陈根:“个保法”耗时多年起草酝酿,三审过后终到来
文/陈根
在世界数字化转型的背景下,个人“数据人格”和企业“数据资产”的重要意义与日俱增。近年来,个人信息的边界不断向生物识别信息、基因信息的拓展,数据作为关键生产要素业已被中央文件所确认,如何平衡个人信息保护和大数据利用之间的关系,多次成为社会事件争论的焦点。
“世易时移,变法宜矣。”在这样的背景下,如何立法以保护不断外延的个人信息耶成为数字时代下法律保障公民权利的难点。从启动立法研究到表决通过,耗时多年起草酝酿,历经三次审议,2021年8月20日,十三届全国人大常委会第三十次会议终于表决通过了《个人信息保护法》。
《个人信息保护法》是我国迈入数字化社会,彰显“以人为本”的法律制度里程碑,也将正式成为个人信息保护领域的“基本法”。回望《个人信息保护法》的立法之路,虽然几度艰难,但也意义重大。
从决定立法到进程停滞
很难想象,这部刚出台的法律,早在18年前就启动了立法研究。彼时,全球范围内,计算机的普及正在加快,当政府机构、大型跨国公司通过计算机大规模地处理公民个人信息时,传统法律中防御性的、事后救济性的“隐私权”已难以完全解决个人信息非法收集和利用问题。
私法领域的“隐私权”逐步发展为公法领域的个人信息保护制度。即在未发生明确的隐私侵害后果之前,就通过行为规范方式,明确个人信息处理的方式,包括知情同意、最小化、目的特定、保障安全与可问责等。在这样的情况下,欧美发达国家率先完成个人信息保护立法,
对于中国来说,尽管中国也已开启了个人信息保护的相关立法,比如2000年9月20日,中华人民共和国国务院通过《互联网信息服务管理办法》,2000年9月25日公布施行;2004年8月28日,中华人民共和国第十届全国人民代表大会常务委员会第十一次会议于通过《中华人民共和国电子签名法》,自2005年4月1日起施行,但在当时,中国尚处于传统互联网时代,还没进入移动互联网时代,智能手机也不太普遍,个人信息的泄露和滥用远没有现在这么严重。
在这样的背景下,2001年,国家成立国家信息化领导小组,下设国务院信息化工作办公室(下简称“国信办”),主要负责推动国家的信息化相关立法。受国信办委托,由周汉华领衔的个人数据保护法研究课题组承担《个人数据保护法》比较研究课题并草拟专家建议稿。
2003年,国信办着手部署个人信息保护法立法研究工作。2年后,在综合参考了欧盟、美国、日本等比较有代表性的个人信息保护制度后,课题组于2005年形成了近八万字的《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》,共六章72条。
事实上,按照国信办的立法规划,个保法本应紧随《电子签名法》《政府信息公开条例》出台。然而,前两部法律顺利通过,个保法却迟迟不见动静。究其原因,则是其在一定程度上受到2008年的政府机构改革的影响。
改革后,国信办的职责由新成立的工业和信息化部下属的信息化推进司和信息安全协调司承担,相对削弱了对于个保法的推进力度。再加上当时重要的立法领域特别多、立法任务特别重,以至于个保法没有排上更加重要的议事日程。
于是,受到机构改革、立法资源制约等多重因素的影响,个保法的立法进程在2008年之后的数年间陷入停滞。
个人信息保护法重新提上议程
2010年之后,中国逐渐进入移动互联网时代。智能手机颠覆了整个互联网的生态,迅速地改变了互联网的格局。技术放大了风险,个人信息保护也面临比以前更多的挑战。这个风险至少表现在两个方面。
一方面,是立体化的个人数据很容易遭受侵害。现在,一个用户的手机几乎可以囊括主人的所有信息。就像在2014年罗伯茨大法官所指出的那样,授予警察自由查阅智能手机的权力“会将个人完全暴露在政府面前,并且这种暴露的程度相较于对住宅的彻底搜索有过之而无不及”。
随着移动设备功能越来越强大,智能手机还能够记录包括相册、个人视频、网页浏览历史以及个人通信记录等在内的众多信息,存储了数GB计算的个人数据的智能手机已成为了“个人生活中普遍且重要的组成部分,以至于天外来客可能将它们视作人体结构中的重要特征”。
另一方面,是用户数据泄露的规模与前数字经济时代相比是呈指数级增长。不仅仅用户个人的信息更加立体化了,而且规模也大幅度增加,现在所泄露的往往是以数千万甚至上亿计算被泄露的信息。
仅仅在2018年,就至少有Facebook、Under Armour、My Heritage、圆通、顺丰、华住和喜达屋等用户数据泄露事件发生。尤其需要指出的是,万豪旗下的喜达屋受黑客入侵的5亿用户信息中,用户的姓名、住址、电话号码、电子邮件地址、护照号码、信用卡等所有核心的信息统统被泄露出去。
