《个人信息保护法》即将出炉
来源:中国贸易报 作者:本报记者 陈璐
3月3日,《中华人民共和国个人信息保护法(草案)》(下称《草案》)提请全国人大常委会审议。
“个人信息保护立法,乃至更大范围的数据安全立法,回应了已经来临的数字时代法治建设的现实需要。”江西财经大学数据法律研究院院长饶传平在接受《中国贸易报》记者采访时表示。江西财经大学数据法律研究院是国家社科基金重大项目《数字社会的法律治理体系与立法变革研究》课题牵头单位。
江西财经大学教授、数据法律研究院秘书长焦洪涛认为,“个人信息保护法律体系是一个涉及宪法、民法、刑法、行政法等多个部门法的综合体系,其专门立法的制定,经过较长的酝酿、准备过程。”
该法于2003年启动,中间一度暂停,于2018年又重启,形成了《个人信息保护法(草案)》。2020年10月,全国人大法工委面向社会公众公开就《个人信息保护法(草案)》征求意见。
目前,《个人信息保护法(草案)》处于“审议”阶段。在审议通过后,立法程序进入“表决”和“公布”阶段。焦洪涛认为,“目前来看,《个人信息保护法》正式“出炉”的具体时间虽不能精准预测,但肯定距离面世并生效实施已经为期不远。”
“匿名化处理后的信息”协调监管与保护
对个人信息尤其是隐私信息的侵害,是互联网时代的一个重大问题。
饶传平举例称,欧盟与美国个人信息保护法律路径不同,对互联网产业的发展产生了明显不同的后果。一般认为,与美国比较,欧盟立法对个人信息采取更强程度的保护,这也导致其互联网产业远远落后于美国。事实上,如何做到大数据发展与个人信息保护的平衡,确实是当代最大挑战之一。其实,欧盟和美国的个人信息保护立法都有各自的经验,也都面临着各自的问题,处在不断改进中。比如欧盟,2018年的《通用数据保护条例》相比较于1995年的《个人数据保护指令》,无论立法结构、基本原则,还是具体规定,都更强调个人信息权利保护与个人信息自由流动的双重价值。
2018年,欧盟的《通用数据保护条例》、巴西《通用数据保护法》等纷纷出台,这也构成了我国《个人信息保护法(草案)》在2020年出台的国际背景。
饶传平称,随着5G、大数据、人工智能等新一轮数字信息技术的迅猛发展,个人信息和各种数据泄露事件层出不穷,影响越来越大,个人信息保护立法已刻不容缓。
“面对大数据发展与个人信息保护之间平衡的时代挑战,我国《个人信息保护法(草案)》也找到了较好的解决方案。”饶传平指出,《草案》第四条将“匿名化处理后的信息”排除在“个人信息”的范围之外。这意味着,我国的《个人信息保护法(草案)》不保护匿名化处理后的信息。这也意味着,信息和数据产业就完全可以合法利用经过匿名化处理后的信息进行再创新。
江西财经大学数据法律研究院院长助理李钊认为,我国加速推进个人信息保护领域的立法工作,相继出台《网络安全法》《民法典》《数据安全法(草案)》,在基本法层面构建了个人信息保护的行政和民事基本规范。目前,这些规范的保护还较为零散,还缺乏个人信息保护领域的统一规范。《个人信息保护法(草案)》的出炉,将会填补这个领域的空白。该法一方面对敏感个人信息提供了严格的保障机制,以优化数字经济的法制环境。另一方面会进一步促进个体权利与企业以及政府责任之间平衡关系的建立,使数字经济的发展规范化。此外,该立法会对本地数据的跨境流通进行规制,使这个过程处于相关部门的严格监管之下,在保护国家数据主权的基础上,促进与世界各国的交流。
谁来进行个人信息的匿名化处理?
《个人信息保护法(草案)》第一条规定,为了保护个人信息权益,规范个人信息处理活动,保障个人信息依法有序自由流动,促进个人信息合法利用,制定本法。
“该条开宗明义指出《草案》的立法宗旨是要在个人信息权益保护和信息自由流动、合法利用之间取得平衡。”饶传平强调,期待《个人信息保护法(草案)》能够在数字时代为个人信息尤其是隐私信息保驾护航的同时,不阻碍甚至推进信息自由流动和数据的创新利用。但是,在实践中要做到这一点,关键在个人信息的匿名化处理。由谁来匿名化处理各类服务商收集、存储的个人信息然后再流动、交易、创新?如果由初始收集、存储的服务商来做匿名化处理,很难保证他不因自身利益而出现问题。因此,在日本,对医疗机构收集的患者信息,相关立法就规定医疗机构得交由独立的第三方机构或企业来进行匿名化处理,第三方就成为区隔具有识别性的个人信息和清洗个人身份匿名信息的“净水器”,通过“净水器”流出来的信息,就可以放心进入交易市场而不侵害个人信息权益。
“《草案》虽然花费大量条文规定了个人信息处理者的各类义务和处理规范,但徒法不足以自行,尤其是在数字时代,个人信息基本脱离个人控制而存在于各类不知在何处的服务商的计算机服务器上,光靠服务商的自律或者运动式执法检查或者零星巨额罚款吓阻,效果有限。”饶传平认为,有人建议应在相关政府部门设立专门的监管委员会,常态化、专业化、有权威地受理、调查、处理各类个人信息违法处理行为。如上述独立第三方个人信息处理者和专门监管委员会具有很大的现实意义,但此次《草案》还没有类似的规定。还有,对敏感个人信息的保护需要更具灵活性。《草案》在第29条对敏感个人信息作了界定,提到种族、民族、宗教信仰、个人生物特征等几类信息作为外延,但这类信息很难通过抽象类别判定,而应结合特定的场景和行业,并考察具体条件和风险确定信息的敏感程度,所以可能需要采用动态评估的方式来进行界定。当然,这些需要进一步完善,以创造一种维护个人尊严、成果利益共享、功能结构互补、发展创造性价值的多元主体数据共同利用的格局。