摘要:中国个人信息保护法的立法已经箭在弦上, 但三大矛盾仍待有效化解。就“个人对个人信息保护和企业对个人信息利用”之间的矛盾而言, 应秉持“两头强化”的观念, 既强化个人敏感信息的保护, 又强化个人一般信息的利用。就“权利保护法和行政管理法”之间的矛盾而言, 应坚持综合立法的进路, 实现个人利益、企业利益和国家利益的三方平衡。就“国内法律和国际法律”之间的矛盾而言, 我国一方面应引入个人信息的保护性域外管辖权, 拓展主权边界;另一方面应参考世界趋同的个人信息保护原则, 提升个人信息保护标准, 为个人信息跨境流动的国际协定及条约奠定基础。
关键词:个人信息保护法; 敏感信息; 信息利用; 立法建议;
A Discussion on the Legislation of Individual Information Protection of China
Abstract:The legislation of individual information protection has been commenced in China, whereas there have been three contradictions in the process which need to be resolved.For the contradiction between individual information protection orientation and the orientation of business to make useful of individual information, China's way is to protect individual sensitive information and to promote the use of individual general information.For the contradiction between the lawof rights protection and the lawof administrative management, the state should carry on the comprehensive legislation to reach the balance of individual interests, business interests and the state interests.For the contradiction between domestic lawand international law, this paper argues that on the one hand, China should drawinto the individual information protection jurisdiction abroad and expand China's sovereignty, on the other hand, China should take the reference of the world's general principle of individual information protection and raise Chinas'standard in individual information protection to lay the foundation of individual information to be used in international contracts and agreements cross broad.
Keyword:the lawto protect individual information; sensitive information; to use information; legislative proposal;
自2003年国务院信息化办公室部署个人信息保护法立法研究工作, 到今年“两会”对《中华人民共和国个人信息保护法》列入立法规划的讨论, 已经过去了15年。15年间, 中国和世界的科技、经济和政治格局均已发生了深刻变化。在科技层面, 大数据、人工智能、云存储和云计算使得我们的一举一动、一言一行、一喜一悲均被收集、存储、利用。就此而言, 不论我们是“自然人”, 还是“经济人”或“社会人”, 在信息经济和数字社会的浪潮中都已经变成“数字人”.在经济层面, 数字化的个人信息在广告、金融、医疗、出行等领域的广泛应用, 不仅推动了企业和社会组织的数字化转型, 也使人们的生活变得更加智能化、便捷化。在政治层面, 2015年国务院印发《促进大数据发展行动纲要》, 首次从国家层面认定数据是国家的基础性战略资源, 数据由此成为提升政府治理能力的新途径。另一方面, 从2018年5月25日生效的欧盟《通用数据保护条例》 (GDPR) 规定的域外管辖权, 到美国《澄清境外数据的合法使用法案》 (CLOUD ACT) , 各国围绕个人信息和重要数据跨境流动问题展开的国际政治博弈日趋激烈。
