今年5月25日,全国人大常委会工作报告指出,要加强重要领域立法,围绕国家安全和社会治理,制定生物安全法、个人信息保护法、数据安全法。这意味着,承载公众期待的个人信息保护法将加速出台。 我国目前有多部法律、法规、规章涉及个人信息保护,但总体上呈分散立法的状态。一方面,分散立法缺乏统一性与整体性;另一方面,相关立法或事后治理或原则性较强,调整法律关系的核心内容即信息主体、信息业者、政府等相关主体的权利义务关系体现得不足,源头治理、系统治理的立法功能还发挥得不够。这些都影响了法律的实际效果。因此急需出台个人信息保护的专门法律,加强系统治理与源头治理。 制定一部科学、完整、专门的个人信息保护法律,建立完善的个人信息保护制度符合人民的期待。为了更好解决现实问题,立法应重点关注以下几方面内容。 第一,科学界定个人信息权利的保护范畴。我国的个人信息保护大致经历了以下几个阶段:第一阶段,20世纪90年代前后,“个人信息”并不是法律概念。1986年《民法通则》规定公民享有的民事权利以列举的方式指出,包含“姓名权”“肖像权”“名誉权”“荣誉权”等人身权。1991年《民事诉讼法》规定了涉及“个人隐私”证据保密及案件不公开审理的程序性保护措施。《侵权责任法》进一步将隐私权作为一项独立的民事权利加以规定。这个阶段个人信息安全并未成为单独权利形式,以保护法律规定相关人身权利形式存在的,外延小。第二阶段,90年代末21世纪初,“个人信息”在立法中开始体现。2003年《身份证法》使用了“个人信息”这一表述,第6条规定了对个人信息的保密,第19条规定了警察因制作、发放、查验、扣押居民身份证得知公民个人信息,泄露并侵害公民合法权益的,给予行政处分或追究刑事责任。虽然个人信息作为法律概念初登舞台,但此时个人信息更多出现在公法领域中,同时缺乏权威界定。现阶段,随着个人信息保护需求的迫切性增加,个人信息保护立法逐渐清晰。2013年《电信和互联网用户个人信息保护规定》中指出,本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。同年发布的我国首个个人信息保护国家标准——《信息安全技术公共及商用服务信息系统个人信息保护指南》,虽然该指南只是指导性文件,但不难看出,随着时代与技术发展,个人信息的定义与属性也不断变化,对个人信息的科学界定是摆在立法道路上的首要问题。 第二,权衡好数据自由流动和个人权利保护之间的关系。强调权利保护的个人信息保护,目的是提升用户对自身数据的控制权。但在今天,数据是数字经济发展的基本要素,过于严苛的数据保护活动,也会影响对数据的挖掘和利用,使产业和技术发展受到限制,且过高的保护标准在实践中也会难以落实。当前,在个人信息保护的基本原则问题上,实践中存在过度依赖将“知情同意”原则作为合法收集使用证据的现象,但所谓的“合理、正当、必要”原则也还缺乏具体判断标准。立法应当尊重产业发展的基本规律,进行更合理、精细的制度设计,兼顾数据自由流动和个人权利保护。 第三,明确部门分工,加强部门协同。个人信息保护涉及行业部门众多。现实中,互联网与传统行业的不断融合,跨行业、跨领域的个人信息保护情况层出不穷,但现有立法并未明确规定各行业主管部门在个人信息保护领域的管理边界,还存在不少重复监管和监管真空的现象。同时,分散的个人信息保护管理体制,使得公民在个人信息受到侵害后投诉举报常难以被受理或解决,救济难度增加。因此,要使个人信息保护法的立法目的得以真正落地,在实践中应当建立保护层级更高、统筹和协调性更强的个人信息保护体制,进一步统一执法标准。 第四,加强配套制度建设,织密个人信息安全保护网。个人信息保护法一方面要整合、修改和补充原有的法律规范,消除其间的矛盾和混乱,建立规范、系统的法律体系;但另一方面,它不可能面面俱到,只能明确基本原则、基本制度、基本行为规范和法律责任,只有和其他法律有效协同,才能让个人信息保护制度兼备稳定性和开放性。我国目前个人信息方面的法律、法规和规范性文件虽然不少,但以行政法领域的立法居多,私法保障的配套建设还不足,《民法典》有关个人信息的规定主要涉及个人信息定义、收集处理个人信息原则及要求、个人信息被收集者和收集者的权利义务、国家机关和工作人员履职过程中对知悉的个人信息依法保存保密的义务等方面,但在实践中的运行,还需要着重考虑如何处理好《民法典》与网络安全法、个人信息保护法等其他立法的关系。同时,个人信息保护法制定时应充分考虑与国际规则的衔接安排,明确个人信息的国内保护机制和跨境制度安排,强化与各国、各地区以及国际组织的立法、司法、执法之间的交流合作,建立更完善的国际信息保护机制。 |