個(gè)人信息保護(hù)法為什么值得期待？

黃姝靜

在極高的呼聲與期待中，個(gè)人信息保護(hù)法離最終出臺(tái)又邁進(jìn)了一步。5月25日，全國(guó)人大常委會(huì)工作報(bào)告透露，下一步將制定多部法律，其中就包括備受關(guān)注的個(gè)人信息保護(hù)法。

2020年全國(guó)“兩會(huì)”召開前夕，全國(guó)人大常委會(huì)法工委方面發(fā)布消息稱，個(gè)人信息保護(hù)法正在研究起草中，目前草案稿已經(jīng)形成。“兩會(huì)”期間，多位代表和委員就個(gè)人信息保護(hù)提出建議，希望加快相關(guān)立法。

在數(shù)據(jù)法律研究者何淵的印象中，早在2003年，制定個(gè)人信息保護(hù)法的建議就已經(jīng)出現(xiàn)。但在過(guò)去十多年里，中國(guó)針對(duì)個(gè)人信息保護(hù)的條款分散于多部法律法規(guī)和規(guī)范性文件中，包括《網(wǎng)絡(luò)安全法》《消費(fèi)者權(quán)益保護(hù)法》《刑法修正案九》等等。

中國(guó)政法大學(xué)傳播法研究中心副主任朱巍對(duì)《財(cái)經(jīng)》記者表示，目前涉及到個(gè)人信息保護(hù)的規(guī)定，包括法律法規(guī)和各種文件在內(nèi)，約有超過(guò)150部，迫切需要一部法律進(jìn)行統(tǒng)一。

不斷被呼喚的一部綜合性法律，即將揭開其神秘面紗。

有法學(xué)專家指出，個(gè)人信息保護(hù)法將最終確定“個(gè)人信息”這一關(guān)鍵概念的內(nèi)涵和外延，理順各個(gè)信息主體之間的關(guān)系，尤其是個(gè)人與企業(yè)之間的關(guān)系。這部法律將覆蓋對(duì)個(gè)人信息的收集、存儲(chǔ)、使用、共享、跨境傳輸?shù)榷鄠€(gè)方面。

立法：各方積極推進(jìn)

近年來(lái)，個(gè)人信息泄露事件頻現(xiàn)，引發(fā)了公眾廣泛關(guān)注。新冠肺炎疫情期間，個(gè)人信息泄露問(wèn)題不時(shí)見諸媒體。

過(guò)去十多年間，中國(guó)雖未出臺(tái)針對(duì)個(gè)人信息保護(hù)的專門性立法，但涉及到個(gè)人信息保護(hù)的法律法規(guī)、標(biāo)準(zhǔn)類規(guī)范類文件事實(shí)上在不斷被推出。

5月28日，十三屆全國(guó)人大三次會(huì)議表決通過(guò)了《民法典》，該法將于2021年1月1日施行。此前公布的《民法典（草案）》在人格權(quán)編中明確了自然人的個(gè)人信息受法律保護(hù)，并將自然人的“電子郵箱地址”和“行蹤信息”納入個(gè)人信息的范圍。

回顧個(gè)人信息保護(hù)法的立法進(jìn)程，一個(gè)重要的節(jié)點(diǎn)出現(xiàn)在2018年。2018年9月，個(gè)人信息保護(hù)法和數(shù)據(jù)安全法被列入十三屆全國(guó)人大常委會(huì)立法規(guī)劃第一類項(xiàng)目。

此后，與個(gè)人信息保護(hù)相關(guān)的法律法規(guī)及各類文件密集發(fā)布、更新——2019年4月19日，《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》發(fā)布;2019年4月20日，《民法典》人格權(quán)編草案（二審稿）提請(qǐng)全國(guó)人大常委會(huì)審議;2019年5月28日，《數(shù)據(jù)安全管理辦法》公開征求意見;2019年6月13日，《個(gè)人信息出境安全評(píng)估辦法》公開征求意見;2019年10月1日，《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》施行;2020年1月20日，《信息安全技術(shù)個(gè)人信息告知同意指南》公開征求意見;2020年3月6日，新版《信息安全技術(shù)個(gè)人信息安全規(guī)范》發(fā)布;2020年3月30日，《移動(dòng)互聯(lián)網(wǎng)App個(gè)人信息安全防范指引》公開征求意見……

