引言
《中華人民共和國國民經(jīng)濟(jì)和社會(huì)發(fā)展第十四個(gè)五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要》(以下稱:《國家“十四五”規(guī)劃和2035遠(yuǎn)景目標(biāo)綱要》)明確提出��,構(gòu)建數(shù)字規(guī)則體系�,營造開放、健康����、安全的數(shù)字生態(tài)?��!秶摇笆奈濉币?guī)劃和2035遠(yuǎn)景目標(biāo)綱要》特別提到��,加強(qiáng)涉及國家利益���、商業(yè)秘密���、個(gè)人隱私的數(shù)據(jù)保護(hù),加快推進(jìn)數(shù)據(jù)安全��、個(gè)人信息保護(hù)等領(lǐng)域基礎(chǔ)性立法��,強(qiáng)化數(shù)據(jù)資源全生命周期安全保護(hù)��?�!吨腥A人民共和國數(shù)據(jù)安全法》和《中華人民共和國個(gè)人信息保護(hù)法》是社會(huì)關(guān)注度極高的兩部數(shù)據(jù)安全和個(gè)人信息保護(hù)領(lǐng)域的基礎(chǔ)性法律����,已經(jīng)在“十四五”的開局之年出臺(tái),分別于2021年9月1日和2021年11月1日起施行��。本文認(rèn)為�����,《中華人民共和國網(wǎng)絡(luò)安全法》��、《中華人民共和國數(shù)據(jù)安全法》和《中華人民共和國個(gè)人信息保護(hù)法》是營造良好數(shù)字社會(huì)生態(tài)的三大法治基石。
首先����,網(wǎng)絡(luò)安全已經(jīng)成為關(guān)系國家安全和發(fā)展、關(guān)系廣大人民群眾切身利益的重大問題�,網(wǎng)絡(luò)已經(jīng)深刻地融入了經(jīng)濟(jì)社會(huì)生活的各個(gè)方面,網(wǎng)絡(luò)安全的威脅正在向經(jīng)濟(jì)社會(huì)的各個(gè)層面滲透����。實(shí)踐表明,我國網(wǎng)絡(luò)安全法為維護(hù)網(wǎng)絡(luò)空間主權(quán)和國家安全���、社會(huì)公共利益�,保護(hù)公民��、法人和其他組織的合法權(quán)益�����,提供了堅(jiān)實(shí)的法律保障���。
其次,網(wǎng)絡(luò)安全的核心是數(shù)據(jù)安全����,在數(shù)據(jù)對(duì)各領(lǐng)域的重要性與日俱增的同時(shí)���,數(shù)據(jù)風(fēng)險(xiǎn)與數(shù)據(jù)安全問題也愈發(fā)突顯,給人類和社會(huì)帶來了前所未有的挑戰(zhàn)�。數(shù)據(jù)安全與數(shù)據(jù)治理,不僅關(guān)乎數(shù)據(jù)作為重要生產(chǎn)要素的開發(fā)利用��,而且與國家主權(quán)�、國家安全、社會(huì)秩序��、公共利益�、公民隱私等休戚相關(guān)?����!吨腥A人民共和國數(shù)據(jù)安全法》以貫徹總體國家安全觀的目的為出發(fā)點(diǎn)��,以數(shù)據(jù)治理中最為重要的安全問題作為切入點(diǎn)�����,抓住了數(shù)據(jù)安全的主要矛盾和平衡點(diǎn)��,是我國數(shù)據(jù)安全領(lǐng)域的一部重要基礎(chǔ)性法律。
第三���,個(gè)人信息涉及到自然人的人格權(quán)和財(cái)產(chǎn)權(quán)����,在網(wǎng)絡(luò)環(huán)境下�,公民作為信息內(nèi)容的主體完全不能控制自己的個(gè)人數(shù)據(jù)和信息,根本無法了解自己的信息和數(shù)據(jù)在何時(shí)����、何地、被何人��、以何種方式非法收集���、使用�、加工����、傳輸���?�!吨腥A人民共和國個(gè)人信息保護(hù)法》是社會(huì)關(guān)注度極高的一部新興領(lǐng)域立法�,其核心不在于“個(gè)人信息”本身,而重點(diǎn)在于規(guī)范個(gè)人信息的處理活動(dòng)�,確保個(gè)人敏感信息不受侵害的基礎(chǔ)上,促進(jìn)個(gè)人信息的依法合理利用�����。
