《中华人民共和国个人信息保护法》即将于2021年11月1日起正式施行,这标志着我国个人信息保护立法体系进入新的阶段。个人信息保护的相关制度在《网络安全法》就已经有了专章规定,其后的《民法典》人格权编和《数据安全法》也先后规定了涉及个人信息的具体保护制度。相较于前述立法活动,《个人信息保护法》的出台为个人信息权益保护、信息处理者的义务以及主管机关的职权范围提供了全面的、体系化的法律依据。个人面对非法收集和处理个人信息的侵权行为能够获得更具体、更多样的救济方式,权利保障范围涵盖个人信息收集、存储、使用、加工、传输、提供、公开、删除等多个环节以及敏感个人信息处理、个人信息跨境提供等特定场景。个人信息权益得到切实有效的制度保障,也为信息产业明确了经营行为的合法性边界,与《国家安全法》《网络安全法》《民法典》和《数据安全法》等法律法规共同构建起个人信息保护的法治堤坝。

一、个人信息处理活动的基本原则框架:合法、正当、必要与诚信

《个人信息保护法》的出台可谓是顺应人民群众最迫切的利益诉求。在数字经济时代,个人与网络信息服务提供者之间存在明显的信息鸿沟,为了能够获得相应的信息服务使用权限,个人不得不“主动”提供自己的个人信息,但是却无法真正知晓自己的个人信息究竟将如何被处理以及谁将拥有自己的个人信息。更有甚者,个人信息买卖已然成为完整的黑灰产业链条,个人的财产安全和人身安全受到严重威胁。为了充分保护个人信息权益,同时也是为了规范个人信息处理活动,促进信息产业发展,《个人信息保护法》顺势而为,明确了个人信息处理活动应当以合法、正当、必要和诚信作为基本原则,即任何类型和任何阶段的个人信息处理行为均应当满足这些原则性要求,即便现行立法没有明确规定特定个人信息处理行为是否满足法定义务,如若相关行为违背合法、正当、必要和诚信四项基本原则之一,也应当承担相应的民事法律责任,情节严重的,应当承担刑事责任。换言之,这四项基本原则构成了《个人信息保护法》的内容主线:第一,合法性原则要求个人信息处理行为应当满足法律法规规定,这里的“法”并不单一局限于《个人信息保护法》,还包括《网络安全法》《数据安全法》《民法典》《刑法》《关键信息基础设施安全保护条例》等法律法规。第二,正当性原则要求个人信息处理行为应当符合立法宗旨和法律价值,不得以谋求自身利益而侵害其他个人的个人信息权益。在实践中,部分APP运营者在用户注册阶段以不显著、不直接的方式向用户展示个人信息处理的目的、范围和方式等重要信息,这种行为显然违背了正当性原则。第三,必要性原则要求个人信息的收集范围和处理方式应当仅以实现相应的信息服务功能和业务目的为必要。该原则强有力地回应了当下社会对APP运营者肆意收集处理个人信息行为的担忧和质疑,避免个人为获取相应信息服务而被动提供个人信息的问题恶化。例如,地图导航类APP运营者的个人信息收集范围仅应当以地理位置信息为限,职业、工资、旅游偏好等其他与地图导航功能无关的个人信息显然不在“与处理目的直接相关”的范围之内。第四,诚信原则强调个人信息处理者不得利用自身的优势地位侵害个人信息权益。一方面,个人信息处理者应当诚实信用地按照约定的处理目的和范围处理个人信息;另一方面,个人信息处理者不应当故意隐瞒、有意淡化事关个人信息权益的提示说明事项。

二、个人信息权益保护方式:权利与义务的一体化

在欧盟《通用数据保护条例》出台之后,全球各国个人信息立法曾一度或多或少受到欧盟个人数据权利体系的理论影响,删除权、更正权、查询权等具体权利似乎成为个人信息保护领域的“制度范本”。我国《个人信息保护法》则立足于中国本土实践,向全世界提供了全新的个人信息保护思路:重视个人信息权益的实质性保护,以权利与义务的一体化要求为导向。从《个人信息保护法》的第四章和第五章内容来看,个人在个人信息处理活动中享有查阅、复制、更正、补充、请求删除个人信息等具体权利。并且,个人信息处理者也应当积极履行法定义务,确保个人权利能够有效实现,倘若个人信息处理者设置各种不合理非必要的维权程序、客服流程等“维权门槛”,既违背了个人信息处理行为的基本原则,也构成了法定义务履行不充分。

个人在个人信息处理活动中行使权利有两个前提条件:第一,个人对个人信息处理应当享有充分知情权和决定权。所谓的知情权是指个人有权知晓其个人信息的收集处理目的、范围和方式,并且这种知情应当是以清晰易懂的显著方式予以实现。换言之,如果个人信息处理者为避免承担法律责任将所有个人信息处理事项事无巨细地向用户直接展示,又或是以小号字体、密集文字排版等方式告知用户个人信息处理活动,则显然构成对个人信息知情权的实质侵害。第二,个人在实现知情权之后应当能够独立自主地决定是否提供个人信息以及决定个人信息的实际处理范围和方式。在实践中,部分用户即便知晓个人信息处理的相关事项,但囿于使用特定信息服务的需要以及行业内格式合同的泛滥,用户无力决定个人信息的具体处理方式。为了解决此类问题,《个人信息保护法》明确个人有权限制或限制对其个人信息处理。此外,决定权也有其例外情形。

三、充足的安全感:国家机关全方位保护个人信息

《个人信息保护法》提供的个人信息保护路径并不局限权利与义务的一致性要求,还包括专门的国家机关履行个人信息保护职责,提供全方位的个人信息保护和救济方式。《个人信息保护法》所提供的充足安全感既来自于国家机关处理个人信息的特别规定,也来源于国家机关履行职责的专门规定。一方面,《个人信息保护法》规定国家机关处理个人信息同样应当遵守法律、行政法规规定的权限和程序。个人信息权益受到前所未有的重视,即便个人信息处理者是国家机关,其收集处理范围和限度同样不得超出履行法定职责之需要。并且,国家机关处理个人信息之前,应当依照规定,履行告知义务。另一方面,《个人信息保护法》明确规定了国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。具体而言,除了日常熟知的个人信息保护宣传教育,接受、处理与个人信息保护相关的投诉、举报,调查、处理违法处理个人信息等活动之外,还包括个人信息保护评估、个人信息跨境传输安全评估、第三方安全认证体系、个人信息保护技术标准制定等具体领域的工作内容。此外,为了切实解决近期出现的“监控偷拍人脸识别”“大数据杀熟”等社会热点问题,《个人信息保护法》还专门规定国家网信部门统筹协调有关部门依据本法推进人脸识别、人工智能等新技术、新应用领域个人信息保护规则、标准制定工作。

个人信息保护绝不能停留于纸面的权利宣誓与义务要求,更要重视之后法律实施过程中可能面临的新问题和新挑战,平衡个人信息权益与信息产业良性发展的双重诉求,个人信息保护还需要有效统筹协调立法、执法和司法三个环节,要让老百姓看得到、摸得着、感受得到真正的个人信息权益保护,推进个人信息保护工作的纵深化发展。(作者:赵精武,北京航空航天大学法学院副教授,工业和信息化法治研究院研究员)