《個人信息保護法(草案)》(下稱“草案”)面世后,面臨的核心問題之一是其所規定的內容和《民法典》原有規定之間如何進行規范性的協調?
11月5日,第十一屆中國信息安全法律大會在北京召開。清華大學法學院院長申衛星圍繞這一問題,在大會“個人信息保護”分論壇上發表了題為“個人信息保護的規范協調與體系展開——從《民法典》到《個人信息保護法(草案)》”的演講。
申衛星指出,上述問題既是立法者需要進一步回答的問題,也是未來法學研究和執法、司法的重點所在。“只有協調恰當,才能構建出一個科學的個人信息保護統一體系。”
一、個人信息保護法與民法典的規定不一致,怎么辦?
草案立法說明中強調,起草工作應把握權益保護的立法定位,特別是與《民法典》等有關法律規定相銜接,充實個人信息保護的制度規則。
由此,申衛星提出了兩個基礎問題:“目前的草案與《民法典》之間在具體規范上如何銜接與協調?在規范協調的情況下,又如何進行個人信息保護的周密體系設計?”
要判斷如何協調兩部法律之間的規定,需先確定兩部法律的適用關系。
而從立法時間上看,《民法典》制定在前,《個人信息保護法》制定在后,根據《立法法》規定,“新的規定與舊的規定不一致的,適用新的規定”,在二者重合的范圍內,《個人信息保護法》的規定應當優先適用。
二、個人信息保護法與民法典的規范如何協調?
《個人信息保護法》與《民法典》之間的規范需要協調的主要原因,即為二者出現了不少針對“同一事項”的規定,比如個人信息的定義就在兩部法律中有著不同的表述。
申衛星提到,《個人信息保護法》將定義從《民法典》的“識別說”拓展到“關聯說”,并排除“匿名化信息”,總體而言擴大了個人信息保護的范圍。
就拓展的理由,申衛星分析道,“個人信息保護法的定位是對個人信息進行保護的綜合立法,它的保護手段包括但不限于民法中的授權,還包括行政處分。如果充實這些內容,我覺得個人信息保護范圍的擴大不無道理。”
此外,兩部法律對不完全行為能力人同意問題的定義與規定也存在差異。
《民法典》中要求行為能力不健全的自然人,不論成年與否均只能由其監護人同意。在草案中,上述主體則被具體化為“不滿十四周歲的未成年人”,并不包括行為能力不健全的成年人。
“十四歲到十八歲之間的未成年人怎么辦?”申衛星提出疑問,“這一部分未成年人是可以本人同意還是需要其監護人同意,立法者最好給出更明確的回答。”
除以上兩個問題外,申衛星還提到,兩部法律中關于個人信息的委托處理規定也值得進一步討論。
草案第22條規定,個人信息處理者委托處理個人信息的,應當與受托方約定委托處理的目的、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等。并對受托方的個人信息處理活動進行監督。同時規定,未經個人信息處理者同意,受托方不得轉委托他人處理個人信息。
“它沒有明確在轉委托時要不要得到信息來源主體的同意。”申衛星指出,“這也是立法中有必要解決的問題。”此外,據草案,受托者因不能“自主決定”個人信息處理事項,故不屬于信息處理者,“告知—同意”的詳細規則也無法適用。
而在《民法典》中,除有效的委托合同外,受托人處理個人信息需取得信息主體或其監護人的同意。“為了充分保護信息主體的個人信息權益,我覺得應該將委托處理納入知情同意原則”,他表示。
三、個人信息保護的周密體系如何設計?
在規范協調了《個人信息保護法》與《民法典》等相關法律之后,又該如何進行個人信息保護的周密體系設計呢?換言之,草案如何在個人信息保護體系上對《民法典》作出進一步的發展呢?
“從《民法典》到《個人信息保護法》,其實都在變化的過程當中,在立法中進一步強化和細化對個人信息的保護。”申衛星說。
據草案總則第一條,立法目的是為了保護個人信息權益,規范個人信息處理活動,保障個人信息依法有序自由流動,促進個人信息合理利用。申衛星對此持肯定態度,他表示,“既要保護個人信息,更應該促進個人信息包括自由流通在內的利用,這是很必要的。”
他還將視線聚焦于法律對私密信息和敏感信息的定義和規定。“敏感信息的范圍可能要比私密信息寬一些”,據《民法典》,私密信息被定義為具有“不愿為他人知曉”的性質,而草案將敏感個人信息定義為“一旦泄露或者非法使用,可能導致個人受到歧視或者人身、財產安全受到嚴重危害的個人信息”。
“我覺得要表揚《個人信息保護法》對敏感信息判斷的基準,就是信息泄露導致的歧視問題,這是最核心的。”申衛星稱,“這種敏感信息的敏感度就在于它本身會產生歧視。”
他還提出,敏感信息要不要受到與私密信息同等的保護程度,是值得思考的問題。私密信息在《民法典》中被納入隱私保護的范圍,而隱私的保護標準是最高的。同時,作為一項民事權利,它的要求是必須明確的。
相似的,草案中規定敏感信息是需要單獨同意的。申衛星表示,“這所體現的就是敏感信息較高的保護標準。所以在敏感信息上,要明確目的和使用的充分必要性,同時強化告知義務和同意要求。”