文禹衡,于 琳
(1.湘潭大学知识产权学院;
2.湖南省高级人民法院-湘潭大学 大数据与智慧司法研究中心)
个人信息兼有人格属性和财产属性,具备社会价值和经济价值,是数字经济社会的重要资源,开发利用个人信息能够促进我国信息化建设和数字经济发展,但不加限制的个人信息利用行为会导致个人信息滥用风险。个人信息的开发利用需要划定边界,但并不意味着要隔断个人信息流通和利用。《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)于2021年8月20日通过,是我国第一部体系化地保护个人信息的法律[1]。然而,个人信息保护立法持何种指导思想、法律框架是否建成、既往法律规则是否得到细化、个人信息的社会热点问题是否得到有效回应,这些问题都需要在深入挖掘《个人信息保护法》文本信息的基础上得出答案。
尽管国内关于个人信息保护的研究呈多元化趋势,但是关于个人信息保护法律文本的研究成果仍然不足。①特定主体的个人信息保护,例如读者个人信息保护的民法分类分级[2]、刑法保护[3]和侵权救济[4],以及儿童[5]、军人[6]和电子商务消费者[7]等主体的个人信息保护等;
②特定场景的个人信息保护,如高校[8]、国家档案局[9]、数字图书馆个性化服务[10]、读者在线服务[11]、政府数据开放[12]等场景中的个人信息保护;
③域外的个人信息保护,如美德个人信息保护立法模式比较[13]、日韩个人信息保护制度比较[14]、欧盟个人信息保护法中当事人同意的立法经验[15]等;
④个人信息保护和利用的立法,如个人信息保护的立法路径比较[16]、读者个人信息再利用立法规制[17]等;
⑤个人信息权利及其保护,如个人信息被遗忘权[18]、个人信息删除权[19]、个人信息权利保护的困境与破解[20]等。
综上所述,当前我国仅有少部分研究成果通过解读个人信息保护法草案呈现我国个人信息保护工作推进现状[21],还没有对《个人信息保护法》正式文本进行全面解构的研究成果。鉴于此,本研究拟全面解构我国《个人信息保护法》文本,呈现我国个人信息保护专门立法的框架和重点并揭示主要问题,继而有针对性地提出个人信息法律保护的完善建议。
2.1 文本选择
本文选取《个人信息保护法》(共八章,七十四条)为研究对象,其中第八章附则部分无实际意义,不纳入样本范围。根据《个人信息保护法》的章节结构,按章节代号+法律条款顺序号进行编号,大写字母A到G分别对应7个章,小写字母a、b、c分别对应章下设的节。具体内容如下:第一章“总则”编号为A1—A12;
第二章“个人信息处理规则”下设三节,编号为Ba13—Ba27、Bb28—Bb32、Bc33—Bc37;
第三章“个人信息跨境提供的规则”编号为C38—C43;
第四章“个人在个人信息处理活动中的权利”编号为D44—D50;
第五章“个人信息处理者的义务”编号为E51—E59;
第六章“履行个人信息保护职责的部门”编号为F60—F65;
第七章“法律责任”编号为G66—G71。
2.2 研究方法
本文采用统计分析法和社会网络分析法,对《个人信息保护法》文本展开体系化解读。①将《个人信息保护法》转存为TXT文本,采用Jieba库对法律文本作分词处理;
②以法律术语为标准,对分词结果进行人工筛选,剔除无实际分析价值的虚词,保留有价值的实词,完成法律文本清理工作,并利用Python进行文本词频统计;
③按照宗旨与定位、个人信息处理的基本原则、个人信息处理规则、个人信息权利、个人信息处理者义务、部门与职责和法律责任,对词频结果进行分类统计;
④分析核心词的词频统计结果,深度挖掘法律文本信息;
⑤利用Ucinet 6软件对核心词与法律条款之间的关系进行可视化呈现,结合核心词分布分析《个人信息保护法》的核心内容,探寻个人信息保护立法的完善方向。
3.1 立法宗旨
