2020年5月28日,第十三届全国人民代表大会第三次会议通过了《中华人民共和国民法典》,2021年1月1日起正式实施。《民法典》中的人格权编突出展示现代科技发展下的以人为本的价值理念,尤其是在人格权编中加入了个人信息保护内容,架构起个人信息保护的新机制,也回应了我们网信领域有关个人信息保护的诸多疑问与关切,可以说是《民法典》的亮点之一。我们知道,当前美国围绕华为、TikTop等问题对中国频频发难,其理由就是安全问题。进一步聚焦一下,其实主要就是个人信息保护问题。因此,结合《民法典》这一法律热点,加上个人信息保护这一时政热点,研究该话题非常具有现实意义。
早在2000年12月28日,全国人大常委会《关于维护互联网安全的决定》第4条规定“非法截获、篡改、删除他人电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密”可构成犯罪,其中仅列举规定了电子邮件和其他数据材料等个人信息,既不全面,也没有抓住个人信息内涵的本质。
2012年,全国人大常委会《关于加强网络信息保护的决定》第1条以抽象概括的模式规定了个人信息,即能够识别公民个人身份和涉及公民个人隐私的电子信息的权益。这一规定抓住了个人信息内涵的本质,但不完全。
2013年,《电信和互联网用户个人信息保护规定》第4条采取了比较全面的列举与概括的模式规定了个人信息的内涵。所谓个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。
2017年6月实施的《网络安全法》第76条也采纳了这种定义的模式,其规定的个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
2019年11月28日,中央网信办联合工信部、公安部、市场监督总局联合发布了《信息安全技术移动互联网应用程序(App)收集个人信息基本规范》,为监督管理部门认定App违法违规收集使用个人信息行为提供参考,为App运营者自查自纠和网民社会监督提供指引。
2020年10月1日,国家标准《个人信息安全规范》2020版将正式实施,为个人信息的确认与保护提供了技术层面的指引。
至此,现行法规及政策比较准确地界定了个人信息的内涵,并且基本上能够与现代信息技术的发展相适应。
《民法典》中涉及个人信息保护的条款总共有10条,分别为第111条、第1032-1039条、第1226条,整体构筑了个人信息全生命周期保障体系,强化了对个人信息处理环节的规制。具体如下表所示:
第一,个人信息的范围问题(第1034条)。与《网络安全法》第76条相比,《民法典》第1034条增加了电子邮箱地址和行踪信息两个新的类型。但该条并没有穷尽目前技术手段下可能的个人信息类型,比如IP地址等网络日志信息、手机广告标识符或者如mac地址等永久标识符等设备地址、浏览记录等无法直接识别的用户身份,但可与其他信息结合识别用户身份的信息。这个范围比欧盟的《一般数据保护条例》(GDPR)规定的要窄。GDPR第4条第1款定义的个人数据是指关于已经识别或可识别的自然人的任何信息,可识别的个人是指可以直接或间接、特别是通过姓名、身份证号码、位置数据、在线标识或身体、生理、基因、精神、经济、文化或社会身份之一或若干特定因素而可识别的人。说白了,我们当前对于个人信息范围的规定,还是只限于直接信息,但未包括间接信息,这反映了我们立法者结合实际,以及从便于法规可操作的角度,作出了一定程度的立法让步。
第二,数据加工且不能复原的程度问题(第1038条)。为了达到个人信息不可识别的目的,网络经营者要对个人信息进行加工处理,以便在保护个人信息的同时,促进个人信息的自由流通。数据处理的通行做法,无非是匿名化或假名化两种方式。具体而言,匿名化是对个人数据的修改,匿名化后,该信息与个人就不再相关联。采用的具体手段有泛化、压缩、分解、置换以及干扰等。比如直接以“XX”来代替某一项具体的个人信息。
除了匿名化方式,还有假名化处理方式。假名化是指不附加信息即无法将个人数据归属到特定数据主体,可以是以特定的标志替代姓名或其他特征。与匿名化的常用工具不同,假名化无需将个人数据移除或隐藏起来,更多地是将一个直白的文字转化为令人无法理解的代码。例如: 真实的个人数据是“李明,65岁,心脏病患者”,而假名数据可能是“00100, 65岁,心脏病患者”。而且,假名化需要额外的技术与组织手段保障。必须加密信息,并由少数人保有密匙。
