Loading
2020-11-13 17:18:00
四、自然人的權(quán)利
《個(gè)保法》(草案)開(kāi)辟第四章專(zhuān)門(mén)規(guī)定“個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利”。對(duì)于自然人享有的權(quán)利,第44條規(guī)定自然人享有知情權(quán)和決定權(quán);第45條規(guī)定自然人享有查閱權(quán)和復(fù)制權(quán);第46條規(guī)定自然人享有更正權(quán)和補(bǔ)充權(quán);第47條規(guī)定自然人享有刪除權(quán);第48條規(guī)定自然人享有要求解釋的權(quán)利;第49條規(guī)定個(gè)人信息處理者應(yīng)當(dāng)建立自然人的申請(qǐng)受理和處理機(jī)制。
首先,筆者認(rèn)為《個(gè)保法》(草案)第49條應(yīng)屬于個(gè)人信息處理者所應(yīng)履行的義務(wù),并不屬于“個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利”,應(yīng)平移至《個(gè)保法》(草案)第5章“個(gè)人信息處理者的義務(wù)”章節(jié);其次,由于實(shí)踐中常出現(xiàn)受限于其他法規(guī)的約束導(dǎo)致個(gè)人信息刪不掉的情形,例如法律規(guī)定,網(wǎng)絡(luò)日志起碼要留存六個(gè)月以上;發(fā)票、賬冊(cè)等要保留5年、10年等。鑒此,《個(gè)保法》(草案)第47條“法律、行政法規(guī)規(guī)定的保存期限未屆滿,或者刪除個(gè)人信息從技術(shù)上難以實(shí)現(xiàn),個(gè)人信息處理者應(yīng)當(dāng)停止處理個(gè)人信息。”與此同時(shí),《個(gè)保法》(草案)還對(duì)刪除權(quán)的內(nèi)容做了擴(kuò)充規(guī)定。然而即便如此,筆者認(rèn)為當(dāng)前階段,要求個(gè)人信息處理者刪除自然人的信息仍然過(guò)于困難。實(shí)際上,很多互聯(lián)網(wǎng)公司在用戶要求刪除個(gè)人信息后,在表面上刪除后實(shí)際上仍會(huì)保留用戶信息。最后,縱觀草案全文,《個(gè)保法》(草案)并未規(guī)定自然人對(duì)個(gè)人信息的可攜帶權(quán),只在第45條規(guī)定了“可復(fù)制權(quán)”。可見(jiàn),在權(quán)衡個(gè)人信息流通和自然人權(quán)利保障上,我國(guó)的立法思路似乎更側(cè)重于強(qiáng)調(diào)個(gè)人信息的有序流動(dòng)。
五、監(jiān)管部門(mén)
《個(gè)保法》(草案)第56條規(guī)定國(guó)家網(wǎng)信部門(mén)負(fù)責(zé)個(gè)人信息的統(tǒng)籌工作,其他部門(mén)在各自職權(quán)范圍內(nèi)負(fù)責(zé)個(gè)人信息的保護(hù)和監(jiān)督管理。并稱(chēng)前述規(guī)定的部門(mén)“統(tǒng)稱(chēng)為履行個(gè)人信息保護(hù)職責(zé)的部門(mén)”。
不同于《數(shù)據(jù)安全法》(草案)規(guī)定的“中央國(guó)家安全領(lǐng)導(dǎo)機(jī)構(gòu)負(fù)責(zé)數(shù)據(jù)安全工作的決策和統(tǒng)籌協(xié)調(diào),研究制定、指導(dǎo)實(shí)施國(guó)家數(shù)據(jù)安全戰(zhàn)略和有關(guān)重大方針政策”,《個(gè)保法》(草案)對(duì)于監(jiān)管部門(mén)仍然延續(xù)前期的監(jiān)管思路,仍由網(wǎng)信辦統(tǒng)籌協(xié)調(diào),其他部門(mén)配合。其原因可能在于我國(guó)最初對(duì)個(gè)人信息的保護(hù)散落于各個(gè)部門(mén)法律法規(guī)甚至是紅頭文件上,導(dǎo)致前期諸多部門(mén)均有監(jiān)管個(gè)人信息的職權(quán),內(nèi)容交錯(cuò)復(fù)雜,關(guān)系已經(jīng)難以理清。加之隨著社會(huì)變化,個(gè)人信息的內(nèi)涵乃至外延都可能不斷發(fā)生變化,僅規(guī)定單一的監(jiān)管機(jī)構(gòu)難免監(jiān)管乏力。
