论文:《信息处理者处理个人信息的法律规制、法定职责与侵权责任》
宋才发
凤凰新闻社讯
摘要: 北京1月9日电 在“十四五”期间乃至更长的一段时期内,我国要建立健全个人数据分类管理和分级确权授权使用制度体系,建立数据资源共享和数据产权制度体系,建立健全个人信息数据保护法规体系,完善数据全流程
在“十四五”期间乃至更长的一段时期内,我国要建立健全个人数据分类管理和分级确权授权使用制度体系,建立数据资源共享和数据产权制度体系,建立健全个人信息数据保护法规体系,完善数据全流程合规和监管法律体系。法律规定信息处理者对信息权利人人格权与人格权益保护负有同等职责,对信息权利人公开信息的处理负有法定的保护职责,信息保护合规制度体系对信息处理者处理信息行为负有监督职责。法律还规定了信息处理者侵犯信息权利人个人信息权益的侵权责任,包括所应承担的民事责任、行政责任和刑事责任。由广西社会科学院主管主办的全国中文核心期刊、CSSCI来源期刊、中国人文社会科学核心期刊、RCCSE中国核心学术期刊(A)、广西优秀期刊《学术论坛》杂志,2023年第5期发表宋才发教授《信息处理者处理个人信息的法律规制、法定职责与侵权责任》论文。《学术论坛》主编林智荣,副主编戴庆瑄、刘曙华、陈梅云,责任编辑刘曙华、周青。
标准参考文献:宋才发.信息处理者处理个人信息的法律规制、法定职责与侵权责任[J].学术论坛,2023,(05):52-60.
宋才发教授系中央民族大学法学院首任院长、二级教授,湖北省有突出贡献专家、国务院政府特殊津贴专家、国家民委首届有突出贡献专家。广西民族大学特聘“相思湖讲席教授”、博士生导师;内蒙古财经大学特聘教授。
信息处理者处理个人信息的法律规制、法定职责与侵权责任
宋才发
不同类型的个人信息数据构成国家信息大数据的信息来源和组成部分,信息处理者通过海量收集个人信息数据,为国民经济建设和消费者提供高效便捷的个性化服务。个人信息保护与数据利用、数据流通与资源共享之间的调适,直接关系大数据时代数据市场和数字经济的健康发展。然而,数字经济对信息数据的依赖性愈来愈强,易放大经济系统的脆弱性,一旦数据主体掌握的信息数据遭到篡改、破坏和泄露,将会对经济社会发展造成巨大的损失。数据基础制度建设事关国家发展和安全大局,在“十四五”期间乃至更长的一段时期内,需要遵循习近平总书记关于加强“数据基础制度建设”的指示精神,按照《中华人民共和国网络安全法》(以下简称《网络安全法》)、《中华人民共和国数据安全法》(以下简称《数据安全法》)、《中华人民共和国民法典》(以下简称《民法典》)、《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)等法律规制要求,充分发挥我国海量数据规模和丰富应用场景的优势,强化信息数据安全风险评估、监测预警和应急处置,加快新时代数据基础制度体系构建,推动个人信息处理者、使用者夯实个人信息数据安全保护责任。
一、信息处理者处理个人信息的法律规制
(一)对信息处理者处理信息权利人个人信息的法律规制
海量信息数据的收集与处理引发新的法治思维。马克思在《资本论》中指出:“物的有用性使物成为使用价值。”每个人为了实现满足自己需要的目的,都必须要以其他人作为手段,但同时这个满足自身需要的过程,也会变成他人满足需要的手段。在大数据时代,海量信息数据的收集与处理不仅突破了对特定个人辨识能力的传统边界,而且使个人信息的“有效匿名化”显得越来越困难,数据中间商与信息收集者、处理者之间的责任边界变得越来越模糊 。纵观过往发生的个人信息纠纷案件,绝大多数集中于数据处理生命周期的前端,属于个人信息资源采集方面的纠纷或对个人信息资源使用方面的纠纷。