从某种角度讲,2020年可以称为我国个人信息保护立法元年。
还有不到两个月的时间,民法典草案将提请十三届全国人大三次会议审议。其中,独立成编的人格权编草案,被视为民法典编纂的最大亮点之一,关于个人信息保护的内容更是成为各界关注的焦点。
全国人大常委会法工委发言人也对外透露,个人信息保护法已列入2020年全国人大常委会立法工作计划。
如何处理好隐私权和个人信息保护之间的关系,如何处理好个人信息保护与信息合理使用之间的关系,如何处理好民法典与网络安全法、个人信息保护法等其他立法的关系,如何加大刑法对于个人信息的保护力度……个人信息保护专门立法的脚步渐行渐近,有关个人信息保护立法的讨论仍在继续。
立法应当更多保护消费者
刚在银行办完业务,就接到理财推销电话;刚在网上下单,立马收到相似宝贝推荐;刚给孩子报名课外班,就接到类似机构推销电话……这一切,显然与我国保护个人信息法律手段不足有关系。但是,尽管公众普遍认为个人信息保护不力,最近一两年来公众对于个人信息保护的认知还是发生了一些变化。
南都个人信息保护研究中心发布的最新调查问卷显示,公众对于个人信息保护的常识有所提高,有近八成用户会主动进行相关的隐私设置,56%的公众遇到个人信息泄露的情况会进行举报,但是也有14%的公众选择无奈接受。默认勾选依然是现在比较严重的问题,但有超半数受调查者认为App违法收集个人信息的情况有所好转。调查还显示,目前个人信息保护方面投诉比较多的三个问题主要是个人用户注销难、强制获取通讯录的权限以及没有隐私安全。中介服务、网上购物、金融借贷三类被认为是泄露个人信息最严重的行业。而体育健身类的App则是目前存在问题比较严重的App,不但没有隐私政策,而且收集比较敏感的用户信息时也没有相关的说明和弹窗。
“我们希望立法能对个人敏感信息如何采集、可否采集、什么信息可以采集作出规定。同时,在网上传播的条数、传播范围,都可以用来具体计量损害赔偿金额。”中国消费者协会法律部主任陈剑建议司法裁判理念能够更多从消费者保护的角度切入,引入举证倒置的规定。同时,行政机关对于敏感信息应当加大处罚力度。
刑法保护不足问题突出
细心观察不难发现,尽管每个人都觉得个人信息保护存在很严重的问题,但在司法实践中,有关个人信息保护的刑事案件的数量并不多。很多人虽然饱受个人信息被泄露和被非法提供的困扰,但是报案动机并不强。
毋庸置疑,对于个人信息保护,只有共同努力形成合力,问题才能得到根治。刑法作为最后手段,在保护个人信息问题上理应有所作为。据了解,现行刑法中有多个罪名涉及个人信息,比如侵犯商业秘密罪、妨碍信用卡管理秩序罪、侵犯通讯自由罪、侵犯个人信息罪、非法获取计算机信息系统数据罪等。如果涉及到个人数据指向财产性利益,则由盗窃罪、诈骗罪和职务侵占罪进行保护。但是应当看到,刑法对公民个人信息保护不足这一问题目前很突出。
“刑法是个人信息保护的最后手段,刑法对个人信息的保护有赖于其他部门法研究的进一步深入。”全国人大宪法和法律委员会副主任委员、清华大学法学院教授周光权认为,实践中很严重的个人信息民事侵权行为很多,但刑法和民法的界限怎么厘清,本身对刑法学是很大的难题。他同时强调,互联网犯罪需要进行打击规制,但打击要精准,并不是范围越大越好。
那么,刑法该如何保护个人数据呢?清华大学法学院教授劳东燕认为,目前刑法对个人数据现有保护框架仍存在多方面问题,包括没有规制数据滥用的行为、对个人权利的刑法保障明显不足、没有办法准确地体现行为的不法性质以及保护不足与过度犯罪化并存等。鉴于此,刑法需要实现四个转换,即关注的重心应该从数据收集转移到数据使用;保护价值要从秩序导向走向权益导向;进路要从法权衡量转换到利益衡量;控制原则与防御性原则要实行并举。
劳东燕建议刑法可以根据不同的风险类型和所侵犯的法益性质采取不同的保护模式。“对于人格权或个人信息保护模式,对滥用行为也要加以惩治,如果数据本身涉及秩序的,可以考虑用公共秩序保护模式进行保护。”劳东燕说。
建议明确规定个人信息权
人格权是民事主体对其特定的人格利益享有的权利,关系到每个人的人格尊严,是民事主体最基本、最重要的权利。保护人格权、维护人格尊严,是我国法治建设的重要任务,近年来加强人格权保护的呼声和期待较多。独立成编的人格权分编,既是民法典编纂的最大亮点之一,同时也是难点。在清华大学近日举办的“个人信息司法保护的现状与趋势研讨会”上,多位学界专家对草案有关个人信息保护的内容提出了多项完善意见。
中国人民大学常务副校长、中国法学会副会长、民法学研究会会长王利明建议人格权编草案第六章“隐私权和个人信息保护”中,在“个人信息”后面加上“权”字,明确规定个人信息权。
“这样既可以为特别法提供上位法依据,也可以落实个人信息司法保护的需求。同时,还应当区分隐私信息和个人信息。”王利明认为,隐私信息主要与私生活有关,个人信息除隐私信息外,还可能涉及其他信息。对于私密信息的保护程度、侵害后果等都与其他个人信息存在区别。
此外,他还强调,个人信息究竟是框架性权利还是具体人格权,应予以明确。凡是个人信息中已经被其他权利所保护的信息,就不需要再通过个人信息权予以保护。“比如,姓名信息已被姓名权保护,肖像、声音等生物识别信息已被肖像权保护,而隐私信息也被隐私权保护,那这些信息就都不需要再通过个人信息权加以保护”。
针对“私密信息”问题,中国人民大学民商事法律科学研究中心教授石佳友认为,考虑到敏感信息的极端重要性,民法典应对其加以界定。他还特别指出,人格权编草案的三审稿新增加了生物识别信息,这是一个很大的进步,但目前人脸识别的滥用几乎到了失控的地步,基于问题导向,应进一步加强对生物识别信息的保护。
北京大学法学院教授王锡锌认为,需要进一步关注“个人信息权”和“个人信息受保护权”这两个概念之间微妙的差别。他同时还指出,需要重点关注如何兼顾个人信息保护和数据合理使用这一问题。在他看来,可以通过引入权益保护与经济激励相结合的机制,促使数据主体用户更多地与数据平台之间进行合作性博弈,从而在有效保护各类信息的同时,充分实现信息和数据的流动。