護(hù)僑普法

一是個(gè)人信息的“保護(hù)”和“利用”同步推進(jìn)。

《個(gè)人信息保護(hù)法》第一條規(guī)定：“為了保護(hù)個(gè)人信息權(quán)益，規(guī)范個(gè)人信息處理活動(dòng)，促進(jìn)個(gè)人信息合理利用，根據(jù)憲法，制定本法。”事實(shí)上，“規(guī)范個(gè)人信息處理活動(dòng)”處于《個(gè)人信息保護(hù)法》的核心地位，只有夯實(shí)“規(guī)范個(gè)人信息處理活動(dòng)”這個(gè)關(guān)鍵環(huán)節(jié)，才能確保實(shí)現(xiàn)保護(hù)個(gè)人信息權(quán)益和促進(jìn)個(gè)人信息合理利用之目的?！秱€(gè)人信息保護(hù)法》的立法宗旨，是在確保個(gè)人信息安全的前提下，依法促進(jìn)個(gè)人信息的合理利用，“保護(hù)”個(gè)人信息和“促進(jìn)”合理利用要同步推進(jìn)。

二是完善“個(gè)人信息”的定義。

《個(gè)人信息保護(hù)法》第四條第一款將“個(gè)人信息”定義為：“個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。”該定義與《民法典》《網(wǎng)絡(luò)安全法》中的“個(gè)人信息”最大的不同在于增加“不包括匿名化處理后的信息”的除外規(guī)定，即明確“個(gè)人信息”經(jīng)匿名化處理后不屬于個(gè)人信息，無(wú)須適用《個(gè)人信息保護(hù)法》的相關(guān)規(guī)定，體現(xiàn)了“保護(hù)”與“利用”的并重。

三是確立個(gè)人信息處理的基本原則。

《個(gè)人信息保護(hù)法》確立的處理個(gè)人信息的重要法律原則包括：遵循合法、正當(dāng)、必要和誠(chéng)信原則；采取對(duì)個(gè)人權(quán)益影響最小的方式，限于實(shí)現(xiàn)處理目的的最小范圍原則；處理個(gè)人信息應(yīng)當(dāng)遵循公開(kāi)、透明原則；處理個(gè)人信息應(yīng)當(dāng)保證個(gè)人信息質(zhì)量原則；采取必要措施確保個(gè)人信息安全原則等。

《個(gè)人信息保護(hù)法》第六條規(guī)定：“處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對(duì)個(gè)人權(quán)益影響最小的方式。收集個(gè)人信息，應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，不得過(guò)度收集個(gè)人信息?！边@兩個(gè)“最小原則”，是個(gè)人信息處理應(yīng)遵循的核心原則。

四是確立“告知-知情-同意”的個(gè)人信息處理規(guī)則。

《個(gè)人信息保護(hù)法》不僅確立了以“告知-同意”的個(gè)人信息處理規(guī)則，而且構(gòu)建了以“告知-知情-同意”為核心的個(gè)人信息處理規(guī)則體系。個(gè)人信息處理者“告知”的目的是為了確保被告知者的充分“知情”，只有被告知者在充分知情的前提下才能自愿、明確地作出決定?！秱€(gè)人信息保護(hù)法》第十四條明確規(guī)定：“基于個(gè)人同意處理個(gè)人信息的，該同意應(yīng)當(dāng)由個(gè)人在充分知情的前提下自愿、明確作出。法律、行政法規(guī)規(guī)定處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人單獨(dú)同意或者書(shū)面同意的，從其規(guī)定?！?/p>

五是確立敏感個(gè)人信息的認(rèn)定與保護(hù)規(guī)則。

《個(gè)人信息保護(hù)法》沒(méi)有對(duì)自然人的隱私信息作出專門規(guī)定，而是將個(gè)人信息分為敏感信息和非敏感信息，并設(shè)專節(jié)規(guī)定“敏感個(gè)人信息的處理規(guī)則”?！秱€(gè)人信息保護(hù)法》第二十八條對(duì)“敏感個(gè)人信息”進(jìn)行定義，即“敏感個(gè)人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息。”

《個(gè)人信息保護(hù)法》對(duì)處理敏感個(gè)人信息作出嚴(yán)格的限制性規(guī)定，即在履行“告知-知情-同意”原則的基礎(chǔ)上，只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施的情形下，個(gè)人信息處理者方可處理敏感個(gè)人信息，特別是處理敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意。

