小
中
大
关于《个人信息保护法》(草案)的修改建议
孙宪忠
全国人大代表 代表证号 2053
全国人大宪法和法律委员会委员
关于个人信息保护法草案谈点修改建议,供立法部门和起草部门参考。
制定个人信息保护法十分必要,也受到社会高度关注。最近这些年来,个人信息泄露造成损害的案件不少,我国社会各界对个人信息保护的立法非常关注,普遍认为制定该法非常必要。事实上这一方面的立法,在国际上已经有一些现行的经验,其中一些考虑值得借鉴。2020年10月,我国《个人信息保护法(草案)》已经提交第十三届全国人大常委会第二十二次会议进行了第一次审议,现在它正在立法机关进行修改之中。在近一段时间的调查研究的基础上,现在对我国《个人信息保护法(草案)》(以下简称“草案”)提出思考更多的修改建议。
一、本法需要明确问题意识
在本次制定《个人信息保护法》之前,我国相关立法并不是一片空白,而是已经制定了三个涉及信息保护的法律,即《网络安全法》《电子商务法》和《民法典》。尤其是2020年刚刚编纂完毕的、作为国家基本法律的《民法典》,其中规定的关于个人信息保护的内容有7个条文,每个条文写得都比较细。在这样的情况下,我们制定《个人信息保护法》,首先要解决的问题,就是新制定的法律与现有法律之间的关系问题,这需要澄清说明。显然,制定法律不能重合,同样的问题不能在多个法律里面不断规定。如果说这些法律,在解决个人信息保护方面解决不同的问题,那么这就需要有明确的问题意识,也就是问题的不同方面区分为不同的解决渠道的立法意识。
《个人信息保护法(草案)》第一次审议后,立法机关公开了这个草案,向社会征求修改意见。在这个立法征求意见的说明里我们看到,立法机关认为,制定个人信息保护法的目的是为了“进一步”加强个人信息保护的客观需要。这个立法目的的说明,没有揭示出我国现行立法体系中已经制定了那些个人信息的立法,这些立法还没有解决的什么问题,需要现在制定《个人信息保护法》来弥补弥补缺陷。这就是说,这个说明,没有揭示出《个人信息保护法》的问题意识。最重要的是,它更没有从正面说清楚信息化网络化社会背景下,我们既要利用信息化又要防止个人信息受损害的全部问题。不说清这个基本问题,就没有揭示出立法的必要性。
因为立法主导问题意识不清晰,立法的结构和主要内容也就不会清晰明确。这些缺陷,在公开征求意见法律草案中确实是存在着。从立法说明和法律草案的分析中,我们既看不到这个法律草案和其他涉及个人信息的法律之间的区别,也看不到它和其他法律之间的配合。总体来说,阐明《个人信息保护法》的立法出发点,也就是其问题意识,不仅仅是为了避免立法重复,而且更为重要的,是准确揭示该法的功能,保证该法为我国经济发展和人民权利保障发挥切实的作用。
二、本人对该法问题意识的认识归纳
那么,现在制定的《个人信息保护法》和此前制定的涉及信息保护的法律,其区别到底在哪里?从立法需要解决的问题意识出发,我们就可以看到它们的区别。显然,以前这些法律解决的问题跟个人信息保护法解决的问题出发点不一样,立法的基本框架和制度内容也不一样。比如,《网络安全法》主要解决的、是涉及因特网络这种特殊的传播渠道下、涉及整个社会的信息安全问题,其中包括各种国家机关、各种社会团体、各种群众组织、各种企业公司法人和非法人组织的信息安全问题。当然其中也涉及个人的信息安全问题,但是这并不是该法主要的问题意识。而《电子商务法》主要处理跟电子商务活动有关的信息安全问题。2020年编纂完成的《民法典》所规定的个人信息保护的制度事实上条文还是比较多的。从这些条文的内容看,它所说的个人信息是构成隐私的个人私密信息;要解决的问题是这些信息泄露造成侵权的情况下如何依据侵权责任的规则对于受害人予以救济的问题。