強(qiáng)化網(wǎng)絡(luò)空間的生態(tài)治理��,必須要構(gòu)建完整的數(shù)字規(guī)則體系�,營造開放、健康��、安全的數(shù)字生態(tài)�����。習(xí)近平總書記在4.19講話中強(qiáng)調(diào)�,網(wǎng)絡(luò)空間是億萬民眾共同的精神家園。網(wǎng)絡(luò)空間天朗氣清����、生態(tài)良好,符合人民利益���。網(wǎng)絡(luò)空間烏煙瘴氣�、生態(tài)惡化,不符合人民利益�����。我們要本著對(duì)社會(huì)負(fù)責(zé)��、對(duì)人民負(fù)責(zé)的態(tài)度�,依法加強(qiáng)網(wǎng)絡(luò)空間治理。
數(shù)字社會(huì)具有五維空間屬性����,即地理空間、能力空間��、有序空間����、人文空間、梯度空間�����;數(shù)字社會(huì)具有三大特征���,一是以網(wǎng)絡(luò)為重要載體����,二是以數(shù)據(jù)為關(guān)鍵要素���,三是以增進(jìn)人民福祉為發(fā)展目標(biāo)�。這是數(shù)字社會(huì)的本質(zhì)要求��,脫離了數(shù)字社會(huì)的本質(zhì)�����,將會(huì)成為無源之水和無本之木���,不但不能給社會(huì)帶來智慧����,而且還可能會(huì)導(dǎo)致數(shù)字風(fēng)險(xiǎn)和危機(jī)���。因此����,數(shù)字社會(huì)生態(tài)就是要使上述的“五維空間”更智慧、更便捷�����、更效率����、更安全。
我注意到�����,不少中譯英的文件中將“數(shù)字社會(huì)”翻譯成digital society��,我對(duì)此有異議��,我認(rèn)為“數(shù)字社會(huì)”的英文����,應(yīng)翻譯成Society powered by digital technology,社會(huì)和數(shù)字的關(guān)系是由數(shù)字技術(shù)賦能于社會(huì)�,即“數(shù)字技術(shù)賦能的社會(huì)”,數(shù)字技術(shù)賦能的社會(huì)是一種綜合性����、整體性����、安全性的數(shù)字化���、網(wǎng)絡(luò)化和智能化的發(fā)展過程。在整個(gè)發(fā)展過程中����,需要建立五大綜合體系,一是建設(shè)廣泛覆蓋的信息通信網(wǎng)絡(luò)��;二是具備深度互聯(lián)的信息體系��;三是構(gòu)建協(xié)同的信息共享機(jī)制���;四是實(shí)現(xiàn)信息的智能處理���;五是拓展信息的開放應(yīng)用。
當(dāng)前����,數(shù)字社會(huì)將大量的智能終端設(shè)備和傳感器接入網(wǎng)絡(luò)和數(shù)字平臺(tái),由此產(chǎn)生復(fù)雜的接入環(huán)境、多樣化的接入方式����、數(shù)量龐大的智能接入終端,帶來更復(fù)雜的網(wǎng)絡(luò)與數(shù)據(jù)安全問題�����。在以上數(shù)字社會(huì)五大體系的建設(shè)中很多涉及到關(guān)鍵信息基礎(chǔ)設(shè)施的建設(shè)���,因此必須按照《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》的要求�,優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)�;采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國家安全的,應(yīng)當(dāng)按照國家網(wǎng)絡(luò)安全規(guī)定通過安全審查�。
數(shù)字社會(huì)涵蓋政務(wù)服務(wù)、城市管理�����、民生服務(wù)等各個(gè)領(lǐng)域����,從技術(shù)角度來看,通信網(wǎng)����、互聯(lián)網(wǎng)和物聯(lián)網(wǎng)成為數(shù)字社會(huì)發(fā)展的基礎(chǔ)設(shè)施��,基于三個(gè)網(wǎng)絡(luò)的云計(jì)算平臺(tái)和大數(shù)據(jù)應(yīng)用成為數(shù)字社會(huì)發(fā)展的核心�,而承載社會(huì)運(yùn)行管理的網(wǎng)絡(luò)設(shè)施��、信息系統(tǒng)和海量數(shù)據(jù)極容易成為網(wǎng)絡(luò)攻擊的顯著目標(biāo)�,一旦遭到破壞�、喪失功能或者數(shù)據(jù)泄露,將嚴(yán)重危害國家安全�、國計(jì)民生、公共利益�。《中華人民共和國網(wǎng)絡(luò)安全法》���、《中華人民共和國數(shù)據(jù)安全法》和《中華人民共和國個(gè)人信息保護(hù)法》為營造良好數(shù)字生態(tài)提供了堅(jiān)實(shí)的法律保障�����,是構(gòu)建安全數(shù)字社會(huì)生態(tài)體系的三大法治基石��。
