张新宝:个人信息保护法治的发展和进一步完善 | 思享峰会

腾讯网络安全与犯罪研究基地 2021-01-13 17:30


2020年12月24日,我们上线了由中国犯罪学学会、中国人民大学刑事法律科学研究中心和腾讯安全战略研究部联合主办的“2020网络安全思享峰会”。



本次大会围绕网络安全问题,分设“网络犯罪刑事规制”、“个人信息保护与数据安全”、“互联网企业与网络平台刑事合规”、“互联网金融反洗钱治理”、“未成年人网络保护”、“人工智能与产业安全”、“云服务责任边界”七大议题,邀请专家学者共筑新互联网时代的安全屏障。


精彩回顾


演讲主题:个人信息保护法治的发展和进一步完善
主讲人:中国人民大学法学院教授张新宝



发言全文


各位朋友好,我是中国人民大学法学院张新宝教授,今天跟大家谈的题目是《个人信息保护法治的发展和进一步完善》,在《民法典》颁布之前,我们已经制定了一些保护个人信息方面的立法,在今年颁布的《民法典》中,关于个人信息的保护有几条规定,在目前我们正在进行一个重要的立法,这就是制定专门的,《个人信息保护法》,回顾大概从二十年前开始,我们就开始着手,个人信息保护方面的立法。

 


从2000年开始,我们的立法部门就着手个人信息保护方面的立法,在2000年12月制定了,关于维护互联网安全的决定》,2012年制定了《关于加强网络信息保护的决定》,而后在2009年和2015年制定了刑法第七修正案和第九修正案,进入新时代以来,我们制定了一部很重要的法律,这就是《网络安全法》。这部《网络安全法》,不仅规定了系统安全、数据安全,而且对于个人信息安全做出了专章的规定,此外我们还有一些行政法规、部门规章和一些特别法律,也涉及到对个人信息的保护。

 

我们的《民法典》是分两步走来制定的,2017年制定了《民法总则》,今年我们将《民法总则》和《民法典》分则的各编合并,统一颁布了《中华人民共和国民法典》,在《民法总则》里面第111条,对个人信息做出了保护的规定,但是还有一个特别需要注意的条款,这就是127条,在保护个人信息的同时,对于数据和网络虚拟财产作出了保护的规定,因此对于个人信息的保护,从来就是与数据和网络虚拟财产的保护相联系的,今年颁布的《民法典》分则第四编是人格权,人格权第六章对于隐私权和个人信息保护做出了专门规定。 

 


其实在制定《民法典》的时候,立法部门就已经规划了制定一部专门的《个人信息保护法》,这部《个人信息保护法》在2018年进入了立法程序,目前已经经过了立法部门的第一次审议,这部《个人信息保护法》包括总则、个人信息处理的规则,个人信息跨境提供的规则以及个人在个人信息处理中的权利,个人信息处理者的义务,履行个人信息保护职能的部门以及法律责任和附则等内容的规定,是一部中规中矩的结构严谨、内容丰富的法律草案。


我们需要讨论一下《个人信息保护法》立法背景。



立法部门的权威说明里面,谈到了三项立法背景,第一是制定个人信息保护法,毫无疑问是加强个人信息的保护,保护个人的个人信息,这个个人信息,在我们今天看来属于个人的人格尊严和人格安全方面的利益。第二是制定《个人信息保护法》是维护网络空间良好的生态的现实需要。第三制定《个人信息保护法》是促进数字经济健康发展的重要举措。所以《个人信息保护法》不仅仅是为了保护个人的人格权益,同时也是维护网络的良好生态安全,以及保护经营者的正当合法权益。《个人信息保护法》的核心原则是告知同意,那么法律规定了一些不需要经过告知同意而可以收集个人信息和处理个人信息的情况,除了这些例外情况之外,都需要经过个人信息主体,也就是个人的明确同意,但是由于个人信息对于主体的重要程度不同,有的是敏感信息,有的是隐私信息,有的属于一般信息,因此告知的强度和同意的明确程度,以及同意的方式也是不尽相同的。 

 


我们注意到《个人信息保护法(草案)》与民法的有关规定相比有一个重要的概念发生了变化,这就是在《民法典》中,我们使用了私密信息,而在《个人信息保护法》中,我们使用了敏感信息,而无论是对于个人私密信息还是对于个人敏感信息的保护,法律都给予了更高的权重,也就是说保护的更严密一些,更周全一些,而对于个人的一般信息的保护,相对来说要弱一些。


 

这一部《个人信息保护法(草案)》正在征求意见中,现在社会各界都在踊跃地提出修改的建议,包括像我们这样的大企业也在根据自己了解的具体情况,提出修改建议,使它进一步的完善。