在分析上述法律涉及个人信息的法律制度后,我们可以看到,虽然上述这几个法律都涉及到了个人信息保护的重要问题,但是,还有涉及个人信息保护的一些重要问题是上述这几个法律没有解决的。比如,个人信息的收集或者采集的问题(这是最为重要的制度建设问题),以及个人信息纳入社会管理、进入大数据系统被运用的问题,这些问题都是上述法律没有解决、而且也是无法解决的。从这个问题意识出发,我们就可以看到《个人信息保护法》的立法目的、立法基本功能之所在。
以本人的学习和研究,《个人信息保护法》应该解决个人信息保护的问题,有其自身的出发点,也有其自身的制度内容。这就是,个人信息从被收集到被运用(包括大数据应用)这个大过程中如何保护自然人的相关权益不受侵害的制度建设问题。这些问题可以细化为如下要点:
1. 本法既然命名为“个人信息保护法”,那么它就应该仅仅只是自然人信息保护的法律,所以本法的内容不涉及非自然人个人的信息保护问题。非自然人的信息,比如国家机关信息、各种社会团体群众团体信息、各种公司法人和非法人组织的信息,其收集利用以及保护的问题,有些涉及政务立法,有些涉及商务立法或者社会立法,其收集和保护等问题不由本法规范。
2. 本法所说的自然人信息,仅仅涉及其个人的一般生活和工作的信息,并不涉及从事商务活动的自然人的商务信息。比如一个个体工商户的工商登记的信息,个人合伙经商的信息等,其收集和保护等问题不应由本法规范。
3. 本法所说自然人的信息,包括我国《民法典》人格权编所规定的个人私密信息,同时也包括自然人的非私密信息。这就是说,自然人的一部分信息属于私密信息即民法上所说的隐私,而还有一部分并不是私密信息,不属于隐私。比如,一个人的姓名、家庭住址、电话号码、从事的职业、社会地位等等信息,当然不是隐私。比如,一个高中生考上大学的信息,当然不是私密信息,也就不是隐私。但是即使是这些非私密信息,也可能被不当利用、甚至被违法利用,从而给自然人造成损害。比如前几年我国就发生了某地一个高中生考上大学的信息被犯罪分子利用、最后造成严重后果的问题。但是即便如此,我们也应该知道,在一般情况下,掌握他人信息不但不违法,而且十分必要。比如亲朋好友之间互相掌握信息,医院掌握患者信息,民航铁路掌握旅客信息等,学校掌握学生的考试成绩的信息,国家机关收集和掌握自然人的信息等等,都是很正常的。所以个人信息保护立法的出发点,应该明确并不是绝对地禁止收集和掌握自然人信息的立法。
4. 本法所称个人信息保护,针对的问题是互联网条件下、个人信息被收集后形成多数人的团组信息或者集团信息而被泄露,从而造成自然人的利益损害方面的社会问题。我们知道,在此前同样存在着收集和掌握个人信息的社会活动、但是却没有必要制定个人信息保护法。但是在社会进入信息化社会之后,在互联网背景下,个人信息的收集和掌握出现了前所未有的情况。首先,此前信息的收集和掌握发生在彼此熟知的人们之间,而现在信息的收集和掌握经常发生在彼此不相识的人们之间,或者自然人和一些企业之间。其次,此前的个人信息被他人收集和掌握,相对来说只是这些个人零散的、单一的个人的信息。而现在这些信息,从收集者和掌握者的角度看,变成了不特定的多数人的团组信息或者集团信息。最后,虽然此前自然人之间之间的个人信息为他人收集和掌握,主要目的是为了社会交往;公共权力机关掌握个人信息的目的是为了社会管理。而现在这些信息开始具有了独特商业利用的价值。
正因为此,收集和掌握个人信息,在某些人甚至某些企业看来,已经变成了有利可图的事业,所以在现实中发生信息过度收集、强制收集和利用掌握的个人信息谋取不当利益的现象,可以说是非常普遍的。对个人信息的不当利用甚至违法利用,甚至犯罪利用的情况也出现了。
