引言
个人信息处理行为规范法?
千呼万唤始出来。
2021年8月20日,在第十三届全国人民代表大会常务委员会第三十次会议期间,《个人信息保护法》获审议通过,并将于2021年11月1日起正式施行。
伴随《个人信息保护法》的正式出台,我国对个人信息的处理活动将迎来“强监管”时期。
应该说,《个人信息保护法》是我国个人信息保护领域的专门立法,但并非唯一立法。
在《个人信息保护法》正式出台前,从2000年左右开始,我国就在不同的规范性法律文件中逐步关注或提及“个人信息”保护,并初步建立起了一些相应制度,比如,特定主体对个人信息的保密义务等。
那么,回溯我国将近20余年的个人信息保护立法进程,还有哪些关键节点或重要立法要点,是值得关注的呢?
1
要点一:个人信息保护立法最早可追溯至2002年
个人信息作为法律用语,最早出现在规范性法律文件中的时间可追溯到2002年。
2002年6月26日审议通过,并于2002年10月1日起施行的《深圳经济特区人才市场条例》是我国最早提及“个人信息”的规范性法律文件。
当时制定的《深圳经济特区人才市场条例》第九条规定,用人单位在招聘活动中,“未经应聘人才本人同意”,不得擅自公开其“个人信息”。
可以看到,最早出现的个人信息保护场景指向了招聘活动,而这也是当下个人信息保护的重要领域所在。
不过,值得注意的是,按照当时的规定,从文义分析来看,求职资料和个人信息属于两类不同的内容,其中,个人信息更倾向于指向姓名、性别、籍贯、住址、身份证号等身份证上记录的个人信息。
国家法律法规数据库显示,截至目前,在文件正文出现“个人信息”字样的规范性法律文件共计411件,其中,在文件标题出现“个人信息”字样的规范性法律文件共计2件。
从法律层级来看,在文件正文出现“个人信息”字样的411件规范性法律文件中,有26件是全国人大及其常委会制定的法律,有13件是国务院制定的行政法规,有4件是最高人民法院和最高人民检察院单独或联合制定的司法解释,另有368件属于地方性法规。
由此可见,在《个人信息保护法》出台前,我国个人信息保护的立法呈现出两大特点:
其一是有关个人信息保护的一些原则、规则或机制,散落在不同的规范性法律文件中;
其二是地方性立法探索早于且多于中央层面的立法。
2
要点二:《居民身份证法》是我国首部提及“个人信息”保护的全国立法
2003年6月28日审议通过,2004年1月1日起施行的《居民身份证法》是我国首部提及“个人信息”保护的全国人大常委会立法。
《居民身份证法》第六条规定,“公安机关及其人民警察对因制作、发放、查验、扣押居民身份证而知悉的公民的个人信息,应当予以保密。”
从国家立法角度来看,最早设定的个人信息保护义务主体为“公安机关及人民警察”。
2009年2月28日审议通过的《刑法修正案(七)》首次将个人信息纳入刑事法律保护范畴,也是首次将特定侵犯个人信息的行为认定为犯罪行为。
根据《刑法修正案(七)》,个人信息保护义务主体扩大至“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”,对“出售、非法提供”以及“窃取或其他方式非法获取”等违法行为纳入重点打击范畴。
国家法律法规数据库显示,在文件正文出现“个人信息”字样的411件规范性法律文件中,从公布时间分布来看,2009年以后公布的共计350件,约占全部文件的85.16%。
简单说,自2009年起,我国涉及个人信息保护的立法全面进入“快车道”,大量规范性法律文件或多或少都对个人信息保护有所涉及或提及。
3
要点三:2009年起个人信息保护立法驶入“快车道”
制定于1983年12月8日《统计法》,分别在1996年和2009年经历了两次修正或修订。
其中,2009年的修订增加了专门个人信息保护要求。
2009年6月27日修订、2010年1月1日起施行的《统计法》第九条规定,统计机构和统计人员对在统计工作中知悉的国家秘密、商业秘密和个人信息,应当予以保密。
应该说,《统计法》增加“个人信息保护”的条款,与《刑法修正案(七)》有密切关系,在进一步细化“国家机关”的范畴。
2010年10月28日审议通过,2011年7月1日起施行的《社会保险法》设置专门条款,对社会保险领域相关主体的个人信息保护义务予以明确。
《社会保险法》第九十二条规定,“社会保险行政部门和其他有关行政部门、社会保险经办机构、社会保险费征收机构及其工作人员”负责个人信息保护义务。
2013年10月25日,《消费者权益保护法》第二次修正时,将个人信息保护的范围扩大至消费者权益保护领域。
《消费者权益保护法》第十四条规定,消费者“享有个人信息依法得到保护的权利。”
2015年8月29日审议通过的《刑法修正案(九)》,进一步强化个人信息刑事保护力度。
《刑法修正案(九)》对个人信息保护义务相对人的表述,一改《刑法修正案(七)》列举式,概括性的调整为“违反国家有关规定”。
2017年3月15日审议通过,2017年10月1日起施行的《民法总则》设置专门条款明确个人信息保护。
应该说,《民法总则》第一百一十一条有关个人信息保护的规定,不仅是后续《民法典》个人信息保护综合立法逐步完善的基础,也是《个人信息保护法》规范个人信息处理活动的前提。
2018年8月11日修订后公布《全国经济普查条例》(2004年9月5日公布并施行),明确了经济普查工作中相关主体对个人信息保密义务,包括:各级经济普查机构及其工作人员。
4
要点四:《个人信息保护法》推动处理活动迎来“强监管”时代
2017年6月1日起施行的最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《“两高”司法解释》)是我国首个对“个人信息”概念或定义予以明确的司法解释。
《“两高”司法解释》第一条规定,刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
2021年1月1日起施行的《民法典》,对于个人信息的保护,既继承了《民法总则》的立法精神,同时,又做了相应的拓展和延伸。
《民法典》设立专门章节,将个人信息保护和隐私权纳入其中。
按照《民法典》第一千零三十四条规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
应该说,《“两高”司法解释》对个人信息的界定方法、思路和做法,在《民法典》中得到了延续和确认。
而即将于2021年11月1日起施行的《个人信息保护法》,又对个人信息范围做了微调,将“匿名化处理后的信息”剔除在个人信息范围之外。
