1、情报资料工作 2023年5月第44卷第3期个人信息保护法 的立法价值、法理向度与法治理念*王协舟1,2李奕扉1(1湘潭大学公共管理学院湖南411105;2中国人民大学档案事业发展研究中心北京100872)摘要:目的/意义解读 个人信息保护法,领悟其立法价值、法理向度与法治理念。方法/过程文章以 个人信息保护法 为研究对象,分析其立法文本,理解其如何设计个人信息权利、平衡多方利益关系、规范信息处理行为、统一国家监管体系、明确法律适用空间。结果/结论 个人信息保护法 展现人民性的立法价值,直面个人信息保护问题,赋予信息保护权利,协调多方信息利益关系。个人信息保护法 体现时代性的法理向度,适配信息与
2、主体类型差异,提升法律效用;落实监管,设立监管部门,划定监管空间,规范监管举措,维护法治秩序。个人信息保护法 彰显开放性的法治理念,强化域外适用法律效力,衔接国际轨道,确立对外主张;构建域内社会共治格局,夯实社会共治基础,明确社会共治规则。关键词:个人信息保护法 个人信息保护信息安全The Legislative Value,Jurisprudential Dimension and Rule of Law Concept ofthe Personal Information Protection LawWang Xiezhou1,2Li Yifei1(1School of Public Ad
3、ministration,Xiangtan University,Hu nan,411105;2Archival Undertaking Development Research Center,Renmin University of China,Beijing,100872)Abstract:Purpose/significance To interpret the Law on the Protection of Personal Information in a doctrinal wayand comprehend its legislative value,jurisprudenti
4、al orientation and rule of law concept.Method/process To analyze the legislative text of the Law on the Protection of Personal Information as the object of study and understand how itdesigns the rights of personal information,balances the relationship between multiple interests,regulates the behavio
5、rof information handling,unifies the national regulatory system,and clarifies the space of legal application.Result/conclusion The Personal Information Protection Law takes humanity as its legislative value,deal the issue of personal information protection directly,give the right to personal informa
6、tion protection and coordinates the relationship betweenmultiple information interests.The Law on the Protection of Personal Information reflects the jurisprudential orientationof the times,adapts to the differences of information and subject types,and enhances the effectiveness of the law;implement