2019年上半年,互联网数据泄露事件则激增至3800多起,达到有史以来的最高峰,8.7亿条个人信息在暗网上出售,7.73亿个邮件地址及密码被窃,5.9亿中国人的简历被泄露,被公开的不止是姓名、电话,还有身份证号、户籍、婚姻状况、家庭住址等。
更重要的是,即便人们面临如此巨大的信息泄露风险,人们却依然离不开个人信息的让渡。这是因为,数字经济时代下,信息(数据)正成为科技创新的突破点,是数字经济的核心生产要素,也是经济转型和创新发展的新引擎。
对企业来说,数据是21世纪的石油;对政府来说,数据则是基础性的战略资源。而对于数据的挖掘和利用已在商业(尤其是零售业)、公共卫生和安全、个人消费升级等领域创造了许多价值,数据的更多潜在用途也被社会所期许。
更进一步,隐私保护本质上是个人数据保护与分享、收益与成本之间的权衡,隐私保护的核心就是一个成本和收益的平衡问题。当我们讨论隐私保护的收益时,不仅包括个人收益也包括外部性,即通过有效使用个人信息,可以促进就业、发展金融市场、维护公共安全和保持健康卫生等社会收益。
在这样的背景下,个人信息保护法被重新提上议程。2018年9月,全国人大常委会正式将《中华人民共和国个人信息保护法》纳入“十三届全国人大常委会立法规划”,位列“条件比较成熟、任期内拟提请审议”的69部法律草案之中。2020年10月21日,中国人大网如期公布《中华人民共和国个人信息保护法(草案)》全文,并对其公开征求意见。
个人信息保护法如约而至
尽管个人信息保护法案被重新提上议程,但从决定立法至今,18年间,中国和世界的技术、经济、社会和政治格局均已发生了深刻变化,个人信息的内涵也在这个过程中不断外延。于是,从2020年10月到今年8月,个保法草案前后经历了三次全国人大常委会审议。
学界、企业和立法机构代表因为各自立场不同,发生了不少条款上的碰撞。其中,相较于初次审议,个保法在二次审议进一步明确了个人信息处理应遵循的原则,进一步完善个人信息处理规则,新增自然人死亡的,个人在个人信息处理活动中的权利由其近亲属行使,以及提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行规定义务等。
而相对于草案二次审议,三次审议又对应用程序(APP)过度收集个人信息、大数据杀熟以及非法买卖、泄露个人信息等作出有针对性规范,新增允许收集和处理个人信息的情形,将未成年人个人信息作为敏感个人信息予以严格保护,以及做好草案有关条款与民法典有关规定的衔接等。
在历经三次审议后,现在,《个人信息保护法》终于被正式确立了下来,并自2021年11月1日起施行。《个人信息保护法》全文共8章74条,对法律的适用范围、以“告知—同意”为核心的个人信息处理规则、个人信息处理活动中个人的权利和处理者义务、大型网络平台的特别义务、国家机关处理个人信息的规范、个人信息跨境流动以及履行个人信息保护监管体制、法律责任等内容作出了具体规定。
在立法模式上,《个人信息保护法》采取了全球主流的,综合性通用立法模式,适用于各行各业。特别是明确国家机关处理个人信息,同样适用《个人信息保护法》,具有重要意义。在智慧城市、数字治理建设背景下,政府成为最主要的数据处据机构,政府机关遵循《个人信息保护法》法律规范,在履行法定职责的范围内,依法依规处理个人信息,将在全社会起到身先示范效应,彰显了我国政府在数字时代遵循法治理念的决心。
在规范内容上,《个人信息保护法》确立的基本原则、数据处理合法性基础、个人信息的分类(包括敏感信息、匿名化信息、去标识化信息等类别),数据处理者的义务(包括数据泄露通知、个人隐私影响评估、文档化记录)与国际立法虽仍有细微差别,但仍具有较强的兼容性。
在跨境数据流动等场景中,《个人信息保护法》除了引入国际上一些较为成熟的做法,如标准合同机制外,还强调国家积极参与个人信息保护国际规则的制定,推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等的互认,显示了开放心态。
显然,作为首部专门规定个人信息保护的法律,《个人信息保护法》满足了人们的期待,其立基于清晰的定位,保证了整部立法总体而言具有妥当性。《个人信息保护法》也将肩负起数字时代下个人信息保护的使命,引导我国个人信息保护的法制建设步入一个新的篇章。