盡管如此,規(guī)定多部門(mén)共同監(jiān)管不免還是會(huì)出現(xiàn)多龍治水,相互扯皮或者爭(zhēng)權(quán)的局面。拿2019年APP個(gè)人信息專(zhuān)項(xiàng)治理行動(dòng)來(lái)說(shuō)。工信部、網(wǎng)信辦、公安部和市監(jiān)總局在聯(lián)合成立“APP專(zhuān)項(xiàng)治理工作小組”后,還是又各自單獨(dú)行動(dòng),分別制定不同的專(zhuān)項(xiàng)整治計(jì)劃,比如工信部還開(kāi)展“APP侵害用戶權(quán)益專(zhuān)項(xiàng)整治工作”;公安部開(kāi)展“凈網(wǎng)2019”專(zhuān)項(xiàng)行動(dòng);市場(chǎng)監(jiān)督總局開(kāi)展“守護(hù)消費(fèi)”暨打擊侵害消費(fèi)者個(gè)人信息違法行為專(zhuān)項(xiàng)執(zhí)法行動(dòng)等。
六、個(gè)人信息跨境
《網(wǎng)絡(luò)安全法》規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的個(gè)人信息出境需要經(jīng)過(guò)安全評(píng)估,此次審議的《個(gè)人信息保護(hù)法(草案)》則拓展了個(gè)人信息出境的規(guī)定,不僅將所有的個(gè)人信息出境納入安全評(píng)估范圍,還設(shè)置保護(hù)認(rèn)證、簽訂合同等出境的新路徑。
實(shí)際上,個(gè)人信息跨境一直是一個(gè)復(fù)雜的問(wèn)題,該問(wèn)題在金融領(lǐng)域特別突顯。對(duì)于金融機(jī)構(gòu)的個(gè)人信息出境,2016年的《金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》建構(gòu)了“原則禁止,以業(yè)務(wù)必需+客戶同意+關(guān)聯(lián)機(jī)構(gòu)+保密為例外”的監(jiān)管模式;而《網(wǎng)絡(luò)安全法》則建構(gòu)了“原則禁止,以經(jīng)安全評(píng)估為例外”的監(jiān)管模式。雖然央行在2020年新發(fā)布的《金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》取消了銀行內(nèi)部對(duì)個(gè)人出境的監(jiān)管要求,使得個(gè)人信息出境的監(jiān)管統(tǒng)一以《網(wǎng)絡(luò)安全法》為基準(zhǔn)。然而,對(duì)于個(gè)人信息出境如何做好《網(wǎng)絡(luò)安全法》所規(guī)定的“安全評(píng)估”,網(wǎng)信辦接連發(fā)布《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法(征求意見(jiàn)稿)》和《個(gè)人信息出境安全評(píng)估辦法(征求意見(jiàn)稿)》,兩份規(guī)范性文件作出截然不同的規(guī)定,使得個(gè)人信息出境問(wèn)題至今仍然撲簌迷離。
《個(gè)保法》(草案)并未對(duì)《網(wǎng)絡(luò)安全法》所規(guī)定的“安全評(píng)估”作出具體化的規(guī)定,在遺留問(wèn)題尚未解決的情況下,拓寬規(guī)定“保護(hù)認(rèn)證”和“訂立合同”的路徑,后續(xù)三路徑如何銜接,程序如何設(shè)置值得繼續(xù)追蹤關(guān)注。
七、政府處理個(gè)人信息