从以上分析看,我们可以确定,本法所说的个人信息,从表面上看是单一个人的信息,其实是不特定的多数人的团组信息,或者集团信息。如果仅仅只是某单一个人的信息保护的问题,可以说已经在《民法典》第1034条下的几个条文中已经得到了规定,而且也可以通过民法典关于侵权责任编的规定加以处理。但是多数人的团组信息、或者说集团信息的保护问题,因为涉及公共权力运用的问题,所以无法解决的问题。
从目前个人信息泄露造成损害的实际情况看,侵害者所采用的基本手法,就是利用网络群发信息,欺骗甚至诈骗不特定的多数人,违法对象或者犯罪对象并不是针对特定的个人,而是针对不特定的多数人。所以,个人信息保护法的着眼点,是不特定的多数人、群体人的团组信息的保护。而信息的内容,并不限于自然人私密信息,也包括非私密的个人信息。
5. 从以上分析同样可以看出,《个人信息保护法》应该采用的保护手段,包括但是并不限于民事方法,而还应该更加强调行政手段,甚至刑事手段。
6. 同样基于以上分析,《个人信息保护法》应该首先解决把单一的个人信息变成为不特定的多数人的团组信息的问题。解决这个问题的关键,是关于信息收集问题,而且应该把这一点作为立法的要点。据我们调研,目前在个人信息收集环节里,普遍存在的问题是非法收集、过度收集、强制收集。对这些问题应该在立法建立明确的规则。此外,本法还应该对合法收集之后形成的不特定多数人团组信息的保管、转移、利用等环节做出明确的规定。通过很多案件的报道可以看到,一些合法收集的个人信息因为保管不善而泄露,从而造成了损害。所以在这些环节建立个人信息保护的制度,也是十分必要的。
7. 关于不特定多数人的信息保护,本法应该确立预先保护原则。显然,预先防止侵害才是最佳的保护方法。考虑到本法所说的个人信息的特征,如果发生了信息泄露,那就必然是很多人的信息泄露,损害的几率和面积一般会比较大,后果会比较严重。
三、依据行政管理法的特征来制定本法
如果把预先防止作为个人信息保护的基本方法,那么,这就必然要建立细致的政府管理体制。所以这种立法基本上属于行政法的范畴,而不属于民法的范畴。
目前我国一些学者在解释民法典中涉及个人信息保护的规则的时候,在解释个人信息保护法的立法必要性的时候,把个人信息保护法理解为《民法典》的下位法或者细则立法。这个理解不单相当不准确,而且严重偏离了这个法律的主旨。虽然本法关于个人信息的定义来源于《民法典》第1034条的规定(个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人各种信息,包括自然人的姓名、出生日期、身份证号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等等),而且本法关于个人信息保护的范畴,基本上也是依据这个规定,但是,正如《民法典》关于所有权的定义也会在行政法、刑法、环境与生态保护法等法律中加以运用一样,本法引用《民法典》的定义,并不能是本附属于民法下位法、细则立法的理由。本法的制度设计从个人信息收集或者采集开始,包括个人信息的掌管保存、利用包括大数据利用等重要环节,而本法对于这些制度环节的规定,无不体现国家管理的意思。所以,本法的制度还是应该注意到行政法和民法规则的区别。
四、防止个人信息泄露恐怖论
制定本法,一方面要贯彻保护个人信息的主旨,另一方面也要防止不当炒作,造成个人信息被侵害的社会恐怖,妨害我国信息化建设。现代社会已经进入信息化时代,我国特别重视信息化建设,习近平总书记亲自担任中央网络安全和信息化领导小组组长,而且多次在这一领域作出重要指示。推进我国社会的信息化建设,使我国迈入现代国家的标志。2020年,我国取得的控制甚至战胜新冠疫情的成功,其经验之一就是成功地利用了信息社会化的措施。既然要推进信息化建设,那就必须有个人信息收集的行为,而国家或者一些企业收集个人信息的活动,其性质,并不是为了信息收集者或者管理者的利益,而是为了公共利益。而美国等国家在抗疫斗争中一误再误,造成严重社会恶果的消极例证,也证明了我国信息化建设的正确性。
