个人信息保护应在社会治理框架中考量
在信息时代,数据被认为是比石油更为珍贵的资源。由于绝大多数的数据,都来源于个人或与个人的活动有关,因而海量的数据主要是由个人来贡献。根据可识别性标准,即单独或结合其他信息是否可识别到特定的自然人,具有可识别性的个人数据,就作为法律上的个人信息而存在。我们在手机上使用的所有App,网络科技公司提供的宣称是免费的所有服务,其实都不是无偿的。只不过,作为使用者的我们,支付的代价不是金钱,而是个人信息。个人信息方面的代价,可能比有形的费用要高得多。
对数据的合理化治理跨出重要一步
个人信息法律保护命题的复杂性,根源于在个人数据之上,汇集了多方主体不同性质的权益。其中,既涉及作为数据主体的个人隐私权与个人信息权等,也涉及作为收集者与处理者的企业、产业界的经济性利益,还涉及国家与政府在宏观经济与社会治理方面的利益。由于需要在个人权益的保障、数字经济的发展与社会治理的成效之间进行权衡,这使得有关个人信息的法律保护,自始就兹事体大,需要在整体的社会治理框架中来加以考虑。
作为一个超大规模的复杂社会,中国在国情方面的特殊性,以及网络化与信息化的发展程度的差异,使得在数据的社会治理上,我们并无现成的方案可供照搬。个人信息保护法草案的出台,有其积极的意义。它代表着立法者在如何实现对数据的合理化治理的方向上跨出重要一步。
个人信息保护法草案至少在如下方面取得重要成效:一是在落实信息收集环节的“知情—同意”的机制方面,草案出台了比较切实的举措。通过对告知事项、各情形中的同意要求、撤回同意权等做出明确规定,“知情—同意”的保护机制或有望借此得到贯彻与落实。二是通过规定包括知情权、查阅复制权、更正权、删除权等在内的权利,草案强化了个人在信息处理环节的控制权能。三是草案试图构建以二元机制为支柱的法律保护框架,即在“知情—同意”的机制外,引入对信息处理者的合规要求的机制。为此,草案对信息处理者的义务做出较为明确的规定,包括对个人信息实行分级分类管理与采取相应的加密、去标识化等安全措施,以及在特定情形中要求进行事前的风险评估等。四是初步确立按个人信息类型提供分级保护的机制,对敏感信息的处理做出专节的规定。
法规制度还有待进一步细化和完善
与此同时,个人信息保护法草案的不足之处也较为明显。
其一,草案在明确个人在信息收集与处理环节享有诸多权利的同时,并未规定相应的法律责任条款与之配套,使得个人事实上根本难以对信息处理者提出权利主张。根据草案第65条的规定,个人如想向信息处理者主张权利,要证明自身存在损失或信息处理者获得利益,此外尚需进一步证明侵害行为与自身所受损失或信息处理者所获利益之间存在因果关系。在民事诉讼中,这样的证明责任于个人而言,无疑是不可承受之重。
其二,草案虽然对国家机关处理个人信息作出专门的规定,但涉及制约性的规定,其内容非常概括,难以对国家机关收集与处理个人信息的行为进行有效的制约。国家机关作为社会治理的主体,本身也担任信息处理者的角色。相比于像企业这样的私主体,国家机关在处理个人信息方面无疑应当受到更多的制约,需要遵守公法上的比例原则。这不仅是因为公权力部门的执法活动,只有取得法律的明确授权才可为之,也是因为公权力的滥用,易于对个人、对社会造成更大程度的危害。尤其是,鉴于草案第27条只是含混地规定,在公共场所基于维护公共安全的需要,设置显著的提醒标识,并遵守国家的有关规定,就可不经同意而收集与处理个人信息,公权力部门的滥权风险提升。对于第27条的内容,有必要考虑吸纳比例原则中的相应要求,以对不经同意的例外情形做较为严格的限定。
其三,草案专门对监管部门的职责范围与相应职权作出明确,但对如何确保其合法合理地履行职责并无具体规定。国家机关除了作为个人信息的处理者之外,也可能以数据主体的保护者或利益冲突的调解者的角色出现,承担起监管方面的职能。这种监管职能属于国家权力的行使,其间势必涉及行政机关与相对方之间的关系,故监管部门应当如何履行监管职责方面的内容,也有必要加以规定。与此相应,在法律责任条款中,需要考虑如监管部门未依法履职,相对方如何获得救济等问题。
(作者:劳东燕,系清华大学法学院教授)