一����、保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施安全是網(wǎng)絡(luò)安全法的核心
達(dá)沃斯曾發(fā)表過一個(gè)報(bào)告,在整個(gè)世界可能出現(xiàn)最高的風(fēng)險(xiǎn)排名中��,第一是極端的天氣����;第二是自然災(zāi)害;第三是網(wǎng)絡(luò)攻擊����;第四是數(shù)據(jù)詐騙和竊取?��?梢?,網(wǎng)絡(luò)攻擊和數(shù)據(jù)詐騙��,被列為全球最高十大風(fēng)險(xiǎn)的前三和前四名�。我國網(wǎng)絡(luò)安全法是在國際網(wǎng)絡(luò)安全最嚴(yán)峻的時(shí)期出臺(tái),顯得非常及時(shí)且極為重要����。
我國于2017年6月1日正式實(shí)施的《中華人民共和國網(wǎng)絡(luò)安全法》確定了十大法律制度,一是確立了維護(hù)網(wǎng)絡(luò)空間主權(quán)法律制度����;二是明確了網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系法律制度����;三是完善了網(wǎng)絡(luò)安全等級(jí)保護(hù)法律制度��;四是明確了網(wǎng)絡(luò)運(yùn)營者安全義務(wù)法律制度�;五是構(gòu)建了個(gè)人信息保護(hù)法律制度;六是建立了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)法律制度��;七是確定了培養(yǎng)網(wǎng)絡(luò)安全人才法律制度�����;八是確立了關(guān)鍵信息基礎(chǔ)設(shè)施重要數(shù)據(jù)跨境傳輸法律制度��;九建立了監(jiān)測(cè)預(yù)警與應(yīng)急處置法律制度��;十是確立了網(wǎng)絡(luò)通信管制法律制度�。
我以為�,《中華人民共和國網(wǎng)絡(luò)安全法》的核心要素是維護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施的安全,這是網(wǎng)絡(luò)安全法的基石����。國家關(guān)鍵信息基礎(chǔ)設(shè)施涉及公共通信和信息服務(wù)、國防�����、能源、交通�、水利、金融����、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域����,一旦這些重要領(lǐng)的關(guān)鍵信息基礎(chǔ)設(shè)施遭到破壞、喪失功能或者數(shù)據(jù)泄露���,將會(huì)嚴(yán)重危害國家安全��、國計(jì)民生����、公共利益��。我的團(tuán)隊(duì)曾系統(tǒng)地研究了“911”事件之后���,美國政府對(duì)網(wǎng)絡(luò)空間整體戰(zhàn)略的調(diào)整�����。2003年2月��,鑒于“9·11”恐怖襲擊事件的發(fā)生����,小布什政府將網(wǎng)絡(luò)空間發(fā)展戰(zhàn)略從“發(fā)展優(yōu)先”調(diào)整為“安全優(yōu)先”,正式通過了《網(wǎng)絡(luò)空間安全國家戰(zhàn)略》�,該戰(zhàn)略明確了實(shí)施網(wǎng)絡(luò)空間安全保護(hù)計(jì)劃的指導(dǎo)方針,提出了三大戰(zhàn)略目標(biāo):一是預(yù)防美國的關(guān)鍵基礎(chǔ)設(shè)施遭到信息網(wǎng)絡(luò)攻擊�����;二是減少國家對(duì)信息網(wǎng)絡(luò)攻擊的脆弱性����;三是減少國家在信息網(wǎng)絡(luò)攻擊中遭受的破壞����,減少恢復(fù)時(shí)間。
我國網(wǎng)絡(luò)安全法第三十一條采用了“非窮盡列舉行業(yè)和領(lǐng)域+危害后果”的立法技術(shù)����,明確了關(guān)鍵信息基礎(chǔ)設(shè)施的重點(diǎn)保護(hù)范圍���,但并沒有給出關(guān)鍵信息基礎(chǔ)設(shè)施定義。2021年7月30日���,國務(wù)院公布的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》(以下稱:《條例》)第二條明確了“關(guān)鍵信息基礎(chǔ)設(shè)施”的定義��,即“關(guān)鍵信息基礎(chǔ)設(shè)施�����,是指公共通信和信息服務(wù)���、能源、交通�����、水利��、金融����、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的�,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露�����,可能嚴(yán)重危害國家安全�、國計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)等���?����!?/p>