7、s regulation,clarifies regulatory departments,specifies regulatory space,regulates regulatory initiatives and maintains the order of the rule of law.The Law on the Protection of Personal Information manifests the open concept of ruleof law,strengthens the legal effect of extraterritorial application
8、,connects with the international track,and establishesexternal claims;builds the pattern of social co-governance in the region,consolidates the foundation of social co-governance,and clarifies the rules of social co-governance.Keywords:the Personal Information Protection Lawpersonal information prot
9、ectioninformation securityDOI:10.12154/j.qbzlgz.2023.03.005*本文系国家社会科学基金项目“重大公共卫生事件中弱势群体的应急信息获取研究”(项目编号:20BTQ061)的阶段性成果之一。理论探讨42情报资料工作 2023年5月第44卷第3期1引言“春发其华,秋收其实。”我国一直高度关注个人信息保护的立法工作。源起2001年8月,国家成立国家信息化领导小组,下设国务院信息化工作办公室,负责个人信息保护法立法研究工作。2012年11月,党的十八大首次提出“健全信息安全保障体系的战略目标”,绘制个人信息保护未来发展的宏伟蓝图。2014年2月,中
10、央网络安全和信息化领导小组成立。2020年8月,个人信息保护领域基础性立法的目标纳入国家“十四五”规划纲要。在历经创立小组、确立目标、改组机构、纳入规划等一系列重要决定后,个人信息保护立法研究工作终于突围破局并开花结果,2021年8月20日,第十三届全国人大常委会第三十次会议表决通过 中华人民共和国个人信息保护法(以下简称 个保法),并于2021年11月1日起施行。这是我国第一部专门、系统的个人信息保护方面的法律,开启了我国个人信息保护新征程,具有里程碑意义。几乎与此同时,法学、图书情报学界持续关注国家战略布局,一直围绕个人信息保护及其立法等方面展开研究并先后取得丰硕成果。譬如,周健1论述确保
11、国家和公共利益的前提下依法保护公民个人信息的必要性;齐爱民2分析个人信息的人格利益属性,提出“个人信息控制权”的概念;王岩和叶明3提出,为促进个人信息的流动更为安全便捷,要针对个人信息以及重要数据重点监管,推动实现个人信息跨境流动的合法事由多元化,对企业数据保护能力进行认证;王利明4提出,由于个人信息具有集合性、可利用性、自动处理性等性质,因此有必要在立法上制定专门的 个人信息保护法,对个人信息予以全面保护;张新宝5提出,为构建与数字时代相适应的个人信息保护路径,可强化网络平台等大型在线企业的治理,赋予其“守门人”的义务,帮助行政机关发现或阻止违法行为。数据和信息安全是国家安全的重要组成部分,
12、且与每个人的切身利益息息相关。因此,站在两个“一百年”奋斗目标的历史交汇点上,从学理角度认真学习、深刻领会 个保法 的法旨,对于我们慎思明辨、求实笃行、总结经验具有很重要的现实指导意义。2人民性:个保法 的立法价值“治国有常,而利民为本。”习近平总书记指出,“国家网络安全工作要坚持网络安全为人民、网络安全靠人民,保障个人信息安全,维护公民在网络空间的合法权益”。个人信息保护不仅是网络安全工作的关键任务,更是满足人民现实需求的重要一环,然而,当下个人信息违法活动仍然猖獗。2023年3月2日,中国互联网络信息中心(CNNIC)第51次 中国互联网络发展状况统计报告 显示,截至2022年12月,我国
