我国“个人信息保护法”的现状与走向
2018-12-21魏永征
◎魏永征
一、信息时代个人信息保护成为难点
悖论和责任是一对矛盾,现在我们个人的信息保护就是一个悖论。个人信息在三种社会形态中进化转变,农业社会,人民老死不相往来;工业社会,开始提出隐私权;信息社会,自己信息自己控制。我们购物、旅游、聊天、阅读等各种活动,都会留下个人的数据与信息,因为我们处在网络时代。我们非但离不开互联网,反而卷入互联网越来越深。
我们每天都把自己的隐私留在网上,时常面临隐私被非法泄露所带来的侵害。现在有一个说法:2018年是个人信息保护元年。对此,并非指现在才开始保护个人信息,而是这样的趋势于今年到了一个高潮。例如,全国人大常委会宣布把《个人信息保护法》列入五年立法计划,还有欧盟《通用数据保护条例》开始生效,它规制任何发生在欧盟境内的数据处理行为,包括任何为欧盟境内数据主体提供产品和服务的企业,所以对我国互联网企业也有影响,有人称为“史上最严个人信息保护法”。
二、目前我国保护个人信息的基本规范
目前,中国对个人信息的保护规范主要是“两法一决定”加“一个罪名”,即《消费者权益保护法》、《网络安全法》、全国人大常委会《关于加强网络信息保护的决定》以及《刑法》第253条中的“侵犯个人信息罪”。《民法总则》中第111条“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”2014年《消费者权益保护法》把人大 《关于加强网络信息保护的决定》基本内容写入了法律。这“两法一决定”称得上《民法总则》“依法”的具体化,再加上一个《刑法》罪名:侵犯个人信息罪。这是现在我国保护个人信息的基本规范。
国家机关有相关措施惩处侵犯个人信息与非法获取信息的行为。个人信息的保护可以分为两个方面。一方面是行政与刑法的保护,即公法保护;另一方面是民法保护,即私法保护。
三、我国个人信息保护存在的不足
我国的个人信息保护仍有不足:第一,个人对于自己的信息的知情权得不到保障。GDPR中第15条对访问权或接近权是有具体规定的,本人可以获悉自己的个人信息在什么地方,将被如何使用,以及是否会被转移到第三者,在我国现行法律找不到这样的规定。如此,没有知情权便不能行使删除权(被遗忘权)和更正权,我们无法判定需要对个人信息进行删除与更正的具体情境。第二,没有就国家机关收集和处理个人信息的义务和责任作出规定。“两法一决定”,全国人大常委会《关于加强网络信息保护的决定》中规定责任主体是“互联网服务提供者和其他企业事业单位”;《消费者权益保护法》规定责任主体是“经营者”;《网络安全法》规定责任主体是网络运营者;《刑法》规定责任主体是自然人,没有“单位犯罪”的规定。这样就带来启动救济渠道的问题。个人信息保护法的发展,我们还在路上。
四、我国个人信息保护法的发展
与欧盟《一般数据保护条例》出现的同时,我国丰富了国家标准,这个标准是比较全面的,规定了信息主体的访问、删除、更正、撤回同意、撤销等权利,其中访问权与欧盟的相似。但这是一个推荐性国家标准,不具备强制力。2017年,人大常委吴晓灵等向人大提交了《关于制定〈中国人民共和国个人信息保护法〉的议案》,该议案考虑把国家机关搜集、处理和利用个人信息的责任和义务放在突出地位。
但是我们要充分理解中国的国情。最近的 “滴滴惨案”发生后,滴滴老板程维提出的措施就是同公安联合,共建用户安全保护机制,高效响应各地公安部门的依法调证需求,并且启动测试已开发完成的警方自助查询系统。就是说滴滴在运营中获取个人信息可以随时同公安共享,以便及时得到警方保护。这符合我国传统习惯,我国公民认为政府是老百姓最可靠的保护者,愿意将信息提供给政府,这与西方的意识形态不一样。既要让政府掌握个人信息保护自己,又要避免公共权力过度扩张侵犯个人权益,这便是一种“悖论”。
五、个人信息保护要根据国情建立起中国特色
我们要从整个国家法律体系层面来考察个人信息保护。《国家安全法》中有关于网络安全的内容。《网络安全法》下有设施安全、运行安全、信息安全、内容安全,信息安全里包含个人的信息安全。在这个体系里,个人信息安全是总体国家安全体系中的一部分。2012年全国人大常委会《关于加强网络信息保护的决定》决定,其核心是实名制,主要目的就是为了保护总体国家安全和社会安全。根据2015年出台的反恐法,包括电信、互联网、金融、住宿、长途客运等等,都要求我们将个人身份信息提交给经营者、服务者。我们可以从两个方面理解:第一,个人安全是国家安全的一部分,为了国家安全,要保护个人安全;第二,国家安全高于个人安全,为了国家安全,国家需要知道诸多个人信息,这是具有中国特色的制度,也是中国固有的意识形态。
近期,个人信息保护法被宣布列入十三届全国人大五年全国立法规划,这对于我们研究个人信息保护法是一个重要的课题。对于我国个人信息保护法而言,特别是其中如何处理好政府、企业与个人三者之间的关系,既不能照搬欧盟,也不应仿效美国,必须根据中国国情,建立中国特色的制度。