APP下载

个人信息保护立法面临的两难选择*

2021-04-04王新锐

信息安全与通信保密 2021年2期
关键词:控制者信息处理合法性

王新锐

(北京安理律师事务所,北京 100004)

0 引 言

个人信息保护不仅是法律问题,还要考虑数字经济的发展和公众的感受,因此经常面临很多矛盾。中国是个大国,现实情况千差万别,各个行业、各种场景都面临个人信息保护的问题,并且不同行业、不同场景下处理个人信息的需求以及对个人信息的保护方式均有其特殊性,而公众对个人信息保护的感受、看法又不尽相同。抽象的法律如何回应这种复杂性,是研究者在提意见时需要思考的,否则就容易“只见树木,不见森林”。

《个人信息保护法(草案)》(以下简称草案)公布后,不少条文看起来都似曾相识,曾出现在之前其他的规则中,或者和域外的立法相近。笔者团队一直在做国内个人信息法律法规和规范的汇编,从几年以前的几十页到现在的超过800 页,深知从这些现行规则中把一些有效的做法上升为法律是非常不容易的事情。通过详细的条文比对,草案一共70 条,大概有40 条和欧盟的《通用数据保护条例》(General Data Protection Regulation,以下简称GDPR)有近似的地方。GDPR 正文共99 条,但官方已经出了近30 份指南,平均每3 个条文就有一份指南,是一套非常复杂、精密的规则体系,借鉴起来也不容易。所以一方面需要借鉴现有的实践和域外立法,一方面又要兼顾内在的体系,再加之前述个人信息保护的复杂性,这就会带来多处“两难选择”。

1 个人信息定义

草案将个人信息定义为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”,这一定义和GDPR 非常接近。GDPR 将个人数据定义为“任何已识别或可识别的自然人(‘数据主体’)相关的信息”。草案与GDPR 的定义均强调“与已识别或可识别的自然人有关”的信息。

在国内以往立法中,《民法典》下的个人信息是“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”,《网络安全法》下的个人信息是“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”,均强调“单独或者结合识别自然人”。与《网络安全法》、《民法典》中强调“识别”的定义相比,草案中“与已识别或可识别的自然人有关”的定义,个人信息的范围是有所扩大的。

如果个人信息的范围比较宽,是否处理个人信息的合法性基础也应该相对灵活?否则很容易导致普遍性违法和选择性执法,也有损于法律尊严。

我国的立法没有必要完全模仿GDPR,因为GDPR 也存在不少负面教训。GDPR 出台以后,大量欧洲中小企业因为承受不了高额的合规成本,导致其创新能力不足,难以支撑和发展,反而是大型企业的垄断能力得到了强化,已经有不少实证研究支持这一结论[1-3]。GDPR 的目的之一也是规制谷歌、脸书等大型企业,结果这一立法目的并没有完全实现。个人信息保护法和劳动法在立法中存在类似之处,出发点也许是好的,但有可能会导致弱势企业、个人面临更加糟糕的处境,所以要特别关注好心办坏事的情况。

2 合法性事由

合法性基础是否贯穿整部立法也是需要予以考虑的问题。目前草案在第十三条提到了处理个人信息的合法性基础,其中包括:取得个人的同意;为订立或者履行个人作为一方当事人的合同所必需;为履行法定职责或者法定义务所必需;为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息;以及法律、行政法规规定的其他情形。但在第二十四条所规定的向第三方提供个人信息的情形中,又回到了知情同意这一种合法性基础,要求个人信息处理者向第三方提供其处理的个人信息要取得个人的单独同意。那么就会出现一种情况,比如某商家与消费者在线上订立了购物合同,约定商家负责发货,而商家为了履行合同中的发货义务就必需把消费者的地址、联系方式等信息提供给物流服务方,这一提供行为本应该已经具备了草案第十三条中规定的“为订立或者履行个人作为一方当事人的合同所必需”这一合法性基础,但根据草案第二十四条,却又需要取得消费者的单独同意。