假名化下识别个人信息的风险要大于匿名化下识别个人信息的风险,因此,通常情况下,假名化的个人信息是可识别的,至少是可间接识别的。只有在假名构成通过技术保障数据适当方法使个人信息不可识别的情况下,假名化的个人信息才是不受保护的信息。否则,假名化的个人信息,是受到法律保护的。
而一般而言,在实际操作过程中,假名化的个人信息大量存在于各个领域,这也是我们网信领域在行政监管过程中需要关注的重点内容。
第三,个人信息保护边界的问题(1032、1034、1035条)。是不是所有的个性信息,都需要进行法律保护?显然不是。《民法典》中区分了一般个人信息、私密信息以及公开信息,对于私密个人信息加强保护,对于公开信息则采取了弱化的保护。《民法典》第1032条第2款将隐私区分为三类: 私密空间、私密活动以及私密信息。而《民法典》第1034条第3款规定了“个人信息中的私密信息”。很显然,“秘密”是个人信息保护的边界。在实际操作过程中,“秘密”如何去界定呢?对于权利主体来说,是否可能因为该信息泄露而造成个人利益受损或存在受损的危险,这个是标准。对于信息使用者来说,应当遵循《民法典》1035条规定的“合法、正当且必要”,并不得过度收集、处理。对于监管者来说,要行使必要的行政裁量权,从公共利益与个人利益之间,寻求一个平衡点。
第四,权利主体“同意”的问题(1035、1036条)。《民法典》第1035条第1项要求收集、处理自然人个人信息,必须征得该自然人或其监护人同意。很多APP在使用之前,要求用户必须点击信息采集公告的“同意”以后,才能顺利使用该软件。很显然,这种做法的主要目的,还是软件提供方追求“免责”效果。在云计算、大数据、物联网环境下,个人知情同意模式已经无法起到保护个人数据的作用。一方面,明示收集、使用信息的目的、方式和范围的格式条款冗长而艰涩,无法阅读;另一方面,在网络语境中,为使用产品或服务,用户往往除点击同意之外并无其他选择,而且,用户在很多情况下对其信息的收集并不知情,向信息处理者行使权利,无从谈起。对此,《民法典》第1036条对知情同意例外条款的适用范围做了必要的限缩,即便是获得权利人同意或者是已经公开的个人信息,依然需要在“合理”范围内使用,信息处理者方可免责。
第五,以他人的匿名信息或假名信息作为攻击、诽谤对象问题(1038条)。很多时候,问题的发展往往会反其道而行之。《民法典》通过匿名或假名的方式来保护个人信息。那如果一个人攻击或诽谤一个人的匿名或假名信息,怎么处理?这个问题还是要在特定环境下去分析。比如前面我们说的那个代号为00100的心脏病人,在一般场合,直接语言攻击00100,这个很难从法律层面去追究其责任。而在医院内部、或者通过一定方式将00100与李明联系起来,那就是另外一个概念了。通过可识别标准,保护信息主体的核心利益,而信息主体也让渡了不可识别的个人信息这一非核心利益。匿名化处理的个人信息,无法直接或间接地识别个人,所以就丧失了个人信息的最本质特征,因而也就已经不再属于个人信息。
第六,对于公开信息的处理问题(1036条)。曾经有一则案例,一家创业型公司,通过爬虫技术,在工商系统、相关企业网站等爬取企业法人的联系方式,按企业类别整理好之后,对外出售。这个类似于以前的“黄页”,据我们了解,还是很有市场的,对于部分产品的精准投放提供了便利。该企业这种行为是否合法?首先,他爬取的是公开信息。其次,其目的用于商业行为,并予以盈利。第三,爬取过程中未经当事人同意。根据《民法典》第1036条第2项,对于公开的个人信息,如果该自然人明确拒绝,数据处理者是不可以处理的,否则,应当承担民事责任。对于可以公开且必须公开的个人信息,自然人应当也有一定的控制权。例如,权利人有权知晓在多大程度上公开、向谁公开该信息以及他人会基于何种目的利用信息等等。因此,如果爬取的信息用于个人非盈利目的,我认为是可以的。比如学术研究、政府监管、行业发展分析等。但是,爬取的信息在未经当事人同意的情况下,直接将信息进行出售,是有问题的。当然,如果对信息进行分析处理,将处理后的结果进行出售,则又是另外一个概念。
