经过数年的研究与酝酿,备受社会各界关注的个人信息保护法草案(以下简称“草案”)终于亮相,接受全国人大常委会审议。这标志着我国个人信息保护法的立法,迈出了具有决定性意义的一步。围绕这一草案还会有很多讨论,草案的文本也会有进一步的修改与完善。但由草案所勾勒的个人信息保护规则以及个人信息保护制度体系,已清晰可辨。
中国的个人信息保护立法立规早已开始,并且已经颇具规模。从《全国人民代表大会常务委员会关于加强网络信息保护的决定》,到网络安全法的制定、消费者权益保护法的修订,再到电子商务法以及今年刚刚颁布的民法典,这些法律都涉及个人信息保护问题,都可以找到关于个人信息保护的某一个方面、某一个领域的专门规则。特别是在今年5月28日颁布的民法典中,针对个人信息的民法保护问题,设立了相当全面的规则。在这样的背景之下,全国人大要进一步制定一部专门的个人信息保护法,其意义何在?是为了解决什么样的问题?
首先,先前立法中涉及个人信息保护的规则,相对而言,比较原则与抽象,需要通过专门的立法,对有关规则的内涵以及在不同场景中的把握,做进一步明确具体的规定。缺乏具体明确的可操作的规则,个人信息保护制度就难以真正落地。因此,针对个人信息保护进行专门立法的首要目的在于,进一步明确个人信息保护规则。这一点在草案的文本中表现得相当突出。举例来说,关于个人信息的处理,先前立法都一以贯之地强调,原则上需要获得个人信息主体的同意(只是在有限的几种例外情况下,不经过个人的同意,也可以进行个人信息的处理)。但关于“同意”,具体来说,应该如何理解?是需要明示的同意还是默示同意就可以;是概括同意、打包同意,一揽子同意就可以,还是需要单独的同意?是比较宽松的包括口头同意在内的同意就可以,还是需要以特定的书面方式同意才可以?是一次性同意就代表了对后续的处理都视为同意,还是说根据个人信息处理场景的转换,需要另外重新获得同意才可以?更加重要的是,如果个人信息主体不同意,相对人是否可以因此拒绝提供产品或者服务?这些都是在实务上非常重要,需要在立法上予以进一步明确的问题。对此,草案都给出了相当明确清晰的答案。
在个人信息主体所具有的受法律保护权益的具体内涵上,先前的立法也没有给出明确具体的表述,草案对此给出了非常具体的规定。个人在信息处理活动中,针对其个人信息,可以享有知情权、决定权、查询权、更正权、删除权等等。这些都是非常重要的规定,使得个人信息保护的规定,具有更强的可操作性。
其次,个人信息保护是一个完整的制度体系。先前在这一问题上的立法,往往只关注制度的一个特定方面,因此仍然需要通过一个专门的综合性立法,来建构一个相对完整的个人信息保护制度体系。我们可以看到,草案针对个人信息保护法的域外效力问题、个人信息跨境提供问题、个人信息处理者的义务问题、履行个人信息保护职责的部门的权限界定问题,都作出了明确具体的规定。这些都是一国的个人信息保护制度体系中不可或缺的组成部分。通过这一立法,才可以说,中国建立了一个相对完整的个人信息保护的制度体系。
值得注意的是,草案关于个人信息处理者的义务体系的规定,相当系统和全面。仅草案中提到的管理措施就涉及相关处理者的内部管理措施、不同类型的个人信息分类管理制度、安全技术措施、应急预案、个人信息保护负责人、个人信息处理活动审计制度、个人信息处理风险评估制度、个人信息泄露事件的披露以及补救制度等等。这些制度先前只是零散地被提及,这次通过草案的规定,得以系统化地提出。而这些配套制度的建立,对于完善中国的个人信息保护制度体系具有重大意义。
基于以上两个方面的考虑,可以认为个人信息保护的专门立法正当其时,非常有必要。当然,由于是初步的草案,相关规定的科学性、合理性仍然值得深入研究。具体来说,草案中所确定的个人信息主体所拥有的权益体系是否科学合理,是否符合中国现实,如何避免其不当行使给信息处理者带来过重负担,甚至影响信息产业的发展,均值得斟酌。另外,针对个人信息处理者所设计的诸多制度,如何评估其合理性以及必要性,需要慎重评判。相关的制度是否会成为监管套利的工具,例如安全认证制度等等,值得深入研究。对履行个人信息保护职责的部门而言,相关规定是否足够明确具体,是否有助于建构一个有效的工作机制,如何避免互相卸责又互相争夺的问题,也值得研究。
个人信息保护立法的优劣,最重要的评价标准就是科学而且精准地平衡两大 法律价值,一方面是保障个人信息权益,同时又不能过度影响个人信息的合理利用。从整体而言,草案的规定力求实现二者的兼顾。我们相信随着各方积极参与讨论,集思广益,最终一定会制定出一部良善的个人信息保护法。