草案中规定的以上几种合法事由在很大程度上借鉴了GDPR。但由于在草案出台以前,基于《网络安全法》的规定,中国法律语境下处理个人信息的合法事由仅有同意这一项,因而在以往的立法与实践当中,对于处理个人信息的合规要求集中围绕“同意”而展开。这也导致了,虽然本次草案在合法事由方面借鉴了GDPR 中同意之外的几项合法性基础,但在整部立法中的其他方面,仍然保持了围绕“同意”而展开的模式,对于同意之外的其他合法性基础下个人信息处理者的义务是否有别于基于同意的个人信息处理活动,草案并未多做展开,多种合法性基础并行的体系未能得到贯穿。

当然贯穿有贯穿的好处,不贯穿有不贯穿的优点,比如规则简单的话,公众更容易理解,也没有那么多字面上的空子可以钻。但不管选择哪种方案,面对现实的复杂性,还是需要更精巧的设计。比如,大家都有共识的是,在向第三方提供个人信息的情形中应该加强对个人信息的保护,但在GDPR 中,向第三方提供个人信息的情况同样可以适用原则部分的各项合法性基础,而草案只能基于“单独同意”,就显得过于简化和严苛了。

对于这一组两难选择,笔者认为主要是加强保护力度和考虑例外情况的问题。一旦例外情形增多、个人权利约束减少,公众又会觉得有很多口子、有很多空子,但完全不开又不行。

3 同意的界定

要讨论个人信息,就绕不过“同意”,“同意”是最复杂、最难的问题。《民法典》中将同意分为明示和默示,草案中则包含单独同意、自愿明确同意、书面同意、重新取得同意。比如根据草案,向第三方提供个人信息、公开个人信息、基于个人同意处理敏感个人信息等,需要取得个人单独同意;而个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,要重新取得同意。在各种不同类型的同意要求下,个人多少会感到困惑,也会导致实践中很多时候各种类型的“同意”无法完全落地。

虽然草案中提供了同意以外的合法性基础(如前所述并没有贯穿),但在大部分情况下可能还是要依赖同意作为个人信息处理的主要基础,或者说这是大路,其他合法性基础是小路,那这条大路就得修得宽敞一些,让大部分人都能通行。

比如,根据草案,“去标识化”的信息仍然是个人信息,然而在医疗健康行业,很多数据都是去标识化而不是匿名化的[4],也没有办法做到匿名化,而在此种带有科学研究性质的场景下,反复去获得患者的单独同意又可能和科研本身的规则相冲突。

关于同意的讨论很多,在此不多做展开。核心的观点是,以知情同意作为主要合法性基础并不存在问题,这可以说是全世界个人信息保护立法的共识。但具体怎么界定同意、怎么解释同意,这一问题非常复杂,可能都不是两难选择,是三难、四难。笔者所在团队曾经翻译过欧盟关于GDPR 下同意的指南[5],在业务实践中感觉到,虽然其立法是比较清晰的,但实际效果可能并不好。

4 完善思考

草案规定了信息主体在个人信息处理中的权利,包括知情权、决定权、限制或拒绝处理权、查询权、复制权、更正权、删除权、要求解释权、投诉权等。从法理和国内外立法实践来说,这些权利都不是绝对的。目前草案中个人信息的合法性事由和GDPR 能够大体对应,但GDPR下不同合法性路径对信息主体即个人的权利有不同的约束,或者直接说明不适用。

比如,针对删除权,GDPR 在第17 条第1 款、第2 款规定了数据主体有权要求控制者删除其个人数据,以及控制者有义务删除的情形。同时在第17 条第3 款,GDPR 也提供了排除第1 款、第2 款适用的例外情形,也即在这些例外情况下,控制者可以不响应数据主体的删除请求。这些例外情形包括:(a)为了行使表达自由和信息自由的权利;(b)为了遵守欧盟或者控制者所属成员国法律规定的法定义务、为了公共利益或在行使控制者被赋予的官方权限时必须对数据进行处理(c)根据第9 条第2 款(h)和(i)项以及第9 条第3 款,为了公共卫生领域的公共利益的原因;(d)根据第89 条第1 款,为了公共利益进行档案管理、科学或历史研究目的或统计目的,而第1 款所述权利的实施已成为不可能或者很可能严重阻碍该处理目标的实现;(e)为了提起、行使或捍卫法律诉求。而在草案中,仅规定了个人信息处理者应当主动或根据个人请求删除个人信息的情形,并未对删除情形的例外作出规定。

