千呼万唤始出来。
10月13日,广受关注的《个人信息保护法(草案)》(下称“《草案》”)提请十三届全国人大常委会第二十二次会议初次审议。
《草案》共计8章70条,从个人信息生命周期角度详细规定了个人信息保护的一般原则,同时还规定了个人敏感信息及国家机关处理个人信息的特别规定。
围绕个人信息保护领域的热点问题,不少法律界人士对《草案》提出了诸多修改和完善建议。有分析认为,《草案》吸收了《网络安全法》《消费者权益保护法》《广告法》《电子商务法》《关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》《信息技术安全个人信息安全规范》等法律文件对个人信息保护的相关规定,并结合实践经验,同时吸收GDPR(《通用数据保护条例》)等国际经验,形成了一部相对完善的立法草案。
那么,本次《草案》有何亮点与缺憾?学界讨论的法理焦点是什么?对个人和企业将会带来哪些影响?
亮点与缺憾
学界普遍认为,此次《草案》吸纳了中国个人信息保护的监管实践,并借鉴GDPR等域外法规的先进经验,注重和《民法典》《数据安全法》《电子商务法》等法规的协调,搭建了个人信息保护的框架,明确了处理个人信息的基本原则,个人信息处理者和个人信息的权利义务,履行个人信息保护职责的部门的保护职责和监管要求,并对自动化决策、人脸识别、人肉公开、跨境流动等热门社会问题进行了回应。
“我觉得这一次出台的《草案》是一个很大的进步,也看到了之前草拟文本和现在《草案》最终版之间的极大改进。”对外经济贸易大学数字经济与法律创新研究中心执行主任许可对《财经》E法表示。
许可认为,此次《草案》制定有三个特点。一是体现出立法者试图在“合理利用、自由流动”与个人信息保护之间寻求平衡。“这种平衡已经远远比之前我们看到的《民法典》《消费者权益保护法》和《网络安全法》等有非常实质性的改进。”
二是超越了公法和私法的简单划分,既将大量个人信息权利规范放入,也添加了许多政府监管内容。“这种综合性立法从全世界范围内来看,也是一个主流。因为个人信息保护法不仅是一部个人权利的法律,也是一部国家监管的法律,所以我把个人信息保护法理解为以个人为基点,通过国家权力去界定权利边界并提供保障的一部法律。”
三是将国家机关明确纳入到了个人信息处理者的概念中去。给国家机关加入了保护个人信息的一系列义务责任,“这一点实际上是最大的突破。之前的《网络安全法》和《民法典》等,因为主要是针对平等主体企业或个人,所以它们主要提供私法上的保护,涉及国家对个人信息保护的实际上只有一个条款。此前在网络安全法中有个‘网络运营者’的定义,但网络运营者是否包括国家机关一直不甚明确,存在争论。这次《草案》旗帜鲜明的将国家作为个人信息处理者看待,是一个很大的亮点。”
北京大学法学院副院长、电子商务法研究中心主任薛军对《财经》E法表示,此次《草案》进一步明确了个人信息处理规则中的部分要点。如围绕告知同意做了相对细化的规定,“在什么情况下需要同意,以什么样的方式来同意?是需要个别同意还是概括同意?再比如涉及到第三方转让时,是否需要一些新的同意等,进一步明确了个人信息处理的规则。在保护的标准上,特别强调针对敏感个人信息要给予特别保护,回应了社会的一些关切。在个人信息跨境提供方面也做了相应的一些明确具体的规定。”
此外薛军认为,《草案》明确了信息主体(个人)的权利。对个人信息处理者(公共机构或私人企业),对其建立内部管理制度,操作管理流程,发布年度合规审计、风险评估报告、信息泄露情况下的补救措施等基本义务提出了系统化的要求。
在北京师范大学网络法治国际中心执行主任吴沈括看来,《草案》的重大价值之处,在于对个人信息保护专职机关的专章设定。他强调,这个制度设计的目的是对自然人在面对大型高科技企业时弱势状态的补强。这也是立法中第一次出现类似规定。
