《个人信息保护法草案》以专章、25条对个人信息处理规则作出了详尽的规定。细化了民法典关于告知同意的规定,并以告知同意作为个人信息处理中的最基本规则;对处理者共同决定个人信息的处理、委托他人处理个人信息或向第三方提供处理的个人信息时的法律义务和责任作出了规定;在区分敏感个人信息与非敏感个人信息的基础上,对敏感个人信息的处理采取更加严格的规则;对国家机关处理个人信息作出了特别的规定。
民法典在人格权编第六章对个人信息保护作出了规定,不仅界定了个人信息、区分私密信息与非私密信息,还对个人信息处理的涵义以及处理的原则与规则进行了规定。由于民法典是民商事领域的基本法,其对个人信息保护的规定主要是确立大的原则方向、规定最重大和最基本的问题。故此,个人信息处理的基本规则还需要个人信息保护的专门立法加以规定,最高立法机关正在抓紧起草个人信息保护法。2020年10月举行的十三届全国人大常委会第二十二次会议对《个人信息保护法草案》(以下简称《草案》)进行了第一次审议,并在会后向社会公开征求意见。
《草案》采用专章(第2章)、25条(占整个草案条文数量的比例超过三分之一)对个人信息处理规则作出了详尽的规定。其特点在于:首先,细化了民法典关于告知同意的规定,并以告知同意作为个人信息处理中的最基本规则,从而更好地维护自然人对其个人信息的知情权和决定权。其次,对处理者共同决定个人信息的处理、委托他人处理个人信息或向第三方提供处理的个人信息时的法律义务和责任作出了规定;再次,在区分敏感个人信息与非敏感个人信息的基础上,对敏感个人信息的处理采取更加严格的规则;最后,对国家机关处理个人信息作出了特别的规定。
以告知同意
作为处理个人信息的基本规则
个人信息处理中的告知同意规则,是指任何组织或个人在处理个人信息时都应当对信息主体即其个人信息被处理的自然人进行告知并取得同意,除非法律另有规定。
告知同意规则包含了告知规则与同意规则。二者紧密联系,不可分割。没有告知,自然人无法就其个人信息被处理作出同意与否的表示;即便告知了但不充分、不清晰,那么即便自然人表示了同意,该同意也并非是真实有效的同意。反之,虽然告知了且充分、清晰,可是并未取得自然人的同意,对个人信息的处理也是非法的,构成对自然人个人信息权益的侵害。告知同意的规则是世界各国个人信息保护立法中所普遍确立的一项基本规则,即便存在法律规定不适用该规则的情形(如基于公共利益、履行法定职责、维护自然人权益等),也不能据此就否定告知同意规则在个人信息处理中的原则性地位,因为该规则是自然人对其个人信息自主决定权的体现,它奠定了个人信息处理的正当性与合法性的基础。
《草案》在第二章第一节对告知同意规则作出了详细的规定,如要求处理个人信息的同意应当建立在个人充分知情的前提下,自愿、明确作出意思表示(第14条第1款);在个人信息的处理目的、处理方式和处理的个人信息种类发生变更时,应当重新取得个人同意(第14条第2款);基于个人同意而进行的个人信息处理活动,个人有权撤回其同意(第16条);除非处理个人信息属于提供产品或者服务所必需的,否则,个人信息处理者不得以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由,拒绝提供产品或者服务(第17条);明确个人信息处理者应当告知的具体事项(第18条)等。
总的来说,《草案》这些规定都是值得肯定的,但是也有若干需要完善之处。例如,《草案》第13条将取得个人的同意与其他不需要取得同意的例外相互并列规定为个人信息处理者可以处理个人信息的情形,显然没有凸显告知同意规则作为原则的地位。该条第2项将“为订立或者履行个人作为一方当事人的合同所必需”作为不需要取得同意的例外过于宽泛。这种规定会导致个人信息处理者皆可以此为由不取得个人的同意。例如,网络公司在向自然人提供网络服务本身就是要订立网络服务合同,依据该项,可以不经自然人的同意就处理其个人信息。再如,《草案》第16条规定了个人有权撤回其同意,但是没有进一步明确撤回同意不影响此前个人信息处理行为的合法性。
个人信息处理
涉及多个主体时的义务与责任
我国民法典借鉴欧盟《一般数据保护条例》的立法模式,采用了“处理者”(Processor)来统称实施个人信息处理活动的主体。然而,实践中既存在多个主体共同决定个人信息处理的情形,也存在处理者委托他人处理个人信息或者向第三方提供其处理的个人信息等复杂的情形。这些时候,如何保护自然人的个人信息权益?怎样确定多个处理者之间、委托人与受托人及第三方之间的权利义务关系?对此,民法典没有规定。《草案》第21条至第24条作出了详细的规定。
例如,第21条规定,两个或者两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。个人信息处理者共同处理个人信息,侵害个人信息权益的,依法承担连带责任。再如,《草案》第24条明确规定,个人信息处理者向第三方提供其处理的个人信息的,应当向自然人告知相关信息并取得单独同意等。