然而, 由于认识不到位、立法不完善、私力救济不足、行政监管缺位, 我国当前的个人信息保护框架失衡, 既不能为自然人提供充分的个人信息权利保障, 也无力满足市场对个人信息利用的合理需求, 更因国际视野缺乏, 无法在国际规则制定和跨境执法中发挥应有的作用。当前, 制度缺失的恶果已经显现:近年来, 侵害公民个人信息的恶劣案件时有发生;正规企业由于缺乏明确的规范和标准, 即便是从事正常经营活动, 也多有顾忌, 相反, 数据黑产却在恣意妄为;监管部门也因为没有明确的法律授权, 在个人信息保护方面或者畏手畏脚或者不当使用公权。“世易时移, 变法宜矣。”作为数字社会的基础性法律制度, 个人信息保护的立法应与时俱进, 以回应不断涌现的新需求和新问题。为此, 本文拟剖析个人信息保护法立法中的三对重要矛盾关系, 并结合我们起草的《个人信息保护法》 (专家建议稿) 提出可行的解决之道。
一、个人和企业的关系
(一) 个人信息保护和利用之间的矛盾
随着数字化生存的来临, 电子化的个人信息不但构成了我们的虚拟人格, 而且延伸到现实生活之中, 成为我们名誉、财产乃至生命的无形接口。2008年, “人肉搜索第一案”---王菲、姜岩案充分说明, 被搜索人个人信息的披露所影响的不只是言论上的谴责, 更是名誉上的损害以及有形的“惩罚”.[1]2016年8月21日, 徐玉玉因个人信息泄露而被诈骗电话骗走上大学的费用9 900元, 伤心欲绝, 郁结于心, 最终导致心脏骤停, 虽经医院全力抢救, 但仍不幸离世。[2]这一案例引发了人们对于个人信息保护的广泛关注。《刑法修正案 (七) 》《刑法修正案 (九) 》分别增设了出售、非法提供公民个人信息罪和非法获取公民个人信息罪, 2017年出台的《中华人民共和国民法总则》第111条亦将个人信息置于民法保护之下, 从而为个人信息竖立了两道保护屏障。
但在另一方面, 当企业将海量的个人信息加以汇集成大数据之后, 它又摇身一变, 成为人们改变市场、创造价值和获得知识的新源泉和新动能。从计量的角度看, PB是大数据的临界点。根据IDC《数字宇宙报告》, 到2020年人类拥有的数据量以ZB (1ZB=1 048 576 PB) 计量。预计, 随着穿戴性设备等互联网的应用普及和在线化, 人类将迎来“数据核爆”.[3]2016年, 《G20数字经济发展与合作倡议》明确提出如同农业时代的土地、资源、劳动力, 工业时代的技术、资本一样, 数据成为数字经济时代的重要生产要素。而在2017年12月中共中央政治局就实施国家大数据战略进行第二次集体学习时, 这一观点被再次重申。根据中国信息通信研究院《中国大数据发展调查报告》, 大数据有助于企业实现更智能的决策、提升运营效率、管理风险、增加生产能力并提升客户满意度。与此同时, 高达44%的受访企业认为个人信息保护的法规模糊是制约数据产业发展的首要障碍。[4]故而, 如何平衡好个人信息保护和大数据利用之间的关系, 就成为个人信息保护法的首要定位问题。
(二) “两头强化”的解决思路
要解决个人与企业的利益冲突, 可行的方案是以一定标准实现对个人信息的区别保护和利用, 实现多方共赢。为此, 我们提出了“两头强化”的思路[5], 即“强化个人敏感信息的保护”和“强化个人一般信息的利用”, 以期最大限度调和个人信息保护与企业利用。
1. 强化个人敏感信息的保护
这里的“个人敏感隐私信息”, 是指关涉个人隐私核心领域、具有高度私密性、对其公开或利用将会对个人造成重大影响的个人信息。我国《个人信息安全规范》将其进一步界定为“一旦泄露、非法提供或滥用可能危害人身和财产安全, 极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息”.之所以将“个人敏感隐私信息”作为法律保护的重点, 原因在于该等信息的不当使用可能给当事人造成难以弥补的损害, 甚至影响社会安定。敏感隐私信息的界定与公众认知和观念密切相关。因此, 在进行敏感隐私信息的类型化列举时, 应以我国文化传统、社会普遍价值观、法律传统、风俗习惯作为重要的考量因素。就此而言, 我国《个人信息安全规范》附录将个人财产信息、个人健康生理信息、个人生物识别信息、个人身份信息、网络身份标识信息均列入“个人敏感信息”, 其范围过于宽泛, 有必要借鉴我国台湾地区《个人资料保护法》第6条的规定, 以相关信息是否与个人核心隐私相关为标准, 把敏感隐私信息限定在“医疗、基因、性生活、健康检查、犯罪记录、宗教信仰、通讯记录”之内。
2. 强化个人一般信息的利用
这里的“个人一般信息”即“个人敏感隐私信息”以外的个人信息。与个人敏感隐私信息不同, 作为身份、形象、信用的标志, 个人一般信息的主要使用者并非“个人”, 而是与之联系的其他利益相关者。我们每一个人在社会交往、市场交易和政治参与中, 都必须提供个人的姓名、性别、爱好、性格等林林总总的个人信息, 除非我们把自己变成一个“装在套子里的人”.因此, 有异于“个人敏感隐私信息”从个体出发提供单一向度的权利保护, 个人一般信息需要从保护和利用两个角度兼得的视角加以考量。
上述观点有着充分的社会认知基础, 那就是公众并不太在意敏感隐私信息以外的个人信息。北京尚普信息咨询公司的调查显示, 在北京街头拦截调查中, 价值15元的礼品就足以吸引行人停下脚步, 填完2张A4纸的选择题, 附带获取他们的姓名、联系方式、职业及年收入区间。而当礼品价值提升至50元左右时, 行人甚至愿意跟随调查者到一个固定地点, 花更长的时间来泄露自己更多的信息。无独有偶, 2014年3月, 德国学者尼古拉·严奇做了一个实验, 让443名学生到网站上购买两家影院提供的电影票, 在票价一致的情况下, 其中一家声称需获取用户的电子邮箱以发送广告, 于是另一家获得了62%的销售额, 但当后者提升票价后, 前者获得了87%的销售额, 即使它依旧发送广告。要知道, 后者提价只不过区区50欧分。[6]