但发生在数据处理链条后续环节以及处理的其他流程中的不正当竞争纠纷随着大数据市场的快速发展而不断涌现。如果说法律制度体系是一座宏伟的大厦,那么法律概念就是法律规范和法律制度的建筑材料。只有做到概念明晰、规制严明,才能使奠定其上的法律规范和法律制度行之有效。与“个人隐私”概念相比较,“个人信息”是较晚出现的概念。“个人数据”与“个人信息”原本就是两个没有实质性区别的概念,经常被法学理论工作者和法律实务者交替使用。对信息权利人个人信息的保护制度发轫于20世纪60年代初期。在个人信息数据被大量收集、处理和使用的过程中,信息处理者稍有不慎,就会给信息权利人造成各种危险甚至侵害。即便信息权利人当下还没有直接遭受经济损失和人身损害,但由于发生信息处理者对信息权利人个人信息的泄露事故,也可能因之而导致受害者未来遭遇身份盗窃、欺诈抑或其他伤害的风险。即使通过合法途径和正当手段收集的个人信息,也可能由于信息处理者在不慎分选、歧视性对待等情势下,损害信息权利人的人格尊严和人格自由。为此,在对个人信息进行实质性保护之外,还要进行防御性保护,为信息社会的每个自然人筑起一道坚不可摧的法律保护屏障。《个人信息保护法》从保护公民个人信息安全的目的出发,在个人信息处理、使用和传播,从处理规则、处理者义务以及法律责任等诸多方面确立了相应的规则。尽管个人信息是一个宽泛的概念,但是法律明确规定“不包括匿名化处理后的信息”。民事法律制度为个人信息处理者和国家党政机关处理个人信息事务作出了符合我国国情的法律规制。同时,也为信息产业发展规范了经营行为的边界,对个人信息权益保护从“积极”和“消极”两个方面予以法律规制,尤其是对敏感个人信息以及不满十四周岁未成年人的个人信息保护作出特殊规定,严严实实地给个人信息上了一把“法律安全锁”。
(二)对信息处理者处理已经公开的个人信息的法律规制
依法规范已公开的个人信息数据刻不容缓。在信息权利人个人信息被密集收集与多方流转的生态系统中,绝大多数情况下信息权利人对自己的信息被收集、处理和使用并不知情,更遑论向那些缺乏直接联系的第三方机构行使控制权。个人信息权利人与网络信息服务提供者之间存在着一条不可逾越的鸿沟,但是为了获得相应的信息服务使用权限,个人信息所有者不得不向网络信息服务商主动提供个人信息。在这个特定的背景下,信息权利人的知情同意权失去了本来的意义,自主决定权也变成了子虚乌有的东西。网络信息服务商和各类大数据掌控主体对个人信息数据的收集、处理和开发的期待值愈来愈高,集中体现在对已公开的个人数据的抓取、抢占、处理和使用上。民事法律制度规制的“已经公开的个人信息”主要包括五个组成部分:一是个人信息权利人或个人信息主体自行公开的个人信息;二是党政机关因管理职能需要对党员干部、国家公职人员登记、备案、公示的个人信息;三是政府机关及相关职能部门以合法方式予以公开的个人信息;四是司法机关、执法机关因执行公务需要公开的特定人的个人信息;五是其他已经合法公开的个人信息。譬如,政府机关公开的企业工商登记信息、司法裁判文书公开的信息通常都含有信息主体姓名、身份证号码、手机号、所任职务等个人信息,个人信息处理者和信息开发者利用上述公开信息进行处理,向社会提供信息查询的收费抑或免费服务,都可能因之而给信息权利人的人格尊严和个人权益造成侵害,进而引发意料不到的争议和纠纷。为此,《中华人民共和国政府信息公开条例》同时对“个人信息不得公开”和“个人隐私豁免公开”进行了规制。最高人民法院对“不确定的法律概念”享有解释权,在对公共利益的紧迫性、重大性进而约束隐私利益方面,人民法院一般倾向于尊重行政机关的判断。