《個人信息保護法（草案）》的立法評析與完善思考*

黃道麗，胡文華

（公安部第三研究所，上海 201204）

0 引 言

2020 年10 月21 日，《個人信息保護法（草案）》（以下簡稱草案）在中國人大網正式向社會公布并征求意見。繼個人信息保護相關規定散布于《全國人民代表大會常務委員會關于加強網絡信息保護的決定》《中華人民共和國刑法》《消費者權益保護法》《網絡安全法》《民法典》等法律法規之后，我國即將邁入個人信息保護專門立法、統一規范的新時代。在全球數字經濟迅猛發展，國際社會圍繞數據控制力與主導權的博弈日趨激烈，國內加快培育數據要素市場的背景下，草案是具有中國特色個人信息保護思路的集中體現。草案對個人信息的處理規則、個人權利和處理者義務、跨境流動、監督管理、侵權救濟、法律責任等作出了明確規定，為數字時代的個人信息權益保護、個人信息有序、自由流動確立了基本框架。

1 《個人信息保護法（草案）》的中國特色

近年來，在國外歐盟《通用數據保護條例》（General Data Protection Regulation，GDPR） 掀起的全球個人信息保護立法浪潮盛行，國內個人信息非法采集、濫用、泄露等形勢嚴峻的背景下，我國不斷強化對個人信息保護的監管與執法力度，并進行制度探索。

一方面，國家相關立法快速推進，《網絡安全法》《民法典》相繼出臺，在基本法層面構建了個人信息保護的行政和民事基本規范。另一方面，部門規范、地方規范、標準規范等自下而上的制度探索全面展開。國家互聯網信息辦公室相繼發布《數據安全管理辦法（征求意見稿）》《個人信息出境安全評估辦法（征求意見稿）》。地方層面圍繞數據跨境、數據安全保障、數據開放、數據權等問題積極先試先行，典型如《天津市數據安全管理辦法（暫行）》《貴州省大數據安全保障條例》《深圳經濟特區數據條例（征求意見稿）》《中國（上海）自由貿易試驗區臨港新片區總體方案的通知》《海南自由貿易港建設總體方案》等[1]。標準規范層面，國家標準《信息安全技術 個人信息安全規范》出臺并實施，充分發揮標準與行業的良性互動作用。

在個人信息保護執法層面，圍繞個人信息非法采集和濫用、數據三性破壞等活動的數據安全專項治理行動空前有力。App 違法違規收集使用個人信息專項治理行動全面展開，公安部、市場監管總局、工信部、網信辦等部門充分發揮監管、主管職責開展個人信息保護專項行動。為保持對侵犯公民個人信息違法犯罪的高壓嚴打態勢，形成源頭治理、綜合治理、系統治理的工作格局，2020 年4 月，經中央領導批準，公安部與中央網信辦牽頭，建立打擊危害公民個人信息和數據安全違法犯罪長效機制。

正是在這樣的背景下，我國《個人信息保護法（草案）》出臺。從現有規定來看，草案吸收了近年來個人信息保護的國際經驗以及國內前期《網絡安全法》《民法典》等立法、標準和實踐經驗，使得草案既與國際接軌，又不乏中國特色。尤其是與歐盟GDPR 相比，草案在個人信息處理的合法性基礎、信息主體權利、個人信息處理者義務的規范方面引入了歐盟GDPR 的理念和相關規定，但同時也具有鮮明的中國特色：

第一，以“個人信息處理者為中心”的監管思路。GDPR 從概念上對數據控制者和數據處理者進行區分，并分別對其設置了個人信息保護義務。草案中的委托方、受托方基本對應于GDPR 中界定的數據控制者和數據處理者概念。但與GDPR 對數據處理者同樣設置個人信息保護義務的規定不同，草案將個人信息保護義務集中于“個人信息處理者”，明確個人信息處理者應當對其個人信息處理活動負責, 并采取必要措施保障所處理的個人信息的安全（第9 條）。草案還設專章規定個人信息處理者義務（第5章）。根據草案第69 條的規定，“個人信息處理者”是指自主決定處理目的、處理方式等個人信息處理事項的組織、個人。根據這一界定，不能自主決定處理目的、處理方式的受托者并不屬于“個人信息處理者”。從這一立法思路來看，所有的監管均圍繞“個人信息處理者”為中心展開。