《條例》例舉的重點(diǎn)行業(yè)和領(lǐng)域基本上與網(wǎng)絡(luò)安全法保持了一致����,但是《條例》增加了一類“國防科技工業(yè)”�,成為八類被例舉的重點(diǎn)行業(yè)和領(lǐng)域?���!稐l例》中的“關(guān)鍵信息基礎(chǔ)設(shè)施”的定義�,有兩層結(jié)構(gòu),第一層結(jié)構(gòu)明確了關(guān)鍵信息基礎(chǔ)設(shè)施屬于重要的網(wǎng)絡(luò)設(shè)施和重要的信息系統(tǒng);第二層結(jié)構(gòu)是由三個(gè)定語進(jìn)一步修飾和說明“網(wǎng)絡(luò)設(shè)施和重要的信息系統(tǒng)”的重要性����,第一個(gè)定語是列舉了若干特別重要的八類行業(yè)和領(lǐng)域,第二個(gè)定語是其他不特定的重要領(lǐng)域�,第三個(gè)定語是可能造成的危害的程度和后果。
《條例》第八條規(guī)定:“本條例第二條涉及的重要行業(yè)和領(lǐng)域的主管部門��、監(jiān)督管理部門是負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門(以下簡(jiǎn)稱保護(hù)工作部門)”���。由此�����,《條例》第二條“關(guān)鍵信息基礎(chǔ)設(shè)施”定義中例舉的八類行業(yè)和領(lǐng)域����,在《條例》中被正式界定為是“負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作部門”�����,具有非常強(qiáng)的針對(duì)性����。
二、《中華人民共和國數(shù)據(jù)安全法》聚焦數(shù)據(jù)安全領(lǐng)域的突出問題
網(wǎng)絡(luò)安全的核心是數(shù)據(jù)安全,數(shù)據(jù)的保護(hù)與治理不僅關(guān)乎數(shù)據(jù)本身作為重要生產(chǎn)要素的開發(fā)利用與安全問題�,而且與國家主權(quán)、國家安全��、社會(huì)秩序����、公共利益等休戚相關(guān)。
《中華人民共和國數(shù)據(jù)安全法》體現(xiàn)了總體國家安全觀的立法目標(biāo)��,聚焦數(shù)據(jù)安全領(lǐng)域的突出問題���,明確了我國數(shù)據(jù)安全保護(hù)的域外法律效力����,確立了數(shù)據(jù)分類分級(jí)管理制度�,建立了數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、監(jiān)測(cè)預(yù)警����、應(yīng)急處置制度,構(gòu)建了數(shù)據(jù)安全審查等基本制度�,并明確了相關(guān)數(shù)據(jù)處理者的數(shù)據(jù)安全保護(hù)義務(wù),是我國首部有關(guān)數(shù)據(jù)安全的基礎(chǔ)性法律����。
《中華人民共和國數(shù)據(jù)安全法》第三條第一款明確了“數(shù)據(jù)”的定義:“數(shù)據(jù),是指任何以電子或者其他方式對(duì)信息的記錄�����?���!痹摽罹哂袃蓪雍x,一是“數(shù)據(jù)”是對(duì)信息的記錄���,這表明數(shù)據(jù)安全法中的數(shù)據(jù)是有語義的信息�����,具有可識(shí)別性�,其本身具有價(jià)值���;二是對(duì)信息的記錄可以是電子形式���,也可以是非電子形式。
《中華人民共和國數(shù)據(jù)安全法》首次以法律的形式對(duì)“數(shù)據(jù)”進(jìn)行定義��,實(shí)際上我國網(wǎng)絡(luò)安全法第七十六條并沒有對(duì)“數(shù)據(jù)”進(jìn)行定義,而是對(duì)“網(wǎng)絡(luò)數(shù)據(jù)”給出了定義:“通過網(wǎng)絡(luò)收集�����、存儲(chǔ)����、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)”���,網(wǎng)絡(luò)安全法中的“網(wǎng)絡(luò)數(shù)據(jù)”只涉及了網(wǎng)絡(luò)環(huán)境下被處理的各種“網(wǎng)絡(luò)數(shù)據(jù)”(電子數(shù)據(jù))���。