《民法典》和《个人信息保护法》对已经公开的个人信息的法律规范,通常是将其作为个人信息的一个专门类别予以规制。这些法律规制集中体现在《民法典》第一千零三十六条、《个人信息保护法》第十三条和第二十七条规定之中。这两部法律从三个层次对已经公开的个人信息作出规制:一是个人自行公开或以其他形式合法公开的个人信息;二是对公开个人信息的处理应掌控在“合理范围”、不得“过度利用”;三是个人可以通过“明确拒绝”来反对个人信息处理行为。在审判实践中人民法院认为,“搜索引擎”已成为当下司法实践中一类新的、重要的“争议类型”,当个人信息权利人提出删除信息请求后,无论是“搜索引擎”还是“百度网盘”存储的权利人的信息,信息处理者都应当责无旁贷地予以彻底删除。近年来,由“百度”等搜索系统引发的侵权案件频发,尽管审判实践已经推出不少这方面可供借鉴的判例,但由于《民法典》和《个人信息保护法》实施的时间还不太长,无论是司法人员、执法者还是相关当事人,对法律条文及其构成要件的理解还远远没有到位,因而至今未能形成较为一致的意见和共识。依法规范已经公开的个人信息数据刻不容缓,在未来立法、司法解释和法律适用的过程中,需要针对个人信息合法公开的不同情形,尤其要重视已经公开的信息中体现的公共利益价值与个人利益之间的平衡关系,为完善我国已经公开的个人信息保护和利用构建规则体系。
(三)信息处理者处理信息权利人个人信息的基本原则
合法、正当、必要和诚信是处理个人信息的基本原则。《个人信息保护法》第五条至第九条规定了个人信息处理必须遵循合法、正当、必要和诚信原则。在处理个人信息的时候,信息处理者无论如何不能违背这个原则,因为它是信息处理者处理个人信息的基本价值原则和价值判断准则。诚信原则体现了社会主义核心价值观的核心要义,是法的公平正义的具体体现,它要求信息处理者必须诚实信用地按照双方约定处理个人信息 。需要指出的是,民事法律制度只是明确了信息权利人有权限制对个人信息的处理,并没有对上述基本原则作出明确而清晰的界定和阐释。党的十九届四中全会提出要建立健全运用大数据等技术手段进行行政管理的制度规则,“加强数据有序共享,依法保护个人信息”,并要求将“个人信息数据”纳入诸如资本、土地等生产要素范畴,按要素的贡献率决定报酬的机制,以利于形成更加完善、更加合理的生产要素体系。《法治政府建设实施纲要(2021—2025年)》提出要加强大数据领域的专门立法,凡以数据形式呈现的个人信息抑或未经“匿名化处理”的个人信息数据,统一归口由《个人信息保护法》予以规制。《网络安全法》对网络运营者、信息开发者处理个人信息进行了严格规制,突出强调网络运营者收集、处理个人信息“应当经被收集者同意”,不得收集与其提供的服务无关的个人信息,应当依照与用户的事先约定处理其保存的个人信息。司法实践证明“后法优于前法”。《个人信息保护法》吸取了立法的经验教训,在内涵上作出了比以往法律更为确定、具体、明确的规制。需要指出的是,上述处理个人信息的“必要性原则”,源自法律的“比例原则”,个人信息处理行为反映了《民法典》“禁止过度”的基本原则和基本要求。在未来的个人信息处理实践中,要倡导和践行“适用必要性原则限制个人信息处理行为”,“个人信息处理的范围、数量应当与该处理目的相匹配或成比例”,以实现个人信息多元利益的综合平衡。
(四)信息处理者依据处理不同的信息而承担不同的义务
