论大数据时代个人信息保护与处理的立法完善
2022-04-16杨长泉
杨长泉
(凯里学院,贵州凯里 556011)
随着互联网技术的与日俱进,互联网信息在国家治理、社会管理等方面发挥了重要作用,如自2020 年起,大数据技术应用在新冠病毒疫情阻击战中发挥了巨大作用。依据大数据,我国能够开展疫情的有效预防控制。但是另一方面,因为健康码包含了个人健康状况、行动轨迹、联系方式、家庭住址等最为关键的个人信息,健康码的推广也导致较多的个人信息安全问题的出现。根据媒体统计,“从2010年以来,涉及个人信息安全曝光的比例为5%,涉及互联网信息安全的比例为4%”①新浪网:我们梳理了12 年“315 晚会”,发现这些行业、企业曝光率最高!(附知名企业曝光名单),http://finance.sina.com.cn/roll/2021-03-16/doc-ikknscsi6077875.shtml。。仅在2021年,中央电视台“3·15”晚会曝料:科勒卫浴全国门店利用具有人脸识别功能的摄像头在消费者不知情的情况窃取人脸数据;无锡宝马4S 店、悠络客电子科技股份有限公司、广州雅量智能技术有限公司也为不少商家安装了人脸识别系统;智联招聘、猎聘、前程无忧招聘平台上的大量个人简历流向了黑市,甚至有人硬盘存了700万条他人简历。需特别指出的是,整场晚会有三分之一的时长所披露的问题与个人信息安全有关,如以往央视“3·15”曾多次炮轰窃取用户信息行为,包括SDK插件、探针盒子等②澎湃网:2021 年央视3·15 披露最大痛点:“被盯上”的个人信息,https://www.thepaper.cn/newsDetail_forward_11730651。。
一、个人信息权的性质
(一)个人信息权不仅是单纯的公法权利或私法权利,而是二者兼具
个人信息权属于公法权利还是私法权利抑或其他?对这个问题的不同回答,直接影响到对个人信息保护的立法体制建构。关于这个问题,学者众说纷纭,比较有代表性的是孙平先生和张里安先生,前者认为个人信息是宪法性权利或基本权利[1],后者认为个人信息是一种私法性权利[2]。笔者认为,鉴于《民法典》中对个人信息的保护的明确规定,个人信息属于私法上的权利的性质已经不言而喻,但是个人信息权同时也具有的公法权利性质。下面就此重点分析。
我国宪法虽然没有明文规定个人信息权,但是,对于个人信息权是否属于宪法规定的公民基本权利这个问题,学界有不同的意见。笔者认为,个人信息权已经包含在我国宪法规定的基本权利之中。第一,个人信息权与人格尊严、个人自由等宪法的基本价值密切相连,个人信息权是否得到有效的保护,直接关联人格尊严和个人自由;第二,我国宪法第33 条关于人权的规定、第37条关于人身自由的规定、第38条关于人格尊严的规定以及第40条关于通信自由和通信秘密的规定,都为个人信息权受宪法保护提供了不言自明的合法依据,因为对个人信息的非法收集、使用和处理,无疑都会侵犯人权和人身自由、有损人格尊严,妨碍权利人的通信自由和通信秘密。
此外,公法领域中的《中华人民共和国护照法》《中华人民共和国身份证法》直接规定了“个人信息”的保护问题,在全国范围内具有规范效力的行政法规、部门规章也直接提及“个人信息”保护问题,如《2006-2020年国家信息化发展战略》《互联网电子公告服务管理规定》等。
综上所述,个人信息权不仅属于私法上的权利,也属于公法上的权利。因此,不仅要在私法如《民法典》中对个人信息进行保护,也要在公法如宪法、刑法、行政法等对保护个人信息进行规定。
(二)个人信息与隐私权的关系
从发展的历史来看,隐私权出现远早于个人信息。学界公认的隐私这个概念出现的标志是1890 年路易斯·布兰蒂斯和萨莫尔·华伦在《法学评论》发表的《隐私权》一文,第一次提出了隐私权的概念。而个人信息保护则是20世纪60年代,法学家为了缓解普通民众对于政府大规模收集信息、担心信息被泄露而产生的担忧而提出来的。