《中華人民共和國數(shù)據(jù)安全法》確立的“數(shù)據(jù)”定義不僅涉及到數(shù)字網(wǎng)絡(luò)環(huán)境下的“網(wǎng)絡(luò)數(shù)據(jù)”,也涉及非數(shù)字網(wǎng)絡(luò)環(huán)境下的傳統(tǒng)數(shù)據(jù)�,特別是考慮到“電子數(shù)據(jù)”和“非電子數(shù)據(jù)”之間本身可以相互轉(zhuǎn)化。由此���,《中華人民共和國數(shù)據(jù)安全法》有關(guān)“數(shù)據(jù)”的定義更寬泛����,且具有可操作性����,特別是在中外法律中多數(shù)不能用數(shù)據(jù)或信息表述的情形下更具有實(shí)用性�����。
《中華人民共和國數(shù)據(jù)安全法》第七條提出:“國家保護(hù)個(gè)人、組織與數(shù)據(jù)有關(guān)的權(quán)益�,鼓勵(lì)數(shù)據(jù)依法合理有效利用,保障數(shù)據(jù)依法有序自由流動(dòng)����,促進(jìn)以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟(jì)發(fā)展?!痹摋l明確了國家對(duì)個(gè)人、組織與數(shù)據(jù)有關(guān)權(quán)益保護(hù)的基礎(chǔ)上���,鼓勵(lì)數(shù)據(jù)的依法合理有效利用�,并促進(jìn)以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟(jì)的發(fā)展����。
目前,各類網(wǎng)絡(luò)平臺(tái)����,尤其是超級(jí)網(wǎng)絡(luò)平臺(tái)通過自身營造的網(wǎng)絡(luò)生態(tài)系統(tǒng),將網(wǎng)絡(luò)公共空間的數(shù)據(jù)當(dāng)作一種私權(quán)����,這是一種典型的數(shù)據(jù)壟斷�����,嚴(yán)重阻礙了數(shù)據(jù)要素市場(chǎng)的構(gòu)建�。對(duì)此���,《中華人民共和國數(shù)據(jù)安全法》明確提出了開展數(shù)據(jù)處理活動(dòng)的六項(xiàng)核心義務(wù)�,一是應(yīng)當(dāng)遵守法律�、法規(guī);二是應(yīng)當(dāng)尊重社會(huì)公德和倫理��;三是應(yīng)當(dāng)遵守商業(yè)道德和職業(yè)道德����;四是應(yīng)當(dāng)履行誠實(shí)守信原則;五是應(yīng)當(dāng)履行數(shù)據(jù)安全保護(hù)義務(wù)��;六是應(yīng)當(dāng)承擔(dān)社會(huì)主體責(zé)任�����。在任何情況下���,都不得危害國家安全�����、公共利益�����,不得損害個(gè)人���、組織的合法權(quán)益。
三�����、《中華人民共和國個(gè)人信息保護(hù)法》最大亮點(diǎn)是確立了以“告知-知情-同意”和“兩個(gè)最小”為核心的個(gè)人信息處理規(guī)則
《中華人民共和國個(gè)人信息保護(hù)法》是社會(huì)關(guān)注度極高的一部法律����,該部法律總體上堅(jiān)持了“以人民為中心”的法治理念,突出了國家尊重和保障人權(quán)的憲法原則���,規(guī)范了個(gè)人信息處理的規(guī)則����,強(qiáng)化了對(duì)個(gè)人敏感信息的保護(hù),充分保障了個(gè)人信息權(quán)益的行使��,強(qiáng)化個(gè)人信息處理者的義務(wù)等�����,抓住了個(gè)人信息保護(hù)的主要矛盾和平衡點(diǎn)����,是我國個(gè)人信息保護(hù)領(lǐng)域的一部重要基礎(chǔ)性法律。
