《個人資訊保護法》姍姍來遲,但開啟了一個時代的篇章。2021年8月20日,《個人資訊保護法》正式透過,並將於2021年11日1日正式施行。《個人資訊保護法》的誕生,標誌著我國網路資料法律體系中繼《網路安全法》《資料安全法》之後,具有重要意義的一塊拼圖終於落定,具有劃時代的意義。(為全面解讀《個人資訊保護法》條文及影響,本公號將陸續推出系列文章與報告)
一、走過近20年,終填補了
數字社會重要的法律板塊
數字時代的《個人資訊保護法》,是保障個人資訊權益乃至憲法性權利的基本法。《個人資訊保護法》第一條即開宗明義,為了保護個人資訊權益,規範個人資訊處理活動,促進個人資訊合理利用,根據憲法,制定本法。其中在立法依據中“根據憲法”這四個字,是在三審過程中加入的[1],這表明:我國將個人資訊受保護的權利提升至更高高度,其來源於《憲法》:國家尊重和保障人權,公民的人格尊嚴不受侵犯,公民的通訊自由和通訊秘密受法律保護。我國對於《個人資訊保護法》的關注起始於2003年,當時的國務院資訊化辦公室正式部署了立法研究工作,2005年相關學者完成了《個人資訊保護法(專家建議稿)》[2]。同期,我國網路資料立法整體加快。以2012年《全國人大關於加強網路資訊保護的決定》為開端,《網路安全法》(2016)、《電子商務法》(2017)陸續出臺。除了專門的網路法外,傳統法律的制定、修訂工作,也給予網路空間前所未有的關注:《消費者權益保護法(修訂)》(2013)、《刑法修正案》(九)(2015)、《民法總則》(2017)、《民法典《人格權編》(2020)都補充了個人資訊保護相關條款。這些散落在各個法律中的條款一定程度上回應了公眾的關切,但尚未全面建立起個人資訊保護法律體系。直至2018年9月,《個人資訊保護法》正式納入人大立法規劃,在歷經三年起草制定工作後,於2021年8月20日正式出臺。自此,我國終於形成了以《網路安全法》《資料安全法》《個人資訊保護法》三法為核心的網路法律體系,為數字時代的網路安全、資料安全、個人資訊權益保護提供了基礎制度保障。
二、經歷半個多世紀,確立了與
我國數字大國相匹配的法律制度
從全球來看,對於個人資訊保護問題的制度性回應,起源於19世紀六七十年代計算機的普及應用。當政府機構、大型跨國公司透過計算機大規模地處理公民個人資訊時,傳統法律中防禦性的、事後救濟性的“隱私權”已難以完全解決個人資訊非法收集和利用問題。私法領域的“隱私權”逐步發展為公法領域的個人資訊保護制度。即在未發生明確的隱私侵害後果之前,就透過行為規範方式,明確個人資訊處理的方式,包括知情同意、最小化、目的特定、保障安全與可問責等。70年代,歐美髮達國家率先完成個人資訊保護立法,在這半個世紀以來,個人資料保護立法持續在全球鋪開,目前已經有128個國家透過立法保護個人資訊和隱私[3]。如同數字化在全球依次展開,資料保護立法在不同國家呈現出不同的階段性特點。相比而言,發展中國家整體起步較晚,當前正在迎頭趕上。南非、巴西的個人資訊保護法,均在2020年前後生效,印度於2016年啟動個人資訊保護立法,目前仍處於草案階段。同樣,作為發展中國家,我國是在步入21世紀,伴隨移動網際網路快速發展,個人資訊收集處理成為一個社會問題之後,立法開始加速規範。在今天,我國網民數量已接近十億,在網路零售、社交網路、智慧城市、自動駕駛、產業網際網路數字化應用五彩紛呈之際,《個人資訊保護法》的出臺,生逢其時,標誌著與我國網路大國、數字大國相匹配的制度建設逐步走向成熟。
三、是步入“以人為本”
數字社會的制度里程碑