立法宗旨与定位方面的核心词在整部法律各个章节均有所涉及,从其保障个人信息权益并促进个人信息合理利用的立法宗旨中可见,其具有与《中华人民共和国网络安全法》(以下简称《网络安全法》)、《中华人民共和国数据安全法》(以下简称《数据安全法》)等的公法性质不同的公法与私法相结合的法律定位。
3.1.1 词频统计
从宗旨与定位核心词的词频统计(见表1)可知,“个人信息处理者”作为《个人信息保护法》的规制对象,出现频次最高,其次是“个人信息保护”“安全”“个人信息处理活动”,这表明个人信息保护主要通过规制个人信息处理者的个人信息处理活动来保障个人信息安全。其他词语的词频较低,但法律文本表达具有凝练、简洁的特点,能够写入正式法律条文中的词语具有不可替代的重要意义和地位。以“宪法”一词为例,其在整部法律文本中仅出现1次,且是在三审稿时新增,但“根据宪法,制定本法”为个人信息保护提供了立法依据。《中华人民共和国宪法》规定“国家尊重和保障人权,公民的人格尊严不受侵犯,公民的通信自由和通信秘密受法律保护”[22]。“宪法”一词的增加将个人信息权益上升至基本人权的高度,提升了个人信息保护的法律位阶。
表1 宗旨与定位核心词的词频统计
3.1.2 关联程度分析
笔者使用Ucinet6软件的NetDraw功能绘制宗旨与定位核心词以及单条法律条款的关系图谱(见图1),深度挖掘文本信息,揭示核心词与法律条款之间的关联程度。图1为除去孤立点后的关系图谱,核心词以红色圆形图标表示,单条法律条款以蓝色方形图标表示,图标越大,说明该节点充当“中介”的次数越多,中介中心性越大,重要程度越高;
核心词与单条法律条款的连线越粗,说明二者关联程度越大。
图1 宗旨与定位核心词与单条法律条款关系图谱
就单条法律条款而言,宗旨与定位方面的法条图标普遍偏小,说明其中介中心性低,法条与核心词的关联性不强。其中,A1的中介中心性相对较高,重点关注“宪法”“合理利用”“个人权益”“个人信息处理活动”等核心词;
其次是Ba13,关注的核心词有“个人信息处理者”“安全”“自然人”“公共利益”,说明个人信息处理者只有以维护自然人合法权益或公共利益为目的处理个人信息时,才无须取得个人同意,其具备合法性的根本原因在于维护公共利益、私人合法权益不与个人信息保护法的立法宗旨相悖。就核心词而言,“个人信息处理者”的中介中心性最高,说明其与各个法律条款之间的关联程度最高。此外,关于个人信息处理者行为规制的条文占50%以上,说明《个人信息保护法》主要以规制个人信息处理者的个人信息处理活动来实现个人信息权益保护与个人信息合法利用平衡的宗旨。
3.2 个人信息处理的基本原则
目的限制原则贯穿个人信息处理活动全过程,是个人信息处理活动最核心的原则,是个人信息保护的基石。
3.2.1 词频统计
统计基本原则核心词的词频(见表2)可知,“目的”在个人信息处理基本原则方面的核心词中词频最高,随后是“安全”“公开”“必要”“合法”“合理”。其他核心词出现频次虽少,却极有必要,如“正当”“诚信”“合法”“必要”均出自《中华人民共和国民法典》(以下简称《民法典》)[23],一并构成个人信息保护的首要原则。任何个人信息处理行为都是基于目的而展开的活动,目的不正当则行为不正当。为协调保护与利用的关系,《个人信息保护法》对个人信息处理目的进行严格限制,所确立的基本原则绝大部分围绕目的展开,“明确”“合理”“直接相关”“影响最小”“最小范围”仅出现1次,但均为目的限制原则的具体要求。另外,“准确”“完整”是质量保证原则的具体要求,“公开”“透明”是对个人信息处理者履行告知义务的方式要求。
表2 基本原则核心词的词频统计
3.2.2 关联程度分析
图2为基本原则核心词与单条法律条款的关系图谱。从单条法律条款来看,A6的中介中心性最高,说明其与基本原则方面的核心词关系最为紧密,A7、Ba17、Ba13、E51、E56、Bb28、A5、Ba27等依次排后。可以看出,个人信息处理基本原则方面的主题词集中在《个人信息保护法》的第一、二、五章。从核心词来看,“目的”的中介中心性最高,与A6、Ba23之间的关联程度较高。其中,A6规制个人信息处理者的个人信息处理活动,B23规制个人信息处理者向第三方提供个人信息行为及第三方的个人信息处理行为。可见,无论是自己使用还是向第三方提供,个人信息处理者均受目的限制原则的约束。
