作者:金茂律师事务所 金文玮 律师
经常看我文章的读者知道我喜欢在解读法条时加个小评语,便于读者能快速理解法条的特点。我对《个人信息保护法》(以下简称“个信法”)的评语如题目所示:迄今中国数据法体系中最优秀的一部法律。
“个信法”的优秀在于两点:操作性强而且逻辑严密。相较于前不久颁布的《数据安全法》原则性规定多于实质性规定而言,“个信法”的规定是满满的“干货”,相较于《网络安全法》的粗线条,“个信法”在构建制度的层面上更加细致,而且在借鉴了GDPR并结合我国的实践后,“个信法”在逻辑的周延性上也做得很好。“个信法”的这两个特点让我在写本文时遭遇了比较大的困难——几乎每条条文都值得解读,很难抽剥出几个“核心”内容让读者快速阅读并能有全面了解,所以我只有按照自己的理解挑选了几条个人认为值得玩味的条款进行解读,逐条详解可能要稍晚一点发出。
一、高举轻放的“伪长臂管辖”
《数据安全法》是我国首部规定了“长臂管辖”原则的法律,而“个信法”是第二部(如果笔者检索不严,欢迎指正)。但相比于《数据安全法》第二条“依法追究法律责任”这样很“刚”的表述,“个信法”就温和得太多了。
虽然“个信法”第三条规定了哪些情况下即使在境外仍须适用“个信法”,但是落实到具体措施时,“个信法”只是要求境外的个人信息处理者,应当在境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并予以报送(第五十三条);如果发现境外组织或个人有侵害行为,也只不过是“将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施”——这说穿了其实还是境内管辖,“个信法”的所谓“长臂管辖”其实是“伪长臂管辖”。
二、处理个人信息两大原则之一:最小化原则
“个信法”第六条规定无论是处理个人信息,还是收集个人信息,都应当遵循“最小化”的原则。
作为总则的规定,“最小化”原则在之后的条文中也得到体现,例如第四十七条“个人信息的删除权(或要求被删除权)”。GDPR中有类似的规定,称为Right to erasure (right to be forgotten),有中文翻译为“被遗忘权”。
GDPR仅仅将“被遗忘权”作为信息主体的请求权,即信息主体有权在符合规定情形时要求将个人信息删除;而“个信法”则更进一步——当符合规定情形时,“个人信息处理者应当主动删除个人信息”。虽然第四十七条是第四章“个人在个人信息处理活动中的权利”中的规定,但是在确认个人有权要求删除个人信息之前,“个信法”首先将删除个人信息作为信息处理者应主动履行的义务——这是“最小化”原则在具体制度规定中的最好体现。
三、处理个人信息两大原则之二:同意原则
“个信法”虽然没有在总则部分规定处理个人信息必须经过个人同意,但在第二章“个人信息处理规则”第一节“一般规定”第十三条规定了处理个人信息需取得个人的同意。
从体例上看,第二章仅次于总则之后,是实质性规定的第一章;“一般规定”是第二章的第一节,相当于第二章的“总则”;而第十三条是第一节的第一条,“取得个人的同意”又是第十三条的第一款第(一)项——所以说“取得个人同意”是处理个人信息极为重要的原则。
对从事个人信息处理业务的商业公司来说,这就是关乎罪与非罪的核心关键。而且这一原则在之后的条文中不断被具体制度所体现。例如,第十四条(细化规定个人同意)、第十五条(撤回同意)、第二十二条(信息转移后接收方变更处理)、第二十九条(敏感个人信息处理)等。
此外,第十三条还有其他值得注意的地方,就是除了“取得个人同意”外,还规定了六种无需取得个人同意即可处理个人信息的情形,尤其是第(二)项。第(二)项“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”原本在“个信法”草案中是没有的,但新增只是对原来逻辑不周延的改进,不是实质性增加用人单位的权力。
四、禁止大数据“杀熟”
虽然“个信法”第二十四条的规定是“个人信息处理者利用个人信息进行自动化决策……不得对个人在交易价格等交易条件上实行不合理的差别待遇”不光禁止“杀熟”也禁止“杀不熟”,但“个信法”草案中并没有这项内容,而从草案到正式发布期间正好曝出有网络平台利用大数据“杀熟”,所以大家更乐意将这条解读为禁止大数据“杀熟”。
第二十四条第二款的规定其实更有意思:“通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项”。利用个人信息进行自动化决策的目的就是为了有针对性的向个人进行推送和营销,而现在“个信法”的规定其实是在削弱通过自动化决策进行针对性推送的功能——实践中商家肯定会采取“针对性推送为主,非针对性推送为辅”的应对策略,平衡点在哪里还需要实践中不断摸索。
五、个人信息保护的前置
无论是《网络安全法》还是《数据安全法》,都没有做到像“个信法”这样要求责任主体将信息保护措施前置。
第五十五条规定了五种情形下“个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录”,五种情形包括“(一)处理敏感个人信息;(二)利用个人信息进行自动化决策;(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;(四)向境外提供个人信息;(五)其他对个人权益有重大影响的个人信息处理活动”。也就是说个人信息处理者在从事这些活动前,必须先进行保护影响的评估,而第(五)项“其他对个人权益有重大影响的个人信息处理活动”则将需要前置评估的范围扩到非常大。
第五十七条规定“发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人”。个人信息处理者在可能要发生泄露事故时,就需要采取保护措施并上报,这也是安保责任前置的表现。
此外,第五十一条、第五十二条、第五十八条都带有前置保护的意味。
六、明确的“过错推定原则”与不明确的赔偿数额
《民法典》的侵权责任编中并没有规定个人信息处理者承担责任的原则,“个信法”予以了确定——过错推定责任原则。“个信法”第六十九条第一款规定:“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”
但是相比于明确的“过错推定原则”,“个信法”在赔偿金额的确定上却和了个不大不小的稀泥。第六十九条第二款规定,当个人受到的损失与信息处理者获得的利益难以确定的,“根据实际情况确定赔偿数额”。本来就是赔偿数额难以确定,还怎么根据实际情况确定呢?实际情况到底算什么标准呢?好歹规定个“法官在五十万元以内酌定”也更具有操作性啊!“个信法”正文到第七十一条(不包括附则)告止,第六十九条第二款规定得欠缺操作性,让人感觉好像立法写到最后有点气力不足似的感觉(当然,这并不影响“个信法”整体的优秀)。