返回上一页 文章阅读 登录

龙卫球:《个人信息保护法》的基本法定位与保护功能——基于新法体系形成及其展开的分析

更新时间:2021-12-30 16:44:44
作者: 龙卫球 (进入专栏)  

  

   摘    要:《个人信息保护法》不仅奠定了我国个人信息保护的新法基础,而且也成为数字化背景下的一部基础性立法。要真正理解和实施好这部新法,必须准确把握其体系逻辑以及与其他基本法律的关系。从实证角度而论,可依据双重基础观来解读这部新法的体系形成基础与主要诉求。一个是将该法作为与刑民基本法具有并存交叉地位的领域基本法而设计的基础视角。由此入手可正确理解其作为新兴领域基本法的规范意义及与相关基本法特别是《民法典》的适用关系。另一个是为实现保护功能而预设的基础视角。数字化背景下兴起的个人信息保护问题具有前所未有的复杂性,不能简单通过既有部门法路径加以因应,需要建立更加复杂的超越自主管理的多元治理保护系统,尤其需要针对自主管理失灵进行体系改进和提升,包括加强和完善具体行为治理规范,在必要范围内引入有强度的积极管理和严厉的特殊法律责任等外部治理新机制。通过上述双重视角,才能够更加全面地认识这部新法的基础意义和独特作用,确保在该法的实施和解释中把握住其内核和精髓。

  

   关键词:个人信息保护法;双重基础;基本法;保护功能;自主管理

   一、导言:《个人信息保护法》作为数字化时代重要的现实立法

  

   《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)于2021年8月20日颁布,贴合了我国数字化发展背景下每个人最直接最现实的利益保护需要。个人信息本身是网络信息化时代开始凸显的一种新型的颇具基础性的重要个人利益。早在2020年10月13日提请首次审议时,《关于〈中华人民共和国个人信息保护法(草案)〉的说明》(以下简称《关于〈个人信息保护法(草案)〉的说明》)就指出,“在信息化时代,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一”,“制定一部个人信息保护方面的专门法律,将广大人民群众的个人信息权益实现好、维护好、发展好,具有重要意义”。可见,《个人信息保护法》是我国置身数字化时代不可或缺的一项基础性立法。

  

   《个人信息保护法》在整个网络信息法律体系中占据最基础的位置,个人信息保护在网络领域应优先受到关注,是网络信息领域法律形成和发展的重要体现。我国在《个人信息保护法》出台之前就制定了《网络安全法》《电子商务法》《数据安全法》等法律,这些法律体现了网络信息空间不同的规范重点,但都没有成为网络信息领域法律的体系基础,《个人信息保护法》的出台才填补了这个空白。虽然对网络信息空间的言论自由、网络安全、知识产权、电子商务等利益的保护和规制也应是网络空间的规范重点,但从人本主义角度出发,由于个人信息保护的需要最为基础,所以《个人信息保护法》是最重要、最必要的法律。

  