当然, 由于个体差异, 少数人对于一般个人信息仍非常“敏感”.为回应这一部分个体的关切, 我们建议企业在当下“普遍免费服务模式”的基础上, 增加“个别付费模式”, 供当事人选择。在“免费模式”下, 法律就个人信息提供统一的、底线的保障, 而在“付费模式”下, 用户就其个人信息享有定制化和高标准的合同保障, 企业一般不得收集个人信息, 除非该等收集系履行合同不可或缺的一部分;同时, 已收集信息的使用亦应遵守严格的限制, 包括但不限于不得用于广告营销、用户画像、自动化决策、二次利用或其他目的。付费模式不但最大限度地保护了少数个体的个人信息, 更兼顾了企业利益。不论是免费模式, 还是付费模式, 企业都可以获得收入, 只是来源不同而已, 这化解了无法通过信息复制来覆盖信息生产成本的矛盾。不唯如此, 通过观察用户对模式的选择, 企业将“个人信息迟钝者”和“个人信息敏感者”区分开来, 对于前者, 提供标准化保障, 对于后者, 则采取个性化的个人信息保护策略。这种分离均衡的设计, 在维持既有用户之余, 还能吸引在单一免费模式下拒绝加入的“个人信息敏感者”, 提升了企业声誉。用户数量的扩大和信任关系的巩固, 使得企业成为最后的受益者。正是看到了这一点, Facebook首席运营官谢乐尔·桑德伯格 (Sheryl Sandberg) 不久前表示考虑推出Facebook付费版, 从而允许用户选择不把他们的个人信息分享给广告客户。[7]
3. 匿名化个人信息的特殊规则
个人信息如果经过处理无法识别特定个人且不能复原, 则成为“匿名化信息”, 便不再适用个人信息保护的规定, 企业可以自由处理、分享和转移。鉴于该规定由我国《网络安全法》第42条引入, 该条又称为鼓励数据产业发展的“大数据条款”.毫无疑问, “匿名化”为个人信息的利用和流动打开了大门。凭借着这一机制, 个人信息中的人格属性被剥离, 经济、社会、政治价值得以凸显, 数据产业的良好秩序由此形成。正因如此, 在1999年美国“R诉健康部及单方信息源公司案”中, 针对药剂师未经病人授权而将匿名的处方信息发给制药公司的争点, 法院认为, 其目的旨在提升药品的有效性, 且所有的利益攸关方都没有被识别的风险, 因此其行为不应被禁止。 (1)
但随着大数据时代的来临, 由于数据的聚合, 匿名化信息也可能通过再识别处理而被重新“显名”.美国联邦通信委员会 (FCC) 曾启用新的消费者隐私规则, 要求互联网服务提供商存储和使用消费者数据时, 必须确保它们进行匿名处理, 避免被分析、追踪到用户个人。然而, 美国斯坦福大学与普林斯顿大学的研究显示, 这些所谓“匿名”的合法留存数据, 完全可以通过与社交媒体资料配对, 追踪到具体用户。[8]因而, 美国着名学者Paul认为匿名已经成为了一个“破碎的承诺”.[9]就此而言, 问题的实质并不在于在技术上能否“匿名”, 而是如何在制度设计上保证其不被“再识别”.《中国互联网定向广告用户信息保护行业框架标准》规定:“单位应采取合理、必要的措施保证行为样本信息的去身份化状态, 并获得非关联方的书面承诺, 保证其不会、亦不会尝试将行为样本信息恢复为身份关联信息。”但遗憾的是, 该标准并无强制约束力, 有待经由立法补强。详言之, 个人信息保护法应规定匿名化个人信息的“禁止反向识别”要求:其一, 匿名化信息的提供方应承诺原则上不再识别信息;其二, 匿名化信息的接受者应承诺不再识别, 负有限制信息处理义务、向提供方的披露义务以及严格的违约责任;其三, 任何再识别的处理都视为个人信息的处理行为, 承担相应的法律义务和责任。[10]
二、权利法和管理法的关系
(一) 个人信息权利具有人格权的性质
1. 个人信息权利源于人格权
无论是在大陆法系还是在英美法系, 伴随着信息社会而出现的个人信息权利均与人格利益密不可分。
美国法院长久以来就将“人格” (Personhood) 作为隐私权的核心价值。在1965年格里斯沃尔德诉康涅狄格州案、1972年伊森斯坦德诉贝尔德案和1973年保护妇女堕胎自主权的罗伊诉韦德案中, 美国最高法院多次申明:隐私权是“人在做重大决定时, 蕴含其中的一种独立自主之权益”, 因为它们涉及人们一生中最亲密、最个人化的选择, 也是宪法第十四修正案保护的个人尊严和自治的核心, 是定义自我之存在、意义, 宇宙概念以及人类生命奥秘的权利。 (2) 按照通常理解, 隐私权主要由两类权利构成:一类是“私人生活安宁权”, 即将个体保留在私人领域之中的权利, 如个人活动和日常生活不受监视、监听、调查、窥探, 个人住宅不被侵入、监视、骚扰;一类是“信息控制权”, 即将个人信息保留在个人控制之下的权利, 如姓名、肖像、住址、人生经历、生理秘密不得刺探、公开或传播, 通讯、日记或私人文件不被刺探或公开, 社会关系不受非法调查或公开。[11]7-8因此, 个人信息权利又被称为“信息隐私” (information privacy) .基于此, 个人信息权利即“个人决定其信息在何时、何种程度以何种方式与他人交流的一种主张”[12].不过, 由于信息的流动性和无形性, 美国不得不通过“可识别的个人信息” (personally identifiable information) 来划定信息隐私的边界。美国《儿童网络隐私法》《用于经济和临床健康的健康信息技术法案》《录像带隐私保护法》以及加州的《Song-Beverly信用卡法案》《加州数据安全违反通知法》等均将“可识别的个人信息”作为启动司法管辖的触发因素, 因为“这些法律都有一个共同基本假设---如果没有可识别的个人信息, 就不存在任何隐私危害”[13]794.
