从源头治理的角度思考中国个人信息保护法
法律 |
条文 |
内容 |
网络安全法2015年制定 |
第22条第3款 |
网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。 |
第30条 |
网信部门和有关部门在履行网络安全保护职责中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。 |
|
第40条 |
网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。 |
|
第41条 |
网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。 网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。 |
|
第42条 |
网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。 网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。 |
|
第43条 |
个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。 |
|
第44条 |
任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。 |
|
第45条 |
依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。 |
|
第74条 |
违反本法规定,给他人造成损害的,依法承担民事责任。 违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。 |
|
全国人民代表大会常务委员会关于加强网络信息保护的决定2015年7月 |
第1条 |
国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。 任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。 |
第2条 |
网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。 网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则。 |
|
第3条 |
网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。 |
|
第4条 |
网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施。 |
|
第8条 |
公民发现泄露个人身份、散布个人隐私等侵害其合法权益的网络信息,或者受到商业性电子信息侵扰的,有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止。 |
|
第11条 |
对有违反本决定行为的,依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚,记入社会信用档案并予以公布;构成违反治安管理行为的,依法给予治安管理处罚。构成犯罪的,依法追究刑事责任。侵害他人民事权益的,依法承担民事责任。 |
|
消费者权益保法2014年制定 |
第14条 |
消费者在购买、使用商品和接受服务时,享有人格尊严、民族风俗习惯得到尊重的权利,享有个人信息依法得到保护的权利。 |
第29条 |
经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。 经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。 经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。 |
|
第50条 |
经营者侵害消费者的人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的,应当停止侵害、恢复名誉、消除影响、赔礼道歉,并赔偿损失。 |
|
旅游法2013年制定 |
第52条 |
旅游经营者对其在经营活动中知悉的旅游者个人信息,应当予以保密。 |
第86条第2款 |
监督检查人员对在监督检查中知悉的被检查单位的商业秘密和个人信息应当依法保密。 |
|
居民身份证法2011年制定 |
第6条 第3款 |
公安机关及其人民警察对因制作、发放、查验、扣押居民身份证而知悉的公民的个人信息,应当予以保密。 |
第13条 第2款 |