《草案》的上述规定非常有必要,但需要进一步完善。例如,第21条第2款将共同处理个人信息而侵害个人信息权益的民事责任一律规定为连带责任,似有不妥。因为,在个人信息处理者共同处理个人信息侵害个人信息权益的情形中,除非处理者存在共同故意,否则单纯的共同处理行为,不一定都产生连带责任,而是很可能构成民法典第1168条至第1172条规定的各种情形,可能承担连带责任,也可能承担按份责任。再如,《草案》第22条对委托他人处理个人信息的问题作出了规定。该条的问题在于:首先,在委托他人处理个人信息时,应当明确要求委托方必须向个人披露受托方的身份和联系方式。其次,应当更具体的规定委托方对受托方采取的监督义务。《草案》第22条第1款仅仅说“对受托方的个人信息处理活动进行监督”,过于模糊。再次,在受托方非法处理个人信息或者侵害自然人的个人信息权益的时候,委托方与受托方的责任承担问题应当明确为连带责任,但是内部可以依据合同进行追偿。
敏感个人信息的处理规则
所谓敏感的个人信息主要是指那些涉及自然人人格尊严、人格自由或者其他重大权益的个人信息,这些个人信息倘若被非法处理,将会对所涉自然人的人格尊严、人格自由或者其他重大的人身权益、财产权益造成严重的威胁或损害。民法典只是将个人信息区分为私密信息与非私密信息,未规定敏感个人信息。《草案》对此作出了明确的规定,并在第2章第2节进行了具体规范。这一点值得肯定。例如,《草案》第29条第2款将敏感个人信息界定为“一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息”。
区分敏感与非敏感个人信息的根本原因就在于处理规则上的差异。首先,为了更好地保护敏感的个人信息,对于敏感的个人信息的处理不仅要取得自然人的同意而且这种同意必须是明示的、单独的同意,不能是默示的或者概括的同意。但是,非敏感的个人信息无需如此严格。其次,个人信息处理者对于敏感的个人信息负有更高的注意义务,否则,就会出现因为处理者的安全防护措施不足而造成敏感的个人信息泄露,对自然人会造成很大的损害或风险。
《草案》关于敏感个人信息处理规则的规定,还有必要加以修改完善。具体而言,对于敏感的个人信息的处理应当有更严格的要求,这种严格不仅体现在对基于个人同意而处理敏感的个人信息的问题上,还应当体现在非经个人同意而处理敏感的个人信息的情形应当严格加以限制。首先,只有法律才能规定例外,即法律才能规定不经个人同意就处理敏感的个人信息,因为这涉及到基本民事制度,与自然人的重大民事权益密切相关,不能把口子放得太开。从民法典第1033条对私密信息的保护上也可以看出此点。其次,《草案》第13条的规定不能适用于敏感的个人信息,否则,敏感的个人信息在处理规则上基本上与非敏感的个人信息没有什么差别。
国家机关处理个人信息的特别规定
在个人信息的处理中,区分作为民事主体的信息业者和国家机关非常重要,因为二者处理个人信息活动的性质、负有的义务、对个人信息的利用、相应的法律责任等方面存在很大的差别。
例如,国家机关处理个人信息往往是因为要履行法定的职责,具有强制性。但是,网络企业等信息业者是因为从事经营等民事活动而处理个人信息,是为了私人利益,不具有强制性,自然人有权拒绝提供。再如,国家机关因为没有履行个人信息安全保护义务等违法行为而产生的赔偿责任,属于国家赔偿责任,但是私人企业的赔偿责任属于民事赔偿责任。因此,在个人信息保护法中专门对国家机关处理个人信息作出规定是有必要的。事实上,民法典第1039条之所以专门规定:“国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。”也正是考虑到了这一区别。
《草案》在第2章第3节对国家机关处理个人信息作出了特别规定,是极有必要的。不过,在完善该节规定时,需要注意三点:其一,防止国家机关任意以履行法定职责为由规避告知同意规则而处理个人信息。《草案》第35条除了“法律、行政法规规定应当保密”外,又增加了“告知、取得同意将妨碍国家机关履行法定职责”的除外情形。如此一来,很可能导致国家机关滥用该权利而侵害自然人的个人信息权益。其二,对国家机关共享个人信息的行为进行规范。为了便民利民,防止出现信息孤岛,国家机关之间信息共享(互相推送信息或开放端口等)情形较为普遍,此时如何保护个人信息?一旦发生损害如何承担责任等,《草案》应当予以关注。其三,国家机关工作对个人信息的安全保护义务的履行与监督问题。对于国家机关外的个人信息处理者的违法行为,履行个人信息保护职责的部门进行执法是很容易的。然而,当国家机关不履行个人信息保护义务时,履行个人信息保护职责的部门则可能根本无法或难以执法,这一点从《草案》第64条只是规定了责令改正或对有关人员的处分等并不有力的措施上也可以看出端倪。故此,有必要从法律责任的规定上强化国家机关对个人信息的安全保护义务。
(作者为清华大学法学院副院长、教授)