荐文|张新宝:新时代个人信息保护法治的发展和完善
时间:2024-07-19以下文章来源于“教授加”,作者张新宝
“新宝看法”是张新宝教授在教授加开设的独家专栏,栏目文章已经正式上线学习强国。同时,栏目文章还被今日头条官方号同步转发。
核心观点
进入新时代以来,习近平新时代中国特色社会主义思想尤其是习近平法治思想为个人信息保护法治指明了方向,提供了价值基础和思想引领。我国新时代个人信息保护法治建设回应了信息时代人民群众的法治需求,将个人信息等人格权益的保护提高到前所未有的水平。个人信息保护不仅依赖于民法典这样的基本法律,还需要个人信息保护法等专门法律;不仅需要高位阶的立法,还需要部门规章等规范性文件以及国家标准的配套。法治的效果重在法律实施,国家网信办等国家机关的监管执法、人民法院和人民检察院依法监督和审理相关案件,保障个人信息保护法治得以“保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用”。我国个人信息保护立法、行政执法、司法以及公益诉讼等得到长足发展,个人信息保护达到较高法治水平。
今年是我国全面接入互联网服务30周年。近30年来我国网信法治建设快速发展,新时代的个人信息保护法治更是成就斐然。本文扼要梳理相关立法、行政执法和司法的标志性成果,并初步总结个人信息保护法治建设的经验。
一、主要立法
2000年12月28日,全国人大常委会发布《关于维护互联网安全的决定》,这是涉及网络个人信息保护的首部立法文件。12年后的2012年12月28日,全国人大常委会通过的《关于加强网络信息保护的决定》,包含了对公民个人信息保护的规定。2013年修订的《中华人民共和国消费者权益保护法》第14条、第29条、第50条、第56条对消费者个人信息作了保护规定。立法构成了我国个人信息保护法的“先驱”条款。
2016年颁布的《中华人民共和国网络安全法》第四章,将个人信息作为网络信息安全的保护对象,规定网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。这是立法首次较系统规定个人信息处理的原则。该法还采用“识别说”对个人信息概念作出了立法界定。
2017年颁布的《中华人民共和国民法总则》规定:“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”这条规定保留在2020年《中华人民共和国民法典》第111条中,并为民法典人格权编设立专门章节保护隐私权和个人信息提供了基础。民法典对个人信息再次以“识别说”进行界定,并规定了处理个人信息的基本规则以及侵害个人信息的民事责任。
2021年颁布的《中华人民共和国个人信息保护法》对个人信息保护的一般原则和处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门以及法律责任等内容作出规定,是保护公民个人信息的专门法律。
需要指出的是,我国打击侵犯公民个人信息犯罪的立法也同步产生和发展,重要者为2009年《中华人民共和国刑法修正案(七)》,新增“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”两个罪名。2015年《中华人民共和国刑法修正案(九)》将其整合为“侵犯公民个人信息罪”,并作出了补充和完善规定。2000年12月28日,全国人大常委会发布《关于维护互联网安全的决定》,这是涉及网络个人信息保护的首部立法文件。12年后的2012年12月28日,全国人大常委会通过的《关于加强网络信息保护的决定》,包含了对公民个人信息保护的规定。2013年修订的《中华人民共和国消费者权益保护法》第14条、第29条、第50条、第56条对消费者个人信息作了保护规定。立法构成了我国个人信息保护法的“先驱”条款。
2016年颁布的《中华人民共和国网络安全法》第四章,将个人信息作为网络信息安全的保护对象,规定网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。这是立法首次较系统规定个人信息处理的原则。该法还采用“识别说”对个人信息概念作出了立法界定。
2017年颁布的《中华人民共和国民法总则》规定:“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”这条规定保留在2020年《中华人民共和国民法典》第111条中,并为民法典人格权编设立专门章节保护隐私权和个人信息提供了基础。民法典对个人信息再次以“识别说”进行界定,并规定了处理个人信息的基本规则以及侵害个人信息的民事责任。
2021年颁布的《中华人民共和国个人信息保护法》对个人信息保护的一般原则和处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门以及法律责任等内容作出规定,是保护公民个人信息的专门法律。
需要指出的是,我国打击侵犯公民个人信息犯罪的立法也同步产生和发展,重要者为2009年《中华人民共和国刑法修正案(七)》,新增“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”两个罪名。2015年《中华人民共和国刑法修正案(九)》将其整合为“侵犯公民个人信息罪”,并作出了补充和完善规定。
二、行政法规和部门规章、国家标准
进入新时代以来,国务院颁布多项行政法规,涉及到公民个人信息保护内容,如(1)国务院发布2013年《征信业管理条例》、2021年《关键信息基础设施安全保护条例》、2023年《非银行支付机构监督管理条例》、2024年《未成年人网络保护条例》等。
国家有关部门依据法律和行政法规,制定颁布一系列涉及公民个人信息保护的条例和规范性文件。如:(1)工业和信息化部发布《电信和互联网用户个人信息保护规定》;(2)公安部、北京市网络行业协会发布《互联网个人信息安全保护指南》;(3)国家互联网信息办公室发布《儿童个人信息网络保护规定》;(4)中国人民银行发布《征信业务管理办法》;(5)国家互联网信息办公室等部门联合发布《网络安全审查办法(2021)》;(6)国家互联网信息办公室等部门联合发布《互联网信息服务算法推荐管理规定》;(7)国家互联网信息办公室发布《数据出境安全评估办法》;(8)国家互联网信息办公室、国家市场监督管理总局发布《关于实施个人信息保护认证的公告》;(9)国家互联网信息办公室等部门联合发布《互联网信息服务深度合成管理规定》;(10)国家互联网信息办公室发布《个人信息出境标准合同办法》;(11)国家互联网信息办公室发布的《促进和规范数据跨境流动规定》等。
