大型网络平台的出现,使得用户对其往往具有很强的依赖性。
个人信息保护社会责任报告等。
(四)构建了敏感个人信息的严格保护规则
敏感个人信息(Sensitive Personal Information),在欧盟《一般数据保护条例》(GDPR)中被称为“特殊类型的个人数据”(Special Categories of Personal Data)。《日本个人信息保护法》第2条将敏感的个人信息称为“需注意的个人信息”,美国联邦《消费者数据隐私与安全法令》以及有关州称其为“敏感个人信息”或“敏感数据”。敏感个人信息由于直接关系到个人人格尊严和人身、财产安全等重大权益,因此需要特殊保护。我国《民法典》虽然规定了私密信息的保护规则,但并没有对敏感个人信息作出明确规定。我国《个人信息保护法》在借鉴比较法经验的基础上,立足中国实践,设立专章规定了敏感个人信息的处理规则,弥补了《民法典》个人信息保护规则的不足。《个人信息保护法》在敏感个人信息保护方面具有如下几个特点。
首先,明确列举了敏感个人信息的概念和具体类型。从比较法上来看,对敏感个人信息存在法律具体列举模式和综合考量模式。
其次,强化了对未成年人个人信息的保护。从比较法上来看,《一般数据保护条例》虽然规定了需要特殊保护的特殊类型的信息,但没有将未成年人信息纳入此类信息。
最后,构建了严格的敏感个人信息处理规则。对敏感个人信息的保护很大程度上不是采取特殊的法律责任的方式,而主要是在个人信息处理环节规定特殊的个人信息处理方式。在敏感个人信息处理过程中,对信息处理者的要求越严格,越有利于保护敏感个人信息。《个人信息保护法》建立了如下敏感个人信息保护特殊的处理规则:一是增加了更严格的处理前提。《个人信息保护法》第28条升级了处理个人信息的“必要”原则和保障个人信息安全的“必要措施”。如果处理个人信息仅仅是为了一般服务或产品功能必要,将无法满足处理个人敏感信息的必要前提。二是单独同意和依法取得书面同意。所有的敏感个人信息都应当采取单独同意的方式,而不能采取概括同意、授权捆绑等方式,或者强迫、变相强迫自然人同意处理其人脸信息。这种同意也应当是明示的同意,而不应当是默示的方式。例如,小区门禁对居民出入采用人脸识别的方式进行限制,必须取得个人的明示同意。三是规定了特殊的告知义务。依据《个人信息保护法》第30条,处理敏感个人信息不仅要履行基本的告知义务,而且还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。例如,小区在收集个人的人脸识别信息时,应当明确告知收集该信息的用途、收集的必要性以及收集人脸信息可能对个人产生的不利影响。如果在进行告知后,个人拒绝的,则信息处理者不得收集此类敏感个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
(五)规范了国家机关的个人信息处理行为
在我国,政府机关在行政管理过程中也会大量收集个人的信息,如何有效规范政府机关处理个人信息的行为,也是个人信息保护制度的重要组成部分。实际上,个人信息作为一项人格权益,最初产生的目的之一,就是防止政府机关不当处理个人信息。
当然,国家机关处理个人信息是为了公共利益,区别于商业机构对于个人信息的收集和利用,因此《个人信息保护法》对国家机关处理个人信息制定了特别规定。
需要指出的是,国家机关处理个人信息活动适用《个人信息保护法》,也应限于《个人信息保护法》规定的处理行为。如果国家机关对于个人的信息并不存在自动化或半自动化的处理行为,也不存在大规模的手动存档行为,则此类行为并不构成处理。
(六)完善了个人信息的法律救济途径
“权利的存在和得到保护的程度,只有诉诸民法和刑法的一般规则才能得到保障。”
一是建立了多元化的救济机制。个人信息权益兼具人格利益和财产利益,并存个人利益和公共利益,
二是确立了侵害个人信息的过错推定责任。过错推定也称过失推定,它是指行为人因过错侵害他人民事权益,依据法律的规定,推定行为人具有过错。如行为人不能证明自己没有过错的,应当承担侵权责任。根据《个人信息保护法》第69条的规定,“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任”。《民法典》中的个人信息侵权也采取了过错推定原则。之所以采取此种归责原则,很大程度上是因为在实践中,受害人举证困难已经成为个人信息保护所面临的一大困境;同时,个人信息处理者距证据较近,且专业性较强,受害人举证的成本较高。因此,采用过错推定有利于减轻受害人的举证负担,强化信息处理者的举证义务,从而对受害人提供有效的救济。
