文│ 浙江大学教授、博导,南京邮电大学数字经济战略与法治研究中心主任 王春晖

《中华人民共和国国民经济和社会发展第十四个五年规划和 2035 年远景目标纲要》(以下简称:“十四五”规划纲要)提出:“加强涉及国家利益、商业秘密、个人隐私的数据保护,加快推进数据安全、个人信息保护等领域基础性立法,强化数据资源全生命周期安全保护。” 加快推进个人信息保护立法,必须恪守“以人民为中心”的理念,构建“以人为本”的个人信息保护法律制度,提升人民群众的获得感、幸福感、安全感。

一、认识“个人信息”和“个人数据”

网络时代,“数据”(Data)和“信息”(Information)是使用频率最高的两个词汇,经常被政府规范性文件甚至法律视为同一概念。目前,在各国的个人信息(数据)保护立法中,多数国家将“个人信息”表述为“个人数据”。如欧盟《个人数据保护指令》第 2 条(a)规定,个人数据指“与一个人身份已被识别或者身份可以识别的自然人(数据主体)相关的任何信息”;法国《数据处理、数据文件及个人自由法》第 2 条第 1 款规定,个人数据指“可以通过身份证号码、一项或多项个人特有因素被肢解或间接识别的自然人相关的任何信息”;德国《联邦数据保护法》第 3 节规定,个人数据指“任何关于一个已识别的或者可识别的个人(数据主体)的私人或者具体状态的信息”。

我国《网络安全法》第七十六条对“网络数据”给出的定义是:“网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据”。全国人大常委会公布的《数据安全法(草案)》第三条第一款对“数据”的定义是:“数据是指任何以电子或者非电子形式对信息的记录”;第三条第二款将“数据的收集、存储、加工、使用、提供、交易、公开等行为”定义为“数据活动”。

关于“个人信息”的内涵,《网络安全法》主要突出“识别自然人个人身份的各种信息”,《民法典》则突出强调“识别特定自然人的各种信息”,但是上述两部法律对“个人信息”的判断和定义基本采用了两条识别路径:一是信息的单独识别性,其基本识别路径是鉴于信息本身的特殊性,识别出特定的自然人,如姓名、出生日期、身份证件号码、家庭住址等,从这些信息直接识别出特定的个人;二是信息的关联识别性,基本路径是已知特定的自然人,由该特定自然人在其活动中产生的信息,如生物识别信息、个人位置信息、个人通话记录、个人浏览记录等。

可见,纯粹的“电子数据”是附着在电子信息系统载体的客观事物记录,是未经过处理的原始记录,一般不具有“可识别”性。数字时代的“个人信息”主要是以电子方式记录,能够单独或者与其他信息结合识别特定自然人的信息,而“数据”之前加“个人”,即“个人数据”也属于“个人可识别信息”(PII)。因此,无论是“个人信息”或“个人数据”,均具有已识别或可识别自然人(数据主体)相关信息的特征,两者应属于意义相同或相近的词语。

二、强化对个人隐私和敏感信息的保护

2018 年 4 月 20 日,习近平总书记在全国网络安全和信息化工作会议讲话中强调,要维护人民群众合法权益 , 依法严厉打击网络黑客、电信网络诈骗、侵犯公民个人隐私等违法犯罪行为。“十四五”规划纲要明确要求,要加强涉及个人隐私数据的保护。

当前,从国际组织和国外一些立法经验看,包括《通用数据保护条例》(GDPR)、经合组织(OECD)“隐私框架”、亚太经合组织(APEC)“隐私框架”、欧美隐私盾(EU-US Privacy Shield)协议、美国《消费者隐私权法案》(Consumer Privacy Billof Rights)、《美国加利福尼亚消费者隐私法案》(California Consumer Privacy Act,CCPA)等个人隐私信息保护方面的立法,均强调未经被收集者同意,不得收集和向他人提供个人隐私信息,突出知情权、明示同意权、访问权、注销权、撤回权、封锁权、更正权、删除权等“个人信息权”,特别是 CCPA,规定了异常严格的个人信息使用规则,要求各个公司必须通知用户他们的私人数据将被如何使用,并且需要为用户提供“直接退出”的工具。

我国《民法典》人格权编设专章对隐私权保护进行了详细规定,特别是首次对隐私权的概念和保护范围作出明确具体的规定。《民法典》第 1032 条规定:“自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”关于个人信息中隐私信息的保护,《民法典》明确规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。” 这一规定不仅强化了对个人隐私信息的保护,也为正在制定中的《个人信息保护法》对自然人个人隐私信息的保护留出了立法空间。

