2020年10月24日下午,“数字经济时代个人信息保护——《个人信息保护法(草案)》解读与展望”研讨会在上海社科院成功举行,来自政府部门、科研高校、互联网企业、律师事务所等不同机构的专家围绕“《个人信息保护法(草案)》”进行了深入的交流和研讨。

公安部第三研究所网络安全法律研究中心主任、研究员黄道丽在会上发表题为“《个人信息保护法(草案)》的立法思考”的主旨演讲。

《个人信息保护法(草案》与《网络安全法》《数据安全法》《民法典》的关系处理与自身的立法定位

作为网络安全综合性立法,2017年《网络安全法》将数据安全纳入网络安全范畴,基于网络安全保障目的为个人信息保护与数据安全的部分重要、核心制度奠定了基础。《网络安全法》施行已经三年有余,国际国内形势变化、新技术新应用发展都对数据安全和个人信息保护问题都提出了非常迫切的法律要求。从国家顶层设计角度来看,旨在通过《网络安全法》《数据安全法》《个人信息保护法》等共同加强国家整体网络安全保障工作。

2019年国家互联网信息办公室相继发布《数据安全管理办法(征求意见稿)》《个人信息出境安全评估办法(征求意见稿)》等多部《网络安全法》体系的下位配套文件,大力推进国家层面的数据治理规则构建和具体制度设计。执法实践层面,围绕个人信息非法采集和滥用、数据三性破坏等活动的数据安全专项治理行动空前有力。关于个人信息立法,《网络安全法》虽然在“网络信息安全”一章中规定了个人信息保护,但其并非针对个人信息保护制定的专门性立法。《个人信息保护法》的出台不仅有利于全方位保护个人信息安全, 对于人信息保护的基本原则和基本制度,特别是政府部门、企业等个人信息处理规则,以及个人信息保护的监督管理、侵权救济、法律责任等规范性要求方面做出更为合理的规定,弥补了《网络安全法》相关规范的缺失,为政府机构、企业等收集和处理个人信息提供具有可操作性的合规指引。此外,《民法典》《消费者权益保护法》《刑法》《刑事诉讼法》等规定将成为《个人信息保护法》的重要支撑,有效保障个人信息安全。

《个人信息保护法(草案)》的起草说明也说得非常清楚,要处理好与法律的关系,把握好权益保护的立法定位,重点要与《民法典》相关规定进行衔接,细化充实个人信息保护制度。同时要和《网络安全法》和《数据安全法》草案衔接。如果《网络安全法》和《数据安全法》中确定了网络和数据安全监管措施,那么《个人信息保护法》无需再做规定,类似的问题直接沿用《网络安全法》和《数据安全法》的规定即可。

与《数据安全法》《网络安全法》更加侧重国家安全与公共安全不同,《个人信息保护法(草案)更加侧重对个体个人信息权益的保障。例如草案确立的以个人“知情—同意”为核心的数据处理规则。专章规定的个人权利,对应的个人信息处理义务章节也是以落实个人信息权益为导向。采用了民法典“个人信息处理”的概念,遵循了民法典确定的信息处理者管理思路。从这一角度看,可以说,《个人信息保护法(草案)》是以《民法典》所确立的个人信息民事权益为基础,从国家监管角度,用公权力细化、落实个人信息民事合法权益的保障法。

草案很多条款以民法典的诸多规则为基础,例如个人信息共同处理者的连带责任就是以民事共同侵权理论为基础;个人信息处理委托方与受托方、转委托规则也以民事委托合同规则为基础。侵犯个人信息权益的赔偿标准是以因人身权益受侵害遭受财产损失的赔偿标准等等。

除个人权益保障之外,《草案》也注意到了个人信息处理对公共安全、国家安全,乃至国际竞争的影响。比如第10条是禁止性规定,纳入了国家安全和公共安全的考量因素;第42条规定了个人信息提供负面清单制度,“境外的组织、个人从事损害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施。”基于公共安全和国家安全的考量,可以参考第43条对等原则;第41条关于国际执法协助规定,与《数据安全法》现在的规定不一样,除了司法协助还加入了行政执法协助的考量。这些前期的《数据安全法(草案)》有类似规定也有所差异。

《个人信息保护法(草案)》的中国特色

《草案》与GDPR相比,在处理的合法性基础、数据主体权利、个人信息处理者义务方面引入了欧盟GDPR的理念和相关的规定,但具有典型的中国特色:

第一,个人信息处理者监管思路。GDPR区分控制者和处理者,但《草案》中提出了个人信息处理者的概念。第五章规定了个人信息处理者义务,基本是围绕着个人信息处理者所展开的。第69条将个人信息处理者规定为自主决定处理目的、处理方式等个人信息处理事项的组织、个人。《草案》没有对数据处理者设定注入DPO在内的个人信息保护义务。

第二,数据本地化和跨境。这是在《网络安全法》诸多制度设计中,一直没有较好地处理和落实的非常核心的关键问题。《草案》细化了个人信息本地化和跨境传输的要求,目前规定的部分内容突破了《网络安全法》第37条规定,本地化业务主体既包括国家机关、关键信息基础设施运营者,还包括处理个人信息达到规定数量的个人信息处理者。

相关思考建议

第一,需要细化考虑与《网络安全法》《数据安全法》的衔接问题。比如说草案第62条对违反处理个人信息规则的行政处罚规定与《网络安全法》中第64条对网络运营者和网络产品服务提供者违反了个人信息处理规定设定的行政处罚的竞合适用问题,两者的罚款条件、罚款最高额度都不相同。与《数据安全法》的衔接协调,包括不限于国际执法、司法协助审批制度、数据本地化与跨境、数据分级分类等问题。与《关键信息基础设施保护条例》的衔接,如关键信息基础设施的认定是否考虑其上的个人信息,数据本地化与跨境规则保持一致等。

第二,和民事立法的协调问题和民事规则的创新问题。首先,作为公法,个人信息保护法是否适宜直接规定民事赔偿标准以及民事归责原则有待商榷。其次,赔偿标准没有创新。草案诸多规定与《民法典》一脉相承,个人信息保护以民事权益为重要依据值得肯定。但部分规定未能体现民事规则在互联网时代的创新发展。第65条赔偿标准的确定沿用了侵权责任中侵犯他人人身权益造成财产损害的赔偿标准。在《民法典》将个人信息纳入人格权编的背景下,对个人信息权益的侵害适用对人身权益侵害的赔偿思路没有问题。但个人信息受损与传统的财产损害不同,仍采用传统的赔偿标准,未来个人损失,个人信息处理者所得利益如何确定都成为现实问题。