《中華人民共和國國民經濟和社會發展第十四個五年規劃和 2035 年遠景目標綱要》(以下簡稱:“十四五”規劃綱要)提出:“加強涉及國家利益、商業秘密、個人隱私的數據保護,加快推進數據安全、個人信息保護等領域基礎性立法,強化數據資源全生命周期安全保護。” 加快推進個人信息保護立法,必須恪守“以人民為中心”的理念,構建“以人為本”的個人信息保護法律制度,提升人民群眾的獲得感、幸福感、安全感。
一、認識“個人信息”和“個人數據”
網絡時代,“數據”(Data)和“信息”(Information)是使用頻率最高的兩個詞匯,經常被政府規范性文件甚至法律視為同一概念。目前,在各國的個人信息(數據)保護立法中,多數國家將“個人信息”表述為“個人數據”。如歐盟《個人數據保護指令》第 2 條(a)規定,個人數據指“與一個人身份已被識別或者身份可以識別的自然人(數據主體)相關的任何信息”;法國《數據處理、數據文件及個人自由法》第 2 條第 1 款規定,個人數據指“可以通過身份證號碼、一項或多項個人特有因素被肢解或間接識別的自然人相關的任何信息”;德國《聯邦數據保護法》第 3 節規定,個人數據指“任何關于一個已識別的或者可識別的個人(數據主體)的私人或者具體狀態的信息”。
我國《網絡安全法》第七十六條對“網絡數據”給出的定義是:“網絡數據,是指通過網絡收集、存儲、傳輸、處理和產生的各種電子數據”。全國人大常委會公布的《數據安全法(草案)》第三條第一款對“數據”的定義是:“數據是指任何以電子或者非電子形式對信息的記錄”;第三條第二款將“數據的收集、存儲、加工、使用、提供、交易、公開等行為”定義為“數據活動”。
關于“個人信息”的內涵,《網絡安全法》主要突出“識別自然人個人身份的各種信息”,《民法典》則突出強調“識別特定自然人的各種信息”,但是上述兩部法律對“個人信息”的判斷和定義基本采用了兩條識別路徑:一是信息的單獨識別性,其基本識別路徑是鑒于信息本身的特殊性,識別出特定的自然人,如姓名、出生日期、身份證件號碼、家庭住址等,從這些信息直接識別出特定的個人;二是信息的關聯識別性,基本路徑是已知特定的自然人,由該特定自然人在其活動中產生的信息,如生物識別信息、個人位置信息、個人通話記錄、個人瀏覽記錄等。
可見,純粹的“電子數據”是附著在電子信息系統載體的客觀事物記錄,是未經過處理的原始記錄,一般不具有“可識別”性。數字時代的“個人信息”主要是以電子方式記錄,能夠單獨或者與其他信息結合識別特定自然人的信息,而“數據”之前加“個人”,即“個人數據”也屬于“個人可識別信息”(PII)。因此,無論是“個人信息”或“個人數據”,均具有已識別或可識別自然人(數據主體)相關信息的特征,兩者應屬于意義相同或相近的詞語。
二、強化對個人隱私和敏感信息的保護
2018 年 4 月 20 日,習近平總書記在全國網絡安全和信息化工作會議講話中強調,要維護人民群眾合法權益 , 依法嚴厲打擊網絡黑客、電信網絡詐騙、侵犯公民個人隱私等違法犯罪行為。“十四五”規劃綱要明確要求,要加強涉及個人隱私數據的保護。
當前,從國際組織和國外一些立法經驗看,包括《通用數據保護條例》(GDPR)、經合組織(OECD)“隱私框架”、亞太經合組織(APEC)“隱私框架”、歐美隱私盾(EU-US Privacy Shield)協議、美國《消費者隱私權法案》(Consumer Privacy Billof Rights)、《美國加利福尼亞消費者隱私法案》(California Consumer Privacy Act,CCPA)等個人隱私信息保護方面的立法,均強調未經被收集者同意,不得收集和向他人提供個人隱私信息,突出知情權、明示同意權、訪問權、注銷權、撤回權、封鎖權、更正權、刪除權等“個人信息權”,特別是 CCPA,規定了異常嚴格的個人信息使用規則,要求各個公司必須通知用戶他們的私人數據將被如何使用,并且需要為用戶提供“直接退出”的工具。