第二，數據本地存儲和跨境提供問題。跨境數據流動已經成為時代發展的必然要求。但與此同時，其所帶來的隱私保護問題、數據主權問題、國家安全問題使得各國在此問題上存在諸多分歧，不同主權國家法治傳統與制度環境的差異導致跨境數據流動的規制沖突日益嚴重。據美國信息技術創新基金2017 年4 月統計，除信息化水平較低的非洲外，絕大多數國家均已實施了不同程度的數據本地化政策[2]。數據本地存儲和跨境提供是《網絡安全法》諸多制度設計中一直難以落地的關鍵問題之一。草案細化了個人信息本地化和跨境傳輸的要求，目前規定的部分內容突破了《網絡安全法》第37 條規定，本地存儲的義務主體既包括國家機關、關鍵信息基礎設施運營者，還包括處理個人信息達到規定數量的個人信息處理者。

2 制度定位：保障個體權益兼顧數據要素市場培育

個人數據作為大數據的重要基礎資源，具有重大的商業價值和社會價值。在個人信息保護立法過程中，“不同于傳統隱私權從個體出發為個體提供單一向度的權利保護，個人信息需要從保護和利用兩個角度兼得的視角加以考量”[3]。其是在中央將數據與土地、資本、勞動力、技術并列為五大生產要素的背景下，個人信息保護立法應當在關注個人信息人格屬性保障的同時，兼顧其經濟價值和社會價值的釋放，為數據要素市場化建設提供制度支撐。從全球范圍來看，無論是歐盟的GDPR 還是美國《加州消費者隱私法》（California Consumer Privacy Act，CCPA）的規則設計，其在考慮對信息主體進行保護的同時，也將數字經濟發展作為重要考量因素之一。這要求立法的制度建設需從增強用戶（信息主體）信任和企業激勵機制兩個維度著手。

從草案目前版本來看，立法者已經注意到了這一點，并在部分制度建設中有意平衡個體權利保護和企業責任承擔之間的關系。例如草案在“知情—同意”之外增加了“為訂立或者履行個人作為一方當事人的合同所必需”等其他四項個人信息處理的合法性基礎。在數據泄露通知方面，規定個人信息處理者采取措施能夠有效避免信息泄露造成損害的，可以不通知個人，這大大降低了企業的通知成本。但草案仍存在以下問題亟待解決：

第一，部分場景仍堅持“同意為王”的治理模式。個人信息保護制度中的“知情—同意”框架偏向于通過信息主體自治以保護個人信息，這一路徑選擇對信息的合理流通和利用構成了嚴苛的限制，實踐中也存在形式化問題[4]。此外，過于嚴苛的“同意”規則會造成數據企業經營成本的增加，制約數據經濟的發展。在此背景下，各國紛紛開始重新審視同意規則在個人數據保護中的實際效用，探索新時代語境下同意規則的合理性及適用問題[5]。從當前國際通行做法來看，增強信息主體對個人信息的控制力、重視對信息處理者的過程規制、強化事后問責都是可行路徑。草案也在很大程度上秉承了這一監管理念。值得肯定的是，草案在個人信息處理的合法性基礎方面，除了規定同意之外還增加了其他合法事由，這在一定程度上可緩解當前真正的同意難以實現，反而可能為個人信息處理者提供免責事由損害信息主體利益的情況。但需要指出的是，草案在諸多場景下，仍然實質上堅持用戶“同意為王”的治理模式。例如個人信息處理者因合并、分立場景下，接收方變更原先的處理目的、處理方式的（草案第23 條）、接收個人信息的第三方變更原先的處理目的、處理方式的（草案第24 條）、個人信息的公開（草案第26 條）等。

