個人信息保護法為什么值得期待？

黃姝靜

在極高的呼聲與期待中，個人信息保護法離最終出臺又邁進了一步。5月25日，全國人大常委會工作報告透露，下一步將制定多部法律，其中就包括備受關注的個人信息保護法。

2020年全國“兩會”召開前夕，全國人大常委會法工委方面發(fā)布消息稱，個人信息保護法正在研究起草中，目前草案稿已經形成?！皟蓵逼陂g，多位代表和委員就個人信息保護提出建議，希望加快相關立法。

在數據法律研究者何淵的印象中，早在2003年，制定個人信息保護法的建議就已經出現。但在過去十多年里，中國針對個人信息保護的條款分散于多部法律法規(guī)和規(guī)范性文件中，包括《網絡安全法》《消費者權益保護法》《刑法修正案九》等等。

中國政法大學傳播法研究中心副主任朱巍對《財經》記者表示，目前涉及到個人信息保護的規(guī)定，包括法律法規(guī)和各種文件在內，約有超過150部，迫切需要一部法律進行統(tǒng)一。

不斷被呼喚的一部綜合性法律，即將揭開其神秘面紗。

有法學專家指出，個人信息保護法將最終確定“個人信息”這一關鍵概念的內涵和外延，理順各個信息主體之間的關系，尤其是個人與企業(yè)之間的關系。這部法律將覆蓋對個人信息的收集、存儲、使用、共享、跨境傳輸等多個方面。

立法：各方積極推進

近年來，個人信息泄露事件頻現，引發(fā)了公眾廣泛關注。新冠肺炎疫情期間，個人信息泄露問題不時見諸媒體。

過去十多年間，中國雖未出臺針對個人信息保護的專門性立法，但涉及到個人信息保護的法律法規(guī)、標準類規(guī)范類文件事實上在不斷被推出。

5月28日，十三屆全國人大三次會議表決通過了《民法典》，該法將于2021年1月1日施行。此前公布的《民法典（草案）》在人格權編中明確了自然人的個人信息受法律保護，并將自然人的“電子郵箱地址”和“行蹤信息”納入個人信息的范圍。

回顧個人信息保護法的立法進程，一個重要的節(jié)點出現在2018年。2018年9月，個人信息保護法和數據安全法被列入十三屆全國人大常委會立法規(guī)劃第一類項目。

此后，與個人信息保護相關的法律法規(guī)及各類文件密集發(fā)布、更新——2019年4月19日，《互聯網個人信息安全保護指南》發(fā)布;2019年4月20日，《民法典》人格權編草案（二審稿）提請全國人大常委會審議;2019年5月28日，《數據安全管理辦法》公開征求意見;2019年6月13日，《個人信息出境安全評估辦法》公開征求意見;2019年10月1日，《兒童個人信息網絡保護規(guī)定》施行;2020年1月20日，《信息安全技術個人信息告知同意指南》公開征求意見;2020年3月6日，新版《信息安全技術個人信息安全規(guī)范》發(fā)布;2020年3月30日，《移動互聯網App個人信息安全防范指引》公開征求意見……

2019年3月，在個人信息保護法被列入十三屆全國人大常委會立法規(guī)劃一類項目半年之際，北京大學法學院教授張平曾對《財經》記者表示，“目前各方都在積極推進立法?！?/p>

在上海交大數據法律研究中心執(zhí)行主任何淵看來，個人信息保護法的制定有幾個重要背景：數據產業(yè)飛速發(fā)展，當“數據成為石油”，矛盾開始集中迸發(fā)，個人信息權利的保護與數據流通使用的平衡問題亟待解決;歐盟《通用數據保護條例》（GDPR）和美國的《加利福尼亞州消費者隱私法案》（CCPA）的頒布給了國內立法以啟迪和影響;數據黑市猖獗，個人信息泄露事件頻發(fā)，公眾面臨的隱私侵害需要有明確的法律解決途徑;此外，頭部互聯網企業(yè)在積極開展跨國業(yè)務和國內穩(wěn)定長遠發(fā)展的需求驅動下，內部有很大的合規(guī)壓力和動力，需要法律給以明確指引。