我國《民法典》人格權編設專章對隱私權保護進行了詳細規定,特別是首次對隱私權的概念和保護范圍作出明確具體的規定。《民法典》第 1032 條規定:“自然人享有隱私權。任何組織或者個人不得以刺探、侵擾、泄露、公開等方式侵害他人的隱私權。隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息。”關于個人信息中隱私信息的保護,《民法典》明確規定:“個人信息中的私密信息,適用有關隱私權的規定;沒有規定的,適用有關個人信息保護的規定。” 這一規定不僅強化了對個人隱私信息的保護,也為正在制定中的《個人信息保護法》對自然人個人隱私信息的保護留出了立法空間。
我國正在制定的《個人信息保護法(草案)》(以下稱《草案》)沒有對隱私信息做出專門規定,而是將個人信息分為敏感信息和非敏感信息,并設專節對處理敏感個人信息作出了嚴格的限制性規定,即只有在具有特定的目的和充分的必要性的情形下,方可處理敏感個人信息,并且應當取得個人的單獨同意或者書面同意。《草案》對“敏感個人信息”的定義是:“一旦泄露或者非法使用,可能導致個人受到歧視或者人身、財產安全受到嚴重危害的個人信息 , 包括種族、民族、宗教信仰、個人生物特征、醫療健康、金融賬戶、個人行蹤等信息。”
個人隱私信息與個人敏感信息既有聯系也有區別,隱私信息主要是從自然人的人格權角度來判斷,且主要是精神層面的人格權,涉及自然人享有的私人生活安寧與私密信息不被搜集、利用和公開;判斷個人信息中的敏感信息主要是從損害結果的角度判斷,即個人敏感信息一旦泄露或者非法使用,可能導致個人受到歧視或者人身、財產安全受到嚴重危害,比如宗教信仰信息、個人生物特征信息、醫療健康信息、金融賬戶信息、基因信息、個人行蹤信息等。
《個人信息保護法》作為保護個人信息的基礎性立法,應堅持以人民為中心,對涉及公民隱私信息和公民不愿意他人知道的財產信息實施雙重保護,尤其是從個人信息被非法處理可能產生的危害后果出發,對個人信息實行分級分類,進一步突出對個人隱私和敏感信息的保護力度,在確保公民隱私權和財產權不受非法侵害的基礎上,促進個人信息資源在“合法、正當、必要”以及“知情同意”的法定原則框架內有限度地適當處理和利用。
三、構建“以人為本”的個人信息處理規則
目前,我國有關個人信息的處理規則,主要是適用“合法、正當、必要”,該處理規則最早以法律形式出現在 2013 年修訂的《消費者權益保護法》第二十九條:“經營者收集、使用消費者個人信息,應當遵循合法、正當、必要的原則,明示收集、使用信息的目的、方式和范圍,并經消費者同意。”2017 年 6 月 1 日起施行的《網絡安全法》第 41 條采納這一原則規定:“網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意。”
《民法典》第 1035 條除規定“處理個人信息的,應當遵循合法、正當、必要原則”外,還強調“不得過度處理”,并附帶了四個法定條件:一是征得該自然人或者其監護人同意,但是法律、行政法規另有規定的除外;二是公開處理信息的規則;三是明示處理信息的目的、方式和范圍;四是不違反法律、行政法規的規定和雙方的約定。