信息处理者负有“取得个人同意”和“明确告知”义务,这是信息处理者为订立、履行、处理个人信息的契约所必需,为履行信息处理者的行为规范和法定职责所必需。党政机关处理公民、党员、党员干部的个人信息,同样应当履行“告知义务”,必须严格遵守国家法律、行政法规规定的权限和程序。民事法律制度和数据信息安全法律制度对信息处理者处理个人信息所应承担的义务进行了严格规制,但由于《民法典》和《个人信息保护法》等法律没有对个人信息收集者、个人信息储存者、个人信息处理者、个人信息控制者作出明晰的界定,也没有对个人信息处理者和国家机关信息处理者作出明确而合理的区分,因而法学理论界一般习惯地把它们统称为个人信息处理者。由于信息权利人的个人信息权益并不像个人隐私权那样属于信息所有者的“绝对权”,因而《个人信息保护法》第十三条在强调个人信息处理者处理个人信息需要取得个人同意的同时,还规定了信息处理者在没有征得信息权利人同意的情况下,可以独立处理相关个人信息的例外情形,概括起来共有七个方面的例外情形。在处理个人信息的过程中,个人信息处理者只要有这七个方面例外情形之一的,就不需取得个人同意。除了出现民事法律制度规定的例外情形和法定情形,个人信息处理者仍然要履行民事法律制度规制的义务规定和程序规定,向个人信息权利人或信息所有者履行明确告知义务。除此之外,个人信息处理者还应当自觉履行《个人信息保护法》规制的“特定义务”。譬如,拒绝任何未经信息权利人授权同意的非法访问,防范和杜绝个人信息被泄露、篡改和丢失。民事法律制度规定了对被侵权人权利救济的方式,除了进行精神损害赔偿,由于个人信息可以进行商业化利用,因而权利救济可以采用财产救济的方式进行,主要是进行财产损害赔偿。
二、信息处理者处理个人信息的法定职责
(一)信息处理者对信息权利人人格权与人格权益保护负有同等职责
只有能够独立自主地决定信息处理目的、处理方式的组织或者个人,才是法律规制的信息处理者。按照他人策划、组织、决定的信息处理目的、处理方式开展信息处理活动,只能说是受托处理个人信息的受托者。需要指出的是,无论是《民法典》,还是《个人信息保护法》,立法的宗旨和目的都不是为了解决信息权利人的自主决定权问题,而是为了“防范抽象的人格侵害或财产侵害的危险”。除此之外,在海量的信息收集、储存、处理实践活动中,还有许多信息爱好者、志愿者和共同处理者参与其中。由民事法律制度规制的个人信息共同处理者指的是在处理个人信息问题上具有共同的意志和共同的行为,这也是判别和确认“共同处理者”的基本标准。当然,《民法典》和《个人信息保护法》不只是规制了个人信息处理者对信息权利人人格权与人格权益的保护职责,事实上也作出了国家机关作为公权力信息处理者所应承担的保护职责,两者在保护信息权利人人格权与人格权益义务上具有高度的一致性。譬如,《个人信息保护法》第三十三条规定,“国家机关处理个人信息的活动,适用本法”,这就意味着即使国家机关行使公权力,同样要接受《个人信息保护法》的规范和调适。国家机关处理公民个人信息行为分为两大类:一类是公法关系中的个人信息处理,如政府机关依据法定权限、履行法定职责进行个人信息处理;另一类是私法关系中的个人信息处理,如政府机关订立买卖、劳务、机关事务等委托合同。针对群众反映强烈的“一揽子授权”“强制同意”等共性问题,民事法律制度规定个人信息处理者不得过度收集个人信息,不得以个人不同意为由拒绝提供产品或者服务,并赋予个人信息权利人“撤回同意”的权利。尽管《个人信息保护法》对国家机关处理个人信息作出了“一法规制”“一体调整”的制度安排,但国家机关为履行法定职责,在行为性质、归责机制等诸多方面与个人信息处理者事实上存在着巨大的差异性。譬如,国家机关处理个人信息的活动具有行政性、高权性和强制性,其行为呈现典型的行政强制性特征,对国家机关处理个人信息活动的法律调控既要适用民事法律制度的基本规制框架,又要引入行政行为合法性分析框架,从权限合法、内容合法、程序合法等维度,对行政机关处理个人信息的活动进行合法性管控调适,尤其要引入相应的行政法律职责和归责机制。鉴于个人信息共同处理者在处理个人信息中所达成的“合意”,在确认对信息权利人人格权与人格权益保护职责以及造成侵害的时候,应当认定其为共同责任人,依据《民法典》第一千一百六十八条至第一千一百七十二条的规定承担连带责任。