2019年3月，在個(gè)人信息保護(hù)法被列入十三屆全國(guó)人大常委會(huì)立法規(guī)劃一類項(xiàng)目半年之際，北京大學(xué)法學(xué)院教授張平曾對(duì)《財(cái)經(jīng)》記者表示，“目前各方都在積極推進(jìn)立法。”

在上海交大數(shù)據(jù)法律研究中心執(zhí)行主任何淵看來(lái)，個(gè)人信息保護(hù)法的制定有幾個(gè)重要背景：數(shù)據(jù)產(chǎn)業(yè)飛速發(fā)展，當(dāng)“數(shù)據(jù)成為石油”，矛盾開始集中迸發(fā)，個(gè)人信息權(quán)利的保護(hù)與數(shù)據(jù)流通使用的平衡問(wèn)題亟待解決;歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）和美國(guó)的《加利福尼亞州消費(fèi)者隱私法案》（CCPA）的頒布給了國(guó)內(nèi)立法以啟迪和影響;數(shù)據(jù)黑市猖獗，個(gè)人信息泄露事件頻發(fā)，公眾面臨的隱私侵害需要有明確的法律解決途徑;此外，頭部互聯(lián)網(wǎng)企業(yè)在積極開展跨國(guó)業(yè)務(wù)和國(guó)內(nèi)穩(wěn)定長(zhǎng)遠(yuǎn)發(fā)展的需求驅(qū)動(dòng)下，內(nèi)部有很大的合規(guī)壓力和動(dòng)力，需要法律給以明確指引。

個(gè)人信息保護(hù)法將結(jié)束當(dāng)前立法分散、無(wú)專門法律保護(hù)個(gè)人信息的歷史。

2020年1月8日，廣東省公安廳通報(bào)：2019年廣東警方在“凈網(wǎng)2019”專項(xiàng)行動(dòng)中偵破網(wǎng)絡(luò)主偵案件2960余起，刑事拘留10420余人，繳獲公民個(gè)人信息98億條。警方展示涉案物品。圖/中新

展望：既要保護(hù)又要依法使用

個(gè)人信息保護(hù)法將解決哪些問(wèn)題？回應(yīng)哪些共同期待？

何淵稱，“這是一部承載了很高期待值的法律。草案公布后必將引起極大關(guān)注，甚至包括一定的爭(zhēng)議。”

北京師范大學(xué)網(wǎng)絡(luò)法治國(guó)際中心執(zhí)行主任吳沈括認(rèn)為，整體來(lái)說(shuō)，個(gè)人信息保護(hù)法需要回應(yīng)和解決的主要問(wèn)題包括：政府?dāng)?shù)據(jù)處理活動(dòng)的制度設(shè)計(jì)、企業(yè)商業(yè)化利用個(gè)人信息的制度設(shè)計(jì)、個(gè)人信息的跨境傳輸、個(gè)人生物信息的處理規(guī)則以及其他新技術(shù)、新應(yīng)用的風(fēng)險(xiǎn)應(yīng)對(duì)。

對(duì)“個(gè)人信息”的界定可以被視為這一切的出發(fā)點(diǎn)。《網(wǎng)絡(luò)安全法》《民法典》對(duì)此都有論述。

何淵認(rèn)為，整體的界定框架不會(huì)再出現(xiàn)較大變化，但是個(gè)人信息具體包括哪些內(nèi)容，在實(shí)務(wù)中的爭(zhēng)議仍然會(huì)持續(xù)。

就界定問(wèn)題，朱巍表示，立法應(yīng)當(dāng)重點(diǎn)明確個(gè)人信息與大數(shù)據(jù)的界限，回應(yīng)大數(shù)據(jù)的性質(zhì)問(wèn)題。

吳沈括則對(duì)《財(cái)經(jīng)》記者表示，個(gè)人信息的法律界定及其內(nèi)涵外延是個(gè)人信息保護(hù)法的邏輯起點(diǎn)，將反映法律對(duì)于個(gè)人信息所涉及的個(gè)人利益、公共利益、產(chǎn)業(yè)利益之間的動(dòng)態(tài)平衡的把握，反映法律對(duì)于前述三者權(quán)重的價(jià)值判斷。

事實(shí)上，這背后的深層次問(wèn)題是法學(xué)界討論良久的數(shù)據(jù)確權(quán)問(wèn)題：數(shù)據(jù)持有者享有怎樣的權(quán)利？如何保護(hù)？只是，這些問(wèn)題至今仍無(wú)定論。