六是規(guī)范自動(dòng)化決策與遏制“大數(shù)據(jù)殺熟”。

針對(duì)“大數(shù)據(jù)殺熟”“用戶畫(huà)像”和“算法推薦”等涉及個(gè)人信息自動(dòng)化決策的熱點(diǎn)問(wèn)題，《個(gè)人信息保護(hù)法》第二十四條作出明確規(guī)定：第一，個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正，不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇；第二，通過(guò)自動(dòng)化決策方式向個(gè)人進(jìn)行信息推送、商業(yè)營(yíng)銷，應(yīng)當(dāng)同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng)，或者向個(gè)人提供便捷的拒絕方式；第三，通過(guò)自動(dòng)化決策方式作出對(duì)個(gè)人權(quán)益有重大影響的決定，個(gè)人有權(quán)要求個(gè)人信息處理者予以說(shuō)明，并有權(quán)拒絕個(gè)人信息處理者僅通過(guò)自動(dòng)化決策的方式作出決定。

七是明確個(gè)人信息跨境提供規(guī)則。

《個(gè)人信息保護(hù)法》第三十八條第一款明確個(gè)人信息跨境提供的基本規(guī)則，即個(gè)人信息處理者因業(yè)務(wù)等需要，確需向中華人民共和國(guó)境外提供個(gè)人信息的，應(yīng)當(dāng)具備以下四項(xiàng)條件之一：一是依照《個(gè)人信息保護(hù)法》第四十條的規(guī)定通過(guò)國(guó)家網(wǎng)信部門組織的安全評(píng)估；二是按照國(guó)家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證；三是按照國(guó)家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)；四是法律、行政法規(guī)或者國(guó)家網(wǎng)信部門規(guī)定的其他條件。

八是明確個(gè)人在個(gè)人信息處理活動(dòng)中的七項(xiàng)基本權(quán)利。

《個(gè)人信息保護(hù)法》構(gòu)建了個(gè)人在個(gè)人信息處理活動(dòng)中的七項(xiàng)權(quán)利：一是知情同意權(quán)，收集和使用自然人個(gè)人信息必須遵循合法、正當(dāng)、必要原則，且目的必須明確并經(jīng)用戶的知情同意。二是決定權(quán)，個(gè)人有權(quán)限制、拒絕或撤回他人對(duì)其個(gè)人信息的處理。三是查閱復(fù)制權(quán)，個(gè)人有權(quán)向個(gè)人信息處理者查閱、復(fù)制其個(gè)人信息。四是個(gè)人信息可攜帶權(quán)，個(gè)人請(qǐng)求將個(gè)人信息轉(zhuǎn)移至其指定的個(gè)人信息處理者，符合國(guó)家網(wǎng)信部門規(guī)定條件的，個(gè)人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑。五是更正補(bǔ)充權(quán)，個(gè)人發(fā)現(xiàn)其個(gè)人信息不準(zhǔn)確或者不完整的，有權(quán)請(qǐng)求個(gè)人信息處理者更正、補(bǔ)充。六是刪除權(quán)，在五種情形下，個(gè)人信息處理者應(yīng)當(dāng)主動(dòng)刪除個(gè)人信息。個(gè)人信息處理者未刪除的，個(gè)人有權(quán)請(qǐng)求刪除：1.處理目的已實(shí)現(xiàn)、無(wú)法實(shí)現(xiàn)或者為實(shí)現(xiàn)處理目的不再必要；2.個(gè)人信息處理者停止提供產(chǎn)品或者服務(wù)，或者保存期限已屆滿；3.個(gè)人撤回同意；4.個(gè)人信息處理者違反法律、行政法規(guī)或者違反約定處理個(gè)人信息；5.法律、行政法規(guī)規(guī)定的其他情形。七是規(guī)則解釋權(quán)，個(gè)人有權(quán)要求個(gè)人信息處理者對(duì)其個(gè)人信息處理規(guī)則進(jìn)行解釋說(shuō)明。