“在网络安全法当中,个人信息处理应当遵循合法正当必要原则,而在个人信息保护法当中,遵循的是合法正当原则。必要两个字只是体现在对敏感个人信息的处理中。所以在此次立法当中,首先出发点应当是个人信息权益保护,这一点是毋庸置疑的。当然,在实现这样一个目的的过程中,立法者也考虑到数字经济及信息产业发展需要,对国家安全、公共利益和产业发展做出一个平衡。”吴沈括表示。
但多位学者认为,此次立法偏重于原则性、概念性的界定,在一些细节问题上仍有改进空间。
“在目前的法律责任配置当中,虽有敏感信息和一般个人信息的区别,但是在《草案》的法律责任配置当中,对于个人信息和敏感个人信息并没有做出区别对待。对于敏感个人信息,既然有章节上的专门布局,那在责任配置方面可以有更为清晰的一个专门的强化保护。”吴沈括指出。
薛军认为,《草案》对个人信息处理活动中所享有的一系列权益的表述并没有明确定义,这可能会对相关信息处理者造成过重的负担,甚至对其正常业务产生重大影响。“如何来平衡相关的个人信息主体的诉求,同时考虑信息处理者在经济效率、商业需要等因素上的考量,我觉得要进一步权衡。”
此外,目前《草案》设定的知情同意制度值得肯定,但仍稍显单一。薛军建议增加其他机制,强制性保护个人信息相关权益。“比如个人不同意,那企业能不能拒绝对他提供服务”?现在草案对这个问题有所涉及,但具体如何落实,需要进一步细化。现在通常的做法都是,如果用户不同意隐私政策,就不能完成注册程序,也不能使用相关的服务。未来如何在落实知情同意的基础上,避免用户同意沦为一个形式性的东西,要发挥真正的作用。
个人信息保护职责是薛军尤其关注的一个方向。《草案》对履行个人信息保护职责主管部门定义上有很大进步,但“仍然留了一些尾巴”,如相关部门具体是哪些,个人如果认为自己的个人信息受到了侵害应向谁投诉,谁有责任来予以接受、处理,仍需进一步明确。对管理体制上规定的各种评估、认证、审计、关键信息基础设施的安全等级保护要求等,特别需要在条文层面上明确,不能够乱收费、重复收费,主管部门不得指定企业到特定机构去进行相应认证才认可相关结果等。一定要避免个人信息保护制度沦为某些主管部门监管套利的机会。
许可强调,履行个人信息保护职责的部门现在仍然延续“九龙治水”的模式,涉及部门太多,实际上会给企业造成无穷负担。“各个地方都在出台自己的监管标准、规则,对于企业来说这是个大问题。因此有必要去保证个人信息监管规则的一致性。”他建议,首先可以考虑将监管权收归一家,“比如说由网信部门专门去管”;其次,即使因为执法原因不能进行网信部门统管,也应当由专职机关制定统一的个人信息安全标准和规则。“不能各行其是,不能说今天这个部门搞标准,明天那个部门又搞规则?这会让企业无所适从。”
个人可对敏感信息的处理说“不”
作为基本的立法概念与原则,如何从立法的角度平衡信息保护(控制)和信息利用(流通),自审议之初即被反复提及。
从整体看,《草案》确立了个人信息处理应遵循的原则,强调处理个人信息应当采用合法、正当的方式,具有明确、合理的目的,限于实现处理目的的最小范围,公开处理规则,保证信息准确,采取安全保护措施等,并将上述原则贯穿于个人信息处理的全过程、各环节。
细节上,《草案》设专节对处理敏感个人信息作出更严格的限制,只有在具有特定的目的和充分的必要性的情形下,方可处理敏感个人信息,并且应当取得个人的单独同意或者书面同意;同时,对基于个人同意以外合法处理个人信息的情形作了规定。
在关注保护的同时,部分学者也开始思考信息流通的涵义与价值。