再比如,针对查阅、复制权的行使,GDPR第15 条规定了控制者应当向数据主体提供一份处理数据的备份,但数据主体要求额外的备份时,控制者可以收取合理费用。但在草案对个人行使查询、复制权的规定中,仅规定个人有权向个人信息处理者查询、复制其个人信息,且规定个人信息处理者应当及时提供,并未提及处理者可以对额外的要求收取合理费用。在这种情况下,若个人频繁行使复制权,反复要求个人信息处理者提供数据备份时,个人信息处理者较可能处于十分被动的状态,导致不合理地增加处理者的负担。

根据统计,GDPR 中的权利限制就有20 多处。这是在立法技术上需要考虑的问题,即我国的立法在某些方面是否在实质上比GDPR 还要严格。

但如果说这些权利不是绝对的,那么在法律中应该如何增加限制条件,或者在特定情况下给予企业豁免和优待?一部法律的制定,不仅需要政府的强力推动,也需要提供正向激励,让有技术能力的公司愿意多投入,目前来看法律中的正向激励是不够的。比如,如果企业采取了隐私计算技术,使得数据可用而不可见,减少因汇聚融合而泄露的风险,是否会比不采取该技术的公司得到一定优待?

在信息主体权利的限制这一问题上,尤其能够感受到立法者的两难,因为这已经不完全是法理的问题,而涉及到公共政策的选择。有时法律上并不尽完美,但又是多种约束下没有办法的办法。可能也很少有一部法律,像个人信息保护法这样对每一个公民都有影响。所以对于信息主体权利的慎重态度,也许是斟酌后的选择。

5 结 论

值得肯定的是,草案较为及时地回应了我国现有的数据治理需求和国际当前的数据竞争态势,但在把握好大方向的同时,也要对制度设计的精准性和现实中的可操作性有所重视,对此笔者尝试提出以下几点建议:

对域外经验的借鉴应更有批判性和针对性。以前述的欧盟经验为鉴,如果草案对个人信息的定义最终得到适用,个人信息权益的具体内容将有所延伸,那么规范的宽严尺度也应该有所调整,既要使得立法对权利的保障和限制功能充分发挥,又要给持续变化的现实问题留足调适的空间,以达到较为理想的实施效果。

需要用更连贯的思路去协调规范内部潜在的矛盾。考虑合法性基础是否贯穿整部立法,其实也是在考虑各项合法性基础之间、特别是知情同意这一主要合法性基础与其他合法性基础的关系,不恰当的选择可能会导致处理个人信息行为的合法性被重复评价、合法性基础的功能彼此消解的后果。

除此之外,对个人信息的保护从来都是多方主体利益的权衡,个体权益、公共利益、产业发展需求等要素都要纳入考量,但决定让哪一主体的利益优先或让渡都要设定具体的场景和条件,以防执法边界任意限缩或扩张。

最后,个人信息保护立法的过程中遇到的难点很多,中国数字经济发展得较快,风险暴露得较为充分,而当前国际局势复杂,数据已经成为博弈的焦点,这和很多国家进行个人信息保护立法时所处的国内外环境都有很大不同。不过正因为如此,讨论和解决上述以及其他两难选择,可能需要更体系化的视角,通过细节处的微调为复杂性问题的解决保留可能性。

猜你喜欢

控制者信息处理合法性
组织合法性的个体判断机制
东营市智能信息处理实验室
基于Revit和Dynamo的施工BIM信息处理
Westward Movement
从“控制者”变身“隐形人”
论人工智能的刑事责任能力与追究
浅谈中小学财务人员角色转换的紧迫性
数据控制者的权利与限制
地震烈度信息处理平台研究
CTCS-3级列控系统RBC与ATP结合部异常信息处理