个人信息保护法律制度十年回顾

文 | 西交苏州信息安全法学所 朱莉欣 祁楚云

随着信息网络技术和产业的高速发展,信息化浪潮奔涌向前。顺应时代变化,我国开启了个人信息保护制度建设的新篇章,在近十年取得了巨大的进步。如今,数字经济发展的进程已经充分证明,个人信息不仅关涉自然人的隐私、具有重要的经济价值属性,也和国家的安全和稳定息息相关,对个人信息的保护水平反映了政府的公共安全治理能力和一个组织的可信度;在全球普遍关注数据安全的今天,个人信息保护合规也成为企业在国际市场竞争时必须关注的问题。从十八大提出的全面加强顶层设计和总体布局、持续强化关键信息基础设施安全保护、不断夯实网络安全工作基础的总体框架纲领,到 2014 年 2 月习近平总书记在中央网络安全和信息化领导小组第一次会议上发表关于网络安全和信息化要“统一谋划、统一部署、统一推进、统一实施”的重要讲话,我国个人信息保护和数据安全管理水平有了显著提升。尤其是个人信息保护法律制度的发展和完善,对促进社会信任机制的建立、平衡公共安全和个人安全的关系、平衡个人信息安全和商业运用关系以及平衡国内和国际的相关利益都起到了积极的作用。

一、个人信息保护法律制度建设全方位回顾

十年来,我国在个人信息保护方面进行了法律法规的建设与完善,并取得了显著成效。从一般法到特别法,从宏观角度到微观视野,我国逐渐建立起了全方位的个人信息保护法律制度。

第一,在刑法领域,最先完善相关法律法规以保护个人信息,打击针对个人信息的犯罪。2009 年,针对侵犯公民个人信息案件态势日益严峻,与电信网络诈骗、敲诈勒索等犯罪呈合流态势,《刑法修正案(七)》增设非法获取公民个人信息罪和出售、非法提供公民信息罪。2015 年,为了进一步加强对公民的个人信息保护,《刑法修正案(九)》将两罪合二为一,设立了侵犯公民个人信息罪,同时修改了部分表述,扩大犯罪主体范围,使这一罪名更加切合实际。2016 年,徐玉玉电信诈骗案等个人信息被泄露的案件,引发了全社会对个人信息保护的广泛关注。2017 年,两高联合发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,根据刑法有关规定,对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题做了全面、系统的规定,对“内鬼”出卖信息等针对个人信息的严重犯罪行为提高了量刑处罚。

第二,在网络安全法领域,我国出台了相当数量的法律法规,从信息安全的各个环节规范个人信息的使用、管理。2013 年,我国出台了第一部针对个人信息保护的部门规章——《电信和互联网用户个人信息保护规定》。2016 年,《网络安全法》得以通过。作为我国网络安全领域的首部基础性、框架性、综合性的法律规范,《网络安全法》确定了网络运营者收集、使用个人信息的原则,并规定了相应的法律责任,为之后相关法律法规的制定和实施奠定了基础。在《网络安全法》迈出先行步伐的推动下,我国其他有关个人信息安全的法律法规、政策规章相继颁布,包括 2018 年的《电子商务法》和 2021 年的《数据安全法》《个人信息保护法》等法律,2021 年的《关键信息基础设施安全保护条例》《互联网信息服务算法推荐管理规定》和 2022 年修订的《网络安全审查办法》及 2022 年的《数据出境安全评估办法》等法规和规章,以及 GB/T 35273—2020《信息安全技术 个人信息安全规范》等标准。其中,2021 年 8 月 20 日正式通过的《个人信息保护法》,是我国在个人信息保护制度建设方面取得重大进步的关键节点,标志着我国个人信息保护法律制度发展迈向新阶段。《个人信息保护法》凝结了我国数十年来的治理经验,兼顾和接轨国际信息数据保护的通行规则,为我国发展数字经济同时保护个人信息提供了法制保障。它包含对个人信息权益保护与个人信息合理利用的平衡,明确个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任等内容,拓宽了个人信息处理的合法性事由;在兼顾个人信息安全与“出海”需求的同时,还对企业“出海”的个人信息跨境流动需求进行顶层设计和进一步升级,也充分考虑了国际规则和需求。

第三,在民法领域,我国做出了更细致的规定,进一步健全个人信息安全法制建设。2021 年 1 月 1 日起开始实施的《民法典》第六章从隐私和民事领域的个人信息保护角度,对自然人的个人信息受法律保护进行了明确的规定和说明。从个人信息的概念到处理个人信息的原则、条件、免责事由、权利义务内容及关系,我国民法也较全面和明确地对公民个人信息保护做出了规定。