13、网民规模达10.67亿,互联网普及率达75.6%,而在网民遭遇各类网络安全问题的比例中,遭遇个人信息泄露的网民比例最高,达到19.6%6。可见,个人信息泄露已然成为一个全社会都不可忽视的问题,是众多网民的心头之患,因而利用国家强制力为个人信息保护立法,解决个人信息安全问题,则成为广大人民最关心、最迫切、最现实的个人信息保护需求。2.1直面个人信息保护问题一是在立法目的上回应问题。如前所述,个人信息保护是必须回应的现实问题,个人信息法治化迫在眉睫。而 个保法 第一条便旗帜鲜明地指出,其立法“为保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法”7。首先,该条将“保护
14、个人信息权益”置于首位,即明确 个保法立法首要目的是以民为本,保护人民信息权益、化解个人信息保护困境;其次,个保法 采用的是“规范个人信息处理活动”这种广义概念,这意味着 个保法 将统筹规范所有个人信息处理活动,同时为各领域个人信息保护专门立法立规工作提供重要借鉴;再次,“促进个人信息合理利用”可以显示出 个保法 有意协调个人信息保护与合理利用的冲突,既站稳实现人民权益保障这一落脚点,又助力个人信息合理利用,匹配人民群众对美好生活需求与数字经济建设发展的需要;最后,个保法 将宪法法旨作为基本遵循,做到“依宪立法”,体现宪法精神与价值,集中体现党和人民意志。二是在立法内容中解决问题。在 个保法
15、的立法内容中,其主要从“立法有效”与“执法有据”来解决个人信息保护问题。首先,个保法 翔实阐述个人信息权利、个人信息安全事件处理方案、个人信息保护履职部门工作内容等,注重个人信息保护的“效”,即确保立法实效、保护成效与工作质效,以有效帮助个人自主行使权力、有效保护个人信息权益、有效救济个人信息权益损害、有效发挥监管部门职能等;其次,个保法 包括个人信息处理规则、信息处理者义务、法律责任等,着眼于个人信息保护的“据”,即划定个人信息处理活动合法界限、明确信息处理者对个人信息的保护责任、理论探讨43情报资料工作 2023年5月第44卷第3期建立违法活动惩罚机制,以规制个人信息处理者对个人信息采取的
16、处理行为,亦为监管部门履行监管职责、惩处违法活动提供依据。2.2赋予个人信息保护权利立法要切实保障人民权利。长期以来,个人信息是否应当赋权饱受争议。否定论的学者认为,个人信息本身只是一种可以用来识别某个人的事实或记录,并不当然地应该由个人拥有或控制8;肯定论的学者则认为,不赋权将阻碍个人信息的保护与利用9;并且,民法典 也仅采取“个人信息权益”的措辞,并未明确个人信息权利的问题。个保法 则正面回应了这一问题,在第四章详细阐释个人在个人信息处理活动中的各项权利,明确为个人信息赋权,唤醒人民法治意识,引导人民运用法治方式捍卫自身信息权益,也为人民参与信息处理活动提供法律保障。一是打造个人信息基本权
17、利体系。首先,为落实个人有权知悉个人信息处理情况、决定个人信息处理方式,个保法 在第四章明确、全面地阐述个人在个人信息处理活动中的知情权、决定权、限制或拒绝权、查阅权等;其次,为进一步加强个人控制其信息传播、复制与储存的权利,个保法 第十五条明确了个人拥有撤回同意权,第四十七条要求个人信息处理者应当在个人撤回同意时删除个人信息,从而延续并进一步强化 信息安全技术个人信息安全规范(GB/T35273-2020)中有关删除个人信息的规定,并赋予其法律强制性。二是加强个人信息主体权利掌控。个保法 为破解企业掌握“数据霸权”的困境,在第四十五条第三款为个人新增“信息可携权”。这意味着,个人信息被转移时
18、,个人有权要求个人信息处理者提供符合国家网信部门规定条件的个人信息转移途径。关于“信息可携权”的新规,对个人意味着,未经个人授权平台企业不再能随意传输、转移个人信息于其它平台,而且个人有权要求处理者直接转移其个人信息供其它平台使用;对企业则意味着,个人信息流通不再自由,处理者的信息资源优势与用户信息掌控度受到削弱,用户黏度下降,这不仅会迫使部分“垄断用户信息”的企业优化服务来提高竞争力,还能为新进入市场的企业提供一个相对公平的竞争环境,促进个人信息合理使用。2.3协调多方信息利益关系法治社会建设实施纲要(20202025年)提出,要让公民、法人和其他组织合法权益得到切实保障,这表明 个保法 不