第二，缺乏對個人信息處理者“合法利益”的保障。在數據要素化背景下，在不侵犯信息主體基本權利及自由的前提下，立法上承認個人信息處理者對其處理的個人信息享有合法利益，對于激勵企業挖掘數據潛能具有重要意義，也是《個人信息保護法（草案）》在保障個體權益的同時，為數據要素市場化建設提供的重要制度支撐。在個人信息處理者對個人信息處理投入大量的人力、物力、財力的現實情況下，信息處理者對此類衍生數據享有一定的合法利益具有立法上的正當性。這一點在國際立法上也有例可考，如歐盟GDPR 將“數據控制者或第三方為追求合法利益目的而進行的必要數據處理”作為數據處理的合法基礎之一。

第三，未區分“去標識化”個人信息與一般個人信息處理規則。當前“匿名化”“去標識化”在數據處理中廣泛應用。草案對“匿名化”“去標識化”作出了明確界定，并規定匿名化的信息不再屬于個人信息。但對于“去標識化”的法律效果并沒有作出與一般個人信息處理規則不一樣的規定。在實踐中，“匿名化”往往難以實現，使得去標識化作為一種安全技術應用得更為廣泛。“去標識化”個人信息在不借助額外信息的情況下無法識別特定自然人的特點決定了其與一般個人信息存在較大差別。立法對其處理規則未做特殊規定，忽視了二者之間的差異，一方面可能會導致個人信息保護效果適得其反，如已去標識的個人信息要求獲得信息主體的同意意味著再次對信息主體進行識別。另一方面也難以對企業進行去標識化處理形成激勵效應。

3 體系定位：做好規范體系協調

我國個人信息法律保護近年來發展迅速，早期個人信息保護領域《中華人民共和國刑法》先行，而民事、行政立法薄弱的問題得以緩解，尤其是隨著《網絡安全法》《民法典》的出臺，個人信息保護的民事、行政立法逐漸充實。在學術界，由于個人信息的特殊性質，個人信息保護近年來成為不同法律部門與理論研究的熱點，也產生很多爭議，包括個人信息保護的本質究竟是權利還是權益，個人信息的權益屬性究竟是人格權還是財產權，《民法典》人格權編與個人信息保護法的關系，個人信息民法保護、行政法保護與刑法保護之間的關系等[6]。個人信息保護法即將出臺，該法如何與《民法典》《網絡安全法》《中華人民共和國刑法》以及未來即將出臺的《數據安全法》等立法進行有效銜接與協調，都是當前亟待解決的問題。

3.1 與《民法典》的協調

作為民事領域的基礎性法律，《民法典》將個人信息保護問題納入“人格權編”，并對個人信息處理規則、合理使用、責任承擔等作出明確規定，為個人信息作為“人格利益”予以保護以及保護機制提供重要依據。作為一部以保護“個人信息權益”為重要目標的立法，如何與《民法典》進行規范性協調是個人信息保護法面臨的一個核心問題。

草案諸多條款以《民法典》的規則為基礎，例如個人信息共同處理者的連帶責任就是以民事共同侵權理論為基礎；個人信息處理委托方與受托方、轉委托規則也以民事委托合同規則為基礎；侵犯個人信息權益的賠償標準是因人身權益受侵害遭受財產損失的賠償標準，等等。與《數據安全法》《網絡安全法》更加側重國家安全與公共安全不同，草案更加側重對個體個人信息權益的保障。例如草案確立的以個人“知情—同意”為核心的數據處理規則。專章規定的個人權利，對應的個人信息處理義務章節也是以保護個人信息權益為導向。草案還采用了《民法典》“個人信息處理”的概念，遵循了《民法典》確定的信息處理者管理思路。從這一角度看，可以說，草案是以《民法典》所確立的個人信息民事權益為基礎，從國家監管角度，用公權力細化、落實個人信息民事合法權益的保障法。基于此，草案的許多規定還需要與《民法典》相協調。例如目前草案第15 條規定的“以14 歲為界”需要與《民法典》第1035 條進一步協調。同時，“敏感信息”處理規則如何與《民法典》中的“私密信息”規定進行協調也是需要考慮的問題。此外，公開個人信息的處理規則也需要注意與《民法典》相關規定的有效銜接。