第七,个人信息删除问题(1037条)。《民法典》第1037条第2款和《网络安全法》第43条规定了删除权行使的具体情形,即:其一,信息处理者违反法律、行政法规的规定处理其个人信息的;其二,信息处理者违反双方的约定使用其个人信息的。在这两种情形下,自然人有权请求处理者删除这些个人信息,否则就等于认可了此等违法或违约行为的存在,承认了处理者有权侵害自然人的个人信息。这两种情形可以说涵盖了需要删除个人信息的全部情形。此前网上炒作的非常多的,是贫困户补贴个人信息遭公示问题。从公示的角度来说,是为了补贴机制的公正透明;从个人信息保护的角度来说,涉及对个人隐私的公示。在此,我认为,公示应事先告知,公示的信息范围,应以“必要”为限度。
第八,APP违规搜集信息问题(1038、1226条)。中央网信办今年5月发布了《APP违法违规收集使用个人信息专项治理报告(2019)》,显示“超范围收集功能无关个人信息”等问题仍然有较高的举报量。尤其是在疫情期间,各地疫情防控类APP、小程序等密集被开发出来。中央网信办给出的数据是,截至今年4月,各类APP、小程序多达1276个,平均每个服务收集5.5项个人敏感信息,引发舆论有关个人信息过度搜集的担忧。甚至部分外媒借机炒作该事件,用以构陷、抹杀我们抗疫成果。从监管部门来说,如果去把控APP违规搜集信息及平衡社会公共利益之间的关系呢?我觉得主要要参考如下依据:一是国家标准《个人信息安全规范》2020版(10月1日实施);二是《信息安全技术移动互联网应用程序(App)收集个人信息基本规范》,确定APP收集的必要信息和权限范围;三是《App违法违规收集使用个人信息行为认定方法》,界定App收集使用个人信息方面的违法违规行为;四是《App违法违规收集使用个人信息自评估指南》,为企业自查自纠提供参考
第九,数据安全问题(111条)。8月14日,商务部发布《关于印发全面深化服务贸易创新发展试点总体方案的通知》,宣布在条件相对较好的试点地区开展数据跨境传输安全管理试点。数据跨境传输安全管理试点任务由中央网信办指导并制定政策保障措施,北京、上海、海南、雄安新区等试点地区负责推进。数据安全是一个非常庞大的监管对象,类似生物信息安全等新型的涉及人身属性的数据,对于我们网信监管部门的安全监管,都提出了新的要求。当前,对于中小企业尤其是科创型中小企业而言,通过阿里等平台实现云存储是一个通行做法。甚至部分企业将数据存储到境外。对此,对于涉及个人信息的数据要严控出境监管,并做好异地执法的执法协同工作。
第十,个人信息复制权及其行使程度问题(1037条)。我国《网络安全法》最早以法律形式确认了自然人对其个人信息的“删除权” 与“更正权”。《网络安全法》规定的公民对其信息的删除权主要有两种情形,一是当事人发现网络运营商违反法律、行政法规或违反双方的约定收集和使用其信息;二是网络运营商所收集的个人信息的特定目的已经完成或双方约定的期限已经届满。《民法典》在“删除权”与“更正权”基础上,新增了一项“复制权”。即可以依法向信息处理者查阅或者复制其个人信息。这里的“信息处理者”是指“收集、存储、使用、加工、传输、提供、公开”个人信息的网络服务提供者,个人信息主体依法享有对其个人信息的查阅权和复制权。在逻辑上,它是查询权的延伸,但在实际效果上,还可以达到携带权的效果。欧盟《一般数据保护条例》第20条规定,当以电子化方式并且以一种结构化和通用格式来处理个人数据时,数据主体有权利从数据控制者处获得个人数据的副本,以在不同服务提供者之间移转自身数据。可携带权是支持数据流动、减少垄断、并促进控制正竞争的重要工具。因此,个人信息主体可以向网络服务提供者提出要求查询、复制其个人信息。然而,是否所有的个人信息均可被复制?企业的商业秘密与公民的个人信息权保护如何去协调?因为复制权对应的,就是可携带权,我复制了就可以拿走了,甚至这些数据,个人信息主体再拿去出售给第三方,这些均有可能对网络服务提供者的商业利益造成侵害。这中间的尺度,作为行政监管部门如何去判断,我觉得需要结合《信息安全技术: 公共及商用服务信息系统个人信息保护指南》予以确定,确定的标准是:这些可被复制的数据既不构成对信息的收集、处理与流动的障碍,又属于信息主体的核心利益。