19、仅要维护信息主体的人格利益,亦要权衡公共利益与个人信息处理者的信息合理使用利益,引导个人信息合理流动、保障相关事项有序运行。对于一切个人信息处理活动,个保法 以“目的合理”为前提,以“利益协调”为规制思路,保护个人信息利益,协调个人与个人信息处理者、个人与公共的利益关系,坚持个人利益影响最小、公共利益优先、个人与商业利益二元平衡等原则,使得个人与公共、个人与商业利益之间能够互相协调,和谐共生。一是坚持影响最小原则。为增强人民群众法治建设参与感、社会生活幸福感、个人信息安全感,个保法 不仅规定,有关涉及个人利益的信息处理活动,信息处理者应选择对个人权益影响最小的方式进行,且以“知情同意”为核心、
20、围绕“公开透明”建立个人信息处理原则。具体而言,首先,个保法 第十七条提出,在开展信息处理活动前,信息处理者必须以显著方式、清晰易懂的语言,真实、准确与完整告知个人相关处理事项,并保证个人在充分知情的前提下,自愿、明确地同意活动开展,从而拓宽人民参与个人信息处理活动治理、监督、检查的渠道,显著提升人民对个人信息的控制力;其次,除个人同意外,处理者不得公开其处理的个人信息,但要公开个人信息处理规则,包括信息处理目的、方式、范围和信息储存期限等细则,从而为人民运用查阅权、决定权提供法治保障。二是坚持公益优先原则。立法的重要功能之一是平衡个人与公共利益之间的关系。个保法 第十三条在制定处理公益性事由
21、活动规范时,以科学、公正、正当的措辞表达“公共利益优先”的立场,明确给予公益性事由个人信息处理活动“豁免权”,助力公共活动运行,虽然此类活动不需要获得个人同意方可进行,但活动必须在合理的范围内。例如,在入职事由方面,为企业处理员工信息提供法律依据,个保法 第十三条第二款强调,企业在处理依法制定劳动规章制度、依法签订集体合同实施人力资源管理、依法履行合同等所必需的个人信息时无需员工同意,以有效促进员工个人信息真实性与完整性;又如,在执法事由方面,为有利于公权机关履行职能,个保法 第十三条第三款将有关履行法定职责或者义务的个人信息处理事由也归为特殊事由,展开此类事由活动不需取得个人同意,这有助于
22、个保法 将其法旨贯穿于执法、司法与守法环节,为人民群众发挥个人信息保护法治建设中的主体地位起到长远保障作用;再如,在公共事由方面,个保法第十三条第四、五款提出,有关突发公共卫生事件、保护自然人的生命健康和财产安全所必需的紧急情况、为公共利益展开的新闻报道和舆论监督等事由无需个理论探讨44情报资料工作 2023年5月第44卷第3期人同意,可见,个保法 承担维护人民群众生命安全与健康的责任,并将其视为更高位的利益。三是坚持二元平衡原则。依托日新月异的算法技术,自动化决策广泛应用到商业领域中,按照用户的兴趣、习惯与浏览记录等为用户推送咨询或广告。然而,时有商家恶意使用自动化决策进行“大数据杀熟”与“
23、信息骚扰”,使得诸多用户产生抵触心理,甚至拒绝使用此类业务。对此,个保法 第二十四条严格限制自动化决策的利用目的,要求其不得在交易价格上施行不合理的差别待遇,且信息推送、商业营销要为个人提供不针对个人特征的选项,或者向个人提供便捷的拒绝方式,给予个人拒绝与知情同意的权力。诚然,恶意的自动化决策的确造成信息滥用、过度收集的困境,但不可否认的是,开发自动化决策的初衷是客观评估数据、节省用户时间成本、刺激数字经济增长,仍有可取之处。因此,个保法 虽然严格限制自动化决策的利用目的,却并未简单粗暴地完全禁止自动化决策,而是统筹企业发展与人民信息安全的需求,采取较为中立、客观的方式,对其提出决策透明、结果
24、公平公正的要求,禁止对个人在交易价格等交易条件上实行不合理的差别待遇,能够平衡数字经济的背景下个人信息业务的未来发展与个人利益等多元因素。3时代性:个保法 的法理向度“法与时转则治。”立法应总结凝练历史经验,并适应社会发展与技术变革而不断调整完善,解决现实问题,应对时代需求。在当下,各类信息技术推动产业转型,为个人信息开拓更广阔的应用空间,个人信息随之类型逐渐多样,其应用技术、处理目的与处理主体逐渐多元。这意味着,个人信息保护立法工作应契合当下,密切关注信息技术、个人信息处理者类型及个人信息处理目的等因素对个人信息本身及其处理活动的影响,多角度、深层次思考,做到科学客观、符合实际、公平公正,从