3.2 與《網絡安全法》《數據安全法》等的協調

作為網絡安全領域的綜合性立法，2017 年《網絡安全法》將數據安全納入網絡安全范疇，基于網絡安全保障目的，為個人信息保護與數據安全的部分重要、核心制度奠定了基礎。《網絡安全法》施行已經三年有余，國際國內形勢變化、新技術新應用發展都對數據安全和個人信息保護問題提出了非常迫切的法律要求。從國家頂層設計來看，《網絡安全法》、《數據安全法》，以及正在制定的個人信息保護法將是支撐國家網絡安全保障工作的重要支柱。

當前，草案部分規定與《網絡安全法》存在需要協調之處。例如草案第62 條違反處理個人信息規則的行政處罰規定與《網絡安全法》第64 條網絡運營者和網絡產品服務提供者違反個人信息處理規定設定的行政處罰在處罰條件、罰款最高額度方面的規定皆不相同，二者發生競合時如何適用？草案確立的數據本地化與跨境流動規則與《網絡安全法》第37條規定的不一致，未來將如何協調？草案第40 條將關鍵信息基礎設施運營者與處理個人信息達到國家網信部門規定數量的個人信息處理者并列，未來在關鍵信息基礎設施的認定中，系統中的“個人信息”數量是否將成為認定關鍵信息基礎設施的考量因素以及如何適用這一標準則需要與本條銜接協調。此外，還需做好個人信息安全評估、認證與其他網絡安全檢測、認證、評估之間的內容銜接，盡可能避免重復檢測、認證和評估。

除個人權益保障之外，草案也注意到了個人信息處理對公共安全、國家安全乃至國際競爭的影響。如草案第10 條禁止性規定，納入了國家安全和公共安全的考量因素，第41 條關于國際執法協助規定，第42 條規定個人信息提供負面清單制度；基于公共安全和國家安全的考量，可以實施第43 條對等原則。上述規定與《數據安全法（草案）》在規制思路上存在相似之處但也有所差異。與《數據安全法（草案）》第33 條國際執法協助的規定相比，草案還增加了行政執法協助的規定，這些差異都需要在兩部立法的制定過程中予以協調。

3.3 與《中華人民共和國刑法》的協調

大數據時代的到來，使得對個人數據的法律保護面臨重大的沖擊。無論是作為整體的法律體系還是作為部門法的刑法，都莫不如此[7]。因此，無論是正在制定中的個人信息保護法還是已實施許久的刑法，在相應的規則制定或落實中都應當著眼于整個法律體系走向，置于整個立法體系的視野之中予以考慮。《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱兩高解釋）將“未經被收集者同意，將合法收集的公民個人信息向他人提供的”認定為“違反國家有關規定，提供公民個人信息”的行為。隨著草案在同意之外增加了其他幾項合法處理的事由，上述提供行為是否必然屬于非法提供還需根據具體情況來進行判定。雖然草案第24條對個人信息處理者向第三方提供行為仍然堅持同意規則，并要求單獨同意。但該條本身與第13 條合法性基礎的規定存在邏輯上不能自洽的問題。此外，兩高解釋對行蹤軌跡信息、通信內容、征信信息與財產信息這四類信息的定罪情節作出了不同于一般個人信息的從嚴要求，但沒有對生物數據等更為敏感的個人信息給予更高程度的刑法保護。這一點如何與草案規定的包括“種族、民族、宗教信仰、個人生物特征”等在內的敏感個人信息保護規則進行協調也需要通盤考慮。