在德国, 1983年的《人口普查法案》开启了对个人信息的保护, 明确了个人信息收集的目的明确原则、必要性原则、透明度原则、信息保护和对个人信息的独立控制权。在此后案件中, 宪法法院进一步提出“个人信息自决权”, 认为所有违反当事人意志的个人信息处理活动均构成对个人信息自决权的侵害, 无论侵权人为国家机关或私主体。[14]所谓“个人信息自决权”, 即个人对于本人信息是否披露、于何时、以何种方式、在何种范围内、向何人披露拥有自我决定的权利, 也即信息主体有权决定外界在何种程度上获知自己的所思所想以及行动。依托于德国《基本法》第2条第1款所保护的人格自由发展, 信息自决权和一般人格权联系了起来。按照德国学者马尔曼 (Mallmann) 的见解, 个人信息对于人格构建和发展具有决定性的意义。[15]详言之, 人格建构依托于个人和外界交流中的“自我表现”, 自我表现的实质就是对个人信息的使用;而人格发展意味着个人拥有决定以何种方式实现人格发展的自由, 也就是自主决定如何使用个人信息的自由。
2. 个人信息权利的民法认可
我国《民法总则》第111条延续第110条“一般人格权”条款、第111条“具体人格权”条款, 规定了个人信息权利。针对这一条款, 全国人大法律委员会认为, 个人信息权利是公民在现代信息社会享有的重要权利, 明确对个人信息的保护, 对于保护公民的人格尊严, 使公民免受非法侵扰, 维护正常的社会秩序具有现实意义。[16]220正在征求意见的《民法典·人格权编》亦将“隐私权”和“个人信息权”并列, 以独立一章的篇幅加以规定。
从民事权利的角度界定个人信息权利具有重要意义。首先, 其有助于申明个人信息保护的价值基础。当今, 迅猛发展的信息技术固然便利了人类的工作和生活, 可同时也带来了技术异化乃至人类异化的风险。正是洞见到这一困境, 2018年国际互联网协会 (Internet Society) 发布了报告《通往数字化未来之路》 (Paths to Our Digital Future) , 郑重申明人的核心地位, 主张技术的发展和应用必须由人类价值观推动, 而人格尊严和人格自由又是其中的首位价值。其次, 它有助于法律的体系化。个人信息权利包含着丰富的权利内容, 如信息的保有权、知情权、同意权、更正权、删除权、利用权和公开权。这些彼此配合、相互支持的权利, 不但构成了完整的规则结构, 还为刑法、行政法、诉讼法等法律保护奠定了基础, 造就协同的保护之网。[17]最后, 其有助于权利主体对个人信息进行自我管理。不同于行为保护和利益保护, 个人信息的权利保护是动态的、积极的和全周期的, 它一方面为信息的收集者和控制者设定了义务, 另一方面为个人提供了主动行使权利和寻求救济的渠道, 令私力救济和公力救济相得益彰。
(二) 个人信息权利有赖于国家规制
1. 国家规制的必要性
诚然, 个人信息保护法应立足个体, 维护民众对个人信息及其处理活动所享有的各项权利。但是, 仅仅规定权利是不够的, 因为它们太容易被虚化。在权利的开端, 同意权已经被网络服务提供者虚化为不必阅读具体内容的点击操作, 而在权利的末尾, 用户的损害赔偿权, 或者因为难以计算个人信息的价值, 或者难以举证, 不得不沦为“纸面上的权利”.不仅如此, 成千上万的个人信息受害者必然令法院不堪重负, 难以完成司法使命。由此可以理解, 即便是以法院为中心的美国, 个人信息的保护也多由美国贸易委员会 (FTC) 承担, 而非经由诉讼解决。从2014年索尼7 700万用户的姓名、地址以及信用卡数据泄露案, 到2018年Facebook的8 000万用户信息被违法传输到英国剑桥分析公司并用于美国大选广告推送的丑闻[18], 站在维权第一线的都是监管机构, 而非权利人。
为弥补权利进路不足, 个人信息保护法应当借鉴欧盟《通用数据保护条例》 (GDPR) 的经验, 采取“基于风险的进路” (risk-based approach) , 从“数据处理行为的性质、范围、环境、目的以及对自然人的权利和自由带来风险和损害的可能性与严重性”出发, 实行预防为主和全程控制的国家治理框架。在网络安全形势瞬息万变的今天, “关注安全底线的、静态的、整齐划一的规定”已无法为个人安全提供实质性的安全保障[19], 必须根据个人信息保护情景和面临风险, 对信息业者、个人信息保护服务机构、数据交易服务机构、网络产品服务提供者等不同主体, 有的放矢地采取风险监测、风险评估、风险监督管理、风险交流在内的风险管理措施。
2. 私权模式不足以防范国家对个人信息的侵犯
“欲得民必先知民”, 从传统的人口普查到现代的电子政务, 公共秩序、公共安全和公共福利的推进, 都离不开以个人信息为基础的数据资源。凭借着突飞猛进的信息技术, 我国政府的个人信息数据库建设卓有成效:人口信息管理系统、出入境/证件信息数据库、全国违法犯罪中心数据库、DNA数据库、统计数据库、社会保障和税务的个人信息数据库相继建立。未来, 以建设智慧城市为抓手, 国家试图进一步推动数据集中和融合, 形成覆盖全国、统筹利用、统一接入的数据共享平台。毫无疑问, 这一举措将大幅促进政府决策科学化、社会治理精准化和公共服务高效化。不过, “甘瓜苦蒂, 物无全美”.政府机关对个人信息巨细靡遗的收集, 将引发民众对于“隐私已死”的担忧, 并有可能滑入“全方位监控型社会”;而打破信息壁垒, 形成个人信息资源共享体系也有可能违背“不要把鸡蛋放在一个篮子”的告诫, 容易诱发一次性泄露所有信息的风险;同样, 政府机关在执法、司法和行政过程中推进的信息公开, 也有可能忽略了所涉及个人的人格权利。
面对国家对个人信息权利的威胁, 民法并不能提供充分的保护, 亟待从法律保留、正当程序和比例原则出发, 对公权力加以规范。遗憾的是, 我国《网络安全法》的主要规制对象是“网络运营者”, 即网络的所有者、管理者和网络服务提供者, 政府机关并不包含在内。由此可能引发的疑问是:收集大量个人信息的政府机关是否以及如何执行《网络安全法》第四章“网络信息安全”的规定, 特别是第41条确定的“个人信息收集和使用的合法、正当、必要原则”.同时, 能否基于第44条“任何个人和组织不得窃取或者以其他非法方式获取个人信息, 不得非法出售或者非法向他人提供个人信息”, 将“网络服务提供者”的义务一体适用至政府机关?为了回应这些疑问, 个人信息保护法应当将“公权力机构”明确纳入调整范围, 为政府对个人信息的收集、处理和利用设定公法架构。
(三) 迈向综合立法的个人信息保护法
鉴于个人信息保护横跨私人空间和公共领域的特质, 放眼世界, 大多数国家均效仿欧盟, 以专项立法的形式对个人信息权利提供综合保护。[20]时至今日, 全球已经有120个国家制定了专门的个人信息保护法, 超越私法和公法二元对立的立法模式已经成为世界潮流。
立法是认识利益、表达利益的过程。围绕着个人信息的保护与利用, 信息主体、企业和国家各有诉求, 人格尊严和自由、商业价值、公共管理价值在个人信息上彼此交织。迈向综合立法的个人信息保护法, 意味着妥善处理个人、企业和国家三方关系, 通过国家主导、行业自律和个人参与, 实现个人对个人信息保护的利益、企业对个人信息利用的利益和国家管理社会的公共利益之间的三方平衡。
综合立法具有鲜明的制度优势。首先, 它有利于统合现有法律。目前, 我国对个人信息保护的立法碎片化, 相关规定零星分布在公法和私法的不同门类, 包括但不限于《全国人大常委会关于加强网络信息保护的决定》《民法总则》《网络安全法》《侵权责任法》《消费者权益保护法》《居民身份证法》等法律, 《征信业管理条例》《社会救助暂行办法》等行政法规以及《电信和互联网用户个人信息保护规定》《网络预约出租汽车经营服务管理暂行办法》等部门规章之中。因此, 个人信息保护法一方面要整合、修改和补充原有的法律规范, 消除其间的矛盾和混乱, 建立规范、系统的法律体系。另一方面, 由于“宜粗不宜细”的立法传统和人大审议方式的制约, 个人信息保护法不可能面面俱到, 而只能明确基本原则、基本制度、基本行为规范和法律责任, 在具体场景下的细化落实仍要依赖于其他法律、法规、规章、规范性文件乃至国家标准。因此, 个人信息保护法只有和其他法律有效协同, 才能让个人信息保护制度稳定性和开放性兼备, 此谓“法网恢恢, 疏而不漏”.