图2 基本原则核心词与单条法律条款关系图谱
3.3 个人信息处理规则
在个人信息处理原则的指导下,《个人信息保护法》设专章规定个人信息处理规则,共30个法律条款,篇幅占比超过1/3[1],并在这一章下设三节,依据个人信息对自然人的人身财产安全敏感程度设个人信息处理一般规则和敏感个人信息处理规则两节,同时考虑到国家不仅是个人信息处理行为的规制主体,也是最大的个人信息处理者,设专节规定国家机关处理个人信息的规则。此外,个人信息跨境提供事关国家安全,单设一章规定个人信息跨境提供的规则。
3.3.1 词频统计
统计个人信息处理规则核心词的词频(见表3)可知,“处理目的”“告知”的词频最高,其次是“公开”“处理方式”“同意”。其他词语词频虽低,但重要性不减。如,关于主体,出现了“国家机关”“不满十四周岁未成年人”“关键信息基础设施运营者”“监护人”“父母”等特殊主体;
关于同意,出现了“不同意”“单独同意”“撤回同意”“重新取得个人同意”“书面同意”等多样化同意方式。“告知”“同意”共同构成最基本的个人信息处理规则,告知后同意的目的就是信息的透明化,能够让当事人真正评估其同意的影响,真正落实个人信息决定权[14]。总体而言,个人信息处理规则以“告知同意”为核心,细分多元主体,细化同意规则,区别个人信息敏感程度,提出基于“处理目的”“处理方式”等的具体要求。
表3 个人信息处理规则核心词的词频统计
3.3.2 关联程度分析
图3是个人信息处理规则核心词与法条的关系图谱。从单条法律条款来看,Ba13图标最大,说明其中介中心性最高,与“必需”“同意”之间的关联性较高。其次是E55、Ba17、C39,其中,C39与Ba23共同关注“单独同意”“名称或者姓名”“处理目的”“联系方式”“处理方式”等核心词,说明个人信息跨境提供是一种向其他个人信息处理者提供信息的处理行为,二者在告知义务要求上达成了内部一致。整体来看,关于个人信息处理规则的内容主要分布在《个人信息保护法》的第一、二、五章,揭示出原则与规则、规则与义务三者之间的紧密关系,即个人信息处理规则受原则指导,规则也蕴含了个人信息处理者应负担的义务。
图3 个人信息处理规则核心词与单条法律条款关系图谱
3.4 个人信息权利
《个人信息保护法》细化了《民法典》《网络安全法》等法律法规的既有权利内容,并新增了个人信息可携权、死者个人信息保护等内容,初步形成了全面、系统的个人信息权利体系。
3.4.1 词频统计
统计个人信息权利核心词的词频(见表4)可知,“有权”的词频最高,表明法律赋予个人信息主体广泛的权利,具体包括知情权、决定权、限制处理权、拒绝权、可携权、更正权、补充权、删除权、说明权。同时,法律要求个人信息处理者配合上述权利的行使,如负有“及时提供”“核实”等义务。另外,“死者的相关个人信息”“近亲属”等词语体现了《个人信息保护法》对死者近亲属合法、正当利益的维护。
表4 个人信息权利核心词的词频统计
3.4.2关联程度分析
图4为个人信息权利核心词与单条法律条款的关系图谱。从单条法律条款来看,D45的中介中心性最强,说明它与个人信息权利方面的词语关联程度最高,关注的词语有“查阅”“复制”“转移”“及时提供”“有权”。其中,“转移”出现在Ba22和D45两个条文中,前者规定了个人信息处理者转移个人信息需承担告知义务,后者为正式文本新增的一项权利,即个人信息可携权。此外,D47与“删除”的关联程度最高,意味着删除权的规定主要集中在该条。《个人信息保护法》在《民法典》的基础上扩大了删除权的适用范围,为删除个人信息提供充分保护,要求个人信息处理者承担主动删除义务,在其未履行删除义务时个人有权请求其删除,并针对未满法定保存期限和技术上难以删除个人信息两种特殊情形规定了处理方式。从核心词来看,“有权”的图标最大,与其相关联的法条主要分布在第二章(B)和第四章(D)。第四章在《个人信息保护法》所占篇幅不多,但全面、完整的规定了个人信息主体权利以及权利行使的响应机制。