   认识《个人信息保护法》的基础意义,必须紧贴数字化时代背景,把握其蕴含的最基本需求和根本矛盾。近十年来,随着网络信息科技的颠覆性发展,互联网从简单信息化阶段过渡到复杂数字化阶段,大数据成为了我们世界最主要的特点之一。早期互联网追求的是信息交互意义上的互联互通,当下互联网则更加追求基于移动手机、大数据、云计算、人工智能、物联网等新技术的数字资源化实践演化出的数字经济、数字社会和数字管理的繁荣前景。一方面,数据变得极其重要,世界大国开始围绕数据展开博弈,数据资源成为新的战略资源,大数据战略上升为国家战略,我国也不例外;另一方面,大数据战略驱动下的网络和数字的创新和应用,也衍生出层出不穷的问题,其中显著问题之一就是数字化发展和个人信息保护日益陷入复杂的矛盾关系。个人信息因数字化发展得以大量显现和形成,并因其具有极高数据化价值而备受产业和管理机构的青睐,但同时也伴生了大量的对个人的负面效应,特别是未经同意的个人信息处理和愈演愈烈的滥用行为对个人带来的损害或风险。著名隐私和个人信息法专家丹尼尔·索罗夫(Daniel J. Solove)和保罗·斯瓦茨(Paul M. Schwartz)指出,“我们生活在一个由技术形塑和信息推动的世界,技术设备——如移动电话、视频和音频记录设备、计算机和互联网——已经彻底改变了我们捕捉世界信息和相互沟通的能力。信息是当今社会的生命线。我们的日常活动越来越多地涉及信息的传递和记录。政府在与个人出生、婚姻、财产、法院诉讼、机动车辆、投票活动、犯罪违规、专业许可和其他活动中记录并收集了大量的个人信息。私营部门还建立了庞大的个人信息数据库,用于营销或准备信用记录……这些新技术,加上政府和企业越来越多地使用个人信息,对隐私保护提出了新的挑战。”换言之,个人信息对个人具有越来越重大的利益,个人信息也因此需要一种全新的保护。

  

   在此背景下,重视个人信息保护,将个人信息保护立法确立为一种新型领域立法,并系统性地加以规定,逐渐成为数字化时代法律的新发展趋势。据不完全统计,从上世纪70年代至今,有关国际组织和欧盟等先后出台了关于个人信息保护的准则、指导原则和法规,全世界有140多个国家或地区出台了关于个人信息保护的法律。其中,欧盟、日本、美国的个人信息保护立法最受关注,影响较大。欧盟和日本呈现出制定个人信息保护综合基本法的趋势,而美国个人信息保护的立法发展虽然也非常显著,但是从制定法而言,美国联邦层面因受到自身立法体制影响,目前仍然是碎片化地推进,不过州法出现了制定综合基本法的趋势。与相关国家或地区相比,我国《个人信息保护法》似乎有些姗姗来迟。究其原因,不是我们忽视个人信息保护的重要性,而是我国更追求水到渠成的效果。正如全国人民代表大会宪法和法律委员会在《关于〈中华人民共和国个人信息保护法(草案)〉审议结果的报告》(以下简称《关于〈个人信息保护法(草案)〉审议结果报告》)中所言:“为加强个人信息保护,维护人民群众在网络空间的合法权益,并促进信息合理利用,制定本法是必要的,草案经过两次审议修改,已经比较成熟。”此前,我国也存在应对数字经济采取谨慎立法的呼声,希望以包容创新、渐进规范的做法,给予网络和数字创新必要的窗口期。一种颇具代表性的观点认为,尽管加强个人信息保护已经成为社会共识,但个人信息保护极具争议,其基本理论问题难以定论,因此应当保持立法上的谨慎。上述呼声反映到个人信息保护上,就是希望立法不要过于严格,而应当在充分甚至优先支持网络数字化快速繁荣的条件下处理个人信息保护的需求。

  

   此次《个人信息保护法》的面世,意味着我国对数字化背景下个人信息保护的要求、范围、方式等做出了重要且系统的立法决断。当然,此前在对个人信息保护系统立法存在犹豫的情况下,我国仍针对现实突出的、亟待解决的个人信息保护问题不断适时修改或者制定相关法律,阶段性地跟进,在刑法、民法等基本法方面,都作出了相应的规定。刑事立法方面,2009年通过的《刑法修正案(七)》增加了第253条之一,规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪两

  

   个罪名;2015年通过的《刑法修正案(九)》第17条对刑法第253条之一再次修改,取消了原来的两个罪名,确立了侵犯公民个人信息罪。民事立法方面,2020年5月28日出台的《民法典》,在第一编“总则”第111条明确规定个人信息受法律保护,同时在第四编“人格权”第六章专章规定“隐私权和个人信息保护”,确立了个人信息保护的基本私法制度。比较重要的涉及个人信息保护的专门立法,则包括2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》、2016年《网络安全法》、2018年《电子商务法》、2021年《数据安全法》等。