从1987 年1 月1 日施行的《中华人民共和国民法通则》开始,我国就开始了对人格权益的制度建构,但是当时没有明确规定对隐私权的保护,其后,针对大量侵犯隐私权案件的出现,最高人民法院于1988年在《关于贯彻执行〈中华人民共和国民法通则〉若干问题的意见(试行)》中,首次明确了对隐私权的保护。在2010年7月1日起实施的《中华人民共和国侵权责任法》中以正式明确了对隐私权的保护。2012年12月28日全国人民代表大会常务委员会通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》规定了保护个人电子信息。《中华人民共和国民法典》(以下简称《民法典》)在制定过程中,将隐私权和个人信息保护这两种人格权益规定在同一章中,说明两者存在内在联系,无法割裂开来。尤其是自然人的出生日期、身份证件号码、生物识别信息、住址、个人银行存款、健康信息等,具有隐私与个人信息的高度重合性,因此,基于“权利不得减损原则和人格尊严高于私法自治的保护原则”,[3]《民法典》第1034条第3款对重合的隐私权和个人信息的保护分层级进行了规定。但是,立法者将其细分为两种不同的人格权益,又说明两者在权利性质、权利内容、权利保护方式等方面存在明显的区别。①参见王利明《和而不同:隐私权与个人信息的规则界分和适用》一文,载《法学评论》2021年第2期。
隐私本身为个人私领域的体现,一般不会大规模处理与大范围的共享,因此法律上主要通过民法的手段为其提供必要的保护。如《民法典》中的“人格权编”和“侵权责任编”中均对侵犯隐私权的行为及处理进行了规定。个人信息却与此不同,可能出现大规模的处理即包括个人信息的收集、存储、使用、加工、传输、提供、公开等,法律对于个人信息的保护和处理是并重的,不能采取如对隐私权只注重保护的方式,只有在法律另有规定或者权利人明确同意外才可以处理他人隐私,即将其单一化处理。在涉及国家管理和社会治理的问题上,除了民法之外还需要有特别法进行单独规定。
二、我国个人信息保护的立法现状
(一)个人信息保护和利用原有规范梳理
个人信息保护与处理是世界各国高度关注的问题,我国也不例外。除了上述的《中华人民共和国护照法》《中华人民共和国身份证法》《互联网电子公告服务管理规定》等法律行政法规对个人信息保护以外,我国从《全国人民代表大会常务委员会关于加强网络信息保护的决定》到《中华人民共和国消费者权益保护法》,再到《中华人民共和国网络安全法》与《中华人民共和国刑法》(以下简称《刑法》)《中华人民共和国民法典》,均明确规定自然人的个人信息受法律保护。
《民法典》第111条规定自然人的个人信息受法律保护。明确了个人信息收集和处理的合法性要求。此外,《民法典》专设第六章对隐私权和个人信息进行保护,其中从第1 034条到第1 039条都是对个人信息保护的相关规定,对个人信息的含义、免责事由、权利人提出异议及删除信息的权利等内容进行了比较详细的规定。《民法典》第127 条规定了数据、网络虚拟财产受法律规定。
《刑法》第253 条规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪的定罪与处罚。《刑法》第285 条规定了非法侵入计算机信息系统罪,非法获取计算机信息系统数据、非法控制计算机信息系统罪的定罪与量刑。
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》细化规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪量刑标准和法律适用。
《中华人民共和国网络安全法》第37条规定了个人信息存储的规则,第40条规定了个人信息收集的保护制度,第41 条规定了收集使用个人信息应当遵循的原则及被收集者的同意规则,第42 条规定了网络运营者信息安全的保证义务,第43 条赋予权利人的删除权和更正权,第44 条规制了非法获取、非法出售和非法提供个人信息,第76条第五项明确了个人信息的范围。
《全国人民代表大会常务委员会关于加强网络信息保护的决定》对能够识别公民个人身份和涉及公民个人隐私的电子信息的保护,对网络服务提供者和其他企业事业单位在业务活动中收集和使用公民个人电子信息应当遵循的原则,禁止行为,网络服务提供者配合有关主管部门依法履行职责的义务信息安全保障义务,禁发商业性电子信息以及罚则等做了明确规定。
此外,《中华人民共和国电子商务法》《中华人民共和国消费者权益保护法》《信息安全技术:个人信息安全规范》分别对经营者的信息保护义务,收集使用个人信息的要求,保密义务,个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为等内容进行了规制。《中华人民共和国电子商务法》第69条还宣示国家对数据产业发展的鼓励和促进。《中华人民共和国中小企业促进法》第33条也宣示了国家对中小企业发展大数据技术的鼓励和促进。