我国正在制定的《个人信息保护法(草案)》(以下称《草案》)没有对隐私信息做出专门规定,而是将个人信息分为敏感信息和非敏感信息,并设专节对处理敏感个人信息作出了严格的限制性规定,即只有在具有特定的目的和充分的必要性的情形下,方可处理敏感个人信息,并且应当取得个人的单独同意或者书面同意。《草案》对“敏感个人信息”的定义是:“一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息 , 包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。”

个人隐私信息与个人敏感信息既有联系也有区别,隐私信息主要是从自然人的人格权角度来判断,且主要是精神层面的人格权,涉及自然人享有的私人生活安宁与私密信息不被搜集、利用和公开;判断个人信息中的敏感信息主要是从损害结果的角度判断,即个人敏感信息一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害,比如宗教信仰信息、个人生物特征信息、医疗健康信息、金融账户信息、基因信息、个人行踪信息等。

《个人信息保护法》作为保护个人信息的基础性立法,应坚持以人民为中心,对涉及公民隐私信息和公民不愿意他人知道的财产信息实施双重保护,尤其是从个人信息被非法处理可能产生的危害后果出发,对个人信息实行分级分类,进一步突出对个人隐私和敏感信息的保护力度,在确保公民隐私权和财产权不受非法侵害的基础上,促进个人信息资源在“合法、正当、必要”以及“知情同意”的法定原则框架内有限度地适当处理和利用。

三、构建“以人为本”的个人信息处理规则

目前,我国有关个人信息的处理规则,主要是适用“合法、正当、必要”,该处理规则最早以法律形式出现在 2013 年修订的《消费者权益保护法》第二十九条:“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。”2017 年 6 月 1 日起施行的《网络安全法》第 41 条采纳这一原则规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”

《民法典》第 1035 条除规定“处理个人信息的,应当遵循合法、正当、必要原则”外,还强调“不得过度处理”,并附带了四个法定条件:一是征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;二是公开处理信息的规则;三是明示处理信息的目的、方式和范围;四是不违反法律、行政法规的规定和双方的约定。

《民法典》第 1035 条有关个人信息的处理规则与《网络安全法》和《消费者权益保护法》基本一致,明确“应当遵循合法、正当、必要原则”,但是《网络安全法》和《消费者权益保护法》在“个人信息”之前使用两个动词“收集、使用”,即“收集、使用个人信息”,而《民法典》第 1035 条在“个人信息”之前只使用了一个动词“处理”,即“处理个人信息”。实际上,在《民法典(草案)》第三次审议稿中,仍然采用“收集、处理自然人个人信息”的表述。“处理”是一个过程,本身包括“收集”,即收拢和聚合个人在电子信息系统载体上已经留下的个人信息(数据),同时涵盖“加工、传输、提供、公开”等内容。正式实施的《民法典》第 1035 条删去了“收集”,只保留“处理”,并对“个人信息的处理”的内涵进行了解释,即“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”

《个人信息保护法(草案)》明确了个人信息处理应遵循的原则,并强调处理个人信息应当采用合法、正当的方式,具有明确、合理的目的,限于实现处理目的的最小范围,公开处理规则,保证信息准确,采取安全保护措施等,并将上述原则贯穿于个人信息处理的全过程、各环节,体现了“以人为本”的个人信息处理规则。

《个人信息保护法(草案)》(二审稿)进一步明确了“以人为本”的个人信息处理规则,例如《草案》一审稿中第二十六条规定:“个人信息处理者不得公开其处理的个人信息,取得个人单独同意或者法律、行政法规另有规定的除外。”在二审稿中删除了“或者法律、行政法规另有规定”,只保留了“取得个人单独同意的除外”;一审稿中第二十七条规定:“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需 , 遵守国家有关规定 , 并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供,取得个人单独同意或者法律、行政法规另有规定的除外。”在二审稿中删除了“法律、行政法规另有规定”的除外原则,也只保留了“取得个人单独同意的除外”。上述处理规则,遵循了“以人民为中心”的理念,体现了“以人为本”的个人信息保护规则。

四、严禁超范围收集个人信息

截至 2020 年 12 月,我国手机上网人数达到了9.86 亿人,国内市场监测到的移动互联网应用程序(App)数量高达 345 万款,App 几乎完全取代浏览器成为最大流量入口。当前,大量 App存在强制授权、过度索权、超范围收集个人信息的情形,尤其是违法违规使用个人信息的问题十分突出,已经毫无规则和底线,广大网民深恶痛绝。

近几年,尽管相关部门不断查处各类违规 App,细化各项隐私政策和规范,起到了一定的震慑作用,但是 App 超范围收集和使用个人信息等行为依然严重。对于治理 App 过度收集个人信息的问题,人民群众呼吁应当依法明确“必要个人信息范围”,只要超过“必要个人信息范围”的收集和处理行为,必须坚决予以打击和惩处。

