隐私护卫队 2020-10-30
10月28日,中国人民大学法学院举办《个人信息保护法(草案)》(下称“草案”)研讨会,邀请全国人大法工委、中央网信办、各大高校、互联网产业等实务界的领导、专家与学者就草案展开讨论。
研讨会上,中国法学会民法典编纂小组侵权责任编召集人、中国人民大学法学院教授张新宝表示,保护个人信息不仅可以通过法律法规、政府部门来规范和监管,还可以发挥超级平台的作用。
比如手机操作系统决定着App的设计规范,如果在超级平台的层面植入一些个人信息保护的基本规律,这种治理效果“比行政执法部门消极地去管理上百万的App要省事儿”。
保护个人信息需平衡个人、企业和社会的利益
近年来,随着信息技术的发展,人们在享受便利服务的同时,也遇到许多与个人信息保护相关的问题,如电信骚扰和诈骗、“信息茧房”等。事实上,许多法律如刑法、网络安全法、民法典等都有与个人信息保护相关的规定。
制定专门的个人信息保护法,“首先的一个意义就是把那些零碎的规定,特别是把这些规定背后所体现的思想、原则整合起来,更会归管这些规定尚未涉及的地方。”张新宝强调,它还会积极回应信息技术,特别是互联网应用对社会生活的影响,在强化公民对个人信息特别是私密信息保护的同时,为产业界划定合法合规、创新发展的边界。
如今,保护个人信息不再仅仅是保护个人权益,已然上升到保护国家利益和安全的高度。
2018年5月25日,欧盟《通用数据保护条例》正式实施,用以保护欧盟公民的数据安全。其长臂管辖的原则不仅限于欧盟企业,而是将所有收集欧盟公民信息的企业纳入监管范围。有观点认为,这是欧盟在互联网产业发展落后的情况下,谋求通过法律实现话语权。
今年2月,美国财政部正式发布并实施《外国投资风险审查现代化法案》,扩大了美国外国投资委员会的审查范围,将外国对涉及关键基础设施、关键技术和敏感个人数据的美国企业的投资纳入其中。
“个人信息保护法不仅需要平衡个人、企业和社会(也指国家)三方之间的利益,还需要平衡中美关系和中欧关系。”张新宝认为要达到“跟欧洲要差不多‘过得去’,跟美国比要‘不吃亏’”的效果。
他解释,所谓“过得去”指个人信息保护法正式出台后,欧盟能够接受中国对个人信息保护的强度;“不吃亏”指不能较大幅度地限制企业,导致它们在与美国企业的竞争当中处于不利地位。
发挥行业协会和超级平台的保护作用
数据显示,截至2020年6月,我国网民规模为9.40亿,网站数量有468万个,App的数量为359万个。
值得注意的是,互联网产业规模在扩大的同时,企业违法获取、非法买卖个人信息的情况十分普遍。对此,草案规定,违反个人信息保护法处理个人信息的,最高可处五千万元或者上一年度营业额百分之五的罚款;对直接责任人员最高可处一百万元罚款。针对此条款,张新宝建议提高针对个人的顶格罚款金额。他认为现在的一百万元对于大型企业高管来说是“毛毛雨”。另外,针对极其恶劣的违法犯罪人员,他建议参考金融行业的准入机制,限制这些人员在一定时间内从事与信息相关的产业。另一个值得思考的问题是,面对庞大的互联网产业,如果监管部门想要检查每一款App是否安全,则须付出巨大的时间和精力。张新宝表示,个人信息不仅可以通过法律法规、监管部门来保护,还需要贯彻多方参与社会共治的理念,进一步加强行业协会的保护作用。因为行业掌握着技术、事物的发展方向和动力,而法律是相对滞后的。且行业自治、生产力的发展应该走在前面,当技术发展方向出现问题时,法律才需要对此作出调试和规范。此外,张新宝称,保护个人信息还可以发挥超级平台的作用。比如手机操作系统决定着App的设计规范,如果在超级平台的层面植入一些个人信息保护的基本规律,这种治理效果“比行政执法部门消极地去管理上百万的App要省事儿”。而且,这种方法不会影响企业的发展。“这一点可以在法律制度设计上加以体现。”
草案应完善对政府部门收集使用个人信息的规范
疫情期间,依托大数据的健康码机制为疫情防控和返岗复工提供有力支撑。然而,早期为防控疫情,相关部门存在收集数据不规范,信息泄露等问题。
隐私护卫队了解到,为规范政府部门收集使用个人信息,张新宝曾在其起草的《个人信息保护法(专家意见稿)》中单独设章节对此作出规定。
“出发点是全管起来。”张新宝强调,保护个人信息不光是个人和企业的问题,实际上,大量个人信息掌握在政府手里,还有许多事业单位如医疗机构等。而且,它们比企业掌握的信息更全面,理应受到个人信息保护法律的约束。
虽然没有单独设立成章,但草案第二章第三节专门对国家机关处理个人信息作出了规定。其中第三十四条规定,国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。
“对国家机关处理个人信息作出特别规定,这个挺好的。”但张新宝认为,草案目前规定的内容有点“弱”。他建议深入研究国家机关在处理个人信息时有哪些特殊的、与企业不同的地方,比如不同地域、不同级别的政府部门间如何共享信息,是否需要设立专门的官员等,“这些都是需要再考虑的。”
作者简介:
作者简介:张新宝 法学博士,教授,博士研究生导师 中国人民大学信息法中心主任