享受數字化技術便利的每位個體,也在為無所不在的資料處理感到深深不安。從移動網際網路、物聯網、無人駕駛、面部識別,到可穿戴裝置、智慧家居、醫療監測器械,資料驅動的創新背後,人們擔憂物聯網裝置的秘密記錄,無意中健康資訊的暴露,超出消費者授權的個人資料共享、信用卡欺詐、資料殺熟、名譽損害。重建數字時代每位個體的信心與信任,是數字社會實現文明、民主,以人為本的終極之問。我國《個人資訊保護法》明確了處理個人資訊必須具有合法性理由。基於個人同意處理資訊的,同意必須是在個人在充分知情的前提下自願、明確作出。對於十四歲以下未成年人個人資訊收集處理,身份特徵等敏感資訊的處理,規定了更為嚴格的法定條件。疫情期間“健康碼”的應用,依託資料資源匯聚、數字技術支撐,實現了動態精準化的數字治理,但在前期也存在著資料過度採集,資料處理不透明的問題,如“杭州健康變色碼”,將公民完全異化為資料評估物件並給予工具性評價[4]。在一切皆可被資料測量,皆可以被數字評判的今天,我們尤須心存對人格尊嚴的敬畏,對人本身的關懷。因此,《個人資訊保護法》並不止步於保障個體對個人資訊的處分,而是以人為核心,以人為本位的數字社會的權利界碑。
四、是與國際通用規則的
充分接軌
我國《個人資訊保護法》幾乎與國際個人資訊保護通用原則全面接軌。在立法模式上,採取了全球主流的,綜合性通用立法模式,適用於各行各業。特別是明確國家機關處理個人資訊,同樣適用《個人資訊保護法》,具有重要意義。在智慧城市、數字治理建設背景下,政府成為最主要的資料處據機構,政府機關遵循《個人資訊保護法》法律規範,在履行法定職責的範圍內,依法依規處理個人資訊,將在全社會起到身先示範效應,彰顯了我國政府在數字時代遵循法治理念的決心。在規範內容上,《個人資訊保護法》確立的基本原則、資料處理合法性基礎、個人資訊的分類(包括敏感資訊、匿名化資訊、去標識化資訊等類別),資料處理者的義務(包括資料洩露通知、個人隱私影響評估、文件化記錄)與國際立法雖仍有細微差別,但仍具有較強的相容性。在跨境資料流動等場景中,《個人資訊保護法》除了引入國際上一些較為成熟的做法,如標準合同機制外,還強調國家積極參與個人資訊保護國際規則的制定,推動與其他國家、地區、國際組織之間的個人資訊保護規則、標準等的互認,顯示了開放心態。個人資訊保護是數字時代各國面臨的共通問題,所應對的法律機制有著天然的相似性,趨於一致的規則體系也有利於避免法律的碎片問題,有助於數字經濟的全球化發展。
五、是為全球數字治理
貢獻的中國方案
如何平衡好個人權益保護與促進資料利用的關係,始終是個人資訊保護立法的核心命題。歐盟通用資料保護條例(GDPR)以“權利保護”而聞名於世,但也始終無法擺脫阻礙歐盟數字經濟發展的質疑。儘管法律機制有著共通性,但在探索數字時代個人資訊保護以及更為廣泛的資料治理政策框架的道路上,並沒有萬能的標準答案。歐盟GDPR、美國加州《隱私法》(CCPA&CPRA),也是依據本地區的政治、文化、產業發展基礎,量身定製的制度方案。中國自身的數字經濟發展規模和基礎,以及對未來發展的宏觀願景,都決定了在設計個人資訊保護的中國方案時,有著基於自身國情的特殊考量。這體現在整體上與國際規則接軌的同時,在具體機制上仍然有細微的差別。包括:擴充套件了域外適用效力,但適度有限;建立了個人的權利體系,但對於仍有爭議尚未看清的權利仍持謹慎態度,對我國社會公眾關注的大資料畫像、資料殺熟制定了專門條款;在跨境資料流動規則方面集中體現了作為發展中國家對於資料安全的優先考量。這些差異之處代表了發展中國家在數字經濟議題時,對個人權利保護,數字創新發展和國家資料安全的綜合平衡,也是中國在當前全球數字治理中的制度貢獻。