( 一 ) 加大宣传,准确掌握《民法典》中所涉相关条款的内涵
《民法典》的出台作为我国法治建设的里程碑意义的事件,其对于个人信息保护的规定最新、最全,对于我们网信领域未来有关个人信息保护的行政监管具有重大意义。因此,加大对《民法典》的学习与宣传,是我们准确把握相关立法精神的前提,也是后续我们依法行政的准绳。
一是明示告知原则。在个人信息进行收集之前,需以确实有效的方式,明确地告知信息主体自己的个人信息将会被收集,并且明确个人信息收集的种类、方式、周期、用途或可能的用途。在信息主体明确表示同意之后,方可开始收集工作。二是用途限制原则。收集者对个人信息的处理行为需要合法合规,且收集者在收集到个人信息之后,需按照之前明示的用途来使用个人信息,不得在未授权的情况下改变个人信息的用途,不能对收集到的个人信息进行额外的分析、挖掘,或者从事其他法非法、违规的事项。三是数据销毁原则。个人信息在被收集之后,信息主体有权利要求信息处理者删除或冻结信息主体被收集到的个人信息,信息收集者在收到请求后,应当在合理的期限内,对被请求的个人信息做出删除、冻结等操作。四是安全流通原则。个人信息处理主体在收集到个人信息之后,应当采取必要的措施来保证个人信息存储的安全性和正确性,同时只有在法律法规允许的情况下,不同个人信息处理主体之间才能对个人信息进行交易、流通,对于特殊的个人信息或者特殊的信息处理主体,需要征得信息主体同意,甚至还需要获得包括网信部门在内的相关行政主管部门审批后才可以进行交易流通。
行政监管既不能漏也不能泛,漏了就可能构成行政不作为,泛了则构成行政乱作为。从网信领域来说,《网络安全法》是我们的基本法,是我们对个人信息实施行政监管的首要标尺。《网络安全法》中涉及“个人信息保护”的条款主要有:第二十二条:个人信息收集必须明示并取得用户同意,并遵守相关法律法规;第三十七条:个人享有信息的数据主权;第四十一条:个人信息的使用和收集必须合法、正当、必要;第四十二条:不得泄露、篡改、毁损其收集的个人信息;第四十三条:个人具有信息的删除权和更正权;第四十四条:严禁个人信息的非法获取、非法出售和提供;第四十五条:安全监管部门必须对个人信息进行保密;第六十四条:违反个人信息的处罚。这是我们网信领域对个人信息保护实施监管的法律依据与范围,同时加上刚才所说的监管原则,在《民法典》对个人信息保护确立的最新内容的基础上,依法履行好网信机关在该领域的法定职责。
( 四 ) 保障数据安全,突出对应用商店、APP的日常巡检
数据安全是未来很长一段时间内网信监管的核心,数据权益的让渡是公民使用某项APP服务的一个基本前提。从保障数据安全的角度来对APP实施监管,我认为至少应坚两项原则:第一,适度监管。互联网企业都是新兴企业,发展快,对经济刺激作用明显。国家当前提出的“新基建”的发展理念,其实就是基于互联网而展开。因此,在保障公民核心基本权益的基础上,对于互联网企业采取适度监管的措施,“让子弹先飞一会”,可能是一个相对理性的监管思路。第二,坚守“合法、正当、必要”的底线。当前,APP超范围搜集个人信息被社会广为诟病,一是基于民众对于个人信息泄露的不安全感,二是互联网企业安全保障机制不健全给信息泄露提供了可乘之机,三是部分企业非法使用过度采集的个人信息。为此,要加大对APP的日常巡检,以技术代替人工,对于明显违法的行为要严厉打击。网信部门要做好对应用商店的监管工作,掌握辖区内应用商店市场,加大对应用商店备案、管理的政策引导和技术支持,加大对非法应用商店的打击力度。
( 五 ) 加强技术力量建设,对暗网等互联网隐秘地带从事的违法行为实施监管
互联网作为一个技术性比较强的监管对象,对于我们网信监管提出了很高的要求。尤其是暗网等互联网“深蓝”领域,我们触及的还不多。前期有暗网出售我部分党员的个人信息,甚至还在暗网上出现所谓的“暗杀招募令”,以比特币支付的方式招募杀手对人进行暗杀。此外,黄赌毒等信息在暗网上肆意泛滥。如果说互联网是正常的市场,暗网就是黑市,难以监管,却又客观存在。为此,相关监管部门应加大技术力量建设,从技术、监管等部门加大对暗网等领域的监管力度,最大限度的减少行业监管的盲区。