国家标准化委员会制定一系列国家标准,落地法律和行政法规保护个人信息的规定。这些国家标准主要有:GB/Z28828-2012信息安全技术公共及商用服务信息系统个人信息保护指南;GB/T35273-2017信息安全技术个人信息安全规范;GB/T34978-2017信息安全技术移动智能终端个人信息保护技术要求;GB/T37964-2019信息安全技术个人信息去标识化指南;GB/T35273-2020信息安全技术个人信息安全规范;GB/T39335-2020信息安全技术个人信息安全影响评估指南;GB/T41391-2022信息安全技术移动互联网应用程序(App)收集个人信息基本要求;GB/T41574-2022信息技术安全技术公有云中个人信息保护实践指南;GB/T41817-2022信息安全技术个人信息安全工程指南;GB/T42460-2023信息安全技术个人信息去标识化效果评估指南;GB/T42574-2023信息安全技术个人信息处理中告知和同意的实施指南;GB/T42582-2023信息安全技术移动互联网应用程序(App)个人信息安全测评规范;GB/T43506-2023电信和互联网服务用户个人信息保护技术要求等。近日,国家标准化管理委员会下达的强制性国家标准制修订计划中,包括1项委托全国网络安全标准化技术委员会制定的标准项目《网络安全技术人工智能生成合成内容标识方法》,涉及个人信息保护。
三、行政执法
中华人民共和国国家互联网信息办公室(国家网信办)是国家统筹、协调个人信息保护工作和相关监督管理工作的专门部门。网信办依法履行保护个人信息的职权,发布涉及个人信息保护的规定主要有:《具有舆论属性或社会动员能力的互联网信息服务安全评估规定(2018)》《金融信息服务管理规定(2018)》《儿童个人信息网络保护规定(2019)》《App违法违规收集使用个人信息行为认定方法(2019)》《互联网用户公众账号信息服务管理规定(2021修订)》《常见类型移动互联网应用程序必要个人信息范围规定(2021)》《网络安全审查办法(2021)》《互联网信息服务算法推荐管理规定(2022)》《移动互联网应用程序信息服务管理规定(2022)》《互联网用户账号信息管理规定(2022)》《数据出境安全评估办法(2022)》《互联网弹窗信息推送服务管理规定(2022)》《互联网跟帖评论服务管理规定(2022修订)》《互联网信息服务深度合成管理规定(2022)》《网络预约出租汽车经营服务管理暂行办法(2022修正)》《个人信息出境标准合同备案指南(第一版)》《个人信息出境标准合同办法(2023)》《生成式人工智能服务管理暂行办法(2023)》《促进和规范数据跨境流动规定(2024)》《个人信息出境标准合同备案指南(第二版)》等。
国家网信办和地方各级网信办负责日常监督和执法工作,典型的案例是对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定,重罚公司和高级管理人员、直接责任人员,取得良好的法律效果和社会效果。
四、“两高”个人信息保护相关司法解释和指导案例
最高人民法院和最高人民检察院近年来发布的涉及个人信息保护的司法解释主要有:《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定(2014;2020年修订)》;《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(最高人民法院, 最高人民检察院法释〔2017〕10号);《检察机关办理侵犯公民个人信息案件指引》(最高人民检察院高检发侦监字〔2018〕13号);《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(最高人民法院法释〔2021〕15号);《最高人民法院关于规范和加强人工智能司法应用的意见》(最高人民法院法发〔2022〕33号);《最高人民法院关于为促进消费提供司法服务和保障的意见》(最高人民法院法发〔2022〕35号)。
最高人民法院发布的共40批指导性案例中,第35批指导性案例中的四个案件是针对个人信息保护的;最高人民检察院发布的共53批指导性案例中,第50批、第43批、第35批、第34批指导性案例中各有一个案件涉及个人信息保护。此外,“两高”以及部分高级人民法院特别是各互联网法院先后发布为数较多的涉及公民个人信息保护的典型案例。
五、个人信息保护公益诉讼
个人信息保护公益诉讼是个人信息保护法规定的一项专门制度,最高人民检察院为此颁布了专门文件落实这一规定的具体运行。仅2023年各级人民检察院发起数千件个人信息保护公益诉讼,推动了个人信息保护法的落地实施,以保护为数众多的受害人的个人信息权益。相较于个人提起的民事诉讼,检察机关提起公益诉讼保护个人信息具有独特的优势:代表更广泛的受害人提起诉讼能够减少社会成本;利用检察院的职权和资源能够更有效查明事实真相,促进纠纷及时依法解决;公益诉讼的审判结果对侵权人乃至整个行业能够起到警示作用。检察机关提起公益诉讼保护公民个人信息的制度,具有较强的整个特色也具有强大的民意基础,值得进一步完善和推广,以保护为数众多的受害人的个人信息权益。
六、基本经验初步总结
将我国三十年来尤其是近十多年来个人信息保护放在新时代全面依法治国大背景下进行观察,有利于揭示法治的基本规律:习近平新时代中国特色社会主义思想尤其是习近平法治思想为个人信息保护法治指明了方向,提供了价值基础和思想引领。我国新时代个人信息保护法治建设回应了信息时代人民群众的法治需求,将个人信息等人格权益的保护提高到前所未有的水平。个人信息保护不仅依赖于民法典这样的基本法律,还需要个人信息保护法等专门法律;不仅需要高位阶的立法,还需要部门规章等规范性文件以及国家标准的配套。法治的效果重在法律实施,国家网信办等国家机关的监管执法、人民法院和人民检察院依法监督和审理相关案件,保障个人信息保护法治得以“保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用”。随着法律法规、国家标准的完善以及行政执法和司法水平的不断提高,我国个人信息保护事业将会做的更好。