吳沈括就此分析稱，在現(xiàn)有的技術(shù)環(huán)境下，如果把個(gè)人信息的核心要素認(rèn)定為身份識(shí)別（包括直接識(shí)別和間接識(shí)別），那么在目前的數(shù)據(jù)挖掘水平下，可以說(shuō)幾乎所有的信息都可能構(gòu)成個(gè)人信息，這對(duì)于數(shù)據(jù)要素的流動(dòng)和價(jià)值潛力的發(fā)掘會(huì)造成非常大的影響，因此需要立法作出進(jìn)一步的研判和權(quán)衡。

何淵指出，從立法的底層邏輯來(lái)看，個(gè)人信息保護(hù)法要理順的是信息主體、信息處理者和信息控制者之間的權(quán)利義務(wù)關(guān)系，立法應(yīng)當(dāng)覆蓋控制、收集、使用、共享、（跨境）傳輸?shù)拳h(huán)節(jié)，即覆蓋個(gè)人信息從產(chǎn)生到被處理的全生命周期。而對(duì)于信息主體權(quán)利義務(wù)關(guān)系的梳理中，最關(guān)鍵的兩大主體無(wú)疑是個(gè)人和企業(yè)。

朱巍也提出，平臺(tái)責(zé)任是個(gè)人信息保護(hù)法應(yīng)當(dāng)明確的內(nèi)容之一。

值得注意的是，何淵認(rèn)為，在個(gè)人信息保護(hù)法未來(lái)的立法過(guò)程中，甚至在今后的司法裁判中，主要的博弈點(diǎn)都會(huì)是與個(gè)人信息相關(guān)的權(quán)利保護(hù)與數(shù)據(jù)流通使用間的平衡問(wèn)題。“被遺忘權(quán)”、“數(shù)據(jù)可攜帶權(quán)”等權(quán)利類型是否應(yīng)當(dāng)被肯定、應(yīng)當(dāng)如何定義，仍未能在公開討論中取得共識(shí)。但可以確定的一點(diǎn)是，這些權(quán)利的設(shè)定對(duì)企業(yè)來(lái)說(shuō)意味著巨大的合規(guī)成本，甚至是業(yè)務(wù)模式的挑戰(zhàn)。

北京大學(xué)法學(xué)院副院長(zhǎng)薛軍進(jìn)一步指出，對(duì)權(quán)利保護(hù)的“厚度”是個(gè)人信息保護(hù)法制定中的一個(gè)重要問(wèn)題。諸如前述“被遺忘權(quán)”“數(shù)據(jù)可攜帶權(quán)”等討論頗多的權(quán)利類型，背后是對(duì)個(gè)人權(quán)利保護(hù)、技術(shù)實(shí)現(xiàn)的可能性、企業(yè)合規(guī)成本、產(chǎn)業(yè)自由發(fā)展空間的平衡問(wèn)題，需謹(jǐn)慎選擇。

執(zhí)法：如何讓法律有“牙齒”

震懾違法行為，必須讓法律有“牙齒”。個(gè)人信息保護(hù)法對(duì)于該領(lǐng)域執(zhí)法機(jī)構(gòu)和處罰機(jī)制的設(shè)計(jì)將決定這部法律在現(xiàn)實(shí)中的最終效果。

在何淵看來(lái)，當(dāng)前針對(duì)個(gè)人信息保護(hù)的罰則體系可以概括為“要么去坐牢，要么就沒(méi)事”。這是該領(lǐng)域違法行為多發(fā)的一個(gè)重要原因——違法成本低，誘惑大，很多涉案者選擇鋌而走險(xiǎn)。另一方面，對(duì)于企業(yè)來(lái)說(shuō)，當(dāng)前的罰款金額規(guī)定沒(méi)有足夠的震懾力。

《網(wǎng)絡(luò)安全法》將罰款數(shù)額設(shè)定在違法所得的一倍以上十倍以下，沒(méi)有違法所得的，罰款上限為一百萬(wàn)元。

該法第六十四條第一款規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者、網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的提供者違反該法第二十二條第三款、第四十一條至第四十三條的規(guī)定，侵害個(gè)人信息依法得到保護(hù)的權(quán)利的，由有關(guān)主管部門責(zé)令改正，可以根據(jù)情節(jié)單處或者并處警告、沒(méi)收違法所得、處違法所得一倍以上十倍以下罰款，沒(méi)有違法所得的，處一百萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬(wàn)元以上十萬(wàn)元以下罰款;情節(jié)嚴(yán)重的，并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照。