25、而保证立法质量,并随之提高个人信息保护精准性、提升个人信息监管有效性。而 个保法 顺应经济社会发展的客观规律、新时代与信息产业的发展需求,聚焦个人信息类型与主体差异确立个人信息处理规则,健全个人信息监管系统,实现精准保护个人信息、切实维护法治秩序,亦为信息产业、技术与处理组织安全稳定长远发展提供强有力的法律支持。3.1适配差异提升法律效用个人信息类型与主体特征差异决定个人信息处理活动对主体权益与私人生活的影响能力。归根结底,确立 个保法 仍是为“保护个人信息权益”服务,但个人信息类型随着时代不断衍生分化,单一的保护模式并不能实现这一目标,而 个保法 分类个人信息,依据个人信息类型与主体特征差异
26、采取针对性保护措施。首先,个保法 将易影响信息主体人格尊严、人身、财产安全的个人信息界定为敏感个人信息,将涉及敏感个人信息处理行为规范的内容独立为章节(即第二章第二节),专设敏感个人信息的处理条件与资格,相比之下,此类规制方式比一般个人信息处理更严厉、更强硬、更集约;其次,个保法 细化个人信息主体类型,特别针对未成年人与死者的个人信息特点制定处理规则,并阐明未成年人监护人与死者近亲合法权利。这都充分促进监管资源分配精准、监管成本效益提升,极大程度地推动 个保法 适应追随时代发展变化、持续提升立法效能。一是适配信息类型差异。在敏感个人信息规制方面,个保法 主要依据信息处理活动的活动流程强化保护措
27、施。首先,限定处理敏感个人信息资格,即处理者必须在满足信息处理目的具体特定、充分必要,信息保护措施严格的前提下才能开展处理活动;其次,加强事前告知义务,即开展敏感个人信息活动前,处理者必须告知处理敏感个人信息的必要性以及对个人权益的影响;最后,提高处理敏感个人信息门槛,即处理敏感个人信息前,必须取得个人的单独同意。值得注意的是,在敏感个人信息定义方面,个保法 第二十八条特别指出生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息均为个人敏感信息。以个人图像信息为例,我国已实现识别人脸的信息采集技术,常见的应用领域有识别人脸支付、电子身份证明等。但是,作为一种特殊的个人信息,个人图像
28、信息被侵害的后果具有不可逆转性,即便事后弥补也无法减轻已造成的损害程度,更无法消除已产生的负面影响10。基于此,个保法 为防止新兴信息技术的滥用,降低个人图像信息的泄露风险,第二十六条对公共场所使用个人信息采集技术采取严格规定,首先,其技术应用范围仅为“安装图像采集、个人身份识别设备”,以此限定个人信息采集手段;其次,必须符合维护公共安全之所需,以此限定信息处理目的;再次,必须显著标识其设备位置,以此强化知情同意原则,明确告知公众被纳入信息监控。可见,个保法 在确定信息保护措施之时,同时权衡了信息价值、特征与应用领域的现实情况。理论探讨45情报资料工作 2023年5月第44卷第3期二是适配主体
29、类型差异。个保法 专门区分未成年人与死者两类特殊主体的个人信息制定规制措施。首先,考虑到未成年人的人生观、价值观尚未成熟,缺乏自我保护意识,个保法 第二十八条、第三十一条等条款以十四周岁为分界点,将不满十四周岁未成年人的个人信息归为敏感个人信息,信息处理者必须在取得未成年人监护人同意的前提下开展处理活动,并制定相应的处理规则;其次,考虑到维护死者人格尊严与遗留个人信息可能引发的后续问题,例如网络社交平台的账号及账号内容,个保法 第四十九条规定,除去死者生前另有安排的,其近亲属为了自身合法、正当的利益,可以对死者的相关个人信息行使 个保法 所规定的查阅、复制、更正、删除等个人信息权利。值得一提的
30、是,个保法 限定死者近亲属只能在不违背死者遗愿、合法正当的利益需求下对死者信息行使权利,这一匹配人群特征设计个人信息保护规则的特殊规定,既兼顾了死者意志与近亲属的利益需求,又避免了死者信息及其使用权被滥用。3.2落实监管维护法治秩序“治国凭圭臬,安邦靠准绳。”建设法治实施体系需要强化监管力量,全面推进个人信息保护需要落实监管措施。个保法 阐明监管部门职能、监管空间与个人信息处理者法律责任,为严格执法、公正司法、全民守法提供法理支撑,通过科学立法维护个人信息法治秩序。一是设立监管部门。在 个保法 正式施行之前,我国有关个人信息保护处于“九龙治水”之势,负有监管职责的部门包括中央网信办、公安部与工