针对 App 超范围收集个人信息的乱象,国家网信办、工信部、公安部、国家市场监督管理总局联合发布了《常见类型移动互联网应用程序必要个人信息范围规定》,对“必要个人信息”做出了定义,即“保障 App 基本功能服务正常运行所必需的个人信息,缺少该信息 App 即无法实现基本功能服务。具体是指消费侧用户个人信息,不包括服务供给侧用户个人信息。” 该定义有以下特征:首先,必要个人信息是指保障 App 业务功能正常运行所最少够用的个人信息;其次,所谓“必要个人信息”是指一旦缺少这些必要的信息将导致 App 服务无法实现或无法正常运行。

中共中央《法治社会建设实施纲要(2020-2025年)》提出,严格规范收集使用用户身份、通信内容等个人信息行为,加大对非法获取、泄露、出售、提供公民个人信息的违法犯罪行为的惩处力度。建议应当将四部委确立的“必要个人信息”法律化,提高法律位阶,把这一制度纳入正在审议的《个人信息保护法(草案)》。

五、构建企业数据合规体系和 DPO制度

“十四五”规划纲要明确提出,推进产业数字化转型,推动数据赋能全产业链协同转型。在推进产业数字化转型进程中,将呈现出互联网企业传统化,而传统企业互联网化的新趋势。为保证企业对个人敏感数据和个人隐私数据处理和利用的合法合规,多数国家的数据保护法要求构建完善的数据合规体系,并确定专门的数据合规负责人。

GDPR 对企业合规处理个人数据提出明确要求。GDPR 第 6 条专门规定了“个人数据处理的合法性”:一是数据主体同意其个人数据为一个或多个特定目的处理;二是处理应为履行数据主体参与合同的必要行为,或处理是因数据主体在签订合同前的邀约而采取的措施;三是处理个人数据是为履行数据控制者所服从的法律义务之必要;四是处理个人数据是为了保护数据主体或另一个自然人的切身利益之必要;五是处理个人数据是为了执行公共利益领域的任务或行使数据控制者既定的公务职权之必要;六是为了控制人或第三方所追求的合法利益,处理是必要的,除非这种利益与保护个人数据的数据主体利益或基本权利和自由相冲突,特别是在数据主体是儿童的情况下,但是该项规定不适用于政府当局在履行其职责时进行的数据处理行为。

关于个人数据处理过程的安全性问题,GDPR 第32 条规定:考虑目前的工艺水平、实施成本、处理过程的性质、范围、目的,以及自然人自由和权利所面对的不同可能性和严重性风险,控制者、处理者应当执行适当的技术和组织措施来保证合理应对风险的安全级别,尤其要酌定考虑以下因素:一是个人数据的匿名化和加密;二是确保处理系统和服务现行的保密性、完整性、可用性以及可恢复性;三是在发生物理事故或技术事故的情况下,恢复可用性以及及时获取个人信息的能力;四是定期对技术措施以及组织措施的有效性进行测试、评估、评价处理,力求确保处理过程的安全性。

我国《个人信息保护法(草案)》明确规定了个人信息处理者的合规管理和保障个人信息安全等义务,要求其按照规定制定内部管理制度和操作规程,采取相应的安全技术措施,并指定负责人对其个人信息处理活动进行监督;定期对其个人信息活动进行合规审计;对处理敏感个人信息、向境外提供个人信息等高风险处理活动,事前进行风险评估;履行个人信息泄露通知和补救义务等。

《草案》(二审稿)第五十一条规定,个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人的影响、可能存在的安全风险等 , 采取必要措施确保个人信息处理活动符合法律、行政法规的规定 , 并防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除。对此,《草案》提出了六项具体要求:一是制定内部管理制度和操作规程;二是对个人信息实行分类管理;三是采取相应的加密、去标识化等安全技术措施;四是合理确定个人信息处理的操作权限 , 并定期对从业人员进行安全教育和培训;五是制定并组织实施个人信息安全事件应急预案;六是法律、行政法规规定的其他措施。

数据保护官(Data Protection Officer,DPO)这一专职保护个人数据的负责人制度,是 GDPR 率先以法律形式确定的,GDPR 对 DPO 的任命提供了详细指引。GDPR 要求,数据保护官的任命必须基于其专业素养,包括数据保护的法律及实践知识,以及完成一系列数据保护官职责的能力。根据 GDPR的规定,数据保护官的职责,主要是为保护处理中的数据始终处于安全状态,即个人数据不得被泄露、非法买卖、转让等。

借鉴 GDPR 的 DPO 制度,《草案》(二审稿)第五十二条规定,处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。个人信息处理者应当公开个人信息保护负责人的姓名、联系方式等 , 并报送履行个人信息保护职责的部门。

(本文刊登于《中国信息安全》杂志2021年第5期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。