在學(xué)習(xí)和貫徹《中華人民共和國個(gè)人信息保護(hù)法》時(shí)��,建議重點(diǎn)把握以下七大要點(diǎn):一是個(gè)人信息保護(hù)應(yīng)遵循的基本原則�����,尤其是處理個(gè)人信息應(yīng)當(dāng)遵循合法����、正當(dāng)、必要和誠實(shí)信用����,以及“最小方式”和“最小范圍”原則;二是個(gè)人信息處理的規(guī)則體系,重點(diǎn)掌握個(gè)人信息處理的核心規(guī)則—“告知-知情-同意”�,自動(dòng)化決策的透明度和公平性,嚴(yán)格禁止“大數(shù)據(jù)殺熟”���,尤其是強(qiáng)化對(duì)敏感個(gè)人信息和未成年個(gè)人信息的保護(hù)��,以及規(guī)范國家機(jī)關(guān)的個(gè)人信息處理活動(dòng)等���;三是個(gè)人信息跨境提供的規(guī)則,重點(diǎn)掌握關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者以及處理個(gè)人信息達(dá)到規(guī)定數(shù)量的個(gè)人信息處理者��,應(yīng)當(dāng)將在中國境內(nèi)收集和產(chǎn)生的個(gè)人信息存儲(chǔ)在境內(nèi)�,向境外提供的�����,應(yīng)當(dāng)接受國家的安全評(píng)估�;四是保障個(gè)人信息權(quán)利的行使,包括知情權(quán)��、決定權(quán)��、查閱與復(fù)制權(quán)����、個(gè)人信息可攜帶權(quán)以及個(gè)人信息的更正�����、補(bǔ)充和刪除權(quán)等�����;五是個(gè)人信息處理者的義務(wù)��,重點(diǎn)關(guān)注對(duì)個(gè)人信息保護(hù)影響的評(píng)估機(jī)制和大型網(wǎng)絡(luò)平臺(tái)的主體責(zé)任���;六是個(gè)人信息保護(hù)的工作機(jī)制,熟悉和了解國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)下的個(gè)人信息保護(hù)工作機(jī)制和相關(guān)監(jiān)督管理工作��;七是對(duì)不履行個(gè)人信息保護(hù)義務(wù)應(yīng)承擔(dān)的法律責(zé)任�,重點(diǎn)把握對(duì)企業(yè)的董事、監(jiān)事����、高級(jí)管理人員和個(gè)人信息保護(hù)負(fù)責(zé)人的法律責(zé)任,以及個(gè)人信息處理者侵權(quán)責(zé)任的過錯(cuò)推定等�����。
我以為,以上七大要點(diǎn)中的重點(diǎn)是對(duì)個(gè)人信息處理規(guī)則的確立����,尤其是確立以“告知-知情-同意”和“兩個(gè)最小”為核心的個(gè)人信息處理規(guī)則。我國個(gè)人信息保護(hù)法在立法過程中�����,充分借鑒了國際組織和一些發(fā)達(dá)國家的個(gè)人信息保護(hù)立法先進(jìn)經(jīng)驗(yàn)�,包括GDPR、OECD “隱私框架”��、APEC“隱私框架”�����、美國“消費(fèi)者隱私權(quán)法案”(Consumer Privacy Bill of Rights)�����、《美國加利福利亞消費(fèi)者隱私法案》(California Consumer Privacy Act�,CCPA)等個(gè)人隱私信息保護(hù)方面的立法�����。
上述國際組織和國家的個(gè)人信息保護(hù)立法均強(qiáng)調(diào)未經(jīng)被收集者同意,不得收集和向他人提供個(gè)人隱私信息����,突出了知情權(quán)、明示同意權(quán)��、訪問權(quán)����、注銷權(quán)、撤回權(quán)���、封鎖權(quán)���、更正權(quán)、刪除權(quán)等個(gè)人信息權(quán)�。比如GDPR將個(gè)人信息權(quán)看作一項(xiàng)基本人權(quán),個(gè)人數(shù)據(jù)保護(hù)的重要性在于對(duì)人格尊嚴(yán)的尊重����,是對(duì)基本人權(quán)的保護(hù)。
我國憲法明確規(guī)定���,國家尊重和保障人權(quán)��,公民的人格尊嚴(yán)不受侵犯����,公民的通信自由和通信秘密受法律保護(hù)。制定實(shí)施個(gè)人信息保護(hù)法對(duì)于保障公民的人格尊嚴(yán)和其他權(quán)益具有重要意義���。據(jù)此�����,《中華人民共和國個(gè)人信息保護(hù)法》第一條明確規(guī)定:“為了保護(hù)個(gè)人信息權(quán)益����,規(guī)范個(gè)人信息處理活動(dòng)���,促進(jìn)個(gè)人信息合理利用����,根據(jù)憲法�����,制定本法����。”該條作為立法宗旨��,突出了國家尊重和保障人權(quán)的憲法原則���,有著極其重要和深遠(yuǎn)的意義�����。
