酝酿多年的《中华人民共和国个人信息维护法》总算在2021年8月20日出台,作为“百年未有之大变局”的准则回应,个人信息维护法外引域外立法才智,内接本乡实务阅历,熔“个人信息权益”的私权维护与“个人信息处理”的公法监管于一炉,统合私主体和公权力机关的责任与责任,统筹个人信息维护与运用,奠定了我国网络社会和数字经济的法令之基。为了充沛了解个人信息维护法的内在,咱们无妨从世界维度与我国维度着眼,以展示其深远含义。
个人信息维护的立法可追溯至德国黑森州1970年《材料维护法》。尔后,瑞士(1973)、法国(1978)、挪威(1978)、芬兰(1978)、冰岛(1978)、奥地利(1978)、冰岛(1981)、爱尔兰(1988)、葡萄牙(1991)、比利时(1992)等国的个人信息维护法亦景从聚集。在大西洋对岸,1973年美国发布“公正信息实践准则”陈述,确立了处理个人信息处理的五项准则:(1)制止一切隐秘的个人信息档案保存系统;(2)保证个人了解其被搜集的档案信息是什么,以及信息怎么被运用;(3)保证个人可以阻挠未经赞同而将其信息用于个人授权运用之外的意图,或许将其信息供给给别人,用作个人授权之外的意图;(4)保证个人可以改正或修正关于个人可辨认信息的档案;(5)保证任何安排在计划运用信息档案中的个人信息都有必要是牢靠的,并且有必要采纳预防办法避免乱用。在“公正信息实践准则”所奠定的个人信息维护根本结构之上,美国《顾客网上隐私法》《儿童网上隐私维护法》《电子通讯隐私法案》《金融服务现代化法》(GLB)《健康稳妥流转与责任法》(HIPAA)《公正信誉陈述法》相继出台。
进入21世纪,在数字化浪潮的推进下,个人信息维护的立法猛然加快。2000到2010年,共有40个国家公布了个人信息维护法,是前10年的两倍,而2010年到2019年,又新增了62部个人信息维护法,比以往任何10年都要多。连续这一趋势,到2029年将会有超越200个国家或区域具有个人信息维护法。
我国个人信息维护法正是此历史进程中的重要一环。回忆过往,世界个人信息维护法迄今已阅历了三代。第一代以经合安排1980年《关于隐私维护与个人数据跨境流转指引》和1981年欧洲理事会《有关个人数据自动化处理之个人维护条约》为起点。第二代以欧盟1995年《个人数据维护指令》为代表,其在第一代准则的根底上加入了包含“数据最少够用”“删去”“灵敏信息”“独立的个人信息维护组织”等要素。第三代即为2018年收效的欧盟《通用数据维护法令》(GDPR)。与第二代比较,GDPR大大拓宽了信息主体权力,并确立了一系列新的维护准则。我国个人信息维护法采纳“拿来主义、兼容并包”的办法,会通各国立法,学习世界第三代个人信息维护法的先进准则,铸就熨帖我国国情的规矩规划。这首要体现在:
其一,在编制结构上,将私营部分处理个人信息和国家机关处理个人信息一体规制,除清晰破例规矩外,保证遵从个人信息维护的同一规范。基于此,个人信息维护法两线作战,即直面企业超采、乱用用户个人信息的痼疾,又防备行政部分违法违规处理个人信息的问题,最大极限地维护个人信息权益。其二,在统辖范围上,个人信息维护法统筹境内和境外,赋予必要的域外适用效能,以充沛维护我国境内个人的权益。其三,在“个人信息”确定上,采纳“相关说”,将“与已辨认或答应辨认的自然人有关的各种信息”均包含在内。其四,在个人信息权益上,不只赋予个人查询权、更正权、删去权、自动化决议计划的解释权和回绝权以及有条件的可带着权等“详细权力”,并且从中升华为“个人对其个人信息处理的知情权、决议权,约束或许回绝别人对其个人信息进行处理”的“笼统权力”,由此构成法定性和开放性兼备的个人信息权益系统。其五,在个人信息跨境上,采纳安全评价、维护认证、规范合平等多元化的出境条件。其六,在大型渠道监管上,对“重要互联网渠道服务、用户数量巨大、事务类型杂乱的个人信息处理者”苛以“看门人”责任,完善个人信息管理。