《个人信息保护法》第四条规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
通过对比可以看到,与《“两高”司法解释》和《民法典》相比,《个人信息保护法》对个人信息范围的界定采用了概括性表述,而非列举式表述。
值得关注的是,《个人信息保护法》共八章、七十四条、全文共计9074字中,共计有222处涉及“处理”,仅有不足十个条款未直接提及“处理”二字。
因此,《个人信息保护法》与其说是“个人信息保护法”,不如说是“个人信息处理行为规范法”。
由此可见,伴随《个人信息保护法》的出台,意味着个人信息处理活动将迎来“强监管”时代,包括对个人信息的收集、存储、使用、加工、传输、提供、公开、删除以及跨境流动等。
相关法条:
《深圳经济特区人才市场条例》(2002年)
第九条 用人单位在招聘活动中应当遵守下列规定:(一)不得有民族、地域、性别、宗教信仰等歧视性的规定;(二)不得向应聘人才收取押金、培训费、集资款、保证金等费用,或者以其他方式利用招聘活动牟取非法利益;(三)不得强制应聘人才提供与招聘职位无关的个人信息;(四)未经应聘人才本人同意,不得擅自公开其求职资料和个人信息,但法律法规另有规定的除外。
《居民身份证法》(2004年)
第六条 居民身份证式样由国务院公安部门制定。居民身份证由公安机关统一制作、发放。
居民身份证具备视读与机读两种功能,视读、机读的内容限于本法第三条第一款规定的项目。
公安机关及其人民警察对因制作、发放、查验、扣押居民身份证而知悉的公民的个人信息,应当予以保密。
《刑法修正案(七)》(2009年)
在刑法第二百五十三条后增加一条,作为第二百五十三条之一:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”、“窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。”、“单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
《统计法》(2010年)
第九条 统计机构和统计人员对在统计工作中知悉的国家秘密、商业秘密和个人信息,应当予以保密。
《社会保险法》(2011年)
第九十二条 社会保险行政部门和其他有关行政部门、社会保险经办机构、社会保险费征收机构及其工作人员泄露用人单位和个人信息的,对直接负责的主管人员和其他直接责任人员依法给予处分;给用人单位或者个人造成损失的,应当承担赔偿责任。
《消费者权益保护法》(2013年第二次修正)
第十四条 消费者在购买、使用商品和接受服务时,享有人格尊严、民族风俗习惯得到尊重的权利,享有个人信息依法得到保护的权利。
《刑法修正案(九)》(2015年)
将刑法第二百五十三条之一修改为:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。“、“违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。”、“窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。”、“单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
《民法总则》(2017年)
第一百一十一条 自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(2017年)
第一条 刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
《民法典》(2021年)
第一百一十一条 自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
第九百九十九条 为公共利益实施新闻报道、舆论监督等行为的,可以合理使用民事主体的姓名、名称、肖像、个人信息等;使用不合理侵害民事主体人格权的,应当依法承担民事责任。
第一千零三十条 民事主体与征信机构等信用信息处理者之间的关系,适用本编有关个人信息保护的规定和其他法律、行政法规的有关规定。
第一千零三十四条 自然人的个人信息受法律保护。
个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
第一千零三十五条 处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(二)公开处理信息的规则;
(三)明示处理信息的目的、方式和范围;
(四)不违反法律、行政法规的规定和双方的约定。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
第一千零三十六条 处理个人信息,有下列情形之一的,行为人不承担民事责任:
(一)在该自然人或者其监护人同意的范围内合理实施的行为;
(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;
(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。
第一千零三十七条 自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。
自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。
第一千零三十八条 信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。
信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。
第一千零三十九条 国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。
《个人信息保护法》(2021年)
第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
(本文作者介绍:中国政法大学知识产权研究中心特约研究员,长期关注互联网、知识产权及电子商务等相关政策、法律及监管问题。)
责任编辑:陈嘉辉
新浪财经意见领袖专栏文章均为作者个人观点,不代表新浪财经的立场和观点。
欢迎关注官方微信“意见领袖”,阅读更多精彩文章。点击微信界面右上角的+号,选择“添加朋友”,输入意见领袖的微信号“kopleader”即可,也可以扫描下方二维码添加关注。意见领袖将为您提供财经专业领域的专业分析。