(二)个人信息保护和利用原有规范分析
通过对上述关于个人信息保护的法律法规的梳理,可以看出来,我国法律对个人信息保护的法律体系已经初步形成,既有普通法,又有行政规范,还有技术规范。但是,在对上述规定进行梳理时,也不难发现,我国关于个人信息保护的法律制度还存在一些问题。
1.相关规定大多独立制定和设定适用范围,彼此之间没有形成一个完整的系统,出现相互不一致的地方。如对个人信息的收集的称谓是一致的,但是对于个人信息的利用及处理,称谓不一致。另外,对个人信息的界定也不完全一致。
2.缺乏一部统领所有法律法规的法律,存在各自为“法”的现象。上述规范既有普通法如民法、刑法,又有行政法如护照法、身份证法等,还有司法解释、全国人民代表大会常务委员会颁布的决定等等,不一而足。这些法律之间存在有上位法与下位法、同位阶的法律等关系,彼此之间没有一部效力最高的法律作为统领,相互之间关系混乱,不仅普通民众无法知晓这些法律彼此之间的关系和内容,让人无所适从,即使是法官在处理类似案件时,也必须翻遍法律文本才能确定具体适用的法律。
3.当下的个人信息保护的制度构建难点在于如何统合现有个人信息保护的分散规范,从有到优确立一条个人信息保护的科学路径。有学者运用利益衡量理论方法,分析了立法在个人信息保护和利用中的缺失,提出了在个人信息保护立法中以去识别化为核心重新理解个人信息界定、企业收集利用行为及用户知情同意权,形成了在个人信息利用立法中重视并逐步实现对企业数据财产利益的阶段性保护的建议对策。[4]
三、个人信息保护与处理立法完善的思考
(一)强化习近平法治思想中“以人民为中心”的丰富内涵对个人信息保护与处理立法的指导
习近平总书记指出:“全面依法治国最广泛、最深厚的基础是人民,必须坚持为了人民、依靠人民。要把体现人民利益、反映人民愿望、维护人民权益、增进人民福祉落实到全面依法治国各领域全过程,保证人民在党的领导下通过各种途径和形式管理国家事务、管理经济文化事业、管理社会事务,保证人民依法享有广泛的权利和自由、承担应尽的义务。推进全面依法治国,根本目的是依法保障人民权益。随着我国经济社会持续发展和人民生活水平不断提高,人民群众对民主、法治、公平、正义、安全、环境等方面的要求日益增长,要积极回应人民群众新要求新期待,坚持问题导向、目标导向,树立辩证思维和全局观念,系统研究谋划和解决法治领域人民群众反映强烈的突出问题,不断增强人民群众获得感、幸福感、安全感,用法治保障人民安居乐业。”[5]这一段话充分体现了习近平法治思想中“以人民为中心”的理念。“‘以人民为中心’是习近平新时代中国特色社会主义法治思想的核心价值理念,是贯穿新时代中国特色社会主义立法、执法、司法活动始终的红线,是新时代中国特色社会主义立法、执法、司法活动的灵魂。”[6]1在制定事关人民切实利益的个人信息保护的相关法律时,务必要坚持“以人民为中心”的价值理念。
“法治建设坚持‘以人民为中心’的立场,……坚持做到民主立法合民心、严格执法服民心、公正司法暖民心和全民守法得民心。”[7]22“必须坚持民主立法合民心。一是立法要体现民意。……二是立法要反映民情。……三是立法要集中民智。……”[7]23在立法中要体现人民立法、立法为民,使每一项立法都反映人民意志,得到人民拥护。[6]9
《民法典》始终贯穿着以人民为中心的发展思想。在精神需求方面,广大人民群众对人格尊严等方面的保护要求日益强烈。《民法典》继《中华人民共和国民法总则》后,再次将民法的调整对象表述为“调整平等主体的自然人、法人和非法人组织之间的人身关系和财产关系”,宣示了民法对人身权利的重点保护,也积极回应了人民群众加强对人身权利保护的呼声。
孙宪忠先生总结道:“民法典贯彻以人民为中心的指导思想,将其演化为民法典中的法思想,简要归纳起来有如下方面:一是中国共产党在坚持和推进依法治国原则时将民法典作为基本遵循的思想,依据民法典的基本法律地位确立人民权利保障的坚实基础的思想;二是对于民事主体的自决权利予以充分承认和保障的思想;三是对于民事活动予以积极规范引导的思想。”[8]
(二)强化《民法典》对《个人信息保护法》的指导