31、信部等,且各部门都有独立的监管规定,监管模式较难协调。基于此,个保法 第六章特别明确了个人信息保护的监管模式及履行职责。首先,国家层面,我国采用国家网信部门统筹协调国务院有关部门;地方层面,地方人民政府履行个人信息保护职责的部门,在各自职责范围内负责个人信息保护和监督管理工作,个保法 采用层层递进的保护体系,将有助于监管规定贯彻落实。其次,个保法 不仅要求监管部门履行调查活动、查阅内部相关资料、制定标准与政策的职责,还对监管部门提出测评应用程序等个人信息保护情况、公布测评结果的工作要求。这是考虑到近年应用程序泄露个人信息的情况愈演愈烈,评估工作能够督促程序运营商重视、落实并加强保护个人信息,形
32、成行业自律与国家监督内外并行的监管体系。二是划定监管空间。经济全球化的趋势使信息跨境提供逐渐常态化,有鉴于此,个保法 配合国家网信部门的相关要求,专设第三章为个人信息跨境提供规则,维护国家信息安全、公共利益与个人信息权利,积极参与国际信息安全治理,延伸法律效力范围,将境外纳入法律监管空间,具体呈现在以下几方面。首先,在个人信息跨境处理活动开展条件上,个保法 第三十八条、第四十条要求跨境处理活动必须“通过国家网信部门组织的安全评估”“按照国家网信部门的规定经专业机构进行个人信息保护认证”等一系列审查评估规定,并要求个人信息境外接收方必须做到个人信息保护措施以 个保法 立法内容为标准;其次,在信息
33、处理组织行为规范上,个保法 第三十九条要求信息处理组织必须执行知情同意原则,即告知个人有关个人信息处理类别、信息处理活动的境外接收方基本信息、活动处理目的、程序与方式;最后,在惩罚措施上,个保法 第四十二条明确对境外个人信息处理组织的规定,国家网信部门可以将不法组织列入限制或者禁止个人信息提供的清单,并予以公告,同时限制或者禁止向其提供个人信息。三是规范监管举措。“法治不仅要求完备的法律体系、完善的执法机制、普遍的法律遵守,更要求公平正义得到维护和实现”11。为威慑不法分子、遏制侵犯个人信息的社会乱象,个保法 专设第七章法律责任,采取多元制裁手段提高违法成本,以彰显法律威严,实现法治公平正义。
34、首先,为制裁违法行为,消除侥幸心理,个保法 按照“罪刑法定”原则,第六十六条第一款明文规定惩罚类型、级别与对象等细则,对违反本法规定或未履行义务的个人或组织采取经济制裁,但同时设置金额上限,直接负责人员将面临一万元以上十万元以下罚款,拒不改正的,将处以一百万元以下的罚款;其次,为保证惩罚措施公平公正,做到罪行与责任相适应,个保法 践行“罪刑相当”原则,第六十六条第二款按照违规处理个人信息行为的轻重程度,分级法律责任,包括责令改正、予以警告、没收违法所得、吊销营业执照等;最后,为全面落实责任主体,推进法治效能提升,个保法 追求“刑法适用平等”原则,第六十八条针对国家机关及其工作人员提出责任规范,
35、设置内部问责及惩戒制度,规定国家机关不履行个人信息保护义务的,上级机关或者履行个人信息保护职责的部门将责令其改正,并要求有关个人信息保护职责部门的工作人员必须履行法律所规定的义务,尚不构成犯理论探讨46情报资料工作 2023年5月第44卷第3期罪的,也将依法给予处分。特别值得注意的是,为避免不法分子“上交罚金了事”,个保法 第六十七条不仅把个人信息处理行为纳入信用考核范围,还将违规行为记入诚信档案并予以公示;第六十九条进一步指出,若处理个人信息侵害个人信息权益造成损害,而个人信息处理者不能证明自己没有过错的,不仅应当承担损害赔偿,亦需要承担侵权法律责任。4开放性:个保法 的法治理念“治国无法则
36、乱,守法而弗变则悖。”涉外法治拓展和延伸国内法治的各个方面,对于国家的开放发展有着极为重要的作用12。党的十九届五中全会提出要“加快构建国内国际双循环的新发展格局”,这预示着,个人信息保护需要综合考量个人信息安全、国家发展需要与国际形势变化,统筹开展国内与涉外法治建设工作,以同时保障并推动个人信息流动安全与域内域外交流合作。针对涉外法治,个保法 积极响应国家主张,契合对外开放现实需要,统筹事业发展与国家安全,建章立制,衔接国际规则,确立对外主张。针对国内法治,个保法 采取社会共治的个人信息保护治理模式,这些举措将促进个人信息跨界跨境活动有法可依,引导规范个人信息跨境流动秩序,推动个人信息保护法
