首页
下载应用
提交文章
关于我们
🔥 热搜 🔥
1
上海
2
习近平
3
新疆
4
鄂州父女瓜
5
乌鲁木齐
6
疫情
7
H工口小学生赛高
8
习明泽
9
芊川一笑图包
10
印尼排华
分类
社会
娱乐
国际
人权
科技
经济
其它
首页
下载应用
提交文章
关于我们
🔥
热搜
🔥
1
百度
2
今日热点
3
微信公众平台
4
贴吧
5
opgg
6
dnf私服
7
百度贴吧
8
知乎
9
dnf公益服
10
百度傻逼
分类
社会
娱乐
国际
人权
科技
经济
其它
这样的洞庭湖决堤,实在让人同情不起来
李尚福、魏凤和双双被拿下,与美国一份报告是否有关?
抗洪靠嘴,堵漏靠沙?印度官员真是绝了!
有的人走了,却永远活着
圈内疯传某谣言
生成图片,分享到微信朋友圈
2021年5月1日
2021年5月2日
2021年5月3日
2021年5月4日
2021年5月6日
查看原文
其他
完善个人信息保护立法的若干思考与建议
法律读库
2021-04-27
作者:马方飞 上海市人民检察院
作者注:
此文系《个人信息保护法(草案)》一审时所写,投稿后一直未采用。现二审在即,微调后供大家交流,共促立法完善。
当前,个人信息保护是社会公众最关注最关切的现实问题之一。无论是某某知名企业采集人脸信息、消费者戴头盔看房、圆通快递个人信息泄露等事件,还是中国“人脸识别第一案”、中信银行泄露客户个人信息被银保监会处罚等案件,亦或新冠肺炎患者个人信息泄露、APP违规收集个人信息等情况,都受到社会大众和新闻媒体的广泛关注。第十三届全国人大常委会第二十二次会议对《中华人民共和国个人信息保护法(草案)》(以下简称《个人信息保护法(草案)》)进行了审议,后向社会公众征求意见。从《个人信息保护法(草案)》内容看,立法拟由国家网信部门统筹协调个人信息保护工作,并推动构建多维度的法律责任体系,力求加大个人信息保护力度。笔者认为,从完善立法考虑,还可以从以下方面加以探讨和研究:
一是进一步细化保护对象及保护信息的范围。个人信息的敏感性与个人的年龄、职业、性别、文化教育程度、阅历、心理等因素相关,立法要对一些特殊类型的主体制定专门的规定。比如,从民事行为能力情况及保护未成年的角度,《中华人民共和国未成年人保护法》中规定:“处理不满十四周岁未成年人个人信息的,应当征得未成年人的父母或者其他监护人同意,但法律、行政法规另有规定的除外。”为与《民法典》同向而行,考虑现实性、可行性等因素,建议《个人信息保护法(草案)》第二条内容在自然人个人信息保护的基础上,可以增加涉及胎儿、死者、英雄烈士等信息保护规定。
一是个人信息有很强的关联性和权益延展性。
通过若干信息的组合研析,可以对个人和具有一定关系的人进行识别或预判。现实中,死者的遗传特征、重大遗传学疾病、性生活信息、个人癖好等具有高度敏感性。对死者延伸保护,实际上更多的是保护活人的权益,符合逝者安息、活者安宁的正向价值。如加拿大、意大利等国家规定了对死者信息的保护年限(意大利规定涉及死者健康、性生活及家庭关系的信息在70年后才可以使用)。特别是,通过死者信息,可以识别其相关家属信息,基于公序良俗等考虑也应该进行保护。
二是要贯彻落实《民法典》精神。
《民法典》充分顺应信息社会发展趋势,加大个人信息的民事法律保护,为进一步增进人民福祉提供了坚实的法治保障。贯彻落实好《民法典》,需要加大个人信息保护的民事法律保护,《个人信息保护法(草案)》第二条对保护对象或调整对象“限缩”为自然人,第四条规定为“已识别或者可识别的自然人有关的各种信息”,与《民法典》中有关规定存在差异,也不符合现实性需要。个人信息保护立法应秉承尊重和保障人民各项民事权利的要求,顺应时代发展需要。比如,地方立法《天津市社会信用条例》就作出比较科学的规定:市场信用信息提供单位不得采集自然人的宗教信仰、血型、疾病和病史、生物识别信息以及法律、行政法规规定禁止采集的其他个人信息。
三是要考虑立法的前瞻性。
现有规定不明确易引发实践中的争议。个人信息权益具有精神价值与财产价值,假若对胎儿、死者包括英雄烈士的个人信息不加以保护的情况下,则不便于权利救济。胎儿也有可识别信息,比如胎儿的影像、性别、疾病、身体特征如残缺等。胎儿信息与父母信息一起在医院等机构大量储存,需要一同加以保护。另外,一些父母、他人或机构在网络上晒胎儿信息实有不妥。对胎儿信息的侵害亦应该加以禁止,以稳预期、利长远,不应还未出生就“透明化”。