《中華人民共和國個(gè)人信息保護(hù)法》在總則部分第六條提出了處理個(gè)人信息的“兩個(gè)最小”原則�����,一個(gè)是處理個(gè)人信息應(yīng)當(dāng)具有明確����、合理的目的�����,并應(yīng)當(dāng)與處理目的直接相關(guān)����,采取對(duì)個(gè)人權(quán)益影響最小的方式�����;另一個(gè)是收集個(gè)人信息�����,應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍����,不得過度收集個(gè)人信息���。這兩個(gè)“最小原則”是個(gè)人信息處理的核心規(guī)則�����,也是個(gè)人信息保護(hù)法的最大亮點(diǎn)�,尤其是處理目的的“最小范圍”�����,是禁止“過度收集個(gè)人信息”的核心要點(diǎn)�����,因?yàn)閭€(gè)人信息處理者只有在嚴(yán)格遵守處理目的的“最小范圍”的前提下�����,才能確保對(duì)個(gè)人權(quán)益影響最小����。
《中華人民共和國個(gè)人信息保護(hù)法》第二章專章規(guī)定了“個(gè)人信息處理規(guī)則”,并在第二節(jié)專門確立了對(duì)“敏感個(gè)人信息的處理規(guī)則”��。最近�,筆者在網(wǎng)絡(luò)上閱讀眾多“對(duì)個(gè)人信息處理規(guī)則”的解析,大多認(rèn)為《中華人民共和國個(gè)人信息保護(hù)法》確立了以“告知-同意”為核心的個(gè)人信息處理規(guī)則����。事實(shí)上,《中華人民共和國個(gè)人信息保護(hù)法》不僅是確立了以“告知-同意”的個(gè)人信息處理規(guī)則��,而是構(gòu)建了以“告知-知情-同意”為核心的個(gè)人信息處理規(guī)則體系���。
必須指出���,個(gè)人信息處理者“告知”的目的是為了確保被告知者的充分“知情”,只有被告知者在充分知情的前提下才能自愿���、明確地作出決定�。因此,《中華人民共和國個(gè)人信息保護(hù)法》第十四條明確規(guī)定:“基于個(gè)人同意處理個(gè)人信息的���,該同意應(yīng)當(dāng)由個(gè)人在充分知情的前提下自愿��、明確作出��。法律���、行政法規(guī)規(guī)定處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人單獨(dú)同意或者書面同意的,從其規(guī)定����。”該條特別強(qiáng)調(diào)了“基于個(gè)人同意處理個(gè)人信息的�,該同意應(yīng)當(dāng)由個(gè)人在充分知情的前提下自愿、明確作出”�,即“告知-知情-同意”。
大數(shù)據(jù)和云環(huán)境下的個(gè)人信息��,從一開始就與自然人主體分離進(jìn)入數(shù)字平臺(tái)�����,因此尊重個(gè)人信息的消極權(quán)利,防止個(gè)人信息的控制者和處理者的父權(quán)主義對(duì)個(gè)人信息權(quán)利的收集����、存儲(chǔ)���、使用�����、加工�、傳輸��、提供���、公開等����,這是個(gè)人信息保護(hù)法對(duì)自然人“告知-知情-同意”保護(hù)的根源和本旨����。
《中華人民共和國民法典》第一千零三十四條規(guī)定:“自然人的個(gè)人信息受法律保護(hù)。
個(gè)人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人的各種信息,包括自然人的姓名���、出生日期����、身份證件號(hào)碼�����、生物識(shí)別信息���、住址�、電話號(hào)碼���、電子郵箱�、健康信息����、行蹤信息等。
個(gè)人信息中的私密信息�,適用有關(guān)隱私權(quán)的規(guī)定;沒有規(guī)定的�����,適用有關(guān)個(gè)人信息保護(hù)的規(guī)定?���!?/p>