图4 个人信息权利核心词与单条法律条款关系图谱
3.5 个人信息处理者义务
《个人信息保护法》既规定了个人信息处理者有告知、安全保障、合规审计、安全评估、个人信息泄露通知等义务,又规定了大型互联网平台指定个人信息保护负责人、平台内部管理、接受外部监督等特殊义务,形成事前事中事后全链条的个人信息安全风险防范机制。
3.5.1 词频统计
统计个人信息处理者义务核心词的词频(见表5)可知,“告知”“取得”的词频最高,说明告知义务是个人信息处理者在处理个人信息时应当履行的首要义务。为防止个人信息泄露,法律规定个人信息处理者分别从管理、技术、组织三个层面履行安全保障义务。其中,管理性安全措施的核心词包括“内部管理制度”“操作规程”“合规审计”“个人信息保护影响评估”等;
技术性安全措施的核心词包括“加密”“去标识化”“操作权限”“安全性技术措施”等;
组织性安全措施的核心词包括“个人信息安全事件应急预案”“安全教育”“培训”等。
表5 个人信息处理者义务核心词的词频统计
除了个人信息处理者的一般性义务外,《个人信息保护法》要求三类特殊的个人信息处理者建立个人信息保护责任人制度:处理个人信息达到“国家网信部门规定数量”的个人信息处理者,负有指定个人信息保护负责人的义务;
境外个人信息处理者负有在中国境内设立专门机构或者指定代表的义务;
提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,负有成立主要由外部成员组成的独立机构的义务[1]。第三类个人信息处理者通常为大型互联网企业,其还要承担建立“合规制度体系”、制定“平台规则”、定期发布“社会责任报告”等特殊义务。此外,其在个人信息处理活动中扮演“守门人”角色,负有发现并阻止违法行为的义务,属于行政法上的“第三方义务”。
3.5.2 关联程度分析
图5为个人信息处理者义务方面的核心词与单条法律条款之间的关系图谱。从单个法律条款来看,E52的图标最大,说明其中介中心性最强,其与核心词“个人信息保护负责人”的关联程度最高。其次是E58,说明个人信息处理能力与个人信息处理者要承担的个人信息保护责任成正比,个人信息处理能力越强,个人信息保护责任越大。从核心词来看,“监督”的图标最大,其次是“告知”。整体来看,个人信息处理者义务相关词语除了集中于《个人信息保护法》第五章外,还存在于第二章及第四章中。
图5 个人信息处理者义务核心词与单条法律条款关系图谱
3.6 部门与职责
国家网信部门在个人信息保护工作中具有举足轻重的作用,《个人信息保护法》建立了完备的个人信息保护工作机制,重点强调国家网信部门的统筹协调职能,以及国务院有关部门、县级以上地方政府有关部门的个人信息保护和监督管理工作,构建了一套以网信部门为中心的个人信息保护监督管理体系。
3.6.1 词频统计
统计个人信息保护相关部门及其职责核心词的词频(见表6)可知,“国家网信部门”的词频最高,说明其在个人信息保护工作中的重要地位和作用。个人信息保护法赋予国家网信部门统筹协调职能,明确了个人信息保护的履职部门及其具体职责,规定了在执法过程中可采取的合法措施,建立了约谈制度并规定了合规审计要求,重点完善了个人信息保护投诉、举报工作机制。
表6 部门与职责核心词的词频统计
3.6.2 关联程度分析
图6为部门与职责核心词与法条的关系图谱。从单条法律条款来看,F61的图标最大,其中介中心性最强,与部门与职责方面的核心词关联程度最高。该条规定了个人信息保护部门的职责,侧重“个人信息保护宣传教育”“投诉”“举报”“测评”等。从核心词来看,“调查”的图标最大,其次是“国家网信部门”,其与C38、C40连线最粗,说明个人信息的跨境提供由国家网信部门严格把关。整体来看,个人信息保护相关部门与职责方面的规定集中分布于第六章。一般情况下,对于正常的个人信息处理活动,行政机关应当恪守法定职权,不得擅加干预,但跨境提供个人信息事关国家安全、公共安全、个人信息及隐私安全,需要由国家网信部门介入保障个人信息跨境提供的安全。