三是确立了损害赔偿责任。依据《个人信息保护法》第69条的规定,侵害个人信息的“损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额”。该条规定是对《民法典》第1182条的细化规定,因为从《民法典》第1182条规定来看,其仅适用于侵害人身权益的情形,其能否适用于个人信息保护,存在一定的争议。《个人信息保护法》第69条则进一步明确了其可以适用于侵害个人信息的情形。
四是引入了侵害个人信息的公益诉讼制度。《个人信息保护法》还引入了公益诉讼制度,对个人信息侵权救济问题进行了重大创新。公益诉讼具有延伸性的制度张力,可以调动诸多手段,协同多个部门,通过具有更强纠纷解决能力的组织和机关介入,对个人信息的保护更具专业性、权威性和便利性,有助于克服实践中个人起诉存在的举证困难以及成本过高等问题。从制度安排上看,提起个人信息保护公益诉讼的诉权主体有人民检察院、法律规定的消费者组织和由国家网信部门确定的组织。
二、《个人信息保护法》的特色
(一)时代性
进入互联网、大数据时代,个人信息保护比以往任何时候都凸显其意义,保护个人信息也是保护人民群众在数字化时代所享有的合法权益。自1967年美国学者阿兰·威斯丁(Alan Westin)首次提出了个人信息的概念与个人对于自身信息控制的权利以来,
《个人信息保护法》的时代性首先表现在,其形成与《民法典》个人信息保护规则有机结合。一方面,《民法典》确定了个人信息保护的基本框架、原则和理念、价值,界分了个人信息与隐私权等其他人格权的关系,进一步为个人信息保护法确立了最基础的规则。《民法典》所确立的保护人格尊严、保障民事权利等价值,也是解释《个人信息保护法》的基础。另一方面,从价值层面上看,《民法典》确认个人信息受保护本质上彰显的就是个人尊严。学者大多认为,侵害个人信息实际上都侵害了个人的自由,因而需要法律的保护。
《个人信息保护法》自身的制度和规则也体现了时代性。习近平总书记指出:“问题是时代的声音”。
可以预见,随着互联网与大数据的发展,《个人信息保护法》的时代意义将得到进一步彰显。科技产品与信息技术不断普及,企业、政府机关以及各类信息处理者收集与利用个人信息的需求将越来越大、途径将越来越多,范围将越来越广、处理将越来越快。在这个意义上,《个人信息保护法》将为个人信息处理活动提供更明确的法律依据,为个人维护其个人信息权益提供充分保障,为企业合规处理提供操作指引。
(二)本土性
从个人信息保护制度的起源与发展来看,“公平信息实践”制度对于各国的个人信息保护制度具有较大影响。这一制度一方面对个体进行赋权,赋予个体以查询复制权、纠正权、删除权、脱离自动化处理权、携带权等权利;另一方面对信息处理者施加责任,赋予信息处理者目的限制、信息最小化、限期储存、信息安全、信息质量等义务。
第一,确立了个人信息保护的基本原则。《个人信息保护法》在总则中集中规定了个人信息保护的基本原则,此种立法模式在比较法上较为少见。例如,《个人信息保护法》第5条规定的处理个人信息的诚信原则,确实是我国《个人信息保护法》的特色。
第二,关于个人信息和敏感个人信息的概念表述,都采取了“概括+具体列举”的模式,且通过附则的规定对其作出了更为具体的阐述。我国《个人信息保护法》中的敏感信息既包括“生物识别、宗教信仰、特定身份”等身份性信息,也包括“医疗健康、金融账户、行踪轨迹”“不满十四周岁未成年人的个人信息”,这一规定从实际风险出发,以威胁人格尊严和危害个人人身、财产安全作为界定敏感信息的范围。
第三,通过敏感个人信息的处理规则保护未成年人的个人信息。从比较法上看,国外关于个人信息保护最显著的立法成果——欧盟《一般数据保护条例》虽然规定了需要特殊保护的信息类型,但没有将未成年人信息作为特殊类型对待。美国《弗吉尼亚州消费者数据保护法令》(Virginia Consumer Data Protection Act, VCDPA)规定,从“已知儿童”处收集的数据属于敏感数据。
第四,构建了中国特色的综合法律保护机制。首先,《个人信息保护法》确立了“国家网信部门”作为负责统筹协调个人信息保护工作和相关监督管理工作的机关。“国家网信部门”和“县级以上地方人民政府有关部门”履行“开展个人信息保护宣传教育,指导、监督”“接受、处理与个人信息保护有关的投诉、举报”“组织对应用程序等个人信息保护情况进行测评”“调查、处理违法个人信息处理活动”等工作。与欧盟相比,我国并未确立完全独立的个人信息监管机关。作为个人信息保护标准较为严格的地区,欧盟在《一般数据保护条例》中明确要求各成员国成立独立监管机构,并在欧盟层面成立数据保护委员会。我国由于多种原因并未进行此类机构设置。
