个人信息保护法自2021年11月1日起实行以来,行政执法和司法审判工作都取得了很大成效。目前,个人信息保护法的落地实施正在持续全面深入推进,但对一些问题仍存在不同的认识和理解。在个人信息保护法实施两周年之际,笔者就该法实施中的几个问题谈谈个人看法,以期为今后办案和研究提供参考。
一、个人信息保护法的立法背景
个人信息保护问题虽然是一个全球性的法律问题,但在各国产生的历史背景并不相同。20世纪60年代,随着信息技术的发展,电子数据处理在美国越来越普遍,个人信息保护问题遂成为公众话题。当时美国政府试图建立一个国家数据库,希望收集所有美国公民的所有可以收集到的信息,但民众担心受到政府监控,因此要求政府机构在数据处理过程中进一步加强隐私权保护。个人信息保护在欧洲则始于欧洲法院于1969年审理的一个有关降价销售黄油救助贫困人群的案件,欧洲法院从基本人权角度解释出个人信息保护。后来,《欧洲联盟条约》《欧盟运行条约》《欧盟基本权利宪章》等就个人信息保护作出规定。自那时起,个人信息保护法成为各国国内法的一个新兴领域,也成为一些国际条约的重要内容。由此可以看出,美国个人信息保护源自对政府机构的警惕,欧盟个人信息保护源自对基本人权的保护,二者产生的历史背景并不相同,各自的制度设计、实现机理也存在差别。
在我国,个人信息保护是在新世纪网络通信技术应用与经济社会各领域的持续深度融合的背景下出现的。网络空间成为人们生产活动、生活交往的新场所、新场景,人们在网络空间的各种活动信息经电子或者其他方式记录后形成海量规模的大数据。这些大数据成为经济发展的新动力、新要素。个人信息是大数据的核心和基础,因此一些机构和个人开始随意收集、违规获取、过度使用个人信息,甚至非法买卖个人信息。这些行为侵扰个人的生活安宁、危害个人生命健康和财产安全,对社会稳定、国家安全也构成威胁。个人信息保护遂成为我国法治建设工作的一项重大议题,并快速进入立法程序。
我国个人信息保护法充分考察借鉴了有关国际组织、国家和地区,特别是欧盟的一些有益做法和经验,但是我们要认识到我国个人信息保护法产生的历史背景与欧美个人信息保护法产生的历史背景并不相同。认识我国个人信息保护法产生的历史背景后,就比较容易理解我国个人信息保护法所针对的主要问题,明确其主要适用场景,理解和适用该法时要认识到并不是所有涉及个人信息处理的问题都属于个人信息保护法规制的问题。
二、个人信息保护法的立法定位
目前,我国已经建立起由宪法及其相关法律、民商法、行政法、经济法、刑法以及诉讼与非诉讼程序法为主要法律部门的法律体系。根据全国人大对现行有效法律的统计分类,个人信息保护法没有划入民商法部门和行政法部门,而是划入了经济法部门。因此,个人信息保护法在我国法律体系中的立法定位是经济法。
因此,要从经济法角度去理解和适用个人信息保护法。经济法的特殊价值思想就是实现整体经济的正确性。经济法是通过私法主体自治与国家公权干预的共同作用实现整体经济秩序正确性的。为了实现整体经济正确性,国家需要对一些重要的私法制度加以利用,例如私法自治、契约自由、所有权保护、自己责任等。同时,国家又要把这些私法制度融入到整个经济秩序规范体系中,使得这些私法制度兼具私法功能和公法功能,并与整个经济秩序相关联。这些私法制度的意义和任务不再局限于个人与个人之间的公正秩序。因此,不能仅从私法角度或者仅从公法角度理解和适用个人信息保护法。