图6 部门与职责核心词与单条法律条款关系图谱
3.7 法律责任
《个人信息保护法》设置以民事、行政、刑事责任为内容的法律责任体系,针对违法个人信息处理行为加大处罚力度,并新增了限制从业的处罚条款[1]。此外,引入了个人信息保护公益诉讼制度,在个人信息侵权损害中确立过错推定原则,从根本上降低了公民的维权难度。需要说明的是,法律责任方面的核心词特点与其他方面的核心词不同,核心词词频低,与整个法律文本的其他法条关联性不强,这也与法律责任本身具有独立性、专业性特征有关。
3.7.1 词频统计
统计法律责任核心词的词频(见表7)可知,法律责任方面的核心词虽然词频不高,但种类多样。相对而言,“责令”的词频最高,共出现5次,“刑事责任”“连带责任”等核心词均出现1次,说明违法个人信息处理的法律责任以行政责任为主。其中,具体包括“警告”等声誉罚、“责令停业整顿”和“责令暂停”相关业务等能力罚、“罚款”和“没收违法所得”等财产罚。此外,既有单位罚,也有个人罚。对于违法单位,《个人信息保护法》借鉴欧盟《通用数据保护条例》的巨额行政罚款制度[24]。相较于《网络安全法》《数据安全法》对违法处理个人信息行为的处罚则有上限的规定,《个人信息保护法》大力提高个人信息处理活动的违法成本。对于单位,规定了处以五千万或者上一年度营业额百分之五的罚款上限;
对于违法个人,罚款上限为一百万。《个人信息保护法》规定了个人信息保护负责人制度,对“直接负责的主管人员和其他直接责任人员”的处罚具有明确的人员指向。虽然实行双罚制,但《个人信息保护法》依旧有所侧重,个人对个人信息法益、经济利益、社会利益甚至国家利益造成的损害、影响毕竟有限,能够造成重大损失的往往是商业行为,因此《个人信息保护法》的重点惩治不在个人。
表7 法律责任核心词的词频统计
3.7.2 关联程度分析
图7为法律责任核心词与单条法律条款的关系图谱。从单条法律条款来看,G66图标最大,说明其中介中心性最强,作为“桥梁”连接法律责任方面的核心词的能力也最强,与“责令”“改正”“罚款”的关联程度最高。该条款基本囊括了违法个人信息处理者所要承担的行政责任,并且在正式文本中继续加大处罚力度,新增了限制从业的处罚方式。从核心词来看,法律责任方面各个核心词的图标普遍偏小,说明法律责任方面的核心词中介中心性不强,与其他法条关联性低,说明其独立性、专业性较强,每个分散的核心词组背后都代表了单一制度设计。如,“过错”“不能证明”“侵权责任”等核心词代表了个人信息侵权举证适用过错推定原则,个人信息处理者如果不能证明自己没有过错,则应当承担损害赔偿责任,实质缓解了被侵权人举证困境、降低了维权难度。“众多个人”“诉讼”“人民检察院”等核心词代表了个人信息保护公益诉讼制度的确立,个人信息侵权通常表现为大规模轻微型侵害。对于单个受害人而言,由于损害轻微,所以维权意愿低,且成功的概率低、难度大,而人民检察院、消费者组织或者网信部门确定的组织相较于个人而言,维权成功的可能性更高。
图7 法律责任核心词与单条法律条款关系图谱
4.1 个人信息热点问题的立法回应模糊化
《个人信息保护法》对公民普遍关注的个人信息热点问题作出立法回应,但原则性条款居多,立法的模糊化会给司法实践带来诸多不确定性。
4.1.1 拒绝提供产品或服务的合法情形宽泛
《个人信息保护法》第十六条规定:“个人信息处理者不得以个人不同意处理其信息或者撤回同意为由,拒绝提供产品或者服务;