(二)信息处理者对信息权利人公开信息的处理负有法定的保护职责
强化国家机关对信息权利人公开信息处理的保护职责。收集处理个人信息的专门机构以及个人信息处理者开展个人信息处理活动的目的只有一个,就是实现为广大民众提供个性化、便捷化的信息服务。党政机关、行政职能部门处理个人信息的目的是履行其法定职责、服务民众,适应党政机关和行政职能部门工作的需要。各级政府的行政机关处理个人信息行为,由于具有显著的高权性、强制性和服务性特征,因而政府机关处理个人信息通常并不以个人同意抑或授权为基础。《个人信息保护法》第三十四条通过法律授权方式,把国家机关的法定职责扩展到包括国家法律、行政法规规定的职责范围内,可以说这种授权“依然是在法律保留原则的指引下展开的”,尽管《个人信息保护法》强调“一法规制”“一体调整”,但由于《个人信息保护法》的立法较为仓促,法律规范的相关内容存在严重缺失,以至于法律规定的国家机关“适用本法”,不适当地沦为“象征性立法”。由于政府信息网络平台是国家最大的个人信息收集、处理平台,政府机关是最大的个人信息数据掌控者、处理者、发布者和使用者,在政府机关职责范围内对信息权利人公开信息的处理稍有不慎,抑或由于体制机制存在漏洞、工作环节上出现疏忽,往往会给信息权利人的人格权造成无法弥补的侵害,给信息权利人的人格权益造成难以估量的损失。因此,有必要从法律规范、体制机制、督查程序等方面,强化国家机关对信息权利人公开信息处理的保护职责。《个人信息保护法》对信息权利人已经公开的信息予以保护的法源,既来自相关法律所提供的规范硬约束和国家机关履行保护职责的硬规定,还来自中华传统法文化(尤其是“公序良俗”)的软约束。《个人信息保护法》对信息权利人公开信息的处理活动具有规范和指引的作用,其功能不只是局限于通常所论及的权利与义务的一致性,还首次明晰了国家机关全方位保护信息权利人个人信息的职责,为信息权利人提供全方位的个人信息保护和多渠道的救济方式。
(三)信息保护合规制度体系对信息处理者处理信息行为的监督职责
强化大型信息数据处理平台在个人信息保护中的责任。随着强大网络效应接踵而至的大型信息数据处理平台,既可能利用自身独占性的信息资源优势,采取不正当竞争手段对商业用户实施“市场准入壁垒”,干扰和影响电子商务正常的竞争秩序;也可能凭借自身的信息资源优势地位侵害终端用户的合法权益,阻碍和制约国家大数据的信息共享。为了强化大型信息数据处理平台在个人信息保护中的责任,引导并督促其更好地发挥信息资源共享的作用,需要尽快建立健全个人信息保护合规制度体系,激活数据要素潜能,做强、做优、做大数字经济。《个人信息保护法》第五十八条规定,提供重要互联网平台服务的个人信息处理者,应当遵循公开、公平、公正的原则,依法依规制定互联网信息平台运作规则;依法明晰平台内部信息产品或者信息服务提供者,处理个人信息的规范和保护个人信息的义务;定期发布个人信息保护社会责任报告,接受社会监督。“守门人”应当成立“主要由外部成员组成的独立机构”行使监督权,因为只有不受企业利益牵连和约束的“独立机构”,才有可能依法对个人信息保护状况进行有效的监督。如果把《个人信息保护法》第五十二条和第五十八条的规定一并进行比较分析,就会发现立法者的本意是要求“守门人”既要指定“个人信息保护负责人”,又要成立同信息处理与利用企业脱钩的“独立机构”,对个人信息的保护状况进行实时监督。尽管两者的职能彼此存在一定的重叠,两者关系也有待进一步厘清,但《个人信息保护法》第五十八条的规定确实具有重要的价值和意义。一方面,它对“重要互联网平台”作为特殊的个人信息处理者所应承担的特殊义务作出了明确规制;另一方面,它对“重要互联网平台”作为特殊的个人信息处理者应履行的职责进行了规制。