“这部法律解决了如何保护个人信息权益的问题,但并没有谈及流动,这一点是我个人比较遗憾的点。”上海交通大学数据法律研究中心执行主任何渊对《财经》E法表示。他强调,国际上对个人信息权的认知趋势正在从单一的人格权向选择权转变,而《草案》在选择权方面的权益体现的并不明显,这就可能导致救济路径的单一,进一步影响整个互联网生态。
“当然要尊重个人——你(企业)权益保护的不好,我不愿意把数据给你,这个交易自然可以拒绝。但对有些人而言,他的选择可能不是这样的。他们愿意把数据给企业用,不满的不是说用了我的数据,而是说你用了我数据,却没给相应报酬。”何渊表示。
何渊进一步指出,如果法律只为个人提供了“拒绝”权益,就可能导致大量互联网公司无法维持其免费商业模式转向收费,从而形成差异化管理。“愿意交钱的,我给你提供的服务更好,和不愿意交钱的区别开,这种情况不是我们愿意看到的,所以更不能回避。”
吴沈括强调,中国目前个人信息保护状况并不理想,国内的生态环境“有很大改进空间”。此外,个人信息保护也成为全世界各国目前的主流选择,因为它反映了一个国家的法治文明和人文价值点,如果个人信息保护做不好,数字经济必然是野蛮和没有价值底蕴的,必然走不远。“当然,社会整体正在走向信息要素更加充分和透明的状态。但也正是在这样的环境中,最基本、最起码的自我控制权更为宝贵。”
吴沈括认为,《草案》并未在法规设计上限制流动,而是明确了在流动时需要完成哪些义务。“比如说告知,征求同意,安全评估等等。哪怕处理我的个人信息可以不经过我同意,但告知权是必须得给我的。”
《草案》第一章第一条明确规定,立法是为了“保障个人信息依法有序自由流动”。“这个表述是有其意义的——首先依法,然后有序,最后自由。如果个人信息流动是非法、无序的,那这样的‘自由’还有什么意义呢?”吴沈括强调。
个人信息及公民隐私的界定也是学界讨论的焦点。
今年5月28日通过的《民法典》宣示了自然人享有隐私权并明确隐私权内涵同时,也明确了个人信息的内涵和外延,对两种权益做了区分。
何渊认为,个人信息的保护是一种选择权,它的保护逻辑不是说要防止企业去拿个人信息,而是怎么来使企业在合法合规的前提下去使用个人信息。而隐私权则并非一种选择性的权利,“不管你同不同意,国家都是要保护你的隐私的。不能把个人信息按隐私权那么严格的方式来保护。”
何渊进一步强调,除了保障传统人格权,还要让参与到其中的个人享受到数据发展的红利,这样才会更有利于产业的发展:“《民法典》已经对个人信息和隐私权做了区分。这样一来,中国对个人信息的定义和美国其实不同,我们的个人信息其实已经去掉了真正的公民隐私部分。”他判断,对大部分个人而言,最关心的并不是私密性的问题,而是互联网企业搜集走了个人的信息数据以后“没有给报酬,而且还用算法来‘算计’我。”
何渊建议建立一种“个人愿意共享其不涉及私密部分的数据,而企业方也愿意由此与个人分享其利润”的良性机制,个人的选择权和数据使用的合法性由此都可解决。
“以我个人的价值判断而言,现在这个阶段更重要的,其实不是去保护个人权益,而是要避免以权利保护为理由来阻碍数据流通。”何渊总结。
吴沈括则认为,由于立法时相关问题并不突出,立法本身也并非针对个人信息保护,中国现行涉及到公民个人信息及隐私权的法律法规在义务规则上并不清晰:“比如刑法第二百五十三条之一,违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的构成犯罪。我们急需一部立法来解决什么叫‘国家有关规定’。”
吴沈括强调,《草案》的出台在个人信息领域具有非常重要的基础性意义。个人信息收集等相关一系列行为如果不能在法律成面上定义,《刑法》和《治安管理处罚法》等将会出现不好适用或者错用的情况,这才是更大的危险,“所以逻辑上不能颠倒,个人信息保护法就是要解决这个问题。”
是否会增加企业运营的额外负担?