但是我们不能不看到,在我国《民法典》编纂涉及个人信息这一部分制度时,我国社会出现了个人信息泄露事件的不当炒作,而一些学者理论上的不严谨和一再的误读,结果造成了个人信息被侵害的社会恐怖。在我国的抗疫斗争中,不断出现针对个人信息合法收集的争议,目前,把一切收集个人信息的行为都解读为个人信息泄漏的行为社会研判,还普遍存在着。这些都和一些学者的不当炒作有关。这种不当炒作的要点在于:
1.把全部个人信息都归结为个人的私密信息,从而把个人信息简单地等于个人隐私。这样,收集个人信息就变成了收集个人隐私。
2. 不考虑个人信息和个人利益损害之间的因果关系,把信息泄露作为造成损害的直接原因甚至唯一原因,结果就是把个人信息泄露的危害极端扩大,造成一种恐怖。
3. 有学者提出“个人信息权”这一概念,并将这一权利纳入人格权系统,这样任何收集个人信息的行为,包括国家管理社会的强制性收集,都成了侵权行为。因此,本人不赞成“个人信息权”这个概念,更不赞成把它界定为一种人格权类型。但是这个要点问题,在《民法典》编纂的过程中并没有得到很好的解决,一些炒作的声音完全超过了严谨的法理分析。
比如山东某考生考入大学的录取信息被泄露、导致该考生身故的案件,就是这样被炒作的。该案情况大家比较熟悉,在此本文不做介绍。从案件涉及损害的原因看,该考生受到严重损害的原因是多重的。首先是该信息管理部门保密不严的原因;其次是犯罪分子利用这个信息诈骗的原因;最后该考生身故,则主要时期家庭情况以及特殊身体状况的原因。此外,考生考取大学的信息,其实很难说就是私密信息或者隐私。但是在一些学者和媒体的炒作下,这个案件被当作隐私被泄露致人死亡的一个典型案件,这种炒作,造成了很严重的社会恐慌。其实从法律上看,信息的泄露只是造成该生严重损害的间接原因,而犯罪分子的诈骗以及考生的特殊状况才是其遭受损害的直接原因。
另外,许多地方发生的针对老年人的金融诈骗犯罪,也被炒作为个人信息泄露造成严重社会恶果的案件典型。其实,信息泄露同样只是这些老人受损害的间接原因,而犯罪分子的诈骗和这些老人自身的原因才是造成损害的直接原因。同样,这些老人的财务状况仅仅只是个人信息而不是隐私。在某些学者和媒体的炒作下,这些案件都被炒作成了隐私泄露的典型案件。
当前,我国已经进入了信息化社会。而且从全球国际信息化发展状况看,我国在信息化利用方面是走在世界前列的。我国的经济发展和社会管理早已利用了信息化的优势,甚至人民法院、人民检察院也在利用信息化辅助司法分析和裁判方面取得了相当好的成果。2020年出现了世界新的新冠疫情,老牌的发达国家和地区美国西欧都出现了严重的社会管理问题,而我国却很好地控制住了疫情,将其损害压抑到很低的程度。这些成就,如果没有此前展开的信息化基础工程建设,如果不利用信息化的优势,这肯定是无法取得的。
也正因为这样,我们应该对某些不严谨的理论炒作应该有足够的警惕,防止在我国形成个人信息泄露恐慌。在本次个人信息保护立法工作,不能允许这种恐慌给立法造成损害,更不能助长这一恐慌发展。
五、对2020年12月发布的《个人信息保护法(草案)》的几点具体建议
(一)指导思想方面
在立法的指导思想方面,建议明确区分本法和上述已经制定的三部涉及个人信息保护的法律的区别,树立清晰的立法问题意识,尽力防止立法重复。
在第一章总则部分,建议明确规定“预先保护原则”,把信息的采集和防止泄露作为立法的要点。建议立法的结构遵从体系思维,从事前、事中、事后三个部分出发,在各利益攸关方之间形成一套关于个人信息处理的“综合治理”体制。
“草案”目前的立法结构大体上比较清晰明确,很多制度设计也可以坚持。但是在一些关键制度结构及条文的规定值得商榷,以下逐一提出讨论。