其次, 综合立法有利于破解分散执法的窘境。2017年8月, 就在《网络安全法》生效后2个月内, 中央网信办、工信部、公安部、国家标准委联合开展“个人信息保护提升行动”, 对微信、淘宝等10款网络产品和服务的隐私条款进行评审。这一举措既凸显出国家对个人信息保护的重视程度, 也反映出各部门分散执法的现状。分散执法固然有着精细执法和权力制衡的优点, 但若不能妥善处理部门之间的分工合作关系, 则会造成或重复执法或执法无力的权力冲突, 进而对执法机关的权威性造成严重损害。2018年初, 中央网信办和工信部就支付宝年度账单事件, 分别对涉事企业进行了单独约谈, 便是一个鲜明的例子。而本届政府大刀阔斧的大部制改革, 特别是反垄断执行权统一、保监会和银监会的合并, 恰恰是对之前“九龙治水”的纠偏。延续这一思路, 同时考虑到个人信息保护已突破互联网行业的藩篱, 作为综合性法律的个人信息保护法的执法, 最好交由更具独立性和全局视野的机关负责, 国家网信部门显然是不二选择。当然, 有关刑事、金融、医疗等特殊领域, 其主管部门亦应在法定职责范围内承担个人信息保护职责, 并接受国家网信部门的统筹、协调和指导。
三、国内法和国际法的关系
“信息想要自由” (Information wants to be free) , 数字化的信息更是如此。凭借着互联网的时空压缩技术, 个人信息能够近乎零成本地跨境流动, 这为主权国家的管辖和监管带来了新的挑战。事实上, 个人信息早已成为各国博弈的焦点。在欧洲, 无论是过去的“安全港协议” (Outdated Safe Harbor) 或当下的“隐私盾协议” (Unstable Privacy Shield) , 还是GDPR, 都将个人信息保护程度作为处理国际经济和政治关系的关键一环。无独有偶, 从亚太经合组织 (APEC) 建立跨境商业个人隐私保护规则体系 (CBPR) 到美国主导的TPP, 再到CLOUD法案, 个人信息保护早已突破了国内法的藩篱, 成为国际法上的重要议题。为此, 我国个人信息保护法必须考量全球背景, 深入把握国际形势, 方能未雨绸缪, 从容应对。
(一) 欧盟GDPR的域外效力
随着号称“史上最严”的个人信息保护法律---GDPR的实施, 欧盟必将以此为抓手向全球扩张其影响力, 并为世界个人信息保护法竖立新的标准。然而, 徒法不足以自行。GDPR的全球影响力有赖于它的两大工具---域外管辖权和数据跨境流动的管制。
1. 域外管辖权
GDPR在常规的属地管辖---对其领土内人、事、物的管辖---之外, 另外引入了个人信息的保护管辖, 即以保护欧盟内自然人利益为宗旨, 不论数据控制者或处理者在欧盟之内还是欧盟之外, 也不论处理行为是在欧盟之内还是之外发生, 均适用欧盟法律。保护管辖是GDPR对1995年欧盟《第95/46/EC号保护个人在数据处理和自动移动中权利的指令》的主要调整之一, 它大大拓展了欧盟的域外管辖范围。但与此同时, 保护管辖权不可避免地对他国主权造成妨碍, 因此, GDPR第3条第2款对“适用主体”和“适用行为”予以细化。
就适用主体而言, GDPR将保护主体限定为“欧盟境内的数据主体”.这一看似清晰的界定可能因以下情形而模糊:如果一名德国人被派往中国工作, 他在北京使用中国互联网企业的网约车服务, 那么是否受到GDPR的保护?再如, 一名中国旅行者在巴黎用中国互联网企业的APP搜寻美食, 则这名旅行者和中国企业又是否受制于GDPR呢?在第一个例子中, GDPR关于“位于欧盟境内” (who are in the Union) 的表述, 足以将北京的德国人排除在外。不过, 若他回到欧盟后, 中国企业仍持续收集、存储或使用其个人信息, 则有可能触发保护管辖权。较之第一个例子, 第二个例子在字面上落入了GDPR的范围内。GDPR序言第14条规定:“个人信息的处理旨在服务于人。无论自然人的国籍或居住地, 就个人信息处理而言, 保护自然人的原则和规则均应尊重其基本权利和自由, 特别是保护其个人信息的权利。”虽然这里提及了“无论何国”, 但它究竟是指任何欧盟成员国抑或欧盟以外的国家, 尚不清楚。在文义解释不敷适用时, 有必要求诸立法目的解释。对此, 欧盟委员会在发布的改革公告中特别指出:GDPR取代了《第95/46/EC号保护个人在数据处理和自动移动中权利的指令》, 其旨在协调欧洲各国的数据隐私法律, 保护和赋予所有欧洲公民的数据隐私权利, 从而在整个地区重塑组织对待数据隐私的方式。因而, 从保护“欧洲公民”的目的出发, 中国游客并非GDPR的保护主体。当然, 若中国公民在欧洲长期居留, 以至于获得了类似于“公民”的身份, 则可以成为GDRP的适用对象。
就适用条件而言, 在欧盟以外的企业只有在下述两种情形下才受到GDPR的管辖:1) 为欧盟境内的数据主体提供货物或服务, 不论有偿或无偿;2) 对数据主体在欧盟境内的行为进行监控。第一种情形的关键在于判断企业是否存在接触欧盟消费者的“真实意思”.根据GDPR序言第23、24条和欧盟法院的判决, 提供英文网页、电子邮箱或其他联系细节, 尚不足以认定, 其“真意”应当综合考量各种因素:1) 表面证据:如向谷歌等搜索网站或Facebook等社交媒体付费, 以期便利欧盟公民接触到相关网站或向目标群体推送。2) 其他因素:包括相关活动的“跨国因素” (如旅游) , 提供国际区号的电话号码, 使用欧盟国家的顶级域名, 宣称其用户来自欧洲国家, 接受欧元支付或为外汇兑换提供选项, 提及欧盟内交付方式, 使用欧盟外国家不经常使用的语言或提供翻译, 等等。