三、信息处理者处理个人信息的侵权责任
(一)信息处理者侵犯个人信息行为的民事责任
民事责任规定对个人信息权益保护具有独特的优越性。《民法典》第一百二十七条规定,要依照有关规定对信息数据和网络虚拟财产予以保护。这就从立法体系上为未来信息数据、网络虚拟财产权属的确立预留了立法空间,凸显了《民法典》立法体系的前瞻性,完善数据权属、对数据分类分级进行保护的立法精神和制度安排。《民法典》对侵害个人信息权益行为的规制方法是承担民事责任,如第一千一百六十五条至第一千一百六十六条的规定就确定了信息处理者处理个人信息的“民事责任归责原则”,其包括过错责任原则、过错推定原则和无过错责任原则三种类型。就信息处理者侵犯个人信息行为的归责而言,适用过错推定原则和无过错责任原则必须依照法律规定进行,即有法律特别规定的,才可以适用其归责原则;法律没有明确规定的,不可以适用其归责原则。相比较而言,《个人信息保护法》的核心要义是要求国家对个人信息处理者大规模、持续性处理个人信息的行为进行法律控制,其目的在于控制信息处理者的信息处理活动,给信息权利人造成不应有的侵害风险,并且给人格权与人格权益受到侵害的个人提供法律救济。《个人信息保护法》第六十九条对信息处理者保护个人信息权益的民事责任进行了规制,其规制的内容和范围相对于刑事责任、行政责任而言,民事责任的规定对个人信息权益保护更具有其独特的优越性。这主要体现在违法行为人承担的民事责任,主要是向个人信息受害者承担责任,制裁手段主要是经济财产赔偿,将违法行为人承担的财产责任直接对受到侵害的权利人给付,尽量填补其所遭受的损失。因而,我国民事责任保护对私权利的救济是最能体现法律公平公正、直接有效的救济方式。在个人信息处理与利用中的“第三人”,可能通过不同路径从信息处理者那里获得信息权利人的信息,也可能通过非法入侵信息处理者的数据库而获得他人信息。无论是通过何种方式和手段获得个人信息,其侵权行为都可能导致信息权利人遭受隐私权、生命权、社会歧视等人格权益损害和财产权损害。受害人诉请损害赔偿的基础包括侵权责任、违约责任及个人与信息处理者的信托关系。侵害信息权利人个人信息权益已成为当下最普遍、最严重的一种侵权类型,第三人介入侵权就是一种最广泛、最典型的侵权形式。当信息处理者与第三人合谋滥用信息权利人个人信息实施侵害时,其行为构成法律上的“共同侵权”责任,应当依据《民法典》第一千一百六十八条的规定承担连带责任。当信息处理者诱使抑或促成第三人实施侵权行为时,就要依据《民法典》第一千一百六十九条的规定,将其行为定性为“教唆、帮助他人实施侵权行为”,应当与行为人一起承担连带责任。在现实生活中,信息权利人个人信息权益面临的侵害风险源,既包括来自私人机构的信息处理者,也包括来自国家机关的信息处理者,这两者都是大规模、持续性处理个人信息的处理者,因而民事法律制度对这两种风险源进行了严格规制。信息处理者承担侵权责任形式主要有停止侵权、赔礼道歉、消除影响抑或恢复名誉和赔偿损失,侵权行为造成财产损失抑或严重精神损害,被侵权人向法院起诉的应当履行精神损害赔偿。