(二)建议第二章章名、结构以及若干条文做出调整
从本法的立法问题意识的角度看,本章应该是立法的重点。但是,本章的章名、结构以及主要制度没有体现出这些问题意识。
首先,建议建议将本章的章名“个人信息的处理规则”修改为“个人信息的收集、管理以及使用”。从上面的分析我们知道,本法要解决的主要问题,包括个人信息收集、管理和使用几个领域里面的保护问题。但是,这个章名问题意识不鲜明,没有突出应该解决的问题。
“信息处理”这个提法并不妥当,因为,处理的汉语含义,很难包括“收集”的意思。而信息的收集,是本章、同时也是本法立法的重点。故建议不使用这个概念。
其次,本章的第一节,建议规定“个人信息的收集”,重点解决非法收集、过度收集和强制收集的问题。第二节规定“个人信息的管理”。第三节规定“个人信息的使用”。第四节规定“国家管理机构收集、管理和使用个人信息的特别规定”。
再次,本章几个重要条文的修改建议:
1.第十三条、十四条、十五条为本章甚至是本法最重要的条文,这个条文中规定的“个人同意权”事实上仅仅指个人信息的收集活动而言。把“个人同意权”作为个人信息收集的基本前提,这一点大体上值得肯定。但是“草案”的写法显得过分僵硬,大概是受到了把个人信息作为一种民事权利的观念的影响。但是,如上所述,个人信息中有一些并不适宜作为民事权利看待。此外,虽然个人不同意、但是合法收集个人信息的例外情况实在是太多了。所以建议该条文修改为“收集个人信息的,应该取得本人的同意。但是依法可以不经本人同意的除外。”这个但书条款,下文列举的内容很多。在立法技术上,这些具体列举的里外,也需要一个前提性的一般规则。
2. 建议本节对“禁止非法收集个人信息”、“禁止过度收集个人信息”这两条规定作出明确规定。
“草案”第十七条规定了“禁止强制收集个人信息”的规则。这一点很必要。但是,本法还应该对非法收集和过度收集的情况作出明确的禁止性规定。
3. 建议在本章中,从防止信息不当泄露、不当利用的角度,对个人信息的掌管、转让、利用等作出明确的规定。目前这些规则的思路不甚清晰。
4. 草案第29条创设的“敏感个人信息”的概念,含义不清。主要是这个概念与《民法典》第1034条中的“私密信息”的区别不清楚,建议进一步明确,以助于司法和执法。
不过从这个条文看来,“草案”的起草人已经明确的认识到,个人信息确实和《民法典》人格权编所体现的“人格权”不同,这一点本人十分肯定。本人也建议这样一种思路能够在后面第四章中得到坚持。确实,把涉及个人信息的权利理解为民法上的人格权,这种观点有明显的的失误,因为大量的个人信息都与人格、与人格权无关。
(三)对第四章、第五章的修改建议
1.建议这两章对个人信息涉及的权利和义务作出明确的定义,以体现它们和其他权利义务的区别。因为从个人信息保护的角度看,不同权利保护,权利人可以诉请保护的机构是不同的。
2. 第51条规定个人信息处理者要指定“个人信息保护负责人”,建议对这个特别设立的制度,权利义务责任的角度进一步细化。
(四)对第六章、第七章、第八章的修改建议
1.草案第59条第四项规定的查封或者扣押,涉及司法权力。如何规定更为妥当,建议再做研究。
2. 草案第66条规定了涉及个人信息保护的公益诉讼,这一规定体现了本法所说的个人信息为不特定多数人的团组信息这一特点。这一点值得肯定。但是目前的规定比较模糊,难以执行,建议从集体委托诉讼的角度,对这一公益诉讼机制作出更加明确的规定。
3. “草案”第六十九条,对信息化工作的积极方面做出了正面的解读,我认为,这一点意义重大,不适宜规定在附则之中,而应该规定在总则部分。此外,该条第(三)(四)项,关于“去标识化”“匿名化处理后的信息”等规定,社会意义非常重大,应该作为独立的法律条文加以规定。