有关单位及其工作人员对履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息,应当予以保密。 |
|
第19条 |
国家机关或者金融、电信、交通、教育、医疗等单位的工作人员泄露在履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,由公安机关处 十日以上十五日以下拘留,并处五千元罚款,有违法所得的,没收违法所得。 单位有前款行为,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,由公安机关对其直接负责的主管人员和其他直接责任人员,处十日以上十五日以下拘留,并处十万元以上五十万元以下罚款,有违法所得的,没收违法所得。 有前两款行为,对他人造成损害的,依法承担民事责任。 |
|
护照法2006年制定 |
第12条第3款 |
护照签发机关及其工作人员对因制作、签发护照而知悉的公民个人信息,应当予以保密。 |
社会保险法2015年制定 |
第92条 |
社会保险行政部门和其他有关行政部门、社会保险经办机构、社会保险费征收机构及其工作人员泄露用人单位和个人信息的,对直接负责的主管人员和其他直接责任人员依法给予处分;给用人单位或者个人造成损失的,应当承担赔偿责任。 |
统计法2009年制定 |
第9条 |
统计机构和统计人员对在统计工作中知悉的国家秘密、商业秘密和个人信息,应当予以保密。 |
除此之外,还有一些政府部门的规章也对此做出了规定。比如信息产业部于2000年11月7日发布的《互联网电子公告服务管理规定》中提及“电子公告服务提供者应当对上网用户的个人信息保密,未经上网用户同意,不得向他人泄露”,违反此规定者,由电信管理机构责令改正,给上网用户造成损害或者损失的,依法承担法律责任。这个部门规章,只是规定了互联网领域的信息泄露处理方法,在《民法总则》没有制定之前也发挥了一定的作用,但是其作用的范围是有限的。此外还有一些管理部门,从不同的角度建立了一些个人信息保护的规则。
应该看到这些规定在保护个人信息方面已经发挥了很大的作用。但是,我们还要看到,这些规定的特点基本上都是制裁性规范,也就是末端行为规范,而没有引导性的行为规范,即源头治理的规范,也就是我们在上文讨论中提到的,从信息的收集、保管、利用各个环节提出的一般要求性的规范。这些法律中,对个人信息保护规定比较多的2015年的“网络安全法”,它对于网络上信息的收集和保管制定了比较多的管理性内容。但是从个人信息保护的角度看,该法的缺陷还是明显的:(1)它的适用的范围是有限的,它的立法目的是网络安全,而不全是个人信息保护,它不能解决我们在上文提到的全部问题。(2)该法的内容无法包括全部收集个人信息的政府部门,电信部门、IT产业、互联网产业、铁路、民航、银行、学校、商场、医院和个人等等。(3)该法一些制度显得简单,不够细致。
基于以上分析,我国现在真正需要建立的信息保护法律制度,是能够满足从信息采集、保管、利用的源头来保护的制度。对个人信息保护的现状进行治理,必须首先是源头治理,当然,对信息侵权、犯罪的法律措施也应该紧密跟上。所以我们在这里郑重提出制定个人信息保护法、以行政法规则、民法规则和刑法规则相结合的综合治理的方式来建立信息保护制度的建议。
目前,世界上已经有九十多个国家和地区制定了独立的个人信息保护法,其中的典型是欧盟的《通用数据保护条例》、日本的《个人信息保护法》,和台湾地区的《个人资料保护法》,新加坡的《个人资料保护法令》等等。如此多的国家和地区都认识到,依靠单一的法律来建立信息保护制度是不可取的。
三、立法的应对措施
建立个人信息保护法的基本出发点,一是从源头保护做起,二是采取综合手段保护。当然,在立法中,我们应该准确地定义什么是个人信息,不要把个人隐私纳入进来,以避免立法走入歧途。我们认为,综合保护个人信息,首先要从信息获得的源头建立制度,然后才是法律制裁。从这些思路入手,我们认为,我国的个人信息保护法确立的法律制度,应该包括如下方面:
(一)关于信息的采集
首先,我们建议建立个人敏感信息采集的许可原则,法律禁止任何机构、单位或者个人,在没有获得法律许可的情况下采集个人敏感信息。采集敏感信息者,事先应该就其采集的方式、内容、对象等报请有关部门审批。[3]其次,应该采纳同意原则,不论是信息的采集、使用或者披露,都应该获得信息主的同意。采集者必须事先向信息主做出充分的说明,使得信息主知悉采集信息的必要性与可靠性。在使用信息的环节,应该在尽可能的情况下让信息主知悉信息利用的目的、方式和范围等。如果因为客观的原因不能让信息主知悉,那么就应该获得政府主管机构的审批。也就是说,以个人同意作为信息处理的一般原则,在处理敏感信息等存在特别规定时,按照特别规定由信息处理者获得行政许可作为处理信息的必要条件。[4]再次,信息的采集,采取秘密原则,采集信息的过程,应该有足够的隐蔽,防止其他人趁机窃取。最后,信息的采集,应该范围限制原则,即,法律只能许可采集有范围限制的信息,不许可任何单位和个人漫无边际地采集他人信息。