可以说,我国已经建立起包括涵盖刑事领域、民事领域和行政领域的全方位个人信息保护法律体系,基本适应了新时代数字经济高速发展趋势,也充分考虑了我国国情,体现了国家对公民个人信息保护的高度重视,表达出通过网络信息安全保障国家安全,以信息化推进国家治理现代化的先进理念。

二、具有中国特色的个人信息保护法制建设

我国个人信息保护法制建设以国情民生为出发点,坚持中国特色社会主义法治建设总体框架和原则,在中国共产党领导下稳步推进网络安全建设和个人信息保护工作,逐步推进各项法律法规的制定与实施,在多方努力下建成了具有中国特色的个人信息保护法律制度。

(一)坚持党的领导统揽全局

我国始终将党的方针政策作为个人信息保护法律制度建设和发展的指导与引领,为发展和落实个人信息保护进行总体布局和顶层设计,并坚持党中央对包括个人信息保护在内的网络安全工作集中统一领导。从 2014 年中央网络安全信息化领导小组第一次会议,到 2016 年 4 月在北京召开的网络安全和信息化工作座谈会,再到 2019 年 9 月习近平总书记所做出对网络安全工作“四个坚持”的重要指示,党中央成立了中央网络安全和信息化领导小组(后改为中央网络安全和信息化委员会),制定《党委(党组)网络安全工作责任制实施办法》,明确党委领导班子、领导干部的网络安全政治责任,也明确了如果由于未能正确履职,“发生大面积个人信息泄露”,将按规定追究各级党委(党组)相关责任,从而压实了各级党委保护个人信息的职责,保证了这一领域党的领导作用的发挥。

(二)发挥政府力量推动制度落实

通过行政法规、制度和执法落实个人信息保护有关法律,推动个人信息保护工作向好发展,是我国个人信息保护法制建设的另一个特色。为了配合相关的法律规定,政府出台了《网络安全审查办法》《云计算服务安全评估办法》等法规规章,建立了网络安全等级保护、网络安全审查、云计算服务安全评估等重要制度,发布《关于加强国家网络安全标准化工作的若干意见》并制定三百余项网络安全领域国家标准,实施《国家网络安全事件应急预案》以便完善网络安全应急预案和健全个人信息安全防护体系,全面提升应急处置能力,保证我国个人信息保护法律制度的实施效能。

除了以规章制度保障个人信息安全,我国相关政府部门还积极开展相关的执法活动,以行动推进工作统筹、实现督察和评估。例如,始于 2021 年 2 月的“清朗行动”,作为网信部门开展的专项行动,在维护个人信息安全,促进网站平台健康发展等方面发挥了巨大作用。2021 年 9 月,网信办还出台了《关于加强网络文明建设的意见》,创办中国网络文明大会。这些严管严抓、有力震撼的行政措施和行动,为个人信息安全提供了有力保障。

(三)重点领域个人信息给予特别保护

我国在具体实践中,也注重特别领域个人信息的保护。这些特别领域包括未成年人个人信息保护、人脸识别技术合法使用等。对于未成年人,我国着重加强了对少年儿童的个人信息保护,制定儿童个人信息网络保护方面专门立法,发布《儿童个人信息网络保护规定》,划定未成年人信息保护底线,严格有关立法和监督监管。

人脸信息属于敏感个人信息中的生物识别信息,与个人人身和财产安全密切联系,而人脸识别技术作为大数据技术应用和信息技术高度发展的重要成果之一,被广泛应用于金融、行政、交通等基础领域,可能存在重大安全隐患。2019年,我国“人脸识别第一案”在杭州立案受理。有关人脸信息使用的纠纷案件不断发生。2021 年 6 月 8 日,最高人民法院通过《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,以司法解释的形式,指导各级人民法院正确审理涉及人脸识别技术的相关案件,统一裁判标准、维护法律统一正确实施,强化个人信息司法保护,促进信息数据依法合理有效利用。