九是強(qiáng)調(diào)重要互聯(lián)網(wǎng)平臺(tái)的“守門人”責(zé)任。

鑒于重要互聯(lián)網(wǎng)平臺(tái)掌握海量用戶數(shù)據(jù)，一旦發(fā)生信息泄露或?yàn)E用，可能導(dǎo)致嚴(yán)重后果，《個(gè)人信息保護(hù)法》專門要求其履行“守門人”角色，并承擔(dān)更多責(zé)任，主要包括：1.應(yīng)按照國(guó)家規(guī)定建立健全個(gè)人信息保護(hù)合規(guī)制度體系；2.成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)進(jìn)行監(jiān)督；3.遵循公開(kāi)、公平、公正的原則制定平臺(tái)規(guī)則；4.對(duì)嚴(yán)重違法處理個(gè)人信息的平臺(tái)內(nèi)產(chǎn)品或服務(wù)提供者停止提供服務(wù)；5.定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告并接受社會(huì)監(jiān)督等。

十是確立個(gè)人信息處理者侵權(quán)責(zé)任的過(guò)錯(cuò)推定規(guī)則。

《個(gè)人信息保護(hù)法》第六十九條規(guī)定：“處理個(gè)人信息侵害個(gè)人信息權(quán)益造成損害，個(gè)人信息處理者不能證明自己沒(méi)有過(guò)錯(cuò)的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。前款規(guī)定的損害賠償責(zé)任按照個(gè)人因此受到的損失或者個(gè)人信息處理者因此獲得的利益確定；個(gè)人因此受到的損失和個(gè)人信息處理者因此獲得的利益難以確定的，根據(jù)實(shí)際情況確定賠償數(shù)額?！?/p>

“個(gè)人信息處理者不能證明自己沒(méi)有過(guò)錯(cuò)的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任”，即適用“過(guò)錯(cuò)推定”原則，在個(gè)人信息處理者不能證明其沒(méi)有過(guò)錯(cuò)的情況下，推定其有過(guò)錯(cuò)，應(yīng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。

程嘯：個(gè)人信息的安全與保護(hù)是合理利用的前提?！秱€(gè)人信息保護(hù)法》第二章規(guī)定了個(gè)人信息處理規(guī)則，明確了處理個(gè)人信息的合法性基礎(chǔ)，并將國(guó)家機(jī)關(guān)處理個(gè)人信息的特別規(guī)定納入進(jìn)來(lái)，防范行政部門違法違規(guī)處理個(gè)人信息的問(wèn)題。

在實(shí)踐中，特別是在疫情期間，尤其需要把握公共利益和個(gè)人信息保護(hù)的關(guān)系，避免隨意、過(guò)度地收集個(gè)人信息，保障信息主體合法的個(gè)人信息權(quán)益。

在規(guī)范主體方面，“個(gè)人信息處理者”是主要義務(wù)人，為了確保個(gè)人信息處理活動(dòng)的合法合規(guī)，防止出現(xiàn)未經(jīng)授權(quán)的訪問(wèn)以及個(gè)人信息泄露等安全問(wèn)題，有義務(wù)采取必要的措施，如完善個(gè)人信息全生命周期管理制度、對(duì)個(gè)人信息進(jìn)行分類管理等。

程嘯：個(gè)人對(duì)其個(gè)人信息處理的知情權(quán)和決定權(quán)是個(gè)人信息權(quán)益最核心的內(nèi)容，而查閱權(quán)、復(fù)制權(quán)、可攜帶權(quán)、更正權(quán)、補(bǔ)充權(quán)、刪除權(quán)、解釋說(shuō)明權(quán)等只是手段性或救濟(jì)性權(quán)利，旨在保護(hù)知情權(quán)和決定權(quán)。

《個(gè)人信息保護(hù)法》第四章所規(guī)定的“個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利”指向的義務(wù)主體是個(gè)人信息處理者，只有個(gè)人信息處理者履行對(duì)應(yīng)的義務(wù)，才能實(shí)現(xiàn)個(gè)人的這些權(quán)利。如果個(gè)人請(qǐng)求查閱、復(fù)制其個(gè)人信息，個(gè)人信息處理者應(yīng)當(dāng)及時(shí)提供，否則查閱、復(fù)制權(quán)就無(wú)法實(shí)現(xiàn)。

在司法實(shí)踐中，有一種觀點(diǎn)認(rèn)為《個(gè)人信息保護(hù)法》第五十條第二款設(shè)置了個(gè)人向法院起訴的前置條件。當(dāng)個(gè)人信息權(quán)益遭受侵害時(shí)，個(gè)人應(yīng)先向個(gè)人信息處理者提出請(qǐng)求，只有被處理者拒絕后才能起訴，否則法院應(yīng)予駁回。

