Loading
2020-11-13 17:18:00
四、自然人的權利
《個保法》(草案)開辟第四章專門規定“個人在個人信息處理活動中的權利”。對于自然人享有的權利,第44條規定自然人享有知情權和決定權;第45條規定自然人享有查閱權和復制權;第46條規定自然人享有更正權和補充權;第47條規定自然人享有刪除權;第48條規定自然人享有要求解釋的權利;第49條規定個人信息處理者應當建立自然人的申請受理和處理機制。
首先,筆者認為《個保法》(草案)第49條應屬于個人信息處理者所應履行的義務,并不屬于“個人在個人信息處理活動中的權利”,應平移至《個保法》(草案)第5章“個人信息處理者的義務”章節;其次,由于實踐中常出現受限于其他法規的約束導致個人信息刪不掉的情形,例如法律規定,網絡日志起碼要留存六個月以上;發票、賬冊等要保留5年、10年等。鑒此,《個保法》(草案)第47條“法律、行政法規規定的保存期限未屆滿,或者刪除個人信息從技術上難以實現,個人信息處理者應當停止處理個人信息。”與此同時,《個保法》(草案)還對刪除權的內容做了擴充規定。然而即便如此,筆者認為當前階段,要求個人信息處理者刪除自然人的信息仍然過于困難。實際上,很多互聯網公司在用戶要求刪除個人信息后,在表面上刪除后實際上仍會保留用戶信息。最后,縱觀草案全文,《個保法》(草案)并未規定自然人對個人信息的可攜帶權,只在第45條規定了“可復制權”。可見,在權衡個人信息流通和自然人權利保障上,我國的立法思路似乎更側重于強調個人信息的有序流動。
五、監管部門
《個保法》(草案)第56條規定國家網信部門負責個人信息的統籌工作,其他部門在各自職權范圍內負責個人信息的保護和監督管理。并稱前述規定的部門“統稱為履行個人信息保護職責的部門”。
不同于《數據安全法》(草案)規定的“中央國家安全領導機構負責數據安全工作的決策和統籌協調,研究制定、指導實施國家數據安全戰略和有關重大方針政策”,《個保法》(草案)對于監管部門仍然延續前期的監管思路,仍由網信辦統籌協調,其他部門配合。其原因可能在于我國最初對個人信息的保護散落于各個部門法律法規甚至是紅頭文件上,導致前期諸多部門均有監管個人信息的職權,內容交錯復雜,關系已經難以理清。加之隨著社會變化,個人信息的內涵乃至外延都可能不斷發生變化,僅規定單一的監管機構難免監管乏力。
盡管如此,規定多部門共同監管不免還是會出現多龍治水,相互扯皮或者爭權的局面。拿2019年APP個人信息專項治理行動來說。工信部、網信辦、公安部和市監總局在聯合成立“APP專項治理工作小組”后,還是又各自單獨行動,分別制定不同的專項整治計劃,比如工信部還開展“APP侵害用戶權益專項整治工作”;公安部開展“凈網2019”專項行動;市場監督總局開展“守護消費”暨打擊侵害消費者個人信息違法行為專項執法行動等。
六、個人信息跨境
《網絡安全法》規定關鍵信息基礎設施運營者的個人信息出境需要經過安全評估,此次審議的《個人信息保護法(草案)》則拓展了個人信息出境的規定,不僅將所有的個人信息出境納入安全評估范圍,還設置保護認證、簽訂合同等出境的新路徑。
實際上,個人信息跨境一直是一個復雜的問題,該問題在金融領域特別突顯。對于金融機構的個人信息出境,2016年的《金融消費者權益保護實施辦法》建構了“原則禁止,以業務必需+客戶同意+關聯機構+保密為例外”的監管模式;而《網絡安全法》則建構了“原則禁止,以經安全評估為例外”的監管模式。雖然央行在2020年新發布的《金融消費者權益保護實施辦法》取消了銀行內部對個人出境的監管要求,使得個人信息出境的監管統一以《網絡安全法》為基準。然而,對于個人信息出境如何做好《網絡安全法》所規定的“安全評估”,網信辦接連發布《個人信息和重要數據出境安全評估辦法(征求意見稿)》和《個人信息出境安全評估辦法(征求意見稿)》,兩份規范性文件作出截然不同的規定,使得個人信息出境問題至今仍然撲簌迷離。
《個保法》(草案)并未對《網絡安全法》所規定的“安全評估”作出具體化的規定,在遺留問題尚未解決的情況下,拓寬規定“保護認證”和“訂立合同”的路徑,后續三路徑如何銜接,程序如何設置值得繼續追蹤關注。
七、政府處理個人信息
《個保法》(草案)在第2章第3節規定:“國家機關處理個人信息的特別規定”,其中第33條規定:“國家機關處理個人信息的活動適用本法;本節有特別規定的,適用本節規定”,從而使得《個保法》(草案)不僅能規范企業的個人信息處理行為,也能規范政府機構的信息處理行為。
由于政府是為人民提供服務的機構,每個自然人從生至死都需要跟政府機構打交道,因此,政府是處理個人信息最活躍的機構,也是收集個人信息最全面最集中的機構。然后,對于政府機構如何合法收集個人信息,一直以來都沒有專門的法律規定。實際上,政府在收集自然人信息上都或多或少存在不合法或者不合理的地方。比如在個人信息委托處理上,《政務信息資源共享管理暫行辦法》規定各政務部門應按要求編制、維護、更新部門政務信息資源目錄。由于政務信息資源目錄編制工程量較大,很多政府部門常將個人信息外包給外面的第三方機構處理,并未嚴格評估第三方機構的資質能力。
本次《個保法》(草案)將政府機構納入規范的主體范疇,一定程度上有利于政府部門對個人信息的規范處理。但值得關注的是,《個保法》(草案)仍然以自然人同意作為處理個人信息的基礎,對于政府機構等強勢部門,自然人“同意”機制是否會面臨被架空的風險,值得我們繼續關注。
八、法律責任
《個保法》(草案)第62條規定違法處理個人信息的,情節嚴重者,將被處于最高5000萬元或上一年度營業額5%的高額罰款,相關負責人將處以10萬以上100萬以下的罰款。特別地,《個保法》(草案)公布當天,央行緊跟其后發布幾大銀行因個人信息問題被聯合處于將近五千萬元的罰款處罰,更彰顯其“震懾力”。
但正如《個人信息保護法》(草案)熱點問題解讀(一)所述,由于個人信息的法律屬性界定不明,當涉及個人信息糾紛時,要適用《個保法》(草案)還是直接適用《民法典》的侵權規定不清晰。如果直接適用《民法典》的侵權規定,《個保法》(草案)的處罰條款將可能被架空。同時,與歐洲出臺GDPR的背景不同,歐洲無論設置巨額罰款還是“數字稅”,更多是針對以美國為首的外企,本意是維護甚至扶植歐洲本土企業的發展。我國的巨額處罰,針對的是本國企業,行政機構一旦采用《個保法》(草案)第62條的規定,恐將會造成行業的大動蕩,不利于大數據行業的發展,將與《個保法》(草案)第1條規定的“保障個人信息依法有序自由流動”相悖。因此,該條款如何適用?如何使用?使用后效果如何?都需要謹慎對待。