《個(gè)保法》(草案)在第2章第3節(jié)規(guī)定:“國(guó)家機(jī)關(guān)處理個(gè)人信息的特別規(guī)定”,其中第33條規(guī)定:“國(guó)家機(jī)關(guān)處理個(gè)人信息的活動(dòng)適用本法;本節(jié)有特別規(guī)定的,適用本節(jié)規(guī)定”,從而使得《個(gè)保法》(草案)不僅能規(guī)范企業(yè)的個(gè)人信息處理行為,也能規(guī)范政府機(jī)構(gòu)的信息處理行為。
由于政府是為人民提供服務(wù)的機(jī)構(gòu),每個(gè)自然人從生至死都需要跟政府機(jī)構(gòu)打交道,因此,政府是處理個(gè)人信息最活躍的機(jī)構(gòu),也是收集個(gè)人信息最全面最集中的機(jī)構(gòu)。然后,對(duì)于政府機(jī)構(gòu)如何合法收集個(gè)人信息,一直以來(lái)都沒(méi)有專(zhuān)門(mén)的法律規(guī)定。實(shí)際上,政府在收集自然人信息上都或多或少存在不合法或者不合理的地方。比如在個(gè)人信息委托處理上,《政務(wù)信息資源共享管理暫行辦法》規(guī)定各政務(wù)部門(mén)應(yīng)按要求編制、維護(hù)、更新部門(mén)政務(wù)信息資源目錄。由于政務(wù)信息資源目錄編制工程量較大,很多政府部門(mén)常將個(gè)人信息外包給外面的第三方機(jī)構(gòu)處理,并未嚴(yán)格評(píng)估第三方機(jī)構(gòu)的資質(zhì)能力。
本次《個(gè)保法》(草案)將政府機(jī)構(gòu)納入規(guī)范的主體范疇,一定程度上有利于政府部門(mén)對(duì)個(gè)人信息的規(guī)范處理。但值得關(guān)注的是,《個(gè)保法》(草案)仍然以自然人同意作為處理個(gè)人信息的基礎(chǔ),對(duì)于政府機(jī)構(gòu)等強(qiáng)勢(shì)部門(mén),自然人“同意”機(jī)制是否會(huì)面臨被架空的風(fēng)險(xiǎn),值得我們繼續(xù)關(guān)注。
八、法律責(zé)任
《個(gè)保法》(草案)第62條規(guī)定違法處理個(gè)人信息的,情節(jié)嚴(yán)重者,將被處于最高5000萬(wàn)元或上一年度營(yíng)業(yè)額5%的高額罰款,相關(guān)負(fù)責(zé)人將處以10萬(wàn)以上100萬(wàn)以下的罰款。特別地,《個(gè)保法》(草案)公布當(dāng)天,央行緊跟其后發(fā)布幾大銀行因個(gè)人信息問(wèn)題被聯(lián)合處于將近五千萬(wàn)元的罰款處罰,更彰顯其“震懾力”。
但正如《個(gè)人信息保護(hù)法》(草案)熱點(diǎn)問(wèn)題解讀(一)所述,由于個(gè)人信息的法律屬性界定不明,當(dāng)涉及個(gè)人信息糾紛時(shí),要適用《個(gè)保法》(草案)還是直接適用《民法典》的侵權(quán)規(guī)定不清晰。如果直接適用《民法典》的侵權(quán)規(guī)定,《個(gè)保法》(草案)的處罰條款將可能被架空。同時(shí),與歐洲出臺(tái)GDPR的背景不同,歐洲無(wú)論設(shè)置巨額罰款還是“數(shù)字稅”,更多是針對(duì)以美國(guó)為首的外企,本意是維護(hù)甚至扶植歐洲本土企業(yè)的發(fā)展。我國(guó)的巨額處罰,針對(duì)的是本國(guó)企業(yè),行政機(jī)構(gòu)一旦采用《個(gè)保法》(草案)第62條的規(guī)定,恐將會(huì)造成行業(yè)的大動(dòng)蕩,不利于大數(shù)據(jù)行業(yè)的發(fā)展,將與《個(gè)保法》(草案)第1條規(guī)定的“保障個(gè)人信息依法有序自由流動(dòng)”相悖。因此,該條款如何適用?如何使用?使用后效果如何?都需要謹(jǐn)慎對(duì)待。
關(guān)聯(lián)閱讀:新規(guī)解讀 | 《個(gè)人信息保護(hù)法》(草案)核心問(wèn)題解讀(一)