37、治体系完善。4.1强化域外适用法律效力世界各国相互联系、相互依存度日益紧密,世界多极化、经济全球化、社会信息化、文化多样化深入发展。在此形势下,个保法 衔接国际规则,确立对外主张,遵循对外开放、平等互惠原则强化域外效力,从而积极参与个人信息保护国际法治建设,维护个人信息流动国际秩序,同时捍卫国家主权、安全与发展利益,保证海外企业与公民合法权益。一是衔接国际规则。首先,为加强个人信息境外保护,与“霸权”主义产生鲜明对比,个保法 采取包容与开放的态度对待个人信息保护国际规则。首先,为突破传统个人信息保护框架,坚持维护个人信息流动国际秩序、积极参与个人信息保护国际决策,个保法 第十二条提出“国家积极
38、参与个人信息保护国际规则的制定,促进个人信息保护方面的国际交流与合作”;其次,为加强个人信息保护国际法治建设贡献力与个人信息保护国际规则创设力,促进各国个人信息保护条约适用,个保法 倡导多边法治,主张各国法治互动融通,明确各国法律边界,提出要“推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等互认”,这一规定有力推动各国遵循各国条约、履行国际义务,从而提升各国个人信息保护法治共识,避免各国管辖冲突,抑制不当延伸,促进个人信息保护国际法治体系构筑。二是确立对外主张。对外开放发展有赖于涉外立法支撑。纵使我国综合国力不断提升,我国在个人信息跨境处理活动国际舞台中的角色权重与影响力明显提升,
39、但我国并未采取“长臂管辖”机制维护巩固国际地位,而是在立法上以互相尊重、互利共赢的基调迎接个人信息跨境合作,营造安全、稳定与和谐的个人信息跨境秩序。在涉及个人信息司法与执法处理目的时,个保法 第四十一条提出,中华人民共和国主管机关根据有关法律、缔结或者参加的国际条约、协定,或按照平等互惠原则,处理外国司法与执法机构关于提供存储于境内个人信息的请求。值得注意的是,个保法 这一规定与 国际刑事司法协助法 数据安全法有关跨境执法司法活动规范的核心思想与行文逻辑一致,三部法律均贯彻平等互惠原则,充分体现 个保法遵从国家对外基本主张,既协调配合其它法律涉外事务,又利用立法内容准确阐释国家意志。当然,对外
40、开放亦要注重捍卫国家主权,以保障个人信息跨境处理活动有序性、公平性与规范性,营造良好国际环境,因而在面对他国不公正行为上,个保法 第四十三条提出,若任何国家或地区在个人信息保护方面对我国采取歧视性的禁止、限制或其他类似措施,我国可以根据实际对其对等采取措施。同时,由于 个保法 在第三条就已提出,不论境内外,涉及我国自然人个人信息的产品服务、行为评估与法律规定的活动,也适用 个保法,因而以上两项规定均扩大我国个人信息司法救济覆盖面,有利于帮助引导我国公民、企业运用法律手段维护自身合法权益。4.2构建域内社会共治格局个人信息处理活动参与主体来自各行各界,跨界与跨行合作、资源交换比比皆是,致使个人信
41、息价值取向、利益诉求多元,一系列经济活动极有可能拼接形成影响全社会的价值链,激发公众参与治理强烈意愿。而个保法 注重社会力量参与个人信息保护治理,鼓励公众协同政府监管、多元交互,从构建社会共治格局与明确社会共治规则出发,提供制度保障,培育法治素养,权责规范平衡,引导公众有序参与个人信息保护治理。一是夯实社会共治基础。要使社会共治持之以恒,先要为社会共治格局营造符合其运行规则的法治环境,培育符合公共意识的法治素养。首先,个保法理论探讨47情报资料工作 2023年5月第44卷第3期有意营造开放、包容与融合的法治环境,例如,个保法 第十一条提出“推动形成政府、企业、相关社会组织、公众共同参与个人信息