《民法典》第 1035 條有關個人信息的處理規則與《網絡安全法》和《消費者權益保護法》基本一致,明確“應當遵循合法、正當、必要原則”,但是《網絡安全法》和《消費者權益保護法》在“個人信息”之前使用兩個動詞“收集、使用”,即“收集、使用個人信息”,而《民法典》第 1035 條在“個人信息”之前只使用了一個動詞“處理”,即“處理個人信息”。實際上,在《民法典(草案)》第三次審議稿中,仍然采用“收集、處理自然人個人信息”的表述。“處理”是一個過程,本身包括“收集”,即收攏和聚合個人在電子信息系統載體上已經留下的個人信息(數據),同時涵蓋“加工、傳輸、提供、公開”等內容。正式實施的《民法典》第 1035 條刪去了“收集”,只保留“處理”,并對“個人信息的處理”的內涵進行了解釋,即“個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。”
《個人信息保護法(草案)》明確了個人信息處理應遵循的原則,并強調處理個人信息應當采用合法、正當的方式,具有明確、合理的目的,限于實現處理目的的最小范圍,公開處理規則,保證信息準確,采取安全保護措施等,并將上述原則貫穿于個人信息處理的全過程、各環節,體現了“以人為本”的個人信息處理規則。
《個人信息保護法(草案)》(二審稿)進一步明確了“以人為本”的個人信息處理規則,例如《草案》一審稿中第二十六條規定:“個人信息處理者不得公開其處理的個人信息,取得個人單獨同意或者法律、行政法規另有規定的除外。”在二審稿中刪除了“或者法律、行政法規另有規定”,只保留了“取得個人單獨同意的除外”;一審稿中第二十七條規定:“在公共場所安裝圖像采集、個人身份識別設備,應當為維護公共安全所必需 , 遵守國家有關規定 , 并設置顯著的提示標識。所收集的個人圖像、個人身份特征信息只能用于維護公共安全的目的,不得公開或者向他人提供,取得個人單獨同意或者法律、行政法規另有規定的除外。”在二審稿中刪除了“法律、行政法規另有規定”的除外原則,也只保留了“取得個人單獨同意的除外”。上述處理規則,遵循了“以人民為中心”的理念,體現了“以人為本”的個人信息保護規則。
四、嚴禁超范圍收集個人信息
截至 2020 年 12 月,我國手機上網人數達到了9.86 億人,國內市場監測到的移動互聯網應用程序(App)數量高達 345 萬款,App 幾乎完全取代瀏覽器成為最大流量入口。當前,大量 App存在強制授權、過度索權、超范圍收集個人信息的情形,尤其是違法違規使用個人信息的問題十分突出,已經毫無規則和底線,廣大網民深惡痛絕。
近幾年,盡管相關部門不斷查處各類違規 App,細化各項隱私政策和規范,起到了一定的震懾作用,但是 App 超范圍收集和使用個人信息等行為依然嚴重。對于治理 App 過度收集個人信息的問題,人民群眾呼吁應當依法明確“必要個人信息范圍”,只要超過“必要個人信息范圍”的收集和處理行為,必須堅決予以打擊和懲處。
針對 App 超范圍收集個人信息的亂象,國家網信辦、工信部、公安部、國家市場監督管理總局聯合發布了《常見類型移動互聯網應用程序必要個人信息范圍規定》,對“必要個人信息”做出了定義,即“保障 App 基本功能服務正常運行所必需的個人信息,缺少該信息 App 即無法實現基本功能服務。具體是指消費側用戶個人信息,不包括服務供給側用戶個人信息。” 該定義有以下特征:首先,必要個人信息是指保障 App 業務功能正常運行所最少夠用的個人信息;其次,所謂“必要個人信息”是指一旦缺少這些必要的信息將導致 App 服務無法實現或無法正常運行。
中共中央《法治社會建設實施綱要(2020-2025年)》提出,嚴格規范收集使用用戶身份、通信內容等個人信息行為,加大對非法獲取、泄露、出售、提供公民個人信息的違法犯罪行為的懲處力度。建議應當將四部委確立的“必要個人信息”法律化,提高法律位階,把這一制度納入正在審議的《個人信息保護法(草案)》。
五、構建企業數據合規體系和 DPO制度