觀照歐美，則完全是另一番景象。2019年，F(xiàn)acebook因個(gè)人信息保護(hù)問(wèn)題被美國(guó)聯(lián)邦貿(mào)易委員會(huì)（FTC）處以50億美元的巨額罰款。2016年，劍橋分析（Cambridge Analytica）借助Facebook平臺(tái)上的一款應(yīng)用，收集了約8700萬(wàn)Facebook用戶的個(gè)人信息。以這些數(shù)據(jù)為基礎(chǔ)，劍橋分析被指利用精準(zhǔn)推送影響了當(dāng)年美國(guó)大選。美國(guó)聯(lián)邦貿(mào)易委員會(huì)針對(duì)Facebook的調(diào)查和罰單由此而來(lái)。

相較于國(guó)外大型互聯(lián)網(wǎng)企業(yè)因個(gè)人信息泄露指控最高被罰數(shù)十億美元的嚴(yán)厲程度，中國(guó)一些處罰案例中的罰款數(shù)額對(duì)于發(fā)展迅速的企業(yè)來(lái)說(shuō)被指“不痛不癢”，無(wú)從體現(xiàn)法律的震懾力。

一個(gè)典型案例是，2018年，某知名互聯(lián)網(wǎng)平臺(tái)曾被通報(bào)在個(gè)人信息保護(hù)方面存在違法行為，管理部門根據(jù)《消費(fèi)者權(quán)益保護(hù)法》，對(duì)該平臺(tái)在個(gè)人信息保護(hù)方面的違法行為給予警告，并處罰款5萬(wàn)元。

而更多在個(gè)人信息保護(hù)方面暴露出問(wèn)題的企業(yè)，監(jiān)管部門對(duì)其行政處罰仍停留在責(zé)令改正、警告層面。

曾有法學(xué)界人士對(duì)《財(cái)經(jīng)》記者表示，已頒布的個(gè)人信息保護(hù)方面的法律規(guī)定很多，但是也暴露出不少問(wèn)題。當(dāng)個(gè)人信息因企業(yè)或機(jī)構(gòu)的泄露、過(guò)度收集和濫用而受到傷害時(shí)，有哪些可能的規(guī)制手段？

通常而言，刑事規(guī)制往往指向大案要案，民事訴訟經(jīng)濟(jì)成本、時(shí)間成本高昂，各界更多地將此類一般案件的規(guī)制焦點(diǎn)放在了行政監(jiān)管上。

張平指出，遺憾的是，當(dāng)前的行政執(zhí)法還比較薄弱。主要問(wèn)題在于：規(guī)范不統(tǒng)一，多個(gè)部門均有不同程度的執(zhí)法權(quán)但未能有效協(xié)調(diào)，抽查性執(zhí)法，缺乏常態(tài)化監(jiān)管。

對(duì)此，薛軍建議，立法應(yīng)確定專門機(jī)構(gòu)來(lái)負(fù)責(zé)個(gè)人信息保護(hù)領(lǐng)域的行政執(zhí)法，建立常態(tài)化的監(jiān)管機(jī)制。明確執(zhí)法機(jī)構(gòu)，才能保證法律后續(xù)的執(zhí)行。

此外，張平也表示，現(xiàn)在談到個(gè)人信息保護(hù)大多聚焦于企業(yè)，對(duì)收集信息的公共機(jī)構(gòu)如何監(jiān)管的討論較少。“公共部門，包括一些事業(yè)單位也在大量收集公民的個(gè)人信息，但是缺乏監(jiān)管，公眾無(wú)法得知其隱私保護(hù)政策，無(wú)從得知其是否能保證這些信息的安全。”

全國(guó)政協(xié)委員、高鋒集團(tuán)董事局主席吳杰莊建議，在立法、執(zhí)法過(guò)程中根據(jù)個(gè)人信息的敏感度不同而進(jìn)行區(qū)別對(duì)待，對(duì)于敏感個(gè)人信息（諸如身份證信息、人臉信息等）嚴(yán)格保護(hù)，對(duì)于一般個(gè)人信息的收集、使用、存儲(chǔ)的嚴(yán)格程度可以與敏感個(gè)人信息有所區(qū)別。