Loading
2020-11-13 17:18:00
四、自然人的权利
《个保法》(草案)开辟第四章专门规定“个人在个人信息处理活动中的权利”。对于自然人享有的权利,第44条规定自然人享有知情权和决定权;第45条规定自然人享有查阅权和复制权;第46条规定自然人享有更正权和补充权;第47条规定自然人享有删除权;第48条规定自然人享有要求解释的权利;第49条规定个人信息处理者应当建立自然人的申请受理和处理机制。
首先,笔者认为《个保法》(草案)第49条应属于个人信息处理者所应履行的义务,并不属于“个人在个人信息处理活动中的权利”,应平移至《个保法》(草案)第5章“个人信息处理者的义务”章节;其次,由于实践中常出现受限于其他法规的约束导致个人信息删不掉的情形,例如法律规定,网络日志起码要留存六个月以上;发票、账册等要保留5年、10年等。鉴此,《个保法》(草案)第47条“法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现,个人信息处理者应当停止处理个人信息。”与此同时,《个保法》(草案)还对删除权的内容做了扩充规定。然而即便如此,笔者认为当前阶段,要求个人信息处理者删除自然人的信息仍然过于困难。实际上,很多互联网公司在用户要求删除个人信息后,在表面上删除后实际上仍会保留用户信息。最后,纵观草案全文,《个保法》(草案)并未规定自然人对个人信息的可携带权,只在第45条规定了“可复制权”。可见,在权衡个人信息流通和自然人权利保障上,我国的立法思路似乎更侧重于强调个人信息的有序流动。
五、监管部门
《个保法》(草案)第56条规定国家网信部门负责个人信息的统筹工作,其他部门在各自职权范围内负责个人信息的保护和监督管理。并称前述规定的部门“统称为履行个人信息保护职责的部门”。
不同于《数据安全法》(草案)规定的“中央国家安全领导机构负责数据安全工作的决策和统筹协调,研究制定、指导实施国家数据安全战略和有关重大方针政策”,《个保法》(草案)对于监管部门仍然延续前期的监管思路,仍由网信办统筹协调,其他部门配合。其原因可能在于我国最初对个人信息的保护散落于各个部门法律法规甚至是红头文件上,导致前期诸多部门均有监管个人信息的职权,内容交错复杂,关系已经难以理清。加之随着社会变化,个人信息的内涵乃至外延都可能不断发生变化,仅规定单一的监管机构难免监管乏力。
尽管如此,规定多部门共同监管不免还是会出现多龙治水,相互扯皮或者争权的局面。拿2019年APP个人信息专项治理行动来说。工信部、网信办、公安部和市监总局在联合成立“APP专项治理工作小组”后,还是又各自单独行动,分别制定不同的专项整治计划,比如工信部还开展“APP侵害用户权益专项整治工作”;公安部开展“净网2019”专项行动;市场监督总局开展“守护消费”暨打击侵害消费者个人信息违法行为专项执法行动等。
六、个人信息跨境
《网络安全法》规定关键信息基础设施运营者的个人信息出境需要经过安全评估,此次审议的《个人信息保护法(草案)》则拓展了个人信息出境的规定,不仅将所有的个人信息出境纳入安全评估范围,还设置保护认证、签订合同等出境的新路径。
实际上,个人信息跨境一直是一个复杂的问题,该问题在金融领域特别突显。对于金融机构的个人信息出境,2016年的《金融消费者权益保护实施办法》建构了“原则禁止,以业务必需+客户同意+关联机构+保密为例外”的监管模式;而《网络安全法》则建构了“原则禁止,以经安全评估为例外”的监管模式。虽然央行在2020年新发布的《金融消费者权益保护实施办法》取消了银行内部对个人出境的监管要求,使得个人信息出境的监管统一以《网络安全法》为基准。然而,对于个人信息出境如何做好《网络安全法》所规定的“安全评估”,网信办接连发布《个人信息和重要数据出境安全评估办法(征求意见稿)》和《个人信息出境安全评估办法(征求意见稿)》,两份规范性文件作出截然不同的规定,使得个人信息出境问题至今仍然扑簌迷离。
《个保法》(草案)并未对《网络安全法》所规定的“安全评估”作出具体化的规定,在遗留问题尚未解决的情况下,拓宽规定“保护认证”和“订立合同”的路径,后续三路径如何衔接,程序如何设置值得继续追踪关注。
七、政府处理个人信息
《个保法》(草案)在第2章第3节规定:“国家机关处理个人信息的特别规定”,其中第33条规定:“国家机关处理个人信息的活动适用本法;本节有特别规定的,适用本节规定”,从而使得《个保法》(草案)不仅能规范企业的个人信息处理行为,也能规范政府机构的信息处理行为。
由于政府是为人民提供服务的机构,每个自然人从生至死都需要跟政府机构打交道,因此,政府是处理个人信息最活跃的机构,也是收集个人信息最全面最集中的机构。然后,对于政府机构如何合法收集个人信息,一直以来都没有专门的法律规定。实际上,政府在收集自然人信息上都或多或少存在不合法或者不合理的地方。比如在个人信息委托处理上,《政务信息资源共享管理暂行办法》规定各政务部门应按要求编制、维护、更新部门政务信息资源目录。由于政务信息资源目录编制工程量较大,很多政府部门常将个人信息外包给外面的第三方机构处理,并未严格评估第三方机构的资质能力。
本次《个保法》(草案)将政府机构纳入规范的主体范畴,一定程度上有利于政府部门对个人信息的规范处理。但值得关注的是,《个保法》(草案)仍然以自然人同意作为处理个人信息的基础,对于政府机构等强势部门,自然人“同意”机制是否会面临被架空的风险,值得我们继续关注。
八、法律责任
《个保法》(草案)第62条规定违法处理个人信息的,情节严重者,将被处于最高5000万元或上一年度营业额5%的高额罚款,相关负责人将处以10万以上100万以下的罚款。特别地,《个保法》(草案)公布当天,央行紧跟其后发布几大银行因个人信息问题被联合处于将近五千万元的罚款处罚,更彰显其“震慑力”。
但正如《个人信息保护法》(草案)热点问题解读(一)所述,由于个人信息的法律属性界定不明,当涉及个人信息纠纷时,要适用《个保法》(草案)还是直接适用《民法典》的侵权规定不清晰。如果直接适用《民法典》的侵权规定,《个保法》(草案)的处罚条款将可能被架空。同时,与欧洲出台GDPR的背景不同,欧洲无论设置巨额罚款还是“数字税”,更多是针对以美国为首的外企,本意是维护甚至扶植欧洲本土企业的发展。我国的巨额处罚,针对的是本国企业,行政机构一旦采用《个保法》(草案)第62条的规定,恐将会造成行业的大动荡,不利于大数据行业的发展,将与《个保法》(草案)第1条规定的“保障个人信息依法有序自由流动”相悖。因此,该条款如何适用?如何使用?使用后效果如何?都需要谨慎对待。