我認(rèn)為這種觀點(diǎn)是有待商榷的。如果個(gè)人認(rèn)為其個(gè)人信息權(quán)益被侵害后，須先向個(gè)人信息處理者提出請(qǐng)求，遭拒后才能向法院起訴，那么法院在決定是否受理時(shí)，勢(shì)必要審查個(gè)人是否向個(gè)人信息處理者提出請(qǐng)求。如果處理者既不停止對(duì)個(gè)人信息權(quán)益的侵害，也不出具任何拒絕的證明材料，個(gè)人豈非無(wú)法通過(guò)起訴來(lái)維護(hù)自身合法權(quán)益？這顯然是不妥當(dāng)?shù)摹?/p>

沒(méi)有救濟(jì)，就沒(méi)有權(quán)利。如果規(guī)定了個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利，卻不允許權(quán)利人在權(quán)利無(wú)法得到實(shí)現(xiàn)時(shí)尋求法院的救濟(jì)，那么該權(quán)利就沒(méi)有意義了。

程嘯：進(jìn)入數(shù)字社會(huì)，自然人死后留下的財(cái)產(chǎn)不僅僅是物權(quán)、債權(quán)、知識(shí)產(chǎn)權(quán)以及股權(quán)，還會(huì)留下“數(shù)字遺產(chǎn)”。除了經(jīng)濟(jì)價(jià)值外，還需要關(guān)注其精神價(jià)值。人們既可以通過(guò)遺囑對(duì)于個(gè)人的合法財(cái)產(chǎn)進(jìn)行處分，也可以對(duì)數(shù)字遺產(chǎn)進(jìn)行處分。法律對(duì)此應(yīng)當(dāng)給予尊重。

如個(gè)人未在生前通過(guò)遺囑對(duì)于其數(shù)字遺產(chǎn)作出安排，處分?jǐn)?shù)字遺產(chǎn)的權(quán)利應(yīng)由死者的近親屬?zèng)Q定，而不是由網(wǎng)絡(luò)服務(wù)提供者通過(guò)格式條款進(jìn)行安排。如果互聯(lián)網(wǎng)公司擔(dān)心賬號(hào)的繼承和轉(zhuǎn)讓會(huì)引發(fā)混亂，可以通過(guò)格式條款進(jìn)行控制和預(yù)防，但不能以此為由剝奪自然人對(duì)賬號(hào)的控制力和支配力以及死后賬號(hào)被繼承的可能。

石佳友：目前可攜帶權(quán)的實(shí)施細(xì)則還有待明確，企業(yè)優(yōu)化相關(guān)的技術(shù)和安全保障能力存在一定成本壓力，欠缺積極落實(shí)可攜帶權(quán)的動(dòng)力。

數(shù)據(jù)可攜帶權(quán)對(duì)于企業(yè)合規(guī)工作也帶來(lái)一些啟示。雖然具體細(xì)則有待明確，但法律已經(jīng)作出要求，平臺(tái)企業(yè)作為個(gè)人信息處理者，需要有前瞻意識(shí)，將“被動(dòng)配合”轉(zhuǎn)變?yōu)椤爸鲃?dòng)合規(guī)”。特別是頭部互聯(lián)網(wǎng)平臺(tái)需要履行相應(yīng)的社會(huì)責(zé)任，可以先行先試，推動(dòng)行業(yè)自律，以主動(dòng)的心態(tài)去擁抱法律和監(jiān)管。在實(shí)踐中可以先推進(jìn)行業(yè)標(biāo)準(zhǔn)的建設(shè)，監(jiān)管部門在此基礎(chǔ)上逐漸制定成熟的國(guó)家標(biāo)準(zhǔn)。這是一個(gè)非常有意義的探索過(guò)程。

石佳友：近幾年，人臉識(shí)別對(duì)個(gè)人信息保護(hù)帶來(lái)的挑戰(zhàn)逐漸被公眾和監(jiān)管部門重視。在認(rèn)可人臉識(shí)別技術(shù)帶來(lái)的便利性時(shí)，也應(yīng)注意其背后的風(fēng)險(xiǎn)和隱患。在拉網(wǎng)式人臉信息收集的過(guò)程中可能嚴(yán)重威脅個(gè)人隱私，造成人身、財(cái)產(chǎn)以及心理上的安全隱憂。