按照《中華人民共和國民法典》的上述規(guī)定,個(gè)人信息保護(hù)應(yīng)當(dāng)由特別法《中華人民共和國個(gè)人信息保護(hù)法》做出規(guī)定�。對(duì)此《中華人民共和國民法典》規(guī)定,個(gè)人信息中的私密信息����,適用《中華人民共和國民法典》有關(guān)隱私權(quán)的規(guī)定���;《中華人民共和國民法典》沒有規(guī)定的��,適用有關(guān)個(gè)人信息保護(hù)的規(guī)定����。因此���,我國個(gè)人信息保護(hù)法沒有對(duì)自然人的隱私信息做出專門規(guī)定����,而是將個(gè)人信息分為敏感信息和非敏感信息,并設(shè)專節(jié)設(shè)置了“敏感個(gè)人信息的處理規(guī)則”�,對(duì)“敏感個(gè)人信息”的概念和敏感個(gè)人信息的處理規(guī)則作出了明確具體的規(guī)定。
《中華人民共和國個(gè)人信息保護(hù)法》第二十八條是“敏感個(gè)人信息”的定義���,即“敏感個(gè)人信息是一旦泄露或者非法使用���,容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息�����,包括生物識(shí)別�、宗教信仰、特定身份����、醫(yī)療健康、金融賬戶����、行蹤軌跡等信息,以及不滿十四周歲未成年人的個(gè)人信息�。” 該定義采用了“個(gè)人信息被泄露或者非法使用+危害后果+列舉重要敏感個(gè)人信息”的立法技術(shù)�,同時(shí)將不滿十四周歲未成年人的個(gè)人信息也納入了“敏感個(gè)人信息”給予重點(diǎn)保護(hù)���。
《中華人民共和國個(gè)人信息保護(hù)法》對(duì)處理敏感個(gè)人信息作出了嚴(yán)格的限制性規(guī)定,即只有在具有特定的目的和充分的必要性�,并采取嚴(yán)格保護(hù)措施的情形下,個(gè)人信息處理者方可處理敏感個(gè)人信息�。特別是處理敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意。如果法律�����、行政法規(guī)規(guī)定處理敏感個(gè)人信息應(yīng)當(dāng)取得書面同意的�,應(yīng)當(dāng)從其規(guī)定。
《中華人民共和國個(gè)人信息保護(hù)法》還特別針對(duì)“大數(shù)據(jù)殺熟”���、“用戶畫像”和“算法推薦”等涉及個(gè)人信息自動(dòng)化決策的熱點(diǎn)問題作出了規(guī)范,并明確要求�����,處理個(gè)人信息應(yīng)當(dāng)遵循合法���、正當(dāng)���、必要和誠信原則����,不得通過誤導(dǎo)��、欺詐����、脅迫等方式處理個(gè)人信息。
值得注意的是��,《中華人民共和國個(gè)人信息保護(hù)法》第五條引入了“誠信原則”����,“誠信原則”是“誠實(shí)信用原則”的簡(jiǎn)稱,這是民法中最重要的一項(xiàng)原則�����,被稱為“帝王原則”����。《中華人民共和國個(gè)人信息保護(hù)法》中的“誠信原則”要求所有個(gè)人信息的處理者在不損害個(gè)人信息權(quán)益的前提下�,追求自己的合法利益。盡管“誠信原則”屬于《中華人民共和國個(gè)人信息保護(hù)法》的一般條款����,但其外延和內(nèi)涵都不確定�,且涵蓋的范圍極大����,遠(yuǎn)遠(yuǎn)超過其他一般條款的規(guī)定。
隨著《中華人民共和國個(gè)人信息保護(hù)法》的實(shí)施�,我國個(gè)人信息安全保護(hù)的基本要義在于:在確保個(gè)人敏感信息不受非法侵害的基礎(chǔ)上,促進(jìn)個(gè)人信息在“合法���、正當(dāng)���、必要和誠信原則”和“告知-知情-同意”原則的基礎(chǔ)上,并遵循“實(shí)現(xiàn)處理目的的最小范圍”和“采取對(duì)個(gè)人權(quán)益影響最小的方式”原則的前期下����,進(jìn)行合情�����、合理�����、合法的開發(fā)和利用。
法律的生命在于實(shí)施���,法律的權(quán)威也在于實(shí)施����,要想真正營造良好的數(shù)字社會(huì)生態(tài)��,絕不僅僅是靠科學(xué)技術(shù)的進(jìn)步����,必須構(gòu)建包含以法律為保障、以道德為支撐�����、以誠信為基石�����、以增進(jìn)人民福祉為目標(biāo)的四大核心價(jià)值體系��。
本文作者系浙江大學(xué)教授�����、博導(dǎo),網(wǎng)絡(luò)空間治理與數(shù)字經(jīng)濟(jì)法治(長三角)研究基地主任兼首席專家�����、中國網(wǎng)絡(luò)與數(shù)據(jù)安全法治50人論壇主席���;本文是作者在首屆“中國網(wǎng)絡(luò)與數(shù)據(jù)安全法治50人論壇”的演講內(nèi)容����,經(jīng)本人重新整理����。
法治號(hào)