個人信息保護法將結束當前立法分散、無專門法律保護個人信息的歷史。

2020年1月8日，廣東省公安廳通報：2019年廣東警方在“凈網2019”專項行動中偵破網絡主偵案件2960余起，刑事拘留10420余人，繳獲公民個人信息98億條。警方展示涉案物品。圖/中新

展望：既要保護又要依法使用

個人信息保護法將解決哪些問題？回應哪些共同期待？

何淵稱，“這是一部承載了很高期待值的法律。草案公布后必將引起極大關注，甚至包括一定的爭議?！?/p>

北京師范大學網絡法治國際中心執(zhí)行主任吳沈括認為，整體來說，個人信息保護法需要回應和解決的主要問題包括：政府數據處理活動的制度設計、企業(yè)商業(yè)化利用個人信息的制度設計、個人信息的跨境傳輸、個人生物信息的處理規(guī)則以及其他新技術、新應用的風險應對。

對“個人信息”的界定可以被視為這一切的出發(fā)點?！毒W絡安全法》《民法典》對此都有論述。

何淵認為，整體的界定框架不會再出現較大變化，但是個人信息具體包括哪些內容，在實務中的爭議仍然會持續(xù)。

就界定問題，朱巍表示，立法應當重點明確個人信息與大數據的界限，回應大數據的性質問題。

吳沈括則對《財經》記者表示，個人信息的法律界定及其內涵外延是個人信息保護法的邏輯起點，將反映法律對于個人信息所涉及的個人利益、公共利益、產業(yè)利益之間的動態(tài)平衡的把握，反映法律對于前述三者權重的價值判斷。

事實上，這背后的深層次問題是法學界討論良久的數據確權問題：數據持有者享有怎樣的權利？如何保護？只是，這些問題至今仍無定論。

吳沈括就此分析稱，在現有的技術環(huán)境下，如果把個人信息的核心要素認定為身份識別（包括直接識別和間接識別），那么在目前的數據挖掘水平下，可以說幾乎所有的信息都可能構成個人信息，這對于數據要素的流動和價值潛力的發(fā)掘會造成非常大的影響，因此需要立法作出進一步的研判和權衡。

何淵指出，從立法的底層邏輯來看，個人信息保護法要理順的是信息主體、信息處理者和信息控制者之間的權利義務關系，立法應當覆蓋控制、收集、使用、共享、（跨境）傳輸等環(huán)節(jié)，即覆蓋個人信息從產生到被處理的全生命周期。而對于信息主體權利義務關系的梳理中，最關鍵的兩大主體無疑是個人和企業(yè)。

朱巍也提出，平臺責任是個人信息保護法應當明確的內容之一。

值得注意的是，何淵認為，在個人信息保護法未來的立法過程中，甚至在今后的司法裁判中，主要的博弈點都會是與個人信息相關的權利保護與數據流通使用間的平衡問題?！氨贿z忘權”、“數據可攜帶權”等權利類型是否應當被肯定、應當如何定義，仍未能在公開討論中取得共識。但可以確定的一點是，這些權利的設定對企業(yè)來說意味著巨大的合規(guī)成本，甚至是業(yè)務模式的挑戰(zhàn)。

北京大學法學院副院長薛軍進一步指出，對權利保護的“厚度”是個人信息保護法制定中的一個重要問題。諸如前述“被遺忘權”“數據可攜帶權”等討論頗多的權利類型，背后是對個人權利保護、技術實現的可能性、企業(yè)合規(guī)成本、產業(yè)自由發(fā)展空間的平衡問題，需謹慎選擇。

執(zhí)法：如何讓法律有“牙齒”