(二)对信息的权利和义务
个人信息保护立法的核心环节,是法律许可机构或者个人获得他人信息之后,涉及信息占有者和信息主之间的权利和义务问题。这个问题是立法的核心环节,涉及的法律问题需要借助于各个法律学科共同的力量来攻关解决。无论如何我们认为,信息获得者对这些信息仅仅只有占有的权利,并没有所有权。我们不同意信息占有者将这些信息当作自己的财产的观点。同时,我们必须强调,按照《民法总则》第111条,信息获得者对他们获得的信息负有严格保护的义务,以及依法使用的义务等。就信息涉及的权利和义务问题,应该作为立法认真讨论解决。
(三)行政监管,以及信息保密普遍义务和法律责任
从行政管理的角度,在国家层面设立专门机构,对个人信息安全承担全面的责任。在立法之内,设立专门条文,对各种机构、产业和行业逐一提出普遍的保密义务和法律责任。这一次立法建立的规范,不能仅仅限制于某些机构或者部门,而应该针对全部政府部门、电信部门、IT产业、互联网产业、铁路、民航、银行、学校、医院或者个体医生等占有他人信息者。这个法律应该是一个社会群体性行为的系统规范,而不是一个行业的规范。所以在法律上提出的义务和责任应该具有普遍性。
另外,我们现在必须通过提出在信息上加密的普遍义务和责任。从目前情况看,这种义务必须作为强制性规则来推行。信息安全保护机关有权利,按照这一普遍责任和义务,督促占有个人信息的机构或者产业行业单位、个人履行相关责任和义务,并对其违法行为予以惩戒。比如,可以依据个人信息保护法,要求电信产业设立防止利用信息诈骗的保护网,也可以要求互联网产业设立诈骗信息屏障等。现在,几乎每一个有手机的人,都收到过诈骗信息;家庭电话,也不断收到诈骗电话。这些从技术上来看似乎并不难解决的问题,长期没有得以解决。行政机关可以设立时限,要求这些产业完成这些保护措施。
(四)严格责任
在个人信息保护方面涉及民事责任时,我们认为应该建立普遍的严格责任制度,把侵权人的抗辩理由压缩到极小范围。另外,在信息泄露者和利用信息侵害者之间,应该首先建立由信息泄露者对受害人赔偿的法律规则。如果能够建立这样的规则,那么信息泄露的问题大多数就可以解决。
(五)刑事责任
在追究信息保护涉及的刑事责任方面,我们认为目前的立法还有两个显著缺陷:(1)目前我国在打击信息泄露而造成大量的恶性社会案件时,司法机构主要是把那些利用被泄露的信息来造成犯罪恶果的罪犯当做打击的目标,司法机构为此付出了极大的辛苦,社会都能看得见。但是,我们的司法机构从来没有对那些因为自己收集信息、保管信息而泄露信息的政府部门,电信部门、IT产业、互联网产业、铁路、民航、银行、学校、商场、医院信息来追究责任。从目前的科学技术发展水平看,确定信息泄露源头应该不是一个难事。如果不对这些泄露信息者追究责任,那么问题还是不能从本质上加以解决。(2)对那些利用被泄露的信息来故意犯罪者应该加大制裁。古人言,治乱世须用重典,目前个人信息保护的问题如此严重,司法机关的打击跟不上,明显是受到了现行法律的束缚。现在我们必须立即解开这些束缚,尽快解决这一问题。
显然,如上综合治理措施,应该统一纳入到个人信息保护法中为宜。
注释:
[1]《个人信息保护法》第32条规定:“法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的,从其规定。”
[2]1995年的欧盟《个人数据保护指令》规定监管部门应当建立登记系统,对通知的数据处理进行登记,信息控制者在信息处理之前应当向数据保护机构备案,数据保护机构有权进行事前审查。但是2016年欧盟《数据保护条例》取消了事前审批的监管要求,而是假定信息控制者足够成熟,通过信息侵权后的罚款等手段促使信息处理者的自律。欧盟在《数据保护条例》中虽然取消了备案审查制度后,却通过加重数据控制者与处理者的义务和责任,来代替备案审查所能发挥的预防作用。例如,增加保存数据处理活动记录的义务,安全保障义务等,同时还要求在进行特殊的数据处理操作前,应当向数据监管机构咨询并获得其特别授权。
[3]在本文完成后,虽然《个人信息保护法》第2章第3节对国家机关处理个人信息作出了特别规定,但是如何根据该法第33条的规定,对国家机关的信息处理行为适用处理个人信息的一般规则,仍存有不小的疑问。
[4]当然,《个人信息保护法》第2章第2节规定了敏感个人信息的处理规则,可提示注意敏感个人信息与隐私在处理规则上的异同。
作者按:本文初稿写于2016年,于2022年12月9日修订发表,此次修改得到了北京大学法学院常鹏翱教授、上海财经大学的李宇副教授的帮助,在此表示感谢。
作者:孙宪忠,全国人大宪法和法律委员会委员,中国社会科学院学部委员、法学研究所研究员,中国社会科学院大学法学院特聘教授。