我国个人信息维护法决不仅仅回应世界潮流之举,事实上,它也是我国法令系统自我完善、自我开展的必然结果。从2018年9月个人信息维护法被归入“十三届全国人大常委会立法规划”,位列“条件比较老练、任期内拟提请审议”的69部法令草案之中,到现在个人信息维护法正式颁行,看起来不过历时三载,但追根溯源,间隔2012年《全国人大常委会关于加强网络信息维护的决议》已有10年,间隔2003年国务院信息化办公室布置个人信息维护法立法研究工作已有18年。在近20年的进程中,我国个人信息维护规范日渐丰茂,网络安全法、新修订的顾客权益维护法、电子商务法、刑法修正案九、民法典等对个人信息维护作出了相应规矩,及时回应了国家、社会、个人对个人信息维护的关心。但是,这种涣散式的立法,也面临着系统性和操作性短缺、权力救助和监管办法缺乏的窘境,正因如此,一部一致的个人信息维护法合理当时。
任何法令都是特定时空下社会生活和国家次序的规矩,个人信息维护法概莫能外。我国个人信息维护法以现实问题为导向,以法令系统为根基,统筹既有法令法规,体恤民众诉求和年代需求,将之发掘、提炼、表达为详细可感、缜密详实的法令规矩,以维护网络杰出生态,促进数字经济开展。我国个人信息维护法的我国才智和我国计划包含但不限于:
其一,在法令根由上,将个人信息维护上溯至宪法,经由宪法第33条第三款“国家尊重和保证人权”、第38条“中华人民共和国公民的人格尊严不受侵略”、第40条“中华人民共和国公民的通讯自在和通讯隐秘受法令的维护”,发誓、夯实、提升了个人信息权益的法令位阶。其二,在立法意图上,将“维护个人信息权益”和“促进个人信息合理运用”作为并行的规范方针,秉持“执其两头,用其间于民”的理念,满意人们对美好生活的神往。为此,个人信息维护法拓宽了民法典“知情赞同+免责事由”的规矩规划,采纳了包含个人赞同、缔结和实行合同、实行法定责任和法定责任、人力资源管理、突发公共卫生事件应对、揭露信息处理、新闻报道、舆论监督等多元合理性根底。其三,在规范主体上,将“个人信息处理者”作为首要责任人,将“承受托付处理个人信息的受托人”作为辅助人,承当必定范围内的个人信息安全保证责任。其四,在维护程度上,关于未成年人的个人信息、特定身份、行迹轨道、生物辨认等信息予以更高力度的维护。其五,在适用场景上,关于“差别化定价”“个性化推送”“公共场所图画收集辨认”等社会反映激烈的问题,予以专门规制;展开揭露或向第三方供给个人信息、处理灵敏个人信息、个人信息出境等高危险处理活动的,应当获得个人的“独自赞同”。其六,在监管体系上,个人信息维护法采纳了“规矩拟定权相对会集,法令权相对涣散”的架构,由国家网信部分统筹和谐有关部分拟定个人信息维护详细规矩、规范,国务院有关部分在各自责任范围内担任个人信息维护和监督管理工作。
“十年辛苦不寻常”,我国个人信息维护法是过往世界阅历和我国才智的结晶。但一起,“徒法缺乏以自行”,在立法功德圆满之后,个人信息维护法还有待司法和法令的后续接力,才干真实落地生根,终究成为护持个人权益、鼓励稳健开展、衔接国家命运的数字年代根本法。从出台到施行,个人信息维护法仍然任重而道远。(作者:答应,对外经济贸易大学数字经济与法令立异研究中心履行主任)
专家解读|吸收接轨世界立法 探究创始我国途径——读《中华人民共和国个人信息维护法》