要系统地理解个人信息保护法的立法目的。不同法律部门有不同的价值思想和实现机制。个人与个人之间相互关系的正确性在私法中占据主要地位,个人行为在公共管理秩序中的正确性在公法中占据主要地位,整体经济的正确性则在经济法中占据主要地位。个人信息保护法兼具私法功能和公法功能,并且其私法功能和公法功能要和谐地融入到整个经济秩序之中。个人信息保护法的立法目的包括“保护个人信息权益”“规范个人信息处理活动”“促进个人信息合理利用”。“保护个人信息权益”属于私法范畴,但不再局限于个人与个人信息处理者之间相互关系的正确性;“规范个人信息处理活动”属于公法范畴,但不再局限于个人信息处理行为在公共管理秩序中的正确性;“促进个人信息合理利用”则直接体现整体经济的正确性。“保护个人信息权益”和“规范个人信息处理活动”都要融入到“促进个人信息合理利用”,都要融入到整个经济的正确性。通过建立权责明确、保护有效、利用规范的制度规则,在保障个人信息权益的基础上,重在促进个人信息合理有效利用,推动数字经济健康发展。因此,个人信息保护法,虽名为保护法,实则为促进法,即促进个人信息合理利用的法。
三、个人信息保护法与其他法律之间的关系
我国个人信息保护的立法始于刑法领域。刑法修正案(七)新增侵犯公民个人信息罪,初步建立公民个人信息保护的刑法规范。后来,全国人大及其常委会在制定《关于加强网络信息保护的决定》、网络安全法、电子商务法以及修改消费者权益保护法等立法过程中确立了个人信息保护的主要规则;刑法修正案(九)进一步完善惩治侵害个人信息犯罪的法律制度;民法总则首先确立个人信息民事保护制度,民法典将个人信息作为一项重要民事权益作出具体规定。至此,我国个人信息保护在立法层面形成了以刑法规范、民法规范、行政法规范为基本框架的法律制度体系。在此基础上,我国又制定了综合性的个人信息保护法,因此要注意厘清个人信息保护法与其他法律之间的关系。
要注意区分个人信息保护法与个人信息保护刑法规范的适用场景。如前所述,在网络通信技术应用与经济社会各领域的持续深度融合的背景下,人们在网络空间的各种活动信息经记录后形成海量规模的大数据。个人信息保护法主要针对正常网络活动过程中,那些违反合法、正当、必要原则的各种过度处理个人信息的行为。个人信息保护刑法规范则主要针对窃取或者以其他方法非法获取个人信息、非法出售或者提供个人信息等情节严重的行为。简言之,个人信息保护法主要针对原则允许情形下的各种过度处理个人信息行为,个人信息保护刑法规范则主要针对原则禁止情形下的各种非法处理个人信息的行为。
要注意个人信息民事保护中个人信息保护法与民法典的法律适用问题。个人信息保护法是个人信息保护的基本法。个人信息保护法虽然与民法典的有关规定相衔接,明确在个人信息处理活动中个人的各项权利,包括知情权、决定权、查询权、更正权、删除权等,但个人信息保护法与民法典之间并不是特别法与一般法的关系,个人信息民事保护应依据民法典的相关规定。至于侵害个人信息权益造成损害的归责原则应依据个人信息保护法,这并不是因为个人信息保护法相较于民法典具有优先适用效力,而是因为民法典第一千一百六十五条第二款规定了过错推定的法定原则,即“依照法律规定推定行为人有过错,其不能证明自己没有过错的,应当承担侵权责任”。对于侵害个人信息权益造成损害的归责原则来说,此处的“依照法律规定”自然是指依照个人信息保护法规定,而个人信息保护法第六十九条第一款恰恰规定了侵害个人信息权益造成损害的过错推定原则,因此该条款得以适用。
四、“合法正当必要”原则的理解和适用
“合法正当必要”是个人信息保护法规定的一项基本原则,其他多部法律出于不同立法目的也规定了“合法正当必要”原则,并且该原则所包含的合法、正当和必要之间也存在一定程度的交叉。因此,具体适用该原则时应从多个方面予以考虑并妥善处理。
应劣后适用且限制性适用“合法正当必要”原则。该原则是处理个人信息应当遵循的一项基本原则,因此应将该原则作为一般条款来适用。根据“禁止向一般条款逃逸”的法律适用原则,个人信息保护的法律规则应优先于“合法正当必要”原则。只有当没有个人信息保护的法律规则可以适用于个案或者现有法律规则适用于个案可能产生不公时,才可以适用“合法正当必要”原则,并且应充分说明相关理由。