(四)推广宣传和人才培养并进

为了更好建设和发展我国个人信息保护法律制度,提高个人信息保护素养,我国大力推广和宣传个人信息法律制度体系的规范内容和建设成果,让个人信息保护真正深入民心。同时,为更好补齐网络安全人才缺口,提升信息保护人才能力短板,我国推出了一系列强有力的人才培养政策举措,助力网络安全人才培养。2015 年,我国教育部设立网络空间安全一级学科,组织实施一流网络安全学院建设示范项目;2016 年,中央网信办等六部门制定出台《关于加强网络安全学科建设和人才培养的意见》,强化宏观指导和政策统筹。中央网信办还对国家网络安全先进集体和先进个人进行表彰,设立网络安全转型基金,并指导有关企业、协会和一流网络安全学院发起和实施网络安全学院学生创新资助计划,鼓励和支持高校学生围绕企业网络安全技术创新实的际需求和产业发展的共性问题开展创新活动;建设国家网络安全人才与创新基地,开展国家网络安全教育技术产业融合发展试验区建设,集聚网络安全人才与创新资源,加快推进网络安全学科建设和人才培养进程。这些宣传工作和培养人才措施正逐步构建起具有更高国民性的网络安全和个人信息保护法制体系。

三、推进个人信息保护国际化进程

我国在个人信息保护法律规制上坚持统筹国内国际两个大局,在国内网络安全法和个人信息保护制度逐步建立健全的过程中,积极参与国际网络空间规则制定与维护,并向世界明确中国的一贯立场,坚定维护网络安全,共同构建和平、安全、开放、合作的网络空间。

对内,我国明确对应发展方向,接轨国际法律法规,更新相关立法内容,为个人信息保护国际化进程有效推进提供支撑。2016 年,我国发布了以总体国家安全观为主导的首部关于国家网络安全工作的纲领性文件《国家网络空间安全战略》,为我国建设网络强国提供引导、明确方向,推动个人信息保护等网络空间安全建设,也向世界阐明了我国网络安全领域的原则主张。我国的《个人信息保护法》立法立足国情,借鉴国际个人信息保护制度的经验,坚持国际标准。

对外,我国重视参与国际治理,积累治理经验,展现大国担当,加快个人信息保护国际化进程步伐。近十年来,我国积极参与个人信息保护的国际治理,参加了众多联合国框架下的论坛、会议和联盟组织的网络安全国际治理研讨,也加入了联合国信息安全开放式工作组和政府专家组,并贡献建设性力量。我国在多方面、宽领域解决涉及个人信息安全保护的国际网络安全工作中,履行了大国责任。2011 年,上海合作组织成员国向联大提交了《信息安全国际行为准则》,并于 2015 年对这一行为准则进行了更新。2020 年 9 月,我国提出《全球数据安全倡议》,强调各方应在相互尊重的基础上,加强沟通交流,深化对话与合作,共同构建网络空间命运共同体,并就个人信息保护问题提出倡议,“各国承诺采取措施防范、制止利用网络侵害个人信息的行为,反对滥用信息技术从事针对他国的大规模监控、非法采集他国公民个人信息”。

四、未来展望与期待

当前,随着网络信息安全受到世界各国多维度的关注和思考,个人信息保护的法制建设方向也逐渐从具备基本的法律规范向深层次、高水平、覆盖广、有重心的方向过度。面对进一步的发展趋势,我国在个人信息保护领域的有关法律制度建设应当向纵深发展。

(一)个人信息保护法律制度仍待完善

十年来,我国个人信息保护法律制度不断得到发展,为我国信息技术、大数据技术应用及新业态发展下的公民个人信息安全提供了重要法律保障。然而,在个人信息保护法律制度的建设过程中仍存在不足,可在未来予以完善。

第一,处理机制尚有不足。虽然我国在个人信息保护方面已有专门的法律规制,国家有关政府部门和最高法院也出台了一批配套措施和指导意见,但是还需围绕法律进一步细化,制定具备较高可行性的措施办法和体系化的个人信息处理规则,并基于个人信息保护法律法规的理论内涵深入研究和解释文本,使个人信息保护案件处理机制更加完备。在针对敏感个人信息处理方面,我国《民法典》与《个人信息保护法》的适用一般采取补充式,即在隐私权法律规范无法做出有效调整的时候,才适用《个人信息保护法》的规则进行处理。这在一定程度上会造成法律适用上的困难。与美国《加州消费者隐私法案》(CCPA)和欧盟《通用数据保护条例》(GDPR)相比,我国有关法律法规对有关敏感信息的处理规则数量较少,概括性、原则性相对较强,需要进一步明确具体的适用规则。