第五,《个人信息保护法》确立了个人信息权利的司法保护机制。从比较法上看,不同国家采取了不同的法律保护方式。例如欧盟要求个人在一般情况下先向监管机构提起申诉,但赋予个人向法院提起诉讼的最终救济机制。美国则采取了准司法的民事救济制度,利用美国联邦贸易委员会(FTC)对消费者个人信息进行“普通法”保护,
第六,明确规定了侵害个人信息的损害赔偿规则。在传统民法中,长期以来关于个人信息保护的损害赔偿责任一直是个争议比较大的问题。个人信息就损害赔偿而言既有财产属性又有人格属性,对个人信息的侵害大多数实施的是一个大规模的侵权,其损害具有范围广、程度深的特点,尤其在侵害个人信息的情况下,有可能构成大规模侵权。但对单个的受害人来说,损害又可能是轻微的。所以,它会形成一种集合性的、针对众多人的大规模损害。瓦格纳将此种行为称为“大规模的微型侵害”。
(三)实践性
《个人信息保护法》的出台,是我国多年在个人信息保护领域立法、司法与执法实践成果的结晶,回应了国家与社会对于个人信息保护的需求。从立法来看,2012年,全国人大常委会通过《关于加强网络信息保护的决定》,明确“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”,首次从国家最高立法机关层面对个人信息提供保护,并确定了收集与处理个人信息的“合法、正当、必要”原则,这一原则在后来的个人信息立法中一直被延续。此后,2016年通过的《网络安全法》对网络运营者收集与处理个人信息进行了专门规定。2020年通过的《民法典》对个人信息保护规则作出了详细规定。《消费者权益保护法》《电子商务法》《刑法修正案(九)》等法律也从不同角度与层面对个人信息保护规则作出了规定。《个人信息保护法》的颁行与上述立法实践密切相关。从司法与执法层面看,一系列案件与事件也在其中起到了重要作用。
《个人信息保护法》植根于社会实践与现实需求,具有较为鲜明的实践性。在《个人信息保护法》制定过程中,发生了一系列与个人信息保护相关的重大社会事件,如对于违法收集人脸信息的行为,相关法律法规不健全、监管措施缺位等。对此,最高人民法院也作出了一系列司法解释,如《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》等。在总结我国有关个人信息保护的立法和司法实践经验的基础上,我国《个人信息保护法》对上述个人信息保护的实践困境都予以了回应,并就上述问题的解决提出了中国方案,具体而言:
一是我国《个人信息保护法》采取了符合中国国情的个人信息保护机制。例如,我国《个人信息保护法》从我国实际出发,将国家网信部门规定为履行个人信息保护职责的部门。
二是规制“大数据杀熟”行为。在实践中,一些企业利用数据与算法优势,通过掌握消费者的经济状况、消费习惯、对价格的敏感程度等信息对消费者进行误导与欺诈,即所谓的“大数据杀熟”现象。
三是防止人脸识别滥用。《个人信息保护法》第62条规定:“国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作:(一)制定个人信息保护具体规则、标准;(二)针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准……”该条对人脸识别技术的运用作出了原则性规定,为相关立法细化调整人脸识别技术规则提供了依据。
四是系统回应个人信息保护的国内与国际实践需求。随着全球大多数国家完成个人信息保护立法,我国个人信息保护法的缺位,将使得我国成为全球个人信息保护的洼地,并导致我国在参与国际数据规则制定时丧失话语权。在此背景下,我国企业与跨国企业在进行个人信息跨境传输时,将面临个人信息只能从中国传到有关国家,而很难从有关国家传回中国的窘困局面。我国《个人信息保护法》的制定,系统性地回应个人信息保护的国内与国际实践需求,有力提升了我国的个人信息保护水平。
五是引入公益诉讼制度。在我国,个人信息泄露等侵害个人信息的现象已经成为一种“公害”,其侵害的不仅是个人的信息权利,而且对海量个人信息的侵害也构成对社会公共秩序和公共利益的侵害。《个人信息保护法》第70条对侵害个人信息的公益诉讼制度作出了规定,在很大程度上解决了个人信息保护中个体维权积极性不高、维权难度大等难题。
三、《个人信息保护法》的适用
(一)《个人信息保护法》与《民法典》的适用衔接
《个人信息保护法》是配套实施《民法典》的重要法律。在《民法典》颁布后,就推动《民法典》实施的问题,习近平总书记指出,《民法典》颁布实施并不意味着一劳永逸解决了民事法治建设的所有问题,仍然有许多问题需要在实践中检验、探索,还需要不断配套、补充、细化。需要加强同《民法典》相关联、相配套的法律法规制度建设。