第二种情形的关键在于判断“监控” (monitor) 的范围。根据GDPR序言第24条, “监控”即在互联网上追踪特定自然人, 利用个人信息为特定个人画像, 以分析、评估和预测该人的工作表现、兴趣、个人喜好、可信度和行为举止。第29条工作组 (The Article 29 Working Party) 进一步列出了具体的监控类型, 包括基于在线活动的广告、使用城市公交系统获得旅行数据、为了风控目的的信用评分、通过手机的地址追踪、利用可穿戴设备的健康数据搜集、通过车载电脑和智能家居的数据搜集, 等等。
2. 个人信息的跨境管控
个人信息的跨境转移使得个人信息被泄露、破坏、滥用的风险大大增加, 为了在保障个人信息安全的基础上, 促进信息的自由流动, 许多国家均就境内机构向境外转移个人信息的问题做出规定。GDPR沿袭《第95/46/EC号保护个人在数据处理和自动移动中权利的指令》, 将充分性认定 (adequate decision) 作为个人信息跨境流动的首要途径。简言之, 只有当第三方国家通过相关国内法或国际承诺, 对个人数据提供充分保护 (adequate level of protection) 时, 才允许将欧盟公民个人信息转移、存储到该第三方国家进行处理。充分性标准包括该国的个人数据保护整体水平、数据流动现状以及与欧盟的政治和贸易关系、秉持的价值观和目标等。
针对跨国公司从欧盟向未达到充分性标准的国家转移个人信息的需求, GDPR确立了“约束力公司规则” (Binding Corporate Rules) 制度。在满足透明度、数据质量、数据安全在内的隐私原则以及设立审计、培训、投诉处理体系有效性制度的前提下, 个人信息可以在跨国公司集团内部的分支机构之间流动。“约束力公司规则”不仅在集团内发生效力, 外部用户也可以据此向指定的责任承担机构就自己受到的损害主张赔偿。[21]此外, 为了解决不同公司之间的个人信息跨境流动问题, GDPR采取了“标准合同条款” (Standard Contractual Clauses) 制度, 即基于“数据控制者到数据控制者之间的转移”、“数据控制者到数据处理者之间的转移”的合同范本, 明确欧盟内个人信息输出方的义务和欧盟外个人信息接收方的保护责任, 从而间接提供对个人信息的保护。
(二) 美国CLOUD法案的主权扩张
关于信息主权边界的分歧由来已久。在《网络活动适用国际法塔林手册2.0》的起草过程中, 有学者主张, 在没有国际法明确限制的前提下, 国家能够对存储或传输至境外的公民个人信息行使包括管辖权;但多数专家认为, 数据信息一旦存储或传输至境外, 便脱离了国内的网络基础设施、公民和网络活动, 因此国家对该等信息不得行使主权。[22]1516CLOUD法案出台, 表明美国已经选择了前一种立场, 其改变了《存储通信法》 (Stored Communication Act) 的模糊规定, 旗帜鲜明地采取了“数据控制者标准”, 即美国可以通过法律程序 (legal process) 取得相关公司的所有数据, 无论其存储于何处 (即使存储于美国境外) .显然, 这一举措将美国的信息主权从领土边界延伸到技术上的“控制边界”.考虑到这一边界的不确定性, CLOUD法案将如下因素作为锚点:
其一, 主体锚点。CLOUD法案一般适用于总部在美国或者在美国注册的公司, 只有在与美国发生充分联系的情况下, 才适用于境外公司。 (1) 同时, 其适用对象限定在两类科技公司上, 分别是电子通信服务 (ECS) 提供商, 即“为用户提供发送或接受电子邮件、电话和其他电子通讯服务的科技公司, 以及远程计算服务 (RCS) 提供商, 即远程计算服务 (RCS) 提供商。
其二, 行为锚点。CLOUD法案将科技公司拥有 (possession) 、保管 (custody) 或控制 (control) 数据作为要件。这里的”拥有、保管或控制“数据既包括公司享有取得数据的合法权利, 也包括公司在技术上可以实际获得数据。一旦被认定, 则尽管数据存储在美国境外, 执法机关亦可通过相应的法律程序要求其提供数据。为了消解可能的主权冲突, CLOUD法案在正反两方面提出了补救。从反面观察, 其增加了数据主权的自我限制, 即在下述条件均满足的条件下, 可以撤销或修正相关法律程序:1) 所要求的披露将导致科技公司违反外国政府的法律;2) 用户不是美国公民, 也不居住在美国的情况下;3) 根据司法利益的整体衡量情况, 为维护司法公正, 该法律程序应被修改或撤销。从正面观察, 其向他国让渡了部分数据主权, 允许”适格外国政府“ (qualifying foreign governments) 向美国境内的组织直接发出调取数据的命令。
(三) 个人信息跨境流动的多边协定