处理个人信息属于提供产品或者服务所必需的除外”[1]。该条是针对移动应用软件存在用户不同意个人信息保护及隐私政策就拒绝提供产品或服务的现象作出的禁止性规定,条款的后半部分规定了拒绝提供产品或服务的合法情形,即只有在用户不同意提供产品或服务所必需的个人信息的情况下,个人信息处理者拒绝提供其产品或服务才是合法的。该条款本可以使用户在不同意平台处理个人信息的情况下依旧能够使用互联网产品或服务的权利在很大程度上得到维护,但“必需”一词使规避作用扩张,权利保护功能受限,日后很可能成为个人信息处理者肆意拒绝提供产品或服务的责任规避条款。
4.1.2 自动化决策规制条款过于原则
《个人信息保护法》第二十四条是为规制由自动化决策引发的大数据杀熟、信息茧房等问题而制定的专门条款[1]。第一款要求个人信息处理者保证算法自动化决策的透明度及结果的公平、公正,但“保证”一词主观性过强,透明度没有一个明确、客观的程度标准会使个人信息处理者的义务履行达不到预期效果。此外,第一款还禁止在交易中对消费者实行不合理的差别待遇,而差别待遇是否合理缺乏判断标准。第三款规定:“通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定”[1]。该条款赋予个人信息主体算法解释权,但“对个人权益有重大影响”依旧是一个比较原则性的立法表述,个人权益受损达到何种程度属于“重大”尚未明确。
4.1.3 个人信息可携权缺乏可操作性
《个人信息保护法》第四十五条规定:“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径”[1]。根据该条款,个人信息主体可以将提供给一个平台的个人信息转移至另一平台,实现个人信息的跨平台流转,个人信息可携权的增设具有打破数据垄断、促进数据自由流通的积极意义。然而,个人信息可携权在《个人信息保护法》中还仅仅是个人信息主体的一项请求权,并且条文仅规定“符合国家网信部门规定条件的,个人信息处理者应当提供转移的路径”[1],个人信息可携权的权利客体、权利行使条件、权利行使方式、个人信息处理者的协助义务等内容都尚未明确。个人信息可携权涉及个人信息主体、个人信息处理者、新的个人信息接受者等多元主体,规定不明会造成多元主体间的价值冲突。
4.2 《中华人民共和国个人信息保护法》与其他法律不具有法秩序一致性
4.2.1《中华人民共和国民法典》与《中华人民共和国个人信息保护法》的关系定位不清
《民法典》初步规定了个人信息的定义、处理原则、处理条件、免责事由、个人信息主体权利、个人信息处理者的信息安全保障义务、国家机关工作人员的保密义务等与个人信息保护有关的内容,基本确立了个人信息保护的基本民事制度[23]。《个人信息保护法》在此基础上更系统、全面地构建了完整的个人信息保护制度。然而,自《个人信息保护法》出台以来,有关其与《民法典》的关系问题一直存在争议,有学者主张二者是特别法与一般法的关系,也有学者认为《个人信息保护法》是兼具公法与私法性质的综合性法律,与私法性质的《民法典》并非一般法与特别法的关系。《民法典》与《个人信息保护法》在有关个人信息的定义、分类等方面存在差异,面对同一问题不同规定的情况,二者关系定位不清会导致条文适用的选择困难。
4.2.2 个人信息保护相关法律规定更新不及时
虽然保护个人信息的专门性法律刚刚出台,但《中华人民共和国刑法》《民法典》《中华人民共和国电子商务法》《中华人民共和国消费者权益保护法》等部门法已经在各自的规范调整范围内规定了个人信息保护的相关内容。大数据、云计算、人工智能等新一代信息技术不断涌现,现有的个人信息保护制度更新不及时,将无法适应数字经济社会的发展。我国公民个人信息的法律保护一直采取“先刑后民”的立法路径,《刑法修正案(七)》首次增设有关公民个人信息的相关罪名后,个人信息的相关法律保护才逐渐齐备。侵犯公民个人信息罪是典型的个人信息刑法保护路径,由于理论供给的先天不足,该罪一直饱受争议,随着《民法典》《网络安全法》《数据安全法》《个人信息保护法》的出台,侵犯公民个人信息罪在公民个人信息范围等方面的规定已经与上述法律格格不入,法律规定内部缺乏一致性使法秩序的统一很难实现。