“十四五”規劃綱要明確提出,推進產業數字化轉型,推動數據賦能全產業鏈協同轉型。在推進產業數字化轉型進程中,將呈現出互聯網企業傳統化,而傳統企業互聯網化的新趨勢。為保證企業對個人敏感數據和個人隱私數據處理和利用的合法合規,多數國家的數據保護法要求構建完善的數據合規體系,并確定專門的數據合規負責人。
GDPR 對企業合規處理個人數據提出明確要求。GDPR 第 6 條專門規定了“個人數據處理的合法性”:一是數據主體同意其個人數據為一個或多個特定目的處理;二是處理應為履行數據主體參與合同的必要行為,或處理是因數據主體在簽訂合同前的邀約而采取的措施;三是處理個人數據是為履行數據控制者所服從的法律義務之必要;四是處理個人數據是為了保護數據主體或另一個自然人的切身利益之必要;五是處理個人數據是為了執行公共利益領域的任務或行使數據控制者既定的公務職權之必要;六是為了控制人或第三方所追求的合法利益,處理是必要的,除非這種利益與保護個人數據的數據主體利益或基本權利和自由相沖突,特別是在數據主體是兒童的情況下,但是該項規定不適用于政府當局在履行其職責時進行的數據處理行為。
關于個人數據處理過程的安全性問題,GDPR 第32 條規定:考慮目前的工藝水平、實施成本、處理過程的性質、范圍、目的,以及自然人自由和權利所面對的不同可能性和嚴重性風險,控制者、處理者應當執行適當的技術和組織措施來保證合理應對風險的安全級別,尤其要酌定考慮以下因素:一是個人數據的匿名化和加密;二是確保處理系統和服務現行的保密性、完整性、可用性以及可恢復性;三是在發生物理事故或技術事故的情況下,恢復可用性以及及時獲取個人信息的能力;四是定期對技術措施以及組織措施的有效性進行測試、評估、評價處理,力求確保處理過程的安全性。
我國《個人信息保護法(草案)》明確規定了個人信息處理者的合規管理和保障個人信息安全等義務,要求其按照規定制定內部管理制度和操作規程,采取相應的安全技術措施,并指定負責人對其個人信息處理活動進行監督;定期對其個人信息活動進行合規審計;對處理敏感個人信息、向境外提供個人信息等高風險處理活動,事前進行風險評估;履行個人信息泄露通知和補救義務等。
《草案》(二審稿)第五十一條規定,個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人的影響、可能存在的安全風險等 , 采取必要措施確保個人信息處理活動符合法律、行政法規的規定 , 并防止未經授權的訪問以及個人信息泄露或者被竊取、篡改、刪除。對此,《草案》提出了六項具體要求:一是制定內部管理制度和操作規程;二是對個人信息實行分類管理;三是采取相應的加密、去標識化等安全技術措施;四是合理確定個人信息處理的操作權限 , 并定期對從業人員進行安全教育和培訓;五是制定并組織實施個人信息安全事件應急預案;六是法律、行政法規規定的其他措施。
數據保護官(Data Protection Officer,DPO)這一專職保護個人數據的負責人制度,是 GDPR 率先以法律形式確定的,GDPR 對 DPO 的任命提供了詳細指引。GDPR 要求,數據保護官的任命必須基于其專業素養,包括數據保護的法律及實踐知識,以及完成一系列數據保護官職責的能力。根據 GDPR的規定,數據保護官的職責,主要是為保護處理中的數據始終處于安全狀態,即個人數據不得被泄露、非法買賣、轉讓等。
借鑒 GDPR 的 DPO 制度,《草案》(二審稿)第五十二條規定,處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人,負責對個人信息處理活動以及采取的保護措施等進行監督。個人信息處理者應當公開個人信息保護負責人的姓名、聯系方式等 , 并報送履行個人信息保護職責的部門。