2014年, 亚太经济合作组织 (APEC) 签署了《APEC隐私保护框架》 (APEC Privacy Framework) , 以期协调统一跨境交易中各国和地区的数据传输规则和标准, 实现跨境电子交易中个人信息的有效保护。该框架包含了个人信息保护的九大原则, 分别是”防止损害原则“”告知原则“”限制收集原则“”使用原则“”选择原则“”个人信息完整性原则“”安全保障原则“”查阅和修正原则“”问责原则“.[23]252为落实《APEC隐私保护框架》, 2011年, APEC第19次领导人非正式会议发表《檀香山宣言》, 声明实施”跨境隐私规则体系“ (CBPR) .基于此, 如果处于不同国家的不同公司, 统一承诺并遵循上述九大个人信息保护原则, 则个人数据在这些公司之间流动就应该不受阻碍。易言之, 若该等公司均通过同一套原则保护个人信息, 则参与CBPR的国家就不得再以保护个人信息为理由, 阻碍个人信息的跨境流动。
与上述规定类似, 跨太平洋伙伴关系协定 (TPP) 第14章第8条”个人信息保护“ (Personal Information Protection) 规定:保护个人信息对于电子商务开展十分重要, 各签署国有义务对个人信息开展保护。其注释6进一步说明:”为了更大程度的确定性, 一国可通过以下方式履行该段所规定的义务:采用或保持诸如一部统一的隐私、个人信息、个人数据保护法律, 特定部门或行业的隐私保护法律, 或能够监督企业自愿开展的与隐私相关举措的法律。“
(四) 我国个人信息保护法的应对之道
个人信息的国际规则为我国个人信息法提供了借鉴与警示。首先, 在个人信息保护原则实质趋同的背景下, 我国应参考欧盟、美国、APEC的个人信息保护规则, 提升个人信息保护标准, 确立个人信息保护的合法性原则、个人参与原则、公开透明原则、同意原则、目的明确原则、目的限定原则、信息质量原则、信息安全原则、敏感个人信息特别保护原则、未成年人个人信息特别保护的基本原则, 以此作为国际谈判和条约达成的基础。
其次, 尽管我国《网络安全法》第75条明示”境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动, 造成严重后果的, 依法追究法律责任“, 但范围过窄, 并不涵盖有损个人信息权的情形。为此, 我国应引入”保护管辖权“, 对境外侵害我国公民个人信息的行为开展调查并追究法律责任。同时, 应对”网络运营者“做广义解释, 其不仅包括在我国境内设立实体的机构, 还包括了没有实体但实际开展业务的组织或个人, 借此充实我国的管辖范围。
最后, 我国应审慎而务实设计个人信息的出境规则, 在发展数字市场和维护数据主权之间获得平衡。一方面, 我国要坚决维护我国公民个人信息权利, 加强《网络安全法》第37条的制度设计, 明确规定, ”外国司法和执法机关直接调取我国境内存储的个人信息数据, 应经主管监管部门的批准, 方可向境外提供“.另一方面, 包括个人信息在内的数据流动是数字经济的必然要求, 在中国企业”走出去“和”一带一路“建设的宏观背景下, 我国应积极消除国家之间的数据壁垒, 为个人信息的存储和处理提供适当的流动原则。为此, 个人信息保护法一方面要为我国参与双边或多边的国际协议埋下伏笔, 另一方面也要借鉴”约束力公司规则“”标准合同条款“”跨境隐私规则体系“等软法, 推动非国家主体参与国际规制制定, 通过行业的自我规制, 实现我国企业与境外机构之间的个人信息合理流动。
代结语:《个人信息保护法》 (专家建议稿) 的尝试
个人信息保护法横跨民法、行政法、国际法等不同的法律部门, 关涉科技、商业和国际政治等不同领域, 具有典型的跨学科特色。这也决定了个人信息保护法的立法工作不可能一蹴而就, 其完成端赖于扎实的实证研究和精深的理论研究。在这一思路的指导下, 我们起草了《个人信息保护法》 (专家建议稿) , 希冀为未来《个人信息保护法》的制定做出有益探索。
本建议稿是我国学界就个人信息保护起草的第三部、也是最新的一部专家建议稿。 (1) 与之前的研究不同, 本建议稿的特色在于:整合了全国人大常委会《关于加强网络信息保护的决定》《刑法修正案 (七) 》《刑法修正案 (九) 》《消费者权益保护法》《网络安全法》等国内最新的立法进展;吸收了欧盟GDPR、日本2015年修订的《个人信息保护法》等国外先进的法律制度, 回应了新时期技术、经济和社会的变迁, 有效平衡了多方的利益。本建议稿力求博观而约取, 厚积而薄发, 立足中国实践, 最终形成符合国情的个人信息保护统一规范, 从而增强社会各界对个人信息保护的认识和信心, 提升个人信息保护法治水平, 推动数据产业发展和国家信息化进程。
本建议稿采取综合立法的模式和总分的章节结构, 共分为九章。其中, 第一、二、三章是总论部分, 规定了《个人信息保护法》的一般规定、个人信息保护的基本原则和基本制度, 明确了政府、企业、行业、社会等多方主体共同构建和维护个人信息保护秩序的框架。第四、五章是行为准则部分。尽管信息业者和国家机关对于个人信息均存在利用需求, 但两者的法律地位、利用目的、使用场景迥然不同, 不宜统一规定, 所以用独立的两章并列规定。本建议稿一方面考虑到个人信息利用的共性, 在两章的”一般行为规定“中采取了类似的结构, 均规定了个人信息处理的正当性依据、告知义务、免于告知的情形、目的限定及其例外、有效同意等基本内容;另一方面考虑到信息业者和国家机关的个性, 在第四章特别规范了信息业者商业营销行为, 第五章则对国家机关信息主动公开中的个人信息保护、个人统一身份识别代码认证与查询许可等制度, 加以具体规定。第六、七、八章是个人信息保护的落实和保障部分。第六章从社会共治的理念出发, 在坚持国家网信部门核心地位的同时, 充分发挥新闻监督、社会监督和公共参与的作用。第七章确立了个人信息保护组织调解、主管部门投诉、公益诉讼和行政救济多元并举的纠纷解决制度。常言道:”没有牙齿的法律是无用的法律。“当前个人信息保护的困境很大程度上源于法律威慑不足。因此, 本建议稿第八章用12个条文详细规定了信息业者、个人信息保护服务机构、数据交易服务机构、网络产品服务提供者、国家机关、监管部门的法律责任, 力求使之成为一部可执行、有实效的法律。第九章为附则, 主要对本建议稿中所使用的术语进行了统一界定。