4 完善思考

4.1 明確監管部門權責分工，避免多頭監管

草案第56 條明確國家網信部門負責個人信息保護工作的統籌協調，同時規定，國家網信部門和國務院有關部門在各自職責范圍內負責個人信息保護和監督管理工作。其規定未能解決網絡安全保護、數據安全治理領域長期存在的監管體制機制問題，建議進一步明確各監管部門之間的權責分工和界限，避免立法施行后因權力范圍重疊出現管理和執法尺度不一，影響個人信息保護監管執法的實際效能。

4.2 細化罰款標準，避免執法主體自由裁量幅度過大

草案第62 條規定了個人信息違法處理的法律責任，其處罰規則借鑒了歐盟GDPR 的監管思路。為懲治個人信息違法處理亂象，加強法律懲治力度，增加違法成本的做法值得肯定。但現有規定在最高額五千萬元以下或者上一年度營業額百分之五以下罰款的幅度內，未能確立相對明確、細化的罰款等級標準，給予監管部門自由裁量空間過大，可能會帶來執法上的諸多問題。

4.3 敏感個人信息的界定應當納入動態評估因素

將“敏感個人信息”予以特殊保護是當前國際通行做法，如何設計敏感個人信息的處理規則以平衡個人信息保護與利用的關系是立法亟須解決的問題。草案第二章第二節專門規定“敏感個人信息的處理規則”，第29 條界定了敏感個人信息的內涵與外延。事實上，個人敏感信息的判定基于風險評估，在不同的場景、不同的行業、不同的適用條件下很難統一作立法上的區分。正如西米蒂斯（Simitis）教授所言：“所有數據信息的評估都必須建立在充分考慮其使用背景的基礎上。數據控制者的特定利益、數據的潛在接受者、收集數據的目的、收集數據的條件以及可能對數據主體產生的影響等整個數據處理過程中的因素要綜合起來進行考察，以此確定相關信息的敏感程度。”[8]因此，敏感個人信息的界定應當是一個動態評估的過程，建議采用“列舉+動態評估”規則。此外，個人敏感信息的界定與適用還需考慮與《民法典》《網絡安全法》《中華人民共和國刑法》及其司法解釋中的相關概念之間的協調，實現民法、行政法與刑法在個人信息保護上的一體化銜接。

4.4 自動化決策重大影響判定宜采用客觀標準

草案第25 條明確了利用個人信息進行自動化決策的要求，強調自動化決策的透明度和處理結果的公平合理，并規定了個人的救濟途徑。當前，自動化決策技術廣泛應用于商業經營及社會治理中具有巨大的經濟價值和社會價值。與此同時也對人的主體性、公平性等帶來挑戰。鑒于自動化決策中也會涉及個人信息的利用，立法確需在自動化決策應用中平衡個體權益、商業利益和社會公共利益。基于此，草案第25條自動化決策是否會“對個人權益造成重大影響”的判定宜采用客觀標準，而不宜采用當前條款中類似“個人認為”的主觀標準。

5 結 論

自2012 年全國人大常委會通過《關于加強網絡信息保護的決定》以來，我國無論數據產業還是數據規范都取得了突飛猛進的發展。此次發布的《個人信息保護法（草案）》也在一定程度上體現了對近年來立法、執法等經驗的總結，回應了產業發展的現實需求。但仍可以注意到，目前的版本在數據處理合法性基礎、監管機制設置、敏感數據保護等制度構建上有待進一步完善。在中央將數據作為生產要素的背景下，個人信息保護立法應在關注個人信息人格屬性保障的同時，兼顧其經濟價值和社會價值的釋放，為數據要素市場化建設提供制度支撐。在當前已出臺《網絡安全法》《民法典》，未來還將出臺《數據安全法》的背景下，個人信息保護立法應做好不同立法間的規范協調，推動構建個人信息保護刑事、行政、民事全方位法律保護體系。