我的想法是,在这样的一部法律中,需要贯彻两个基本的理念,第一个理念是,利益平衡的理念,也就是在过去我写文章所谈到的,所谓两头强化,三方平衡的理念,所谓两头强化就是要强化对个人信息中,那些私密信息,敏感信息的保护,另一头就是对于那些经过处理的已经去标识化的或者是匿名化的个人信息的数据财产权益的保护,以促使我们的数字经济健康发展。三方平衡既包括个人,也包括企业,还包括公共利益三方的平衡,因此个人信息保护不仅仅是个人权利保护的事项,此外这个平衡在今天看来,还需要在国际上保护做到平衡,这就是与欧盟的保护标准之间的平衡,与美国的保护标准之间的平衡,那么我提出一个通俗的表达,这就是与欧盟相比要过得去,与美国相比要不吃亏,所谓过得去,就是大致上我们的保护水平要被欧盟的法律制度和它的司法所接受,我们说跟美国比不吃亏,是说我们不能够因为制定了过高的保护标准,而在企业的竞争中处于不利地位,相反我们也要大致跟美国保持相对的平衡的保护水平。


除了刚才谈到的利益平衡的理念以外,我们觉得还有一个很重要的理念,这就是多方参与的共同治理理念,这部法律的草案在第11条里面有这样的规定,但是仅仅有这样的一条规定,而没有具体的制度,我们认为,行业的协会应该发挥积极作用,大的企业,特别是像我们腾讯这样的大企业,在个人信息保护和大数据的利用方面会发挥积极作用,在操作系统、对个人信息的保护,对一些超级的APP可以设定一些保护个人信息的行业规则、企业规则贯彻这个法律的精神,我们认识到,法律去对千千万万个大概有五百万个活跃的APP去进行管理规制,是困难的,但是我们的巨无霸型的大企业和那些特别活跃的特别重大的APP以及操作系统,数量是比较少的,应当发挥这些企业的积极性,让它参与到我们个人信息保护这样一个过程中来。

 


我们这一部法律还有一个很重要的特征,这就是结合我国目前的具体情况,规定了国家机关在处理个人信息方面的特别规则,我们的国家机关事实上收集了储存了大量的个人信息,也在处理着大量的个人信息,那么这些个人信息有相当一部分是十分敏感的,比企业收集的要全面,数量上要多,质量上要高,因此它在收集处理个人信息方面需要遵循一些特别的规则,因此我们这个法律对此做出了规定。不过遗憾的是,目前这些规定尚不够细明,需要在未来的第二次审议稿、第三次审议稿中,进一步的细化、加强。 

 


《个人信息保护法》很难把它说成是一个民法,很难把它说成是一个行政法,你也很难把它说成是一个刑法,刚才跟大家介绍的说首先就是刑事责任,刑法修正案的第七、第九规定的是刑事责任,而我们民法无论是总则还是分则,规定了侵权的民事责任,而且在我们的实践中,规定了大量的行政责任,我们也注意到一些大的企业,比如说facebook等等,曾经在欧洲的一些经济体里面被重罚,那个罚款几亿乃至几十亿欧元,那也是行政处罚,因此它是一个综合性的法律,在这个综合性的法律里面既有行政责任的规定,又有民事责任的规定,还有指向刑法典有关条文的规定,在这些法律责任的设置上面,我认为基本上是好的,但是具体使用上面,可能也需要进一步细化,比如说规定了对企业的罚款,那么第一档规定的是最高限额五千万,第二档规定的是一个企业在某个经济体里面的年营业额的5%,但是到底是适用高限的五千万,还是年营业额的5%,对于不同规模的企业来说,它算出来的数额以及对于企业的影响是完全不相同的。这一点需要我们法律制度的进一步细化。

 


这部法律还有一个很新颖的地方,这就是规定了侵害个人信息的公益诉讼,将这样一项权力,赋予了人民检察院,而人民检察院过去,已经有几项公益诉讼的权力,包括消费者权益保护的公益诉讼,包括污染环境破坏生态的公益诉讼等等,那么我们今天人民检察院又有了一项新的权力,这就是根据《个人信息保护法》的规定,提起个人信息保护的公益诉讼,在大量的案件中,由个人提出私益诉讼是困难的,举证是困难的,而且是很不经济的,那么我们通过公益诉讼,代表社会的不特定的或特定的多数人的利益,提起公益诉讼,能起到更好的效果,但是我们也注意到仅仅有这样一条规定是不够的。而且这一个规定与法律责任放在一起,可能在逻辑结构上面也需要进一步的斟酌,这是我们对完善《个人信息保护法(草案)》提出的一些建议。 

 

以上是我对完善个人信息保护制度所做的一些讨论,谢谢大家的聆听!


PPT获取


关注公众号「腾讯安全战略研究」

后台回复嘉宾名字“张新宝

即可获取本场演讲的PPT


另外,长按识别下方二维码

还可以查看更多嘉宾主题演讲



喜欢就马上一键三连👇