  

   新出台的《个人信息保护法》具有划时代的意义,其与此前阶段性的努力存在重要差异。《关于〈个人信息保护法(草案)〉的说明》第一部分“制定本法的必要性”第三点对此进行了充分说明。详言之,即不再只突出支持数字化创新发展,而是明确以“促进数字经济健康发展”为目标,要求“应当统筹个人信息保护与利用,通过立法建立权责明确、保护有效、利用规范的制度规则,在保障个人信息权益的基础上,促进信息数据依法合理有效利用”,实现了从促进数字化创新发展到个人信息保护与利用并重的重要跨越。那么,应当如何解读这部立法做出的重要跨越呢?或者说如何准确认识它的基本体系和主要制度呢?与过去比较,有哪些重要的发展和变化?与其他国家比较又存在哪些重要的相同和不同之处呢?就此可谓仁者见仁,智者见智。本文拟从《个人信息保护法》的定位、功能预设等角度对其加以审视,旨在彰显其主要体系的基础,并借此反映法律体系及其功能正在发生的急剧演化历程。

  

   二、《个人信息保护法》的基本法定位及其与《民法典》的关系

  

   (一)作为与其他基本法具有并存地位的新型领域基本法

  

   《个人信息保护法》第1条开宗明义地规定了自己的基本宗旨和制定根据,“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法”。这一宣示明确将《个人信息保护法》定位为个人信息新型领域的专门法暨基本法。

  

   首先,该法的基本宗旨明确了其是个人信息领域的专门法,即属于“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用”的法律。个人信息领域是否具有制定专门法的必要,过去并非没有争议。网络立法早期,美国曾经出现过所谓的“马法之争”,以知名学者因斯布鲁克(Frank H. Easterbrook)为代表的一种观点认为,对网络领域像劳动法那样进行专门立法毫无必要,无论是从调整对象还是调整手段上看,网络法都不具备成为独立法律部门的条件,所谓网络法不过是将相关部门法的某些部分合起来罢了。这种观点遭到了网络法领域学者的反对,后者更有力地论证了网络法单独立法的必要性。后种观点认为,网络空间是一个正在快速成长的特殊空间,涌现出许多传统领域所不具有但又经常出现的法律问题,传统法律并不能调整,因此应该将网络法创设为一个新的有机整体,而不能是宪法、民事诉讼法、合同法以及行政法等法律法规中的相关内容的简单混合。随着大数据背景下信息化、数字化的不断发展,个人信息保护等问题作为需要规制的新型问题显示出越来越迫切而重大的独立立法需求,上述争议才逐渐消失了。现在,各国已不再犹豫是否出台包括个人信息保护法在内的网络信息立法,需要考虑的已变成应该如何确保相关专门立法具有适时性和合理性等新问题。欧盟在2000年的《基本权利宪章》专门设定第8条,赋予个人数据保护具有独立基本权利的品格,甚至为个人信息保护确立了宪法上的直接依据,并在此基础上制定了专门的《欧盟一般数据保护条例》(以下简称GDPR)。美国联邦和州的法律实践则采取了积极解释宪法并将其作为个人信息保护基础的做法,主流观点和判例认为美国联邦宪法第四修正案体现的隐私权应当包括对个人信息的保护,可以将个人信息归入信息隐私的范畴。我国2020年出台的《民法典》,以追求合乎“时代性”为要求,在第四编“人格权”第六章创设“个人信息保护”,确立了有关个人信息保护的基本私法制度,但很快发现依靠部门法对个人信息保护进行调整存在巨大不足,无论是从调整对象还是调整方法上看,都有必要针对个人信息保护制定一部专门的更加系统的法律,为此我国又出台了《个人信息保护法》。可见,《个人信息保护法》是对个人信息保护这一新型领域独立立法需求的积极回应。

(点击此处阅读下一页)


爱思想关键词小程序
本文责编:陈冬冬
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/130618.html
文章来源:《现代法学》2021年第5期
收藏