強(qiáng)調(diào)“科技向善”非常重要，人臉識(shí)別就是一個(gè)很典型的場(chǎng)域。2021年發(fā)布的《最高人民法院關(guān)于審理使用人臉識(shí)別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問(wèn)題的規(guī)定》對(duì)濫用人臉識(shí)別技術(shù)問(wèn)題作出司法統(tǒng)一規(guī)定?！秱€(gè)人信息保護(hù)法》也強(qiáng)化了對(duì)人臉信息的保護(hù)。另外，2022年3月，中共中央辦公廳、國(guó)務(wù)院辦公廳發(fā)布了《關(guān)于加強(qiáng)科技倫理治理的意見(jiàn)》，明確提出強(qiáng)化底線思維和風(fēng)險(xiǎn)意識(shí)，塑造科技向善的文化理念和保障機(jī)制。這些要求對(duì)于人臉識(shí)別治理具有重要指導(dǎo)作用。

我覺(jué)得從法律的角度來(lái)講，要求是明確具體的，落地難點(diǎn)在于相關(guān)個(gè)人信息處理者的合規(guī)問(wèn)題。比如曾經(jīng)引起熱議的小區(qū)物業(yè)使用人臉識(shí)別設(shè)備的問(wèn)題，采集人臉信息必須依法征得業(yè)主或物業(yè)使用人同意，并且不能以人臉識(shí)別作為唯一的驗(yàn)證方式。

法律已經(jīng)作出明確規(guī)定，個(gè)人信息處理者需要強(qiáng)化合規(guī)觀念，在實(shí)踐中不能流于形式，對(duì)于人臉信息處理活動(dòng)需要落實(shí)單獨(dú)同意規(guī)則，這部分是有待改善的。

石佳友：專門立法有一定的意義，并且也有國(guó)際上的先例，比如美國(guó)伊利諾伊州、得克薩斯州等地頒布了關(guān)于生物隱私信息的監(jiān)管法規(guī)。

但如果要專門立法，就不僅是針對(duì)人臉識(shí)別，而是包括各類生物識(shí)別信息，如指紋、虹膜、步態(tài)等，都應(yīng)該納入到規(guī)制范圍。但是考慮到現(xiàn)狀，專門立法在立法技術(shù)上應(yīng)該難度不小。

不同生物識(shí)別技術(shù)發(fā)展程度和應(yīng)用范圍不一樣，帶來(lái)的風(fēng)險(xiǎn)也不一樣，在此情況下是否能夠制定一部統(tǒng)一的法律還有待觀察。目前對(duì)于人臉識(shí)別已形成基本的法律框架，在《個(gè)人信息保護(hù)法》和相關(guān)司法解釋已經(jīng)出臺(tái)的情況下，對(duì)短期內(nèi)是否有必要再另行制定專門立法，可能也會(huì)有不同認(rèn)知。

程嘯：信息技術(shù)快速發(fā)展，面對(duì)出現(xiàn)的新問(wèn)題，首先還是要立足中國(guó)國(guó)情，加強(qiáng)對(duì)于個(gè)人信息保護(hù)的研究。二是相應(yīng)的配套文件包括行政法規(guī)、部門規(guī)章等還需要進(jìn)一步細(xì)化。三是充分發(fā)揮個(gè)人信息保護(hù)職能部門的力量，常態(tài)的執(zhí)法、事前監(jiān)督、事后處罰都需要重視。

石佳友：首先是相關(guān)監(jiān)管部門進(jìn)一步細(xì)化配套措施，更好地讓法律落地，因?yàn)椤秱€(gè)人信息保護(hù)法》中的大量條文都依賴于配套措施的出臺(tái)。譬如，行政機(jī)關(guān)應(yīng)加快公共場(chǎng)所圖像采集管理法規(guī)的起草工作，司法機(jī)關(guān)應(yīng)盡快就個(gè)人信息民事糾紛出臺(tái)相應(yīng)的司法解釋。

企業(yè)方面則需要重視“主動(dòng)合規(guī)”，根據(jù)“合法、正當(dāng)、必要”原則來(lái)規(guī)制日常商業(yè)實(shí)踐，全面梳理既有做法，推進(jìn)行業(yè)自律。頭部企業(yè)充分履行社會(huì)責(zé)任，就某些問(wèn)題先形成行業(yè)公約或最佳實(shí)踐，為日后的立法總結(jié)和推廣積累經(jīng)驗(yàn)，都具有十分積極的意義。另外，建議行政機(jī)關(guān)出臺(tái)一些個(gè)人信息合規(guī)方面的示范文本，司法機(jī)關(guān)定期頒布典型案例判決，為企業(yè)的合規(guī)工作提供具體和明確的指引。