5.1 立法精细化调整,完善《中华人民共和国个人信息保护法》法律文本
如前所述,《个人信息保护法》对个人信息保护方面的社会热点问题作出了积极回应,但相关规定还不够细致完善,需作出精细化调整。以个人信息可携权为例,《信息安全技术个人信息安全规范》[25]第8.6条规定了个人信息主体获取个人信息副本的权利以及技术可行前提下的个人信息直接转移权,该条规定的个人信息可携权有以下要点:①根据个人信息主体的请求;
②转移个人信息并非个人信息处理者义务;
③个人信息转移以技术可行为前提;
④个人信息主体需指定特定第三方;
⑤权利客体包括个人基本资料、个人身份信息、个人健康生理信息、个人教育工作信息。该条基本上明确了个人信息转移权的具体内容,但仍存在权利行使限制性条款、数据格式标准、权利行使基础缺失问题。欧盟《一般数据保护条例》第二十条专门规定数据可携权,第一款明确了数据提供的格式要求,即“有组织的,通用的和机器可读的格式”,第三和第四款规定了权利行使限制,即“不适用于为执行公共利益任务或者行使数据控制者被授权的职务权限所必要的数据处理”“不应对其他人的权利及自由造成负面影响”[24]。《个人信息保护法》宜在现有规定基础上借鉴《一般数据保护条例》中关于数据可携权的规定,进一步完善个人信息可携权的具体权利内容、适用范围、权利行使限制、数据传输格式要求。
5.2 加快出台配套法规,健全个人信息法律保护体系
《个人信息保护法》的出台标志着我国个人信息保护法律体系的初步建成,但其中大部分规定都不具备可操作性,需要通过后续的立法活动继续补充与细化。因此,应当围绕《个人信息保护法》加快出台具有可操作性的配套法规,为执法活动提供指导依据,形成完备的个人信息保护法律体系。具体而言,应加紧制定《个人信息保护法实施条例》,发挥国家网信部门的统筹协调职能。《个人信息保护法》第六十二条规定,国家网信部门一方面要推进有关部门依法制定个人信息保护具体规则、标准;
另一方面针对小型个人信息处理者处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准[1]。个人信息保护相关工作部门应当在国家网信部门的统筹协调下,加快推进具体规则、标准的制定工作,确保个人信息保护制度落地实施。各地应以《个人信息保护法》为依据,结合本地实际情况,加紧出台个人信息保护地方性法规,制定具有可操作性的规范性文件,对上位法规定作出进一步的细化与补充。此外,除了新法规的制定,现有的个人信息保护法律规定也应以《个人信息保护法》为参照及时更新,以确保个人信息保护法律秩序的统一。
个人信息的法律保护是一个持续且动态的过程,《个人信息保护法》的出台仅是开端。个人信息保护法律体系已建立但未健全,旧的个人信息保护法律制度亟待更新,新的个人信息保护配套法规亟待出台。个人信息保护的法律任务依旧任重道远,后续需要继续对个人信息保护规则进行精细化调整。
猜你喜欢 词频信息处理保护法 我国将加快制定耕地保护法今日农业(2022年13期)2022-11-10东营市智能信息处理实验室中国石油大学胜利学院学报(2022年1期)2022-04-21基于词频比的改进Jaccard系数文本相似度计算内江科技(2021年8期)2021-09-13基于Revit和Dynamo的施工BIM信息处理建材发展导向(2021年13期)2021-07-28未成年人保护法 大幅修订亮点多海峡姐妹(2020年11期)2021-01-18地震烈度信息处理平台研究铁道通信信号(2018年11期)2019-01-19聚众淫乱罪的保护法益及处罚限定证券法律评论(2018年0期)2018-08-31CTCS-3级列控系统RBC与ATP结合部异常信息处理铁道通信信号(2018年1期)2018-06-0625年来中国修辞研究的关键词词频统计*——基于国家社科与教育部社科课题立项数据中国修辞(2017年0期)2017-01-31词频,一部隐秘的历史读者·校园版(2015年7期)2015-05-14