我国个人信息保护法的制定,经过了漫长的历程。最早在2006 年3 月10 日,全国人大代表张学东建议制定个人信息保护法;2006 年5 月9 日,中共中央办公厅、国务院办公厅印发《2006—2020 年国家信息化发展战略》,将个人信息保护纳入发展战略;2018 年9 月10 日,全国人民代表大会常务委员会将个人信息保护法(第一类项目:条件比较成熟、任期内拟提请审议的法律草案﹤69 件﹥61.法律名称:个人信息保护法,提请审议机关:委员长会议),纳入“十三届全国人大常委会立法规划”;2020 年6 月22 日,全国人大常委会调整2020 年度立法工作计划,个人信息保护法等多部法律草案被明确提出将进行提请审议。2021 年4 月26 日,第十三届全国人大常委会第二十八次会议对《中华人民共和国个人信息保护法(草案二次审议稿)》进行了审议。2021年4月29日,中国人大网公布《中华人民共和国个人信息保护法(草案二次审议稿)》全文,并对其公开征求意见。2021 年8 月20 日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》(以下简称个人信息保护法),已于2021年11 月1日起正式施行。
我国的个人信息保护规定经历了散见于刑法、民法、消费者权益保护法、电子商务法的阶段,在社会各界的关注与努力下,终于迎来了《个人信息保护法》。相信在正式实施后,《个人信息保护法》将为我国培育良好数字生态贡献法治力量。
《个人信息保护法》是《民法典》配套实施的法律,十分重要。正如习近平总书记指出:“加强民事立法相关工作。民法典颁布实施,并不意味着一劳永逸解决了民事法治建设的所有问题,仍然有许多问题需要在实践中检验、探索,还需要不断配套、补充、细化。”[9]《个人信息保护法》由此应运而生。《民法典》和《个人信息保护法》之间的关系就是基础法与特别法(或者普通法)的关系。“《民法典》确定了个人信息保护的基本框架、原则和理念、价值,界分了个人信息与隐私权等其他人格权的关系,进一步为《个人信息保护法》确立了最基础的规则。《民法典》所确立的保护人格尊严、保障民事权利等价值,也是解释《个人信息保护法》的基础。”[10]应该以《民法典》的原则、精神及内容为基础,统领《个人信息保护法》。例如,关于个人信息的概念,《民法典》第1 034 条第2 款①《民法典》第一千零三十四条第二款规定:个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。和《个人信息保护法》第4 条②《个人信息保护法》第四条规定:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。字面上好像不一致,但通过《个人信息保护法》第73 条的解释③第《个人信息保护法》七十三条规定:匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。以及法律理论分析,便可知《个人信息保护法》在采用《民法典》个人信息识别自然人说的基础上,增加了“关联说”的标准,与《民法典》的规定具有实质上的一致性。可以说,《个人信息保护法》进一步扩大了个人信息保护的范围,在个人信息保护的领域更加专业、更加科学。
(三)制定出台司法解释
司法解释是司法机关对法律、法规的具体应用问题所做的说明,属于有权解释。司法解释具有填补漏洞的作用。司法解释对任何法律的适用都是不可或缺的,尤其是在司法过程中更需要对法律规范作出明确的解释,从而真正达到“以法律为准绳”的适用要求。
网络技术日新月异,侵犯个人信息的侵权手段也在不断花样翻新,即使出台了《个人信息保护法》,也不可能对所有的侵权手段进行规制。随着《个人信息保护法》实施中发现的问题,后续会不断进行完善,其中就包括出台新的司法解释,以便及时回应和处理新出现的问题。
2021年7月28日,最高人民法院出台了于2021年8月1日起施行的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,该规定明确了信息处理者侵害自然人人格权益的行为及其法律责任。这个司法解释专门针对《民法典》第1 034 条规定的“生物识别信息”条目,是《民法典》的具体化,进一步明确了界限,予以补充说明,便于各级人民法院正确地适用法律和公正地裁判案件。最高人民法院的这个司法解释,为今后出台审理个人信息处理相关案件的司法解释开了一个好头,为司法机关处理类似案件提供了一个好的解决方案。