国家机关工作人员因公处理个人信息、执法人员执行公务造成被侵权人财产重大损失的,按照相关法律规定实行国家赔偿。《个人信息保护法》还规定了个人信息共同处理的责任承担方式,即个人信息处理者在共同处理个人信息的时候,给信息权利人个人信息权益造成损害的,应当依法承担连带责任。作为损害赔偿责任保护对象的个人信息权益,在性质上通常被认定为人格权益。共同处理者承担的连带责任,在这里指对处理个人信息造成的财产损害或精神损害的连带赔偿责任。共同处理者对共同处理个人信息中相互之间的权利义务的约定属于内部约定,共同处理者在向个人信息权益侵害的受害人承担赔偿责任后,适用《民法典》关于连带赔偿责任的追偿与分摊的规定。
(二)信息处理者侵犯个人信息行为的行政责任
行政责任规定是保护个人信息权益的重要法律方式。国家党政领导机构、政府行政管理机构、司法机关的审判执法机构都承担着大量公民个人信息的分拣、处理职责和任务,它们是面最广、量最大、最权威的个人信息处理机构和信息处理者。譬如,政府行政管理机构为履行法律赋予的法定职责,在处理政府公务和行政事务的过程中必然会涉及各方面信息所有者的个人信息;政府机关的公务员在执行公务的活动中也必然会涉及行政权与相对人的权利关系问题。由民事法律制度规定的“相对人权利”是指公民在个人信息上所承载的权利和利益,包括宪法赋予公民的人格尊严、平等、通信秘密等方面的权利,民法赋予公民的个人隐私、人格权等方面的权利,行政法赋予公民的知情权、同意权、查询权等程序性权利。无论是私人机构的个人信息处理,抑或是政府行政管理机构的个人信息处理,个人的私密信息适用隐私权保护规定,没有规定的适用个人信息保护规定。对尚未合法公开的个人信息的处理遵循合法、正当、必要原则,《民法典》规定“不得过度处理”。在国家党政领导机构、政府行政管理机构承担行政职务的工作人员对因公知悉的个人隐私和个人信息,不得向他人非法有偿提供抑或无偿提供。《个人信息保护法》第六十六条对违法处理个人信息、未履行个人信息保护义务的违法行为,设定了行政处罚责任、信用监管责任以及侵权赔偿责任三种责任形式。譬如,其中的行政处罚责任就包括给予警告、没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务,对直接负责的主管人员和其他直接责任人员处以罚款,尚不构成犯罪的由公安机关没收违法所得。互联网信息数据平台是信息权利人个人信息保护的关键环节,需要依据《网络安全法》《数据安全法》的规制,为信息权利人个人信息保护承担更多的法律义务。国家执法部门和政府机关应当依法对互联网信息数据平台进行监管,严肃对待违法处理个人信息的服务提供者。国家设立的各级网信部门要根据当地个人信息保护工作的实际情况,在各自职责范围内承担相应的个人信息保护和监管、统筹协调等责任,提升信息数据网络综合治理能力和数据治理水平,助力网络强国、数字中国、智慧社会建设。属于国家机关不履行法律规定的个人信息保护义务的,由其上级机关责令改正,对直接负责的主管人员和其他直接责任人员给予处分;属于国家机关工作人员玩忽职守、滥用职权,尚不构成犯罪的给予纪律处分抑或行政处分。应当肯定,行政责任对于保护自然人的个人信息权益是极为重要的一种法律方法。但是,需要指出的是,行政责任保护信息权益的出发点和落脚点是强制违法行为人向国家承担法律责任,包括罚款、约谈等行政举措和刑罚等公法管制措施,并没有给被侵害的信息权利人提供有效的救济途径,其罚款、罚金都是上缴国库而非对受害人的给付。鉴于司法实践对“未来损害”的认定持“相对保守”的态度,有必要提出和凸显“损害的预防胜于损害补偿”的执法理念,明确重构数字经济时代信息侵权的“损害”要件,将风险损害以及人格减损等确认为法律上可予赔偿的损害。