第二,监管模式需要进一步调整与完善。在监管主体方面和主导力量上,我国目前还存在明显的立法缺位与权限划分的不平衡问题。我国虽然在立法和行政上实现了一定程度的进步,但目前还不存在个人信息方面的特殊行政监管权,现有的监管模式仍以一部门主导,多部门联合执法、清理与整治为主,联动治理的特征明显,专门个人信息监管机构缺位、现有监管机关权责范围不明确以及执法力量分散等问题都亟待解决。在监管对象方面,我国也存在一定程度的失衡,个人信息保护监管主要针对私人机构(多数为企业),重点关注私人领域的个人信息利用,对政府部门的约束相对较为松弛,因而对政府部门收集和处理个人信息的监管较弱,需要加强监管力度。

第三,问责机制较为分散。我国较为分散的立法与多头监管使问责机制不统一,在一定程度上易引发我国个人信息监管部门之间存在职权划分不明、缺乏统一管理机构的问题,导致问责机制效果较难发挥。同时,我国个人信息保护问责的社会力量参与较少,未能发挥广泛的社会监督作用,一定程度上限制了个人信息保护相关法律法规的贯彻落实。我国的各个地区经济、法制水平发展不平衡这一国情决定了我国立法需要相当的严谨性,任何法律规则的确立都需要考虑到全国整体的统筹协调,因此导致问责体系的建设进展缓慢。在责任承担方面,我国目前对民事侵权的法律责任承担的关注程度不足,造成个人信息权利主体在自我维权上存在诸多法律适用上的空白与障碍。具体来说,现有处罚力度仍有不够,个人信息权利受到侵犯后对救济渠道的规定仍然笼统模糊,存在救济渠道不明确、维权成本高等问题。

相比美国等网络信息技术较发达、对个人信息保护和网络安全有较早认识和研究的国家,我国个人信息保护法律制度建设起步较晚、研究较少,在某些领域存在不足,仍处于个人信息保护法律体系的建设中。我国在充分认识到客观上差距的同时,近年来更加重视对国际个人信息保护经验的分析与吸收,适应基本国情和国家发展时代需要,实现个人信息保护制度立法、执法、司法多层面优化。由此,未来可期。

(二)发展展望

经过多年的建设,我国个人信息保护法律呈现出两个鲜明的发展趋势。

第一,借鉴国际个人信息保护法律制度方面的先进经验,个人信息保护规定更加具体。随着世界各国加强对相关制度的建设和发展,个人信息保护越来越成为更具国际性和认可度的命题,个人信息保护规则国际化和通用程度得到提高,对未成年人等重点领域和群体的信息保护得到更多重视。我国紧跟个人信息保护领域法律发展的国际浪潮,正不断革新完善。目前,配合已有法律,更具体地保护个人信息的法律法规仍在酝酿中。例如,2021 年公布征求意见稿、被列入《国务院 2022 年度立法工作计划》的《网络数据安全管理条例》,将进一步规范网络数据处理活动,保护个人信息安全,维护国家安全和公共利益。

第二,随着人工智能、生物技术乃至量子加密技术的发展和应用,个人信息安全面临新的挑战,个人信息保护法律制度更加关注对新兴技术开发、应用的规范。在这方面,我国已经出台了《互联网信息服务算法推荐管理规定》,推动算法管理中的隐私保护;国家新一代人工智能治理专业委员会发布的《新一代人工智能治理原则——发展负责任的人工智能》,也把尊重隐私纳入人工智能治理的框架和行动指南。英国、欧盟等国家的个人信息保护也愈发关注技术细节,例如开展对人工智能的应用评估、规范 cookie 的使用等,这些规定也显示了个人信息保护法律制度下一步的发展方向。

可以预见,在加强个人信息保护和隐私合规的思考和研究下,在以比较法深化对国际个人信息保护规则认识和理解的基础上,我国个人信息保护法律制度将直面新技术带来的挑战,以保障公民合法权益和国家安全为导向,走向促进数字经济健康发展、推动信息化发展的良法善治。

(本文刊登于《中国信息安全》杂志2023年第2期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表GetTrust立场,转载目的在于传递更多信息。如有侵权,请联系删除。

相关推荐: 基于零信任架构的安全访问控制体系建设与实践

文 / 中国民生银行信息科技部  魏巍 付佳 数字化转型重塑了银行的业务模式和金融生态格局,银行的业务生态愈加开放融合,银行内部的资源(如数据、应用、系统),也随之更加开放,给银行信息安全防御带来了严峻的挑战。在此背景下,民生银行基于零信任安全架构,建设了一套…