我国个人信息保护法前路漫漫, 而”大道以多歧亡羊“.为此, 个人信息保护法的起草, 亦应秉持多方参与的网络治理原则, 就重大问题集思广益、权衡利弊、锚定立场, 以期”壹引起纲, 万目皆张“.
参考文献
[1]刘晗:《隐私权、言论自由与中国网民文化:人肉搜索的规制困境》, 《中外法学》, 2011年4期。
[2]《”徐玉玉被电信诈骗案“一审宣判陈文辉获无期徒刑》, 2017年7月19日。
[3]DG.The Digital University in 2020. 2012-12-01.
[4]中国信息通信研究院:《中国大数据发展调查报告 (2017年) 》, 2017年3月15日。
[5]张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》, 《中国法学》, 2015年3期。
[6]许可:《陷入年度账单风波的支付宝做错了什么?》, 2018年5月21日。
[7]《扎克伯格暗示未来将推出付费版facebook》,2018年6月29日。
[8]Narayanan A, Huey J, Felten E W.A precautionary approach to Big Data Privacy. 2015-03-19.
[9]Ohm P.Broken promises of privacy:Responding to the surprising failure of anonymization.UCLA Law Review, 2010, 57 (6) :1701-1777.
[10]韩旭至:《大数据时代下匿名信息的法律规制》, 《大连理工大学学报》 (社会科学版) , 2018年4期。
[11]张新宝:《隐私权的法律保护》, 北京:群众出版社, 2004年。
[12]Westin A F.Privacy and freedom.Washington and Lee Law Review, 1968, 25 (1) :166-170.
[13]Solove D J, Schwartz P.Information Privacy Law.New York:Wolters Kluwer Law&Business, 2014.
[14]贺栩栩:《比较法上的个人信息自决权》, 《比较法研究》, 2013年2期。
[15]谢远扬:《信息论视角下个人信息的价值》, 《清华法学》, 2015年3期。
[16]张新宝:《中华人民共和国民法总则释义》, 北京:中国人民大学出版社, 2017年。
[17]王利明:《论个人信息权在人格权法中的地位》, 《苏州大学学报》, 2012年6期。
[18]《Facebook数据泄密丑闻继续发酵》, 2018年3月21日。
[19]洪延青:《以管理为基础的规制--对网络运营者安全保护义务的重构》, 《环球法律评论》, 2016年4期。
[20]Banisar D, Davies S.Global trends in privacy protection:An international survey of privacy, data Protection, and surveillance laws and developments, 18 J.Marshall J.Computer&Info.Law, 1999, (1) :1-112.
[21]王楠:《个人信息跨境转移的法律保护》, 《重庆工商大学学报》 (社会科学版) , 2016年1期。
[22]Schmitt M N (eds.) Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations.Cambridge:Cambridge University Press, 2017.
[23]王融:《大数据时代数据保护与流动规则》, 北京:人民邮电出版社, 2017年。
注释
1 R.v.Department of Health, ex parte Source Informatics Ltd., [1999]All ER (D) 563.
2 Planned Parenthood v.Casey, 505 U.S.833.
3 Gucci Am.v.Weixing Li, 135 F.Supp.3d 87 (S.D.N.Y.2015) .
4 之前两部分别是周汉华研究员牵头负责的个人数据保护法研究课题组所起草的《中华人民共和国个人信息保护法 (专家建议稿) 》、广西大学法学院的齐爱民教授拟定的《中华人民共和国个人信息保护法示范法草案学者建议稿》。