《民法典》和《个人信息保护法》之间的关系是基本法与单行法的关系,《民法典》是基础性法律,是私法的基本法。有学者将其比喻为,《民法典》是“太阳”,而单行法则构成围绕“太阳”公转的“行星”;“行星”根据“太阳”所投射的“光芒”来进行解释。
《个人信息保护法》作为《民法典》的特别法也丰富了《民法典》的有关规则,将《民法典》的相关保护规定更加细化与具体化,进一步强化了对个人信息的保护。
第一,单独适用。
这又要区分两种情形:一是在《民法典》有规定而《个人信息保护法》中没有规定的,在此情形下就要适用《民法典》的规定。《民法典》所确立的关于人格权的请求权、禁令制度、精神损害赔偿等都为个人信息保护确立了基本的救济方法。这些规则在《个人信息保护法》中并没有规定,因此,《民法典》的规定具有兜底作用。二是《个人信息保护法》有规定而《民法典》没有规定,需要单独援引《个人信息保护法》的规定。例如,有关可携带权、关于过错推定责任等规定。《民法典》第11条规定:“其他法律对民事关系有特别规定的,依照其规定。”从性质上看,《民法典》第11条属于引致规范,其有效衔接了《民法典》与《个人信息保护法》之间的关系,从而形成调整民事关系的法律整体。
第二,结合适用。
在《个人信息保护法》和《民法典》都有规定个人信息,只是细化《民法典》的规定的情形下,可以将个人信息保护的规则与《民法典》结合起来使用。例如,关于对个人信息处理的“告知—同意”规则,这是保障个人对其个人信息自主决定权的基本规则,虽然在《民法典》第1035条作出了明确规定,但该条规定仍然是简略的。针对现实生活中社会反响强烈的一揽子授权、强制同意等问题,且考虑到经济社会生活的复杂性,个人信息处理的场景日益多样化,《个人信息保护法》还对取得个人同意以外可以合法处理个人信息的特定情形作了规定。
第三,消除矛盾。
法律解释的重要目的之一是通过解释使法律规范相互之间形成一种有机的、和谐的整体,形成逻辑的体系。“这意味着在法条可能的文义范围内和意义脉络范围内进行解释时应尽可能避免评价矛盾。”
(二)《个人信息保护法》适用的其他问题
《个人信息保护法》还需要处理好与《网络安全法》《数据安全法》的关系。在网络信息法治体系中,这三部法律具有基础性作用,构成了数字社会治理与数字经济发展的基本法。其中,《网络安全法》的宗旨是为了保障网络安全,维护网络空间主权和国家安全、各方合法权益,其重点是对网络运营者进行规范,因此在其中也对网络运营者收集与处理个人信息进行了若干规定。《数据安全法》的宗旨是为了规范数据处理活动,保障数据安全,维护国家主权、安全和发展利益,其重点是国家数据安全与数据跨境流通等问题。而《个人信息保护法》的宗旨是为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用。由此可见,三部法律是从不同角度与层面维护我国的网络信息法治。在适用《个人信息保护法》时,除了本法条文适用,在涉及网络运营者特别是网络关键信息基础设施时要注意和《网络安全法》进行衔接,在涉及数据跨境流通等问题时要注重和《数据安全法》进行衔接。
《个人信息保护法》还需注意其多种保护机制的衔接。《个人信息保护法》规定了行政执法、个人投诉举报、司法诉讼、公益诉讼等多种保护机制,赋予了个体投诉举报和司法救济的任意选择权。第50条规定了个体可以对其信息权利直接提起诉讼,而不必以行政监管作为前置性程序。从法律适用的角度来看,这一规定也对法院与“履行个人信息保护职责的部门”提出了挑战。
《个人信息保护法》出台后,还需要通过制定配套规章、条例、司法解释等形式进行适用。《个人信息保护法》已经对此进行了部分规定。例如,要求国家网信部门统筹协调有关部门“制定个人信息保护具体规则、标准”“针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准”。
结 语
《个人信息保护法》的出台,细化和完善了《民法典》关于个人信息保护的相关条款。正确把握《个人信息保护法》,需要深刻理解《个人信息保护法》的亮点、特色以及与《民法典》的关系,从而为个人信息保护与数据治理提供中国方案。《个人信息保护法》的制定,对保护人民群众的切身利益,贯彻落实以人民为中心的发展思想具有重要意义。当然,随着互联网、高科技的发展,还会出现更多的新情况、新问题,需要法律及时作出回应而不断完善。《个人信息保护法》的颁行并不是个人信息法律保护的终结,而是个人信息保护新的起点。
(本文为文章摘录版,如需引用,参阅原文)
文章来源:法学家 2021,(06)