怎样建立完善个人信息处理规则——简评《个人信息保护法草案》
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
怎样建立完善个人信息处理规则——简评《个人信息保护
法草案》
《个人信息保护法草案》以专章、25条对个人信息处理规则作出了详尽的规定。细化了民法典关于告知同意的规定,并以告知同意作为个人信息处理中的最基本规则;对处理者共同决定个人信息的处理、委托他人处理个人信息或向第三方提供处理的个人信息时的法律义务和责任作出了规定;在区分敏感个人信息与非敏感个人信息的基础上,对敏感个人信息的处理采取更加严格的规则;对国家机关处理个人信息作出了特别的规定。
民法典在人格权编第六章对个人信息保护作出了规定,不仅界定了个人信息、区分私密信息与非私密信息,还对个人信息处理的涵义以及处理的原则与规则进行了规定。由于民法典是民商事领域的基本法,其对个人信息保护的规定主要是确立大的原则方向、规定最重大和最基本的问题。故此,个人信息处理的基本规则还需要个人信息保护的专门立法加以规定,最高立法机关正在抓紧起草个人信息保护法。2020年10月举行的十三届全国人大常委会第二十二次会议对《个人信息保护法草案》(以下简称《草案》)进行了第一次审议,并在会后向社会公开征求意见。
《草案》采用专章(第2章)、25条(占整个草案条文数量的比例超过三分之一)对个人信息处理规则作出了详尽的规定。其特点在于:首先,细化了民法典关于告知同意的规定,并以告知同意作为个人信息处理中的最基本规则,从而更好地维护自然人对其个人信息的知情权和决定权。其次,对处理者共同决定个人信息的处理、委托他人处理个人信息或向第三方提供处理的个人信息时的法律义务和责任作出了规定;再次,在区分敏感个人信息与非敏感个人信息的基础上,对敏感个人信息的处理采取更加严格的规则;最后,对国家机关处理个人信息作出了特别的规定。
以告知同意作为处理个人信息的基本规则
个人信息处理中的告知同意规则,是指任何组织或个人在处理个人信息时都应当对信息主体即其个人信息被处理的自然人进行告知并取得同意,除非法律另有规定。告知同意规则包含了告知规则与同意规则。二者紧密联系,不可分割。没有告知,自然人无法就其个人信息被处理作出同意与否的表示;即便告知了但不充分、不清晰,那么即便自然人表示了同意,该同意也并非是真实有效的同意。反之,虽然告知了且充分、清晰,可是并未取得自然人的同意,对个人信息的处理也是非法的,构成对自然人个人信息权益的侵害。告知同意的规则是世界各国个人信息保护立法中所普遍确立的一项基本规则,即便存在法律规定不适用该规则的情形(如基于公共利益、履行法定职
责、维护自然人权益等),也不能据此就否定告知同意规则在个人信息处理中的原则性地位,因为该规则是自然人对其个人信息自主决定权的体现,它奠定了个人信息处理的正当性与合法性的基础。《草案》在第二章第一节对告知同意规则作出了详细的规定,如要求处理个人信息的同意应当建立在个人充分知情的前提下,自愿、明确作出意思表示(第14条第1款);在个人信息的处理目的、处理方式和处理的个人信息种类发生变更时,应当重新取得个人同意(第14条第2款);基于个人同意而进行的个人信息处理活动,个人有权撤回其同意(第16条);除非处理个人信息属于提供产品或者服务所必需的,否则,个人信息处理者不得以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由,拒绝提供产品或者服务(第17条);明确个人信息处理者应当告知的具体事项(第18条)等。
总的来说,《草案》这些规定都是值得肯定的,但是也有若干需要完善之处。例如,《草案》第13条将取得个人的同意与其他不需要取得同意的例外相互并列规定为个人信息处理者可以处理个人信息的情形,显然没有凸显告知同意规则作为原则的地位。该条第2项将“为订立或者履行个人作为一方当事人的合同所必需”作为不需要取得同意的例外过于宽泛。这种规定会导致个人信息处理者皆可以此为由不取得个人的同意。例如,网络公司在向自然人提供网络服务本身就是要订立网络服务合同,依据该项,可以不经自然人的同意就处理其个人信息。再如,《草案》第16条规定了个人有权撤回其同意,
但是没有进一步明确撤回同意不影响此前个人信息处理行为的合法性。
个人信息处理涉及多个主体时的义务与责任
我国民法典借鉴欧盟《一般数据保护条例》的立法模式,采用了“处理者”(Processor)来统称实施个人信息处理活动的主体。然而,实践中既存在多个主体共同决定个人信息处理的情形,也存在处理者委托他人处理个人信息或者向第三方提供其处理的个人信息等复杂的情形。这些时候,如何保护自然人的个人信息权益?怎样确定多个处理者之间、委托人与受托人及第三方之间的权利义务关系?对此,民法典没有规定。《草案》第21条至第24条作出了详细的规定。例如,第21条规定,两个或者两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。个人信息处理者共同处理个人信息,侵害个人信息权益的,依法承担连带责任。再如,《草案》第24条明确规定,个人信息处理者向第三方提供其处理的个人信息的,应当向自然人告知相关信息并取得单独同意等。
《草案》的上述规定非常有必要,但需要进一步完善。例如,第21条第2款将共同处理个人信息而侵害个人信息权益的民事责任一
律规定为连带责任,似有不妥。因为,在个人信息处理者共同处理个人信息侵害个人信息权益的情形中,除非处理者存在共同故意,否则单纯的共同处理行为,不一定都产生连带责任,而是很可能构成民法典第1168条至第1172条规定的各种情形,可能承担连带责任,也可能承担按份责任。再如,《草案》第22条对委托他人处理个人信息的问题作出了规定。该条的问题在于:首先,在委托他人处理个人信息时,应当明确要求委托方必须向个人披露受托方的身份和联系方式。其次,应当更具体的规定委托方对受托方采取的监督义务。《草案》第22条第1款仅仅说“对受托方的个人信息处理活动进行监督”,过于模糊。再次,在受托方非法处理个人信息或者侵害自然人的个人信息权益的时候,委托方与受托方的责任承担问题应当明确为连带责任,但是内部可以依据合同进行追偿。
敏感个人信息的处理规则
所谓敏感的个人信息主要是指那些涉及自然人人格尊严、人格自由或者其他重大权益的个人信息,这些个人信息倘若被非法处理,将会对所涉自然人的人格尊严、人格自由或者其他重大的人身权益、财产权益造成严重的威胁或损害。民法典只是将个人信息区分为私密信息与非私密信息,未规定敏感个人信息。《草案》对此作出了明确的规定,并在第2章第2节进行了具体规范。这一点值得肯定。例如,《草案》第29条第2款将敏感个人信息界定为“一旦泄露或者非法