震懾違法行為，必須讓法律有“牙齒”。個人信息保護法對于該領域執(zhí)法機構和處罰機制的設計將決定這部法律在現實中的最終效果。

在何淵看來，當前針對個人信息保護的罰則體系可以概括為“要么去坐牢，要么就沒事”。這是該領域違法行為多發(fā)的一個重要原因——違法成本低，誘惑大，很多涉案者選擇鋌而走險。另一方面，對于企業(yè)來說，當前的罰款金額規(guī)定沒有足夠的震懾力。

《網絡安全法》將罰款數額設定在違法所得的一倍以上十倍以下，沒有違法所得的，罰款上限為一百萬元。

該法第六十四條第一款規(guī)定，網絡運營者、網絡產品或者服務的提供者違反該法第二十二條第三款、第四十一條至第四十三條的規(guī)定，侵害個人信息依法得到保護的權利的，由有關主管部門責令改正，可以根據情節(jié)單處或者并處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款，沒有違法所得的，處一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款;情節(jié)嚴重的，并可以責令暫停相關業(yè)務、停業(yè)整頓、關閉網站、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照。

觀照歐美，則完全是另一番景象。2019年，Facebook因個人信息保護問題被美國聯邦貿易委員會（FTC）處以50億美元的巨額罰款。2016年，劍橋分析（Cambridge Analytica）借助Facebook平臺上的一款應用，收集了約8700萬Facebook用戶的個人信息。以這些數據為基礎，劍橋分析被指利用精準推送影響了當年美國大選。美國聯邦貿易委員會針對Facebook的調查和罰單由此而來。

相較于國外大型互聯網企業(yè)因個人信息泄露指控最高被罰數十億美元的嚴厲程度，中國一些處罰案例中的罰款數額對于發(fā)展迅速的企業(yè)來說被指“不痛不癢”，無從體現法律的震懾力。

一個典型案例是，2018年，某知名互聯網平臺曾被通報在個人信息保護方面存在違法行為，管理部門根據《消費者權益保護法》，對該平臺在個人信息保護方面的違法行為給予警告，并處罰款5萬元。

而更多在個人信息保護方面暴露出問題的企業(yè)，監(jiān)管部門對其行政處罰仍停留在責令改正、警告層面。

曾有法學界人士對《財經》記者表示，已頒布的個人信息保護方面的法律規(guī)定很多，但是也暴露出不少問題。當個人信息因企業(yè)或機構的泄露、過度收集和濫用而受到傷害時，有哪些可能的規(guī)制手段？

通常而言，刑事規(guī)制往往指向大案要案，民事訴訟經濟成本、時間成本高昂，各界更多地將此類一般案件的規(guī)制焦點放在了行政監(jiān)管上。

張平指出，遺憾的是，當前的行政執(zhí)法還比較薄弱。主要問題在于：規(guī)范不統(tǒng)一，多個部門均有不同程度的執(zhí)法權但未能有效協(xié)調，抽查性執(zhí)法，缺乏常態(tài)化監(jiān)管。

對此，薛軍建議，立法應確定專門機構來負責個人信息保護領域的行政執(zhí)法，建立常態(tài)化的監(jiān)管機制。明確執(zhí)法機構，才能保證法律后續(xù)的執(zhí)行。

此外，張平也表示，現在談到個人信息保護大多聚焦于企業(yè)，對收集信息的公共機構如何監(jiān)管的討論較少?！肮膊块T，包括一些事業(yè)單位也在大量收集公民的個人信息，但是缺乏監(jiān)管，公眾無法得知其隱私保護政策，無從得知其是否能保證這些信息的安全。”

全國政協(xié)委員、高鋒集團董事局主席吳杰莊建議，在立法、執(zhí)法過程中根據個人信息的敏感度不同而進行區(qū)別對待，對于敏感個人信息（諸如身份證信息、人臉信息等）嚴格保護，對于一般個人信息的收集、使用、存儲的嚴格程度可以與敏感個人信息有所區(qū)別。