2018年5月生效的GDPR,对数据主体的权利规定细致入微,早在《草案》公布前就有多方观点预测称,GDPR在“数据可携权”“被遗忘权”等方面的规定“可能会对中国数据立法带来一定参考”。
但实施两年以来,一些欧盟学者认为GDPR并没有像许多人希望的那样成功,同时给企业带来了很多额外负担。据英国《金融时报》报道,GDPR推行一年之后,欧盟科技企业获得风投大幅度减少,每笔交易平均规模下降了33%。普华永道(PriceWaterhouseCoopers)调查的公司中,有大约60%的公司表示,它们花费逾100万美元为GDPR做准备,有12%的公司则表示拨备超过1000万美元。
由于《草案》本身涉及范围极广,对企业亦将产生重大影响,其公布后的行业反应也成为公众关注焦点。
薛军表示,此次《草案》立法明显在诸如知情权、决定权、查询权、复制权、更正权和删除权等个人信息主体权利上对GDPR有一定参考,“但这样的权利化表述若没有规范的边界限定,就可能给企业运营带来额外负担。《草案》在这方面其实也面临类似问题。他认为,《草案》在上述规则中应具备一些兜底的规定,如规定其行使权利要基于正当的、必要的目的而不能滥用,要具有内在的合理性,另外对于费用的承担主体以及方式要明确。
许可对《财经》E法表示,有四种商业行为在《草案》正式实施后可能会被规制:一是,对个人敏感信息的收集的行为必须要获得单独的同意,“需要我们单独去点击,主动明示同意”;二是,部分利用个人信息进行自动化决策(比如贷款征信)的应用会受到强力制约;三是,对个人公开信息的处理上,也就是信息已在网站上公开,之前对于是否可以随便使用存在争议,《草案》公布后也会被严格规制;四是,对企业而言,个人可以要求撤回此前同意使用自身信息的授权,从而导致个人信息被删除。
许可介绍称,此次《草案》制定实际上是一次“开门立法”。虽然在制定过程中并未对全社会公开,但从去年年底直到现在公布,已对包括企业意见在内的各方意见经过多轮征求。“和去年的草案相比,这一次拿出来的草案已在各方面有很大的进步。这其中企业做了大量的工作,许多来自行业的反馈意见已被吸收。”
但部分企业也提出了自身担忧。《财经》E法了解发现,多家不愿具名的企业对《草案》第二十五条“利用个人信息进行自动化决策”一条存在担心。
自动化决策目前已覆盖个人生活的方方面面,如针对个人偏好信息的定向推送和“千人千面”式的个性化推送,均需自动化决策发挥作用。
“自动化决策已成为现在最主要的信息处理方式,不太可能不通过个人信息去处理。这条规定要求保证决策的透明度和处理结果的公平合理性,还要同时提供不针对其个人特征的选项。原则上我们百分百支持,但对目前的互联网技术而言,恐怕很难在技术和商业模式上实现。”一家不愿透露姓名的购物平台类公司业务主管对《财经》E法表示。
“如果不能做到针对个人特征推送,所有的定向推送、个性化推送都会失去意义——比如说一家信息引擎类公司,只能为个人漫无目的的推荐一气;再如一家购物平台,成千上万的商品只能一股脑推给用户,等于什么都没展示。”一位不愿透露姓名的信息服务公司公关部负责人对《财经》E法解释。
此外,一些行业人士认为,该法条的部分表述存在进一步完善空间。如“个人认为自动化决策对其权益造成重大影响的,有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定”的规定,多家公司表示应该更加清晰:“‘予以说明’具体应当怎么说明?‘造成重大影响就有权拒绝’,什么样的重大影响?非常期待后续能尽快发布司法解释。”
但也有企业表示有信心来遵守规定。“‘去个性化’与‘个性化’推送只是外在形式,如何能在合理、合法的前提下,更好的服务用户,才是根本。从这一角度出发,《草案》相关规定,将有助于推动行业发展。”“秒拍”、“小咖秀”等短视频软件的母公司一下科技有关人士对《财经》E法表示。
字节跳动人士对《财经》E法表示,《个人信息保护法》是一部具有里程碑意义的法律。作为个人信息处理者,该公司后续将会从三方面着手:一是,在隐私影响评估制度基础上,根据《个人信息保护法》的规定对敏感个人信息等数据处理活动建立完善风险评估机制;二是,持续提升与优化数据存储、使用、访问的安全技术措施与管理水平,强化突发数据安全事件应急响应演练,提升数据安全处置能力;三是,进行全员的数据安全与隐私保护宣传、培训工作,强化安个人隐私安全合规意识。
“《草案》明确了用户信息获取和使用的边界,对行业具有十分积极的意义。用户和产品共生共存,协同发展,才会不断推动行业进步,”一下科技有关人士对《财经》E法表示,“就一下科技旗下移动视频产品而言,并不会有影响,作为国内主流移动视频矩阵平台之一,我们将以积极开放态度接受合理、合法的监管。”
个人维权更容易了吗?