为保护数据的开发、司法的资源与效率、学术言论的自由等,避免出现台湾地区的“诽谤韩愈案”,对于死者信息区分敏感信息与否规定一段不同的保护期,而非长期永久保护。另外,经过一段时间的实践后,可以对外国人、公众人物、不同职业、特征的群体的个人信息规制进一步细化,或直接在法律责任章节中暂做概括性规定。比如,律师、房产中介等为了工作需要主动公布联系方式、工作单位及地址、基本教育情况等个人信息,则与普通人的信息有所区别,但在有关侵害个人信息案件的司法鉴定中去除还是依个案分析厘定则需要进一步研究。又如,体育、影视明星为了和粉丝互动交流公布自己的血型、身高、体重,显示个人生物信息等经同意后,敏感度降低。
又如,违法犯罪者的个人信息保护及其限制,说明被遗忘权的适用要与公共利益维护进行平衡。个人信息的范围随着时代发展不断拓展,内容将更加丰富,储存载体和具体表现形式也将更加多元,需要不断延展保护。比如,电话、微信等在将来可能被其他通讯方式替代,财产信息因金融产品、科学技术创新也会增加其他具体类别如数字财产信息。故《个人信息保护法(草案)》第二条在原有内容基础上可再补充规定:“
涉及胎儿信息权益保护的,胎儿视为具有民事权利能力。但是,胎儿娩出时为死体的,其信息权益可视为父母个人信息权益加以保护。涉及死者信息权益保护的,其配偶、子女、父母有权依法请求行为人承担民事责任;死者没有配偶、子女且父母已经死亡的,其他近亲属有权依法请求行为人承担民事责任。死者的一般个人信息保护期为三年,敏感个人信息保护期为五十年,但无保护必要的信息除外。涉及私密信息的,适用法律有关隐私权的规定。
涉及英雄烈士个人信息的,适用《中华人民共和国英雄烈士保护法》等有关法律的规定,但适用本法更有利的除外。
”
二是进一步优化公益诉讼的架构设置。个人信息保护工作需要综合治理,公益诉讼是治理途径之一而非“万能钥匙”。《个人信息保护法(草案)》在第七章规定了行政处罚、信用公示、行政内部管理和纪律处分、赔偿损失、公益诉讼、治安处罚或刑事制裁,非常全面。在国家机关中,行政职能部门是维护公益第一顺位的代表,立法也详细规定了行政机关在个人信息保护中的重要职能作用,下一步有必要对相关职能和措施进行细化,促进落地落实。《个人信息保护法(草案)》第六十六条规定了公益诉讼制度,指出人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织可以提起公益诉讼。而根据检察公益诉讼制度的定位,检察公益诉讼在维护公益方面具有协同性、督促性、补充性、兜底性等特点,参考已有检察公益诉讼的法律条文,建议《个人信息保护法(草案)》第六十六条进行适当修改。
一是坚持检察公益诉讼定位,保持立法的延续性和个人信息保护工作的体系性、层次性。
检察职权具有监督性、程序性、有限性、兜底性和协同性等特征,检察公益诉讼亦是如此。在个人信息保护方面,要发挥职能部门行政管理优势,继续赋予行政机关第一顺位维护公益的地位。为保障法律的统一正确实施,适当坚持检察公益诉讼创立以来的定位,应由检察公益诉讼进行兜底,发挥补充性优势,而不是“代替”执法超前保护。即使在行政机关不履职或履职不到位的情况下,检察公益诉讼针对侵害众多个人信息的情况制发检察建议,提起行政公益诉讼或者单独提起民事公益诉讼,具有鲶鱼效应,目的仍是协同共治,本质是法律监督。
二是借鉴个人信息保护实践,考虑检察公益诉讼的便利性。
人民检察院办理案件比如刑事案件时,对于侵害众多个人信息权益的行为,一并提起刑事附带民事公益诉讼更容易操作。对于职能部门未办理,人民检察院主动履职的个人信息保护案件,可以单独提起民事公益诉讼,有利于发挥检察机关主动履职的积极性。上海、河北、河南、湖北、云南、广西、陕西、辽宁等多地的地方性法规等已将个人信息安全纳入检察公益诉讼范围。上海等多地检察院也办理了不少个人信息安全领域的公益诉讼案件,积累了丰富的实践经验。
三是凝聚个人信息保护工作合力。
个人信息保护工作靠一家行政机关单打独斗无法完成重任,需要个人积极维权,行业加强自律,司法严厉制裁,国际同向合作等。就检察机关发挥公益诉讼职能角度看,需要明确人民检察院督促、支持起诉的职权,健全检察机关履行法律监督的工作抓手,从而发挥检察机关的法律工作优势,彰显检察官作为公共利益的代表价值。这也与《未成年人保护法》第一百零六条的体例保持相对一致。故建议《个人信息保护法(草案)》第六十六条修改为:
个人信息处理者违反本法规定处理个人信息,侵害众多个人信息权益的,履行个人信息保护职责的部门和国家网信部门确定的组织可以依法向人民法院提起诉讼。(删除了“的”、“人民检察院、”)
前款规定的机关和组织未提起诉讼的情况下,人民检察院可以
督促、支持其提起诉讼。
人民检察院依据职权
办理侵害众多个人信息权益的案件中,
可以一并向人民法院提起刑事附带民事公益诉讼或单独提起民事公益诉讼。(新增)
三是进一步明确法律后果特别是民事法律责任。贯彻落实好《民法典》,需要加大个人信息保护的民事法律保护。《个人信息保护法(草案)》设置了很多公法方面的保护措施,但私法保护不能弱,特别是法律责任中的民事责任只明确赔偿损失是一大缺漏。
一是法律责任的创设与落实是法律实施的重要保障机制。
民法、行政法、刑法等法律的协同保护已是社会共识,而《个人信息保护法(草案)》的现有规定让自然人个人难以实现私力救济,需要在《民法典》的基础上补强民事保护措施。此次立法需要明确民事责任内容而不能仅有赔偿一项内容。
二是个人信息保护领域的公益诉讼诉请不限于赔偿损失,如立法明确消除危险、惩罚性赔偿等将具有重要意义。
公益诉讼在个人信息保护工作中可以发挥预防性功能和惩罚性功能。比如,对于传统扣押犯罪工具如电脑、手机等,可以消除相应载体内的个人信息,但并不能消除储存在邮箱、网盘、聊天工具、云端等网络上的个人信息,尚有重复侵害的较大可能,可以通过公益诉讼提出恢复原状、消除危险等诉请。具体可以参考《中华人民共和国侵权责任法》第二十一条进行规定或者创设禁止令加以保护。现有刑法对个人信息犯罪规定较为严格,实践中对售卖型行为打击较多,对提供给他人(企业)使用等的非法行为的打击较为谨慎,比如很多APP不合规甚至可能涉罪。惩罚性赔偿具有惩罚和遏制不法行为等多重功能,可以在刑事司法制裁、行政管理规制之外加以适用,既可以推动刑法谦抑又符合实践,也可以实现不同法律阶梯型多层次治理个人信息侵害问题。
三是在个人信息有关的私益诉讼中诉讼请求也不限于赔偿损失,现有规定不明确易引发实践中的争议。
囿于法律责任不明确和现有举证规则,被侵权人依照《个人信息保护法(草案)》设计的条文不能实现充分救济,将会延续私益诉讼不活跃的现状。在私益诉讼难以提起或者无私益诉讼的情况下,则支持起诉制度等作用也将弱化。另,被侵权人一些敏感信息泄露还可能对被侵权人造成严重精神伤害,立法还应赋予被侵权人提出精神损害赔偿的权利。建议《个人信息保护法(草案)》第六十五条进行完善:
违反本法规定,侵犯个人信息权益的,依照《民法典》和其他法律规定承担民事责任。
认定行为人相应民事责任,应当考虑行为人和受害人的职业、影响范围、过错程度,以及行为的目的、方式、后果等因素。
受害人及本法第六十六条规定的有关机关和组织的停止侵害、排除妨碍、消除危险、消除影响、赔礼道歉等请求权,不适用诉讼时效的规定。
因个人信息处理活动侵害个人信息权益的,
按照个人因此受到的损失或者个人信息处理者因此获得的利益承担赔偿责任;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,由人民法院根据实际情况确定赔偿数额。个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任。
有关机关和组织依照本法第六十六条规定提起诉讼的,可以根据侵害众多个人信息的过错程度和影响后果等因素,提出前款规定赔偿数额三至十倍的惩罚性赔偿等诉讼请求,并由人民法院综合考虑。个人信息处理者已被判处罚金或者行政罚款等经济类惩罚措施的,惩罚性赔偿数额可以适当减少。惩罚性赔偿可以用于个人信息保护工作等公益事业。
个人信息保护立法备受关注、功在当下、利在长远。下一步,建议借鉴软件技术的研发测试,由立法部门、职能行政机关、司法机关等对历史上和现实正在发生的个案,适当考虑前瞻性,进行模拟审查处置,以寻找更多《个人信息保护法(草案)》bug。另外,个人信息除了可识别性、可复制性等特征被大众逐渐认知外,还有公开与保密交叉、不变与变化共存等特征需要深化基础研究。一些涉及跨国企业的管辖、信息的跨境流动等法律问题有待结合实践细化措施。当然,个人信息保护立法也不可能毕其功于一役,建议尽快制定出来加以实施,并随时代发展不断修正完善。
投稿转载说明
投稿邮箱:543183107@qq.com
您可能也对以下帖子感兴趣
{{{title}}}
文章有问题?点此查看未经处理的缓存