要注意妥善处理涉及“合法正当必要”原则的有关法律的相互关系。民法典、网络安全法、数据安全法、个人信息保护法等法律都直接或间接涉及“合法正当必要”原则,但是不同法律有不同的立法目的和体系定位,因此适用该原则时,应区别对待。一方面,个人信息保护法与民法典有关法律规定相衔接,充实个人信息保护的民事制度和具体规则。另一方面,个人信息保护法与网络安全法、数据安全法等有关法律规定相衔接,对于涉及个人信息保护的网络安全、数据安全监管相关制度,个人信息保护法未再作规定,可以直接适用这些法律的相关规定。因此,适用“合法正当必要”原则时,要明确有关法律之间的相互关系,依据案件性质、争议焦点等妥善适用。
应采取分别审查、整体把握的方法适用“合法正当必要”原则。适用该原则时,既要对合法性、正当性、必要性分别进行审查,又要从整体上综合考虑是否符合该原则。合法性审查侧重处理个人信息的法律依据,重点审查是否属于法律规定的各种允许处理个人信息的情形,尤其是要妥善处理作为兜底条款的“法律、行政法规规定的其他情形”。正当性审查侧重处理个人信息目的和手段的正当性,重点审查处理个人信息的目的和手段是否明确、合理,是否符合个人信息保护法确立的基本原则。必要性审查侧重审查处理个人信息的行为类型、个人信息类型、个人信息范围及数量、与处理目的相关度、对个人权益的影响等。
五、个人信息保护法中的算法可解释性问题
算法和算法可解释性是自动化决策系统的内在构成部分,个人信息保护法并没有直接规定算法可解释性问题,而是基于个人信息保护的法律机理和现实需求针对自动化决策作了规定,其中第七十三条对自动化决策进行了定义,第二十四条和第五十五条对自动化决策的应用规定了具体要求。第七十三条规定,自动化决策是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。由此可以看出,可解释性并不是自动化决策的法律构成要件,自动化决策及算法的可解释性并不是个人信息保护法的一项强制性法律要求。
个人信息保护法第二十四条和第五十五条出于个人信息保护的立法目的,对自动化决策的应用从不同角度规定了具体要求。考虑到通过自动化决策进行个人信息处理可能会对个人权益产生重大影响,第五十五条要求个人信息处理者利用自动化决策时应事先评估自动化决策对个人信息保护的影响,并对处理情况进行记录。这实际上属于立法对个人信息处理者提出的合规义务,与自动化决策及算法的可解释性无关。第二十四条第一款要求自动化决策应透明、公平、公正、不歧视,从条文本身难以得出该法将可解释性作为自动化决策的一项强制性法律要求;该条第二款要求自动化决策应赋予个人选择权或者拒绝权,从条文本身也难以得出可解释性是自动化决策的一项强制性法律要求;该条第三款要求自动化决策对个人权益有重大影响时应赋予个人要求说明的权利和赋予个人拒绝完全自动化决策的权利。对于“拒绝个人信息处理者仅通过自动化决策的方式作出决定”,无论是理解为拒绝完全自动化决策这种方式,还是拒绝完全自动化决策这种方式作出的决策结果,都不涉及算法的可解释性。赋予个人拒绝权足以保证自动化决策结果的可接受性,因此“个人有权要求个人信息处理者予以说明”中的“说明”应指个人信息处理者将对个人权益有重大影响的自动化决策结果告知个人,该个人则相应地享有拒绝该自动化决策结果的权利。个人信息保护法未赋予个人算法解释权,个人信息处理者不负有算法解释义务,但负有告知义务,即个人信息处理者应将对个人权益有重大影响的自动化决策结果告知该个人。