近年来,中国个人信息保护领域的民事救济面临普遍困难,多数情况下,公民对于个人信息被收集、使用的情况并不知晓,取证索赔困难,民事维权难以发起亦“孤掌难鸣”,甚少有原告胜诉案例出现。
在2015年的“北京百度网讯科技公司与朱烨隐私权纠纷案”中,因法院认为被泄露信息的扩散渠道不具有唯一性,二审撤回一审判决,认定“百度网讯公司的个性化推荐行为不构成侵犯朱烨的隐私权”,判决驳回原告朱烨的全部诉讼请求。
2017年,庞某从“去哪儿网”购买东航机票,因个人信息被泄露,将“去哪儿网”和东航告上法庭。法院一审判决以“证据不足”为由驳回其上诉。二审虽撤销一审判决,但仍因确凿证据难以搜集,仅认为东航和“去哪儿网”“存在泄露庞某个人隐私信息的高度可能”,且驳回庞某除要求赔礼道歉外的其他诉讼请求。
此次《草案》制定也对这一广受关注的问题给予回应。
《草案》第七章六十五条规定,因个人信息处理活动侵害个人信息权益的,按照个人因此受到的损失或个人信息处理者因此获得的利益承担赔偿责任;个人隐私受到的损失和个人信息处理着因此获得的利益难以确定的,由人民法院根据实际情况确定赔偿数额。
第六十六条规定,个人信息处理着违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织可以依法向人民法院提起诉讼。
“个人信息民事救济的难点在于数量大、涉及到的人多,每个人受到的损害就不是那么显著,因果关系也无法证明。同时,相对信息处理者而言个人不具有优势地位,很难与其对抗。”薛军对《财经》E法表示,“这次立法第六十五、六十六条就是对这些问题的回应,由法院酌定个人损失及信息处理者获益,同时把民事公益诉讼从立法上予以明确,这一点我认为值得关注。”
吴沈括认为,从民事起诉角度而言,今年5月颁布的《民法典》已从制度上回应了民事救济问题,但在实际司法裁判活动中仍可能出现如何协调适用《民法典》与《个人信息保护法》的问题,需要司法解释给予进一步的指引。
此外,吴沈括建议最高司法机关尽快推动案由制度改革,把个人信息侵权作为一个明确的案由纳入其中;同时,需要通过司法机关积极的运用,积极的运用《个人信息保护法》和司法解释来推动实践案例的执行,“因为没有实践案例的话,权利机制是抽象的。有了实际判例后,会有更多民众积极维权。”
对于六十六条提出的相关部门诉讼机制,吴沈括建议应补充集团诉讼相关规定。他指出,《草案》只提到民事公益诉讼机制,并未明确提出集团诉讼概念,需要后续完善。“例如一个APP可能能拿到6000万、8000万甚至1亿的用户数据,这些人自己团结起来才是自我维权的良好途径。而且,检察机关的公益诉讼有一定条件限制,此时集团诉讼相对更加便利,公众自发组织起来就可以推进。”
《草案》七章六十二条规定,对于已规定的情节严重的违法行为,由履行个人信息保护职责的部门责令改正,没收违法所得,并处以最高五千万元罚款。
何渊表示,法规虽大幅提升罚款力度,但现在的难题在于具体判决时如何确定实际赔偿金额。由于可得利益、获得利益及受损利益都很难进行量化和计算,这样一来法院根本没有办法确定具体金额,法官无法作相应判决。因此,后续相关司法解释需尽早出台。
何渊认为,对个体而言“最需要的是赔偿而不是认错或赔礼道歉。”从企业角度考虑,也只有真正把罚款金额提升落在实处,才会倒逼其做好内部合规。“因此从诉讼角度来说,目前这版个人信息保护法尚无法支持大面积的维权。”
何渊同时认为,第六十五条规定的民事集体诉讼机制事实上很难形成,“因为大家都没法去举证到底什么受损了”。如果未来的司法解释能够比照明确处罚金额,同时形成民事集体诉讼的制度保障,“同样也是非常好的解决办法。”