(三)信息处理者侵犯个人信息行为的刑事责任
刑事责任规定是保护个人信息权益最有效的责任形式。近年来,信息数据被称为驱动数字经济发展的新动能,其中最具价值的部分就是个人信息数据。与此相伴生的个人信息数据损害,就是指非法处理信息权利人个人数据的行为,造成信息权利主体的数据不安全状态,致使其面临人格减损、财产损失抑或承受相应的风险。追究刑事责任对于个人信息权益保护来说是最有效的责任形式和法律方法。但是也要看到,“重刑事处罚与行政监管、轻民事确权与民事归责”的个人数据法律保护手段在我国已经形成了积重难返的惯性,执法机关习惯于以行政监管和刑事处罚的方式对情节严重的侵害个人数据行为予以规制。尽管这种公法监管手段在一定程度上能够震慑和预防侵害行为的发生,但它终究是具有一定局限性的、无法实现长效作用机制的处置手段。网络的迅猛发展为公民发表意见提供了便捷的途径,人民群众的信息自由、言论自由得到了空前的法律保障。但是,社会上也有极少数人歪曲理解“信息自由”和“言论自由”,非法利用网络传播的快捷渠道,在互联网上编造虚假信息和故意传播虚假信息,严重地干扰了正常的生产生活秩序,必须利用法律进行规制和惩治。为此,《中华人民共和国刑法修正案(三)》增设了编造、故意传播虚假恐怖信息罪。《中华人民共和国刑法》(以下简称为《刑法》)第二百九十一条之一规定对犯“编造、故意传播虚假恐怖信息罪”,处三年以下有期徒刑、拘役或者管制;造成严重后果的,处三年以上七年以下有期徒刑;《刑法》把“编造、故意传播虚假恐怖信息罪”的适用范围,由人们的现实生活空间扩展到了网络空间领域。《刑法》第二百五十三条之一规制了侵犯公民个人信息罪,违反国家有关规定向他人出售或者提供公民个人信息,情节严重的处三年以下有期徒刑或者拘役并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑并处罚金。国家机关公职人员在履行职责或者提供服务过程中,将获得的公民个人信息出售或者提供给他人的,依照前款的规定从重处罚。
四、结 语
数字安全是数字中国建设和数字经济发展的重要基础。当人类进入信息社会后,信息便成为维系社会生活的基本要素。信息时代与智能时代的首要特点是信息规模化、批量化,以网络平台为代表的运营主体因而获取大量的个人信息。《民法典》在保护个人信息权益的同时,也设定了个人信息合理使用制度。个人信息权益面临侵害的风险源主要来自私人机构和国家机关,二者都是大规模、持续性处理个人信息的处理者,需要对这两种风险源进行法律规制。个人信息处理者之所以能够成为法律上的特定主体,是因为预设的前提,即该主体有能力保护个人信息安全、防范个人信息风险。因而数据运营商必须严格遵守相关法律规制,承担保护他人数据安全的法定责任。《个人信息保护法》第六十九条规定了对个人信息权益保护的主要方法(即民事责任的法律保护)。相较于刑事责任、行政责任在保护个人信息权益中的地位和作用,民事责任的保护显然更具优越性。笔者认为侵犯公民个人信息罪的设置过于注重预防功能和个人信息分级分类制度,已经成为司法裁量与应然规范出现偏离的重要原因。在全球网络安全形势不容乐观、个人信息行政法保护体系和民法保护体系逐步完善的背景下,《刑法》未来完善侵犯公民个人信息罪的立法和修法方向应当高度重视调整定罪标准和细化敏感个人信息类型两个方面,侵犯公民个人信息罪的行为方式包括非法获取、出售和提供信息服务。由于已公开个人信息具有识别特定自然人的功能,因而《刑法》同样保护已经公开的个人信息,其理论基础源自“信息自决”原则。
责任编辑檄文