42、保护的良好环境”,此条规定表明,个保法 明确个人信息保护治理不是自上而下、单向控制,而是平行参与、共同承担,在制度上为社会参与个人信息保护治理提供硬保障,亦对构建社会共治法治环境起到统领作用,为个人信息保护法治建设吸收社会公众力量、汇集多方智慧提供法律支持;其次,公众是参与社会共治的主要力量,然而,公众对个人信息保护的认识、态度与意识难免不尽相同,在公众并未对个人信息保护形成共识前,社会共治未必能使其达到理想效果,因此,为促进社会共治秩序井然、目标一致,有必要通过宣传教育调和公众观念,形成稳定、理性、有序的社会内部合作关系,应对这种较为复杂的情况,个保法 第十一条提出要“加强个人信息保护宣传教
43、育”,利用教育手段潜移默化地培育公众法治素养、坚定公众法治意识,同时,这亦有利于夯实公众个人信息保护专业能力,提升公众道德修养。二是明确社会共治规则。没有无义务的权利,也没有无权利的义务。社会共治运行仍需“良法”约束,为其发展路径、行为规范提供指引。个保法 虽然给予公众个人信息保护治理权限,开放个人信息处理资格,但同时利用“行政赋能”适度监督,明晰个人信息处理者权责范围,促进社会共治良性生长。首先,在权利配置上,个保法 第五十一条第一款将任何自主决定处理目的、处理方式的组织和个人都视作个人信息处理者,并给予个人信息处理者合法、正当使用他人信息的权利,这为个人信息保护社会共治拓宽行业、技术与市场
44、视野;其次,在义务担负上,个保法 第五十一条第二款要求个人信息处理者保护个人信息,做到“内部自律”,主要包括制定内部管理制度、应用保密技术、确定人员权限、事前影响评估、事后应急响应和定期合规审计等义务,这些较为具体的义务事项紧密贴合个人信息保护事件全程展开,保障措施的持续性、完整性与系统性。值得注意的是,个保法 第五十八条区分出提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,对其专门提出接受“外部监督”的特别义务。相对而言,此类个人信息处理者在社会公共空间的物质资源较为丰富、其决断在其参与个人信息保护社会共治、个人信息处理活动中的影响能力不可忽视。因此,为促进社会共治组织结
45、构均衡、治理结果公正,个保法 第五十八条也同样提出要强化此类个人信息处理者外部监督与内部运营审查力度,其不仅要接受外部成员组成的独立机构与社会监督,还要定期发布个人信息保护社会责任报告,严重违法的将承担停止服务的后果。5结语“小智治事,大智立法。”个保法 的立法价值、法理向度与法治理念展现其坚定的人民立场、浓郁的时代气息与鲜明的开放理念,必将为 个保法 不断注入生机活力,展现“良法善治”。随着个人信息保护法治实践的不断丰富和深入,个保法 定能如鸟之翼、车之轮,推动我国个人信息保护法治建设不断向前发展。参考文献 1 周健.美国 隐私权法 与公民个人信息保护J.情报科学,2001(6):608-6
46、11.2 齐爱民.论个人信息的法律保护J.苏州大学学报,2005(2):30-35.3 王岩,叶明.人工智能时代个人数据共享与隐私保护之间的冲突与平衡J.理论导刊,2019(1):99-106.4 王利明.和而不同:隐私权与个人信息的规则界分和适用J.法学评论,2021,39(2):15-24.5 张新宝.互联网生态“守门人”个人信息保护特别义务设置研究J.比较法研究,2021(3):11-24.6 中国互联网络信息中心.第51次 中国互联网络发展状况统计报告 EB/OL.2023-03-28.https:/ 第十三届全国人民代表大会常务委员会第三十次会议.中华人民共和国个人信息保护法 EB/
47、OL.2021-08-20.http:/ 高富平.个人信息保护:从个人控制到社会控制J.法学研究,2018,40(3):84-101.9 申卫星.论个人信息权的构建及其体系化J.比较法研究,2021(5):1-13.10 程啸.“十大亮点”彰显个人信息全面保护EB/OL.2021-08-30.https:/ 维护和促进社会公平正义论学习贯彻习近平总书记在中央全面依法治国工作会议上重要讲话EB/OL.2020-11-23.http:/ 何志鹏.涉外法治:开放发展的规范导向J.政法论坛,2021,39(5):177-191.作者简介王协舟,男,1974年生,湘潭大学公共管理学院教授,博士生导师。李奕扉,女,1998年生,湘潭大学公共管理学院硕士研究生。收稿日期:2022-02-19理论探讨48
浙ICP备2021020529号-1 | 浙B2-20240490 
